‫ اطلاع‌رسانی‌ها

بررسی و مقابله با رخداد هک ۱۴۰ وب سایت

در پی هک بیش از ۱۴۰ وبسایت داخلی در روز جمعه مورخ ۱۳۹۶/۱۲/۰۴ مرکز ماهر وزارت ارتباطات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد.
سایت‌های مورد حمله همگی بر روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده بصورت محدود و تنها شامل بارگزاری یک فایل متنی بوده است.

دیروز, 12:18 دسته‌ها: اخبار
حمله process Doppelganging

یک تیم از محققان امنیتی تکنیکی را کشف کرده اند که به ویروس نویسان کمک می کند تا تمامی آنتی‌ویروس های مدرن و ابزارهای ردیابی سیستم را دور بزنند.

 Process Doppelgänging، تکنیک تزریق کد [1]است که از فایل های اصلی ویندوز استفاده می کند و فرآیندهای اجرایی ویندوز را به صورت غیر قانونی اجرا می کند.

حمله ی Process Doppelgängingبرروی تمامی نسخه های ویندوز، از ویندوز ویستا تا ویندوز 10 کار می‌کند.

Tal Libermanرهبر تیم تحقیقاتی ensiloادعا می کند که این تکنیک دور زدن آنتی ویروس، شبیه به حمله Process Hollowingکه یک متد جدید برای دور زدن محصولات امنیتی ارائه داده است می باشد.

همچنین Libermanادعا کرده که طبق خبرهای هکرها، آنها این حملات را روی تمامی محصولات امنیتی مانند Kaspersky، Nod 32، Symantecو... پیاده سازی کردند.

Tal Libermanو Eugene Koganمحققان امنیتی گروه ensilo کاشفان حمله Process Doppelgänging هستند، که یافته های خود را در کنفرانس Black Hat 2017لندن ارائه دادند.

  دریافت  فایل پیوست

 

[1] Code injection

2 اسفند 1396 دسته‌ها: مستندات مرجع
امنیت فضای ابری برای IoT

با استفاده از سرویس های ابری و بهترین روش های امنیتی، سازمان ها می توانند تأسیسات IoTمیان سازمانی و چند دامنه ای را در سرتاسر مرزهای مطمئن اداره و مدیریت کنند. پیشنهادات فضای ابری و امنیتی سرویس های وب آمازون (AWS)[1]، مؤلفه های پیشنهاد شده توسط Cisco(محاسبات مه مانند[2]) و همچنین Microsoft Azureبررسی می شوند.

تعهد بسیار به فضای ابری و امنیت فضای ابری، دو مورد از جنبه های اطلاعات حجیم IoTهستند که به امنیتی نیاز دارند. ذخیره سازی اطلاعات، تحلیل اطلاعات و سامانه های گزارش گیری IoTدر کنار بهترین روش ها در زمینه چگونگی ایمن سازی این سرویس ها به طور مفصل بررسی خواهند شد. ایمن سازی انواع مختلف فضای ابری IoTبه مدیریت این مسئله نیز نیاز دارد که کدام معیارهای امنیتی، وظایف مشتری و کدام وظایف ارائه دهنده سرویس هستند.

این گزارش، سرویس های فضای ابری و امنیت ابری IoTرا از طریق بخش های زیر توضیح می دهد:

