Jijumuishe katika mabadiliko ya mbinu za kuhadaa ili kupata maelezo ya kibinafsi na kukwepa programu hasidi na uelewe jinsi wavamizi wanavyotumia mbinu za kisasa zaidi kukwepa hatua za usalama. Mageuzi ya Mashambulizi ya Hadaa “Ninapenda sana msemo kwamba ‘Hii ni nje ya upeo’ ulisema hakuna mdukuzi. Iwe ni mbinu, mbinu au teknolojia, wadukuzi watafanya lolote ili kukwepa kutambuliwa na kuhakikisha kuwa mashambulizi yao yanafanikiwa,” anasema Etay. Maor, Mkakati Mkuu wa Usalama katika Cato Networks na mwanachama wa Cato CTRL. Mashambulizi ya hadaa yamebadilika sana kwa miaka mingi. Miaka 15-20 iliyopita, tovuti rahisi za ulaghai zilitosha kwa kukamata vito vya taji vya wakati huo – maelezo ya kadi ya mkopo. Leo, mashambulizi na mbinu za ulinzi zimekuwa za kisasa zaidi, kama tutakavyoelezea hapa chini. “Huu pia ni wakati ambapo mchezo wa ulinzi wa mashambulizi wa “paka-na-panya” ulianza,” anasema Tal Darsan, Meneja wa Usalama na mwanachama wa Cato CTRL. Wakati huo, mbinu kuu ya ulinzi dhidi ya tovuti za kuhadaa ili kupata maelezo ya kibinafsi ya kadi ya mkopo ilihusisha kuzifurika kwa idadi kubwa ya nambari, kwa matumaini ya kuzishinda ili wasiweze kutambua maelezo halisi ya kadi ya mkopo. Lakini watendaji tishio walibadilishwa kwa kuthibitisha data kwa kutumia mbinu kama vile algoriti ya Luhn ili kuthibitisha kadi halisi za mkopo, kuangalia maelezo ya mtoaji kupitia Nambari za Utambulisho wa Benki (BIN), na kutoa michango midogo midogo ili kupima kama kadi ilikuwa hai. Huu hapa ni mfano wa jinsi washambuliaji walivyothibitisha nambari za kadi za mkopo zilizowekwa kwenye tovuti za hadaa: Mbinu za Kupambana na Watafiti Kadiri wizi unavyoendelea kuongezeka, wavamizi waliongeza mbinu za kupinga utafiti ili kuwazuia wachambuzi wa usalama kusoma na kuzima shughuli zao. Mikakati ya kawaida ilijumuisha kuzuia IP baada ya ufikiaji wa mara moja ili kuunda kisingizio cha uwongo kwamba tovuti ya hadaa ilizimwa, na kugundua seva mbadala, kwani watafiti mara nyingi hutumia seva mbadala wakati wa kuchunguza. Msimbo wa mshambulizi wa ufikiaji wa anwani ya IP kwa wakati mmoja: Msimbo wa mshambuliaji wa kitambulisho cha seva mbadala: Wavamizi pia wamekuwa wakibadilisha miundo ya folda katika URL zao katika miongo kadhaa iliyopita, na kuwazuia watafiti kufuatilia tovuti za hadaa kulingana na majina ya saraka ya kawaida yanayotumiwa katika vifaa vya kuhadaa ili kupata maelezo ya kibinafsi. Hii inaweza kuonekana kwenye picha hapa chini: Kukwepa Kinga Virusi Njia nyingine ya kukwepa udhibiti wa usalama hapo awali ilikuwa kurekebisha sahihi za programu hasidi kwa kutumia huduma za usimbaji fiche. Hii ilifanya isionekane na mifumo ya antivirus iliyo na saini. Huu hapa ni mfano wa huduma kama hii ambayo hapo awali ilikuwa maarufu sana: Kukwepa Uthibitishaji wa Kifaa Hebu tuendelee na mbinu nyingine za kisasa za kukwepa. Kwanza, shambulio la hadaa ambalo huwalenga wahasiriwa kwa kukusanya maelezo ya kina ya kifaa—kama