• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
4 اکتبر 2021

طبق گزارش تهدید ESET T2 2021 ، حملات نقطه پایانی Remote Desktop Protocol (RDP) افزایش چشمگیری داشته است. آمارهای ESET نشان دهنده افزایش ۱۰۴ درصدی حملات علیه سرورهای RDP از گزارش ژوئن آن است.

یادداشت ویراستار

این مورد برای کسی که در دو سال گذشته لیست سیاهه های خود را تماشا می کند ، نباید خبر خاصی باشد. تعدادی نشت اعتبار بزرگ بر RDP متمرکز شده است. ما برخی از افزایشهای اسکن RDP را در آوریل سالهای گذشته بررسی کردیم که به عنوان نقطه ورود قابل توجهی برای باج افزارها (isc.sans.edu  افزایش در اسکن RDP) شناخته شد. از آن زمان ، ما شاهد افزایش مداوم تعداد منابع اسکن RDP با افزایش گاه به گاه گزارش ها (isc.sans.edu Port 3389 (tcp/udp) Attack Activity) ) هستیم. توجه داشته باشید که این افزایش چندان ناشی از کار از راه دور نیست. این سیستم ها قبلاً افشا شده بودند ، اما اطلاعات فاش شده به مهاجمان ابزار جدیدی برای حمله به این سیستم های در معرض دید داد.

آیا مورد سوء استفاده قرار گرفته اید یا نه ، متخصصین امنیت شما باید به شما بگویند که سرویس هایی مانند RDP ، VNC ، SMB و غیره در معرض تهدیدات بدی هستند. لطفاً آنها را پشت یک VPN خوب با MFA قرار دهید.

با افزایش دورکاری ، بسیاری از خدمات اضافی به سرعت در دسترس اینترنت قرار گرفت. این موارد اغلب شامل RDP است که دسترسی را برای کاربران و بازیگران مخرب آسان می کند. دسترسی از راه دور باید احراز هویت چند عاملی برای خنثی سازی اعتبار اعتبارنامه های ضبط شده باشد. خدمات RDP خود را بجای اینکه مستقیما در اینترنت بگذارید، پشت یک دروازه دسترسی از راه دور ایمن قرار دهید .

اتصالات RDP ناامن یکی از برترین حملاتی است که باندهای باج افزار برای نفوذ به شرکت ها از آن استفاده می کنند. مایکروسافت راهنمای نحوه ایمن سازی RDP  راهنمای امنیتی برای پذیرش دسکتاپ از راه دور) را منتشر کرده است. اما شما همچنین باید همه ابزارها و سیستم عامل های مدیریت از راه دور که در سازمان شما وجود دارد را شناسایی کنید ، از امنیت مناسب آنها اطمینان حاصل کنید و به طور منظم بررسی کنید تا از امنیت آنها مطمئن شوید.

29 سپتامبر 2021

یکی از آسیب پذیری ها توسط Citizen Lab و دیگری توسط تیم تجزیه و تحلیل تهدید Google پیدا شد.

اپل برای سه آسیب پذیری در macOS Catalina و iOS 12.5.5 به روزرسانی های امنیتی را منتشر کرد که در حال حاضر در عمل مورد بهره برداری قرار می گیرند.

 CVE-2021-30869 یک آسیب پذیری XNU است که در macOS ، iPhone 5s ، iPhone 6 ، iPhone 6 Plus ، iPad Air ، iPad mini 2 ، iPad mini 3 و iPod touch یافت می شود و به برنامه های مخرب امکان اجرای کد دلخواه با امتیازات هسته را می دهد.

اپل اعلام کرد که گزارشاتی مبنی بر سوءاستفاده از این آسیب پذیری وجود دارد و گفت که “با بهبود وضعیت” ، این مشکل توسط اعضای گروه تجزیه و تحلیل تهدید Google Erye Hernandez و Clément Lecigne و همچنین Ian Beer از Google Project Zero کشف شده است.

CVE-2021-30860 توسط Citizen Lab کشف شد و ممکن است به جاسوس افزار NSO Pegasus متصل باشد که برای نفوذ به دستگاه های اپل استفاده می شد. این آسیب پذیری بر iPhone 5s ، iPhone 6 ، iPhone 6 Plus ، iPad Air ، iPad mini 2 ، iPad mini 3 و iPod )touch   نسل ششم) تأثیر می گذارد.

هنگامی که Citizen Lab امسال گزارش های متعددی را منتشر کرد که نشان می داد چگونه جاسوس افزار NSO Pegasus به برخی از کشورها و بازیگران جنایتکار دسترسی کامل به دستگاه های اپل می دهد ، خشم بزرگی به دنبال داشت. CVE-2021-30860 ، همانطور که Citizen Lab در آخرین گزارش خود توصیف کرده است ، به تهدیدکنندگان می تواند از پردازش یک فایل PDF مخرب برای اجرای کد دلخواه استفاده کند، اجازه دهد.

اپل در این نسخه اعتراف کرد که به طور فعال مورد سوء استفاده قرار گرفته است و گفت که “با بهبود اعتبار ورودی” به آن رسیدگی شده است.

آسیب پذیری سوم-CVE-2021-30858-بر روی دو دستگاه اول تأثیر می گذارد و ناشناس ارسال شده است. اپل توضیح داد که این آسیب پذیری به چگونگی پردازش محتوای وب ایجاد شده به صورت مخرب می تواند منجر به اجرای کد دلخواه شود. اپل نیز مانند بقیه گفت که می داند که ممکن است به طور فعال مورد سوء استفاده قرار گیرد.

اپل گفت که آنها این مشکل را با “بهبود مدیریت حافظه” حل کرده اند.

 

28 سپتامبر 2021

بدافزار Tangle Bot می‌تواند کاربران اندروید را گمراه کند تا نرم‌افزار دستکاری‌شده‌ای را که به همراه پیام جعلی واکسن دوز سوم کرونا ارسال‌ شده‌است، نصب کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت امنیت سایبری پروف پوینت (Proofpoint)، اخیراً تهدید جدیدی را شناسایی کرده که می‌تواند تلفن همراه قربانی را از طریق پیامک تسخیر کند. این تهدید در آمریکا و کانادا پیدا شده و طبق گزارش‌ها، کاربران اندروید هدف اصلی این بدافزار هستند.

این تهدید امنیتی به دلیل توانایی در کنترل چندین عملکرد دستگاه، تانگل بات Tangle Bot نام‌گذاری شده است. عملکردهای متأثر از این بدافزار ممکن است شامل لیست مخاطبان، سابقه تلفن، دوربین و میکروفون به همراه قابلیت استفاده از اینترنت باشد.

تانگل بات مانند بدافزار فلو بات (Flu Bot) کار می‌کند که هنوز در انگلستان و اروپا وجود دارد. این بدافزار می‌تواند قربانی را گمراه کند تا او نرم‌افزار دستکاری‌شده‌ای که به همراه پیام جعلی واکسن کرونا ارسال‌شده را نصب کند. این پیام جعلی حاوی اطلاعاتی در مورد دز سوم واکسن کرونا به همراه سیاست‌های نظارتی جدید است.

قربانی پس از ضربه زدن روی لینک با صفحه وبی مواجه می‌شود که از او می‌خواهد برنامه آدوبه فلش پلییِر (Adobe Flash Player) خود را به‌روز کند، اگر کاربر با این به‌روزرسانی موافقت کند و دکمه نصب را لمس کند، آنگاه بدافزار تانگل بات نصب‌شده و مهاجم می‌تواند کنترل چندین عملکرد ازجمله لیست شماره‌ها، ضبط صفحه و باز کردن دوربین و میکروفون را به دست گیرد.

به گفته شرکت امنیت سایبری پروف پوینت این بدافزار حتی می‌تواند با پوشاندن صفحه روی صفحه به برنامه‌های مالی آنلاین دسترسی پیدا کند و بعداً از دستگاه قربانی برای ارسال پیام‌های جعلی واکسن کرونا استفاده کند.

اگر کاربر به نحوی بفهمد که دستگاه او توسط یک بدافزار آلوده‌ شده و آن را حذف کند، هکر تا مدتی از اطلاعات سرقت شده استفاده نمی‌کند و کاربر را فریب می‌دهد تا باور کند چیزی سرقت نشده است.

به همین دلیل است که بهترین راه برای محافظت از دستگاه در برابر مجرمان، جلوگیری از باز کردن لینک‌هایی است که از شماره‌های ناشناخته دریافت می‌شوند و برنامه‌ها باید فقط از منابع قابل‌اعتماد نصب شوند.

مرجع : سایبربان
25 سپتامبر 2021

محققان امنیت سایبری تکنیک جدیدی را که عامل تهدید به صورت عمدی برای جلوگیری از تشخیص و شناسایی به کمک امضا‌های نادرست دیجیتالی payload‌های بدافزار خود استفاده کرده است، فاش کرده‌اند.

نیل مهتا از گروه تجزیه و تحلیل تهدیدات گوگل در گزارشی که روز پنجشنبه منتشر شد، اعلام کرد: “مهاجمان امضا‌های کد ناقصی را ایجاد کرده‌اند که توسط ویندوز معتبر تلقی می‌شوند اما نمی‌توانند با کد OpenSSL که در تعدادی از محصولات اسکن امنیتی استفاده می‌شود، رمزگشایی یا بررسی شوند”.

مشخص گردیده است که این مکانیسم جدید توسط گروه بدنامی از نرم‌افزار‌های ناخواسته معروف به OpenSUpdater مورد استفاده قرار می‌گیرد، که برای بارگیری و نصب سایر برنامه‌های مشکوک در سیستم‌های آسیب دیده استفاده می‌شود. بیشتر اهداف این کمپین کاربرانی هستند که در ایالات متحده قرار دارند و مستعد دانلود نسخه‌های کرک شده بازی‌ها و سایر نرم‌افزار‌های نامشخص و نامطمئن هستند.

این یافته‌ها از مجموعه‌ای از نمونه‌های OpenSUpdater نشات می‌گیرد که حداقل از اواسط ماه آگوست در VirusTotal بارگذاری شده‌اند.

در حالی که مهاجمان در گذشته برای جاسوسی از ابزار‌های تبلیغاتی مزاحم و سایر نرم‌افزار‌های ناخواسته در شناسایی ابزار‌های مخرب یا جاسازی کد حمله در اجزای نرم‌افزاری معتبر و دارای امضای دیجیتالی با آلوده کردن زنجیره تأمین نرم‌افزار، به گواهی‌های دیجیتالی غیرقانونی تکیه کرده‌اند، OpenSUpdater به دلیل توانایی استفاده عمدی از امضای ناقص برای عبور از سد دفاعی، برجسته است.
takian.ir google warns of new way hackers can make malware undetectable on windows 2
بدافزار‌ها در ویندوز قابل تشخیص نیستند
بدافزار‌های طراحی شده با یک گواهی نامعتبر X. ۵۰۹ امضا شده و به گونه‌ای ویرایش شده‌اند که المان “parametrs” در زمینه SignatureAlgorithm شامل نشانگر پایان محتوا (EOC) به جای برچسب NULL است. اگرچه اینگونه رمزگذاری‌ها توسط محصولاتی که از OpenSSL برای بازیابی اطلاعات امضا استفاده می‌کنند، نامعتبر است، اما بررسی‌های سیستم‌های ویندوز اجازه می‌دهد فایل بدون هیچگونه هشدار امنیتی اجرا شود.

جلوگیری از نشت اطلاعات
مهتا افزود: “این اولین بار است که TAG مهاجمانی را که از این تکنیک برای فرار از تشخیص و شناسایی استفاده می‌کنند، مشاهده می‌کند و در عین حال امضای دیجیتالی معتبر روی فایل‌های PE را حفظ می‌نماید”.

این محقق همچنین اضافه کرد: “امضا‌های کد بر روی قسمت‌های اجرایی ویندوز، ضمانتهایی را در مورد یکپارچگی یک فایل اجرایی امضا شده و همچنین اطلاعاتی در مورد هویت امضاکننده، ارائه می‌دهد. مهاجمانی که قادرند هویت خود را در امضا کتمان و پنهان کنند، بدون اینکه بر تمامیت و کلیت امضا تأثیر بگذارد، می‌توانند برای مدتی طولانی از امکان تشخیص جلوگیری کرده و طول عمر گواهینامه‌های دارای امضای کد خود را به منظور آلوده کردن سیستم‌های بیشتر، افزایش داده و تمدید نمایند″.

22 سپتامبر 2021

از ماه دسامبر ، Google ” قابلیت بازنشانی خودکار مجوزها” را به دستگاه هایی که از Android 6.0 و بالاتر استفاده می کنند ، گسترش می دهد.

به گزارش گوگل ، تلفن های اندرویدی که از نسخه های قدیمی سیستم عامل استفاده می کنند به زودی دارای ویژگی ای می شوند که مجوز برنامه هایی را که برای مدت طولانی استفاده نشده اند حذف می کند.

“بازنشانی خودکار مجوزها” یک ویژگی حریم خصوصی است که گوگل سال گذشته به اندروید ۱۱ معرفی کرد. هدف آن محافظت از حریم خصوصی کاربران با بازنشانی خودکار مجوزهای زمان اجرای یک برنامه است – در صورتی که برنامه در حال اجرا باشد در صورت نیاز – در صورتی که آن برنامه چند ماه استفاده نشده باشد.

از ماه دسامبر ، Google این ویژگی را به “میلیاردها دستگاه دیگر” می آورد زیرا به طور خودکار در افرادی که دارای سرویس Google Play هستند که Android 6.0  سطح API 23  یا بالاتر را اجرا می کنند فعال است. کاربران قادر خواهند بود به صفحه تنظیمات بازنشانی خودکار دسترسی پیدا کرده و تنظیم مجدد خودکار را برای برنامه های خاص فعال یا غیرفعال کنند. به گفته مقامات اندروید ، سیستم چند هفته پس از راه اندازی این ویژگی بر روی دستگاه ، به طور خودکار مجوز برنامه های بلااستفاده را بازنشانی می کند.

آنها توجه دارند که برخی از برنامه ها و مجوزها به طور خودکار از ابطال معاف هستند. اینها شامل برنامه های فعال دستگاه مدیر مورد استفاده توسط شرکت ها ، و همچنین مجوزهای تعیین شده توسط خط مشی شرکت است.

22 سپتامبر 2021

موجی از حملات بدافزار که به تازگی کشف شده است با استفاده از تاکتیک‌های مختلف برای به بردگی درآوردن دستگاه‌های حساس و مشخصاً با سطح اعتبار ادمین برای بهره کشی از آن‌ها در یک شبکه با هدف استخراج غیرقانونی رمزارز، مشاهده شده است.

لری کشدالر، محقق امنیتی Akamai، در مقاله‌ای که روز یکشنبه منتشر شد، گفت: “تاکتیک اصلی این بدافزار گسترش با استفاده از سیستم‌های آسیب‌پذیر و اعتبارنامه‌های ضعیف ادمین است. پس از آلوده شدن، این سیستم‌ها برای استخراج رمزارز استفاده می‌شوند”.

این بدافزار مبتنی PHP، با اسم رمز “Capoae” (مخفف “Сканирование”، کلمه روسی “اسکن”)، گفته می‌شود که از طریق یک افزونه backdoor به افزونه وردپرس به نام “download-monitor” که پس از تحمیل موفقیت‌آمیز اعتبارنامه ادمین به وردپرس نصب می‌گردد، در دستگاه میزبان مستقر می‌شود. این حملات همچنین شامل استقرار یک فایل باینری مبتنی بر زبان برنامه‌نویسی Go با قابلیت رمزگشایی است که payload‌ های مبهم با استفاده از افزونه حاوی تروجان برای درخواست GET از یک دامنه تحت کنترل مهاجم بازیابی می‌شوند.

به نقل از هکرنیوز، همچنین یک ویژگی دیگر نیز برای رمزگشایی و اجرای payload‌ های اضافی وجود دارد و از طریق فایل باینری Golang که از چندین نقص اجرای کد از راه دور در Oracle WebLogic Server (CVE-۲۰۲۰-۱۴۸۸۲) ،NoneCms (CVE-۲۰۱۸-۲۰۰۶۲) و Jenkins ( CVE-۲۰۱۹-۱۰۰۳۰۲۹ و CVE-۲۰۱۹-۱۰۰۳۰۳۰) رنج می‌برد، بهره گرفته تا بتواند راه خود را به سیستم‌هایی که SSH را اجرا می‌کنند پیدا کرده و در نهایت نرم‌افزار استخراج XMRig را نصب و راه‌اندازی نماید.

جلوگیری از حملات باج‌افزار
علاوه بر این، زنجیره حمله به دلیل ترفند‌های خاص خود برای ماندگاری در دستگاه‌ها، که شامل انتخاب یک مسیر سیستمی با ظاهر قانونی در دیسک است که احتمالاً باینری سیستم در آن یافت می‌شود و همچنین ایجاد یک نام فایل تصادفی شش کاراکتری که بعداً برای کپی کردن باج‌افزار در محلی جدید در سیستم و قبل از حذف بدافزار و هنگام اجرا استفاده می‌گردد، شناخته می‌شود.

کشدالر گفت: “استفاده کمپین Capoae از آسیب‌پذیری‌ها و تاکتیک‌های متعدد نشان می‌دهد که این اپراتور‌ها به چه میزان قصد دارند تا جایی که ممکن است بر روی بسیاری از دستگاه‌ها برای رسیدن له مقصود خود تکیه کنند. خبر خوب این است که همان تکنیک‌هایی که ما به اکثر سازمان‌ها توصیه می‌کنیم تا سیستم‌ها و شبکه‌ها را ایمن نگه دارند، هنوز در این مورد قابل اعمال است”.

کشدالر افزود: “از اعتبارنامه‌های ضعیف یا پیش فرض برای سرور‌ها یا برنامه‌های کاربردی استفاده نکنید. همچنین اطمینان حاصل کنید که برنامه‌های کاربردیتان را با جدیدترین پچ‌های امنیتی به روز نگه می‌دارید و هر از گاهی آن‌ها را بررسی می‌کنید. به علاوه مراقب مصرف بیش از حد معمول منابع سیستم، فرایند‌های عجیب و غریب غیرمنتظره، فرایند‌های ساختگی مشکوک و لاگ‌های ورودی دسترسی مشکوک باشید. دقت، شناسایی و توجه به این موارد، به شما کمک می‌کند تا به طور بالقوه دستگاه‌های آسیب دیده را شناسایی کنید″.