فا

‫ اخبار

بررسی بات نت Mirai Okiru

چشم‌انداز اینترنت اشیا لینوکس به‌سرعت درحال تغییر است، و مهاجمان شروع به هدف قرار دادن دستگاه‌های IoT برپایه‌ی ARC CPU کرده‌اند. این اولین باری است که یک بدافزار، به‌طور خاص سیستم‌های مبتنی بر ARC را هدف قرار می‌دهد. بدافزار Mirai Okiru در زمان کشف برای بیشتر آنتی‌ویروس‌ها غیرقابل تشخیص بوده است.
به‌گفته‌ی محققان تاثیر این بات‌نت می‌تواند خرابکارانه باشد. با توجه به تخمین‌ها، تعداد پردازنده‌های جاسازی‌شده‌ی ARC به‌ازای هر سال به بیش از 1.5 میلیار دستگاه می‌رسد. این به این معنی است که تعداد دستگاه‌هایی که به‌صورت بالقوه در معرض خطر هستند بسیار زیاد است و بنابراین یک بات‌نت قدرتمند می‌تواند برای بسیاری از اهداف خرابکارانه استفاده شود.
پردازنده‌های ARC خانواده‌ای از CPUهای 32 بیتی هستند که توسط ARC International طراحی شده‌اند. آن‌ها به‌طور گسترده در دستگاه‌های SoC برای Storage، home، موبایل و برنامه‌های اینترنت اشیاء استفاده شده‌اند. Mirai Okiru بسیار خطرناک است، و توسعه‌دهنده‌ی آن اصلاحات نوآورانه‌ای را در رمزگذاری آن به‌وجود آورده است و این اولین بدافزاری است که هسته‌ی ARC را هدف قرار می‌دهد.
محققان معتقدند با وجود شباهت‌های بات نت جدید Okiru با بات نت Satori که آن‌هم از نوع Mirai بوده و دستگاه‌های IOT بسیاری را آلوده کرده است، این بات نت جدید کاملاً عملکردی متفاوت از خود ارائه کرده است.
پیکربندی Okiru در دو قسمت رمزگذاری کدهای عبور تل‌نت مورداستفاده قرار می‌گیرد این در حالی است که تروجان Satori در دو مرحله فعالیت خود را پیش نمی‌برد و رمزهای عبور پیش‌فرض را مورداستفاده قرار نمی‌دهد.
بررسی‌ها نشان می‌دهد که Satori به‌عنوان یک ابزار تکراری توزیع‌شده مورداستفاده قرار می‌گیرد که از طریق UDP های تصادفی از TSource Engine Query استفاده می‌کند. این در حالی است که تروجان Okiru از این قاعده پیروی نمی‌کند. پایگاه داده پردازنده مرکزی ARC توسط بدافزار Okiru کامپایل می‌شود؛ این در صورتی است که خطر ساخت بات نت‌ها برای میلیون‌ها دستگاه روزبه‌روز در حال افزایش است.

15 بهمن 1396 برچسب‌ها: اخبار
بهترين اقدامات امنيتی سرويس‌دهنده VMware vCenter (بخش سوم)- فعال‌سازی قابليت DRS و گزينه‌های پيکربندی آن

به مجموعه‌ای از میزبان‌های ESXiو ماشین‌های مجازی مرتبط با آن‌ها، منابع مشترک و واسط مدیریت مشترک، یک VMware DRS[1]می‌گویند. با استفاده از DRSمی‌توان منابع را در سطح کلاستر مدیریت کرد، به این ترتیب توازن به‌خوبی در کلاستر برقرار می‌شود. هنگامی‌که یک میزبان به کلاستری که DRSآن فعال شده است اضافه می‌شود، منابع آن میزبان به منابع آن کلاستر اضافه می‌شود. علاوه بر این، کلاستری که DRSآن فعال شده است از مخزن منابع[2] در سطح کلاستر پشتیبانی کرده و سیاست‌های تخصیص منابع را در سطح کلاستر را اعمال می‌کند.