  • سرویس های ابری و IoT:در این بخش، فضای ابری تعریف خواهد شد به دلیل اینکه به IoTارتباط داشته و برای آن منفعت دارد. به علاوه، الزامات منحصر به فرد شناسایی خواهند شد که IoTدر فضای ابری تحمیل می کند. در این بخش، قبل از بررسی عمیق کنترل های امنیتی مبتنی بر فضای ابری و دیگر پیشنهادات، تهدیدات امنیتی داخلی و خارجی مرتبط با IoTبرای فضای ابری نیز شناسایی و بررسی خواهند شد.
  • کاوش پیشنهادات IoTارائه دهنده سرویس فضای ابری (CSP)[3]: چندین CSPو نرم افزار/ امنیت به عنوان یک سرویس آنها بررسی خواهد شد. محاسبات مه مانند Cisco[4]، Amazon AWSو Microsoft Azureتوضیح داده می شوند.
  • کنترل های امنیتی IoTابری:عملکرد امنیتی مورد نیاز از طرف فضای ابری برای ساخت یک معماری تأثیرگذار امنیتی پروژه IoTبررسی می شود.
  • تشکیل یک معماری امنیت فضای ابری IoTسازمانی: این بخش از پیشنهادات امنیت فضای ابری موجود برای ترکیب و تطبیق با یک معماری تأثیرگذار امنیت فضای ابری IoTاستفاده می کند.
  • دستورالعمل های جدید در محاسبات IoTدارای فضای ابری: در این بخش از مبحث امنیت فضای ابری فاصله گرفته می شود تا اندکی درباره الگوهای جدید محاسباتی که فضای ابری آماده ارائه آنها است بحث شود.

       دریافت  فایل پیوست

 

[1] Amazon Web Services

[2]توسعه محاسبات ابری تا مرز شبکه سازمان

[3] Cloud Service Provider

[4] Cisco’s Fog Computing

2 اسفند 1396 دسته‌ها: مستندات مرجع
تشخیص شبکه‌های پنهان ایجاد‌شده توسط دستگاه‌های USB

امروزه بسیاری از شرکت‌ها و سازمان‌های دولتی ارتباطات مجزایی دارند و با شبکه‌های مختلفی در ارتباط هستند. این شبکه‌های کامپیوتری برای موقعیت‌های خاصی ایجاد میشوند و قادرند ویژه باشند یا شامل اطلاعات مهمی مانند سیستم کنترل کارخانه، محیط امن جهت پردازش داده‌های خاص و یا شبکه‌هایی که با استاندارد ایمنی مطابقت دارند، باشند. طبق گذشته امنیت سایبری, مشاهده شده که یک نرم‌افزار مخرب مانند استاکس‌نت  به شبکه کامپیوتری یک نیروگاه اتمی نفوذ کرده است. براساس این واقعیت می‌توان مشاهده کرد که داشتن شبکه‌های کامپیوتری که از طریق کابل یا وای‌فای به اینترنت متصل نباشند، به تنهایی کافی نیست و هر اتصال خارجی دیگری نیز ممکن است برای کامپیوترها، تهدیدی ایجاد کند. این مقاله نشان دهنده امکانات ارائه شده از سوی بهاصطلاح "شبکه پنهان میباشد و همچنین چگونگی شناسایی و محافظت از آن را در داخل یک شبکه سازمانی، نشان می‌دهد.

دریافت فایل پیوست

2 اسفند 1396 دسته‌ها: مستندات مرجع
طلاعیه مرکز ماهر در خصوص ادعای سوءاستفاده‌ی اپلیکیشن پیام‌رسان ((بله)) از اطلاعات کاربران

در پی انتشار وسیع ادعایی در یک فایل تصویری درخصوص سوءاستفاده اپلیکیشن پیام‌رسان ((بله)) از اطلاعات کاربران که صرفا با استناد به مجوزهای دسترسی اپلیکیشن اندرویدی صورت گرفته است، به اطلاع می‌رساند اینگونه اظهارنظر نسبت به امنیت اپلیکیشن‌ها فاقد هرگونه اعتبار است. مجوزهای برنامه‌های اندرویدی تابع قابلیت‌های پیاده‌سازی شده و تنظیمات برنامه نویس هستند. درواقع برای ارائه هر قابلیتی ممکن است نیاز به فعال سازی مجوز‌هایی در برنامه باشد. یک بررسی ساده در خصوص سایر اپلیکیشن‌های داخلی و خارجی نیز نشان خواهد داد هر یک دارای مجوزهای گوناگون هستند. همچنین لازم به توضیح است که در ویدئوی منتشر شده حتی تعریف و توضیح برخی از مجوزها نیز کاملا اشتباه است. بطور کلی اظهار نظر در خصوص امنیت هر اپلیکیشنی نیازمند بررسی در فضای فنی‌ و تخصصی است.

1 اسفند 1396 دسته‌ها: اخبار
آسیب‌پذیری RLO در پیام‌رسان تلگرام

امروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند. اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.

