• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

تازه های امنیت

12 اکتبر 2021

مقایسه راه‌کارهای پیشگیری از نشست اطلاعات (DLP)

تیم Safetica در شرکت آرکا ارائه می دهد:

Safetica McAfee DLP Symantec DLP

نگاه اجمالی

خلاصه

Safetica DLP راه‌کاری است که به شرکت‌ها و سازمان‌ها کمک می‌کند تا داده‌های خود حفاظت کنند؛ با کیفیتی بالاتر از رقبای شناخته‌شده‌تر اما هزینه‌ای پایین‌تر؛ بدون نیاز به مدیریت اضافی و اختلال در عملیات. Safetica راه‌حل‌های به‌روز، خلاقانه و عملی برای مشکلاتی منطقی ارائه می‌دهد. این نرم‌افزار وارسی امنیتی این امکان را به کاربران می‌دهد که از وضعیت شرکت یا سازمان به طور کامل مطلع شوند و از افتادن اطلاعات به دست دیگران جلوگیری کند. یکی از ویژگی‌های مهم این نرم‌افزار ایمن‌سازی سریع و آسان اطلاعات در عرض چند ساعت است. کاربران می‌توانند فرایندهای داخلی خود را پایش و راه‌کارهای امنیتی خود را پیاده کنند. همچنین شرکت‌ها یا سازمان‌ها با استفاده از افزونه UEBA می‌توانند رفتار کاربران را تحلیل و نحوه عملکرد کارکنان خود را ارزیابی و در صورت نیاز محدود کنند. همچنین کاربران می‌توانند دستگاه‌های قابل حمل متعلق به شرکت یا سازمان خود را بر اساس سیاست‌های امنیتی خود پایش کنند. با استفاده از Safetica به آسانی می‌توان سیاست‌های امنیتی ایجاد و کارکنان را ملزم به رعایت مقررات حفاظت از داده کرد و در صورت بروز هرگونه نشت اطلاعات، هشدارهای امنیتی را به صورت آنی به کاربران ارسال می‌کند. McAfee DLP یک راه‌کار پیشگیری از نشت اطلاعات است که به کاربران کمک می‌کند تهدیدهای امنیتی را دفع و از داده‌های حساس خود حفاظت کنند. این نرم‌افزار به‌طور خاص برای حفاظت از داده‌ها در منبع خود طراحی شده است. کاربران می‌توانند اطلاعات مالکیت معنوی یا هر گونه اطلاعات سازمانی خود را در ابر، شبکه و سایر نقاط پایانی ایمن کنند. McAfee دارای امکان گزارش خودکار است. این نرم‌افزار با استفاده از ویژگی‌های انعطاف‌پذیر، مدیریت و نظارت بر روندهای کاری را ساده‌تر می‌کند. Symanteck این امکان را به کاربران می‌دهد که خطرات مربوط به نقض یا نشت اطلاعات را کاهش دهند. Symantec امکان پایش و همچنین وارسی، نظارت و حفاظت از اطلاعات را به کاربران می‌دهد. با استفاده از Symante می‌توان از دسترس قرار گرفتن اطلاعات حساس برای دیگران جلوگیری کرد و با اعمال سیاست‌های امنیتی از رفتارهای مخاطره‌آمیز پیشگیری کرد.

امکانات

لیست سیاه

✔️

✔️ ✔️
گزارش تطبیقی ✔️ ✔️
پشتیبان گیری از اطلاعات ✔️
تشخیص نشت اطلاعات ✔️ ✔️ ✔️
تجزیه و تحلیل فایل ✔️ ✔️
وارسی سرور فایل ✔️
مدیریت رخدادها ✔️ ✔️ ✔️
مدیریت سیاست ✔️ ✔️ ✔️
شناسایی داده‌های حساس ✔️ ✔️ ✔️
لیست سفید ✔️

جزییات فنی

نظارت بر دسترسی

ساعت کاری ✔️
برخط ✔️ ✔️ ✔️

گستره

SaaS/Web/Cloud ✔️ ✔️
تلفن همراه – Android ✔️
تلفن همراه – iOS ✔️
نصب ویندوز ✔️ ✔️ ✔️
نصب Mac ✔️ ✔️ ✔️

