فا

‫ اخبار

محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه باج‌افزار، از شروع فعالیت نمونه‌ی جدیدی با نام StalinLocker خبر می‌دهد. این #‫باج_افزار به نام StalinScreamer نیز شناخته می‌شود. بررسی ها نشان می دهد فعالیت این باج افزار در نیمه‌ی اول ماه می سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران روسی زبان می باشد. این باج‌افزار که در واقع، یک قفل کننده صفحه (Screen Locker) می‌باشد، پس از اجرا، صفحه را قفل کرده و به قربانی 10 دقیقه زمان، جهت وارد نمودن کد می‌دهد. در غیر این صورت پس از اتمام مهلت تعیین شده، اطلاعات موجود در تمام درایوها را حذف می‌کند. این باج‌افزار در زمان اجرا سرود شوروی سابق را پخش می‌کند و تصویر زمینه‌ی آن نیز شامل شعارهایی به زبان روسی می‌باشد

دریافت پیوست

31 اردیبهشت 1397 برچسب‌ها: گزارشات تحلیلی
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ی جدیدی با نام FBLockerخبر می‌دهد. بررسی­ ها نشان می­ دهد فعالیت این باج­ افزار در نیمه‌ی اول ماه می سال 2018 میلادی شروع شده و به نظر می­ رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان و روسی زبان می­ باشد. همانطور که از نام این باج افزار هم پیداست، یک قفل کننده صفحه (Screen Locker) می‌باشد که پس از اجرا، صفحه دسکتاپ کاربر را قفل کرده و پیغام باج‌خواهی خود را به نمایش می‌گذارد. اما نکته جالب توجه این است که باج‌افزار، خود را به عنوان مارک زاکربرگ موسس شبکه‌ی اجتماعی فیسبوک معرفی می‌کند و تصویری از وی نیز در پس زمینه پیغام باج‌خواهی آمده است. به نظر می‌رسد علت نام گذاری این باج‌افزار به نام FBLockerاستفاده از تصویر مارک زاکربرگ در پس زمینه پیغام باج‌خواهی و اضافه شدن پسوند .facebookبه انتهای فایل‌های رمزگذاری شده باشد.

دانلود پیوست

31 اردیبهشت 1397 برچسب‌ها: گزارشات تحلیلی
چگونگی انجام حملات XXE

حمله XXEیک حمله خارجی XMLاز نوع حمله به یک برنامه کاربردی است که ورودی XMLرا تجزیه می‌کند. این حمله زمانی رخ می‌دهد که یک ورودی XMLحاوی ارجاع به یک موجودیت خارجی، توسط یک تجزیه‌کننده XMLکه به خوبی پیکربندی نشده است، پردازش شود. این حمله ممکن است منجر به افشای اطلاعات محرمانه، منع سرویس، جعل تقاضای سرور و اسکن پورت از جنبه دستگاهی که در آن تجزیه‌کننده واقع شده است، شود.

دانلود گزارش

31 اردیبهشت 1397 برچسب‌ها: گزارشات تحلیلی
حملات تقویت شده DDOS از طریق سوء‌استفاده از پروتکل LDAP

#‫LDAP یک پروتکل لایه کاربرد است که برای دسترسی به سرویس دایرکتوری در شبکه مورد استفاده قرار گرفته و امکان دسترسی و جستجو در فهرست اطلاعات کاربران، سیستم‌ها، شبکه‌ها، سرویس‌ها و برنامه‌های کاربردی را میسر می‌سازد. این پروتکل به‌طور پیش فرض از شماره پورت 389 پروتکل‌های TCP و UDP استفاده می‌کند. این پروتکل در صورت تنظیم نامناسب و در نظر نگرفتن ملاحظات امنیتی می‌تواند مورد سوء استفاده قرار گرفته و در حمله DDOS شرکت داده شود. OPEN-LDAP یک نرم‌افزار آزاد و منبع باز است که پروتکل LDAP را پیاده‌سازی کرده است و نسخه‌های گوناگون آن در سیستم‌عامل‌های مختلف مورد استفاده قرار می‌گیرد. در این مستند نگاهی کوتاه به حمله DDoS LDAP reflection-amplification شده و ملاحظاتی به منظور امن‌سازی آن بیان می‌گردد.

دانلود کنید

29 اردیبهشت 1397 برچسب‌ها: گزارشات تحلیلی, اخبار
هشدارمهم در خصوص تشدید حملات باج‌افزاری از طریق پروتکل دسترسی راه دور(RDP)

درخواست های متعدد امداد از مرکز ماهر و تحلیل حوادث بوجود آمده در بعضی از سازمان ها در روزهای اخیرنشان داده است حملات باج‌افزاری از طریق نفوذ به سرویس پروتکل دسترسی راه دور یا همان پروتکل RDP به شکل روز افزونی در حال افزایش است. متاسفانه مشاهده می‌گردد که در بعضی از سازمان‌ها و شرکت‌ها، هنوز حفاظت کافی در استفاده از پروتکل RDP انجام نگرفته است. قربانیان این حمله معمولا مراکزی هستند که برای ایجاد دسترسی به منظور دریافت پشتیبانی برای نرم‌افزارهای اتوماسیون (اداری، مالی، کتابخانه، آموزشی و ...) از این روش استفاده میکنند. بررسی الگوی این حملات و مشاهدات بعمل آمده در امداد به 24 مورد از رخدادهای باج‌افزاری اخیر که توسط پروتکل مذکور صورت گرفته است، نشان میدهد خسارت ناشی از آنها، بدون احتساب مبالغ احتمالی باج پرداخت شده توسط بعضی از قربانیان، به طور میانگین حدود نهصد میلیون ریال برای هر رخداد بوده است. لذا به کلیه سازمان‌ها، شرکت‌ها و مخصوصا مجموعه‌های پشتیبانی نرم‌افزارها مجددا توصیه اکید می‌شود که استفاده از سرویس RDP بر بستر اینترنت بسیار پر مخاطره بوده و راه را برای انجام بسیاری از حملات، مخصوصا حملات باج‌افزاری هموار می‌کند. پیشنهاد میگردد اقدامات زیر جهت پیشگیری از وقوع این حملات بصورت فوری در دستور کار مدیران فناوری اطلاعات سازمان ها و شرکت ها قرار گیرد:

1- با توجه به ماهیت پروتکل RDP اکیداً توصیه می گردد این پروتکل بصورت امن و کنترل شده استفاده گردد، مانند ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات. همچنین توصیه می گردد از قرار دادن آدرس IP عمومی بصورت مستقیم برروی سرویس دهنده ها خودداری گردد.

2- تهیه منظم نسخه های پشتیبان از اطلاعات بر روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله و نگهداری اطلاعات پشتیبان بصورت غیر بر خط.

3- اجبار به انتخاب رمز عبورسخت و تغییر دوره ای آن توسط مدیران سیستمها.

4- محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم

5- هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.

6- توجه و بررسی فهرست کاربران سیستم ها و سطح دسترسی آنها.

7-توصیه می‌شود در صورت بروز این حمله در سازمانها، مدیران فناوری اطلاعات ضمن اجتناب در پرداخت باج درخواستی سریعا با مرکز ماهر تماس حاصل نمایند.

24 اردیبهشت 1397 برچسب‌ها: اخبار
خطرفعال بودن Telnet و قابل دسترس بودن آن از طریق شبکه اینترنت


#‫Telnet یکی از #‫پروتکل‌ های قدیمی و منسوخ شبکه است که برای ارائه یک ارتباط دوطرفه متنی با استفاده از ترمینال‌های مجازی طراحی شده است (به جای استفاده از رابط کنسول). به‌طور پیش فرض، ارتباط بر بستر IP و روی پورت شماره 23 پروتکل TCP برقرار می‌گردد. ابزارهای متنوعی در سیستم عامل‌های مختلف برای برقراری این نوع ارتباط طراحی و ارائه شده‌اند.

