فا

‫ اخبار

هشدار مهم مرکز ماهر درخصوص آسیب‌پذیری روترهای میکروتیک و ادامه سوءاستفاده مهاجمین

تجهیزات ارتباطی شرکت #‫میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین #‫آسیب‌پذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیب‌پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای نرافیک عبوری از روتر را فراهم می‌کند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB,HTTP,SMTP,FTP,اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیب‌پذیری آنها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب‌سایت و شبکه تعاملی منتشر نموده است.

با رصد انجام شده تعداد دستگاه های فعال میکروتیک در تاریخ ۱۰ مرداد ماه ۱۳۹۷ در کشور برابر با ۶۹،۸۰۵ عدد بوده است. تعداد دستگاه های آسیب پذیر شناسایی شده توسط مرکز ماهر در تاریخ ۱۴ مرداد ۱۳۹۷ تعداد ۱۶،۱۱۴ عدد بوده است که تمامی این ۱۶ هزار دستگاه در معرض نفوذ قرار داشتند. اطلاع رسانی چندین باره مرکز ماهر، درباره ضرورت بروزرسانی و انجام اقدامات لازم جهت جلوگیری و گسترش این تهدید صورت گرفته است. علاوه بر این اقداماتی چون قطع ارتباط از خارج کشور به دستگاه­هایداخل کشور شامل پورت ۸۲۹۱ (winbox) توانست تا حدی مانع افزایش تعداد قربانیان گردد.

با وجود همه‌ی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیب‌پذیر می­باشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.

در موج اخیر حمله و سوءاستفاده از تجهیزات آسیب‌پذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره‌برداری می‌کنند، این حملات اصطلاحاً CryptoJackingنام دارد.

با رسانه ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاه­های میکروتیک اینبار با هدف بهره برداری ارزکاوی آغاز شد. هم‌زمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور نمود که در اولین مشاهدات تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. برای جلوگیری از افزایش خسارات ناشی از این حملات، مرکز ماهر اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی نمود. اما به دلیل عدم توجه کافی به هشدارها و اطلاعیه های مرکز ماهر و توجه نشان دادن هکر ها به این نوع حملات و همچنین آلوده سازی دستگاه­ها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاه­های آلوده شده در کشور هستیم. روند صعودی این حمله در نمودار زیر نمایش داده شده است. همانطور که در بخش هایی از نمودار مشاهده می شود، در روزهای اخیر این روند صعودی تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان می باشد.

تا لحظه نگارش این گزارش بیش از ۱۷،۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است.در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ‌ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حملات این ۱۷،۴۵۲ دستگاه حداکثر ۲۴ مهاجم می باشند.

نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی،‌ حتی بعد از بروزرسانی firmwareنیز همچنان در کنترل مهاجمین قرار دارند. شرکت‌های بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

دستورالعمل پاکسازی دستگاه‌های آلوده

با درنظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب‌پذیری مجدد، اقدامات زیر صورت پذیرد:

  1. قطع ارتباط روتر از شبکه
  2. بازگردانی به تنظیمات کارخانه‌ای (Factory reset)
  3. بروزرسانی firmwareبه آخرین نسخه منتشر شده توسط شرکت میکروتیک
  4. تنظیم مجدد روتر
  5. غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام گردد)
  6. با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهید.

درصورتی که راه‌اندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه می‌گردد:

  1. اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک[1]
  2. بررسی گروه های کاربری و حساب های دسترسی موجود
  3. تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
  4. بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
    1. حذف اسکریپت ارزکاوی(coinhive) از فایل
    2. حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
  5. حذف تمامی Scheduler Taskهای مشکوک
  6. حذف تمامی اسکریپت های مشکوک در مسیر System/Script
  7. حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
  8. بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
  9. اضافه کردن Ruleهایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
  10. بررسی جدول NATو حذف قوانین اضافی و مشکوک
  11. غیرفعال کردن دسترسی Webو Telnet
  12. محدود کردن دسترسی های مجاز به Winbox
  13. غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
  14. بررسی تنظیمات بخش Snifferو غیرفعال کردن Captureو Streamingدر صورت عدم استفاده
  15. غیرفعال کردن تنظیمات web proxyدر صورت عدم استفاده
  16. غیرفعال کردن تنظیمات Socksدر صورت عدم استفاده

در ادامه به اطلاع می‌رساند فهرست کلیه تجهیزات آلوده‌ی شناسایی شده به تفکیک شرکت‌ها و سازمان‌های مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکت‌ها در راستای پاکسازی و رفع آسیب‌پذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.

دانلود فیلم روشهای ساده پاکسازی روترهای میکروتیک آسیب پذیر

[1] https://mikrotik.com/download

30 مهر 1397 برچسب‌ها: اخبار
رفع آسيب‌پذيری‌های اجرای کد راه‌دور Drupal

توسعه‌دهندگان سیستم مدیریت محتوای #‫Drupal نقص‌‌های مختلف از جمله #‫آسیب‌پذیری‌هایی که می‌توانند منجر به اجرای کد راه‌دور شوند را برطرف ساخته‌اند. یکی از این شکاف‌‌های امنیتی که «بحرانی» رتبه‌بندی شده، ماژول Contextual Links را تحت‌تأثیر قرار داده و لینک‌های متنی درخواستی را به‌درستی اعتبارسنجی نمی‌کند. این آسیب‌‌پذیری می‌تواند منجر به اجرای کد راه‌دور شود، اما مهاجم برای سوءاستفاده، نیاز به یک حساب کاربری دارای مجوز «دسترسی به لینک‌های متنی» دارد.
نقص بحرانی دیگر، یک مشکل تزریق در تابع DefaultMailSystem::mail() است. این مشکل ناشی از عدم پاکسازی (sanitization) برخی از متغیر‌ها برای آرگومان‌های شل (shell) در هنگام ارسال رایانامه‌ها است.
لازم به ذکر است که در Drupal، رتبه‌بندی «بحرانی» دومین سطح خطر امنیتی و پس از «بسیار بحرانی» است. پس از «بحرانی»، رتبه‌بندی «نسبتا بحرانی» را داریم.
سه آسیب‌پذیری دیگری که در سیستم مدیریت محتوای Drupal برطرف شده‌اند، رتبه‌بندی «نسبتا بحرانی» را به خود اختصاص داده‌اند. این آسیب‌پذیر‌ها، شامل یک مشکل دورزدن دسترسی مربوط به تعدیل محتوا و دو اشکال هدایت باز (open redirect) است.
یکی از اشکالات مربوط به هدایت باز پیش از انتشار وصله، به صورت عمومی مستندسازی شده ‌بود. توسعه‌دهندگان Drupal هشدار داده‌اند که تغییرات پیاده‌سازی‌شده برای رفع ضعف دورزدن دسترسی می‌تواند پیامدهایی برای سازگاری عقبگردها داشته باشد.
این آسیب‌پذیری‌ها، با انتشار نسخه‌های 7.60، 8.6.2 و 8.5.8 Drupal رفع شده‌اند.
به کاربران توصیه می‌شود در اسرع وقت به‌روزرسانی‌های امنیتی را نصب نمایند، زیرا آسیب‌پذیری‌های Drupal در سال‌های گذشته اغلب مورد سوءاستفاده‌ی هکرهای مخرب قرار گرفته‌اند.

29 مهر 1397 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

شرکت مایکروسافت در روز سه‌شنبه 9 اکتبر، بولتن امنیتی خود را منتشر و #‫آسیب‌پذیری "CVE-2018-8453" را وصله کرد "CVE-2018-8453" یک آسیب‌پذیری در "win32k.sys" است که توسط آزمایشگاه کسپرسکی در ماه اوت کشف و به مایکروسافت گزارش شد. مایکروسافت این آسیب‌پذیری را تأیید کرد و شماره‌ی "CVE-2018-8453" را به آن اختصاص داد.
این سوءاستفاده، در مرحله‌ی اول نصب یک برنامه‌ی مخرب اجرا شده بود تا امتیازات لازم را برای استقرار در سیستم قربانی فراهم کند. کد سوءاستفاده از کیفیت بالایی برخوردار است و با هدف اطمینان از سوءاستفاده از MS Windows های مختلف ازجمله MS Windows 10 RS4 نوشته شده است.
تا کنون، تعداد کمی از حملاتی که از این آسیب‌پذیری استفاده می‌کنند، توسط محققان کسپرسکی شناسایی شده‌اند و به‌نظر می‌رسد قربانیان آن کاربران ساکن در کشورها خاورمیانه باشند.

