فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب:"اخبار"
DeepLocker بدافزار اثبات مفهوم مبتنی بر هوش مصنوعی

به تازگی محققین امنیتی و هوش مصنوعی شرکت IBMیک بدافزار اثبات مفهوم را توسعه داده ­اند. این بدافزار #‫DeepLockerنام دارد. DeepLockerبه خودی خود یک payloadمخرب ندارد. بلکه هدف اصلی آن پنهان ­سازی بدافزار و در امان ماندن آن از آنتی­ ویروس­ها و تحلیل­ گران بدافزار است. این بدافزار یک روش نوین پنهان ­سازی با استفاده از مدل­های هوش مصنوعی ارائه داده است.

هدف اصلی توسعه­ دهندگان این بدافزار حمله و یا تخریب نبوده است. بلکه هدف نشان دادن این قضیه به توسعه دهندگان سیستم های امنیتی بوده است که به زودی بدافزارهایی مبتنی بر هوش مصنوعی گسترش خواهند یافت و مکانیزم ها و ابزارهای موجود توانایی مقابله با آن ها را ندارند. از این رو محققین و شرکت های امنیتی باید به فکر راهکارهای جدیدی برای مقابله با اینگونه بدافزارها باشند.

بدافزار DeepLockerروش پنهان سازی خود را کاملا متفاوت از دیگر بدافزارهای موجود ارائه کرده است. این بدافزار برای پنهان ماندن از دست آنتی ویروس ها و فایروال ها، خود را درون نرم افزارهای سالم نظیر نرم‌افزار ویدئو کنفرانس پنهان سازی می کند. این شیوه قبلا هم توسط بسیاری از بدافزارها استفاده شده است و چیز جدیدی نیست.

نکته متمایزکننده در رابطه با این بدافزار، استفاده از هوش مصنوعی برای فعال­سازی شروط حمله است که مهندسی معکوس آن را به شدت سخت و در مواردی فعلا غیر ممکن کرده است.Payloadمخرب این بدافزار فقط در صورتی قفل­ گشایی خواهد شد که شرایط هدف برقرار شود. این شرایط توسط یک مدل آموزش دیده هوش مصنوعی شبکه عصبی عمیق بررسی می­شود.

مدل هوش مصنوعی تولید شده به صورت عادی عمل خواهد کرد و فقط در صورتی که شروط مورد نظر بر روی سیستم قربانی موجود باشد، فعالیت مخرب را آغاز می­کند. در واقع این شبکه عصبی کلید رمزگشایی قسمت مخرب را تولید می­کند. برای تشخیص هدف، این بدافزار از مشخصه­ های مختلفی استفاده می­کند. نظیر ویژگی­های بصری، صوتی، موقعیت جغرافیایی و ویژگی­ های سطح سیستم.

برای تولید یک مدل هوش مصنوعی نیاز به استفاده از الگوریتم ­های یادگیری ماشین داریم. تفاوت الگوریتم‌های عادی و الگوریتم ­های هوش مصنوعی به این صورت است که به جای تعریف فرمول دقیق و یا شروط دقیق در یک الگوریتم، این الگوریتم ­ها خود الگو موجود در داده ­ها را آموزش می­بینند. برای تولید یک مدل هوش مصنوعی، دو فاز آموزش و تست نیاز است. در فاز آموزش تعدادی نمونه آموزشی که هر کدام دارای یک سری ویژگی هستند به ورودی الگوریتم داده می­شود. همچنین خروجی صحیح هر یک از ورودی ها نیز به آن مدل داده می­شود. مدل به وسیله الگوریتم­ های یادگیری ماشین، نحوه تولید خروجی­ ها از ورودی های داده شده را فرا می­گیرد و مدل را تولید می­کند. سپس می­توان به مدل تولید شده یک داده دیده نشده و تازه تزریق کرد و خروجی احتمالی آن را مشاهده کرد.

به عنوان مثال در مبحث تشخیص بدافزار با استفاده از هوش مصنوعی، یک مدل یادگیری ماشینی به این صورت آموزش داده می­ شود: تعدادی فایل سالم و تعدادی فایل مخرب به عنوان نمونه آموزشی انتخاب می‌شوند. سپس از هر یک از این فایل­ ها تعدادی ویژگی به روش ­های مختلف استخراج می­شود. این ویژگی ­ها به عنوان ورودی به الگوریتم داده شده و خروجی الگوریتم مخرب بودن یا سالم بودن نمونه خواهد بود. پس از اینکه مدل آموزش دیده شد می­توان یک فایل جدید را به مدل داد تا مخرب یا سالم بودن آن را تشخیص دهد.

