IT აკადემია STEP! ჩვენ 1999 წლიდან ვსწავლობთ. მაღალი ხარისხის კომპიუტერულ განათლებას მოზრდილებში და ბავშვებში.

Your browser is out of date!

You are using an outdated browser Internet Explorer. This version of the browser does not support many modern technologies, that's why many pages of the website are not displayed correctly, and may not work some of functions . We recommend viewing the website using the latest versions of the browsers Google Chrome, Safari, Mozilla Firefox, Opera, Microsoft Edge

ШАГ логотип

კიბერუსაფრთხოების ფართო სპექტრი - ახალი თაობის არაფაილური ვირუსები და მათი მუშაობის პრინციპი

17.08.2021

688 დათვალიერება

კიბერ დანაშაულია ნებისმიერი მართლსაწინააღმდეგო ქმედება, რომელიც კომპიუტერული სისტემის გამოყენებით ინტერნეტ სივრცეშია ჩადენილი. 21–ე საუკუნეში სწრაფი ტექნოლოგიური პროგრესის პარალელურად, კიბერ რისკების რაოდენობა მნიშვნელოვნად მატულობს. თანამედროვე პერიოდში კიბერდანაშაულის საკმაოდ გავრცელებულ შემთხვევებია: ონლაინ თაღლითობა, კომპიუტერულ სისტემასთან უნებართვო წვდომა, ონლაინ პორნოგრაფია, კომპიუტერული სისტემისა და მონაცემის უნებართვოდ გამოყენება, არაფაილური ვირუსები და ა.შ.

 

ავსტრალიის, გაერთიანებული სამეფოს და აშშ-ს სადაზვერვო სააგენტოებმა დაასახელეს კიბერ დანაშაულის 30 ძირითადი მეთოდი, რომელსაც ყველაზე ხშირად მიმართავენ ჰაკერები

სადაც დეტალურად აღწერილია 2020 და 2021 წლებში ყველაზე მეტად გამოვლენილი საფრთხეები, რომლებიც კიდევ ერთხელ აჩვენებს, თუ როგორ ახერხებენ საფრთხის აქტორები ჩვენი უყურადღებობა გამოიყენონ მათ სასარგებლოდ, ცალკე გამოყოფილია არაფაილური ვირუსები და მათი მუშაობის პრინციპიც

 

"კიბერ დამნაშავეები აგრძელებენ საჯაროდ ცნობილი და ხშირად მოძველებული პროგრამული უზრუნველყოფით აქტიურობას მასშტაბური სამიზნეების წინააღმდეგ, მათ შორის მთელს მსოფლიოში საჯარო და კერძო სექტორის ორგანიზაციებთან მიმართებაში", - ნათქვამია აშშ-ს კიბერუსაფრთხოებისა და ინფრასტრუქტურის უსაფრთხოების სააგენტოს (CISA), ავსტრალიის კიბერუსაფრთხოების ცენტრის (ACSC), გაერთიანებული სამეფოს კიბერუსაფრთხოების ეროვნული ცენტრის (NCSC) და აშშ-ს გამოძიების ფედერალური ბიუროს (FBI) მიერ.

 

"თუმცა, მთელს მსოფლიოში  უსაფრთხოების ორგანოებს შეუძლიათ შეასუსტონ ამ ანგარიშში ჩამოთვლილი დაუცველობები მათ სისტემებზე ხელმისაწვდომი პატჩების გამოყენებით და პატჩების მართვის ცენტრალიზებული სისტემის დანერგვით.”

 

ტოპ 30 საფრთხე მოიცავს პროგრამული უზრუნველყოფის ფართო სპექტრს, მათ შორის დისტანციურ მუშაობას და ვირტუალურ კერძო ქსელებს (VPN) და ღრუბელზე დაფუძნებულ ტექნოლოგიებს, რომლებიც მოიცავს Microsoft-ის, Vmware-ის, Pulse Secure-ის, Fortinet-ის, Accellion-ის, Citrix-ის, F5 Big IP-ის, Atlassian-ის და Drupal-ის პროდუქტების ფართო სპექტრს.
 