دریافت فایل پیوست

15 بهمن 1396 برچسب‌ها: هشدارها و راهنمایی امنیتی
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

انتشار و تکثیر گسترده شبکه‌های بات، افزایش حملات تکامل یافته شبکه، روند رو به رشد و هشداردهنده جرایم اینترنتی سازمان‌یافته، سرقت داده در فضای مجازی، تهدیدات متنوع و پیچیده سایبری به صورت مداوم امنیت شبکه‌های سازمانی و شبکه‌های حیاتی کشور را در معرض تهدید قرار می‌دهد. در این راستا طراحی و پیاده‌سازی امن شبکه یکی از ضرورت‌های اساسی در شبکه‌های سازمانی و شبکه‌های حساس کشور محسوب می‌گردد.

مستند مرجع #‫طراحی_امن_شبکه به طراحی و پیاده‌سازی امنیت در شبکه‌های کوچک، متوسط و بزرگ می‌پردازد. این مستند بر اساس استاندارد cisco Safe ارائه شده است. در این مستند سعی شده تا با هدف ایجاد لایه‌های دفاعی متعدد و استفاده از استراتژی دفاع در عمق در بخش‌های گوناگون شبکه، دستورالعمل‌ها، الزامات و راه‌کارهای مناسب در حوزه طراحی امن شبکه ارائه گردد. این مستند، در چندین بخش ارائه می‌گردد:
• نگاهی کلی به طراحی safe
• امنیت پایه شبکه (چکیده‌ایی از الزامات امنیت پایه شبکه)
• طراحی امن در شبکه CORE
• طراحی امن در شبکه Campus
• طراحی امن درInternet Edge

مجموعه مطالب در سه فصل ذیل تهیه و تنظیم شده است:

دانلود فصل 1

دانلود فصل 2

دانلود فصل 3

15 بهمن 1396 برچسب‌ها: مستندات مرجع
کشف ده آسیب‌پذیری جدید در VirtualBox

شرکت اوراکل، وصله‌هایی را برای ده آسیب‌پذیری جدید در VirtualBoxمنتشر کرده است. این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند تا از سیستم‌عامل مهمان خارج شوند و به سیستم‌عامل میزبانی که VirtualBoxبر روی آن اجرا می‌شود، حمله کنند. سوءاستفاده از این روش که به «فرار ماشین مجازی» معروف است، پس از افشای آسیب‌پذیری "Venom" در سال 2015، به یک موضوع بسیار جذاب برای محققان امنیتی تبدیل شد.

این ده آسیب‌پذیری‌ با نام‌های CVE-2018-2676، CVE-2018-2685، CVE-2018-2686، CVE-2018-2687، CVE-2018-2688، CVE-2018-2689، CVE-2018-2690، CVE- 2018-2693، CVE-2018-2694و CVE-2018-2698منتشر شده اند. همه‌ی این ده آسیب‌پذیری اثر مشابهی دارند؛ اما روش‌های استفاده از آن‌ها توسط مهاجمان، متفاوت است.

آسیب‌پذیری CVE-2018-2698مربوط به رابط حافظه‌ی مشترک است که توسط «نیکلاس باستمارک» کشف و توسط Beyond Securityگزارش شد. این آسیب‌پذیری در چارچوب گرافیکی هسته‌ی VirtualBoxوجود دارد و در هر سیستم‌عامل میزبانی قابل سوءاستفاده است. به‌خصوص، دستگاه VGAارایه‌دهنده‌ی VirtualBoxبرای سیستم‌عامل‌های مهمان که به VRAMاختصاص داده شده است. این حافظه، دو وظیفه‌ را به عهده دارد؛ زیرا رابط میزبان/مهمان حافظه‌ی مشترک (HGSMI), از طریق دستگاه VGAاداره می‌شود. این مؤلفه برای به‌اشتراک‌گذاشتن اطلاعات بین سیستم‌عامل‌های مهمان و میزبان مورد استفاده قرار می‌گیرد و قابلیت‌هایی را فراهم می‌کند که به برنامه‌های مهمان اجازه می‌دهند تا در سیستم‌عامل میزبان اجرا شوند (ویژگی unityدر ماشین مجازی).

HGSMIهمچنین می‌تواند برای کپی‌‌کردن داده‌ها در VRAMاستفاده شود. قابلیت کپی، مهاجمان در سیستم‌عامل مهمان را قادر به خواندن و نوشتن داده‌های خارج از محدوده در میزبان می‌کند. طبق گفته‌ی باستمارک، این امر به مهاجم اجازه می‌دهد تا عملیات دلخواه را بر روی میزبان ویندوز 10 به‌عنوان SYSTEMاجرا کند.

