من المعروف أن وينرار WinRAR هي أداة أرشفة ملفات تجريبية لنظام ويندوز ، تقوم بضغط أو فك ضغط أي ملف بطريقة سهلة جدا ، ولا يخلو أي حاسوب يعمل بنظام ويندوز منه.
قد يفيدك:
قد يفيدك:
كيفية ضغط الملفات ببرنامج الوينرار وطريقة استخراج الملفات منها
ماهى افضل صيغة لضغط الملفات zip ام rar ام 7z؟ الاجابة هنا
ضغط الملفات لأقصى درجة ممكنة
المصدر: مدونة هكر نيوز بالعربية
ماهى افضل صيغة لضغط الملفات zip ام rar ام 7z؟ الاجابة هنا
ضغط الملفات لأقصى درجة ممكنة
لكنه الأن لم يعد برنامج عادي ، فقد وجد الهاكرز طريقة لاستخدامه للقيام بهجمات إلكترونية مدمرة ، حيث قام هاكرز روس بضرب شبكات المؤسسات الأوكرانية ، باستخدام برنامج الأرشفة الشهير WinRAR تمكنوا من مسح البيانات من الأجهزة التي تنتمي إلى هذه الشبكات.
وفقًا لفريق الاستجابة للطوارئ الحاسوبية التابع للحكومة الأوكرانية CERT-UA ، فإن جهة تهديد روسية ، يُعتقد أنها مجموعة Sandworm ، تمكنت من اختراق شبكات الحكومة الأوكرانية باستخدام حسابات شبكات افتراضية VPN مخترقة لم تكن محمية بمجموعة مصادقة متعددة العوامل (MFA).
بعد الوصول باستخدام هذه الحسابات ، استخدمت مجموعة القرصنة Sandworm برنامج نصي "سكريبت" BAT يسمى "RoarBat" ، لإجراء عمليات ضارة على أجهزة ويندوز.
تم تصميم هذا البرنامج النصي لفحص الأقراص المختلفة والأدلة المستهدفة ، والبحث عن أنواع من الملفات المحددة مثل:
doc، docx، rtf، txt، xls، xlsx، ppt، pptx، vsd، vsdx، pdf، png، jpeg، jpg، zip، rar، 7z، mp4، SQL، PHP، vbk، vib، vrb، p7s، sys، DLL ، exe ، bin ، dat
استخدم المهاجمون تكتيكًا محددًا عند استخدام WinRar ، باستخدام خيار سطر الأوامر "-df".
تقوم هذه الميزة تلقائيًا بحذف الملفات أثناء أرشفتها ، مما سمح للهاكرز بتدمير البيانات المهمة بسهولة وبشكل منهجي.
بعد عملية الأرشفة ، ذهب الجناة إلى أبعد من ذلك وقاموا بحذف الأرشيف بأنفسهم.
وفقًا لفريق الاستجابة للطوارئ الحاسوبية الأوكراني ، تم تنفيذ السكريبت RoarBAT من خلال مهمة مجدولة تم إنشاؤها مركزيًا وتوزيعها عبر جميع الأجهزة على مجال شبكة أجهزة ويندوز.
تم تسهيل هذا التوزيع باستخدام سياسات المجموعة ، مما سمح بتنفيذ سلس للمهام عبر الشبكة بأكملها.
اختار المهاجمون أسلوبًا مختلفًا عند استهداف أجهزة Linux ، باستخدام سكريبت Bash بدلاً من سكريبت BAT المستخدم في أنظمة ويندوز.
استخدم هذا البرنامج النصي الأداة المساعدة “dd” للكتابة فوق أنواع ملفات معينة بصفر بايت ، مما يجعل البيانات غير قابلة للاسترداد تمامًا.
نظرًا لطبيعة استبدال البيانات التي تقوم بها أداة dd ، فإن احتمالية استرداد الملفات التي تم "إفراغها" باستخدام هذه الطريقة منخفضة للغاية.