ყველაზე ხშირად ბოროტად გამოყენებული ხარვეზები არის შემდეგი:

  • CVE-2019-19781 (CVSS ქულა: 9.8) - Citrix Application Delivery Controller (ADC) და Gateway დირექტორიის წაკითხვის დაუცველობა
  • CVE-2019-11510 (CVSS ქულა: 10.0) - Pulse Connect Secure ფაილის თვითნებური კითხვის დაუცველობა
  • CVE-2018-13379 (CVSS ქულა: 9.8) - Fortinet FortiOS ფაილამდე გზის წაკითხვის დაუცველობა, რასაც მივყავართ სისტემური ფაილების გაჟონვასთან
  • CVE-2020-5902 (CVSS ქულა: 9.8) - F5 BIG-IP კოდის დისტანციურად გამოყენების დაუცველობა
  • CVE-2020-15505 (CVSS ქულა: 9.8) - MobileIron Core & Connector კოდის დისტანციურად გამოყენების დაუცველობა
  • CVE-2020-0688 (CVSS ქულა: 8.8) - Microsoft Exchange მეხსიერების დაზიანების დაუცველობა
  • CVE-2019-3396 (CVSS ქულა: 9.8) - Atlassian Confluence Server კოდის დისტანციურად გამოყენების დაუცველობა
  • CVE-2017-11882 (CVSS ქულა: 7.8) - Microsoft Office მეხსიერების დაზიანების დაუცველობა
  • CVE-2019-11580 (CVSS ქულა: 9.8) - Atlassian Crowd და Crowd Data Center კოდის დისტანციურად გამოყენების დაუცველობა
  • CVE-2018-7600 (CVSS ქულა: 9.8) - Drupal კოდის დისტანციურად გამოყენების დაუცველობა
  • CVE-2019-18935 (CVSS ქულა: 9.8) - Telerik .NET დეზერიალიზაციის დაუცველობა, რომელსაც მივყავართ კოდის დისტანციურად გამოყენების დაუცველობასთან
  • CVE-2019-0604 (CVSS ქულა: 9.8) - Microsoft SharePoint კოდის დისტანციურად გამოყენების დაუცველობა
  • CVE-2020-0787 (CVSS ქულა: 7.8) - Windows Background Intelligent Transfer Service (BITS) უპირატესი დაუცველობის ზრდა
  • CVE-2020-1472 (CVSS ქულა: 10.0) - Windows Netlogon უპირატესი დაუცველობის ზრდა  
  • Microsoft Exchange ServerCVE-2021-26855CVE-2021-26857CVE-2021-26858, და CVE-2021-27065 (ცნობილი, როგორც "ProxyLogon")
  • Pulse SecureCVE-2021-22893CVE-2021-22894CVE-2021-22899, და CVE-2021-22900
  • AccellionCVE-2021-27101CVE-2021-27102CVE-2021-27103, და CVE-2021-27104
  • VMwareCVE-2021-21985
  • Fortinet: CVE-2018-13379CVE-2020-12812, და CVE-2019-5591

 

პენტაგონი პასუხისმგებლობას აკისრებს ყველა ქვეყანას და 1000-ზე მეტ ორგანიზაციას, დაარეგულიროს ყველაზე გავრცელებული საფრთხეები!

 

ნუ დარჩებით დროის შესაბამისი თეორიული და პრაქტიკული უნარების გარეშე

 დარეგისტრირდი ახლავე!

 

ახალი თაობის არაფაილური ვირუსები და მათი მუშაობის პრინციპი

არაფაილური ვირუსები,ტრადიციული ვირუსებისგან განსხვავებული მუშაობის პრინციპის მქონე პროგრამებია, რომლებიც კომპიუტერის მყარ დისკზე არ წერენ ფაილებს. ამის მაგივრად, არაფაილური ვირუსი იყენებს ოპერაციულ სისტემაში ჩაშენებულ ხელსაწყოებს: ვირუსული პროგრამის მუშაობა პირდაპირ მეხსიერების ბარათზე (RAM) მიმდინარეობს.

 

მყარ დისკზე ფაილების არ ჩაწერა მთავარი მომენტია. სწორედ ამ მიზეზით არ არსებობს ე.წ. ვირუსის ხელმოწერა (signature), რომელსაც როგორც წესი, ანტივირუსები იყენებენ მავნე პროგრამების აღმოჩენისთვის. მართალია ახალი ანტივირუსული პროგრამების შემქმნელები ირწმუნებიან, რომ მათ პროდუქტს შეუძლია მავნე Powershell აქტივობის დადგენა და რეაგირების მოხდენა, თუმცა რეალობა ისაა, რომ არაფაილური ვირუსების აღმოჩენა ანტივირუსებისთვის ჯერ კიდევ სერიოზულ გამოწვევას წარმოადგენს.