در بسیاری از زبان‌ها، مانند زبان عربی کلمات از راست به چپ نوشته می‌شوند. در استاندارد Unicodeنیز می‌توان جهت نمایش حروف را تغییر داد. کافی است تنها از یک نماد نامرئی خاص استفاده شود، پس از آن تمامی حروف به‌طور خودکار در جهت معکوس نمایش داده می‌شوند. هکرها از این قابلیت سوءاستفاده می‌کنند.

فرض می‌شود مجرمی فایل مخرب cute_kitten.jsرا ایجاد کرده است. این فایل یک فایل جاوااسکریپت با پسوند JSاست که قابل اجرا است. نفوذگر می‌تواند نام آن را به صورت زیر تغییر دهد:

cute_kitten*U+202E*gnp.js.

در اینجا U + 202Eهمان کاراکتر Unicodeاست که جهت نمایش را تغییر میدهد. بنابراین نام این فایل در صفحه نمایش به صورت زیر است:

cute_kittensj.png

حال به نظر می‌رسد پسوند فایل PNGو یک فایل تصویری است، در حالیکه عملکردش همان تروجان جاوااسکریپت است (یکی از وظایف اصلی سازندگان تروجان‌ها این است که کاربر را متقاعد سازند خودش یک فایل مخرب را راه‌اندازی نماید. برای انجام این کار یک فایل مخرب را بی‌ضرر جلوه می‌دهند.).

استفاده از Unicodeبرای تغییر نام یک فایل اتفاق جدیدی نیست. از تقریباً ده سال پیش برای پوشاندن پیوست‌های مخرب در رایانامه‌ها و فایل‌های اینترنتی دانلودشده مورداستفاده ‌بوده است؛ اما اولین باری است که در تلگرام استفاده شده است و معلوم شد که کار هم می‌کند. این آسیب‌پذیری RLO(Right to Left Override) نام دارد.

آسیب‌پذیری RLOتنها در نسخه‌ی ویندوزی تلگرام شناسایی شده است و در برنامه‌های تلفن‌همراه وجود ندارد. محققان کسپرسکی نه تنها به وجود این آسیب‌پذیری پی‌برده‌اند بلکه متوجه شدند مجرمان از آن سوءاستفاده نیز کرده‌اند. قربانی فایل تصویر غیرحقیقی را دریافت و آن را باز می‌کند و رایانه‌‌اش آلوده می‌شود. سیستم‌عامل در زمان اجرا به کاربر هشدار می‌دهد فایل اجرایی از منبعی ناشناس است (در صورتی که در تنظیمات غیرفعال نشده باشد)؛ اما متأسفانه بسیاری از کاربران بدون توجه به این پیام هشدار  بر روی “Run”یا “Start”کلیک می‌کنند.

 

پس از اجرای فایل مخرب، بدافزار تصویری را به‌منظور جلب‌توجه کاربر نشان می‌دهد. پس از آن بسته به تنظیمات تروجان گزینه‌های مختلفی وجود دارد.

گزینه‌ی کاویدن مخفیانه (hidden mining) سرعت رایانه را بسیار پایین می‌آورد و باعث می‌شود رایانه تمام توان خود را صرف استخراج ارز مجازی برای مهاجمان ‌کند. تمرکز اصلی کلاهبرداران بر استخراج  Monero، Zcashو Fantomcoinاست. گزینه‌ی دوم نصب درب‌پشتی (backdoor) است که به مجرمان اجازه می‌دهد کنترل رایانه را از راه دور به‌دست گیرند و هر کاری می‌خواهند با آن بکنند (مانند نصب و حذف برنامه‌ها و جمع‌آوری اطلاعات شخصی). چنین آلودگی می‌تواند تا مدت‌ها در دستگاه مخفی بماند بدون آنکه کسی به حضور آن پی ببرد.

پس از کشف این آلودگی توسط محققان کسپرسکی و گزارش آن به توسعه‌دهندگان تلگرام، این مشکل را برطرف کردند، یعنی کلاهبرداران دیگر نمی‌توانند از این فریب در پیام‌رسان تلگرام استفاده کنند؛ اما این بدان معنی نیست که هیچ ‌آسیب‌پذیری دیگری در تلگرام یا دیگر پیام‌رسان‌های محبوب وجود ندارد. بنابراین برای حفاظت در برابر حملات جدید توصیه می‌شود قوانین ساده‌ی ایمنی در شبکه‌های اجتماعی، پیا‌م‌رسان‌های فوری یا هرگونه وسایل ارتباطی دیگری رعایت شود:

  • عدم دانلود از منابع ناشناس
  • توجه به هشدارهای سیستمی زمان بازکردن یک فایل
  • نصب یک آنتی‌‌ویروس قابل اعتماد

 

30 بهمن 1396 دسته‌ها: اخبار
آلوده‌سازی دستگاه‌های اندرويدی توسط بدافزار جديد استخراج Monero

محققان شرکت امنیت سایبری چینی به نام Netlab360در گزارشی اعلام کرده‌اند که یک بدافزار اندرویدی جدید دستگاه‌های اندرویدی آسیب‌پذیر را با استخراج ارز رمزپایه آلوده می‌سازد.

طبق گزارش محققان این موسسه، کرم ADB.Minerهر نوع دستگاه اندرویدی شامل گوشی‌های هوشمند، تب‌لت‌ها و تلویزیون‌ها را جستجو می‌کند. این بدافزار دستگاه را به‌منظور استخراج ارز‌ مجازی Monero(XMR) می‌کاود و تمامی پول‌های به‌دست‌آمده را به یک کیف پول منتقل می‌سازد.

کرم ADB.Minerاز 5 فوریه آلوده‌سازی دستگاه‌ها را شروع و تاکنون به 7000 دستگاه نفوذ کرده‌ است. سرعت پخش ADM.Minerزیاد است به‌طوری‌که تعداد دستگاه‌های جستجوشده هر 12 ساعت دو برابر می‌شود. همچنین عمده‌ی دستگاه‌های آلوده‌شده در چین و کره‌جنوبی بوده‌اند. این کرم با دسترسی به Android Debug Bridge(ADB)و از طریق پورت 5555گسترش می‌یابد. این پورت در حالت عادی بسته است. محققان هنوز راجع به اینکه این پورت چگونه و چه زمانی باز شده است نظری ارایه نداده‌اند.

هنوز معلوم نیست دستگاه‌ها دقیقاً چگونه آلوده می‌شوند. محققان Netlabاز ارائه‌ی برخی جزئیات خودداری می‌کنند؛ اما سرنخی که راجع به این موضوع ارایه داده‌اند این است که به گفته‌ی آن‌ها برخی از کدهای آلوده‌سازی به Miraiشباهت دارند. Miraiبدافزاری است که مسیریاب‌ها و دیگر دستگاه‌های اینترنت اشیا را با حدس گذرواژه‌‌های پیش‌فرض مورد نفوذ قرار می­داد.

30 بهمن 1396 دسته‌ها: اخبار
گزارش تحلیل نسخه جعلی تلگرام اندرویدی منتشر شده در اوایل بهمن ماه ۱۳۹۶

اوایل بهمن ماه ۱۳۹۶، نسخه ای از نرم افزار اندرویدی تلگرام از طریق پیام های تلگرامی ناخواسته در همین نرم افزار در مقیاس گسترده در کشور انتشار یافت. در پیام های دریافت شده، لینکی به یک وب سایت فیشینگ با دامنه‌ و ظاهری شبیه دامنه و وب سایت تلگرام قرار داده شده بود و کاربر را تشویق به دریافت و نصب نسخه ای جدید از نرم افزار با قابلیت های بیشتر می نمود. با توجه به انتشار وسیع این اپلیکیشن، بررسی فنی دقیقی بر روی آن صورت گرفت و جزییات فعالیت آن مشخص شد. برمبنای این گزارش می توان دریافت خوشبختانه این بدافزار اقدامات مخرب محدودی انجام داده و قابلیت های سرقت و یا از بین بردن اطلاعات در آن پیاده سازی نشده است. با این وجود گستردگی انتشار آن نشان می دهد کاربران تا چه حد در برابر حملات مشابه آسیب پذیر هستند و لازم است به هیچ عنوان از منابع غیر از بازارهای رسمی اپلیکیشن، نرم‌ افزاری دانلود نکنند. در این مستند نتایج فنی تحلیل صورت گرفته ارایه شده است.