یکی دیگر از مؤلفه‌های VirtualBox، "vmmdev" است. این مؤلفه که پل ارتباطی بین سیستم میزبان و بسته‌ی VirtualBox Guest Additionsاست، دارای آسیب‌پذیری CVE-2018-2694می‌باشد و اجازه‌ی افزایش امتیاز را در میزبان Mac OS Xمی‌دهد.

به‌طور مشابه، آسیب‌پذیری CVE-2018-2693در Guest Additions به مهاجمان امکان دسترسی به پلت‌فرم میزبان را می‌دهد. این آسیب‌پذیری به‌آسانی قابل سوءاستفاده است؛ اما نیاز به اقداماتی دارد که باید توسط فردی غیر از مهاجم انجام شود.

VirtualBoxیک Hypervisorمحبوب عمومی است و معمولاً برای مجازی‌سازی میزکار استفاده می‌شود. در مقایسه با سایر محصولات، VirtualBoxپشتیبانی گسترده‌تر و قابل اطمینان‌تری برای سیستم‌عامل‌های عجیب و نادر مانند OS / 2و Haikuفراهم کرده است.

پشتیبانی از درایور مهمان VirtualBoxنیز در هسته‌ی لینوکس، از نسخه‌ی 4.16 یکپارچه شده است. برای Red Hat's Hans de Goedeنیز درایور "vboxsf" برای پشتیبانی از پوشه‌ی مشترک مهمان VirtualBoxقرار داده شده است. درایور پوشه‌ی مشترک به vboxguestوابسته است و وصله‌های مربوط به آن در حال بررسی هستند.

برای عملیات کارگزار و ابر، Hypervisorهایی مانند KVMو VMwareرایج‌تر هستند.

کاربرانی که از VirtualBoxاستفاده می‌کنند، به‌طور بالقوه در معرض آسیب‌پذیری‌های ذکرشده قرار دارند؛ اما برخی از آسیب‌پذیری‌های گزارش‌شده برای سیستم‌عامل‌های خاص مشخص است. وصله‌های تازه منتشرشده در آخرین نسخه (5.2.6) و همچنین نسخه‌‌ی قدیمی (5.1.32) موجود است. به کاربرانی که در حال اجرای کد غیر قابل اعتماد در VMمهمان هستند، توصیه می‌شود تا فوراً این به‌روزرسانی را انجام دهند. از آنجا که این آسیب‌پذیری‌ها بر هر دو نسخه‌ی Hypervisorو مهمان تأثیر می‌گذارند، نسخه‌های مهمان در ماشین‌های مجازی نیز باید به‌روزرسانی شوند.

14 بهمن 1396 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

با توجه به تولید انبوه داده‌های خام با انواع مختلف در فضای مجازی، دسته‌بندی و استخراج مضامین خاص از آن‌ها، در دنیای امروز اهمیت ویژه‌ای پیدا کرده است. نرم‌افزار #‫Splunk محصول اصلی شرکت Splunk می‌باشد که برای این هدف گسترش داده شده است. این شرکت در سال 2003 میلادی شروع به کار کرده و تمرکز اصلی آن در تولید محصولات Big Data و SIEM است که این موضوع تمایز اصلی محصول این شرکت با سایر رقبا می‌باشد. این نرم‌افزار جست‌وجو و تحلیل داده و انواع داده‌ای مختلف را از برنامه کاربردی، سرویس‌دهنده یا دستگاه‌های شبکه، به‌صورت بی‌درنگ امکان‌پذیر می‌نماید. این داده‌ها می‌توانند داده‌های پیغام، هشدار، اسکریپت، تنظیمات، لاگ‌ها و هر نوع معیاری در هر مکانی باشند.
Splunk در دو نسخه آزمایشی و شرکتی موجود است. در نسخه آزمایشی که رایگان است، مجموع داده‌ای که می‌توان به‌صورت روزانه import کرد، محدود به ۵۰۰ مگابایت می‌شود و بعضی امکانات مانند Alerting/monitoring را ندارد. این نسخه در یک محیط غیرتجاری و با ویژگی‌های محدود مورد استفاده قرار می‌گیرد. علاوه بر این، می‌توان با نصب و استفاده از افزونه‌های مختلف روی Splunk Enterprise که اکثراً به صورت رایگان ارائه می‌شوند، از این نرم‌افزار، به‌عنوان یک نرم‌افزار مانیتورینگ استفاده کرد. به‌عنوان مثال Splunk DBConnect، یک افزونه بانک اطلاعاتی SQL است که اجازه می‌دهد اطلاعات بانک اطلاعاتی با پرس‌وجوهای Splunk یکپارچه شوند.
اصلی‌ترین مفهوم در Splunk رخداد می‌باشد. رخداد، هر رکوردی است که در یک فایل لاگ ثبت می‌شود. هر رخداد شامل موارد برچسب زمانی ایجاد رخداد و همچنین اطلاعاتی درباره اتفاقات روی سیستم است. هر رخداد، مرتبط با چند فیلد ازجمله برچسب زمانی، نوع منبع و میزبان می‌باشد. نوع رخداد نیز روشی است که به کاربر اجازه می‌دهد تا رخدادهای یکسان را طبقه‌بندی نماید و جست‌وجوهای بامعنا را بسته به نیاز خود تعریف کند. شکل 1 نمونه‌ای از رخداد را نشان می‌دهد.