 

როგორ მუშაობს არაფაილური ვირუსი?

არაფაილური ვირუსების მუშაობის პრინციპი დაფუძნებულია windows-ის სისტემაში ჩაშენებული ხელსაწყოების გამოყენებაზე. კონკრეტულად ასეთ ხელსაწყოებს წარმოადგენს PowerShell და Windows Management Instrumentation (WMI). ეს ხელსაწყოების windows-ის სისტემაში თავიდანვეა ჩაშენებული და სისტემური ბრძანებების შესასრულებლად გამოიყენება. ეს ხელსაწყოები არაერთი IT სპეციალისტის ყოველდღიური მუშაობის განუყოფელი ნაწილია. შესაბამისად, PowerShell-სა და WMI-ს აკრძალვა პრაქტიკულად შეუძლებელია.

 

ლეგიტიმური პროგრამების გამოყენება არაფაილურ ვირუსებს უპირატეს მდგომარეობაში აყენებს – მათზე შესრულებული ბრძანებები ხომ ავტომატურად აღიქმება სისტემისა და ანტივირუსების მიერ როგორც ლეგიტიმური ბრძანებები.

 

PowerShell და Windows Management Instrumentation (WMI)

  • PowerShell სკრიპტინგის ენაა, რომელიც უპრეცედენტო დონის წვდომას იძლევა მოწყობილობის შიდა ფუნქციებზე, მათ შორის Windows API-ზე. ამასთან, PowerShell ვინდოუსის სისტემის განუყოფელი ნაწილია და ოპერაციული სისტემისგან სრული ნდობა აქვს გამოცხადებული.
  • PowerShell-ის გამოყენება დაშორებული მანძილიდანაც შესაძლებელია WinRM-ის მეშვეობით. ამ თვისების გამო, შემტევს შესაძლებლობა აქვს გვერდი აუაროს Windows-ის ცეცხლოვან კედელს, გაუშვას ბრძანებები დაშორებული მანძილიდან ან ჩაჭრას და შეცვალოს სესიები.
  • რა თქმა უნდა, შესაძლებელია WinRM-ს გამორთვა, მაგრამ მისი ჩართვა შემტევს დაშორებული მანძილიდან სულ ერთ ხაზიანი კოდის მეშვეობით შეუძლია WMI-ს გამოყენებით.
  • WMI-ს გამოყენებით ადმინისტრატორებს შეუძლიათ სხვადასხვა მოქმედებების შესრულება. მაგალითად, მოიპოვონ ინფორმაცია სისტემის მუშაობის შესახებ, დააინსტალირონ პროგრამა ან დააყენონ განახლება. WMI-ს პრაქტიკულად, სისტემაში არსებულ ყველა რესურსზე მიუწვდება ხელი და ასევე უზრუნველყოფს პროგრამების შეუმჩნევლად გაშვებას სისტემის ჩართვის მომენტში, ან სპეციალურად არჩეულ დროს.
  • WMI-ს ფუნქციონალი ადმინისტრატორებს საჭირო ბრძანებების სწრაფად შესრულებაში ეხმარება, მაგრამ იგივე მიზეზით შემტევის ხელში ის მძლავრ იარაღად იქცევა. ადმინისტრატორის მსგავსად, შემტევი იყენებს WMI-ს უპირატესობებს და საჭიროების შემთხვევაში მთელ ქსელში უშვებს ვირუსულ კოდს, რომლის აღმოჩენაც არამხოლოდ ანტივირუსულ პროგრამებს, არამედ უსაფრთხოების ანალიტიკოსებსაც კი უჭირთ.
  • WMI-ს გათიშვის შემთხვევაში კი იზღუდება ადმინისტრატორის მოქმედების არეალი (მაგალითად, განახლებებს ვეღარ დააყენებს ქსელში) და იზრდება შესასრულებელი სამუშაოსთვის საჭირო დრო.

 

არაფაილური ვირუსის შეტევის მაგალითი

არაფაილური ვირუსების შეტევები მართალია ისე ფართოდ არ შუქდება, როგორც მაგალითად გამომძალველი ვირუსების (ransomware) შეტევები, თუმცა ეს მათგან მომდინარე საფრთხეებს ოდნავადაც არ ამცირებს.

 

არაფაილური ვირუსის შეტევის კარგი მაგალითია ოპერაცია Cobalt Kitty, რომელიც ერთ-ერთი მსხვილი აზიური კორპორაციის წინააღმდეგ მიმდინარეობდა. შემტევმა მხარემ შექმნა PowerShell-ის კარგად დამუშავებული ინფრასტრუქტურა და მსხვერპლის სისტემაში გაუშვა PowerShell payload (სპეციალურად მოდიფიცირებული კოდი), რომელიც თავის მხრივ შეიცავდა Cobalt Strike-ის payload-ს. Cobalt Strike – საფრთხეების ემულაციის პროგრამაა, რომელსაც სპეციალისტები და Pentester-ები იყენებენ სისტემის სისუსტეების შემოწმების დროს.

 

ამ ხერხით, შემტევმა მხარემ მოახერხა და 6 თვის განმავლობაში შეუმჩნეველი დარჩა. კომპანიის უსაფრთხოების სპეციალისტებს ეგონათ, რომ PowerShell-დან მომავალი ბრძანებები საეჭვო თუმცა ლეგიტიმური იყო, ამიტომ კონტრ-ღონისძიებები არ გაუტარებიათ.

 

ზემოთქმულიდან ნათელია, რომ უსაფრთხოების ტრადიციული მიდგომები არაფაილური ვირუსების წინააღმდეგ ვერ არის ეფექტური.

 

არაფაილური ვირუსებისგან დაცვა

PowerShell, როგორც პროგრამათა უმრავლესობა აგენერირებს log-ებს, სულ მინიმუმ როდის ჩაირთო და გამოირთო PowerShell. ლოგების ანალიზი დიდ დროს, ენერგიასა და ყურადღებას მოითხოვს. ამასთან, IT სპეციალისტებს როგორც წესი, ბევრი საქმე აქვთ და ამიტომ ვეღარ იცლიან ლოგების ანალიზისთვის. მაშ სად არის გამოსავალი?

 

არაფაილური ვირუსების ქცევის ანალიზი საუკეთესო მიდგომა ასეთი შეტევების დროულად დადგენისა და გაუვნებელყოფისთვის. სპეციალური მინიშნებებისთვის ყურადღების მიქცევა სწორედ ისაა, რაც კომპანიებს დაიცავს არაფაილური შეტევებისგან. ასეთი მინიშნებები შეიძლება იყოს, მაგალითად, PowerShell-ის სესია, რომელიც შესრულებულია კოდირებული (encoded) ბრძანებით, ეს ბრძანება კი გაშვებულია command line ხელსაწყოს გამოყენებით.

 

მსგავსი შემთხვევები კომპანიის უსაფრთხოების გუნდში უნდა იწვევდეს ბრძანების ლეგიტიმურობის შემოწმების გადაუდებელ აუცილებლობას. მხოლოდ ასეთ შემთხვევაში შეუძლია ორგანიზაციას შედარებით დაცულად იგრძნოს თავი არაფაილური შეტევებისგან.

 

დაეუფლე აქტუალურ პროფესიებს - მოგვიერთდით სტეპერების დიდ ოჯახში

IT Academy Step ლიდერი IT სფეროში , ახლა უკვე 100+ ფილიალით!

+995 577 538 549 .თელავინადიკვრის #23

+995 (32) 215-55-51 .თბილისი.ყაზბეგის 34/34 

https://www.facebook.com/itstep.ge



ავტორის სწავლების ტექნოლოგიები::

IT აკადემია STEP

დიზაინერი AI-ის ეპოქაში - ახალი კომპეტენციების საჭიროება

AI-ის ეპოქაში დიზაინერის როლი რადიკალურად ტრანსფორმირდება — ხელოვნური ინტელექტი ხდება მისი ასისტენტი და პარტნიორი, რაც მოითხოვს ახალ კომპეტენციებს: prompt engineering, AI ინსტრუმენტების ეფექტური გამოყენება, მონაცემთა ანალიზი, ეთიკური პასუხისმგებლობა და უწყვეტი განვითარება. თანამედროვე დიზაინერი უკვე აღარ არის მხოლოდ შემსრულებელი, ის სტრატეგიულად მართავს AI-ს, აძლევს მას ადამიანურ ღირებულებებს და ქმნის ინოვაციურ, მომხმარებელზე ორიენტირებულ გამოცდილებებს.

