فا

‫ اخبار

اطلاعیه مرکز ماهر در خصوص فیلترشکن آمد نیوز

در پی انتشار یک بدافزار در بین کاربران تلفن‌های همراه اندرویدی کشور با عنوان ((فیلترشکن آمدنیوز)) و ادعای انتصاب آن به نهادهای دولتی،‌ بررسی فنی برای شناخت ماهیت و چگونگی عملکرد آن در مرکز ماهر صورت گرفت. خلاصه نتایج این بررسی بدین شرح است:
• این اپلیکیشن پس از اجرا، به تمام مخاطبین کاربر، پیامکی حاوی لینک دریافت این فایل را ارسال کرده و سپس همه مخاطبین را حذف‌ می‌کند.
• اپلیکیشن ساختار و طراحی ابتدایی و ساده دارد.
• غیر از عملکرد شرح داده شده، هیچ قابلیت و عملکرد دیگری در این اپلیکیشن وجود ندارد. این برنامه هیچ گونه ارتباط اینترنتی نداشته و قابلیت سرقت اطلاعات و تماس با سرورهای کنترلی وجود ندارد.
• لینک ارسالی توسط پیامک بر بستر سرویس ابری شرکت آمازون بوده است که در حال حاضر غیرفعال شده است.
لذا ضمن رد هرگونه ارتباط این بدافزار با نهادهای دولتی، جزییات تحلیل آن به پیوست ارائه می گردد.

دانلود پیوست

28 دی 1396 برچسب‌ها: اخبار
هشدار مهم مرکز ماهر درخصوص سوءاستفاده برخی وب‌سایت‌ها از توان پردازشی رایانه بازدیدکنندگان استحصال بیت‌کوین


مشاهدات اخیر نشان‌ داده است که شماری از وب‌سایت‌های داخلی وخارجی با سوءاستفاده از توان پردازشی رایانه‌ بازدیدکنندگان خود اقدام به استحصال bitcoin یا سایر ارزهای مجازی می‌نمایند. این رفتار از دید کاربر به صورت افزایش درصد فعالیت پردازنده و کند شدن سرعت رایانه در هنگام مراجعه به صفحات یک وب‌سایت مشخص نمایان می‌گردد. البته در این موارد، با بسته شدن صفحه وب‌سایت در مرورگر اضافه بار پردازنده نیز متوقف شده و درواقع آلودگی پایداری بر روی سیستم عامل صورت نمی‌پذیرد.
این اقدام با قرارگیری اسکریپت‌های جاوااسکریپت استحصال بیت‌کوین در صفحات وبسایت توسط ادمین یا مهاجمین نفوذ کرده به سایت صورت می‌پذیرد. نمونه‌هایی از نحوه قرارگیری این اسکریپت‌ها در تصاویر زیر ارائه شده است:


لازم است مدیران محترم وبسایت‌های داخلی توجه داشته باشند مسئولیت قانونی این اقدامات بر عهده آنها است. همچنین کاربران می توانند در صورت مشاهده چنین وبسایت‌هایی موارد را جهت پیگیری به اطلاع مرکز ماهر برسانند.