vile toleo la Windows, anwani ya IP na programu ya kingavirusi—ili wavamizi waweze kuiga kifaa cha mwathiriwa vyema. Data hii huwasaidia kukwepa ukaguzi wa usalama, kama vile uthibitishaji wa kitambulisho cha kifaa, ambacho mashirika, kama vile benki, hutumia kuthibitisha kuingia kwa halali. Kwa kunakili mazingira ya kifaa cha mwathiriwa (kwa mfano, toleo la Windows, maelezo ya kicheza media, vipimo vya maunzi), wavamizi wanaweza kuepuka kutiliwa shaka wanapoingia kutoka maeneo au vifaa tofauti. Baadhi ya huduma za wavuti nyeusi hata hutoa mashine pepe zilizosanidiwa awali zinazoakisi wasifu wa kifaa cha mwathiriwa (ona picha hapa chini), na kuongeza safu ya ziada ya kutokujulikana kwa washambuliaji na kuwezesha ufikiaji salama kwa akaunti zilizoathiriwa. Hii inaonyesha jinsi sayansi ya data na ubinafsishaji umekuwa muhimu kwa shughuli za uhalifu. Kukwepa Ugunduzi Unaoharibika Kisa kingine ni wakati watetezi walipokabiliana na genge la kutumia programu hasidi kutumia programu za moja kwa moja za benki, wakisubiri waathiriwa waingie kabla ya kufanya miamala ambayo haijaidhinishwa haraka. Changamoto ilikuwa kwamba vitendo hivi vilionekana kutoka kwa kikao cha mwathirika mwenyewe kilichothibitishwa, na kufanya ugunduzi kuwa mgumu. Hii ilisababisha mchezo wa paka na panya kati ya washambuliaji na mabeki: Hapo awali, watetezi walitekeleza ukaguzi wa kasi, shughuli za kuripoti kukamilika kwa haraka sana kama zilivyokuwa za ulaghai. Kwa kujibu, washambuliaji walirekebisha msimbo wao ili kuiga kasi ya kuandika ya binadamu kwa kuongeza ucheleweshaji kati ya vibonye. Hili linaweza kuonekana katika msimbo ulio hapa chini: Wakati watetezi walirekebisha hili kwa kuongeza ukaguzi wa muda bila mpangilio, washambuliaji walikabiliana na ucheleweshaji tofauti, ukichanganya zaidi katika tabia halali. Hii inaonyesha ugumu wa kugundua ulaghai wa kibenki wa kiotomatiki wa hali ya juu kati ya miamala halali. Mashambulizi Yanayoepuka Hadaa Sasa hebu tuendelee kwenye mashambulizi ya hivi majuzi zaidi. Mojawapo ya mashambulio mashuhuri yaliyochanganuliwa na Cato CTRL ni pamoja na shambulio la ujanja la hadaa iliyoundwa kuiga usaidizi wa Microsoft. Tukio hilo lilianza na ujumbe wa hitilafu wa 403 ambao ulielekeza mtumiaji kwenye ukurasa unaodai kuwa “msaada wa Microsoft”, uliojaa vidokezo vya “kupata usaidizi na usaidizi sahihi.” Ukurasa uliwasilisha chaguo za usaidizi wa “Nyumbani” au “Biashara”, lakini bila kujali ni chaguo gani lilichaguliwa, ulielekeza mtumiaji kwenye ukurasa wa kuingia wa Office 365 unaoshawishi. Ukurasa huu wa kuingia katika akaunti ghushi uliundwa kama sehemu ya mpango wa uhandisi wa kijamii ili kuwahadaa watumiaji kuingiza kitambulisho chao cha Microsoft. Shambulio hilo lilichochea vichochezi vya kisaikolojia, kama vile kuiga ujumbe wa hitilafu na vidokezo vya usaidizi, ili kujenga uaminifu na kutumia imani ya mtumiaji katika chapa ya Microsoft. Hili lilikuwa jaribio la kisasa la kuhadaa ili kupata