شبکه عصبی معمولی مجموعه­ ای از گره­ هایی است که لایه به لایه قرار گرفته­ اند و به یکدیگر متصل هستند. هر شبکه یک لایه ورودی و یک لایه خروجی و صفر یا تعداد بیشتری لایه میانی یا مخفی دارد. یال­های متصل­ کننده گره ­ها دارای وزن می ­باشند که این وزن­ ها در مقدار گره­ های سمت چپ ضرب شده و تولید مقدار جدید برای گره سمت راست یال را می­کند. این عملیات تا تولید مقدار برای گره ­های لایه خروجی ادامه پیدا می­کند.

شبکه عصبی عمیق یک شبکه عصبی است که تعداد لایه های درونی آن بسیار زیادتر از یک شبکه عصبی معمولی است. تفاوت این دو نوع شبکه را در شکل زیر مشاهده می­کنید:

در سال­های اخیر استفاده از این نوع شبکه محبوبیت بسیاری پیدا کرده است. طرز کار شبکه به این صورت است که تعداد ویژگی به عنوان ورودی از هر نمونه می­گیرد. همچنین خروجی مورد نظر هم به شبکه تحویل داده می­شود. شبکه با توجه به ورودی ­ها و خروجی­ های متناظر آموزش می­بیند و یک مدل تولید می­کند. از این به بعد با دادن یک ورودی جدید می­توان خروجی احتمالی را از مدل استخراج کرد.

DeepLockerفرآیند فعال­سازی فاز حمله خود را که شامل قفل ­گشایی محتوای مخرب و اجرای آن می‌شود، به وسیله یک مدل آموزش­ دیده شبکه عصبی عمیق انجام می­دهد. این مدل کار تحلیل­گران و آنتی‌ویروس را بسیار سخت می­کند. زیرا به جای استفاده از تعدادی شرط رایج به صورت if-then-elseدر کد خود از یک مدل یادگیری ماشینی استفاده کرده است. مدل مورد نظر تنها تعداد گره و یال وزن­دار است که هیچ دیدی از نحوه عملکرد درونی خود به ما نمی­دهد. پس تحلیل ­گران حتی نمی­توانند به طور کامل متوجه حالت­ هایی شوند که بدافزار در آن فعال خواهد شد.

در واقع برای تحلیل­ گران بدافزار دو چیز مهم است: شرایط وقوع یک حمله سایبری و payloadمخرب آن. DeepLockerهر دوی آن را مورد هدف قرار داده است. شرایط حمله به صورت یک جعبه سیاه در آمده است و payloadنیز در صورت نامعلومی قفل ­گشایی خواهد شد.

  1. پنهان­سازی دسته مورد حمله: چه اشخاصی و یا سازمان­هایی قرار است مورد حمله قرار گیرند.
  2. پنهان­سازی نمونه­های مورد حمله: مشخص نیست که نمونه مورد نظر چه شخص یا سازمانی خواهد بود.
  3. پنهان­سازی محتوای بدافزار: مشخص نیست که حمله نهایی چگونه شکل خواهد گرفت.

تیم توسعه DeepLocker، برای نشان دادن قابلیت­های منحصر به فرد این بدافزار از بدافزار معروف WannaCryبه عنوان payloadبدافزار استفاده کرده ­اند و آن را درون یک نرم­افزار ویدئو­کنفرانس سالم جای داده­اند. شرایط حمله نیز تشخیص چهره فرد مورد نظر است. یعنی فقط در صورتی که فرد مورد نظر در ویدئو­کنفرانس ظاهر شود کامپیوتر آن مورد حمله قرار می­گیرد.

در نهایت هدف تیم تحقیقاتی امنیتی IBMنه تولید یک بدافزار مخرب بلکه موارد زیر بوده است:

  • بالا بردن آگاهی از تهدیدات هوش مصنوعی در بدافزار و اینکه این روش ها به سرعت در بین بدافزارنویسان محبوب خواهند شد.
  • نشان دادن اینکه چگونه این روش ها می تواند سیستم های دفاعی امروزه را دور بزند.
  • ارائه بینش در مورد چگونگی کاهش خطرات و اعمال اقدامات مناسب کافی
27 شهریور 1397 برچسب‌ها: اخبار
6 به روز رسانی مهم امنیتی ادوبی

کمپانی #‫ادوبی در ماه سپتامبر 2018 به روز رسانی های مهمی را منتشر کرده است که 6 آسیب پذیری خطرناک در محصولات خود را رفع می کند. این به روز رسانی ها بیشتر بر روی محصولات Flash Player و ColdFusion این کمپانی متمرکز می باشد. این آسیب پذیری ها که از نوع Remote Execute Command بر روی سرورهای آسیب پذیر ColdFusion می باشد، امکان نفوذ و اعمال تغییرات بر روی سرورهای آسیب پذیر را برای نفوذگران فراهم می آورد. توصیه اکید به کاربران استفاده کننده از دو محصول فوق این است که حتما نرم افزارهای خود را به روز رسانی کنند.
به روز رسانی شماره APSB18-31 برای محصول Flash Player این کمپانی بر روی پلتفورم های ویندوزی، macOS، لینوکس و ChromeOS می باشد. نسخه آسیب پذیر به شماره 30.0.0.154 می باشد که این آسیب پذیری توسط تیم Security Response Center کمپانی مایکروسافت گزارش شده است و پس از به روز رسانی، نسخه آن به شماره 31.0.0.108 ارتقا خواهد یافت. در جدول زیر اطلاعات و شماره شناسایی این آسیب پذیری را مشاهده می نمایید:

به روز رسانی شماره APSB18-33 که برای محصول ColdFusion 2018 and 2016 ارائه شده است که 11 آسیب پذیری را شامل می شود. در این میان، 5 آسیب پذیری به نفوذگر این اجازه را می دهد که از راه دور بر روی سرور کدهای مخرب را اجرا کند و باقی آسیب پذیری ها مربوط به بازنویسی بر روی فایلهای موجود در سرور می باشد. البته هنوز اطلاعاتی در مورد اینکه آیا هکرها از این آسیب پذیری ها استفاده کرده اند در دسترس نمی باشد. توصیه کمپانی ادوبی برای مدیران سرورهای ColdFusion که به روز رسانی های لازم را انجام نداده اند این اس که سیستم خود را Lockdown کنند. در جدول زیر توضیحات آسیب پذیری های منتشر شده، همراه با شماره شناسایی آنها را مشاهده می نمائید:

27 شهریور 1397 برچسب‌ها: اخبار
هشدار در خصوص افزایش حملات به ابزار phpMyAdmin بر روی سرویس‌دهنده‌های وب

طی هفته گذشته افزایش حملات شدیدی روی پورت‌های 80، 8000 و 8443 در سطح شبکه کشور مشاهده شده است. این حملات بر بستر پروتکل http و از نوع SQL Injection بر روی صفحه لاگین #‫phpMyAdmin صورت پذیرفته است. براساس بررسی های صورت گرفته توسط سنسورهای مرکز ماهر طی این مدت بیش از ۶۰۰ هزارحمله ثبت شده است. از میان مهاجمین آدرس اینترنتی 46.246.36.4 بیشترین تعداد حملات شامل 121125 حمله را انجام داده است. این حملات از آدرس‌های IP کشور سوئد صورت گرفته است.
بمنظور پیشگیری از تهدیدات مشابه، لازم است دسترسی به ابزار phpMyAdmin و ابزارهای مدیریتی مشابه تا حد امکان محدود گردد.


دانلود جزئیات خبر

25 شهریور 1397 برچسب‌ها: اخبار
هشدارهای امنیتی مهم سیسکو

کمپانی #‫سیسکو در جدیدترین اخبار منتشره از بخش امنیتی خود اعلام کرده است که 30 آسیب پذیری جدید در محصولات خود کشف کرده است که 16 آسیب پذیری دارای اهمیت بالایی هستند. حدود نیمی از این آسیب پذیری ها با درجه اخطار High مشخص شده است که نشان دهنده خطرناک بودن این آسیب پذیری ها می باشد.
سیسکو اعلام کرده است تمامی محصولاتی که از Apache Struts استفاده می کنند آسیب پذیر نبوده و تنها یکی از محصولات این کمپانی تحت تاثیر آسیب پذیری اخیر و خطرناک RCE بر روی Apache Struts می باشد. محصولاتی هم که از این آسیب پذیری رنج می برند، به زودی به روز رسانی شده و یا Patch های امنیتی برای آنها ارائه خواهد شد. لیست این محصولات را در تصویر زیر مشاهده می نمایید:

یکی دیگر از آسیب پذیری های منتشر شده، آسیب پذیری خطرناک بر روی Cisco Umbrella API می باشد که به نفوذگر این اجازه را می دهد پس از نفوذ، از راه دور توانایی مشاهده و اعمال تغییرات بر روی داده های محصولات آسیب پذیر را داشته باشد. همچنین محصولات Umbrella Enterprise Roaming Client و Enterprise Roaming Module آن دارای آسیب پذیری Privilege Escalation به شماره شناسایی های CVE-2018-0437 و CVE-2018-0438 هستند که این آسیب پذیری ها در سطح خطرناک طبقه بندی شده اند.
از دیگر آسیب پذیری های خطرناک اعلام شده توسط این کمپانی، سه آسیب پذیری مهم بر روی محصولات دیوارآتش و مسیریاب های سری RV-series می باشد. در این میان محصولات RV110W Wireless-N VPN Firewall و RV130W Wireless-N Multifunction VPN Router و RV215W Wireless-N VPN Router به صورت اختصاصی توسط سیسکو معرفی شده است. این آسیب پذیری ها که هم اکنون توسط مشخصه CVE-2018-0423 معرفی شده است به صورت Buffer Overflow بر روی Management Interface بوده است که اجازه ی حمله ی DoS و همچنین امکان اجرای کدهای مخرب را بر روی محصول آسیب پذیر را به نفوذگر می دهد. نفوذگر می تواند توسط ارسال درخواست های آلوده به Device های فوق، به صورت کامل عملیات Exploiting را انجام داده و به دستگاه دسترسی کامل را پیدا کند. همچنین روترها و دیوارآتش های مشابه در همان سری، دارای آسیب پذیری Directory Traversal با شماره شناسایی CVE-2018-0426 و آسیب پذیری Command Injection به شماره شناسایی CVE-2018-0424 و آسیب پذیری Information Disclosure به شماره شناسایی CVE-2018-0425 می باشند که همگی این آسیب پذیری ها دارای سطح آسیب پذیری خطرناک می باشند. در ادامه لیست Device های آسیب پذیر مهم را مشاهده می فرمائید:
• Cisco Webex Meetings client for Windows - privilege escalation (CVE-2018-0422 )
• Cisco Webex Teams - information disclosure and modification (CVE-2018-0436)
• Cisco SD-WAN Solution - certificate validation (CVE-2018-0434), command injection (CVE-2018-0433), privilege escalation (CVE-2018-0432)
• Cisco Prime Access Registrar - denial of service (CVE-2018-0421)
• Cisco Integrated Management Controller - command injection (CVE-2018-0430 and CVE-2018-0431)
• Cisco Data Center Network Manager - privilege escalation to the underlying operating system (CVE-2018-0440)

25 شهریور 1397 برچسب‌ها: اخبار
جاسوسی هکرها بر صفحه‌نمايش رايانه از طريق ميکروفون وب‌کم

تیمی از محققان کشف کرده‌اند که هکرها می‌توانند با گوش‌دادن به #‫میکروفون ، از راه دور بر صفحه‌نمایش رایانه #‫جاسوسی کنند. هکر می‌تواند به صداهای آکوستیکی که از صفحه‌نمایش می‌آید گوش دهد و این صدا می‌تواند برای تشخیص محتوای نمایش‌ داده شده بر روی صفحه‌نمایش استفاده شود. به عبارت دیگر، هر شخصی با دانش فنی خوب، می‌داند چگونه می‌تواند به‌راحتی فعالیت‌های رایانه‌ای اشخاص را جاسوسی کند.
در این حمله که محققان آن را Synesthesia نامیده‌اند، هکرها می‌توانند محتوای یک صفحه نمایش راه‌دور را آشکار سازند، دسترسی به اطلاعات حساس بالقوه را که تنها مبتنی بر نشت آکوستیک مبتنی بر محتوا از صفحات LCD هستند را فراهم ‌آورند. صفحات LCD با هر دو نور پس‌زمینه‌ی CCFL و LED تحت‌تأثیر این حملات قرار گرفته‌اند.
صداهای ظریف آکوستیک از طریق میکروفون‌های معمولی داخل وب‌کم‌ها یا صفحات‌نمایش، گوشی‌های هوشمند یا بلندگوی هوشمند جاسازشده بر روی میز کنار صفحه‌نمایش، از فاصله‌ی 10 متری بااستفاده از یک میکروفون پارابولی، از طریق میکروفون وب‌کم متصل‌شده در طی اسکایپ، Google Hangouts یا دیگر جریان‌های چت صوتی یا از طریق ضبط‌های یک دستگاه نزدیک مانند Google Home یا Amazon Echo، قابل جمع‌آوری است. صداهای مربوطه بسیار ضعیف و پرقدرت هستند و گوش انسانی قادر به شنیدن آن نیست. بنابراین کاربران نمی‌توانند شک کنند این انتشارات وجود دارد و اطلاعات مربوط به محتوای صفحه‌نمایش آن‌ها به هر کسی که جریان‌های صوتی را دریافت می‌کند، منتقل می‌شود.
اغلب کاربران تلاش می‌کنند وب‌کم‌های (و بنابراین میکروفون) خود را نزدیک صفحه‌نمایش جای دهند تا بتوانند در حین کنفرانس ویدیویی تماس چشمی برقرار کنند و در نتیجه اندازه‌گیری‌های با کیفیت بالایی را برای مهاجمان خواستار ارایه می‌دهند.
محققان به‌منظور بررسی این نوع حملات، برنامه‌ی آزمایشی کوچکی ساختند که الگوهای خطوط سیاه و سفید متناوب افقی با ضخامت برابر(با واحد پیکسل) را که به آن‌ها Zebra می‌گویند، نمایش می‌دهد. دوره تناوب یک Zebra، فاصله‌ی بین دو نوار سیاه مجاور (با واحد پیکسل) است. پس از اجرای برنامه، تیم تحقیقاتی، صدای پخش‌شده از صفحه نمایش Soyo DYLM2086 را در حین نمایش چندین Zebra ضبط کردند. در هر دوره‌ی مختلف از نوارها، فرکانس صدای آلتراسونیک در یک حالت قابل پیش‌بینی تغییر یافت. با کمک الگوریتم یادگیری ماشین (داده‌ها را تجزیه و تحلیل می‌کند تا پیش‌بینی کند چه چیزی بر روی صفحه‌نمایش کاربر بوده است)، محققان توانستند ضبط‌شده‌ها را ترجمه کنند. این تیم تحقیقاتی همچنین با دقت 96.5 درصد توانستند 10 مورد از محبوب‌ترین وب‌سایت‌های نمایش داده شده بر روی صفحه‌نمایش را تشخیص دهند.
محققان همچنین در تحقیقات خود اثبات کردند که چگونه مهاجمان می‌توانند آنچه را که کاربر تایپ می‌کند را با تجزیه و تحلیل فرکانس صدای تولیدشده در حین استفاده از صفحه‌کلید روی صفحه‌نمایش، استنتاج کنند. اگرچه صفحه‌کلید روی صفحه‌نمایش یک مکانیزم امنیتی برای گذرواژه‌ی ورودی است؛ اما محققان ثابت کردند که این عملیات نیز از هکرهایی که چشم‌ها و گوش‌ها را جاسوسی می‌کنند در امان نیست.

25 شهریور 1397 برچسب‌ها: اخبار
هشدار مرکز ماهر در خصوص سوء استفاده از سرویس UPnP در سطح کشور

رصد فضای سایبری کشور و گزارش های حاصله نشان داده است که طی چند روز اخیر حملات اینترنتی بر روی پورت 5431 با افزایش شدیدی مواجه بوده است. این پورت در اکثر مواقع بر روی سرویس Universal Plug and Play که به اختصار #‫UPnP نامیده می‌شود، مورد استفاده قرار می‌گیرد. بررسی آدرس‌های مهاجم نشان‌دهنده تنوع زیاد مهاجمین نسبت به حملات شناسایی شده است که بیانگر فراگیری آلودگی تجهیزات در سطح کشور می باشد. بیشترین حملات شناسایی شده از شش کشور هند، چین، آمریکا، کلمبیا، ایران و برزیل هستند. این مسئله می‌تواند بیانگر در معرض حمله قرار گرفتن تجهیزات دارای سرویس UPnP در سطح کشور باشد که لازم است اقدامات پیشگیرانه در اسرع وقت بر روی آنها صورت پذیرد.

سرویس UPnP، امکان اتصال و ارائه سرویس را در اختیار سایر ابزارهای شبکه محلی قرار می‌دهد. یکی از خصوصیات UPnP امکان مذاکره خودکار و پیکره‌بندی باز کردن یا هدایت کردن پورت‌ها در شبکه از طریق NAT است. این خصوصیت به دستگاه اجازه می‌دهد تا برخی پورت‌ها را باز کرده و جریان ترافیک را هدایت کند. مهاجمین به سرویس UPnP معمولا اطلاعات لازم برای اتصال به فرایند UPnP را بدست آورده و اقدام به اتصال به این فرایند می‌کنند. یکی از مشکلات در حملات به UPnP این است که تعداد زیادی از ابزارها حاوی این سرویس به راحتی در معرض اسکن از طریق اینترنت قرار دارند. همچنین تاکنون تعداد زیادی آسیب ­پذیری در سرویس UPnP و یا برنامه‌هایی که از آن استفاده می­کنند، پیدا شده است. معمولا از این آسیب­ پذیری‌ها برای ایجاد حمله و انتقال بدافزار از طریق روترهای خانگی استفاده می‌شود.

برخی آسیب‌پذیری‌های UPnP
تعداد آسیب پذیری ها موجود بر روی این سرویس بسیار زیاد است که در اینجا به چند مورد از جدیدترین ها اشاره شده است.

آسیب‌پذیری

توضیحات

میزان خطر

امتیاز

CVE-2018-8914

آسیب پذیری SQL Injectionدر UPnP DMAدر Synology Media Serverاست که به کاربر راه دور اجازه اجرای دستور SQLرا ازطریق پارامتر ObjectIDمی دهد.

حیاتی

9.8

CVE-2017-8798

خطای Integer signednessدر MiniUPnPبه مهاجم راه دور اجازه اجرای حمله جلوگیری از سرویس را می دهد.

حیاتی

9.8

CVE-2017-3882

آسیب پذیری موجود در پیاده سازی روتر the Cisco CVR100W Wireless-N VPNمی تواند به مهاجم احرازهویت نشده اجازه اجرای کد در دستگاه را داده یا باعث حمله جلوگیری از سرویس شود. اجرای کد راه دور می تواند با مجوز مدیر سیستم انجام شود.

حیاتی

9.6

CVE-2016-6255

آسیب پذیری مربوط به Portable UPnP SDKبه کاربر راه دور اجازه نوشتن فایل در webrootرا از طریق درخواست POSTفاقد handlerثبت شده می باشد.

بالا

7.5

نقشه حملات شناسایی شده ایران

راهکار مقابله
به منظور پیشگیری از آلودگی مجموعه‌ای از اقدامات قابل انجام است که عبارتند از:
1. غیر فعال کردن UPnP در صورت عدم استفاده.
2. پیکره بندی مجدد کلیه دستگاه هایی که سرویس UPnP آنها از طریق اینترنت قابل مشاهده است، به گونه ای که این سرویس از اینترنت قابل مشاهده نباشد.
3. بروزرسانی مداوم firmware دستگاه به منظور نصب آخرین وصله های امنیتی برروی آن.

21 شهریور 1397 برچسب‌ها: اخبار
هشدار در خصوص گسترش حملات باج افزاری GandCrab v4


آمار گزارش های رسیده و نتایج امدادهای انجام گرفته حاکی از گسترش حملات باج افزاری نسخه چهارم باج افزار خطرناک #‫GandCrab به کاربران در سراسر کشور می باشد. این باج افزار روش های گوناگونی از نفوذ به سیستم از جمله ضعف در پیکربندی سرویس #‫RDP و پیوست هرزنامه ها و اکسپلویت کیت ها را در حملات خود استفاده می‌کند و لازم است مدیران فناوری اطلاعات ادارات و شرکت‌ها آمادگی پیشگیری و مقابله با این باج افزار را حفظ نمایند. شایان ذکر است که این باج افزار از ابتدای پیدایش خود تا کنون 4 نسخه متفاوت داشته و در سطح جهانی نیز خسارت‌های بسیاری ایجاد نموده است.
تحلیل‌های انجام گرفته تاکنون در فضای سایبری کشور حاکی از آن است که بیشتر قربانیان از طریق ضعف در تنظیمات پروتکل RDP به این باج‌افزار مبتلا شده‌اند، این در حالی است که مواردی از آلوده‌شدن در اثر دیگر روش‌های نفوذ از جمله پیام‌های جعلی و اکسپلویت کیت موسوم به FallOut نیز مشاهده شده است.

به مدیران و کارشناسان فناوری اطلاعات توصیه اکید می‌شود که در تهیه و نگهدای نسخ پشتیبان از اطلاعات و تنظیمات، دقت مضاعف داشته باشند، از به روز بودن سیستم‌های عامل و نرم افزارها به خصوص آنتی ویروس به طور مستمر اطمینان حاصل نمایند و همچنین تا جای ممکن از کاربرد پروتکل‌های دسترسی از راه دور چون RDP پرهیز نموده و در غیر این صورت با تمهیدات اضافه چون احراز هویت دو مرحله‌ای ضریب اطمینان در این ارتباطات را افزایش دهند.
از آنجا که در مورد این بد افزار و برخی نمونه‌های دیگر، به وفور کاربرد ارسال ایمیل‌های جعلی برای به دام انداختن کاربران ناآگاه به عنوان شگرد حمله مشاهده شده است، به روز نگاه داشتن آنتی اسپم سازمانی و آگاه سازی مستمر کاربران از مخاطرات پیام‌های جعلی اقداماتی درخور توجه می‌باشند.

21 شهریور 1397 برچسب‌ها: اخبار
چگونگی افزایش امنیت در پروتکل RDP با تکیه بر احراز هویت دو مرحله ای به منظور پیشگیری از حملات سایبری و به خصوص حملات باج افزاری


تجارب به دست آمده از فرآیندهای امدادی در حوزه مقابله با باج‌افزارها در فضای بومی تولید و تبادل اطلاعات حاکی از آن است که کسر بسیار بزرگی از حملات از طریق نفوذ به پروتکل #‫RDP با سرقت یا یافتن رمز عبور رخ می‌دهند. فارغ از آن که توصیه جدی می‌شود تا در صورت امکان از کاربرد این پروتکل در زیرساخت‌های فناوری اطلاعات پرهیز گردد، اما برای مواردی که مدیران ناچار به استفاده از این پروتکل هستند علاوه بر اتخاذ تمهیداتی از قبیل:
- انجام تنظیماتی برای اجبار به استفاده از رمز عبور پیچیده
- انجام تنظیماتی برای قفل شدن کاربر در صورت وارد کردن اشتباه رمز عبور بیش از تعداد مشخص
- انجام تنظیماتی برای اجبار به تغییر دوره‌ای رمز عبور
- انجام تنظیماتی برای اجبار به عدم استفاده از رمز‌های عبور تکراری
پیشنهاد می‌گردد که از احراز هویت دو مرحله‌ای نیز استفاده گردد. از آن جا که انجام دادن تنظیمات و انتخاب ابزار کمکی برای انجام این فرآیند بسیار پیچیده می‌باشد، یک ویدیوی آموزشی به عنوان نمونه برای این منظور تهیه شده و در آدرس https://www.aparat.com/v/ZUndJ در دسترس می‌باشد.

20 شهریور 1397 برچسب‌ها: اخبار
کشف يک آسيب‌پذيری بحرانی در Apache Struts 2 با قابليت اجرای کد از راه دور

یک #‫آسیب‌پذیری امنیتی مهم اجرای کد از راه دور (RCE)، در چارچوب برنامه‌ی محبوب Apache Struts کشف شده که می‌تواند مهاجمین راه دور را قادر به اجرای کدهای مخرب در سرورهای آسیب‌دیده نماید. این آسیب‌پذیری (CVE-2018-11776) در هسته‌ی Apache Struts قرار دارد و به دلیل اعتبارسنجی نامناسب از ورودی‌های دریافت‌شده از سوی کاربر به‌وجود می‌آید.
این سوءاستفاده‌ی Apache Struts می‌تواند با مراجعه به یک URL خاص بکاررفته در سرور وب آسیب‌دیده، باعث حمله‌ی مهاجم برای اجرای کد مخرب و درنهایت کنترل کامل بر روی سرور هدفی شود که در حال اجرا‌ی برنامه‌ی آسیب‌پذیر است.
برای آسیب‌پذیر بودن باید دو شرط زیر برقرار باشد:
• پرچم "alwaysSelectFullNamespace" در تنظیمات Struts به "true" تنظیم شده باشد. باید توجه داشت که در افزونه‌ی محبوب Struts Convention، این مقدار به‌طور خودکار تنظیم شده است.
• فایل پیکربندی Struts حاوی یک تابع "action" یا "url" باشد که در پیکربندی آن‌ها، namespace مشخص نشده یا به‌طور مبهم به صورت "/*" مشخص شده است.
اگر در پیکربندی برنامه این شرایط وجود نداشته باشد، احتمالاً سیستم آسیب‌پذیر نیست ولی اگر این شرایط برقرار باشد، دو بردار حمله‌ی زیر برای بهره‌برداری از این آسیب‌پذیری بر روی سیستم، قابل اجرا خواهد بود
1. بردار حمله‌ی result بدون namespace
در Struts سه نوع result وجود دارد که اگر بدون namespace مورد استفاده قرار بگیرند، ناامن خواهند بود. result ها در فایل پیکربندی و یا در داخل کدهای جاوا قابل تعریف هستند. سه نوع result زیر آسیب‌پذیر هستند:
• Redirect action : این عمل، بازدیدکنندگان را به سمت URL متفاوتی هدایت می‌کند.
• Action chaining: روشی است که در آن چندین عمل، به یک توالی تعریف‌شده یا یک جریان کار، زنجیر می‌شوند.
• Postback result: پارامترهای درخواست را به‌صورت فرمی پردازش می‌کند که فوراً یکpostback را به زنجیره‌ی مقصد و یاpostback مشخصی ارسال می‌کند.

2. بردار حمله‌ی استفاده از برچسب‌های url در الگوها
Apache Struts در فایل پیکربندی و در داخل برچسب ، از الگوهای صفحه پشتیبانی می‌کند. اگر الگو از بسته‌ای ارجاع داده شده باشد که در آن، ویژگی namespace تعریف نشده باشد، استفاده از برچسب url به‌طور بالقوه ناامن خواهد بود.

به‌گفته‌ی محققان امنیتی، یک کد اثبات مفهومی از این آسیب‌پذیری در گیت‌هاب منتشر شده که مهاجمان به راحتی می‌توانند از آن بهره‌برداری کنند.
تمام برنامه‌های کاربردی که از نسخه‌های Apache Struts (نسخه‌های پشتیبانی‌شده‌ از Struts 2.3 تا Struts 2.3.34 و Struts 2.5 تا Struts 2.5.16 و حتی برخی از نسخه‌های پشتیبانی‌نشده‌ی Apache Struts) استفاده می‌کنند، به‌طور بالقوه نسبت به این نقص آسیب‌پذیر هستند (حتی اگرافزونه‌های جانبی زیادی نداشته باشند).
این آسیب‌پذیری در نسخه‌های Struts 2.3.35 و Struts 2.5.17 وصله شده است. بنابراین، به کاربران و مدیران به‌شدت توصیه می‌شود تا مؤلفه‌های Apache Struts خود را به آخرین نسخه ارتقاء دهند.

19 شهریور 1397 برچسب‌ها: اخبار
حذف بيش از 20 افزونه‌ی دارای فعاليت جاسوسی از فايرفاکس توسط موزيلا

در ماه ژوئیه‌ی سال جاری، مرورگرهای گوگل کروم و موزیلا #‫فایرفاکس، افزونه‌ی "Stylish" را به‌دلیل ثبت سابقه‌ی مرورها، از مرورگرهای خود حذف کردند، اما موزیلا تلاش‌های خود را برای ریشه‌کن کردن افزونه‌های دارای فعالیت جاسوسی از مرورگر خود ادامه داد و اکنون بیش از بیست افزونه، از سایت فایرفاکس حذف شده‌اند.
فهرست افزونه‌های مسدود‌شده شامل «Web Securiy» است. این افزونه‌ی امنیتی فایرفاکس دارای بیش از 220،000 کاربر است که موزیلا آن‌را به دلیل ارسال تاریخچه‌ی مرور به یک سرور واقع در آلمان، حذف کرد.
«راب وو»، یکی از مهندسین مرورگر موزیلا اعلام کرد که افزونه‌ی "Web Security" در کنار دیگر افزونه‌ها پس از انجام یک بررسی جامع، برداشته شده‌اند. وی اضافه کرد که این افزونه‌ها در AMO (addons.mozilla.org) در دسترس نیستند و در مرورگرهای کاربران غیرفعال شده‌اند.
وو با بررسی کد منبع یک افزونه و بازیابی تمامی افزونه‌های فایرفاکس از AMO با استفاده از "webextaware"، بیست افزونه یافت و آن‌ها را بر اساس ویژگی‌هایشان به دو گروه تقسیم کرد.
گروه اول مشابه افزونه‌ی web Security است که در زمان نصب، درخواستي به سرور دلخواه ارسال می‌کند تا آدرس URL سرور دیگر را دریافت کند. هر بار که کاربر به برگه‌ی (Tab) جدیدی می‌رود، آدرس آن به این سرور راه دور ارسال می‌شود. پاسخ‌ها در یک فرمت خاص می‌توانند قابلیت اجرای کد از راه دور (RCE) را فعال کنند. خوشبختانه، نویسندگان در 7 مورد از هر 10 افزونه (از جمله Web Security)، در پیاده‌سازی دچار اشتباه شدند که این اشتباه مانع از انجام RCE شد.
گروه دوم، آدرس‌های برگه را همانند گروه اول جمع‌آوری نمی‌کند، اما می‌تواند کد راه دور را اجرا کند (که اثر بدتری دارد). به‌نظر می‌رسد این گروه، یک نسخه‌ی تکامل‌یافته از گروه اول است، زیرا همان منطق برای RCE مورد استفاده قرار گرفته است.
همه‌ی این افزونه‌ها از پنهان‌سازی کد استفاده می‌کنند که در آن، عملکردهای واقعی فرمت مشروع با کد ظاهراً بی‌ضرر ترکیب شده و بر روی مکان‌ها و فایل‌های مختلف پخش می‌شوند.
علاوه بر Web Security، دیگر افزونه‌های ممنوع شامل Browser Security، Browser Privacy و Browser Safety هستند. همه‌ی این افزونه‌ها داده‌ها را به سرور مشابه Web Security، واقع در 136.243.163.73 ارسال می‌کردند.
سایر افزونه‌های ممنوع‌شده عبارتند از:
• YouTube Download & Adblocker Smarttube
• Popup-Blocker
• Facebook Bookmark Manager
• Facebook Video Downloader
• YouTube MP3 Converter & Download
• Simply Search
• Smarttube - Extreme
• Self Destroying Cookies
• Popup Blocker Pro
• YouTube - Adblock
• Auto Destroy Cookies
• Amazon Quick Search
• YouTube Adblocker
• Video Downloader
• Google NoTrack
• Quick AMZ
در مجموع، بیش از 500،000 کاربر، حداقل یکی از این افزونه‌ها را در فایرفاکس خود نصب کرده‌اند. پس از گزارش این افزونه‌ها به موزیلا، این شرکت نه‌تنها آن‌ها را از وب‌سایت موزیلا حذف کرد بلکه در مرورگرهای کاربران نیز غیرفعال کرد.

11 شهریور 1397 برچسب‌ها: اخبار
صفحات: 1 2 3 4 5 ... » »»