اطلاعیه

Collapse
No announcement yet.

نحوه حمله یک خرابکار به کامپیوتر شما

Collapse
X
Collapse
 
  • صفحه of 1
  • فیلتر
  • زمان
  • Show
Clear All
new posts
قبلی template بعدی
    #1

    نحوه حمله یک خرابکار به کامپیوتر شما

    نحوه حمله یک خرابکار به کامپیوتر شما

    1- برخلاف فیلم های ویدئویی که در آنها، یک نفوذگر در عرض چند دقیقه می تواند به یک سیستم نفوذ کند، در حقیقت نفوذ به یک سیستم کامپیوتری طوری که بتوان کنترل آن را به دست گرفت ممکن است روزها یا حتی هفتهآ‌ها، طول بکشد، نفوذگر سیستم کامپیوتری به طور معمول مجموعهآ‌ای از دستورالعملآ‌ها را به کار میآ‌گیرد تا یک نقص امنیتی را در طول چندین مرحله، شدیدتر و شدیدتر کند.


    شناسایی هدف مورد نظر

    2- نفوذگر با استفاده از اطلاعاتی که در دسترسی همگان است، فرایندی به نام تحلیل ردپا را آغاز میآ‌کند. از جمله اطلاعاتی که در دسترس همه قرار دارد و نفوذگر از آن استفاده میآ‌کند، میآ‌توان به افراد و مشتریانی که به نحوی به سیستم مورد نظر دسترسی دارند، اشاره کرد.

    3- با استفاده از نرم افزارهای مرسوم نفوذ به سیستمآ‌ها، میآ‌توان پورتآ‌های کامپیوتر مورد نظر را برای شناسایی نقطهآ‌ای برای نفوذ شناسایی کرد. پورتآ‌ها، اعدادی هستند که در کامپیوتر، برای شناسایی سرویسآ‌های مختلف نظیر ورودی و خروجی شبکه و مبادله پیامآ‌های الکترونیکی، مورد استفاده قرار میآ‌گیرند.

    شناسایی مولفه های سیستم مورد نظر

    4- براساس بررسیآ‌های انجام شده، نفوذگر نقشهآ‌ای از پورتآ‌ها و رابطه آنها با یکدیگر، تهیه میآ‌کند. نفوذگر اطلاعات تصادفی را برای پورتآ‌ها ارسال میآ‌کند تا نوع فایلآ‌ها و پیامآ‌های الکترونیکی مبادله شده را شناسایی کند. خیلی از سرویسآ‌هایی که روی پورتآ‌ها منتظر دریافت یک درخواست و پاسخآ‌دهی به آن هستند، به داده توسط banner پاسخ میآ‌دهند. این رفتار باعث شناسایی نرم افزاری میآ‌شود که از آن پورت، اطلاعات را دریافت میآ‌کند. سپس نفوذگرها در مجوعهآ‌ای از پایگاهآ‌های اطلاعاتی موجود، اطلاعات مربوط به نقاط ضعف آن نرم افزار را جست و جو میآ‌کنند. بعضی از پورتآ‌ها اطلاعات با ارزشی را تولید میآ‌کنند؛ نظیر نام کاربران و زمان تغییر دادن کلمات عبور توسط آنها.

    به دست گرفتن کنترل

    5- نفوذگرها برای به دست گرفتن کنترل سیستم مورد نظر از دو روش استفاده میآ‌کنند. روش اول که تکنیک ضعیفآ‌تری دارد، عبارت است از تماس با کارمندان و حقه زدن به آنها تا بتوان به نحوی کلمه عبور مربوط به آنها را شناسایی کرد. نفوذگر ممکن است خود را به عنوان یکی از اعضای دپارتمان IT سازمان معرفی کند که قصد کمک به کارمند را دارد و ادعا کند که سیستم امنیتی عملکرد دقیقی ندارد و لازم است تا او نام کاربدی خود راتایید کند. حتی نفوذگرها ممکن است وارد سازمان مذکور شده و به دنبال کلمات رمز مرتبط با آن نام کاربری بگردند که کاربران معمولاً به صفحه نمایش کامپیوتر خود میآ‌چسبانند.