27 دی 1396 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

1 مقدمه
پس از کشف حملات #‫Meltdown و #‫Spectre، شرکت #‫اینتل در آشوبی سهمگین به‌سر می‌برد. محققان امنیتی، موفق به کشف یک آسیب‌پذیری جدید در تکنولوژی مدیریت فعال (AMT) شرکت اینتل شده‌اند که می‌تواند توسط مهاجمان از راه دور، اکسپلویت شود و امکان دست‌یابی به چندین لپ‌تاپ شرکتی را طی چند ثانیه فراهم آورد. در شرایط کنونی، میلیون‌ها دستگاه، به‌صورت بالقوه در معرض حملات قرار دارند.
آسیب‌پذیری موجود در سخت‌افزار اینتل، توسط متخصصان امنیتی سازمان F-Secure کشف گردید. این معضل، AMT اینتل را، که یک تکنولوژی سخت‌افزاری و سفت‌افزاری برای مدیریت خارج از باند از راه دور کامپیوترهای شخصی به‌شمار می‌رود، در راستای کنترل، نگهداری، به‌روزرسانی، ارتقا، و تعمیر آنها تحت تاثیر قرار می‌دهد. آسیب‌پذیری مذکور، در سطح تراشه انجام می‌پذیرد و به نرم‌افزار و یا سیستم‌عامل بستگی ندارد.
در جولای 2017 میلادی، هَری سینتونن ، یکی از مشاوران امنیتی ارشد F-Secure، به رفتار ناامن و گمراه‌کننده‌ی پیش‌فرض موجود در AMT پی برد.
حمله می‌تواند اکسپلویت شود تا دسترسی کامل از راه دور به یک شبکه‌ی شرکتی را بدون در اختیار داشتن مهارت خاصی، ممکن سازد.
آسیب‌پذیری می‌تواند توسط مهاجمین و از طریق دسترسی فیزیکی به ماشین‌های تحت تاثیر، اکسپلویت شود تا احراز هویت (اطلاعات اعتباری ورودی، رمزهای عبور BIOS و BitLocker، و کدهای پین TPM) را نادیده بگیرد (دور بزند) و مدیریت از راه دور پس از استثمار را فراهم آورد.
این بدان معنا است که حتی اگر BIOS توسط یک رمزعبور حفاظت شود، امکان دست‌یابی به توسعه‌ی AMT BIOS (توسعه‌ی BIOS موتور مدیریتی (MEBx) اینتل) وجود دارد. رمزعبور پیش‌فرض “admin”، امکان دست‌یابی به AMT را برای مهاجمان فراهم می‌کند.
سناریوی حمله، این امکان را برای مهاجمان فراهم می‌آورد تا دسترسی فیزیکی به ماشین داشته‌باشند و از این طریق، دستگاه را با فشردن کلیدهای CTRL-P در طول فرایند، بوت (راه‌اندازی) نمایند و توسط “admin”، وارد MEBx شوند.
فرایند نصب، آسان است: یک مهاجم، حمله را با راه‌اندازی مجدد ماشین هدف (قربانی) و پس از آن‌که منوی بوت را وارد می‌کند، آغاز می‌نماید. در شرایط عادی، یک نفوذگر باید در این نقطه متوقف شود، زیرا از رمزعبور BIOS مطلع نیست و نمی‌تواند هیچ آسیبی به کامپیوتر وارد نماید.
اگرچه، در این حالت، مهاجم یک راه‌حل نزد خود دارد: AMT! وی می‌تواند با انتخاب MEBx و با بهره‌گیری از رمزعبور پیش‌فرض “admin”، وارد سیستم شود؛ زیرا غالبا، کاربران مبادرت به تغییر این رمزعبور نمی‌نمایند. یک مجرم سایبری سریع، به‌طور موثر، با تغییر رمزعبور پیش‌فرض، فعال نمودن دسترسی از راه دور، و تنظیم opt-in کاربر AMT به “None”، ماشین را به اختیار خود درمی‌آورد.
هنگامی‌که دسترسی از راه دور فعال می‌شود، مهاجم قادر خواهدبود از راه دور به سیستم دست یابد و بخش‌های همان شبکه را با قربانی به اشتراک بگذارد.
شاید با خود بگویید که اکسپلویت کردن به قرابت فیزیکی نیاز دارد، اما محققان F-Secure اذعان دارند که این امر، برای مهاجمان خبره‌ای که حمله‌ی Evil Maid را قدرت بخشیده‌اند، کار پیچیده و دشواری نیست.