دانلود پیوست

29 مهر 1397 برچسب‌ها: گزارشات تحلیلی
انتشار گزارش تحلیلی مرکز ماهر در خصوص GDPR و نقش آن در صیانت از حریم خصوصی کاربران شبکه‌های اجتماعی

اتحادیه اروپا به منظور صیانت از #‫حریم_خصوصی افراد و محافظت از داده‌های شخصی آن‌ها، قانونی موسوم به #‫GDPR تصویب کرد که همه شرکت‌های ارائه‌دهنده خدمات به کاربران که با داده‌های شخصی افراد سروکار دارند را ملزم به رعایت آن می‌کند. حوزه فراگیر و گسترده این قانون و ضمانت‌های اجرایی مستحکم آن از یک طرف و جرائم سنگینی که در صورت تخلف از آن‌ها به شرکت‌ها تحمیل می‌گردد باعث شد سازگاری با این قانون به شکل جدی در دستور کار بسیاری از شرکت‌ها به خصوص شرکت‌های حوزه فناوری اطلاعات و ارائه دهنده سرویس‌های شبکه اجتماعی قرار گیرد. به همین دلیل شرکت‌های مطرح در حوزه خدمات شبکه اجتماعی فرایند آماده‌سازی خود جهت سازگاری با نیازها و خواسته‌های GDPR را آغاز کردند.

دانلود گزارش کامل

هشدار مرکز ماهر در خصوص مخاطرات عضویت در شبکه‌های هرمی استخراج ارزهای رمزپایه

مشاهدات اخیر حاکی از افزایش چشمگیر پیام‌های فریبنده‌ای است که در فضای مجازی برای ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه (عموما #‫بیت‌کوین) منتشر می‌شوند. این مجموعه‌ها نوعا از ساختار بازاریابی هرمی نیز استفاده می‌کنند تا از ارتباطات افراد برای افزایش گستره نفوذ خود بهره ببرند. مطالعات نشان می‌دهند که ادعاها و وعده های مطرح شده در اغلب موارد کذب بوده و این ابزارها علاوه بر احتمال آسیب زدن به سخت افزار رایانه‌ها می‌توانند سرمنشا مخاطرات جدی امنیتی باشند. به این ترتیب به کاربران و مدیران به طور جدی توصیه می‌شود که از عضویت در این شبکه ها پرهیز و ممانعت نمایند.
بررسی‌های انجام شده نشان می‌دهد که برخلاف ادعاهای مطرح شده، از منظر اقتصادی و با توجه به انرژی الکتریکی صرف شده، انجام این کار با استفاده ازرایانه‌های معمول، حتی در صورتی که گرداننده شبکه هرمی و افراد بالادست چیزی از عایدات طلب نکنند، اقتصادی نخواهد بود. به همین دلیل در سطح جهان، انجام این امور به صورت قانونی (و نه با سرقت منابع دیگران) با تکیه بر سخت‌افزارهای خاص منظوره و با اتکا به پردازنده های گرافیکی پیشرفته انجام می‌گیرد.
ذکر این نکته حایز اهمیت است که با بیشتر شدن بار محاسباتی پردازنده‌ها برای استخراج ارزهای رمزپایه در رایانه‌های معمول و افزایش مصرف توان، دمای سیستم افزایش خواهد یافت و این خود سبب کاهش دوام دستگاه و احیانا آسیب به آن می‌شود. بنابراین حتی برای آزمایش نیز تصمیم به ورود به این شبکه‌های هرمی منطقی نیست.
همچنین اگرچه به دلیل تعدد این ابزارها فرصت تحلیل رفتاری همه آنها موجود نبوده است، اما نکته نگران‌کننده اصلی در این خصوص این است که با تکیه بر هر یک از روش های معمول برای انجام این امور به صورت هرمی ( اجرای برنامه‌های اجرایی ارایه شده یا نصب افزونه‌های معرفی شده در مرورگرهای وب) کاربر و شبکه میزبان او در معرض دسترسی فراهم آورنده این ابزارها یا سایر مهاجمین قرار می‌گیرند و این خود می‌تواند سرآغاز حملات جدی‌تر باشد.
در خصوص کاربرانی که مالک رایانه یا بستر شبکه متصل به آن نیستند، عضویت در این شبکه‌های هرمی می‌تواند توام با جرایمی چون سوء استفاده از منابع عمومی یا خیانت در امانت نیز باشد.
به این ترتیب به کاربران و مدیران، مجددا توصیه اکید می‌شود که از ورود به این شبکه‌ها و نصب ابزارهای مرتبط با آنها پرهیز و ممانعت جدی به عمل آورند.