    6- روش دوم، حمله به روش brute force (روشی است که در آن سعی میآ‌شود تا با تکیه بر توان محاسباتی کامپیوتر، یک الگوی محاسباتی را ایجاد و استفاده کرد. به عنوان مثال، استفاده از کلمات یک لغتآ‌نامه برای شناسایی رمز یک سیستم است.) نفوذگر با استفاه از یک برنامه نفوذ و استفاده از یکی از نامآ‌های کاربری سعی میآ‌کند وارد سیستم شود. زمانی که از کاربر کلمه عبور درخواست میآ‌شود، برنامه برای پاسخ گویی مجموعهآ‌ای از کلمات را به کار میآ‌برد که در یک لیست قرار دارند و این کار تا زمانی ادامه پیدا میآ‌کند که کلمه عبور شناسایی شود یا کامپیوتر میزبان، کلمه عبور مورد نظر را قفل کند.

    7- بعد از آنکه کاربر توانست با استفاده از مجوزهای سیستمی مورد نظر خود وارد سیستم شود، به دنبال کلمات عبور کاربری میآ‌گردد که سطح دسترسی بالاتری را داشته باشد و میآ‌توان توسط نام کاربری آنها دسترسی بهتری را به سیستم داشت. بهترین منابع برای دسترسی به این اطلاعات کلیدهای ذخیره شده در رجیستری و نامهآ‌های الکترونیکی است.

    8- در نهایت، با دسترسی به محرمانهآ‌ترین اطلاعات، شبکه نفوذگر یک برنامه به ظاهر بی خطر به نام Trojan را به یک یا چند کامپیوتر در سطح شبکه، ارسال میآ‌کند. این برنامهآ‌ها از نظر کاربر یا حتی ویروس یاب، برنامهآ‌های بیآ‌خطری به حساب میآ‌آیند ولی در عمل برنامهآ‌هایی هستند که با ایجاد مسیر نفوذ میآ‌توانند در هر زمان که کاربر بخواهد امکان دسترسی او را به شبکه فراهم کنند.



    (منبع: ماهنامه وب)
    برچسب ها: حمله, خرابکار, شما, کامپیوتر, نحوه, یک
    #2
    پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

    سوالی برای من مطرح است که ممنون می شوم دوستانی که در این زمینه نظری دارند، به اطلاع من برسانند.
    کامپیوتری که به مودم ADSL متصل باشد اما از اینترنت disconnect باشد، اگر مورد Network attack قرار بگیرد به چه معناست؟ آیا به این معناست که سرویس دهنده اینترنت قصد نفوذ به کامپیوتر را دارد؟
    اوژن: به معنای افکننده و شکست دهنده است
    دانایی، توانایی است-Knowledge is POWER
    برای حرفه ای شدن در الکترونیک باید با آن زندگی کرد
    وضعمان بهتر می شود، اگر همه نسبت به جامعه و اطراف خود مسوول باشیم و نگوئیم به ما چه
    قوی شدن و خوب ماندن - خوبی کردن به دیگران یک لذت ماندگار است
    اگر قرار باشد نفت و منابع خام را بدهیم و چرخ بگیریم، بهتر است چرخ را از نو اختراع کنیم
    ساعت کار بدن اکثر انسان ها کمتر از 800000 ساعت است و بعد از آن از کار می افتد

    دیدگاه

      #3
      پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

      نوشته اصلی توسط طراح
      سوالی برای من مطرح است که ممنون می شوم دوستانی که در این زمینه نظری دارند، به اطلاع من برسانند.
      کامپیوتری که به مودم ADSL متصل باشد اما از اینترنت disconnect باشد، اگر مورد Network attack قرار بگیرد به چه معناست؟ آیا به این معناست که سرویس دهنده اینترنت قصد نفوذ به کامپیوتر را دارد؟
      تا اونجایی که بنده اطلاع دارم اگه به اینترنت متصل نباشید، به ISP هم متصل نیستید.شاید حمله از طریق یک شبکه محلی صورن گرفته باشه.(اگه LAN دارید)
      اگه مطمئن نیستید که به ISP متصلید یا نه،با وارد کردن IP مودم و بررسی صفحهآ‌ی Device Info میشه اطلاع حاصل کرد.
      با توجه به این که در صورت قطع ارتباط با ISP، به شما IP (چه داخلی و چه خارجی)هم اختصاص داده نمیشه، پس به احتمال زیاد موضوع هک منتفیه.