برای دریافت متن کامل کلیک نمایید

14 بهمن 1396 برچسب‌ها: مستندات مرجع
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

با توجه به تولید انبوه داده‌های خام با انواع مختلف در فضای مجازی، دسته‌بندی و استخراج مضامین خاص از آن‌ها، در دنیای امروز اهمیت ویژه‌ای پیدا کرده است. نرم‌افزار #‫Splunk محصول اصلی شرکت Splunk می‌باشد که برای این هدف گسترش داده شده است. این شرکت در سال 2003 میلادی شروع به کار کرده و تمرکز اصلی آن در تولید محصولات Big Data و SIEM است که این موضوع تمایز اصلی محصول این شرکت با سایر رقبا می‌باشد. این نرم‌افزار جست‌وجو و تحلیل داده و انواع داده‌ای مختلف را از برنامه کاربردی، سرویس‌دهنده یا دستگاه‌های شبکه، به‌صورت بی‌درنگ امکان‌پذیر می‌نماید. این داده‌ها می‌توانند داده‌های پیغام، هشدار، اسکریپت، تنظیمات، لاگ‌ها و هر نوع معیاری در هر مکانی باشند.
Splunk در دو نسخه آزمایشی و شرکتی موجود است. در نسخه آزمایشی که رایگان است، مجموع داده‌ای که می‌توان به‌صورت روزانه import کرد، محدود به ۵۰۰ مگابایت می‌شود و بعضی امکانات مانند Alerting/monitoring را ندارد. این نسخه در یک محیط غیرتجاری و با ویژگی‌های محدود مورد استفاده قرار می‌گیرد. علاوه بر این، می‌توان با نصب و استفاده از افزونه‌های مختلف روی Splunk Enterprise که اکثراً به صورت رایگان ارائه می‌شوند، از این نرم‌افزار، به‌عنوان یک نرم‌افزار مانیتورینگ استفاده کرد. به‌عنوان مثال Splunk DBConnect، یک افزونه بانک اطلاعاتی SQL است که اجازه می‌دهد اطلاعات بانک اطلاعاتی با پرس‌وجوهای Splunk یکپارچه شوند.


اصلی‌ترین مفهوم در Splunk رخداد می‌باشد. رخداد، هر رکوردی است که در یک فایل لاگ ثبت می‌شود. هر رخداد شامل موارد برچسب زمانی ایجاد رخداد و همچنین اطلاعاتی درباره اتفاقات روی سیستم است. هر رخداد، مرتبط با چند فیلد ازجمله برچسب زمانی، نوع منبع و میزبان می‌باشد. نوع رخداد نیز روشی است که به کاربر اجازه می‌دهد تا رخدادهای یکسان را طبقه‌بندی نماید و جست‌وجوهای بامعنا را بسته به نیاز خود تعریف کند. شکل 1 نمونه‌ای از رخداد را نشان می‌دهد.