برای دریافت کامل متن کلیک نمایید

26 دی 1396 برچسب‌ها: مستندات مرجع
شرح آسیب پذیری Unserialization در وب سرور WebLogic

بیشتر زبان‏ های برنامه ‏نویسی، روش‏ های Built-in را برای کاربران فراهم می‏کنند تا بتوانند داده ‏های برنامه‏ های کاربردی را بر روی دیسک ذخیره کننده و یا از طریق شبکه انتقال دهند فرایند تبدیل داده‏ های برنامه ‏ی کاربردی به فرمت ‏های مناسب جهت انتقال (معمولاً باینری) Serialization نامیده می‏شود و فرایند بازخواندن داده ‏ها بعد از انجام Serialization، Deserialization/Unserialization نامیده می ‏شود.

برای دریافت متن کامل کلیک نمایید

25 دی 1396 برچسب‌ها: اخبار
سوءاستفاده از مدیران گذرواژه بااستفاده از ردیاب‌های وب

اکثر مرورگرها دارای یک مدیر گذرواژه‌ی داخلی هستند. مدیر گذرواژه ابزاری جهت ذخیره‌سازی اطلاعات ورود در یک پایگاه داده و پرکردن فرم‌ها یا ورود خودکار به سایت‌ها با استفاده از اطلاعات موجود در همان پایگاه داده است.
کاربرانی که قابلیت بیشتری می‌خواهند بر مدیران گذرواژه مانند LastPass، KeePass و DashLane تکیه می‌کنند. این مدیران گذرواژه قابلیت‌هایی را اضافه می‌کنند یا ممکن است به عنوان افزونه‌های مرورگر یا برنامه‌های میزکار نصب شوند.
تحقیقات مرکز Priceton نشان می‌دهد ردیاب‌های وبی که به‌تازگی کشف شده‌اند برای ردیابی کاربران از مدیران گذرواژه سوءاستفاده می‌کنند.
اسکریپت‌های ردیابی از ضعف مدیران گذرواژه سوءاستفاده می‌کنند. اتفاقی که می‌افتد به شرح زیر است:
• کاربر از یک وب‌سایت بازدید می‌کند، یک حساب کاربری ثبت می‌کند و اطلاعات را درمدیرگذرواژه ذخیره می‌سازد.
• اسکریپت ردیابی در پایگاه‌های وب شخص ثالث قرار داده شده و از طریق وب¬سایت اصلی اجرا می‌شود. وقتی کاربری از آن سایت بازدید می‌کند، فرم‌های ورود به سایت به صورت مخفیانه توسط اسکریپت ردیابی، در سایت تزریق می‌شوند.
• اگر سایت مطابقی در مدیر گذرواژه یافت شد، مدیر گذرواژه‌ی مرورگر اطلاعات را در آن پر خواهد کرد.
• اسکریپت ردیابی نام کاربری را شناسایی، آن را درهم‌سازی (hash) می‌کند و برای ردیابی کاربر به کارگزار شخص ثالث ارسال می‌کند.

دانلود پیوست

23 دی 1396 برچسب‌ها: اخبار
آسیب‌پذیری CSRF در phpMyAdmin

اخیرا آسیب‌پذیری امنیتی بحرانی جدیدی برای برنامه‌ی phpMyAdmin گزارش شده است که به مهاجمان اجازه می‌دهد عملیات پایگاه‌داده‌ای خطرناکی را از راه دور انجام دهند.

