S3 Ep125: جب سیکیورٹی ہارڈویئر میں حفاظتی سوراخ ہوتے ہیں [آڈیو + ٹیکسٹ]

نیچے کوئی آڈیو پلیئر نہیں ہے؟ سنو براہ راست ساؤنڈ کلاؤڈ پر۔

ڈوگ   Ransomware، مزید ransomware، اور TPM کے خطرات۔

وہ سب کچھ، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں؛ وہ پال ڈکلن ہے۔

پال، آج آپ کیسے کر رہے ہیں؟

---

بطخ.   برف اور sleet، ڈوگ.

تو یہ سٹوڈیو میں ایک ٹھنڈی سواری تھی۔

میں ایئر کوٹس استعمال کر رہا ہوں… "سوار" کے لیے نہیں، "سٹوڈیو" کے لیے۔

یہ واقعی ایک اسٹوڈیو نہیں ہے، لیکن یہ *میرا* اسٹوڈیو ہے!

پوڈ کاسٹ کی ریکارڈنگ کے لیے سوفوس ہیڈکوارٹر میں تھوڑی سی خفیہ جگہ۔

اور یہ یہاں خوبصورت اور گرم ہے، ڈوگ!

---

ڈوگ   ٹھیک ہے، اگر کوئی سن رہا ہے… ٹور کے لیے رک جائے؛ پال آپ کو اس جگہ کے آس پاس دکھا کر خوش ہو گا۔

اور میں بہت پرجوش ہوں۔ ٹیک ہسٹری میں یہ ہفتہ، پال۔

اس ہفتے 06 مارچ 1992 کو، غیر فعال مائیکل اینجیلو بوٹ سیکٹر وائرس نے زندگی کو جنم دیا، اس نے متاثرین کی ہارڈ ڈسکوں کے سیکٹر کو اوور رائٹ کیا۔

یقیناً اس کا مطلب ہر جگہ کمپیوٹرز کے لیے دنیا کا خاتمہ تھا، جیسا کہ میڈیا نے لوگوں کو آنے والے عذاب سے خبردار کرنے کے لیے خود کو گھیر لیا؟

تاہم، 1994 کے وائرس بلیٹن کانفرنس کی رپورٹ کے مطابق، اور میں حوالہ دیتا ہوں:

پاؤل ڈکلن، ایک پرجوش اور دل لگی اسپیکر، پختہ یقین رکھتے ہیں کہ، بہت سے طریقوں سے، کارپوریٹس اور میڈیا دونوں کی طرف سے تعلیم دینے کی کوشش اپنا ہدف کھو چکی ہے۔.

پال، تم وہاں تھے، آدمی!

---

بطخ.   میں تھا، ڈوگ۔

ستم ظریفی یہ ہے کہ 6 مارچ وہ دن تھا جب مائیکل اینجلو وائرس نہیں تھا۔

باقی تمام دنوں میں یہ جنگل کی آگ کی طرح پھیلتا رہا۔

لیکن 06 مارچ کو، یہ چلا گیا، "آہ! یہ پے لوڈ کا دن ہے!

اور ایک ہارڈ ڈسک پر، یہ پہلے 256 ٹریکس، پہلے 4 ہیڈز، فی ٹریک 17 سیکٹرز سے گزرے گی… جو کہ اگر آپ چاہیں تو استعمال میں سب سے زیادہ ہارڈ ڈسک کے ہر صفحے کے "نیچے بائیں کونے" میں سے تھے۔ اس وقت.

لہذا، یہ آپ کی ہارڈ ڈسک سے تقریباً 8.5MByte کا حصہ لے گا۔

اس نے نہ صرف بہت سارے ڈیٹا کو زپ کیا بلکہ اس نے فائل ایلوکیشن ٹیبلز جیسی چیزوں کو بھی برباد کردیا۔

لہذا آپ کچھ ڈیٹا بازیافت کرسکتے ہیں ، لیکن یہ ہر ایک ڈیوائس کے لئے ایک بہت بڑی اور غیر یقینی کوشش تھی جسے آپ آزمانا اور بازیافت کرنا چاہتے تھے۔

دوسرے کمپیوٹر کے لیے اتنا ہی کام ہے جتنا یہ پہلے کے لیے تھا، تیسرے کمپیوٹر کے لیے جتنا کام دوسرے کے لیے تھا… بہت، خودکار کرنا بہت مشکل۔

خوش قسمتی سے، جیسا کہ آپ کہتے ہیں، میڈیا میں اس کی بہت زیادہ اہمیت تھی۔

درحقیقت، میری سمجھ یہ ہے کہ اس وائرس کا تجزیہ سب سے پہلے آنجہانی راجر ریورڈن نے کیا تھا، جو 1990 کی دہائی میں آسٹریلیا کے ایک مشہور اینٹی وائرس محقق تھے، اور انہیں حقیقت میں فروری 1991 میں اس کا سامنا ہوا۔

اور وہ اپنے ایک دوست سے بات کر رہا تھا، مجھے یقین ہے، اس کے بارے میں، اور اس کے چم نے کہا، "اوہ، 6 مارچ، یہ میری سالگرہ ہے۔ کیا آپ جانتے ہیں کہ یہ مائیکل اینجلو کی سالگرہ بھی ہے؟

کیونکہ میرا اندازہ ہے کہ جو لوگ 6 مارچ کو پیدا ہوئے ہیں وہ شاید یہ جانتے ہوں گے کہ…

بلاشبہ، یہ ایک ایسا جدید اور ٹھنڈا نام تھا… اور ایک سال بعد، جب اسے پھیلنے کا موقع ملا اور، جیسا کہ آپ کہتے ہیں، اکثر غیر فعال رہتا ہے، تب ہی یہ واپس آیا۔

اس نے لاکھوں کمپیوٹرز کو متاثر نہیں کیا، جیسا کہ میڈیا کو خوف محسوس ہوتا تھا، اور جیسا کہ آنجہانی جان مکافی نے کہنا پسند کیا، لیکن یہ ہر اس شخص کے لیے ٹھنڈا سکون ہے جو مارا گیا، کیونکہ آپ نے بہت زیادہ سب کچھ کھو دیا۔

بالکل سب کچھ نہیں، لیکن اس میں سے کچھ واپس حاصل کرنے کے لیے آپ کو ایک چھوٹی سی خوش قسمتی خرچ کرنی پڑ رہی تھی… شاید نامکمل، شاید ناقابل اعتبار۔

اور اس کے بارے میں بری بات یہ تھی کہ یہ فلاپی ڈسک پر پھیل گئی تھی۔ اور کیونکہ یہ بوٹ سیکٹر میں پھیل گیا ہے۔ اور کیونکہ ان دنوں میں تقریباً ہر کمپیوٹر فلاپی ڈرائیو سے بوٹ ہو جاتا تھا اگر اس میں صرف ایک ڈسک ہوتی۔ اور اس لیے کہ بصورت دیگر خالی ڈسکیٹ میں بوٹ سیکٹر ہوتا تھا اور اس میں موجود کوئی بھی کوڈ چلتا تھا، چاہے اس کی وجہ "نان سسٹم ڈسک یا ڈسک کی خرابی ہی کیوں نہ ہو، تبدیل کریں اور دوبارہ کوشش کریں" قسم کا پیغام…

… تب تک بہت دیر ہو چکی تھی۔

لہذا، اگر آپ نے ڈرائیو میں غلطی سے ڈسک چھوڑ دی ہے، تو اگلی صبح جب آپ نے پاور آن کیا، تب تک آپ نے وہ پیغام دیکھا "نان سسٹم ڈسک یا ڈسک کی خرابی" اور سوچا، "اوہ، میں فلاپی کو پاپ کر دوں گا۔ آؤٹ اور ہارڈ ڈرائیو سے بوٹ کو ریبوٹ کریں"…

… تب تک، وائرس آپ کی ہارڈ ڈسک پر پہلے سے موجود تھا، اور یہ آپ کے پاس موجود ہر ایک فلاپی میں پھیل جائے گا۔

لہذا، یہاں تک کہ اگر آپ کو وائرس تھا اور پھر آپ نے اسے ہٹا دیا، اگر آپ فلاپی ڈسکیٹ کے اپنے پورے کارپوریٹ اسٹیش سے نہیں گزرتے ہیں، تو وہاں ایک ٹائیفائیڈ میری ہو گی جو اسے کسی بھی وقت دوبارہ متعارف کروا سکتی ہے۔

---

ڈوگ   ایک دلچسپ کہانی ہے۔

مجھے خوشی ہے کہ آپ اسے تھوڑا سا صاف کرنے میں مدد کرنے کے لیے موجود تھے!

اور چلو کچھ اور صاف کرتے ہیں.

یہ ٹرسٹڈ پلیٹ فارم ماڈیول… بعض اوقات متنازعہ ہوتا ہے۔

جب آپ کی مشین کی حفاظت کے لیے مطلوبہ کوڈ خود ہوتا ہے تو کیا ہوتا ہے۔ خطرے سے دوچار، پال؟

سنگین سیکیورٹی: TPM 2.0 vulns - کیا آپ کا انتہائی محفوظ ڈیٹا خطرے میں ہے؟

---

بطخ.   اگر آپ اس پوری TPM چیز کو سمجھنا چاہتے ہیں، جو ایک بہت اچھا آئیڈیا لگتا ہے، ٹھیک ہے… یہ ایک چھوٹی سی بیٹی بورڈ چیز ہے جسے آپ اپنے مدر بورڈ پر ایک چھوٹے سے سلاٹ میں لگاتے ہیں (یا شاید یہ پہلے سے بنایا ہوا ہے)، اور اسے ایک مل گیا چھوٹی چھوٹی خصوصی کاپروسیسر چپ جو صرف یہ بنیادی کرپٹوگرافک چیزیں کرتی ہے۔

محفوظ بوٹ؛ ڈیجیٹل دستخط؛ کرپٹوگرافک کیز کے لیے مضبوط اسٹوریج… لہذا یہ فطری طور پر کوئی برا خیال نہیں ہے۔

مسئلہ یہ ہے کہ آپ اس کا تصور کریں گے، کیونکہ یہ ایک چھوٹا سا آلہ ہے اور اس میں یہ بنیادی کوڈ ہے، یقیناً اسے اتار کر اسے آسان بنانا بہت آسان ہے؟

ٹھیک ہے، ٹرسٹڈ پلیٹ فارم ماڈیول، یا TPM کے لیے صرف وضاحتیں… ان کے پاس اجتماعی طور پر: 306 صفحات، 177 صفحات، 432 صفحات، 498 صفحات، 146 صفحات، اور آخر میں بڑا برا لڑکا، “حصہ چار: معاون معمولات – کوڈ"، جہاں کیڑے ہیں، 1009 پی ڈی ایف صفحات، ڈوگ۔

---

ڈوگ   کچھ ہلکا پھلکا پڑھنا!

---

بطخ.   کچھ ہلکا سا پڑھنا۔

تو، بہت کام ہے۔ اور کیڑے کے لیے کافی جگہ۔

اور تازہ ترین… ٹھیک ہے، بہت سے ایسے ہیں جو تازہ ترین خطا میں نوٹ کیے گئے ہیں، لیکن ان میں سے دو کو دراصل CVE نمبر ملے ہیں۔

CVE-2023-1017، اور CVE-2023-1018 ہے۔

اور بدقسمتی سے، وہ کیڑے، کمزوریاں ہیں، جن کو کمانڈز کے ذریعے گدگدی (یا ان تک پہنچا) جا سکتا ہے جو کہ ایک عام یوزر اسپیس پروگرام استعمال کر سکتا ہے، جیسے کہ کوئی سیسڈمین یا آپ خود چلا سکتے ہیں، صرف TPM سے پوچھنے کے لیے۔ آپ کے لیے کچھ محفوظ ہے۔

لہذا آپ ایسی چیزیں کر سکتے ہیں جیسے کہ، "ارے، جاؤ اور مجھے کچھ بے ترتیب نمبر لاؤ۔ جاؤ اور مجھے ایک خفیہ کلید بنائیں۔ جائیں اور اس ڈیجیٹل دستخط کی تصدیق کریں۔

اور یہ اچھا ہے اگر یہ ایک الگ چھوٹے پروسیسر میں کیا جائے جس کے ساتھ CPU یا آپریٹنگ سسٹم گڑبڑ نہیں کر سکتا ہے - یہ ایک بہت اچھا خیال ہے۔

لیکن مسئلہ یہ ہے کہ یوزر موڈ کوڈ میں جو کہتا ہے، "یہ وہ کمانڈ ہے جو میں آپ کو پیش کر رہا ہوں"…

…بدقسمتی سے، آپ کے مطلوبہ فنکشن کو انجام دینے کے لیے پاس کیے گئے پیرامیٹرز کو کھولنا – اگر آپ ان پیرامیٹرز کو TPM تک پہنچانے کے طریقے کو بوبی ٹریپ کرتے ہیں، تو آپ اسے یا تو پڑھنے کی اضافی میموری (ایک بفر ریڈ اوور فلو) میں پھنس سکتے ہیں، یا بدتر، اوور رائٹنگ چیزیں جو اگلے آدمی سے تعلق رکھتی ہیں، جیسا کہ یہ تھیں۔

یہ دیکھنا مشکل ہے کہ TPM پر کوڈ پر عمل درآمد جیسی چیزوں کے لیے ان کیڑوں کا کیسے فائدہ اٹھایا جا سکتا ہے (لیکن جیسا کہ ہم نے کئی بار کہا ہے، "کبھی نہ کہیں")۔

لیکن یہ یقینی طور پر واضح ہے کہ جب آپ کسی ایسی چیز سے نمٹ رہے ہوں جو، جیسا کہ آپ نے شروع میں کہا تھا، "آپ کو اپنے کمپیوٹر کو مزید محفوظ بنانے کے لیے اس کی ضرورت ہے۔ یہ سب کچھ کرپٹوگرافک درستگی کے بارے میں ہے"…

… کسی چیز کے لیک ہونے کا خیال کسی اور کے قیمتی خفیہ ڈیٹا کے دو بائٹس بھی لے جا رہا ہے جس کے بارے میں دنیا میں کسی کو معلوم نہیں ہے؟

ڈیٹا لیک ہونے کا خیال، اس طرح کے ماڈیول میں بفر رائٹ اوور فلو کو چھوڑ دو، واقعی کافی پریشان کن ہے۔

لہذا آپ کو پیچ کرنے کی ضرورت ہے۔

اور بدقسمتی سے، errata دستاویز یہ نہیں کہتی، "یہاں کیڑے ہیں؛ یہاں ہے کہ آپ انہیں کس طرح پیچ کرتے ہیں۔"

یہاں صرف کیڑے کی تفصیل ہے اور اس کی تفصیل ہے کہ آپ کو اپنے کوڈ میں کیسے ترمیم کرنی چاہیے۔

تو غالباً ہر کوئی اسے اپنے طریقے سے کرے گا، اور پھر وہ تبدیلیاں مرکزی حوالہ کے نفاذ میں واپس آ جائیں گی۔

اچھی خبر یہ ہے کہ ایک سافٹ ویئر پر مبنی TPM عمل درآمد ہے [libtpms] ان لوگوں کے لیے جو ورچوئل مشینیں چلاتے ہیں... وہ پہلے ہی دیکھ چکے ہیں، اور وہ کچھ اصلاحات لے کر آئے ہیں، لہذا یہ ایک شروع کرنے کے لئے اچھی جگہ.

---

ڈوگ   پیارا، دلکش.

عبوری طور پر، اپنے ہارڈویئر فروشوں سے چیک کریں، اور دیکھیں کہ آیا ان کے پاس آپ کے لیے کوئی اپ ڈیٹس ہیں۔

---

بطخ.   جی ہاں.

---

ڈوگ   ہم رینسم ویئر کے ابتدائی دنوں کی طرف بڑھیں گے، جو بھتہ خوری سے بھرے ہوئے تھے، اور پھر "ڈبل بھتہ خوری" کے ساتھ معاملات مزید پیچیدہ ہو گئے۔

اور لوگوں کا ایک گروپ ابھی رہا ہے۔ گرفتار دوہری بھتہ خوری کی اسکیم میں، جو اچھی خبر ہے!

DoppelPaymer ransomware supsects جرمنی اور یوکرین میں گرفتار

---

بطخ.   جی ہاں، یہ ایک رینسم ویئر گینگ ہے جسے DoppelPaymer کے نام سے جانا جاتا ہے۔ ("ڈوپل" کا مطلب ہے۔ دوگنا جرمن زبان میں.)

تو خیال یہ ہے کہ یہ ایک دوغلا پن ہے۔

یہ وہ جگہ ہے جہاں وہ آپ کی تمام فائلوں کو گھماتے ہیں اور کہتے ہیں، "ہم آپ کو ڈکرپشن کلید بیچ دیں گے۔ اور ویسے، اگر آپ کو لگتا ہے کہ آپ کے بیک اپ کام کریں گے، یا صرف اس صورت میں جب آپ ہمیں کھو جانے اور رقم ادا نہ کرنے کے بارے میں سوچ رہے ہیں، تو صرف اس بات سے آگاہ رہیں کہ ہم نے آپ کی تمام فائلیں بھی چوری کی ہیں۔ "

"لہذا، اگر آپ ادائیگی نہیں کرتے ہیں، اور آپ خود *ڈیکرپٹ* کر سکتے ہیں اور آپ اپنے کاروبار کو *بچا سکتے ہیں*... ہم آپ کا ڈیٹا لیک کرنے جا رہے ہیں۔"

اس معاملے میں اچھی خبر یہ ہے کہ کچھ مشتبہ افراد سے پوچھ گچھ کی گئی ہے اور انہیں گرفتار کیا گیا ہے، اور بہت سے الیکٹرانک آلات ضبط کیے گئے ہیں۔

لہذا اگرچہ یہ ہے، اگر آپ چاہیں، ان لوگوں کے لیے ٹھنڈا سکون جو دن میں DoppelPaymer کے حملوں کا شکار ہوئے، اس کا مطلب کم از کم یہ ہے کہ قانون نافذ کرنے والے ادارے صرف اس وقت ہار نہیں مانتے جب سائبرگینگز اپنا سر نیچے کرتے نظر آتے ہیں۔

انہوں نے بظاہر صرف ریاستہائے متحدہ میں بلیک میل ادائیگیوں میں $40 ملین تک وصول کیا۔

اور وہ بدنام زمانہ جرمنی میں ڈسلڈورف کے یونیورسٹی ہسپتال کے پیچھے گئے۔

اگر رینسم ویئر میں کوئی کم نقطہ ہے…

---

ڈوگ   واقعی!

---

بطخ.   …یہ اچھا نہیں ہے کہ کوئی بھی مارا جائے، لیکن یہ خیال ہے کہ آپ واقعی ایک ہسپتال، خاص طور پر ایک ٹیچنگ ہسپتال لے جاتے ہیں؟

میرا اندازہ ہے کہ یہ سب سے کم ہے، ہے نا؟

---

ڈوگ   اور ہمارے پاس کچھ مشورہ ہے۔

صرف اس لیے کہ ان مشتبہ افراد کو گرفتار کیا گیا ہے: اپنے تحفظ کو واپس ڈائل نہ کریں۔

---

بطخ.   نہیں، درحقیقت، یوروپول ان کے الفاظ میں تسلیم کرتا ہے، "اطلاعات کے مطابق، Doppelpaymer نے تب سے [ایک رینسم ویئر گینگ کے طور پر] 'Grief' کے نام سے دوبارہ برانڈ کیا ہے۔"

تو مسئلہ یہ ہے کہ جب آپ سائبرگنگ میں کچھ لوگوں کو پکڑتے ہیں، تو شاید آپ کو تمام سرورز نہ مل پائیں…

…اگر آپ سرورز پر قبضہ کرتے ہیں، تو ضروری نہیں کہ آپ افراد کے لیے پیچھے کی طرف کام کریں۔

یہ ڈینٹ بناتا ہے، لیکن اس کا مطلب یہ نہیں ہے کہ رینسم ویئر ختم ہو گیا ہے۔

---

ڈوگ   اور اس نکتے پر: اکیلے ransomware پر فکسیٹ نہ کریں۔

---

بطخ.   بے شک!

مجھے لگتا ہے کہ ڈوپل پیمر جیسے گینگ اس بات کو کافی حد تک واضح کرتے ہیں، کیا وہ نہیں؟

جب تک وہ آپ کی فائلوں کو گھیرنے کے لیے آتے ہیں، وہ پہلے ہی انہیں چوری کر چکے ہوتے ہیں۔

لہذا، جب تک آپ کو رینسم ویئر کا حصہ مل جائے گا، وہ پہلے ہی سائبر جرائم کے دیگر عناصر کو انجام دے چکے ہیں۔ ارد گرد کی تلاش؛ شاید پچھلے دروازے کے ایک جوڑے کو کھول رہے ہیں تاکہ وہ بعد میں واپس آ سکیں، یا اگلے آدمی تک رسائی فروخت کر سکیں۔ اور اسی طرح.

---

ڈوگ   جو مشورے کے اگلے حصے میں شامل ہے: خطرے کے انتباہات اپنے ڈیش بورڈ میں آنے کا انتظار نہ کریں۔

تنظیم کی پختگی کے لحاظ سے یہ کہنا شاید آسان ہے۔

لیکن مدد دستیاب ہے!

---

بطخ.   میں نے سوچا کہ آپ ذکر کرنے جا رہے ہیں۔ سوفوس نے کھوج اور جواب کا انتظام کیا۔ وہاں ایک لمحے کے لیے، ڈوگ۔

---

ڈوگ   میں اسے فروخت نہ کرنے کی کوشش کر رہا تھا۔

لیکن ہم مدد کر سکتے ہیں!

وہاں کچھ مدد ہے؛ ہمیں بتائیں.

---

بطخ.   ڈھیلے انداز میں، جتنی جلدی آپ وہاں پہنچیں گے؛ جتنی جلدی آپ نوٹس کریں؛ آپ کی روک تھام کی حفاظت جتنی زیادہ فعال ہے…

…اس کا امکان اتنا ہی کم ہے کہ کوئی بھی بدمعاش رینسم ویئر کے حملے تک پہنچنے کے قابل ہو جائے گا۔

اور یہ صرف ایک اچھی چیز ہوسکتی ہے۔

---

ڈوگ   اور آخری لیکن کم از کم: کوئی فیصلہ نہیں، لیکن اگر آپ ممکنہ طور پر اس سے بچ سکتے ہیں تو ادائیگی نہ کریں۔

---

بطخ.   ہاں، مجھے لگتا ہے کہ ہم یہ کہنے کے پابند ہیں۔

کیونکہ فنڈز کی ادائیگی سائبر کرائم کی اگلی لہر، بڑا وقت، یقینی طور پر۔

اور دوسری بات، ہو سکتا ہے آپ کو وہ نہ ملے جو آپ ادا کرتے ہیں۔

---

ڈوگ   ٹھیک ہے، آئیے ایک مجرمانہ ادارے سے دوسرے میں چلتے ہیں۔

اور یہ وہی ہوتا ہے جب ایک مجرمانہ انٹرپرائز ہر استعمال کرتا ہے۔ ٹول، تکنیک اور طریقہ کار کتاب میں!

فیڈز رائل رینسم ویئر ریمپیج کے بارے میں متنبہ کرتے ہیں جو ٹی ٹی پیز کے پہلوؤں کو چلاتا ہے۔

---

بطخ.   یہ CISA - US سے ہے۔ سائبرسیکیوریٹی اور انفراسٹرکچر سیکیورٹی ایجنسی.

اور اس معاملے میں، بلیٹن AA23 (یہ اس سال ہے) ڈیش 061A-for-alpha میں، وہ ایک گینگ کے بارے میں بات کر رہے ہیں جسے Royal ransomware کہتے ہیں۔

کیپٹل R، Doug کے ساتھ شاہی۔

اس گینگ کے بارے میں بری بات یہ ہے کہ ان کے اوزار، تکنیک اور طریقہ کار "موجودہ حملے کے لیے جو کچھ بھی ضروری ہے اس تک اور اس میں شامل" دکھائی دیتے ہیں۔

وہ بہت وسیع برش سے پینٹ کرتے ہیں، لیکن وہ بہت گہرے بیلچے سے بھی حملہ کرتے ہیں، اگر آپ جانتے ہیں کہ میرا کیا مطلب ہے۔

یہ بری خبر ہے۔

اچھی خبر یہ ہے کہ سیکھنے کے لیے بہت کچھ ہے، اور اگر آپ اس سب کو سنجیدگی سے لیتے ہیں، تو آپ کو نہ صرف رینسم ویئر کے حملوں کے خلاف بہت وسیع برش کی روک تھام اور تحفظ حاصل ہوگا، بلکہ آپ جس کا ذکر پہلے Doppelpaymer طبقہ میں کر رہے تھے: "Don' صرف ransomware پر درست نہیں کریں گے۔"

دیگر تمام چیزوں کے بارے میں فکر کریں جو اس تک لے جاتے ہیں: keylogging؛ ڈیٹا چوری؛ بیک ڈور امپلانٹیشن؛ پاس ورڈ چوری.

---

ڈوگ   ٹھیک ہے، پال، آئیے CISA کے مشورے سے کچھ نکات کا خلاصہ کرتے ہیں، اس سے شروع کرتے ہیں: یہ بدمعاش آزمائے ہوئے اور قابل اعتماد طریقے استعمال کرتے ہوئے ٹوٹ جاتے ہیں۔

---

بطخ.   وہ کرتے ہیں!

CISA کے اعداد و شمار بتاتے ہیں کہ یہ مخصوص گروہ اچھی پرانی فشنگ کا استعمال کرتا ہے، جو 2/3 حملوں میں کامیاب ہوا۔

جب یہ اچھی طرح سے کام نہیں کرتا ہے، تو وہ بغیر پیچ والی چیزوں کی تلاش میں جاتے ہیں۔

اس کے علاوہ، 1/6 صورتوں میں، وہ اب بھی RDP استعمال کرنے کے قابل ہیں... اچھے پرانے RDP حملے۔

کیونکہ انہیں صرف ایک سرور کی ضرورت ہے جس کے بارے میں آپ بھول گئے ہیں۔

اور یہ بھی کہ، ویسے، CISA نے اطلاع دی ہے کہ، ایک بار جب وہ اندر ہو جائیں، چاہے وہ RDP استعمال نہ کر سکے، ایسا لگتا ہے کہ وہ اب بھی یہ تلاش کر رہے ہیں کہ بہت سی کمپنیاں RDP تک رسائی کے بارے میں زیادہ لبرل پالیسی رکھتی ہیں* ان کے نیٹ ورک کے اندر۔

کس کو پیچیدہ پاور شیل اسکرپٹس کی ضرورت ہے جہاں آپ صرف کسی اور کے کمپیوٹر سے جڑ سکتے ہیں اور اسے اپنی اسکرین پر دیکھ سکتے ہیں؟

---

ڈوگ   ایک بار داخل ہونے کے بعد، مجرم ایسے پروگراموں سے بچنے کی کوشش کرتے ہیں جو ظاہر ہے کہ میلویئر کے طور پر ظاہر ہو سکتے ہیں۔

اسے "زمین سے دور رہنے" کے نام سے بھی جانا جاتا ہے۔

---

بطخ.   وہ صرف یہ نہیں کہہ رہے ہیں، "اوہ اچھا، آئیے Microsoft Sysinternal کا PsExec پروگرام استعمال کریں، اور آئیے اس ایک خاص مقبول پاور شیل اسکرپٹ کو استعمال کریں۔

ان کے پاس بہت سے ٹولز ہیں، بہت سے مختلف کام کرنے کے لیے جو کافی کارآمد ہیں، ایسے ٹولز سے جو IP نمبر تلاش کرتے ہیں، ایسے ٹولز جو کمپیوٹر کو سونے سے روکتے ہیں۔

وہ تمام ٹولز جو ایک باخبر سیسڈمین کے پاس بہت اچھی طرح سے ہو سکتے ہیں اور وہ باقاعدگی سے استعمال کرتے ہیں۔

اور، ڈھیلے الفاظ میں، خالص مالویئر کا صرف ایک حصہ ہے جو یہ بدمعاش لاتے ہیں، اور یہی وہ چیز ہے جو حتمی گھماؤ پھراؤ کرتی ہے۔

ویسے، یہ نہ بھولیں کہ اگر آپ رینسم ویئر مجرم ہیں، تو آپ کو اپنی انکرپشن ٹول کٹ لانے کی بھی ضرورت نہیں ہے۔

آپ، اگر آپ چاہیں تو، WinZip یا 7-Zip جیسے پروگرام کا استعمال کر سکتے ہیں، جس میں "ایک آرکائیو بنائیں، فائلوں کو اندر منتقل کریں"، (جس کا مطلب ہے کہ جب آپ انہیں آرکائیو میں ڈال دیں تو انہیں حذف کر دیں) "اور انہیں پاس ورڈ کے ساتھ خفیہ کریں۔"

جب تک کہ بدمعاش صرف وہ لوگ ہیں جو پاس ورڈ جانتے ہیں، تب بھی وہ اسے آپ کو واپس فروخت کرنے کی پیشکش کر سکتے ہیں…

---

ڈوگ   اور صرف زخم پر تھوڑا سا نمک ڈالنے کے لیے: فائلوں کو سکیمبل کرنے سے پہلے، حملہ آور آپ کی بازیابی کے راستے کو پیچیدہ کرنے کی کوشش کرتے ہیں۔

---

بطخ.   کون جانتا ہے کہ انہوں نے نئے خفیہ ایڈمن اکاؤنٹس بنائے ہیں یا نہیں؟

جان بوجھ کر بگی سرورز نصب کیے گئے؟

جان بوجھ کر پیچ کو ہٹا دیا تاکہ وہ اگلی بار واپس آنے کا طریقہ جان سکیں؟

بائیں keyloggers پیچھے پڑے ہیں، جہاں وہ مستقبل کے کسی لمحے کو چالو کریں گے اور آپ کی پریشانی کو دوبارہ شروع کرنے کا سبب بنیں گے؟

اور وہ ایسا کر رہے ہیں کیونکہ یہ ان کے لیے بہت فائدہ مند ہے کہ جب آپ رینسم ویئر کے حملے سے ٹھیک ہو جاتے ہیں، تو آپ مکمل طور پر ٹھیک نہیں ہوتے ہیں۔

---

ڈوگ   ٹھیک ہے، ہمیں مضمون کے نیچے کچھ مددگار لنکس ملے ہیں۔

ایک لنک جو آپ کو مزید جاننے کے لیے لے جائے گا۔ سوفوس نے کھوج اور جواب کا انتظام کیا۔ [MDR]، اور ایک اور جو آپ کو اس کی طرف لے جاتا ہے۔ فعال مخالف پلے بک، جو ہمارے اپنے جان شیر کے ذریعہ ایک ٹکڑا ہے۔

کچھ ٹیک وے اور بصیرتیں جنہیں آپ اپنے تحفظ کو بہتر بنانے کے لیے استعمال کر سکتے ہیں۔

اپنے دشمن کو جانیے! جانیں کہ سائبر کرائم کے مخالف کیسے آتے ہیں…

---

بطخ.   یہ اس CISA "Royal ransomware" رپورٹ کے میٹا ورژن کی طرح ہے۔

یہ ایسے معاملات ہیں جہاں متاثرہ کو یہ احساس نہیں ہوتا تھا کہ حملہ آور ان کے نیٹ ورک میں تھے جب تک کہ بہت دیر ہو چکی تھی، پھر سوفوس ریپڈ رسپانس میں کال کی اور کہا، "اوہ گولی، ہمیں لگتا ہے کہ ہم رینسم ویئر کا شکار ہو گئے ہیں… لیکن اور کیا ہوا؟ "

اور یہ وہی ہے جو ہم نے حقیقی زندگی میں، اکثر غیر متعلقہ بدمعاشوں کے حملوں کی ایک وسیع رینج میں پایا۔

لہذا یہ آپ کو TTPs (ٹولز، تکنیک اور طریقہ کار) کی حد کا ایک بہت، بہت وسیع خیال فراہم کرتا ہے جس کے بارے میں آپ کو آگاہ ہونے کی ضرورت ہے، اور جس کے خلاف آپ دفاع کر سکتے ہیں۔

کیونکہ اچھی خبر یہ ہے کہ بدمعاشوں کو ان تمام الگ الگ تکنیکوں کو استعمال کرنے پر مجبور کر کے، تاکہ ان میں سے کوئی ایک بھی اپنے طور پر بڑے پیمانے پر خطرے کی گھنٹی نہ لگائے…

…آپ اپنے آپ کو ان کو جلد دیکھنے کا ایک لڑائی کا موقع دیتے ہیں، اگر صرف آپ [A] جانتے ہوں کہ کہاں دیکھنا ہے اور [B] ایسا کرنے کے لیے وقت نکال سکتے ہیں۔

---

ڈوگ   بہت اچھا.

اور ہمارے پاس اس مضمون پر قارئین کا تبصرہ ہے۔

برہنہ سیکیورٹی ریڈر اینڈی پوچھتا ہے:

سوفوس اینڈ پوائنٹ پروٹیکشن پیکجز اس قسم کے حملے کے خلاف کیسے اسٹیک اپ ہوتے ہیں؟

میں نے پہلی بار دیکھا ہے کہ فائل رینسم ویئر پروٹیکشن کتنی اچھی ہے، لیکن اگر انکرپشن شروع ہونے سے پہلے ہی اسے غیر فعال کر دیا جاتا ہے، تو ہم ٹیمپر پروٹیکشن پر بھروسہ کر رہے ہیں، میرے خیال میں، زیادہ تر؟

---

بطخ.   ٹھیک ہے، میں امید نہیں کروں گا!

میں امید کروں گا کہ سوفوس پروٹیکشن کا صارف صرف یہ نہیں کرے گا، "ٹھیک ہے، آئیے اس پروڈکٹ کا صرف ایک چھوٹا سا حصہ چلائیں جو آپ کو آخری چانس سیلون کے طور پر محفوظ کرنے کے لیے موجود ہے… جسے ہم کرپٹو گارڈ کہتے ہیں۔

یہ وہ ماڈیول ہے جو کہتا ہے، "ارے، کوئی یا کوئی اور چیز بڑی تعداد میں فائلوں کو اس طرح سے گھماؤ کرنے کی کوشش کر رہا ہے جو ایک حقیقی پروگرام ہو سکتا ہے، لیکن یہ درست نہیں لگتا ہے۔"

تو یہاں تک کہ اگر یہ جائز ہے، تو یہ شاید چیزوں کو خراب کرنے والا ہے، لیکن یہ یقینی طور پر کوئی ہے جو آپ کو نقصان پہنچانے کی کوشش کر رہا ہے۔

---

ڈوگ   ہاں، CryptoGuard ایک ہیلمٹ کی طرح ہے جسے آپ اپنی موٹر سائیکل کے ہینڈل بار پر اڑتے ہوئے پہنتے ہیں۔

اگر CryptoGuard کارروائی میں لات مار رہا ہے تو معاملات کافی سنگین ہو گئے ہیں!

---

بطخ.   ان دنوں سوفوس سمیت زیادہ تر پروڈکٹس میں ٹمپر پروٹیکشن کا عنصر ہوتا ہے جو ایک قدم آگے جانے کی کوشش کرتا ہے، تاکہ ایک ایڈمنسٹریٹر کو بھی پروڈکٹ کے کچھ حصوں کو بند کرنے کے لیے چھلانگ لگانی پڑتی ہے۔

اس سے اسے بالکل کرنا مشکل ہو جاتا ہے، اور خودکار کرنا مشکل ہوتا ہے، اسے ہر ایک کے لیے بند کرنا۔

لیکن آپ کو اس کے بارے میں سوچنا ہوگا…

اگر سائبر کروک آپ کے نیٹ ورک میں داخل ہو جاتے ہیں، اور ان کے پاس آپ کے نیٹ ورک پر واقعی "سیسڈمین ایکوئیلنس" ہے؛ اگر وہ مؤثر طریقے سے وہی اختیارات حاصل کرنے میں کامیاب ہو گئے ہیں جو آپ کے عام سیزڈمینز کے پاس ہیں (اور یہی ان کا اصل مقصد ہے؛ یہی وہ واقعی چاہتے ہیں)…

یہ دیکھتے ہوئے کہ Sophos کی طرح پروڈکٹ چلانے والے sysadmins ایمبیئنٹ سیٹنگز کو کنفیگر، ڈی کنفیگر اور سیٹ کر سکتے ہیں…

…پھر اگر بدمعاش * سیسڈمین* ہیں تو یہ اس طرح ہے جیسے وہ پہلے ہی جیت چکے ہیں۔

اور اسی وجہ سے آپ کو انہیں پہلے سے تلاش کرنے کی ضرورت ہے!

لہذا ہم اسے ہر ممکن حد تک مشکل بناتے ہیں، اور ہم تحفظ کی زیادہ سے زیادہ پرتیں فراہم کرتے ہیں، امید ہے کہ اس چیز کے آنے سے پہلے اسے روکنے کی کوشش کریں۔

اور جب ہم اس کے بارے میں ہیں، ڈوگ (میں نہیں چاہتا کہ یہ سیلز اسکپیل کی طرح لگے، لیکن یہ ہمارے سافٹ ویئر کی صرف ایک خصوصیت ہے جسے میں پسند کرتا ہوں)…

ہمارے پاس وہ ہے جسے میں "فعال مخالف مخالف" جزو کہتا ہوں!

دوسرے لفظوں میں، اگر ہم آپ کے نیٹ ورک پر ایسے رویے کا پتہ لگاتے ہیں جو سختی سے چیزوں کی تجویز کرتا ہے، مثال کے طور پر، آپ کے سیسڈمین بالکل ایسا نہیں کریں گے، یا بالکل ایسا نہیں کریں گے…

…”فعال مخالف مخالف” کہتا ہے، “آپ جانتے ہیں کیا؟ ابھی اس وقت، ہم تحفظ کو اونچے درجے تک بڑھانے جا رہے ہیں جتنا آپ عام طور پر برداشت کرتے ہیں۔"

اور یہ ایک بہترین خصوصیت ہے کیونکہ اس کا مطلب ہے، اگر بدمعاش آپ کے نیٹ ورک میں داخل ہو جاتے ہیں اور ناپسندیدہ چیزیں کرنے کی کوشش کرنا شروع کر دیتے ہیں، تو آپ کو اس وقت تک انتظار نہیں کرنا پڑے گا جب تک آپ نوٹس نہ لیں اور *پھر* فیصلہ کریں، "ہم کون سے ڈائل تبدیل کریں؟"

ڈوگ، یہ بظاہر سادہ سوال کا ایک لمبا جواب تھا۔

لیکن مجھے صرف یہ پڑھنے دیں کہ میں نے ننگی سیکیورٹی پر تبصرہ کے جواب میں کیا لکھا:

ہمارا مقصد ہر وقت چوکنا رہنا، اور جتنی جلدی، خود بخود، جتنا محفوظ اور فیصلہ کن طور پر ہم کر سکتے ہیں مداخلت کرنا ہے – ہر قسم کے سائبر اٹیک کے لیے، نہ کہ صرف رینسم ویئر کے لیے۔

---

ڈوگ   ٹھیک ہے، ٹھیک کہا!

آپ کا بہت شکریہ، اینڈی، اسے بھیجنے کے لیے۔

اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ tips@sophos.com پر ای میل کر سکتے ہیں، آپ ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا آپ ہمیں سوشل پر مار سکتے ہیں: @NakedSecurity۔

یہ آج کے لیے ہمارا شو ہے؛ سننے کے لیے بہت شکریہ

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو یاد دلا رہا ہوں۔ اگلی بار تک، کو…

---

دونوں   محفوظ رہو!

[میوزیکل موڈیم]