فا

‫ اخبار

رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج افزار Ranion 1.09 خبر می دهد. فعالیت این نسخه از باج‌افزار در اوایل ماه اوت سال 2018 میلادی شروع شده است. مشاهدات حاکی از آن است که باج افزار مورد اشاره پس از نفوذ به سیستم قربانی و اتمام فرایند رمزگذاری، به انتهای فایل‌ها پسوند .ransom را اضافه می کند و پیغام باج‌خواهی را به صورت یک پنجره توسط یکی از مرورگرها بر روی دسکتاپ قربانی قرار می‌دهد. نکته قابل توجه در خصوص این باج‌افزار این است که باج افزار پیغام باج‌خواهی را به چند زبان و حتی زبان فارسی نیز به صورت فایل متنی بر روی دسکتاپ قرار می‌دهد.

دانلود پیوست

8 دی 1397 برچسب‌ها: گزارشات تحلیلی
رفع آسيب‌‌پذيری افزايش امتياز در تجهيزات امنيتی سازگار سيسکو

یک #‫آسیب‌پذیری در نرم‌افزار تجهیزات امنیتی سازگار (ASA) #‫سیسکو کشف شده است که به یک مهاجم اجازه می‌دهد فایل‌ها را بازیابی یا تصاویر نرم‌افزار را بر روی یک دستگاه جایگزین کند.
این نقص امنیتی که به صورت CVE-2018-15465 ردیابی می‌شود، می‌تواند توسط یک مهاجم احراز‌ هویت‌ نشده و راه دور مورد سوءاستفاده قرار گیرد تا عملیات ممتاز را بااستفاده از واسط مدیریتی وب انجام دهد. برای سوءاستفاده از این نقص لازم است مهاجم درخواست‌های HTTP خاصی را از طریق HTTPS به یک دستگاه متأثر به عنوان یک کاربر غیرممتاز ارسال نماید.
مهاجم با سوءاستفاده از این نقص می‌تواند پیکربندی در حال اجرا را تغییر دهد یا دانلود کند و همچنین سخت‌افزار تجهیزات را آپلود یا جایگزین نماید. مهاجم می‌تواند سخت‌افزار را با نسخه‌ی قدیمی‌تر آن جایگزین کند و سپس از آسیب‌پذیری‌های شناخته‌ شده‌ی موجود در آن، سوءاستفاده نماید.
مشکل این است که مجوزهای کاربر هنگام استفاده از واسط مدیریتی وب به‌درستی اعتبارسنجی نمی‌شوند و هنگامی که احرازهویت فرمان (command authentication) در تجهیزات امنیتی سازگار سیسکو غیرفعال باشد (وضعیت پیش‌فرض) می‌تواند مورد سوءاستفاده قرار گیرد. هنگامی که احرازهویت فرمان فعال نباشد، ASA تنها بین کاربران غیرممتاز (سطح 0 و 1) و کاربران ممتاز (سطوح 2 تا 15) تمایز قایل می‌شود. انتظار می‌رود کاربران ممتاز (سطوح 2 تا 15) از طریق واسط مدیریتی وب دسترسی کامل مدیریتی به ASA داشته باشند، حتی بدون دانستن گذرواژه.
با توجه به اینکه این آسیب‌پذیری تنها زمانی کار می‌کند که احرازهویت فرمان غیرفعال شده باشد، راه حل این آسیب‌پذیری شامل فعال‌سازی احرازهویت فرمان به‌منظور جلوگیری از سوءاستفاده است. این امر به طور قابل توجهی حالتی را که در آن ASA سیسکو سطوح امتیاز و عملیات احرازهویت را تفسیر می‌کند، تغییر می‌دهد و مدیران باید عملیات مجاز در هر سطح امتیاز را تعریف کنند. به گفته‌ی سیسکو، مدیران نباید فرمان aaa فرمان احراز هویت را تا زمانی که این فعالیت‌ها را تعریف نکرده‌اند، فعال سازند.
مدیرانی که از مدیر دستگاه امنیتی سازگار (ASDM) برای مدیریت ASA استفاده می‌کنند، باید احرازهویت فرمان را از طریق ASDM فعال سازند تا مطمئن شوند عملیات ASDM مناسبی پس از فرمان احرازهویت فعال شده است.
نرم افزار ASA در حال اجرا بر روی هر محصول سیسکو که دسترسی مدیریت وب آن فعال است، تحت‌تأثیر این آسیب‌پذیری قرار گرفته است. نرم‌افزار Firepower Threat Defense تحت‌تأثیر این آسیب‌پذیر قرار نگرفته است.
سیسکو به مشتریان خود توصیه می‌کند به نسخه‌های پشتیبان‌شده (9.4.4.29، 9.6.4.20، 9.8.3.18، 9.9.2.36 یا 9.10.1.7) مهاجرت کنند.
بر اساس نتیجه‌گیری‌های سیسکو، برای اینکه رفع این آسیب‌پذیری مؤثر باشد، مشتریانی که دسترسی مدیریت وب آن‌ها فعال است باید مطمئن شوند که پیکربندی AAA، دقیق و کامل است. به طور خاص، فرمان {LOCAL | <aaa-server>} کنسول http احراز هویت aaa باید وجود داشته باشد.