مشتریان

شرکت‌های بزرگ ✔️ ✔️ ✔️
کسبوکارهای متوسط ✔️ ✔️ ✔️
مشاغل کوچک ✔️

نحوه قیمت گذاری

آزمایش رایگان ارائه از طرف شرکت ✔️ ✔️
بر اساس سفارش ✔️ ✔️ ✔️

طرح‌ها

Safetica ONE Discovery

Safetica ONE Protection

Safetica ONE Enterprise

Safetica UEBA

Safetica Mobile

McAfee DLP Symantec DlP

مقایسه راه‌کارهای پیشگیری از نشست اطلاعات (DLP)

8 آگوست 2021

موارد جدید در Zecurion DLP 11

ماژول های Report ، Advanced data enrichment ، ابزارهای جدید آنالیز و بهبود وب کنسول

   ۱ ماژول Incident Response (گردش کار تحقیقات جرایم رایانه ای)

  • ردگیری امورات و پاسخ دهی به حوادث بصورت خورکار و درون برنامه ای
  • گزینه جدید “Task”  با فیلدهای جدید و لیست کشویی
  • اضافه شدن Incident، Filesو comments به Task موجود
  • اطلاع رسانی در مورد Taskهای جدید و تغییرات آنها
  • قابلیت گزارش گیری
  • ثبت تمامی فعالیت ها در حین تحقیقات
  • فیلدهای داده قابل تنظیم ، بنابراین ماژول می تواند به عنوان یک پیگیر Task برای سایر فرآیندها استفاده شود

    ۲  ابزارهای ارزیابی جدید، غنی سازی داده ها، گزارش ها و بهبود در پروفایل کارکنان

       ۲٫۱ ابزار ارزیابی مبتنی بر Risk
  • ارزیابی و تحلیل ریسک به سبک SIEM
  • برجسته کردن کارکنان حوادثی که باید روی آنها تمرکز کرد
  • منابع خطرات، آنومالی ها و سیاست ها هستند
  • خطرات پویا هستند
  • خطرات داخلی و تعریف شده توسط کاربر
    ۲٫۲ موتور جدید UBA
  • به روزرسانی ماژول user behavior analysis در پس زمینه
  • الگوریتم جدید بر اساس آنومالی ها
  • آنومالی ها شامل استفاده اولین بار از دستگاه ها/خدمات جدید، استفاده بیش از یک حساب شبکه اجتماعی – پیام رسان و غیره
  • مقایسه با دوره زمانی قبلی
    ۲٫۳ ماژول Staff Control
  • ماژول داخلی برای جمع آوری و تجزیه و تحلیل زمان کار کارکنان
  • مجموعه زیادی از پارامترهای محاسبه شده: زمان در رایانه ، زمان فعال ، زمان تولید و غیره
  • پارامترهای تجمعی بهره وری
  • تجزیه و تحلیل نظم در زمان کار: تأخیر ، خروج زودهنگام ، استراحت ، غیبت ، اضافه کاری
  • جدول زمان ، تجزیه و تحلیل بهره وری و گزارش ها
  • دسته بندی سفارشی وب سایت ها و برنامه ها
  • نمودارها و تجسم داده ها
   ۲٫۴ مشخصات رفتاری:
  • پروفایل رفتاری پویا ، یافتن پروفایل های پرخطر کارکنان و گروه ها
  • نظارت و تجزیه و تحلیل همه ویژگی های رفتاری
    ۲٫۵ نظارت مستقیم بر جلسه کاربر با دوربین وب و دسترسی آنلاین دسکتاپ در نقاط پایانی
    ۲٫۶ ویجکت داشبورد جدید (وظایف ، دوربین وب/دسترسی مستقیم به رایانه و غیره)
  • خلاصه و پارامترهای جدید کاربر در سرصفحه نمایه کاربر با اقدامات سریع به صورت زنده نظارت بر کاربران
  • گزینه ای برای افزودن دستی شبکه اجتماعی/پیام رسان کاربران در نمایه کارکنان
  • به روزرسانی نقشه اتصالات کاربر با مفهوم طراحی جدید و پارامترهای قادر به نمایش حداکثر ۱۰۰۰ کاربر
  • مقایسه سریع پروفایل های رفتاری برای کاربران و واحدهای سازمانی
  • گزارش چت مانند برای نمایش گفتگوهای ضبط شده بین افراد در همه پیام رسان های فوری
  • گزارش خوراک مانند تجمیع شده برای حوادث با بخش پیش نمایش
  • وضعیت کاربر جدید و گزینه های کنترل
  • سایر به روز رسانی GUI در ماژول گزارش

