By 
مدت زمان طولانی و طولانی از بشریت یک سال مانند این سال گذشته است. فکر نمی کنم من یک سال با چنین غلظت زیادی از قوهای سیاه از انواع و اشکال مختلف شناخته باشم. و منظورم از نوع پر نیست. من در مورد اتفاقات غیر منتظره با عواقب گسترده صحبت می کنم ، همانطور که در تئوری نسیم نیکلاس طالب ، که در سال 2007 در کتابش "قو سیاه: تأثیر بسیار غیرممکن" منتشر شد. یکی از اصول اصلی این نظریه این است که ، با نگاه گذشته ، حوادث غافلگیرکننده ای که قبلاً رخ داده اند ، واضح و قابل پیش بینی به نظر می رسند. با این حال ، قبل از وقوع ، هیچ کس آنها را پیش بینی نمی کند. به نظر می رسد که یک خانواده بزرگ از کروناویریدها وجود دارد – ده ها نفر از آنها – و خانواده های جدید به طور منظم یافت می شوند. گربه ها ، سگ ها ، پرندگان و خفاش ها همه آنها را می گیرند. انسانها آنها را می گیرند. برخی باعث سرماخوردگی می شوند. دیگران manifest متفاوت نشان می دهند. بنابراین ، مطمئناً ، ما باید واکسن هایی را برای آنها تولید کنیم همانطور که برای ویروس های کشنده دیگر مانند آبله ، فلج اطفال و دیگران نیز واکسن تولید کرده ایم. مطمئناً ، اما داشتن واکسن همیشه کمک زیادی نمی کند. به آنفولانزا نگاه کنید – هنوز هیچ واکسنی که پس از گذشت چند قرن مردم را تلقیح کند ، نیست؟ و به هر حال ، حتی برای شروع تولید واکسن باید بدانید که به دنبال چه چیزی می گردید ، و این ظاهراً بیش از علم هنر است.
خوب ، چرا من این را به شما می گویم؟ چه ارتباطی با … خوب ، به ناچار یا امنیت سایبری یا سفرهای عجیب و غریب خواهد بود ، درست است ؟! امروز ، این مورد قبلی است.
اکنون ، یکی از خطرناکترین آسیبهای سایبری موجود ، آسیب پذیریهای روز صفر – نادر ، ناشناخته (برای افراد امنیت سایبری و دیگران) در نرم افزارهایی است که می تواند باعث ایجاد افتضاح در مقیاس بزرگ شود و خسارت – اما آنها تمایل دارند تا لحظه ای که مورد سو استفاده قرار می گیرند کشف نشده باقی بمانند.
با این حال ، کارشناسان امنیت سایبری روش هایی برای مقابله با ابهام و پیش بینی قوهای سیاه دارند. در این پست می خواهم در مورد یکی از این موارد صحبت کنم: YARA.
به طور خلاصه ، YARA با شناسایی پرونده هایی که دارای شرایط خاصی هستند و ارائه یک رویکرد مبتنی بر قوانین برای ایجاد توصیف از خانواده های بدافزار بر اساس متنی یا باینری ، به تحقیق و کشف بدافزار کمک می کند. الگوها (اوه ، به نظر پیچیده می رسد. برای توضیحات بیشتر بخوانید.) بنابراین ، برای جستجوی بدافزار مشابه با شناسایی الگوها استفاده می شود. هدف این است که بتوانیم بگوییم برخی از برنامه های مخرب به نظر می رسد توسط همان افراد ساخته شده اند ، با اهداف مشابه.
خوب ، بیایید به استعاره دیگری برویم – مانند یک قو سیاه ، یکی دیگر از آب: دریا .
بگذارید بگوییم شبکه شما اقیانوس است ، که پر از هزاران نوع ماهی است ، و شما یک ماهیگیر صنعتی هستید که در کشتی خود تورهای بزرگ دریایی را برای صید ماهی بیرون می ریزید – اما فقط نژادهای خاص از ماهی (بدافزار ایجاد شده توسط گروه های خاص هکر) برای شما جالب است. اکنون ، تور دریفت خاص است. این محفظه های ویژه ای دارد و فقط ماهی های یک نژاد خاص (ویژگی های بدافزار) در هر محفظه گرفتار می شوند.
سپس ، در پایان شیفت ، آنچه شما دارید ماهی های زیادی است که همه آنها بصورت جداگانه هستند ، بعضی از آنها ماهی های نسبتاً جدیدی که قبلاً هرگز دیده نشده اند (نمونه های جدید بدافزار) که در مورد آنها عملاً چیزی نمی دانید. اما اگر آنها در یک محفظه خاص هستند – بگویید ، "به نظر می رسد نژاد [hacker group] X" یا "به نظر می رسد نژاد [hacker group] Y."
در اینجا موردی است که استعاره ماهی / ماهیگیری را نشان می دهد. در سال 2015 ، استاد راهنمای YARA و رئیس GReAT ما ، Costin Raiu ، به طور کامل در شرلوک سایبری شرکت کرد تا در نرم افزار Silverlight مایکروسافت سو explo استفاده کند. شما واقعاً باید آن مقاله را بخوانید ، اما ، به طور خلاصه ، آنچه رائو انجام داد ، بررسی دقیق مکاتبات نامه الکترونیکی هکرهای فاش شده برای جمع آوری یک قانون YARA از تقریبا هیچ چیز بود ، اما این برای کمک به یافتن بهره برداری و در نتیجه محافظت از جهان در برابر مگا -مشکل. (نامه نگاری از یک شرکت ایتالیایی به نام Hacking Team بود – هکرها هکرها را هک می کنند!)
