«ليوان» تطرح مفهوما جديداً في التطوير العقاري مواكباً مع نظام وافي المعزز لنشاط البيع على الخارطة    وصول الفوج الأول من حجاج دولة الهند إلى مكة المكرمة    اختتام النسخة السادسة من منتدى المشاريع المستقبلية 2024    بطاقة معان لخدمة كبار السن والأشخاص ذوي الاعاقة والجنود المرابطين    المديرية العامة للسجون تحتفي بتخريج (700) مجند من دورة الفرد الأساسي ال (44)    الصندوق الثقافي يٌشارك في مهرجان كان السينمائي الدولي    تخريج الدورة التأهيلية للفرد الأساسي لمجندات الدفعة السادسة في معهد التدريب النسوي    أدوات جديدة لتطوير برمجيات الذكاء الاصطناعي    "إكس" تُطوِّر زرًا للتحقق من الذكاء الاصطناعي    مناطيد العُلا تتزين ب"النمر العربي والحِجر وخيبر"    75 ملياراً حصاد اليوم الثاني ل"مستقبل الطيران"    وصول البعثة الاولى الى المدينة المنورة لأداء فريضة الحج    «السعودية للطاقة» الأقل تكلفة لإنتاج الكهرباء من «المتجددة»    700 ألف صك صدرت عبر البورصة العقارية    القتل للإرهابي «آل جوهر».. هدد الأمن الوطني    تعديل في تنظيم هيئة تنفيذ اتفاقيات حظر الأسلحة الكيميائية    مجلس الطيران العالمي    تسعيني ينال الثانوية قبل وفاته بأيام    منى زكي تجسّد دور «أم كلثوم».. وحفيدها يعترض !    600 متخصص و160 ورقة علمية في مؤتمر الطب المخبري    السعودية تستثمر في «إنتاج أبطال» سعوديين بدل «التجنيس»    أمراء المناطق يناقشون توفير أفضل البرامج والخدمات للمواطنين    بتوجيه خالد الفيصل.. نائب أمير مكة يرأس اجتماع لجنة الحج المركزية    أنواع من الشاي الأشهر حول العالم    احذر.. قد يأتيك السرطان من داخل سيارتك !    تلوث الهواء يزيد خطر الإصابة بالخرف !    الأخضر تحت 17 لرفع الأثقال يشارك في بطولة العالم بالبيرو    مجلس تراحم الباحة يعقد اجتماعه الأول لعام 2024 .    دبابات الاحتلال تحاصر مستشفيات شمال غزة    السعودية.. إنجازات وطموحات رائدة نحو الفضاء    تويتر ينتقل نهائياً إلى«إكس دوت كوم»    فرضية في طريق الهجرة استعداداً لموسم الحج    لدى ترؤسه جلسة مجلس الوزراء.. ولي العهد يطمئن الجميع على صحة خادم الحرمين    تطوير مناطق صناعية ولوجستية    أمير المدينة يستقبل المشايخ ومديري الإدارات الحكومية المدنية والعسكرية    سيدات الشباب يتوجن بلقب بطولة الصالات في نسختها الثانية    نقل مباراة الهلال والطائي من ملعب المملكة أرينا إلى ملعب نادي الشباب    ترجمة الهوية    أنيس منصور الذي عاش في حياتنا 2-2    اطلاق برامج دعوية لخدمة ضيوف الرحمن    الرائد .. تذاكر مباراتنا أمام الأهلي متاحة الآن    عقد ضخم ينتظر حارس ليفربول والثقافة السعودية تحفز نجم ال" ميلان" للانتقال إلى روشن    الهلال يستعيد سالم قبل النهائي المرتقب    الدولة واهتمامها بخدمة ضيوف الرحمن    مذكرة تفاهم لتوفير مياه زمزم لحجاج الداخل    نائب أمير الرياض يرعى حفل التخرج بمدارس الملك فيصل    اطلع على برامج التدريب التقني.. أمير القصيم ينوه بدور«الشورى»    الرؤية والتحول التاريخي ( 3 – 4)    هديتي تفاحة    لمرضى الروماتيزم في الحج .. مختص: تناولوا الأدوية في مواعيدها    غرور الهلاليين وتواضع الأهلاويين    أشيعوا بهجة الأمكنة    ماذا بعد وفاة الرئيس الإيراني ؟    أمير الرياض يستقبل ابن عياف وسفير كازاخستان    «تلبيس الطواقي»..!    نائب أمير المنطقة الشرقية يشهد حفل تخريج طلاب كليات الأصالة    نائب وزير الخارجية يقدم واجب العزاء والمواساة في وفاة رئيس إيران    نائب أمير مكة يستقبل مدير عام الجوازات والوفد المرافق له    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



رصد هجوم إلكتروني يستهدف السعودية.. تعرّف على طريقة كشفه والتوصيات
المدينة نشر في المدينة يوم 20 - 11 - 2017

أعلن مركز الأمن الإلكتروني، رصده هجوماً إلكترونياً جديداً متقدماً (APT) يستهدف المملكة العربية السعودية. وتعتمد أنشطة الهجوم التي تم ملاحظتها على استخدام برمجية التحكم "PowerShell"، والتي تقوم بالتواصل مع خادم التحكم والسيطرة (C2) باستخدام بروتوكول HTTP .
وأشار المركز إلى قيامه بمشاركة الجهات الحيوية مؤشرات الاختراق والتوصيات اللازمة لاتخاذ الإجراءات الاستباقية المناسبة لمنع الهجوم.
تفاصيل الهجوم
كشف المركز عن تهديد إلكتروني متقدم (APT) يستهدف المملكة العربية السعودية. حيث لوحظ أن الأنشطة الضارة تستخدم برنامج تحكم "PowerShell" من خلال برتوكول (HTTP) للتواصل مع خادم التحكم و السيطرة (C2)، حيث يقوم المهاجمين بسرقة البيانات بتلك الطريقة او ارسال أوامر لجهاز الضحية. وقد لوحظت الطرق التالية في مرحلة الارسال والثبيت:
حقن مستندات Microsoft Office
كانت معظم العينات التي تمت ملاحظتها ملفات Microsoft Office و التي تحتوي على ماكرو أو رابط تم إرساله من خلال الرسائل التصيدية. بالإضافة إلى ذلك، يتم ضغط المستندات الخبيثة في بعض الأحيان في ملف RAR المحمي بكلمة مرور لتجنب آليات حماية البريد. يتم تضمين كلمة المرور عادة في البريد الإلكتروني.
الوصول إلى المواقع خبيثة
تم زرع بعض البرامج الخبيثة باستخدام تقنية (watering-hole) أو تقنيات مماثلة مثل cross-site) (scripting. وقد لوحظ الإختراق من خلال موقع ضار على شبكة الانترنت حيث يتم إعادة توجيه المستخدم إلى موقع ويب اخر ويطلب تحميل الملف الخبيث. حيث ان هذا الملف يصيب الجهاز عن طريق البرامج VBS and PowerShell scripts.
طرق الإكتشاف
يوصي مركز الأمن الإلكتروني بإتباع الطرق التالية للكشف عن التحركات المشبوهة داخل الشبكة والتي قد يكون لها صلة بالهجوم
1. مراجعه السجلات للبرامج التالية Proxy, SIEM and Firewall والبحث عن أي اتصال بمعرفات تنتهي ب
*.php?c=(Base64 data)
*.aspx?c=(Base64 data)
2. إتصال عبر بروتوكول ال HTTP إلى عناوين معرفات صحيحة تكون بدون أسماء نطاقات
3. عدد كبير من الاتصال عبر تروتوكول HTTP إلى معرف أو إسم نطاق وحيد.
4. أي إتصال عبر بروتوكول HTTP إلى المعرفات التالية 148.251.204.131 & 144.76.109.88
5. البحث في بوابة البريد الإلكتروني لرسائل إلكترونية مرفق بها ملف محمي بكلمة مرور أو مرفق Office بداخله وحدات الماكرو التي تم حظرها أو تنبيهها.
6. زيادة استخدام "PowerShell" على نقاط الأجهزه والخوادم
توصيات:
• تحديث PowerShell للنسخة الخامسة وحذف النسخة القدية
• تمكين تسجيل الوحدة النمطية، تسجيل البرنامج النصي وكتاب تسجيل الدخول في PowerShell الإصدار 5
• التأكد من تطبيق القائمة البيضاء في الجهة، وهذا أيضاً يحتاج إلى تنفيذها على PowerShell. والتاكد من السماح فقط للبرامج التي تحتاج لها الجهة.
• منع تشغيل الملفات القابلة للتنفيذ والنصوص البرمجية من المجلدات التي يتم التحكم فيها بواسطة المستخدم، مثل C:Users • استخدام (Email Filtering) لمسح ومنع أي بريد إلكتروني بداخله مستند ماكرو وغيرها من الملفات الخبيثة مثل Windows Host Scripting and HTA files
• تنفيذ حل مراقبة سلامة الملفات (FIM) على www root في جميع تطبيقات الإنترنت، مثل تطبيقات الويب والبريد الإلكتروني و VPN portals. ومن المهم التنبيه عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم.

انقر هنا لقراءة الخبر من مصدره.