maelezo ya kibinafsi, lililolenga uhandisi wa kijamii badala ya kutegemea tu mbinu za hali ya juu za ukwepaji. Msururu wa Uelekezaji Kwingine kwa Kidanganyifu Katika uchanganuzi huu uliofuata, Cato CTRL ilichunguza shambulio la hadaa ambalo lilitumia mbinu tata za uelekezaji kwingine ili kukwepa kugunduliwa. Mchakato ulianza na kiungo cha awali cha udanganyifu, kilichojificha kama injini ya utafutaji maarufu nchini Uchina, ambayo ilielekezwa upya kupitia URL nyingi (kwa kutumia misimbo ya hali ya HTTP kama 402 na 301) kabla ya hatimaye kutua kwenye ukurasa wa kuhadaa uliopangishwa kwenye kiungo cha wavuti (IPFS). Msururu huu wa uelekezaji kwingine wa hatua nyingi unatatiza ufuatiliaji na ukataji miti, hivyo kufanya kuwa vigumu kwa watafiti wa usalama wa mtandao kufuatilia asili halisi ya ukurasa wa kuhadaa. Wakati uchunguzi ukiendelea, mtafiti wa Cato CTRL alikumbana na mbinu nyingi za ukwepaji zilizopachikwa ndani ya msimbo wa tovuti ya hadaa. Kwa mfano, ukurasa wa hadaa ulijumuisha JavaScript iliyosimbwa kwa Base64 ambayo ilizuia mwingiliano wa kibodi, na hivyo kuzima uwezo wa mtafiti kufikia au kuchambua msimbo moja kwa moja. Mbinu za ziada za kufichua zilijumuisha sehemu za kukiuka katika zana za wasanidi programu, ambazo zililazimu kuelekezwa upya kwa ukurasa halali wa nyumbani wa Microsoft ili kuzuia ukaguzi zaidi. Kwa kuzima vizuizi hivi katika zana za wasanidi wa Chrome, mtafiti hatimaye alikwepa vizuizi hivi, na kuruhusu ufikiaji kamili wa msimbo wa chanzo wa tovuti ya kuhadaa. Mbinu hii inaangazia washambuliaji wa hali ya juu, walio na safu nyingi za ulinzi zinazotekelezwa ili kuzuia uchanganuzi na ucheleweshaji wa utambuzi, utumiaji wa kinga dhidi ya sandbox, ufichaji wa JavaScript na minyororo ya uelekezaji kwingine. Wavamizi wa Ugunduzi wa Rasilimali za Hadaa wanarekebisha kila mara mbinu zao za ulinzi ili kuepuka kutambuliwa. Watafiti wameegemea vipengele tuli, kama vile rasilimali za picha na aikoni, ili kutambua kurasa za kuhadaa ili kupata maelezo ya kibinafsi. Kwa mfano, tovuti za hadaa zinazolenga Microsoft 365 mara nyingi huiga nembo na ikoni rasmi bila kubadilisha majina au metadata, na kuzifanya ziwe rahisi kuzitambua. Hapo awali, uthabiti huu uliwapa watetezi njia ya kuaminika ya kugundua. Hata hivyo, waigizaji tishio wamejirekebisha kwa kubahatisha karibu kila kipengele cha kurasa zao za kuhadaa. Ili kuepuka kugunduliwa, washambuliaji sasa: Badili Majina ya Nyenzo – Majina ya faili ya picha na ikoni, ambayo hapo awali yalitulia, yamebahatika sana kwenye kila upakiaji wa ukurasa.Badilisha Vichwa na URL za Ukurasa – Mada, vikoa vidogo na njia za URL hubadilika kila mara, na kuunda mifuatano mipya isiyo na mpangilio kila wakati ukurasa unafikiwa, na kuifanya kuwa changamoto zaidi kufuatilia.Tekeleza Changamoto za Cloudflare – Wanatumia changamoto hizi kuthibitisha kwamba binadamu (sio kichanganuzi kiotomatiki) kinafikia ukurasa, jambo ambalo hurahisisha ugunduzi wa kiotomatiki