فا

‫ اخبار

محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

با توجه به تهدیدات گسترده اخیر در خصوص سو استفاده و نفوذ از طریق پروتکل RDP از جمله شناسایی آسیب پذیری CredSSP و انتشار #‫باج_افزار های مختلف از طریق این پروتکل تمرکز بیشتری در رصد فعالیتها و حملات بر این بستر از طریق شبکه هانی نت مرکز ماهر صورت گرفته است. در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرس های IP داخل و خارج از کشور شده است که به نحوی مورد سو استفاده قرار گرفته و درحال تلاش برای آسیب رسانی و ورود به سامانه ها از طریق این پروتکل هستند.

اطلاع رسانی و پیگیری رفع آلودگی یا سواستفاده از این IP ها از طریق مالکین آدرس های داخلی توسط مرکز ماهر در حال انجام است. همچنین مکاتبه با CERT های ملی کشورهای خارجی جهت مقابله در جریان است. بار دیگر تاکید می گردد به منظور رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پرتکل های دسترسی راه دور نظیر Telnet و SSH بروی شبکه اینترنت اکیدا خودداری نمایید و در صورت نیاز، دسترسی به این سرویس ها را تنها بر بستر VPN و یا برای آدرس های مبدا مشخص و محدود برقرار نمایید.

27 اسفند 1396
هشدار به سازمان ها و شرکتها در خصوص تهدید جدی سرویس دهنده‌های RDP بر بستر شبکه اینترنت

با توجه به تهدیدات گسترده ‌اخیر درخصوص سوءاستفاده و نفوذ از طریق پروتکل‌ RDP ازجمله شناسایی آسیب‌پذیری CredSSP و انتشار باج‌افزارهای مختلف از طریق این پروتکل،‌ تمرکز بیشتری در رصد فعالیت‌ها و حملات بر این بستر از طریق شبکه هانی‌نت مرکز ماهر صورت گرفته است. در این بین نتایج اولیه بررسی منجر به شناسایی شماری از آدرس‌های IP داخل و خارج از کشور شده است که به نحوی مورد سوءاستفاده قرار گرفته و درحال تلاش برای آسیب‌رسانی و ورود به سامانه ها از طریق این پروتکل هستند. اطلاع‌رسانی و پیگیری رفع آلودگی یا سوءاستفاده از این IP ها از طریق مالکین آدرس‌های داخلی توسط مرکز ماهر درحال انجام است. همچنین مکاتبه با CERT های ملی کشورهای خارجی جهت مقابله در جریان است. بار دیگر تاکید می‌گردد بمنظور رفع تهدید به ویژه در ایام تعطیلات نوروز از قرار دادن سرویس RDP و سایر پروتکل‌های دسترسی راه‌دور نظیر telnet و SSH بر روی شبکه اینترنت اکیدا خودداری نمایید و درصورت نیاز، دسترسی به این سرویس‌ها را تنها بر بستر VPN و یا برای آدرس‌های مبداء مشخص و محدود برقرار نمایید.

27 اسفند 1396 برچسب‌ها: اخبار
هشدار مرکز ماهر در خصوص اقدامات پیشگیرانه برای حوادث احتمالی فضای مجازی در ایام تعطیلات نوروزی

به اطلاع مدیران محترم فناوری اطلاعات کلیه سازمان ها و شرکت ها می رساند که در ایام تعطیل مخصوصا تعطیلات طولانی، فرصتی مناسب برای مهاجمین جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت های فناوری اطلاعات و ارتباطات است. از اینرو پیشنهاد میگردد تا اقداماتی به شرح زیر برای کسب آمادگی بیشتر و پیشگیری ازحوادث در دستور کار قرار گیرد.