28 مهر 1397 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

حمله #‫DNSchanger موضوع جدیدی نیست و از سالها پیش فعال بوده و گاه و بیگاه یک حمله از این نوع صورت میگرفته است. بدافزار DNSChanger می تواند درخواست های اینترنتی کاربر آلوده را از طریق سوءاستفاده از سرویس DNS به سایتهای جعلی و مخرب هدایت کند. به این ترتیب با تغییر آدرس سرور DNS مورد استفاده دستگاه، درخواست های ارسالی از آن به جای هدایت به سرورهای DNS واقعی و معتبر در اینترنت، به یکی از سرویس دهنده های تحت کنترل مهاجم فرستاده می شود.

دانلود پیوست

25 مهر 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام IT.Books خبر می‌دهد. طبق بررسی کدمنبع این باج‌افزار محققان به این نتیجه رسیده‌اند که ریشه‌یابی باج‌افزار IT.Books به صورت زیر می‌باشد :
HiddenTear + Jigsaw the GUI >> IT.Books
بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه سپتامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی‌زبان می باشد.

دانلود پیوست

25 مهر 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور نسخه جدید باج‌افزار MoWare H.F.D خبر می دهد. فعالیت این باج‌افزار از نیمه دوم ماه مه 2017 میلادی شروع شده است و در تاریخ 24 سپتامبر سال جاری میلادی به روز رسانی شده است. گزارش تحلیل این باج‌افزار مربوط به نسخه به روز شده آن می‌باشد.

دانلود پیوست

25 مهر 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Pylocky خبر می دهد. فعالیت این باج‌افزار از اواخر جولای 2018 میلادی شروع شده است. بر اساس گزارش سایت id-ransomware.blogspot.com تمرکز این باج‌افزار بر روی کاربران انگلیسی، فرانسوی، ایتالیایی و کره‌ای زبان می‌باشد. البته این مسئله در پیغام باج‌خواهی باج‌افزار مشهود است و متن آن در قالب یک فایل به چهار زبان ذکرشده، بیان شده است.

دانلود پیوست

25 مهر 1397 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور نسخه جدیدی از باج‌افزار GandCrab خبر می­دهد. فعالیت این نسخه باج‌افزار از آخرین هفته سپتامبر 2018 میلادی شروع شده است. بر اساس گزارش سایت BleepingComputer این نسخه از باج‌افزار GandCrab، از یک آسیب پذیری به نام ALPC Task Scheduler برای اجرا در سیستم قربانی بهره می‌برد. این آسیب پذیری یک اکسپلویت روز صفر(0Day) است و زمانی که استفاده شود به فایل‌های اجرایی امکان اجرای دستورات با استفاده از امتیازات کامل سیستم (System privileges) را می‌دهد. تغییرات محسوس این نسخه در پسوند متفاوت اضافه شده به فایل‌ها و همینطور پیغام باج‌خواهی جدید می‌باشد.

دانلود پیوست

25 مهر 1397 برچسب‌ها: گزارشات تحلیلی
صفحات: 1 2 3 4 5 »