      تنها موردی که در مورد هک در شبکه داخلی ISP بهش برخورد کردم،اسکن رنج IP داخلی ISP و Telnet کردن به مودم و سرقت یوزر و پسورد اکانتADSL بود(خودم امتحان کردم!)

      دیدگاه

        #4
        پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

        نوشته اصلی توسط حمیدرضا رضائی
        تا اونجایی که بنده اطلاع دارم اگه به اینترنت متصل نباشید، به ISP هم متصل نیستید.شاید حمله از طریق یک شبکه محلی صورن گرفته باشه.(اگه LAN دارید)
        در هنگام اتصال به ADSL و فعال بودن مودم و حتی در هنگامی که اینترنت disconnect است، در پنجره Network monitor از kaspersky، تبادل اطلاعات مشاهده می شود و این تبادل تنها در صورتی قطع می شود که ارتباط مودم با خط تلفن قطع شود. بنابراین به نظر می رسد حتی در صورت قطع بودن از اینترنت، ارتباط با سرویس دهنده آن وجود دارد. در ضمن شبکه LAN هم در سیستم وجود ندارد.
        اوژن: به معنای افکننده و شکست دهنده است
        دانایی، توانایی است-Knowledge is POWER
        برای حرفه ای شدن در الکترونیک باید با آن زندگی کرد
        وضعمان بهتر می شود، اگر همه نسبت به جامعه و اطراف خود مسوول باشیم و نگوئیم به ما چه
        قوی شدن و خوب ماندن - خوبی کردن به دیگران یک لذت ماندگار است
        اگر قرار باشد نفت و منابع خام را بدهیم و چرخ بگیریم، بهتر است چرخ را از نو اختراع کنیم
        ساعت کار بدن اکثر انسان ها کمتر از 800000 ساعت است و بعد از آن از کار می افتد

        دیدگاه

          #5
          پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

          نوشته اصلی توسط طراح
          در هنگام اتصال به ADSL و فعال بودن مودم و حتی در هنگامی که اینترنت disconnect است، در پنجره Network monitor از kaspersky، تبادل اطلاعات مشاهده می شود و این تبادل تنها در صورتی قطع می شود که ارتباط مودم با خط تلفن قطع شود. بنابراین به نظر می رسد حتی در صورت قطع بودن از اینترنت، ارتباط با سرویس دهنده آن وجود دارد. در ضمن شبکه LAN هم در سیستم وجود ندارد.
          سعی میکنم تست کنم و نتایج رو خدمتتون عرض کنم

          دیدگاه

            #6
            پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

            نوشته اصلی توسط حمیدرضا رضائی
            سعی میکنم تست کنم و نتایج رو خدمتتون عرض کنم
            جناب طراح
            بعد بررسی هایی که انجام دادم متاسفانه موردی مشابه مورد شما مشاهده نکردم
            فقط یک سری ارتباطات داخلی با IP 127.0.0.1 قابل مشاهده بود.
            به خاطر علاقه ای که این گونه مباحث دارم خوشحال میآ‌شم اگه یک اسکرین شات از پنجره Network monitor بذارید.

            دیدگاه

              #7
              پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

              نمایی از اطلاعات رد و بدل شده در Network monitor که در حالت Disconnect افزایش یافته است!



