فا

‫ اطلاع‌رسانی‌ها

مدیریت مدیران

ضمن تشکر از بررسی و نقد صورت گرفته،‌ نکات زیر به استحضار مخاطبین محترم می رسد:

  • ایمیل سرورهای مورد استفاده در سطح سازمان‌ها و شرکت‌ها در کشور از نظر نرم‌افزار و نحوه پیاده سازی بسیار متنوع هستند و نمی توان بسادگی ادعا نمود که ((اکثر)) سرویس دهنده‌ها متصل به active directory یا directory service های دیگر هستند.

  • در اطلاعیه منتشر شده اشاره‌ای به جزییات و چگونگی پیاده سازی قابلیت Lockout‌ نشده است. در توصیه ارایه شده نیز منظور مسدود سازی دسترسی از طریق حساب ایمیل است. بدیهی است مدیران سیستم لازم است تنظیمات و توصیه‌های دریافتی را با مطابقت با نیازمندی‌ها و شرایط زیرساخت خود بکار ببندند.

  • متاسفانه همه سرویس دهنده‌های ایمیل مورد استفاده، قابلیت شناسایی و مسدودسازی آدرس های با تلاش ناموفق را ندارند. علاوه بر این با توجه به دسترسی مهاجمین به شبکه های بزرگ بات و IPهای متعدد با سواستفاده از این ظرفیت مهاجم می تواند حمله brute force خود را با آدرس های متعدد ادامه دهد.

  • در هر صورت بدون شک تمام کاربران ترجیح خواهند داد حساب کاربری آنها در صورت وقوع حمله موقتا مسدود شود تا اینکه مورد نفوذ و سواستفاده‌ی مهاجم قرار گیرد.

با تشکر فراوان

مرکز ماهر

دیروز, 15:21
هشدار فوری در خصوص حملات به سرویس دهنده‌های ایمیل سازمانی

پیرو گزارشات واصله از سطح کشور،‌ حملات به سمت سرویس دهنده‌های #ایمیل_سازمانی افزایش شدیدی داشته است. این حملات در قالب brute force بر روی رمز عبور از طریق پروتکل‌های imap و pop3 و نیز حمله DOS‌ از طریق ارسال دستورات پی‌در‌پی imap و pop3 صورت می‌گیرد. حملات فوق الذکر عمدتا از بلوک IP آدرس‌های زیر رصد شده است:
92.63.193.0/24
5.188.9.0/24
اکیدا توصیه می‌گردد مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران در انتخاب رمزهای عبور مناسب و پیچیده اقدام کنند. همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد. لازم است مدیران سیستم ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت مواجه با اختلالات مشابه موضوع را به اطلاع این مرکز برسانند.

1 خرداد 1397 دسته‌ها: اخبار
مدیریت مدیران

مشاهده و رصد فضای سایبری در زمینه باج‌افزار، از شروع فعالیت نمونه‌ی جدیدی با نام StalinLocker خبر می‌دهد. این #باج_افزار به نام StalinScreamer نیز شناخته می‌شود. بررسی ها نشان می دهد فعالیت این باج افزار در نیمه‌ی اول ماه می سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران روسی زبان می باشد. این باج‌افزار که در واقع، یک قفل کننده صفحه (Screen Locker) می‌باشد، پس از اجرا، صفحه را قفل کرده و به قربانی 10 دقیقه زمان، جهت وارد نمودن کد می‌دهد. در غیر این صورت پس از اتمام مهلت تعیین شده، اطلاعات موجود در تمام درایوها را حذف می‌کند. این باج‌افزار در زمان اجرا سرود شوروی سابق را پخش می‌کند و تصویر زمینه‌ی آن نیز شامل شعارهایی به زبان روسی می‌باشد

دریافت پیوست

31 اردیبهشت 1397 دسته‌ها: گزارشات تحلیلی
مدیریت مدیران

مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه‌ی جدیدی با نام FBLockerخبر می‌دهد. بررسی­ ها نشان می­ دهد فعالیت این باج­ افزار در نیمه‌ی اول ماه می سال 2018 میلادی شروع شده و به نظر می­ رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان و روسی زبان می­ باشد. همانطور که از نام این باج افزار هم پیداست، یک قفل کننده صفحه (Screen Locker)  می‌باشد که پس از اجرا، صفحه دسکتاپ کاربر را قفل کرده و پیغام باج‌خواهی خود را به نمایش می‌گذارد. اما نکته جالب توجه این است که باج‌افزار، خود را به عنوان مارک زاکربرگ موسس شبکه‌ی اجتماعی فیسبوک معرفی می‌کند و تصویری از وی نیز در پس زمینه پیغام باج‌خواهی آمده است. به نظر می‌رسد علت نام گذاری این باج‌افزار به نام FBLockerاستفاده از تصویر مارک زاکربرگ در پس زمینه پیغام باج‌خواهی و اضافه شدن پسوند .facebookبه انتهای فایل‌های رمزگذاری شده باشد.

دانلود پیوست

31 اردیبهشت 1397 دسته‌ها: گزارشات تحلیلی
چگونگی انجام حملات XXE

حمله XXEیک حمله خارجی XMLاز نوع حمله به یک برنامه کاربردی است که ورودی XMLرا تجزیه می‌کند. این حمله زمانی رخ می‌دهد که یک ورودی XMLحاوی ارجاع به یک موجودیت خارجی، توسط یک تجزیه‌کننده XMLکه به خوبی پیکربندی نشده است، پردازش شود. این حمله ممکن است منجر به افشای اطلاعات محرمانه، منع سرویس، جعل تقاضای سرور و اسکن پورت از جنبه دستگاهی که در آن تجزیه‌کننده واقع شده است، شود.

دانلود گزارش

31 اردیبهشت 1397 دسته‌ها: گزارشات تحلیلی
حملات تقویت شده DDOS از طریق سوء‌استفاده از پروتکل LDAP

#LDAP یک پروتکل لایه کاربرد است که برای دسترسی به سرویس دایرکتوری در شبکه مورد استفاده قرار گرفته و امکان دسترسی و جستجو در فهرست اطلاعات کاربران، سیستم‌ها، شبکه‌ها، سرویس‌ها و برنامه‌های کاربردی را میسر می‌سازد. این پروتکل به‌طور پیش فرض از شماره پورت 389 پروتکل‌های  TCP و UDP استفاده می‌کند. این پروتکل در صورت تنظیم نامناسب و در نظر نگرفتن ملاحظات امنیتی می‌تواند مورد سوء استفاده قرار گرفته و در حمله  DDOS شرکت داده شود. OPEN-LDAP یک نرم‌افزار آزاد و  منبع باز است که پروتکل LDAP  را پیاده‌سازی کرده است و نسخه‌های گوناگون آن در سیستم‌عامل‌های مختلف مورد استفاده قرار می‌گیرد. در این مستند نگاهی کوتاه به حمله  DDoS LDAP reflection-amplification شده و ملاحظاتی به منظور امن‌سازی آن بیان می‌گردد.

دانلود کنید

29 اردیبهشت 1397 دسته‌ها: گزارشات تحلیلی, اخبار
هشدارمهم در خصوص تشدید حملات باج‌افزاری از طریق پروتکل دسترسی راه دور(RDP)

درخواست های متعدد امداد از مرکز ماهر و تحلیل حوادث بوجود آمده در بعضی از سازمان ها  در روزهای اخیرنشان داده است حملات باج‌افزاری از طریق نفوذ به سرویس پروتکل دسترسی راه دور یا همان پروتکل RDP به شکل روز افزونی در حال افزایش است. متاسفانه مشاهده می‌گردد که در بعضی از سازمان‌ها و شرکت‌ها، هنوز حفاظت کافی در استفاده از پروتکل RDP انجام نگرفته است. قربانیان این حمله معمولا مراکزی هستند که برای ایجاد دسترسی به منظور دریافت پشتیبانی برای نرم‌افزارهای اتوماسیون (اداری، مالی، کتابخانه، آموزشی و ...) از این روش استفاده میکنند. بررسی الگوی این حملات و مشاهدات بعمل آمده در امداد به 24 مورد از رخدادهای باج‌افزاری اخیر که توسط پروتکل مذکور صورت گرفته است، نشان میدهد خسارت ناشی از آنها، بدون احتساب مبالغ احتمالی باج پرداخت شده توسط بعضی از قربانیان،  به طور میانگین حدود نهصد میلیون ریال برای هر رخداد بوده است. لذا به کلیه سازمان‌ها، شرکت‌ها و مخصوصا مجموعه‌های پشتیبانی نرم‌افزارها مجددا توصیه اکید می‌شود که استفاده از سرویس RDP بر بستر اینترنت بسیار پر مخاطره بوده و راه را برای انجام بسیاری از حملات، مخصوصا حملات باج‌افزاری هموار می‌کند. پیشنهاد میگردد اقدامات زیر جهت پیشگیری از وقوع این حملات بصورت فوری در دستور کار مدیران فناوری اطلاعات سازمان ها و شرکت ها قرار گیرد:

 

1- با توجه به ماهیت پروتکل RDP اکیداً توصیه می گردد این پروتکل بصورت امن و کنترل شده استفاده گردد، مانند ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات. همچنین توصیه می گردد از قرار دادن آدرس IP عمومی بصورت مستقیم برروی سرویس دهنده ها خودداری گردد.

2- تهیه منظم نسخه های پشتیبان از اطلاعات بر روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله  و نگهداری اطلاعات پشتیبان بصورت غیر بر خط.

3- اجبار به انتخاب رمز عبورسخت و تغییر دوره ای آن توسط مدیران سیستمها.

4- محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم

5- هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.

6- توجه و بررسی فهرست کاربران سیستم ها و سطح دسترسی آنها.

7-توصیه می‌شود در صورت بروز این حمله در سازمانها، مدیران فناوری اطلاعات ضمن اجتناب در پرداخت باج درخواستی سریعا با مرکز ماهر تماس حاصل نمایند.

24 اردیبهشت 1397 دسته‌ها: اخبار
خطرفعال بودن Telnet و قابل دسترس بودن آن از طریق شبکه اینترنت


#Telnet یکی از #پروتکل‌ های قدیمی و منسوخ شبکه است که برای ارائه یک ارتباط دوطرفه متنی با استفاده از ترمینال‌های مجازی طراحی شده است (به جای استفاده از رابط کنسول). به‌طور پیش فرض، ارتباط بر بستر IP و روی پورت شماره 23 پروتکل TCP برقرار می‌گردد. ابزارهای متنوعی در سیستم عامل‌های مختلف برای برقراری این نوع ارتباط طراحی و ارائه شده‌اند. 

امنیت:
به دلیل قدیمی بودن، این پروتکل ذاتاً دارای نقاط ضعف امنیتی جدی می‌باشد. عدم استفاده از روش‌های رمزنگاری، بزرگترین نقطه ضعف امنیتی این پروتکل است. از این‌رو نبایستی از آن برای دسترسی به سیستم‌های راه دور استفاده نمود. مهمترین نقاط ضعف این پروتکل عبارتند از:
•    شنود: به دلیل عدم رمز نمودن اطلاعات تبادل شده، به راحتی زمینه شنود و استخراج اطلاعات مبادله شده همچون کلمات عبور فراهم است. از این‌رو استفاده از این پروتکل به‌جز در محیط‌های آزمایشگاهی ایزوله توصیه نمی‌گردد. 
•    آسیب‌پذیری نسبت به حملات BRUTE FORCE و دیکشنری برای یافتن کلمه عبور
•    آسیب‌پذیری نسبت به حمله منع دسترسی (DOS): به راحتی می‌توان با ارسال حجم زیادی درخواست، مانع از اتصال کاربر اصلی به ماشین سرویس‌دهنده شد. 
•    امکان استخراج اطلاعات: اطلاعات نمایش داده شده در بنر می‌تواند منجر به افشای اطلاعاتی درخصوص سخت‌افزار و نرم‌افزار گردد. این امر می‌تواند روند سوء‌استفاه از آسیب‌پذیری‌های موجود را تسریع نماید. 

ماشین‌هایی که سرویس Telnet بر روی آن‌ها فعال بوده و از طریق شبکه اینترنت قابل دسترسی هستند، بسیار مورد توجه نفوذگران بوده و به راحتی قابل تسخیر هستند. پس از تسخیر، ماشین قربانی می‌تواند در سناریوهای حمله مختلف همچون DDOS و غیره مورد استفاده قرار گیرد. 

توصیه:
بررسی‌های انجام گرفته توسط مرکز ماهر نشان می‌دهد که سرویس Telnet بر روی تعداد زیادی از آدرس‌های IP قابل دسترس از طریق اینترنت فعال است. اکیداً توصیه می‌گردد که راهبران شبکه مطمئن شوند که بر روی هیچ یک از آدرس‌های Valid IP تحت کنترل آن‌ها، سرویس Telnet فعال نمی‌باشد. درصورت لزوم استفاده از ارتباط راه دور متنی، بایستی از سرویس SSH استفاده نمایند که به‌طور امن پیکربندی شده است. 

لازم به ذکر است شماری از موارد شناسایی شده با سرویس telnet فعال در فضای اینترنت کشور رصد گردیده و اطلاع رسانی شده است.

24 اردیبهشت 1397 دسته‌ها: اخبار
گزارش اصلاحیه امنیتی مایکروسافت در می 2018

مرکز پاسخگویی امنیتی #مایکروسافت (MSRC) بصورت دوره‌ای گزارش‌های مربوط به #آسیب_پذیری‌های امنیتی محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات تجمیعی را با هدف کمک به مدیریت تهدیدات امنیتی و حفاظت از سیستم‌های استفاده کنندگان فراهم می‌نماید. بسته بروزرسانی امنیتی ماه می مایکروسافت شامل بروزرسانی‌های امنیتی برای نرم افزارهای زیر است:

دانلود گزارش

24 اردیبهشت 1397 دسته‌ها: اخبار
مدیریت مدیران

مشاهده و رصد فضای سایبری در روزهای اخیر، از شروع فعالیت باج افزاری بنام BlackHeart خبر می‌دهد. این #باج_افزار برای نخستین بار در اواخر ماه آوریل سال 2018 میلادی مشاهده گردید. براساس بررسی‌های صورت گرفته، به نظر می رسد کدهای باج افزار BlackHeart بسیار شبیه به باج افزار Spartacus است. کارشناسان بر این باورند کد منبع باج افزار Spartacus که در اوایل ماه آوریل ۲۰۱۸ شروع به فعالیت کرد، به صورت کیت های ساختاری (Builder Kit) در وب پنهان موجود است و افراد می توانند با استفاده از آن، باج‌افزاری شبیه باج افزار اصلی ولی با ویژگی های متفاوت بسازند. اما اصلی ترین نکته درباره باج افزار BlackHeart ، ایمیل ارتباطی سازنده باج افزار با قربانی است. به نظر می رسد صاحب ایمیل vahidkhaz123@gmail.com  یک ایرانی است. اما صحت و سقم این موضوع در دست بررسی می باشد.

برای مطالعه کامل دانلود نمایید

22 اردیبهشت 1397 دسته‌ها: گزارشات تحلیلی
صفحات: 1 2 3 4 5 ... » »»