بنابراین ، در مورد این قوانین YARA…
ما سالهاست که هنر ایجاد قوانین YARA را آموزش می دهیم. اقدامات سایبری که YARA به آنها کمک می کند تا حد زیادی پیچیده باشند ، به همین دلیل ما همیشه دوره ها را بصورت حضوری – بصورت آفلاین – و فقط برای گروه محدودی از محققان برتر امنیت سایبری برگزار می کنیم. البته ، از ماه مارس ، آموزش آفلاین به دلیل قفل کردن بسیار مشکل است. با این حال ، نیاز به آموزش به سختی از بین رفته است ، و در واقع ما هیچ علاقه ای به دوره های آموزشی خود مشاهده نکرده ایم.
این کاملا طبیعی است: افراد بد سایبری همچنان به حملات پیچیده تر فکر می کنند – حتی بیشتر در موارد زیر تعطیلی. بر این اساس ، نگه داشتن دانش ویژه ما درباره YARA در هنگام قفل کردن کاملاً اشتباه بود. بنابراین ، ما (1) قالب آموزش خود را از حالت آفلاین به آنلاین منتقل کرده ایم و (2) آن را برای همه قابل دسترسی کرده ایم. این برنامه رایگان نیست ، اما برای چنین دوره ای در چنین سطحی (بالاترین) ، قیمت بسیار رقابتی و در سطح بازار است.
معرفی:
چه چیز دیگری؟
آه ، بله.
اکنون ، با توجه به مشکلات مداوم مرتبط با ویروس در سراسر جهان ، ما به کمک خود در خط مقدم ادامه می دهیم. ما با اعطای مجوزهای رایگان به سازمانهای بهداشتی درمانی در شروع كلی تاج كلاس شروع به كمك كردیم. اکنون ما به آن کمک می کنیم تا به انواع سازمان های غیرانتفاعی و غیر دولتی کمک کنیم که برای اهداف مختلف درگیر حقوق می شوند و یا تمرکز خود را در ایجاد فضای مجازی برای مکان بهتر (لیست کامل اینجا است) ارائه می دهیم. برای آنها ، آموزش YARA ما رایگان خواهد بود.
چرا؟ از آنجا که سازمان های غیردولتی با اطلاعات بسیار حساسی کار می کنند که می تواند در حملات هدفمند هک شود ، و همه سازمان های غیردولتی توانایی پرداخت هزینه مجلل گروه متخصصان فناوری اطلاعات را ندارند.
اجرای سریع آنچه در این دوره گنجانده شده است:
100٪ آموزش خودآزاد بصورت آنلاین. شما می توانید دوره را به شدت در چند شب انجام دهید یا آن را در یک ماه گسترش دهید.
ترکیبی از کارهای تئوری و عملی. یک آزمایشگاه مجازی برای آموزش قوانین نوشتن و جستجوی نمونه های بدافزار در مجموعه ما وجود دارد.
تمرینات عملی مبتنی بر نمونه هایی از حملات واقعی جاسوسی در فضای مجازی.
ماژولی در مورد هنر جستجوی چیزی که در مورد آن دقیق نیستید دانش ، وقتی شهود به شما می گوید cyberevil در جایی کمین کرده است اما شما نمی دانید به طور خاص کجا یا کدام cyberevil است.
یک گواهی پایان کار که وضعیت جدید شما را به عنوان یک نینجا YARA تأیید می کند. همانطور که فارغ التحصیلان قبلی به ما گفته اند ، این واقعا به کار آنها کمک می کند. برای مبارزه با تهدیدهای اینترنتی بسیار پیچیده در همین حال ، این کار معمولاً در اینجا در K است ، جایی که ما کار کارآیی اینترنتی خود را ادامه می دهیم تا بتوانیم از آخرین دانش و تجربه عملی ما در زمینه مبارزه خوب به اشتراک بگذاریم.
! تابع (f ، b ، e ، v ، n ، t ، s) {if (f.fbq) بازگشت ؛ n = f.fbq = تابع () {n.callMethod؟
n.callMethod.apply (n ، استدلال ها): n.queue.push (آرگومان ها)} ؛ اگر (! f._fbq) f._fbq = n ؛
n.push = n؛ n.loaded =! 0؛ n.version = '2.0'؛ n.queue = []؛ t = b.createElement (e)؛ t.async =! 0؛
t.src = v؛ s = b.getElementByTagName (e) [0]؛ s.parentNode.insertBefore (t، s)} (پنجره ،
سند ، 'اسکریپت' ، '// connect.facebook.net/en_US/fbevents.js')؛
fbq ('init'، '839281392784015')؛
fbq ('آهنگ' ، 'PageView') ؛
(تابع (d، s، id) {var js، fjs = d.getElementByTagName (s) [0]؛ if (d.getElementById (id)) {return} js = d.createElement (s)؛ js.id = id؛ js.src = "https: / / connect.facebook.net / en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛ .
