Dyreza که با نام Dyre نیز شناخته می شود، یک نوع بدافزار بدنام است، به ویژه یک تروجان بانکی، که تراکنش های بانکی آنلاین را برای سرقت اطلاعات مالی حساس هدف قرار می دهد. پیچیدگی Dyreza در توانایی آن برای دور زدن رمزگذاری SSL نهفته است و به آن امکان دسترسی به داده های حساس در متن ساده را می دهد.
منشأ و اولین ذکر دیرضا
تروجان بانکی Dyreza اولین بار در سال 2014 زمانی که توسط محققان در PhishMe، یک شرکت امنیت سایبری کشف شد، آشکار شد. این در یک کمپین پیچیده فیشینگ شناسایی شد که قربانیان ناآگاه را با "گزارش انتقال سیمی" هدف قرار می داد که بدافزار را در یک فایل ZIP ضمیمه کرده بود. نام «دیرضا» از رشته «دایر» که در دوتایی تروجان یافت شد، گرفته شده است و «زا» مخفف «جایگزین زئوس» است که به شباهتهای آن به تروجان بدنام زئوس اشاره میکند.
توضیح در مورد دیرضا
Dyreza برای گرفتن اعتبار و سایر اطلاعات حساس از سیستم های آلوده، به ویژه وب سایت های بانکی طراحی شده است. از تکنیکی به نام «قلاب کردن مرورگر» برای رهگیری و دستکاری ترافیک وب استفاده می کند. این تروجان به دلیل قابلیت دور زدن رمزگذاری SSL (لایه سوکت ایمن) که به آن امکان خواندن و دستکاری ترافیک وب رمزگذاری شده را می دهد، با سایر تروجان های بانکی متفاوت است.
روش توزیع اولیه برای Dyreza ایمیل های فیشینگ است که قربانیان را فریب می دهد تا تروجان را دانلود و اجرا کنند، که اغلب به عنوان یک سند یا فایل فشرده بی ضرر پنهان می شود. پس از نصب، Dyreza منتظر می ماند تا کاربر به وب سایت مورد علاقه (معمولاً یک وب سایت بانکی) هدایت شود، در این مرحله فعال می شود و شروع به گرفتن داده می کند.
ساختار داخلی و عملکرد Dyreza
پس از نصب بر روی ماشین قربانی، Dyreza از یک حمله "man-in-the-browser" برای نظارت بر ترافیک وب استفاده می کند. این به بدافزار اجازه می دهد تا فیلدهای اضافی را در فرم های وب قرار دهد و کاربران را فریب دهد تا اطلاعات اضافی مانند شماره پین و TAN ارائه دهند. Dyreza همچنین از تکنیکی به نام "webinjects" برای تغییر محتوای یک صفحه وب استفاده می کند و اغلب برای جمع آوری داده های بیشتر، فیلدهایی را به فرم ها اضافه می کند.
دور زدن SSL توسط Dyreza با اتصال به فرآیند مرورگر و رهگیری ترافیک قبل از رمزگذاری توسط SSL یا پس از رمزگشایی انجام می شود. این به Dyreza اجازه می دهد تا داده ها را به صورت متن ساده ضبط کند و کاملاً محافظت های ارائه شده توسط SSL را دور بزند.
ویژگی های کلیدی Dyreza
- دور زدن رمزگذاری SSL: Dyreza میتواند ترافیک وب را قبل از رمزگذاری یا پس از رمزگشایی رهگیری کند و دادهها را به صورت متن ساده ضبط کند.
- حمله Man-in-the-Browser: Dyreza با نظارت بر ترافیک وب، می تواند فرم های وب را دستکاری کند تا کاربران را برای ارائه اطلاعات حساس اضافی فریب دهد.
- Webinjects: این ویژگی به Dyreza اجازه می دهد تا محتوای صفحات وب را برای جمع آوری داده های بیشتر تغییر دهد.
- رویکرد چند برداری: Dyreza از روش های مختلفی از جمله ایمیل های فیشینگ و کیت های بهره برداری برای نفوذ به سیستم ها استفاده می کند.
انواع دیرضا
در حالی که انواع متمایزی از Dyreza وجود ندارد، نسخه های مختلفی در طبیعت مشاهده شده است. این نسخه ها در بردارهای حمله، اهداف و تکنیک های خاص متفاوت هستند، اما همه آنها عملکرد اصلی یکسانی دارند. این تغییرات معمولاً به عنوان کمپین های مختلف به جای انواع مختلف شناخته می شوند.
استفاده، مشکلات و راه حل های مربوط به Dyreza
Dyreza به دلیل توانایی آن در سرقت اطلاعات حساس بانکی، تهدیدات قابل توجهی هم برای کاربران و هم برای سازمان ها به همراه دارد. راه اصلی برای کاهش خطر Dyreza و تروجان های مشابه، از طریق اقدامات امنیت سایبری قوی است. اینها شامل به روز نگه داشتن نرم افزار آنتی ویروس، آموزش کاربران در مورد خطرات فیشینگ و استفاده از سیستم های تشخیص نفوذ می باشد.
در صورت مشکوک شدن به عفونت Dyreza، جدا کردن دستگاه آلوده از شبکه برای جلوگیری از از دست رفتن اطلاعات بیشتر و تمیز کردن سیستم با استفاده از یک ابزار آنتی ویروس قابل اعتماد بسیار مهم است. برای سازمان ها، ممکن است لازم باشد به مشتریان اطلاع داده شود و همه رمزهای عبور بانکی آنلاین را تغییر دهند.
مقایسه با بدافزار مشابه
Dyreza ویژگی های بسیاری را با سایر تروجان های بانکی مانند زئوس و ببلو دارد. همه آنها از حملات انسان در مرورگر استفاده می کنند، از webinjects برای تغییر محتوای وب استفاده می کنند و عمدتاً از طریق کمپین های فیشینگ توزیع می شوند. با این حال، Dyreza خود را با توانایی خود در دور زدن رمزگذاری SSL متمایز می کند، که یک ویژگی رایج در بین تروجان های بانکی نیست.
| بد افزار | Man-in-the-Browser | Webinjects | SSL Bypass |
|---|---|---|---|
| دیرضا | آره | آره | آره |
| زئوس | آره | آره | خیر |
| ببلو | آره | آره | خیر |
چشم اندازها و فناوری های آینده مرتبط با دیرضا
با پیچیده تر شدن مجرمان سایبری، تهدید تروجان های بانکی مانند Dyreza همچنان در حال تکامل است. فناوری امنیت سایبری آینده احتمالاً بر بهبود تشخیص زودهنگام این تهدیدها و اصلاح تکنیکهای شناسایی ایمیلهای فیشینگ و سایر بردارهای حمله تمرکز خواهد کرد.
یادگیری ماشین و هوش مصنوعی به طور فزاینده ای در امنیت سایبری به دلیل توانایی آنها در شناسایی الگوها و ناهنجاری هایی که ممکن است نشان دهنده یک تهدید باشد، استفاده می شود. این فناوریها ممکن است در مبارزه با تکامل آینده تهدیداتی مانند Dyreza حیاتی باشند.
ارتباط سرورهای پروکسی با Dyreza
سرورهای پروکسی اغلب توسط بدافزارهایی مانند Dyreza برای مخفی کردن ارتباط خود با سرورهای فرمان و کنترل استفاده می شوند. با هدایت ترافیک از طریق چندین پروکسی، مجرمان سایبری می توانند مکان خود را پنهان کنند و ردیابی ترافیک خود را سخت تر کنند.
از طرف دیگر، سرورهای پروکسی نیز می توانند بخشی از راه حل باشند. برای مثال، میتوان آنها را به گونهای پیکربندی کرد که آدرسهای IP مخرب شناخته شده را مسدود کند یا الگوهای ترافیکی مشکوک را شناسایی و مسدود کند، و آنها را به بخشی ارزشمند از یک استراتژی امنیت سایبری قوی تبدیل کند.
لینک های مربوطه
برای اطلاعات بیشتر در مورد Dyreza و نحوه محافظت در برابر آن می توانید به منابع زیر مراجعه کنید:
