فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
امکان انتشار بدافزار از طريق ويژگی NFC Beaming اندرويد

گوگل به تازگی یک نقص اندرویدی با شناسه‌ی CVE-2019-2114 را وصله کرده است که به هکرها اجازه‌ می‌داد از طریق ویژگی اندوریدی به نام #‫NFC_beaming به گوشی‌های اطراف، بدافزار منتشر سازند.
NFC beaming از طریق یک سرویس اندرویدی داخلی به نام Android Beam کار می‌کند. این سرویس، به یک دستگاه اندرویدی اجازه می‌دهد داده‌های بزرگ همچون تصاویر، فیلم‌ها، ویدیو‌ها یا حتی برنامه‌های کاربردی را به دستگاه دیگری در همان نزدیکی از طریق امواج رادیویی NFC (Near-Field Communication، ارتباط در محدوده نزدیک) به جای استفاده از WiFi یا بلوتوث، ارسال کند.
زمانی که فایل‌های APK از طریق NFC Beaming منتقل می‌شوند، بر روی دیسک ذخیره و اعلانی بر روی صفحه، نمایش داده می‌شود. این اعلان از صاحب دستگاه سؤال می‌کند که آیا می‌خواهد به سرویس NFC اجازه دهد یک برنامه را از یک منبع ناشناس نصب کند یا خیر. اما در ماه ژانویه‌ی سال جاری، یک محقق امنیتی دریافت که این اعلان در اندروید 8 (Oreo) و نسخه‌های پس از آن، نمایش داده نمی‌شود. در عوض، این اعلان به کاربر اجازه می‌دهد برنامه‌ی کاربردی را با یک ضربه و بدون هیچ‌گونه اخطار امنیتی، نصب کند. اگرچه نبود اعلان خطر بی‌اهمیت به‌نظر می‌رسد؛ اما مسئله‌ی مهمی در مدل امنیتی اندروید است. دستگاه‌های اندرویدی اجازه ندارند برنامه های کاربردی را از منابع ناشناس نصب کنند (هر برنامه‌‌ای که از فروشگاه رسمی Play Store نصب نشود، غیرقابل اعتماد در نظر گرفته می‌شود). اگر کاربران بخواهند برنامه‌ای را از منبعی خارج از Paly Store نصب کنند، باید به بخش “Install apps from unknown sources” سیستم‌عامل اندروید خود بروند و این ویژگی را فعال سازند. گزینه‌ی “Install apps from unknown sources” تا Android 8.0 یک تنظیم سیستمی بود و برای تمامی برنامه‌ها یکسان بود. از Android 8.0، گوگل این مکانیزم را تغییر داد و تنظیمات را مبتنی بر برنامه‌ی کاربردی ساخت.
در نسخه‌های اندرویدی جدید، کاربران می‌توانند به بخش “Install unknown app” در تنظیمات امنیتی اندروید بروند و به برنامه‌های خاصی اجازه دهند برنامه‌ی دیگری نصب کنند. به نظر می‌رسد هر برنامه‌ی سیستمی که مورد تأیید گوگل باشد به‌طور اتوماتیک در لیست سفید قرار می‌گیرد و از کاربر برای نصب برنامه اجازه گرفته نمی‌شود. Android Beam نیز در لیست سفید برنامه‌های قابل اعتماد قرار دارد و به همان میزان Paly Store قابل اعتماد است؛ لذا مجاز به نصب هر برنامه‌ای از منبع ناشناس است. این بدان معنی نیست که این نقص به راحتی قابل سوءاستفاده است. اگرچه ناشناخته‌بودن برنامه هشدار داده نمی‌شود؛ اما هنوز سیستم‌عامل اندروید از کاربر برای نصب برنامه اجازه می‌گیرد.
وصله‌های اندرویدی ماه اکتبر سال 2019 گوگل، سرویس Android Beam را از لیست سفید منابع قابل اعتماد سیستم‌عامل اندروید حذف کرده است. با این وجود، میلیون‌ها کاربر در معرض خطر قرار دارند. اگر کاربران سرویس NFC و سرویس Android Beam را فعال کرده باشند، یک مهاجم در آن نزدیکی می‌تواند بدافزار را در گوشی‌های تلفن همراه آن‌ها قرار دهد. از آنجاییکه برای نصب از منابع ناشناس سؤالی پرسیده نمی‌شود، با ضربه بر روی اعلان، نصب برنامه‌ی مخرب آغاز می‌شود. این خطر وجود دارد که بسیاری از کاربران به اشتباه تصور کنند این پیام از Play Store است و با تصور اینکه به‌روزرسانی یک برنامه است، آن را نصب کنند.
متأسفانه ویژگی NFC در بسیاری از گوش‌های تلفن همراه که به تازگی به فروش رسیده‌اند، فعال است؛ اما از آنجاییکه اتصالات NFC تنها زمانی آغاز می‌شود که دو گوشی به فاصله‌ی نزدیک 4 سانتی‌متر (1.5 اینچ) یا کمتر از هم قرار داشته باشند، لازم است مهاجم گوشی خود را در نزدیکی قربانی قرار دهد که چنین چیزی همیشه ممکن نیست.
جهت حفظ ایمنی می‌توان اقدامات زیر را انجام داد:
• خاموش‌کردن مجوز NFC جهت نصب برنامه‌های ناشناس (این امر مانع از نصب APK توسط NFC می‌شود).
• غیرفعال‌ ساختن هر دوی ویژگی NFC و سرویس Android Beam.. اگر کاربری از گوشی اندرویدی خود به عنوان کارت دسترسی یا پرداخت‌های بی‌مخاطب استفاده می‌کند، می‌تواند NFC را فعال بگذارد و سرویس Android Beam را غیرفعال سازد.
• در نهایت می‌توان به‌روزرسانی امنیتی ماه اکتبر سال 2019 گوگل را دریافت کرد و به استفاده از هر دوی NFC و Beam ادامه داد.

28 آبان 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهدات اخیر حاکی از آن است که #‫باج‌افزار Sodinokibiکاربران استفاده کننده از مرورگر اینترنت اکسپلورر را در منطقه آسیا مورد هدف قرار داده است. باج‌افزار Sodinikibiکه به اسامی دیگری از جمله Sodinو Revilنیز شناخته می‌شود، برای اولین بار در ماه آوریل 2019 میلادی مشاهده گردید. این باج‌افزار در حال حاضر فاقد رمزگشا می‌باشد.

طبق گزارشات رسیده، قربانیان این باج‌افزار پس از بازدید از وب‌سایت‌های آلوده، به سمت آی‌پی‌های حاوی اکسپلویت‌کیت RIGهدایت شده و از طریق آسیب‌پذیری‌های موجود در نرم‌افزار فلش پلیر، مورد حمله باج‌افزار قرار می‌گیرند. در صورت موفقیت‌آمیز بودن حمله، اسکریپتی حاوی دستورات مخرب در پس زمینه سیستم اجرا شده و قربانی با پیغام‌های مکرری مبنی بر توقف مرورگر اینترنت اکسپلورر مواجه می‌گردد که در نهایت منجر به بارگزاری و اجرای باج‌افزار Sodinokibiبر روی سیستم هدف می‌گردد.

لذا به کاربران توصیه اکید می‌گردد که از نصب آخرین به‌روزرسانی‌های امنیتی ویندوز و نرم‌افزارهای نصب شده بر روی آن اطمینان حاصل نموده و همچنین نسبت به به‌روزرسانی اپلیکیشن‌های وابسته به اینترنت اکسپلورر نیز اقدام نمایند.

22 آبان 1398 برچسب‌ها: اخبار, گزارشات تحلیلی
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

#‫رمزگشا ی جدیدی برای باج‌افزار Nemtyتوسط پژوهشگران شرکت امنیتی Tesorionهلند ارائه شد.

در تاریخ 21 اوت سال 2019 میلادی، برای نخستین بار خبرهایی از انتشار باج‌افزار Nemtyمنتشر گردید. بر اساس مشاهدات صورت گرفته، این باج‌افزار از طریق سرویس دسترسی از راه دور مبتنی بر پروتکل RDPمنتشر می‌گردد. گزارش‌هایی نیز مبنی بر سوءاستفاده این باج‌افزار از اکسپلویت کیت RIG، برای نفوذ به سیستم قربانیان منتشر گردیده است. باج‌افزار Nemtyاز الگوریتم AESبرای رمزگذاری فایل‌های موردنظر خود در سیستم قربانیان استفاده می‌کند.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند با الگوهای

  • _Nemty_<7 کاراکتر تصادفی>_

می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

این رمزگشا در پایگاه پروژه NoMoreRansomقرار گرفته است. برای دانلود رمزگشا و راهنمایی رمزگشایی به آدرس زیر رفته و نام باج‌افزار را در لیست جستجو کنید:

https://www.nomoreransom.org/en/decryption-tools.html

همچنین شما می‌توانید به صورت مستقیم رمزگشا را از لینک زیر دانلود کنید:

https://mdsassets.blob.core.windows.net/downloads/NemtyDecryptor.exe

22 آبان 1398 برچسب‌ها: اخبار
گزارش تحلیل بدافزار Xhelper

به تازگی محققان شرکت Symantec برنامه‌ی مخربی را کشف کرده‌اند که بر روی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد، خود را از دید کاربران پنهان میکند و نیز می‌تواند برنامه‌های مخرب بیش‌تری را دانلود کند. این اپلیکیشن که #‫Xhelper نام دارد پس از حذف، مجدداً خود را نصب می کند و به گونه‌ای طراحی شده است که با ظاهر نشدن در منوی برنامه‌های گوشی، پنهان می‌ماند. این برنامه در شش ماه گذشته بیش از 45000 دستگاه را آلوده کرده است.

دانلود گزارش

22 آبان 1398 برچسب‌ها: اخبار, گزارشات تحلیلی
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها



طی هفته جاری بدافزار جدیدی در حوزه #‫فیشینگ با نام «ضد فیشینگ» شناسایی شده است که ادعا می‌کند برنامه‌ای جهت تشخیص لینکهای فیشینگ بوده و اینگونه لینکها را از سایر لینکها تشخیص میدهد. اما با بررسی کد برنامه مشخص شد که پس از عضوگیری، روند برنامه تغییر پیدا کرده و کاربران را به صفحات فیشینگ هدایت میکند. کارگزار کنترل و فرمان این بدافزار در آدرس panell.website/antipish قرار دارد و از این طریق، هر زمان که مهاجم بخواهد، رفتار برنامه تغییر میکند. براساس اطلاعات موجود در سرور برنامه، تاکنون بیش از 472 نصب داشته است.
دانلود گزارش کامل

21 آبان 1398 برچسب‌ها: اخبار
هشدار در خصوص گسترش حملات دسترسی غیرمجاز بر روی سرویس دهنده‌های MS SQL Server از مبدا داخل کشور

پیرو هشدار قبلی در خصوص افزایش حملات به سرویس دهنده‌های #‫SQL_Server بر روی #‫پورت_۱۴۳۳، نتایج رصد حسگرهای این مرکز نشان‌ دهنده گسترش آلودگی احتمالی سرورها در داخل کشور و فعالیت آنها به عنوان مهاجمین جدید در این حملات است.

با بررسی نمودارهای روند مشخص می‌شود که در دو ماه اخیر دو پیک حمله بر روی این پورت توسط سنسورهای مرکز ماهر ثبت شده است. اولین پیک حمله در اوایل شهریور ماه ثبت شده که در نمودار(1) در نقطه A قابل مشاهده است، حملات این نقطه حجم کمتری نسبت به حملات نقطه B در اواخر مهر و اوایل آبان ماه دارد. همچنین با بررسی نمودار(2) دو پیک C و D در نقاط زمانی مشابه نمودار قبل قابل مشاهده است. با بررسی این نمودار مشخص می‌شود که تعداد حملات در نقطه D به طرز چشمگیری نسبت به نقطه C افزایش پیدا کرده است. این موضوع نشاندهنده ایجاد آلودگی بیشتر بر روی سیستمهای داخل کشور است.

در این حمله مهاجم، شبکه هدف را برای یافتن سرورهای SQL Server با گذرواژه ضعیف اسکن کرده و با بکارگیری حمله Brute-force اقدام به ورود به سیستم می‌کند. در ادامه مهاجم با ایجاد برخی ‌ Jobها در SQL Server، فرامین مختلفی را اجرا کرده و یا بدافزارهایی را به سیستم منتقل کند. بدافزارهای منتقل شده در این روش می‌توانند هر نوع بدافزاری باشند.

مهاجم با این حمله گسترده در پی یافتن سیستم‌های آسیب‌پذیر در شبکه‌های مختلف همچون سرورهای دارای گذرواژه ضعیف است. برای جلوگیری نفوذ مهاجمین از طریق این حملات بر روی سرور SQL Server در سازمان توصیه می‌شود :

  • از قرارگیری این سرورهای بصورت نامحدود بر بستر اینترنت اکیدا خودداری کنید
  • از گذرواژه مطمئن و مقاوم در برابر حمله brute-force برای اکانت SQL Server استفاده کنید

در صورتی که SQL Server شما در معرض اینترنت قراد داشته است علاوه بر اطلاعات فوق لازم است:

  • فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شده‌ی احتمالی توسط مهاجمین بررسی کنید
  • با توجه به احتمال آلودگی،‌ بررسی دقیقی بر روی سیستم عامل از نظر وجود ردپای نفوذ مهاجمین و آلودگی احتمالی انجام دهید
20 آبان 1398 برچسب‌ها: اخبار
گزارش امنیتی محصولات سیسکو با درجه حساسیت Critical در اُکتبر 2019

شرکت Ciscoیکی از بزرگترین تولیدکنندگان تجهیزات نرم‌افزاری و سخت‌افزاری شبکه می باشد که با توجه به پیشرفت روز افزون حوزه فناوری اطلاعات و به موازات آن افزایش چشم‌گیر تهدیدات سایبری در سطح جهان و آسیب‌پذیری‌های موجود در این تجهیزات می‌تواند موجب به خطر افتادن اطلاعات کاربران شود. از این رو بخش‌های مختلفCisco به صورت مداوم و چندین مرتبه در ماه اقدام به ارائه آسیب‌پذیری‌های کشف شده در سرویس‌ها و تجهیزات این شرکت کرده و راه‌حل‌هایی برای رفع این آسیب‌پذیری‌ها ارائه می‌کنند. در این گزارش محصولاتی که دارای آسیب‌پذیری‌ با سطح (Critical) هستند و می‌توان با مراجعه به لینک مشخص شده اطلاعات جامع در مورد آسیب‌پذیری و نحوه رفع آن را کسب کرد.

بحرانی(Critical)

Cisco Aironet Access Points Unauthorized Access Vulnerability

عنوان

آسیب‌پذیری دسترسی غیر مجاز به نقاط دسترسی Aironetسیسکو

شناسه آسیب‌پذیری

CVE-2019-15260

CWE-284

CVSS Score

Base 9.8

نسخه

Final 1.1

شناسه باگ‌های سیسکو

CSCvm54888

تاثیر

Unauthorized Access

تاریخ آخرین به‌روزرسانی

2019 October 16 16:00 GMT

توضیحات

آسیب‌پذیری موجود در نرم‌افزار نقاط دسترسی Aironet (APs)می‌تواند به یک مهاجم با دسترسی از راه دور اجازه دهد که دسترسی غیرمجاز به یک هدف را بدست آورد. یک مهاجم می‌تواند با درخواست URLخاص از یک APآسیب دیده از آن بهره‌برداری نماید و سطح دسترسی بالا، به دستگاه پیدا کند. در حالی که امکان دسترسی به همه گزینه‌های ممکن برای پیکربندی به مهاجم داده نمی شود، می‌تواند به مهاجم اجازه دهد که اطلاعات حساس را مشاهده کند و برخی گزینه‌ها را با مقادیر موردنظر خود جایگزین کند.

محصولات آسیب‌پذیر

  • Aironet 1540 Series APs
  • Aironet 1560 Series APs
  • Aironet 1800 Series APs
  • Aironet 2800 Series APs
  • Aironet 3800 Series APs
  • Aironet 4800 APs

راه حل

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-access

بحرانی(Critical)

Cisco REST API Container for IOS XE Software Authentication Bypass Vulnerability

عنوان

آسیب‌پذیری دور زدن احراز هویت نرم افزار IOS XEبرای REST API Containerسیسکو

شناسه آسیب‌پذیری

CVE-2019-12643

CWE-287

CVSS Score

Base 10.0

نسخه

Final 1.1

شناسه باگ‌های سیسکو

CSCvn93524

CSCvo47376

تاثیر

Authentication Bypass

تاریخ آخرین به‌روزرسانی

2019 October 18 16:08 GMT

توضیحات

آسیب‌پذیری موجود در REST API virtual service containerسیسکو برای نرم‌افزار IOS XEمی‌تواند به یک مهاجم از راه دور اجازه دهد تا احراز هویت در دستگاه مدیریت شده توسط Cisco IOS XEرا دور بزند.

محصولات آسیب‌پذیر

  • Cisco 4000 Series Integrated Services Routers
  • Cisco ASR 1000 Series Aggregation Services Routers
  • Cisco Cloud Services Router 1000V Series
  • Cisco Integrated Services Virtual Router

و تمام محصولاتی که با Cisco IOS XEراه اندازی می شوند.

راه حل

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass

20 آبان 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی, اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها


بررسی نتایج رصد حسگرهای مرکز ماهر نشانده افزایش تلاش مهاجمین در شناسایی سرورهای SQL Server آسیب‌پذیر در شبکه کشور و نفوذ به آنها از اوایل ماه جاری است. این حملات بر روی پورت ۱۴۳۳ صورت گرفته و عمدتا از طریق brute-force و نفوذ به سرورهای دارای رمز عبور ضعیف صورت می‌گیرد. پس از نفوذ موفق، مهاجم از طریق ایجاد SQL Server Agent job های مختلف نسبت به تثبیت دسترسی خود و دریافت بدافزارهای مختلف بر روی سرور اقدام می‌کند.
این حملات از IP های داخل و خارج کشور در جریانند:



در صورتی که SQL Server شما در معرض اینترنت قراد داشته است لازم است:
• نسبت به محدودسازی دسترسی در سطح اینترنت اقدام کنید
• رمز عبود مناسب جهت پیشگیری از موفقیت حملات brute-force اننخاب کنید
• فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شده‌ی احتمالی توسط مهاجمین بررسی کنید

18 آبان 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

یک آسیب‌پذیری حیاتی در ابزار #‫kibana شناسایی و گزارش شده است. kibana یک داشبورد تحت وب جهت مدیریت و تصویرسازی و تحلیل های آماری است که معمولا در کنار پایگاه داده‌ی elasticsearch استفاده می شود.

این آسیب پذیری خطرناک با شناسه‌ی CVE-2019-7609 با درجه CVSS 10 امکان اخذ دسترسی از راه دور را برروی سروری فراهم می کند. ضعف امنیتی مربوطه در سرویس Timelion visualizer بوده و از نوع command Injection است (CWE-77).

نسخه های آسیب پذیر این ابزار شامل همه نسخه های قبل از 5.6.15 و همچنین نسخه های 6.0.0 تا قبل از 6.6.1 می باشد.

با توجه به انتشار exploit سواستفاده از این آسیب پذیری درفضای اینترنت و امکان اخذ دسترسی از راه دور توسط مهاجمین، هرچه سریعتر درخصوص بروز رسانی این ابزار اقدام کنید.

منابع :

https://www.tenable.com/blog/cve-2019-7609-exploit-script-available-for-kibana-remote-code-execution-vulnerability

13 آبان 1398 برچسب‌ها: اخبار
رمزگشای باج‌افزار Paradise

#‫رمزگشا ی #‫باج‌افزار Paradiseتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

این باج‌افزار در ابتدای سپتامبر ۲۰۱۷ ظهور پیدا کرد و تا کنون به پسوندهای متعدد منتشر شده است. باج‌افزار Paradiseاز الگوریتم Salsa20و RSA-1024برای عملیات رمزگذاری استفاده می‌کند.

شایان ذکر است که این باج‌افزار از نوع Ransomware-as-a-serviceو از خانواده باج‌افزار Dharmaمی‌باشد.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند

  • .paradise
  • .2ksys19
  • .p3rf0rm4
  • .FC

می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/paradise

11 آبان 1398 برچسب‌ها: اخبار
صفحات: 1 2 3 4 5 ... » »»