سرور پالیسی: سیاست های جدید سیستم ، قابلیت ها و کانال های تحت نظارت:

    ۱ بهبود و به روز رسانی پالیسی DLP:

    ۱٫۱ شرایط جدید و محرک های مورد استفاده در پالیسی های سیستم
  • وضعیت کاربر
  • تعداد صفحات چاپ شده
  • حوزه کامپیوتر
  • احیای سیاست قبلی
   ۱٫۲ اقدامات جدید و عملیات سیستم
  • برای این نوع حادثه نرخ نمره خطر سفارشی تعیین کنید
  • تهیه تصویر صفحه و عکس فضای کار کاربر از دوربین وب
  • جلوگیری از ایجاد عکس از صفحه توسط کاربر
  • اضافه کردن وضعیت خاص به کاربر مورد نظر
  • برچسب خاصی را به حادثه فعلی اضافه کنید
  • اضافه کردن علامت قابل تنظیم بر روی برنامه خاصی که راه اندازی شده است
  • خروج فعال جلسه Windows در رایانه هدف برای کاربر با گزینه های زیر:
    • ورود به سیستم غیرممکن است
    • مسدود کردن حساب کاربری در MS Active Directory.

 

     ۲ پشتیبانی کانال جدید و قابلیت های سیستم

    • پشتیبانی تیم مایکروسافت
    • موتور تشخیص قالب تصویر جدید با الگوریتم AI پیشرفته
    • تجزیه و تحلیل و تأیید شماره کارت های اعتباری با استفاده از الگوریتم Luhn
    • قابلیت های جدید مخفی شدن ایجنت در نقطه پایانی (پوشه ها و فایل های عامل)
    • درخواست دسترسی آفلاین (از طریق تلفن) برای دستگاه خارجی

     ۳ بهبود مدیریت سیستم:

      • قابلیت های جدید آسان برای همگام سازی ایجنت در بخش توزیع
      • قابلیت های جدید برای ساختار واحدهای سازمانی در بخش توزیع با حوزه شرکت
      • قابلیت های جدید برای ساختار واحدهای سازمانی در بخش توزیع با حوزه شرکت رایانه های شخصی و رایانه های شخصی بدون دامنه
      • دسترسی آنلاین به دسکتاپ کاربر در بخش Device Control در Agent Status

     ۴ شبکه بدون دامنه و گروه های کاری پشتیبانی می کند.

Installer Server

    ۱ قابلیت های جدید برای مدیریت وظایف و پیکربندی

  • قابلیت تنظیم لیست ایستگاه های کاری هدف از MS Active Directory و گروه های کاری بدون دامنه
  • قابلیت راه اندازی آدرس های IP یا طیف وسیعی از رنج IP برای ایستگاه های کاری در وظیفه فعال
  • بارگذاری آدرس های IP ایستگاه های کاری از فایل متنی.

ماژول Screen Photo Detector

   ۱ قابلیت های جدید برای گرفتن تلاش های کاربر برای ساخت عکس از صفحه نمایش:

  • توانایی تشخیص تلاش کاربران برای ساخت عکس از صفحه نمایش با استفاده از گوشی های هوشمند
  • تشخیص تصویر گوشی هوشمند جلوی صفحه نمایش در ۰٫۰۶ ثانیه با استفاده از هوش مصنوعی الگوریتم
  • دو شبکه عصبی از پیش نصب شده تشخیص تصویر گوشی های هوشمند را انجام می دهند

 

 

موارد جدید در Zecurion DLP 11

نمایندگی فایروال سوفوس

7 آگوست 2021

مقایسه نرم افزارهای Safetica و Zecurion

مقدمه

در مباحث آتی، دو محصول Zecurion و Safetica در جداولی براساس پارامترهای زیر مقایسه شده‌اند که ما مهمترین ویژگی‌های موجود در این جداول را که Zecurion پشتیبانی می‌کند ولی Safetica پشتیبانی نمی‌کند را شرح می‌دهیم و سایر ویژگی‌ها را می‌توان از جداول مشاهده کرد. (مشاهده شد که Zecurion توانمندتر از Safetica است). پارامترها:

  • ۱- روش‌های تشخیص نشت داده‌ها
  • ۲- مدهای عملیاتی
  • ۳- کنترل ایمیل
  • ۴- کنترل اینترنت و وب
  • ۵- کنترل نقاط انتهایی و کلاینت‌ها
  • ۶- تجهیزاتی که پشتیبانی می‌شوند
  • ۷- تحلیل اطلاعات حساس و محرمانه
  • ۸- امکانات مدیریتی
  • ۹- گزارش‌گیری
  • ۱۰- سیستم‌های پشتیبانی کننده

چند ویژگی‌ بارز Zecurion

۱- Digital Fingerprints:

  • تشخیص و ردگیری پردازش‌های محاسباتی و عملیاتی برای هر کاربران و دستگاه موجود در شبکه، اجرا می‌شود.

۲- Support Vector Machine:

  • یکی از روش‌های یادگیری ماشینی است که از آن برای طبقه‌بندی و رگرسیون استفاده می‌کنند.

۳- Bayes method:

  • تحلیل آماری با توزیع بیضی است.

۴- Control of documents containing seals or signatures:

  • کنترل و تحلیل اسنادی که دارای مهر و امضا هستند.

۵- Gateway interception with ICAP integration with a proxy server :

  • نظارت دروازه‌های شبکه و نقاط مرزی بصورت یک واسط میانی.

۶- Mirrored mail and Mirrored traffic:

  • تحلیل و کنترل ترافیک و ایمیل‌های آینه‌ای با منشأ متفاوت.

۷- Message modification:

  • کنترل دستکاری متون و نامه‌های الکترونیکی.

۸- Desktop and Mobile applications:

  • کنترل و تحلیل برنامه‌های کاربردی دسکتاپی و موبایلی.

۹- FTPS:

  • پشتیبانی از پروتکل‌های رمزنگاری در ارسال فایل

۱۰- USB shadow copying:

  • کنترل بک آپ گیری پنهان در ابر یا سایر تجهیزات ذخیره‌سازی.

۱۱- Encrypting files when writing to USB or other contents:

  • اسنادی که در سازمان ایجاد و نگهداری می‌شوند، فقط در سیستم های سازمان قابلیت خوانایی دارند و در خارج از سازمان بصورت رمزشده هستند که کلیدهای رمزگذاری در فواصل معین، آپدیت می‌شوند.

۱۲- screenshots:

  • کنترل قدرتمند روی اسکرین‌شات‌ها.

۱۳- Network storage scanning and Real-time storage scanning:

  • پایش بلادرنگ تجهیزات ذخیره‌سازی شبکه.

۱۴- User connections and emotional diagrams:

  • نمودارهای تعاملی و گرافیکی از رفتار و ارتباطات کارکنان.

۱۵- Export reports :

  • گزارش گیری و تهیه گزارش در فرمت های مختلف.

 

مقایسه‌ی امکانات و ویژگی‌های Zecurion و Safetica در جداول

 

روش‌های تشخیص نشت داده‌ها

Zecurion-vs-Safetica

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

مدهای عملیاتی

Zecurion-vs-Safetica

کنترل ایمیل

Zecurion-vs-Safetica

کنترل اینترنت و وب

Zecurion-vs-Safetica

Zecurion-vs-Safetica

کنترل نقاط انتهایی و کلاینت‌ها

 Zecurion-vs-Safetica

Zecurion-vs-Safetica

Zecurion-vs-Safetica

تجهیزاتی که پشتیبانی می‌شوند

Zecurion-vs-Safetica

تحلیل اطلاعات حساس و محرمانه

Zecurion-vs-Safetica

امکانات مدیریتی

Zecurion-vs-Safetica

گزارش‌گیری

Zecurion-vs-Safetica

سیستم‌های پشتیبانی کننده

Zecurion-vs-Safetica

مقایسه‌ی دو محصول از دید موسسات بین‌المللی ارزیابی و مشاوره‌ای Gartner و CyberPal

ارزیابی توسط Gartner و CyberPal

  • در مقایسه با Safetica می‌خواهیم به گزارشات Gartner و CyberPal اشاره کنیم که از مهترین و بزرگترین موسسات بین‌المللی مشاوره‌ای و ارزیابی تجهیزات و راهکارهای محصولات ICT هستند.
  • در گزارشات Gartner به ۴ مورد از نارضایتی‌های خریداران Safetica برخورد کردیم که آنها را همین‌جا بیان می‌کنیم و برای جزئیات بیشتر می‌توان به لینک زیر رجوع کرد: (البته موارد رضایت‌مندی را نیز بیان کرده‌اند).
  • https://g2.com/products/safetica/reviews#details
  • ولی در خصوص Zecurion به موارد نارضایتی برخورد نکردیم.