              این نمونه ای از پیغامی است که حتی در صورت Disconnect بودن از اینترنت و در حالت ارتباط مودم ADSL با سرویس دهنده، مشاهده می شود:

              اوژن: به معنای افکننده و شکست دهنده است
              دانایی، توانایی است-Knowledge is POWER
              برای حرفه ای شدن در الکترونیک باید با آن زندگی کرد
              وضعمان بهتر می شود، اگر همه نسبت به جامعه و اطراف خود مسوول باشیم و نگوئیم به ما چه
              قوی شدن و خوب ماندن - خوبی کردن به دیگران یک لذت ماندگار است
              اگر قرار باشد نفت و منابع خام را بدهیم و چرخ بگیریم، بهتر است چرخ را از نو اختراع کنیم
              ساعت کار بدن اکثر انسان ها کمتر از 800000 ساعت است و بعد از آن از کار می افتد

              دیدگاه

                #8
                پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

                با توجه به عکس ، میآ‌توان متوجه شد که حمله از 192.168.1.8 و پورت 445 انجام میآ‌شود
                که احتمالا این IP سیستم خودتونه.اگه این طور باشه معنیش اینه که سیستمتون به یک ویروس(کرم) آلوده شده.
                در صورتی که در task manager یکی از این ها رو دیدید مطمئن باشید که سیستمتون آلوده شده: ms32cfg.exe)
                sys1file32.exe وwuamgrd.exe)

                شاید اگه روی View Detailed report کلیک کنید،اطلاعات بیشتری از این کرم پیدا کنید.

                و اما راه حل:
                1- میآ‌تونید کلا پورت 445 رو ببندید و خودتون رو خلاص کنید. به این شکل(اگه از XP استفاده میآ‌کنید):
                از registry editor به مسیر زیر برید:
                HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\NetBT\Parameters
                بعد سمت راست این کلید TransportBindName را انتخاب و دوبار کلیک کنید
                مقادیر value data را پاک کنید و ok را بزنید
                سیستم را رستات کنید
                بدیهی ست که برای باز کردن این پورت ،مراحل باید به صورت معکوس تکرار بشن.
                یا

                2-
                پدیت کردن ویندوز: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
                اسکن سیستم با ابزارهایی مثل :
                http://siri.geekstogo.com/SmitfraudFix.php
                http://www.paretologic.com/products/...yse/index.aspx


                دستورالعمل های تکمیلی:

                First of all, How to know that which computer is still infected
                1. Using Netstat -an command, you will see many connection to other IP-address destination by port 445
                2. if use some network monitor program (such as a port, active port), will see many svchost.exe service is sending many packet to other IP-address by port 445
                3. May has unknown service in services.msc (may use name like ms services)


                How to protect and clean from Networm
                1. Must install latest Microsoft patch on every computers: http://www.microsoft.com/technet/security/...n/MS08-067.mspx (Must install each patch for suitable OS and restart)

                2.1 If you are using Kaspersky AV, can choose one of following ways
                -Update virus signature, Reboot in Safemode!, Scan virus in critical area or mycomputer. (.dll is locate in system32)
                -Update virus signature, Reboot and Scan by BartPE with KAV CD-Rom in PEmode.
                *** Can not detected by Kaspersky Lab in Normal mode because the virus having hook into svchost.exe. If you can not restart computer (server), you must unhook the virus out of svchost.exe by using "Unlocker" program.

                2.2 if you do not use Kaspersky, you must delete all infecting file by manual in regedit. see in detail here
                -go to HKLM>software>microsoft>winnt>currentv ersion>svchost
                -see at right panel of svchost, double-click at value name “netsvcs"
                -see at last line in new dialog, find random name of virus such as rbydwcit, ukcsbkgc in last line. Delete virus name from value data dialog
                -remember "virus name" that you found from above
                -go to HKLM>system>controlset001>services>&qu ot;virus name">parameters
                -see at right panel of parameters, find random.dll file (such as ydrarqme.dll). Delete HKLM>system>controlset001>services>&qu ot;virus name".
                -remember ".dll file" that you found from above
                -go to c:\windows\system32
                -find "random.dll". Delete .dll in Safemode. (If you can not restart computer (server), you must unhook the virus first by using "Unlocker" program)

                در صورتی که هیچ کدوم از این ها جواب نداد، فرمت درایو ویندوز و نصب مجدد میآ‌ـونه تنها راه باشه.