 

دانلود کامل مطلب

25 بهمن 1396 دسته‌ها: اخبار, گزارشات تحلیلی
اطلاعیه مرکز ماهر درخصوص پاره ای از سوء برداشت ها از گزارش حمله سایبری به وب سایت ها و پورتال های خبری

پیرو گزارش منتشر شده از نتایج بررسی‌های فنی این‌ مرکز درخصوص حمله سایبری به وب سایت ها و پورتال های خبری کشور، نکات زیر را به اطلاع می‌رساند:

•    ضعف امنیتی مورد سوءاستفاده قرار گرفته توسط مهاجم به این سایت ها در لایه کاربردی وب و سامانه مدیریت محتوا (CMS) بوده و هیچ‌گونه آسیب‌پذیری و نقص امنیتی در مراکز داده‌ی میزبان سایت‌های آسیب‌دیده مشاهده نشده است. همچنین مورد ذکر شده درخصوص عدم همکاری مرکز داده تبیان، ناشی از ضعف در هماهنگی و تعامل بموقع طرفین برای حل مشکل بوده که خوشبختانه با برقراری ارتباط مناسب، این نقیصه نیز مرتفع شده است.
•    در گزارش منتشر شده، یکی از پنج آدرس IP‌ مهاجم متعلق به کشور بلغارستان بوده که به اشتباه به نام انگلستان ذکر شده است. این مورد در نسخه جدید گزارش نیز اصلاح شده است.
•    در گزارش این مرکز صرفا به آدرس‌های IP مهاجم و کشورهای مالک آنها اشاره شده و هیچ‌گونه اظهارنظری نسبت به هویت و ملیت فرد یا افراد بهره بردار از این آدرس‌ها جهت نفوذ به وب‌سایت‌ها صورت نگرفته است.
•    در برخی از رسانه‌ها نام برخی از شرکت‌های تولید کننده CMS داخلی مطرح شده که فاقد صحت می باشد. با بررسی‌های انجام شده آسیب‌پذیری مورد سوءاستفاده شناسایی و مرتفع گردیده است.
•    ذکر این نکته ضروری است که وجود آسیب‌پذیری و نقص امنیتی در محصولات نرم‌افزاری و سخت‌افزاری امری اجتناب ناپذیر است. اما لازم است که تولید‌کنندگان نرم‌افزار و مدیران راهبر سیستم‌ها حساسیت و سرمایه‌گذاری مناسبی در مقوله امنیت سایبری در نظر گیرند.
•    متاسفانه برخی ادعا های مطرح شده در خصوص آلوذگی فایلpdf  گزارش مرکز ماهر به بدافزار از اساس کذب بوده و با توجه به انتشار عمومی این فایل، بررسی و صحت سنجی این ادعای بی اساس توسط کارشناسان داخلی و خارجی به سادگی قابل انجام می باشد.

 

گزارش مرکز ماهر از حمله سایبری به وب سایت ها و پورتال های خبری

23 بهمن 1396 دسته‌ها: اخبار
گزارش مرکز ماهر از حمله سایبری به وب سایت ها و پورتال های خبری

در آستانه‌ی برگزاری راهپیمایی باشکوه  22 بهمن‌ماه در روز شنبه مورخ 21 بهمن‌ماه حدود ساعت 20 الی 22 اخباری در خصوص حمله به تعدادی از پورتال‌ها و وب‌سایت‌های خبری منتشر و باعث ایجاد نگرانی‌هایی در سطح جامعه شد. مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص بعمل آورد.  جهت اطلاع و رعایت نکات مهم مطرح در این زمینه، توضیح اجمالی حمله فوق در گزارش حاضر آمده است.

دانلود گزارش کامل

22 بهمن 1396 دسته‌ها: اخبار
صفحات: 1 2 3 4 5 ... » »»