شکل 1 نمونه ای از رخداد

برای دریافت کامل متن کلیک نمایید

14 بهمن 1396 برچسب‌ها: مستندات مرجع
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

شرکت مایکروسافت با ارائه یک مجموعه مدیریتی یکپارچه و مناسب با عنوان #‫Microsoft_System_Center توانسته است راه‌کارهای خوبی برای مدیریت شبکه‌های بسیار بزرگ ارائه کند. در نتیجه‌ی استفاده از این مجموعه مدیریتی، کارایی مدیران شبکه‌های سازمان‌ها تا حد بسیار زیادی افزایش یافته و تا حد امکان کارهای زمان‌بر در ساختار مدیریتی از دوش این دسته از افراد برداشته شده و بخشی از آن‌ها به‌صورت کاملاً خودکار انجام می‌گیرد. ابزار SCCM از مجموعه مدیریتی Microsoft System Center کاربردی‌ترین ابزار مجموعه Microsoft System Center است. مدیر شبکه می‌تواند با امکاناتی که این ابزار در اختیارش قرار می‌دهد منابع شبکه‌ی خود را به‌صورت جامع مدیریت و کنترل نماید. یکی از مهم‌ترین امکاناتی که ابزار SCCM در اختیار مدیران شبکه قرار می‌دهد، امکان به‌روزرسانی نرم‌افزار و مدیریت وصله‌های امنیتی است. در این گزارش با این امکان در SCCM آشنا شده و با یک سناریوی عملی، فرآیند به‌روزرسانی نرم‌افزار و مدیریت وصله ‌های امنیتی را مورد بررسی قرار می‌دهیم.

برای دریافت متن کامل کلیک نمایید

14 بهمن 1396 برچسب‌ها: مستندات مرجع
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

شرکت مایکروسافت با ارائه یک مجموعه مدیریتی یکپارچه و مناسب با عنوان #‫Microsoft_System_Center توانسته است راه‌کارهای خوبی برای مدیریت شبکه‌های بسیار بزرگ ارائه کند. در نتیجه‌ی استفاده از این مجموعه مدیریتی کارایی مدیران شبکه‌های سازمان‌ها تا حد بسیار زیادی افزایش یافته و تا حد امکان کارهای زمان‌بر در ساختار مدیریتی از دوش این دسته از افراد برداشته شده و بخشی از آن‌ها به‌صورت کاملاً خودکار انجام می‌گیرد. ابزار SCCM از مجموعه مدیریتی Microsoft System Center کاربردی‌ترین ابزار مجموعه Microsoft System Center است. یکی از مهم‌ترین امکاناتی که ابزار SCCM در اختیار مدیران شبکه قرار می‌دهد، امکان استقرار برنامه‌های کاربردی و همچنین نظارت بر برنامه‌های کاربردی و مؤلفه‌های SCCM است. با استفاده از این امکان در SCCM می‌توان سناریوهای مختلفی را برای نصب، استقرار و نظارت برنامه کاربردی اجرا کرد. در این گزارش با شیوه و مفاهیم ‌استقرار برنامه کاربردی و نظارت بر آن در SCCM آشنا شده و با یک سناریوی عملی، فرآیند استقرار برنامه کاربردی را مورد بررسی قرار می‌دهیم.

برای دریافت کامل متن کلیک نمایید

14 بهمن 1396 برچسب‌ها: مستندات مرجع
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

DRS
به مجموعه‌ای از میزبان‌های ESXi و ماشین‌های مجازی مرتبط با آن‌ها، منابع مشترک و واسط مدیریت مشترک، یک #‫Vmware DRS می‌گویند. با استفاده از DRS می‌توان منابع را در سطح کلاستر مدیریت کرد، به این ترتیب توازن به‌خوبی در کلاستر برقرار می‌شود. هنگامی‌که یک میزبان به کلاستری که DRS آن فعال شده است اضافه می‌شود، منابع آن میزبان به منابع آن کلاستر اضافه می‌شود. علاوه بر این، کلاستری که DRS آن فعال شده است از مخزن منابع در سطح کلاستر پشتیبانی کرده و سیاست‌های تخصیص منابع را در سطح کلاستر را اعمال می‌کند.

برای مطالعه کامل مسند کلیک نمایید

14 بهمن 1396 برچسب‌ها: مستندات مرجع
صفحات: « 1 2 3 4 »