ყველა ვხედავთ, ყველა ვამჩნევთ გარდამტეხ, რევოლუციურ ფაზას, რასაც ხელოვნური ინტელექტი ქმნის დიზაინის სფეროში. კრეატიული პროცესების ავტომატიზაცია, უკვე უპრეცედენტო შესაძლებლობებს იძლევა. ეს ტრანსფორმაცია არამხოლოდ ცვლის დიზაინერის ყოველდღიურ საქმიანობას, არამედ მოითხოვს მისგან ახალ კომპეტენციებსა და უნარებს, რომ წარმატებული იყოს, ამ მუდმივად ცვალებად გარემოში.  AI როგ

ШАГ логотип

მოტივაცია

სამაირა მეჰტა - წარმატებული ისტორიები 20 წლამდე ასაკში

სამაირა მეჰტას ისტორია - 8 წლის ასაკში შექმნილი "CoderBunnyz" თამაშიდან ბიზნესამდე. ახალგაზრდა მეწარმის წარმატების ისტორია და გაკვეთილები IT სფეროში.

2016 წელს, მხოლოდ 8 წლის ასაკში, სამაირა მეჰტამ შექმნა "CoderBunnyz" - პროგრამირების სასწავლო თამაში ბავშვებისთვის. ეს იყო მომენტი, როდესაც ახალგაზრდა გოგომ პირველად აჩვენა, რომ ასაკი არ არის ბარიერი ინოვაციისა და წარმატებისთვის. მისმა იდეამ დაუყოვნებლივ მოიპოვა აღიარება და 9 წლის ასაკში სამაირა უკვე გამოდიოდა სპიკერად Microsoft-ისა და Google-ის ღონისძიებებზე. მისი იდეა მარტივი, მაგრამ გენიალურ

ШАГ логотип

AI თავდასხმა თუ AI თავდაცვა - კიბერუსაფრთხოების ახალი გამოწვევები ციფრულ ეპოქაში

AI თავდასხმებს AI თავდაცვა უპირისპირდება - გაიგე, როგორ იცვლება კიბერუსაფრთხოების სფერო ხელოვნური ინტელექტის ეპოქაში და რატომ არის კიბერუსაფრთხოება მომავალის ერთ-ერთ ყველაზე მოთხოვნადი პროფესია.

წარმოიდგინე, ყველაზე ცუდი სცენარი: კიბერკრიმინალები – ის ადამიანები, ვინც თქვენი ციფრული ცხოვრების მოპარვას ცდილობენ – ახლა ისინი იყენებენ  AI-ის,  რათა თავდასხმები რეალური გახადონ. ხელოვნური ინტელექტი ქმნის მიზნობრივ ფიშინგს – ყალბ ელექტრონულ წერილებს, რომლებიც ისე ზუსტად ჰგავს რეალურს, რომ შესაძლოა ეჭვიც არ გაგიჩნდეს და გაებათ მათ მახეში. კიდევ უფრო საშიშია Deepfake  – AI-ის მიე

ШАГ логотип

ერიკ ფინმანი - წარმატებული ისტორიები 20 წლამდე ასაკში

ერიკ ფინმანის შთამაგონებელი ისტორია იმის შესახებ, თუ როგორ გახდა 18 წლის ბიჭი მილიონერი. ახალგაზრდა ენტრეპრენერის წარმატების გზა.

ზოგჯერ ასაკი მხოლოდ რიცხვია. ერიკ ფინმანის ისტორია ამის კიდევ ერთი დამადასტურებელი მაგალითია - ახალგაზრდა ვიზიონერი, რომელმაც 12 წლის ასაკშივე გამოავლინა იმდენი გამჭრიახობა და მომავლის ხედვა, რომ 18 წლისთვის მილიონერი გახდა. 1998 წლის ოქტომბერში დაბადებული ერიკი, ჯერ კიდევ მოზარდი იყო, როცა გადაწყვიტა პირველი ნაბიჯის გადადგმა თავისი ფინანსური დამოუკიდებლობისკენ. 2011 წელს, მხო

ШАГ логотип

ამ საიტზე გამოიყენება Cookies

Კონფიდენციალურობის პოლიტიკა