kwa zana za usalama. Licha ya mbinu hizi, mabeki wamepata njia mpya za kukwepa ukwepaji huu, ingawa ni mchezo unaoendelea wa kukabiliana na washambuliaji na watafiti. Masterclass hufichua mashambulio mengi zaidi ya programu hasidi na ulaghai na jinsi wanavyokwepa hatua za kitamaduni, ikiwa ni pamoja na: Vidondosha programu hasidi kwa usambazaji wa mzigo.Faili za HTML katika barua pepe za kuhadaa ili kuanzisha upakuaji wa programu hasidi wa hatua nyingi unaojumuisha faili za zip zinazolindwa na nenosiri. Uingizaji wa faili na udanganyifu wa kichawi Usafirishaji wa SVG na usimbaji wa B64.Kutumia programu za wingu zinazoaminika (km, Trello, Hifadhi ya Google) kwa amri na kudhibiti ili kuepuka kugunduliwa na mifumo ya kawaida ya usalama.Kudunga programu hasidi ili kupotosha zana za uchanganuzi wa programu hasidi zenye msingi wa AI.Kutumia tena zana ya kuondoa mizizi ya TDSS Killer ili kuzima huduma za EDR, ikilenga haswa Microsoft Defender.Telegram bots kama njia ya kupokea vitambulisho vilivyoibiwa, ikiruhusu. washambuliaji ili kuunda haraka maeneo mapya ya kuacha inapohitajika.Jenerative AI inayotumiwa na wavamizi kurahisisha uundaji na usambazaji wa mashambulizi.Tishio linalotokana na mtandao uwindaji bila mawakala wa mwisho. Nini Kinafuata kwa Mabeki? Je, mabeki wanawezaje kupata ushindi katika mchezo huu unaoendelea wa paka na panya? Hizi hapa ni mikakati michache: Mafunzo ya Hadaa na Uhamasishaji wa Usalama – Ingawa si ya kipumbavu, mafunzo ya uhamasishaji huongeza uwezekano wa kutambua na kupunguza vitisho vya mtandao. Ufuatiliaji wa Kitambulisho – Utumiaji wa zana zinazochanganua ruwaza za muunganisho zinaweza kuzuia kwa hiari shughuli zinazoweza kuwa mbaya. Kujifunza kwa Mashine na Utambuzi wa Tishio – Zana za juu za kutambua vitisho vya kisasa. Mfumo wa Uwindaji wa Tishio Pamoja – Mbinu moja, iliyounganishwa ya jukwaa (badala ya suluhu za pointi nyingi) kwa ajili ya uwindaji wa vitisho. Hii ni pamoja na uwindaji wa vitisho kulingana na mtandao bila mawakala wa mwisho na kutumia uchanganuzi wa trafiki ya mtandao ili kugundua IoCs.Upunguzaji wa uso wa Mashambulizi – Kupunguza kikamilifu nyuso za mashambulizi kwa kukagua ngome, kurekebisha usanidi na kukagua mipangilio ya usalama mara kwa mara. Kushughulikia usanidi usiofaa na kufuata mashauri ya wauzaji kunaweza kusaidia kulinda ulinzi wa shirika dhidi ya vitisho vipya. Kuepuka Kuvimba kwa Mfumo – Sehemu nyingi za mashambulizi kwenye msururu wa mauaji ya vitisho ni muhimu, “lakini hii haimaanishi kuongeza suluhu nyingi za pointi,” anasisitiza Maor. “Jukwaa lililounganishwa lenye kiolesura kimoja ambacho kinaweza kuangalia kila kitu: mtandao, data, kupitia injini moja ya kupita inayopitia kila pakiti na kuelewa ikiwa ni hasidi au la.” Tazama darasa zima la bwana hapa. Umepata makala hii ya kuvutia? Makala haya ni sehemu iliyochangiwa kutoka kwa mmoja wa washirika wetu wanaothaminiwa. Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply