أفضل الموارد مفتوحة المصدر للبقاء يقظًا ضد الهجمات الإلكترونية التي تحمل عنوان COVID

مع انتشار جائحة فيروس كورونا بسرعة في جميع أنحاء العالم، يواجه السكان المصابون بالذعر والمحصورين بالفعل في منازلهم، التهديد الناشئ المتمثل في الهجمات الإلكترونية التي تحمل عنوان COVID. يشير اتجاه الجرائم الإلكترونية الأخيرة إلى ارتفاع عدد المجالات الضارة المرتبطة بـ COVID وهجمات البرامج الضارة بالإضافة إلى حملات التصيد الاحتيالي. ونتيجة لذلك، تواجه المنظمات آفاقًا شاقة تتمثل في تأمين أصولها وأصول عملائها ضد الخصوم الذين يستفيدون من الوباء. وبدون استراتيجية فعالة، أو الذكاء الصحيح، سيكون من المستحيل درء مثل هذه الهجمات.

في هذه المقالة، قمنا بتجميع موارد معلومات التهديدات مفتوحة المصدر الشائعة التي يمكن أن تساعدك في مكافحة الهجمات الإلكترونية ذات الطابع الخاص بـ COVID. توفر هذه الموارد مفتوحة المصدر أحدث المعلومات والملاحظات حول التهديدات السيبرانية للتخفيف من التأثير الذي يمكن أن تحدثه مثل هذه الهجمات على المجتمع العالمي.

تحالف COVID-19 للتهديدات الإلكترونية

تحالف التهديدات الإلكترونية (CTC) هو نتيجة الجهود المشتركة لحوالي 3,000 متخصص في مجال الأمن يقومون بجمع وتحليل وتبادل المعلومات المتعلقة بالتهديدات الجديدة التي تحمل عنوان COVID. في الوقت الحاضر، يتم إنتاج أكبر مساهمة من مجموعات البيانات التي تحمل عنوان COVID بواسطة CTC. علاوة على ذلك، فإنهم يعطون الأولوية ويدافعون عن الخدمات الأساسية والقطاع الطبي في الخطوط الأمامية ضد التهديدات. يعد قطاع الاتصالات أيضًا جزءًا من الخدمات الأساسية، حيث يتحول المزيد من الأشخاص إلى العمل عن بُعد.

كيف تقوم CTC بتنبيه المنظمات؟

• عادةً ما يقومون بفحص ملايين نقاط البيانات التي تساهم بها المنظمات أو الأفراد، وتشغيل المؤشرات من خلال العديد من منتجات الأمان.
• إذا حددت 10 منتجات أمنية على الأقل نقطة البيانات كتهديد، فإن متطوعي CTC يتحققون يدويًا من هذه النتائج ويضيفون خلاصات ضارة إليها قائمة الحظر. إذا قام 5-9 من موردي منتجات الأمان فقط بتحديد نقطة البيانات على أنها ضارة، فسيتم التحقق منها يدويًا كخلاصات ضارة قبل إضافتها إلى قائمة الحظر.
• تساعد قائمة الحظر هذه المؤسسات والأفراد، في جميع أنحاء العالم، على حظر حركة المرور الضارة الناشئة عن الأنشطة الاحتيالية.
• بالإضافة إلى ذلك، لديهم إصدار تجريبي تغذية MISP التي تفصل مؤشرات التهديد المختلفة (التي يمكن الوصول إليها لأولئك الذين قاموا بإعداد MISP).

كيف يمكنك المساهمة؟

• تحتفظ CTC بمساحة عمل Slack، والتي تتوفر الدعوة لها على موقع الويب الرسمي الخاص بها. مساحة العمل هذه مخصصة للباحثين الذين قد تكون لديهم معلومات تتعلق بالهجمات الإلكترونية التي تحمل عنوان COVID. بالإضافة إلى ذلك، لديهم أيضًا غرفة Slack للإعلان عن التحديثات والتطورات الجديدة: #ctc -الإعلانات الرسمية
• كما تجمع منصة Alienvault لتبادل التهديدات المفتوحة (OTX) خلاصات البيانات من الباحثين. تعتبر CTC برنامج Alienvault OTX هو المصدر الأساسي لخلاصات البيانات الأولية. إنهم يشجعون أي شخص لديه معلومات تهديد عالية الجودة للانضمام إلى هذه المنصة.

فيما يلي قائمة حظر CTC للنطاقات الضارة وعناوين IP التي تم فحصها:

• https://blacklist.cyberthreatcoalition.org/vetted/

دوري COVID-19 CTI

(https://cti-league.com/)

هذه مجموعة من الخبراء والمستجيبين للحوادث، من 40 دولة، والتي تجمع معلومات عن التهديدات المتعلقة بـ COVID. كبار مسؤولي Microsoft و Amazon هم أيضًا جزء من هذا الفريق. تهدف CTI League إلى تحييد التهديدات الإلكترونية ضد القطاع الطبي في الخطوط الأمامية والبنية التحتية الحيوية.