قد يكون من المستحيل استعادة محتويات الملفات المتأثرة ، من المحتمل أن يكون استخدام برامج شرعية مثل WinRar والأمر 'dd' بمثابة خطوة إستراتيجية من قبل جهات التهديد الفاعلة لتجنب الاكتشاف بواسطة برامج الحماية.
وفقًا لفريق الاستجابة للطوارئ الأوكراني ، يشبه الهجوم الإلكتروني الأخير على الشبكات الأوكرانية حادثة مماثلة وقعت في يناير 2023.
قد يهمك:
وفقًا لفريق الاستجابة للطوارئ الحاسوبية التابع للحكومة الأوكرانية CERT-UA ، فإن جهة تهديد روسية ، يُعتقد أنها مجموعة Sandworm ، تمكنت من اختراق شبكات الحكومة الأوكرانية باستخدام حسابات شبكات افتراضية VPN مخترقة لم تكن محمية بمجموعة مصادقة متعددة العوامل (MFA).
بعد الوصول باستخدام هذه الحسابات ، استخدمت مجموعة القرصنة Sandworm برنامج نصي "سكريبت" BAT يسمى "RoarBat" ، لإجراء عمليات ضارة على أجهزة ويندوز.
تم تصميم هذا البرنامج النصي لفحص الأقراص المختلفة والأدلة المستهدفة ، والبحث عن أنواع من الملفات المحددة مثل:
doc، docx، rtf، txt، xls، xlsx، ppt، pptx، vsd، vsdx، pdf، png، jpeg، jpg، zip، rar، 7z، mp4، SQL، PHP، vbk، vib، vrb، p7s، sys، DLL ، exe ، bin ، dat
استخدم المهاجمون تكتيكًا محددًا عند استخدام WinRar ، باستخدام خيار سطر الأوامر "-df".
تقوم هذه الميزة تلقائيًا بحذف الملفات أثناء أرشفتها ، مما سمح للهاكرز بتدمير البيانات المهمة بسهولة وبشكل منهجي.
بعد عملية الأرشفة ، ذهب الجناة إلى أبعد من ذلك وقاموا بحذف الأرشيف بأنفسهم.
وفقًا لفريق الاستجابة للطوارئ الحاسوبية الأوكراني ، تم تنفيذ السكريبت RoarBAT من خلال مهمة مجدولة تم إنشاؤها مركزيًا وتوزيعها عبر جميع الأجهزة على مجال شبكة أجهزة ويندوز.
تم تسهيل هذا التوزيع باستخدام سياسات المجموعة ، مما سمح بتنفيذ سلس للمهام عبر الشبكة بأكملها.
اختار المهاجمون أسلوبًا مختلفًا عند استهداف أجهزة Linux ، باستخدام سكريبت Bash بدلاً من سكريبت BAT المستخدم في أنظمة ويندوز.
استخدم هذا البرنامج النصي الأداة المساعدة “dd” للكتابة فوق أنواع ملفات معينة بصفر بايت ، مما يجعل البيانات غير قابلة للاسترداد تمامًا.
نظرًا لطبيعة استبدال البيانات التي تقوم بها أداة dd ، فإن احتمالية استرداد الملفات التي تم "إفراغها" باستخدام هذه الطريقة منخفضة للغاية.
قد يكون من المستحيل استعادة محتويات الملفات المتأثرة ، من المحتمل أن يكون استخدام برامج شرعية مثل WinRar والأمر 'dd' بمثابة خطوة إستراتيجية من قبل جهات التهديد الفاعلة لتجنب الاكتشاف بواسطة برامج الحماية.
وفقًا لفريق الاستجابة للطوارئ الأوكراني ، يشبه الهجوم الإلكتروني الأخير على الشبكات الأوكرانية حادثة مماثلة وقعت في يناير 2023.
قد يهمك:
المصدر: مدونة هكر نيوز بالعربية