. تعیین نفرات مسول جهت پیگیری تهدیدات و مشکلات احتمالی و هماهنگی با مرکز ماهر

. سرکشی به سامانه ها بررسی عملکرد سرورها و گزارش های امنیتی در تعداد نوبت های متوالی در ایام تعطیلات نوروز

. بررسی کامل رخدادنماها(فایل های ثبت وقایع) در سامانه ها و تجهیزات فناوری سازمان از جمله سرویس دهنده ها، آنتی ویروس ها، دیواره های آتش و بررسی موارد مشکوک مخصوصا تلاش های ناموفق جهت ورود به سامانه ها، انواع حملات تشخیص و پیگیری شده و دسترسی های موفق در ساعات غیر متعارف

. غیرفعال سازی و یا خاموش کردن سامانه ها و خدمات دهنده هایی که در این ایام تعطیلات نیاز به ارایه خدمات آنها وجود ندارد. این موضوع بخصوص در مورد سامانه های مرتبط با اینترنت از اولویت بیشتری برخوردار می باشد.

. غیرفعال سازی ارتباطات شبکه غیرضروری به ویژه شبکه های wifi

. محدودسازی و یا قطع پروتکل های دسترسی از راه دور (rdp ,ssh ) و در صورت نیاز حفاظت از این قبیل دسترسی ها با بهره گیری از ارتباطات vpn امن

. بررسی کیفیت و در صورت نیاز به تغییر دادن کلمات ورود به سامانه ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین کلمه عبور، تعیین و تنظیم تعداد دفعات برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان مجاز استفاده از رمز عبور برای دسترسی از راه دور

. به روزرسانی سیستم های عامل،نرم افزارها و سخت افزارهای امنیتی

. تهیه نسخه پشتیبان از سامانه ها و اطلاعات به ویژه پایگاه های داده و تست عملکرد صحیح پشتیبان های تهیه شده قبل از آغاز تعطیلات

. هوشیاری و پیگیری اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز انجام اقدامات تامینی در طی مدت تعطیلات

. گزارش نمودن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر با پست الکترونیکی cert@certcc.ir و یا شماره تماس های مندرج در وبسایت این مرکز به ادرس www.certcc.ir و نیز مراکز تخصصی آپا که در این ایام آماده به کشیک می باشند.

24 اسفند 1396 برچسب‌ها: اخبار
هشدار در خصوص آسیب‌پذیری پروتکل CredSSP و تهدید سرویس‌دهنده‌های RDP

پروتکل CredSSPیک ارائه دهنده احراز هویت است که درخواست‌های احراز هویت برای سایر برنامه‌ها همچون Remote Desktopدر سیستم‌های عامل خانواده‌ی ویندوز را پردازش می‌کند. آسیب‌پذیری بحرانی جدید کشف شده با کد CVE-2018-0886مربوط به این پروتکل، امکان اجرای دستوراتاز راه دور در سیستم‌های هدف را با تکیه بر مجوزهای دسترسی کاربران فراهم می‌کند. برنامه‌هایی که برای احراز هویت به این پروتکل وابسته هستند، ممکن است در برابر این نوع از حملات آسیب‌پذیر باشند. مهاجم جهت سوء استفاده از این آسیب‌پذیری نیازمند دسترسی به موقعیت فرد میانی (MITM) بین سیستم عامل سرویس‌دهنده پروتکل RDPو کلاینت است. با اجرای یک حمله موفق، مهاجم قادر خواهد بود برنامه‌های مورد نظر خود را اجرا کند، داده‌ها را تغییر داده و یا حذف کند و یا حساب‌های کاربری جدیدی برای داشتن اختیارات و سطح دسترسی کامل در سیستم ایجاد نماید. حملات فرد میانی می‌تواند در زمان استفاده از شبکه‌های بی‌سیم عمومی یا در زمانی که شبکه محلی به صورت مستقیم یا با واسطه در دسترس مهاجم قرار گرفته است یا حتی در زمانی که از طریق آلودگی به یک بدافزار، ترافیک رایانه مورد استفاده توسط قربانی در اختیار مهاجم قرار گرفته، اتفاق بیافتد.

آسیب‌پذیری مذکور در تمامی نسخه‌های ویندوز وجود دارد اما خوشبختانه وصله‌های امنیتی مورد نیاز آن در آخرین بروزرسانی مایکروسافت در تاریخ ۱۳ مارچ ارائه شده است.

بنا بر توصیه ‌‌ی مایکروسافت، برای پیشگیری از حملات با استفاده از آسیب‌پذیری این پروتکل باید علاوه بر اطمینان از بروزرسانی و نصب وصله امنیتی ارائه شده بر روی تمامی سرورها و کلاینت‌ها، نسبت به تنظیم Group Policyدر همه سیستم‌ها جهت جلوگیری از برقراری ارتباط با سیستم‌های وصله نشده اقدام نمود.

جزییات بیشتر در خصوص این آسیب‌پذیری و نحوه تنظیم Group Policyدر لینک‌های زیر در دسترس است:

https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0886

24 اسفند 1396 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

آسیب‌پذیری تزریق، نقطه ضعفی در برنامه‌های وب می‌باشند که اجازه اجرا و تفسیر داده‌های غیرقابل‌اعتماد را به عنوان بخشی از یک دستور یا پرس‌وجو، می‌دهد. این آسیب‌پذیری‌ها توسط نفوذگران به وسیله ایجاد یک دستور یا پرس‌وجوی مخرب، مورد بهره‌برداری قرار می‌گیرد که نتیجه آن از دست‌دادن داده‌ها، عدم پاسخ‌گویی، جلوگیری از دسترسی و مواردی از این دست است. با بهره‌برداری از این نقص امنیتی، نفوذگر می‌تواند به راحتی دسترسی خواندن، نوشتن، حذف و بروزرسانی اطلاعات را داشته باشد برخی از این نوع حملات عبارتند از تزریق دستورات html، #‫تزریق_SQL و غیره...

دانلود متن کامل مستند

14 اسفند 1396 برچسب‌ها: مستندات مرجع
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

گروه پژوهشی تهدیدات پیشرفته McAfee اخیراً گزارشی را منتشر کرده است که بیان می کند یک حمله بدون فایل ، سازمان های برگزارکننده المپیک زمستانی پیونگ چانگ را که در کره جنوبی برگزار می شود، هدف حمله خود قرار داده است. این حمله از قرار دادن یک اسکریپت PowerShell بر روی سیستم قربانی استفاده می کند که کانالی را به سمت سرور مهاجم برای جمع آوری اطلاعات پایه در سطح سیستم ایجاد می کند.
تحلیل گران McAfee در 24 دسامبر 2017، یک بدافزار با نام Gold Dragon به زبان کره ای را مشاهده کردند. به گفته McAfee در حال حاضر این بدافزار، مرحله دوم این حملات به بازی های المپیک است که گروه پژوهشی تهدیدات پیشرفته McAfee آن را در 6 ژانویه 2018 کشف کرد. اسکریپت PowerShell که در کمپین های المپیک مورد استفاده قرار می گرفت، یک عامل قدیمی مبتنی بر چارچوب Empire PowerShell بود که یک کانال رمز شده را به سمت سرور مهاجم ایجاد می کرد. با این حال، این اسکریپت، نیاز به ماژول های اضافی دارد تا به عنوان یک درب پشتی کاملاً کارآمد اجرا شود. علاوه بر این، اسکریپت PowerShell دارای مکانیزمی نیست که فراتر از یک وظیفه ساده زمان بندی شده دوام بیاورد. Gold Dragon مکانیزم ماندگاری بسیار قوی تری نسبت به اسکریپت مخرب PowerShell اولیه دارد و مهاجم را قادر می سازد تا سیستم هدف را خیلی بیشتر مورد حمله قرار دهد. همان روزی که کمپین المپیک آغاز شد، Gold Dragon دوباره ظاهر شد. بدافزار Gold Dragon قابلیت های گسترده ای برای به دست آوردن اطلاعات از سیستم هدف و ارسال نتایج آن به یک سرور کنترل دارد. اسکریپت اجرایی PowerShell فقط قابلیت جمع آوری داده های اولیه مانند نام کاربری، دامنه، نام دستگاه و پیکربندی شبکه را داشت که تنها برای شناسایی قربانیان و راه اندازی بدافزارهای پیچیده تری علیه آنها قابل استفاده بود.

دانلود متن کامل گزارش

9 اسفند 1396 برچسب‌ها: گزارشات تحلیلی
افشای نقص موجود در مرورگر Edge توسط محقق امنيتی شرکت گوگل

محققان امنیتی در Google Project Zero جزئیات مربوط به آسیب‌پذیری در مرورگر Edge را افشا کرده‌اند؛ زیرا مایکروسافت با توجه به سیاست افشاگری گوگل، در یک مهلت 90 روزه به آن پاسخ نداده است.

این نقص می‌تواند توسط مهاجمان مورد سوءاستفاده قرار گیرد تا از ACG (Arbitrary Code Guard) که در Update ویندوز 10 به همراه CIG (Code Integrity Guard) به Edge اضافه شدند، عبور کنند.
ACG و CIG ویژگی‌های امنیتی نسبتاً جدیدی هستند که مهاجمان را از بارگذاری و اجرای کد مخرب به حافظه‌ی یک رایانه از راه مرورگر Edge بازمی‌دارد.
شرکت مایکروسافت این دو ویژگی امنیتی جدید را در یک پست وبلاگ در سال گذشته این‌گونه توصیف کرد: «یک برنامه می‌تواند به‌طور مستقیم کدهای مخرب را از راه بارگذاری یک DLL / EXE مخرب از روی دیسک یا با تولید/تغییر کد پویا در حافظه، وارد حافظه کند. CIG از روش اول (بارگذاری یک DLL / EXE مخرب) با فعال‌کردن الزامات امضای DLL برای Microsoft Edge جلوگیری می‌کند. این کار تضمین می‌کند که فقط DLLهای امضا شده می‌توانند توسط یک فرایند بارگذاری شوند.
ایوان فراتریک، محقق Google Project Zero که این آسیب‌پذیری را کشف کرد، راهی برای دورزدن ویژگی ACG نشان داد. این کارشناس این مسئله را در 17 نوامبر به مایکروسافت گزارش داد و به این شرکت مهلت داد تا آن را رفع کند. این غول تکنولوژی در ابتدا برنامه‌ریزی کرد تا این آسیب‌پذیری را که به‌عنوان «شدت متوسط» طبقه‌بندی شده است، در به‌روزرسانی روز سه‌شنبه‌ی ماه فوریه وصله کند؛ اما اعلام کرد که اصلاحات لازم پیچیده‌تر از آن چیزی بود که پیش‌بینی شده بود و ارایه‌ی آن را به سیزدهم ماه مارس موکول کرد.
اگر یک فرایند آسیب‌پذیر باشد و بتواند پیش‌بینی کند که کدام فرآیندJIT (Just-In-Time) آدرس مجازی "VirtualAllocEx()" بعدی را فراخوانی خواهد کرد (یادآوری می‌شود که این کار نسبتاً قابل پیش‌بینی است)، آنگاه فرایند محتوا می‌تواند:
• حافظه‌ی مشترک نگاشت‌شده را با استفاده از "UnmapViewOfFile()" از نگاشت خارج کند.
• منطقه‌ی قابل‌نوشتنی در حافظه را در همان آدرسی که کارگزار JIT قصد نوشتن در آن را دارد، قرار دهد و یک بارگذاری قابل‌اجرا را در آنجا بنویسد.
• هنگامی‌که فرایند JIT، " VirtualAllocEx()" را فراخوانی می‌کند، حتی اگر حافظه قبلاً اختصاص داده شده باشد، این فراخوانی موفق خواهد بود و حفاظت از حافظه به حالت "PAGE_EXECUTE_READ" تنظیم می‌شود.
این اولین باری نیست که فراتریک به‌طور عمومی یک اشکال در Edge را افشا کرده است. در ماه فوریه‌ی سال 2017، وی جزئیات فنی مربوط به آسیب‌پذیری نوع شدیدی را منتشر کرد که به‌عنوان "CVE-2017-0037" ردیابی شده بود و می‌توانست توسط مهاجمان برای حمله به اینترنت اکسپلورر و مرورگر Edge و تحت شرایط خاص برای اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.

9 اسفند 1396 برچسب‌ها: اخبار
تحلیل و بررسی باج افزار CrossRAT

در سال 2018، محقیق امنیتی Lookoutو Electronic Frontier Foundation(EFF)گزارشی از کمپین Dark Caracalمنتشر کردند که در آن راجع به گروه کمپین و همچنین ابزارها و روش های آن ها صحبت شده است. یکی از ابزارهای قوی که در این کمپین دیده شد، تروجان جدیدی به نام #‫crossrat است که یکی از جالب ترین ویژگی های آن، قابلیت اجرای بر روی سیستم عامل های مختلف است. این بدافزار به زبان جاوا نوشته شده است و از این رو هر سیستم عاملی که ماشین مجازی جاوا بر روی آن نصب باشد قابلیت اجرای آن را خواهد داشت. از این رو حتی کاربران سیستم عامل های مک و لینوکس نیز از این تروجان در امان نخواهند بود.

ویژگی های کلیدی این بدافزار شامل موارد زیر است:

  1. این تروجان سیستم عامل های ویندوز، مک و لینوکس را هدف قرار می دهد.
  2. قابلیت ارتباط با سرور C&Cبرای دریافت دستور و اجرای آن.
  3. اجرای فایل های اجرایی جانبی.
  4. عملیات بر روی فایل ها.
  5. گرفتن اسکرین شات از صفحه کاربر.
  6. پایدارسازی خود در سیستم عامل برای ماندگاری و اجرا در هر بار راه اندازی سیستم عامل.

دریافت فایل پیوست

8 اسفند 1396 برچسب‌ها: گزارشات تحلیلی
امن سازی سامانه های کنترل صنعتی در بخش انرژی

با توجه به افزایش تهدیدات سایبری در حوزه های مرتبط با انرژی در دنیا و نبود برنامه مشخص و مدون برای پیشگیری از اینگونه حملات در کشور ما، نیاز به تدوین نقشه راهی برای ارتقاء امنیت سایبری صنایع کشور می باشد. گام اول در این مسیر بررسی نقشه راه های تدوین شده توسط کشورهای پیشرو صنعتی دنیا می‌باشد، تا با مطالعه تجربیات آنها بتوان راه مناسبی در این حوزه انتخاب کرد.

در این گزارش نقشه راه امن سازی #‫سامانه_های_کنترل_صنعتی در بخش انرژی و نقشه راه سیستم‌های کنترل امن در بخش آب کشور آمریکا بررسی خواهد شد.

این نقشه شامل موارد زیر می باشد:

  1. ارائه تعریف یک استراتژی مبتنی بر اجماع عمومی که بیانگر نیازهای امنیت سایبری صاحبان و اپراتورها در بخش انرژی است.
  2. ارائه یک طرح جامع برای بهبود امنیت، قابلیت اطمینان و عملکرد سیستم‌های کنترل صنعتی پیشرفته در 10 سال آینده.

هدایت تلاش‌های صنایع، دانشگاه‌ها و دولت و اینکه چگونه هرکدام از گروه‌های ذینفع کلیدی می‌توانند به برنامه ریزی برای ایجاد و گسترش راه حل‌های امنیتی کمک کنند، می باشد.

خلاصه برنامه های این نقشه قابل ارائه به مدیران ارشد کشور به منظور توجیه آنها در حساس تر شدن نسبت به تهدیدات روز دنیا در حوزه کاری خود می باشد.

دریافت فایل پیوست

بررسی و مقابله با رخداد هک ۱۴۰ وب سایت

در پی هک بیش از ۱۴۰ وبسایت داخلی در روز جمعه مورخ ۱۳۹۶/۱۲/۰۴ مرکز ماهر وزارت ارتباطات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد.
سایت‌های مورد حمله همگی بر روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده بصورت محدود و تنها شامل بارگزاری یک فایل متنی بوده است.

5 اسفند 1396 برچسب‌ها: اخبار
صفحات: 1 2 »