1 / 34

جاسوسی در فضای سایبری

آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد. جاسوسی در فضای سایبری. شهاب الدین نمازیخواه. http://cert.um.ac.ir. فضای سایبری. مشتق شده از لغت یونانی Kybernetes به معنی سکاندار استفاده شده توسط نوربرت وینر در سال 1948 Cybernetics: Or Control and Communication in the Animal and the Machine

lotus
Download Presentation

جاسوسی در فضای سایبری

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد جاسوسی در فضای سایبری شهاب الدین نمازیخواه http://cert.um.ac.ir

  2. فضای سایبری • مشتق شده از لغت یونانی Kybernetesبه معنی سکاندار • استفاده شده توسط نوربرت وینر در سال 1948 • Cybernetics: Or Control and Communication in the Animal and the Machine • علم مطالعه و کنترل مکانیزم ها در سیستم‌های انسانی، ماشینی است

  3. فضای سایبری • نویسنده داستان‌های علمی تخیلی: ویلیام گیبسون • 1984: نورومنسر • طرح نام فضای سایبری

  4. فضای سایبری • مجموعه‌هایی از ارتباطات درونی انسان‌ها • رایانه • شبکه های مخابراتی • فارغ از موقعیت جغرافیایی • سیستم مبتنی بر ایمیل

  5. جاسوسی • جاسوس: کسی که اخبار و اطلاعات شخص، موسسه و یا کشوری را مخفیانه گردآوری کرده و به شخص، موسسه و یا کشوردیگری اطلاع دهد رکفرهنگ معین، ج2

  6. جاسوسی رایانه ای • هرکس به طور غیرمجاز نسبت به داده ای سری در حال انتقال یا ذخیره شده در سیستم های رایانه ای یا مخابراتی یا حامل های داده مرتکب اعمال زیر شود: • دسترسی به داده ای مذکور یا تحصیل آنها یا شنود محتوای سری در حال انتقال • در دسترس قرار دادن داده ای مذکور برای اشخاص فاقد صلاحیت • افشا یا در دسترس قرار دادن داده ای مذکور برای دولت، سازمان، شرکت یا گروه بیگانه یا عاملان آنها رک قانون جرائم رایانه‌ ای  فصل یکم  مبحث سوم

  7. اهداف جاسوسی در فضای سایبری • اهداف شخصی • انتقام جویی • کنجکاوی • در قبال دریافت سفارش • اهداف سازمانی • رقابت در بازار • آگاهی از استراتژی های اتخاذ شده • نابودی سازمان • به دست آوردن اطلاعات محرمانه محصولات

  8. اهداف جاسوسی در فضای سایبری • اهداف کشوری • کسب اطلاعات امنیتی • کسب اطلاعات استراتژیک و لاجستیک • بررسی راه های ممکن جهت جنگ نرم • بررسی و تحت کنترل گرفتن امکانات موجود جهت سواستفاده های احتمالی • شناسایی و برقراری ارتباط با نخبگان و مدیران قابل نفوذ

  9. جاسوسان در چهارچوب کاری شما کار نمی‌کنند! • وقتی چیزی را که هست و میبینید میپرسید ”چرا!“ اما من چیزهایی را میبینم که نیستند و میگویم ”چراکه نه!“ • بررسی راههایی که از نظر شما پنهانند... • آسیب پذیری سیستم عامل ها • آسیب پذیری برنامه های کاربردی • بررسی شما و اطرافیانتان!!!

  10. مهندسی اجتماعی • هنر فریفتن انسانها • ورود غير تكنيكي به سيستم، با بهره گيري از اطلاعات جمع آوري شده از سازمان که بستگي به مهارت هاي رفتاري، زيركي و ذكاوت فرد هكر دارد(محسن کاهانی، معصومه قهرمانی، مهندسي اجتماعي وامنيت اطلاعات) • مهندس اجتماعی انسانها را با روش‌های مختلف فریب داده و با متقاعد کردنشان از آنها برای دستیابی به اطلاعات، سوء استفاده می‌کند (کوین میتنیک، هنر فریفتن) • مهندسی اجتماعی، تکنیک بدست آوردن اطلاعات محرمانه به وسیله تحریک کاربران مجازاست (ویکی‌پدیا)

  11. مهندسی اجتماعی • مهمترین عامل شکست امنیت • استفاده در اکثر حملات، حتی به صورت غیر مستقیم • شما را قبلا کجا دیدم؟ • انسانها در پی یافتن وجه اشتراک اند • شبکه های اجتماعی • یافتن دوستان مشترک • جستجو در عقاید و سلیقه های شخص • یافتن اطلاعات خصوصی

  12. شبکه های اجتماعی • اهداف ظاهری • برقراری ارتباط با دوستان • بیان عقاید در فضایی آزاد و بدون چرا • استفاده رایگان از امکاناتی که در خارج از شبکه باید برای آن هزینه کرد • ... • اهداف پنهان • جمع آوری اطلاعات اقلیمی و قومی • شناسایی افرادی که توانایی های کلیدی دارند • جهت دهی به افکار عمومی • الهام گیری از نظریه های ثبت شده • ...