كيف يستفيد القطاع الطبي من CTI League؟

• تقبل CTI طلبات IR (الاستجابة للحوادث) من المؤسسات، لاكتشاف الحوادث الأمنية والحفاظ عليها تحت السيطرة. ولتحقيق ذلك، تتواصل CTI League مع الباحثين والمحللين من 22 منطقة زمنية مختلفة. يساعد المتطوعون المجتمع في العثور على الأفراد الأكثر ملاءمة الذين يمكنهم تأمين المؤسسات والموارد الطبية في مواقعهم.
• فهي تساعد في إزالة مواقع الويب أو صفحات الويب أو الملفات من الإنترنت، وتصعيد الهجمات الإلكترونية أو الأنشطة الضارة أو نقاط الضعف الحرجة إلى وكالات إنفاذ القانون ومراكز مكافحة الإرهاب الوطنية.
• وهي توفر قواعد بيانات موثوقة، لمؤشرات الاختراق ذات الأولوية العالية، والتي تساعد القطاع الطبي على التحقيق في الأنشطة الضارة وحظرها.

تحالف التهديدات الإلكترونية

(https://www.cyberthreatalliance.org/)

هذه منظمة عضوية غير ربحية تركز على خدع التصيد وهجمات البرامج الضارة. فهي تساعد على إحباط محاولات إلحاق الضرر بالقطاع الطبي، في وقت هذه الأزمة غير المسبوقة.

ماذا يقدمون؟

• ~ 135,000 حزمة ذكاء من STIX. سيكون لكل نقطة بيانات متوسط سياقين مصاحبين.
• الحزم التي تتضمن مجموعات البيانات/الملاحظات والتكتيكات والتقنيات والإجراءات (TTPs) عبر مراحل مختلفة من الهجوم السيبراني.
• تتضمن العناصر القابلة للملاحظة الملفات وأسماء النطاقات والعناوين ومعرفات الموارد الموحدة (URI).
• أكثر من 50 TTPs، من قواعد المعرفة المفيدة لـ تعداد وتصنيف أنماط الهجوم الشائعة لـ MITRE (CAPEC) و التكتيكات العدائية والتقنيات والمعرفة العامة (ATT&CKTM)، تساعدك على فهم أنماط هجوم الخصوم وآليات الهجوم..
• عضوية CTA التي تمنح الوصول إلى معلومات التهديدات التي تم التحقق منها والمنسقة.

فيش لابز

(https://www.phishlabs.com/covid-19-threat-intelligence)

التصيد الاحتيالي هو التهديد السيبراني الأكثر شيوعًا. وحتى في الوقت الذي يحاول فيه العالم فهم وباء فيروس كورونا، ينشغل المحتالون في جني الأموال من الخوف والقلق. يجمع PhishLabs، وهو فريق من خبراء الأمن السيبراني، جهودهم لتوفير موارد مجانية لمعلومات التهديدات المتعلقة بفيروس كورونا، مع تركيزهم الأساسي على هجمات التصيد الاحتيالي.

ماذا لديهم ليقدموه؟

يتم تحديث قاعدة البيانات الخاصة بهم بأحدث رسائل البريد الإلكتروني المخادعة التي تحمل عنوان COVID وعناوين URL الضارة والنطاقات. يقدمون البيانات ويشاركونها في ملف مضغوط يحتوي على خدع التصيد الاحتيالي (كملفات صور) وعناوين URL للتصيد الاحتيالي (بتنسيق.xlsx).

Checkphish: متتبع الاحتيال لفيروس كورونا

(https://checkphish.ai/coronavirus-scams-tracker)

تحتفظ Checkphish بلوحة تحكم عالمية تتعقب أحدث عمليات الاحتيال المتعلقة بفيروس كورونا. يتم تصنيف النتائج إلى عمليات احتيال ومواقع مشبوهة. علاوة على ذلك، يوفر لكل موقع ويب خلاصات احتيال بتنسيق.tsv.

عينة: https://checkphish.ai/data/covid_feed.tsv

تسمح لك لوحة التحكم أيضًا بإجراء عمليات مسح مجانية لعناوين URL لتحديد مواقع الويب الضارة. بالنسبة لكل نطاق تم الاستعلام عنه والنطاقات الموجودة بالفعل في القائمة، تتضمن لوحة التحكم أيضًا لقطات شاشة لموقع الويب و DNS السلبي (للمضيفين والنطاقات المستضافة على عنوان IP معين) وتفاصيل المجالات المماثلة ومعلومات WHOIS الخاصة بهم.

عثرة

(https://covid-19.iglocska.eu)

منصة مشاركة معلومات البرامج الضارة (MISP) هي عبارة عن منصة استخبارات التهديدات مفتوحة المصدر. إنها توفر توقيعات IDS لعمليات التسلل الإلكتروني لـ COVID-19 بتنسيقات مختلفة مثل: STIX و STIX2 و Text و csv وما إلى ذلك، كما أنها تسمح للمستخدمين بأتمتة عملية جمع المعلومات. يُطلب من الباحثين والأطراف المهتمة فقط إرسال رسالة مباشرة إلى الفريق للوصول https://covid-19.iglocska.eu/.