امنیت:
به دلیل قدیمی بودن، این پروتکل ذاتاً دارای نقاط ضعف امنیتی جدی می‌باشد. عدم استفاده از روش‌های رمزنگاری، بزرگترین نقطه ضعف امنیتی این پروتکل است. از این‌رو نبایستی از آن برای دسترسی به سیستم‌های راه دور استفاده نمود. مهمترین نقاط ضعف این پروتکل عبارتند از:
• شنود: به دلیل عدم رمز نمودن اطلاعات تبادل شده، به راحتی زمینه شنود و استخراج اطلاعات مبادله شده همچون کلمات عبور فراهم است. از این‌رو استفاده از این پروتکل به‌جز در محیط‌های آزمایشگاهی ایزوله توصیه نمی‌گردد.
• آسیب‌پذیری نسبت به حملات BRUTE FORCE و دیکشنری برای یافتن کلمه عبور
• آسیب‌پذیری نسبت به حمله منع دسترسی (DOS): به راحتی می‌توان با ارسال حجم زیادی درخواست، مانع از اتصال کاربر اصلی به ماشین سرویس‌دهنده شد.
• امکان استخراج اطلاعات: اطلاعات نمایش داده شده در بنر می‌تواند منجر به افشای اطلاعاتی درخصوص سخت‌افزار و نرم‌افزار گردد. این امر می‌تواند روند سوء‌استفاه از آسیب‌پذیری‌های موجود را تسریع نماید.

ماشین‌هایی که سرویس Telnet بر روی آن‌ها فعال بوده و از طریق شبکه اینترنت قابل دسترسی هستند، بسیار مورد توجه نفوذگران بوده و به راحتی قابل تسخیر هستند. پس از تسخیر، ماشین قربانی می‌تواند در سناریوهای حمله مختلف همچون DDOS و غیره مورد استفاده قرار گیرد.

توصیه:
بررسی‌های انجام گرفته توسط مرکز ماهر نشان می‌دهد که سرویس Telnet بر روی تعداد زیادی از آدرس‌های IP قابل دسترس از طریق اینترنت فعال است. اکیداً توصیه می‌گردد که راهبران شبکه مطمئن شوند که بر روی هیچ یک از آدرس‌های Valid IP تحت کنترل آن‌ها، سرویس Telnet فعال نمی‌باشد. درصورت لزوم استفاده از ارتباط راه دور متنی، بایستی از سرویس SSH استفاده نمایند که به‌طور امن پیکربندی شده است.

لازم به ذکر است شماری از موارد شناسایی شده با سرویس telnet فعال در فضای اینترنت کشور رصد گردیده و اطلاع رسانی شده است.

24 اردیبهشت 1397 برچسب‌ها: اخبار
گزارش اصلاحیه امنیتی مایکروسافت در می 2018

مرکز پاسخگویی امنیتی #‫مایکروسافت (MSRC) بصورت دوره‌ای گزارش‌های مربوط به #‫آسیب_پذیری‌های امنیتی محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات تجمیعی را با هدف کمک به مدیریت تهدیدات امنیتی و حفاظت از سیستم‌های استفاده کنندگان فراهم می‌نماید. بسته بروزرسانی امنیتی ماه می مایکروسافت شامل بروزرسانی‌های امنیتی برای نرم افزارهای زیر است:

دانلود گزارش

24 اردیبهشت 1397 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در روزهای اخیر، از شروع فعالیت باج افزاری بنام BlackHeart خبر می‌دهد. این #‫باج_افزار برای نخستین بار در اواخر ماه آوریل سال 2018 میلادی مشاهده گردید. براساس بررسی‌های صورت گرفته، به نظر می رسد کدهای باج افزار BlackHeart بسیار شبیه به باج افزار Spartacus است. کارشناسان بر این باورند کد منبع باج افزار Spartacus که در اوایل ماه آوریل ۲۰۱۸ شروع به فعالیت کرد، به صورت کیت های ساختاری (Builder Kit) در وب پنهان موجود است و افراد می توانند با استفاده از آن، باج‌افزاری شبیه باج افزار اصلی ولی با ویژگی های متفاوت بسازند. اما اصلی ترین نکته درباره باج افزار BlackHeart ، ایمیل ارتباطی سازنده باج افزار با قربانی است. به نظر می رسد صاحب ایمیل vahidkhaz123@gmail.com یک ایرانی است. اما صحت و سقم این موضوع در دست بررسی می باشد.

برای مطالعه کامل دانلود نمایید

22 اردیبهشت 1397 برچسب‌ها: گزارشات تحلیلی
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت باج افزار Iron خبر می‌دهد. این باج‌افزار به نام‌های Iron Locker و Iron Unlocker نیز شناخته می‌شود. بررسی ها نشان می دهد فعالیت این باج افزار در ابتدای ماه آوریل سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. پس از تحلیل و بررسی باج افزار مذکور، آنچه برای ما واضح است، این است که باج‌افزار Iron در طراحی و توسعه، حداقل از سه خانواده باج افزارهای مختلف کپی برداری نموده است. این خانواده ها به ترتیب زیر می باشند :
• باج افزار Maktub Locker : در طراحی پورتال پرداخت باج و پیغام باج‌خواهی
• باج‌افزار DMA Locker : در پورتال رمزگشایی فایل ها
• باج افزار Satan : در نوع فایل های مورد هدف
این باج افزار همانند اکثر باج افزارها، پس از رمزگذاری فایل ها از قربانیان تقاضای #‫بیت_کوین می کند.

دانلود پیوست

17 اردیبهشت 1397 برچسب‌ها: گزارشات تحلیلی
آسیب پذیری بحرانی شرکت سیسکو به شماره CVE-2018-0253 در محصول Cisco ACS

محصول (Cisco Secure Access Control System)Cisco ACS به عنوان سرویس‌دهنده‌ی متمرکز احرازهویت و کنترل دسترسی، نقشی مهم، حساس و کاربردی‌ در مدیریت شبکه و زیرساخت بر عهده دارد.

یک آسیب پذیری با درجه‌ی خطر بحرانی (CVSS 9.8) در محصول فوق شرکت #‫سیسکو ACS گزارش شده‌است، این آسیب‌پذیری به مهاجمان امکان اجرای کد از را‌ه دور را می‌دهد.

این آسیب پذیری ناشی از تایید اعتبار نادرست پروتکل Action Message Format (AMF) است. این پروتکل مربوط به قالب پیام‌های عملیاتی می‌باشد. مهاجم با سوء استفاده از این پروتکل می تواند یک پیام AMF که حاوی کدهای مخرب را ایجاد و برای سیستم هدف ارسال نماید و باعث اجرای کد دلخواه در سیستم قربانی می گردد.

آسیب‌پذیری فوق بر روی تمامی نسخه‌های نرم‌افزار Cisco Secure ACS با نسخه 5.8 و قبل از آن و وصله 7 اثرگذار می‌باشد.

راه حل‌:

برای رفع این آسیب پذیری بایستی نرم افزار ACS به آخرین نسخه ارتقاء یابد. می توانید نسخه ACS به روز شده را از آدرس سایت شرکت سازنده دریافت نمایید.

https://software.cisco.com/download/home/286286338/type/282766937/release/5.8.0.32

برخی از جزئیات این آسیب‌پذیری‌ در لینک شرکت سیسکو در دسترس می‌باشد:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180502-acs1

14 اردیبهشت 1397 برچسب‌ها: اخبار
صفحات: 1 2 3 »