phpMyAdmin یک ابزار مدیریتی متن‌باز و رایگان برای MySQL و MariaDB است و به‌طور گسترده‌ای برای مدیریت پایگاه‌ داده‌ی وب‌سایت‌هایی که با WordPress، Joomla و بسیاری دیگر از سیستم¬های مدیریت محتوا ایجاد شده‌اند، استفاده می‌شود. علاوه‌براین، بسیاری از ارایه‌دهندگان خدمات میزبانی وب از phpMyAdmin استفاده می‌کنند تا به مشتریان خود روش مناسبی جهت سازماندهی پایگاه‌‌های داده‌ی‌ خود ارایه دهند.
آسیب‌پذیری مذکور توسط محقق هندی به نام آشوتش باروت (Ashutosh Barot) کشف شده است و یک حمله‌ی جعل درخواست (CSRF) است که نسخه‌‌های 4.7.x phpMyAdmin (قبل از 4.7.7) را تحت‌تأثیر قرار می‌دهد.
آسیب‌پذیری جعل درخواست که XSRF نیز نامیده می‌شود، حمله‌ای است که در آن مهاجم، کاربر احرازهویت‌شده را فریب می‌دهد تا عملیات ناخواسته‌ای را انجام دهد.
برای استفاده از این نوع آسیب‌پذیری در phpMyAdmin, مهاجم کافیست کاربری (مدیر سیستم) را به کلیک بر روی یک URL ساختگی فریب دهد. سپس مهاجم می‌تواند عملیات پایگاه‌داده‌ای مضری همچون حذف رکوردها و جداول را بدون آنکه خود کاربر اطلاعی داشته باشد، انجام دهد.
یکی از ویژگی‌های phpMyAdmin این است که برای عملیات پایگاه داده‌ای همچون DROP TABLE table_name از درخواست‌های GET استفاده می‌کند. بدین ترتیب مهاجم با فریب مدیر پایگاه‌داده به کلیک کردن، پرس‌وجوی drop table را جهت حذف جدول بر روی پایگاه داده، اجرا می‌کند.
لازم به ذکر است که انجام این حمله آنگونه که به نظر می‌آید ساده نیست. برای تهیه‌ی URL حمله‌ی CSRF، مهاجم باید از نام پایگاه‌داده و جدول هدف آگاه باشد. البته آشوتش باروت کشف کرده است که URL مورد نیاز برای انجام عملیات پایگاه‌داده‌ای در تاریخچه‌ی مرورگر ذخیره می‌شود و مهاجم می‌تواند با دسترسی به آن‌ها به برخی اطلاعات مربوط به پایگاه‌داده دست یابد. این URL در مکان‌های مختلفی همچون تاریخچه‌ی مرورگر و رویدادهای ثبت شده‌ی مربوط به SIEM، دیواره‌ی آتش و ISP ذخیره شده است و در صورتی که از SSL جهت ارتباط با phpmyadmin استفاده نشود، ممکن است توسط نفوذگر در شبکه قابل مشاهده باشد.
حمله‌ی CSRF حتی زمانی که کاربر در cPanel احراز‌هویت شده باشد نیز کار می‌کند و phpMyAdmin پس از استفاده، بسته می‌شود.
آسیب‌پذیری CSRF از نظر شدت «متوسط» رتبه‌بندی شده است، زیرا سوءاستفاده‌ از آن نیاز به تعامل کاربر دارد. phpMyAdmin این مشکل را با انتشار نسخه‌ی phpMyAdmin 4.7.7 برطرف کرده است، بنابراین لازم است مدیران نسخه نصب شده از این برنامه بر روی سرور خود را در اسرع وقت به‌روزرسانی نمایند.

23 دی 1396 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

حدود یک هفته است که کاربران در فروم سایت های bleepingcomputer و Malwarebytes پست هایی در خصوص خط فرمان BITSADMIN 3.0 که به صورت خودکار و متناوب اجرا می شود و فایل دانلود می کند، منتشر می کنند. چیزی که بین همه ی آن کاربران مشترک است، نصب نرم افزار های ناخواسته بر روی رایانه ی آنها است.
لازم به ذکر است که BitsAdmin شامل مجموعه دستوراتی است که اجازه ی دانلود از طریق خط فرمان را به شما می دهد. کاربرد این دستور در ویندوز معادل دستور Wget در لینوکس است و در واقع یک برنامه ی مدیریت دانلود به صورت command line می باشد. پس از تحقیق و بررسی این موضوع، محققان امنیتی کشف کردند که این رفتار به دلیل یک بسته ی تبلیغ افزار با نام FileTour می باشد.