  13. بررسی موردی: Facebook • ارایه اطلاعات شخصی با اجازه شما! • برنامه های موجود نیاز به مجوز شما دارند • تنظیمات حریم شخصی

  14. بدافزارها • جایی‌که نه شبکه اجتماعی پاسخگوست و نه مهندسی اجتماعی • بدافزار های از آغاز تا امروز • سرگرمی • خرابکاری • تغییر اطلاعات • جاسوسی

  15. بدافزارها • برنامه های آزار دهنده! • انواع بدافزارها: • کرم های رایانه ای • ویروس های رایانه ای • تروآ • چند جزیی ها • استفاده از مهندسی اجتماعی!

  16. بررسی موردی: STUXNET • کاربرد صنعتی • انواع نرم‌افزار های SCADA • WINCC • PCS7 • نرم افزار های پایگاه داده • بدافزاری به عنوان Rootkit

  17. STUXNET

  18. اجزای STUXNET • TrojanDropper: Win32/Stuxnet • Trojan:WinNT/Stuxnet.A • Worm:Win32/Stuxnet.A

  19. STUXNET • استفاده از آسیب پذیری MS10-046 • استفاده از میانبر ها • Win32/CplLnk.A • اجرا به صورت \\.\Storage\Volume\USBStor\{CLSID value}\~WTR4141.tmp

  20. STUXNET %DriveLetter%\~WTR4132.tmp %DriveLetter%\~WTR4141.tmp %DriveLetter%\Copy of Shortcut to.lnk %DriveLetter%\Copy of Copy of Shortcut to.lnk %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

  21. ~WTR4141.tmp Display Name: MRXCLSStartup Type: AutomaticImage Path: %System%\drivers\mrxcls.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\"ImagePath" = "%System%\drivers\mrxcls.sys"

  22. ~WTR4141.tmp Display Name: MRXNETStartup Type: AutomaticImage Path: %System%\drivers\mrxnet.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\"ImagePath" = "%System%\drivers\mrxnet.sys"

  23. MRXNET %Windir%\inf\oem6C.PNF %Windir%\inf\oem7A.PNF %Windir%\inf\mdmcpq3.PNF %Windir%\inf\mdmeric3.PNF

  24. برقراری اولین ارتباط • اتصال به http://[C&C server Address]/index.php?data=[DATA] • متن آشکار • رمزشده بر اساس XOR

  25. دریافت دستورات • خواندن فايل • نوشتن فايل • حذف فايل • ايجاد پروسس • تزريق dll به lsass.exe • بارگذاري dll جديد • اجراي 210 دستور ديگر از dll اصلي • به روز رساني دستورات براي اجراهاي بعدي

  26. ~WTR4141.tmp • Kernel32 • FindFirstFileW • FindNextFileW • FindFirstFileExW • Ntdll • NtQueryDirectoryFile • ZwQueryDirectoryFile

  27. ~WTR4132.tmp

  28. تزریق کد • vp.exe • Mcshield.exe • avguard.exe • bdagent.exe • UmxCfg.exe • fsdfwd.exe, • rtvscan.exe • ccSvcHst.exe • ekrn.exe • tmpproxy.exe

  29. ~WTR4132.tmp

  30. UPX • رمزگشایی فایل تنظیمات برای Threat جاری • حذف دو فایل sys ونصب مجدد آنها در سطح هسته سیستم عامل • دسترسی به تمامی فایل های ایجاد شده توسط Siemens Step 7 • به روزرسانی خود • آلوده سازی دیسک های قابل حمل با فایل های *.lnk دلخواه • تزریق کد به lsass.exe و اجرای آن • تزریق کد به iexplorer.exe • حذف خود • کنترل سیستم جهت چک کردن آنتی ویروسهای در حال اجرا بر روی سیستم • برقراری ارتباط با یرور فرماندهی و کنتترل

  31. با سپاس فراوانhttp://cert.um.ac.ir namazikhah@acm.org

More Related