                دیدگاه

                  #9
                  پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

                  در وضعیت Safe mode کامپیوتر را اسکن کردم، اما هیچ مشکلی مشاهده نشد. با توجه به اینکه kaspersky روی کامپیوتر نسخه 2011 و از نوع اوریجینال و پولی است، بعید است که نتواند سیستم آلوده را شناسایی کند. در همین رابطه از بخش ساپورت آن شرکت سوال کردم و منتظر پاسخ آنها هستم که در صورت به نتیجه رسیدن در همینجا اعلام می کنم.
                  اوژن: به معنای افکننده و شکست دهنده است
                  دانایی، توانایی است-Knowledge is POWER
                  برای حرفه ای شدن در الکترونیک باید با آن زندگی کرد
                  وضعمان بهتر می شود، اگر همه نسبت به جامعه و اطراف خود مسوول باشیم و نگوئیم به ما چه
                  قوی شدن و خوب ماندن - خوبی کردن به دیگران یک لذت ماندگار است
                  اگر قرار باشد نفت و منابع خام را بدهیم و چرخ بگیریم، بهتر است چرخ را از نو اختراع کنیم
                  ساعت کار بدن اکثر انسان ها کمتر از 800000 ساعت است و بعد از آن از کار می افتد

                  دیدگاه

                    #10
                    پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

                    این مشکل در فروم های زیادی بررسی شده و چکیدهآ‌ی اون هارو خدمتتون عرض کردم
                    برای مثال:
                    http://forum.kaspersky.com/index.php?showtopic=95057

                    دیدگاه

                      #11
                      پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

                      پاسخی از بخش پشتیبانی Kaspersky ارسال شده است (خرید نرم افزار همین حسن را دارد که فروشنده آن موظف به پاسخگویی است):

                      Based on the ip of the attack, it's a local attack from a lan network, not from the internet. If kaspersky blocks it, it's fine.


                      محتوای این پاسخ تقریبا مطابق همان مواردی است که شما در پاسخ های خود ذکر کرده اید. در حال حاضر دو برداشت از وضعیت موجود دارم. یا مشکل از بحث IP address conflict است که گاهی پیغام آن در سیستم ایجاد می شود و از آنجا که آدرس IP را در وضعیت Auto قرار داده ام، شاید در تغییرات IP چنین پیغامی ایجاد می شود. مورد دیگر این است که شاید سرویس دهنده اینترنت دارای مشکلی است که منجر به پیغام حمله می شود. مسئله وجود کرم و مانند آن هم با توجه به پاسخ داده شده منتفی به نظر می رسد. اما جمله آخر پاسخ نشاندهنده این است که مشکل خاصی نیست و زیاد نباید نگران پیغام داده شده به عنوان Network attack بود.
                      اوژن: به معنای افکننده و شکست دهنده است
                      دانایی، توانایی است-Knowledge is POWER
                      برای حرفه ای شدن در الکترونیک باید با آن زندگی کرد
                      وضعمان بهتر می شود، اگر همه نسبت به جامعه و اطراف خود مسوول باشیم و نگوئیم به ما چه
                      قوی شدن و خوب ماندن - خوبی کردن به دیگران یک لذت ماندگار است
                      اگر قرار باشد نفت و منابع خام را بدهیم و چرخ بگیریم، بهتر است چرخ را از نو اختراع کنیم
                      ساعت کار بدن اکثر انسان ها کمتر از 800000 ساعت است و بعد از آن از کار می افتد

                      دیدگاه

                        #12
                        پاسخ : نحوه حمله یک خرابکار به کامپیوتر شما

                        فکر نمیآ‌کنم به خاطر تداخل IP ها باشه.چون پیغامش فرق میآ‌کنه.
                        ولی در هر صورت خود فایروال جلوی این مشکل رو میآ‌گیره و نباید نگران بود.
                        موضوع وجود کرم هم تو یکی از تاپیک های فروم سایت کاسپرسکی بیان شده بود.

                        دیدگاه

                        قبلی template بعدی
                        لطفا صبر کنید...
                        X