دانلود پیوست

23 دی 1396 برچسب‌ها: گزارشات تحلیلی
کشف درب پشتی مخفی در 3 افزونه Wordpress

تیم امنیت وردپرس به تازگی سه افزونه را به طور کلی از بخش افزونه های وبسایت های خود حذف نموده است. دلیل این عمل، کشف درب پشتی در کدهای این افزونه ها ذکر شده است. در بررسی های صورت گرفته مشخص شده است که کد درب پشتی موجود در هر سه افزونه بسیار مشابه هم می باشد و در نهایت یک کار خاص و واحد را انجام میدهند.
ابتدا خود را به یک آدرس مشخص متصل می کنند و محتوای مورد نظر نفوذگر را در آدرس های سایت آلوده شده تزریق می کنند.کارشناسان امنیت بر این باورند که درب پشتی برای تزریق کدهای مخرب پنهان در صفحات HTML (لینک مخفی) در سایت های آلوده شده برای بهبود رتبه بندی موتور های جستجو(SEO) استفاده شده است.
....

دریافت کامل متن کلیک نمایید

17 دی 1396 برچسب‌ها: اخبار
حملات Meltdown و Spectre علیه پردازنده‌های مدرن

چهارشنبه، مورخ 3 ژانویه 2018 میلادی، محققان، مجموعه‌ای از آسیب‌پذیری‌های امنیتی اساسی را در ریزپردازنده‌ها (که حدود 15 الی 20 سال است که قلب تپنده‌ی کامپیوترها به‌شمار می‌روند) معرفی کرده‌اند. آسیب‌پذیری‌های مذکور، Meltdown و Spectre نام دارند. هردوی این آسیب‌پذیری‌ها، از طریق تنظیم مجدد ترتیب فرامین و یا اجرای فرامین مختلف به‌صورت موازی، مبادرت به دست‌کاری کارایی بهینه‌ی پردازنده‌ها می‌نمایند. مهاجمی که فرایندی را روی یک سیستم، کنترل می‌کند می‌تواند از آسیب‌پذیری‌های مذکور جهت سرقت اطلاعات محرمانه‌ی موجود در هر نقطه از کامپیوتر استفاده نماید.

جهت دانلود کامل مطلب کلیک نمایید.

17 دی 1396 برچسب‌ها: اخبار
اطلاعیه مهم مرکز ماهر

مطالب انعکاس یافته در رسانه‌ها و مشاهدات در فضای سایبری کشور حاکی از آن است که بدافزاری در پوشش یک فیلترشکن با سوء استفاده از ناآگاهی کاربران اندروید در حال انتشار است.
مرکز ماهر با تایید موضوع به اطلاع می‌رساند که تحلیل‌های فنی بر روی کد مهاجم نشان می‌دهند که حمله این بدافزار، با دریافت یک پیامک فریبنده که مدعی ارایه فیلترشکن از طریق یک آدرس وب است، آغاز می‌شود. با کلیک کردن کاربر بر روی لینک مذکور، بدافزار بر روی تلفن قربانی دانلود می‌شود. از کاربر در زمان نصب، مجوز دسترسی به مواردی از جمله فهرست مخاطبین و خدمات پیامک اخذ می‌شود. در ادامه بدافزار لینک انتشار خود را برای تمام افراد موجود در فهرست مخاطبین ازطریق پیامک ارسال می‌نماید. پس از آن فهرست مخاطبین حذف می‌شود.
برای پیشگیری از این حمله و حملات مشابه، به کاربران اکیدا توصیه می‌شود که از دانلود و نصب برنامه‌ها خارج از بازارهای اپلیکشن معتبر پرهیز نمایند و در زمان نصب برنامه‌ها به دسترسی‌های تقاضا شده از سوی آن‌ها دقت بیشتری داشته باشند.
بکارگیری برنامه‌های ضد ویروس بر روی تلفن‌های همراه و تهیه پشتیبان از اطلاعات ارزشمند نیز به عنوان یک سیاست کلی در مقابله با بدافزارها توصیه می‌گردد.

14 دی 1396 برچسب‌ها: اخبار
صفحات: 1 2 3 »