8 دی 1397 برچسب‌ها: اخبار
گزارش کامل بررسی 200 اپلیکیشن اینستاگرامی منتشره در مارکت های ایرانی

یکی از شبکه های اجتماعی محبوب در ایران اینستاگرام است. برنامه های زیادی با نام های «فالوئریاب»، «لایک بگیر»، «آنفالویاب» و عناوین مشابه برای ارائه خدمات جانبی به کاربران اینستاگرامی در مارکتهای داخلی منتشر شده است. همانطور که نام برنامه ها نشان میدهد، هدف برنامه ها عمدتا گرفتن فالوئر و لایک و... برای کاربران اینستاگرام است. پیشتر در مهرماه ۱۳۹۷، هشداری توسط مرکز ماهر با عنوان ((هشدار مرکز ماهر در خصوص برنامه های مرتبط با اینستاگرام)) منتشر گردید. در این گزارش جزییات بیشتر این بررسی ارائه می‌گردد. با توجه به زمان سپری شده از آغاز بررسی‌های فنی،‌ ممکن است تغییراتی در اپلیکیشن‌های مطرح شده و اطلاعات انتشار یافته صورت پذیرفته باشد.‬‬

در بررسی انجام شده بیش از 200 برنامه اندرویدی که خدمات مرتبط با اینستاگرام ارائه می دهند از مارکت های داخلی جمع آوری و بررسی شد. از این میان حدود 100 برنامه برای ارائه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند. در بین این برنامه ها بیش از 50 برنامه سارق اطلاعات کاربران شناسایی شد. این برنامه ها نام کاربری و رمز عبور اینستاگرامی کاربر را به روشهای مختلف استخراج کرده و به سرور توسعه‌دهندگان ارسال میکردند. با توجه به آمار نصب های این برنامه ها به‌صورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامه‌ها قرار گرفته است.

بسیاری از برنامه های دیگر (از بین 100 برنامه) نیز باوجود اینکه به کاربران اطمینان میدادند که به رمز عبور آن‌ها دسترسی ندارند ولی با استفاده از روشهایی، رمز عبور را استخراج میکردند. برای این دسته از برنامه ها شواهدی از ارسال رمز عبور به سرور خود برنامه ها مشاهده نشد و به همین دلیل این برنامه ها در لیست برنامه های سارق ذکر نشده اند. نتایج بررسی این برنامه ها در گزارش دوم ارائه شده است. متاسفانه از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آنها سارق بودند و اکثر برنامه های باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج میکردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامه ها در کل خطر بالایی دارند و بهتر است که فروشگاه های اندرویدی پیش از انتشار چنین برنامه هایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیق‌تری داشته باشند.

لازم به ذکر است که در این تحقیق تمام برنامه های اندرویدی مارکتهای داخلی از این نوع بررسی نشدند و فقط یک مجموعه دویست تایی از برنامه ها برای نمونه جمع آوری و تحلیل شدند. در نتیجه احتمالا برنامه های سارق دیگری نیز در مارکتها حضور دارند.

با همکاری صورت گرفته از سوی مارکت‌های توزیع کننده، شماری از این اپلیکیشن‌ها حذف شده اند که در مستند بصورت highlight‌ شده نشان داده شده اند. برخی از صفحات فیشینگ مورد اشاره در مستند نیز با همکاری میزبانان داخلی و خارجی حذف گردیدند اما متاسفانه برخی از دامنه‌های فیشینگ صفحه ورود اینستاگرام به دلیل عدم همکاری میزبانان خارجی همچنان فعال هستند.

دانلود بخش اول گزارش

دانلود بخش دوم گزارش

دانلود بخش سوم گزارش

Hash file

3 دی 1397 برچسب‌ها: اخبار
هشدار درخصوص افزایش حملات به پورت 7547

در روزهای اخیر شاهد افزایش میزان حملات در سطح کشور بر روی #‫پورت_7547 بوده ایم. فعالیت های این پورت که یکی از پورت های اصلی مورد هجوم بدافزار #‫میرای است، می تواند تا حدودی وضعیت این بدافزار و میزان فعال بودن بات نت های مرتبط با آن را مشخص کند. با بررسی های انجام شده بر روی این پورت مشخص شد که در بازه زمانی 1397/09/01 تا 1397/09/30 نرخ حملات به شدت افزایشی بوده و متاسفانه اکثر حملات صورت گرفته از آدرس های مبدا ایران هستند، بگونه ای که در حملات رخ داده در این بازه زمانی حدود 68 درصد حملات از آدرس های کشور ایران و تنها 32 درصد حملات از سایر نقاط جهان ایجاد شده است. این نشان می دهد هنوز بسیاری از تجهیزات و سیستم های داخل کشور پاکسازی و بروزرسانی نشده و در حال انتقال آلودگی هستند. این در حالی است که در گزارش های پیشین نیز به اهمیت بروزرسانی تجهیزات و مقابله با بات های آلوده در کشور تاکید شده بود.

در ضمن قابل تاکید است که بیشترین حملات خارجی از کشور رومانی به این پورت صورت‌گرفته است و در بررسی جداگانه‌ای که درباره کشور رومانی صورت گرفت، مشخص شد که برخی زیرشبکه های این کشور آلوده به بات نت هایی هستند که پورت های 23 و 7547 را در داخل کشور مورد هدف قرار می دهند.

بنابراین با توجه به تهدیدات داخلی و خارجی در این مورد، لازم است سازمان های ذی ربط در اسرع وقت نسبت به هشدار به مالکان تجهیزات آلوده اقدام نمایند تا میزان بات نت های فعال بر روی این پورت در کشور کاهش یابد. بیشتر تجهیزات آلوده که به این پورت حمله می کنند در دسته مودم ها و روترهای خانگی قرار دارند که با بروزرسانی Firmware در مقابل حملات بات نت ها و تبدیل شدن به بات ایمن می شوند. جهت مطالعه کامل به فایل پیوست مراجعه نمایید.

1 دی 1397 برچسب‌ها: اخبار
صفحات: « 1 2 3 4