ريسكي كيو

يوفر RisQIQ PassiveTotal الوصول إلى مجموعات بيانات RisQIQ مثل DNS السلبي وبيانات DNS الشاملة وتفاصيل تسجيل WHOIS وتفاصيل شهادة SSL. واستجابة للعدد المتزايد من الهجمات الإلكترونية ذات الطابع الخاص بـ COVID، فإنهم يشاركون أيضًا قوائم أسماء النطاقات المتعلقة بفيروس كورونا والتي تحتوي على «covid» أو «coronav» أو «vaccine» أو «pandemic» أو «virus». قد تكون هذه البرامج ضارة وقد لا تكون كذلك. لتسهيل التحقيق في هذه المجالات، يُسمح للمحللين المهتمين بالوصول لمدة 30 يومًا لاستخدام PassiveTotal، منصة أبحاث التهديدات الخاصة بـ RiskIQ.

روابط إلى قوائم أسماء النطاقات التي تحمل عنوان COVID:

https://covid-public-domains.s3-us-west-1.amazonaws.com/list.txt (القائمة الموحدة)

https://covid-public-domains.s3-us-west-1.amazonaws.com/covid-YYYYMMDD

https://covid-public-domains.s3-us-west-1.amazonaws.com/covid-20200420

لوحة تحكم ريسك كيو: https://community.riskiq.com/

مستودع دوري جيثب CTI

(https://github.com/COVID-19-CTI-LEAGUE/PUBLIC_RELEASE)

كما يشارك مستودع GitHub، الذي يُطلق عليه اسم COVID-19-CTI-League، عمليات IOC التي تم فحصها واعتمادها للهجمات الإلكترونية التي تحمل عنوان COVID. على الرغم من أن اسم المستودع يشبه رابطة CTI League المجتمعية (التي تمت مناقشتها سابقًا)، إلا أنهما غير مرتبطين.

الباحثون والمستقلون المستقلون

على الرغم من أننا قمنا بإدراج الأسماء الكبيرة في مجال الأمن السيبراني، فمن المهم أن نعرف أن هناك باحثين فرديين ومدونين في مجال الأمن السيبراني ملتزمون بحل وتحييد الهجمات التي تظهر أثناء الوباء. يشاركون تحليلاتهم ونتائجهم على منصات التواصل الاجتماعي مثل Twitter. فيما يلي بعض منها:

@dustyfresh

قام مستخدم تويتر DustyFresh بإعداد تغذية، يتم تحديثه كل 30 ثانية، والذي يقوم بالبحث عن أسماء المضيفين الجديدة المتعلقة بـ COVID المكتشفة في سجلات شفافية الشهادات. يستخدم الكلمات الرئيسية فيروس كورونا، covid19، covid-19، كوفيد 19، كوفيد، الوباء، إلخ. 

على الرغم من أن معظم المجالات في هذه القائمة تعتبر ضارة، إلا أن الأمر متروك للباحثين لمعرفة ذلك.

@sshell_

قام باحث آخر يستخدم حساب تويتر @sshell_ بإنشاء حساب في الوقت الفعلي لوحة المعلومات من مواقع الويب الضارة. تستفيد لوحة التحكم هذه من تغذية RiskIQ (المذكورة سابقًا) وتسرد المجالات الضارة التي تحمل عنوان COVID في الوقت الفعلي.

@LukasStefanko 

الباحث المستقل ومحلل البرامج الضارة للأجهزة المحمولة في ESET، لوكاس ستيفانكو، المسارات هجمات البرامج الضارة المرتبطة بـ COVID والتي تستهدف مستخدمي Android بشكل يومي.

رسائل التهديد. io

(https://threatfeeds.io/)

هذه منصة أخرى مفتوحة المصدر لمعلومات التهديدات تجمع مؤشرات التسوية من مصادر مختلفة. يسمح للمستخدمين بتنزيل البيانات مجانًا.

بازار البرامج الضارة

(https://abuse.ch/blog/introducing-malwarebazaar/)

يوفر Abuse.ch عينات مجانية من البرامج الضارة التي يمكن تنزيلها بسهولة. تأمل MalwareBazaar في مساعدة الباحثين على فهم عينات البرامج الضارة واستخدام الذكاء لمزيد من التحليل.

إرشادات

توفر حسابات Twitter الرسمية للوكالات الحكومية أيضًا تحديثات منتظمة حول أحدث عمليات الاحتيال وأساليب الاحتيال:

@CyberDost

تقدم وزارة الشؤون الداخلية الهندية نصائح وإرشادات للجمهور حول ممارسات الإنترنت الآمنة، من خلال حسابها على تويتر @CyberDost وموقعها الإلكتروني الرسمي البوابة الوطنية للإبلاغ عن الجرائم الإلكترونية. يمكن أيضًا استخدام هذه المنصات للإبلاغ عن أي نشاط إلكتروني ضار تصادفه.

@Europol

هذا هو عنوان تويتر الخاص بوكالة الاتحاد الأوروبي للتعاون في مجال إنفاذ القانون. تشارك يوروبول الاتجاهات الحديثة في الهجمات الإلكترونية وعمليات الاحتيال التي تحمل عنوان جائحة فيروس كورونا.