نارضایتی‌های موجود از Safetica در Gartner

Zecurion-vs-Safetica

نارضایتی‌های موجود از Safetica در Gartner

Zecurion-vs-Safetica

نارضایتی‌های موجود از Safetica در Gartner

Zecurion-vs-Safetica

نارضایتی‌های موجود از Safetica در Gartner

Zecurion-vs-Safetica

رتبه‌بندی CyberPal

 

  • در ارزیابی‌های CyberPal، رضایت‌مندی بیشتری نسبت به Zecurion را مشاهده کردیم و گفته شده است که Zecurion امکانات بیشتری را فراهم می‌کند و Zecurion امتیاز بیشتری را در بین خریداران از آنِ خود کرده است.
  • این آمار را هم‌اکنون بیان می‌کنیم ولی جهت اطلاعات بیشتر می‌توان به لینک‌های زیر رجوع کرد:
  • https://io/solutions/zecurion-dlp
  • https://io/solutions/safetica-dlp?undefined

 

Zecurion در CyberPal با امتیاز ۶۸

Zecurion-vs-Safetica

Safetica در CyberPal با امتیاز ۶۵

Zecurion-vs-Safetica

Zecurion-vs-Safetica

Zecurion-vs-Safetica

 

 

مقایسه نرم افزارهای Safetica  و Zecurion

دکتر امیر حسنی کرباسی

مدیر واحد امنیت اطلاعات رایان سامانه آرکا

مدرس دانشگاه و متخصص رمزنگاری و امنیت فضای سایبری

 

 

رایان سامانه آرکا- نماینده رسمی‌ Zecurion و Safetica در ایران

نمایندگی فایروال سوفوس

23 ژوئن 2021

آسیب پذیری وصله امنیتی مایکروسافت

بار دیگر سه شنبه پچ است و این بار نیز یک بار نسبتاً سبک است. وصله به روزرسانی امنیتی ژوئن ۴۹ رفع آسیب پذیری جدید به همراه پنج وصله هماهنگ ارائه شده توسط Adobe دارد. فقط پنج مورد از رفع اشکالات مایکروسافت به عنوان Criticals ارزیابی شده اند. اما این از اهمیت استفاده از وصله ها در اسرع وقت نمی کاهد. هر پنج وصله مهم مربوط به اشکالاتی است که به طور بالقوه برای اجرای کد از راه دور (RCE) قابل بهره برداری هستند. و یکی از آنها – یک آسیب پذیری در پلتفرم Windows MSHTML ، موتور مرورگر اختصاصی که در اصل برای Internet Explorer ساخته شده و به عنوان جزئی از برخی از برنامه های ارائه دهنده HTML باقی مانده است ، قبلاً مورد بهره برداری قرار گرفته است.

مایکروسافت همچنین در ۴ ژوئن برای رفع آسیب پذیری در مرورگر Microsoft Edge مبتنی بر Chromium (CVE-2021-33741) رفع مشکل کرد. این آسیب پذیری ، که در Chrome نیز گزارش شده است ، قبلاً به طور فعال مورد سو استفاده قرار می گرفت.

آسیب پذیری وصله امنیتی مایکروسافت Criticals (بحرانی ها)

اشکال Windows MSHTML (CVE-2021-33742) بیشترین نگرانی را دارد. زیرا در حال حاضر به طور فعال توسط بازیگران مخرب مورد سو استفاده قرار می گیرد. از یک صفحه وب مخرب که توسط یک برنامه کاربردی با استفاده از موتور HTML Internet Explorer بازدید شده است. می توان برای اجرای دستورات روی سیستم آسیب دیده استفاده کرد. این می تواند در متن مرورگر ، در ایمیل یا هر برنامه دیگری با استفاده از موتور MSHTML برای ارائه محتوا HTML رخ دهد. این به روزرسانی شامل به روزرسانی های تجمعی اینترنت اکسپلورر در ویندوز سرور ۲۰۰۸ ، ویندوز ۷ ، ویندوز سرور ۲۰۰۸ R2 ، ویندوز سرور ۲۰۱۲ ، ویندوز ۸٫۱ و ویندوز سرور ۲۰۱۲ R2 و در EdgeHTML (برای پشتیبانی از حالت اینترنت اکسپلورر در مرورگر اج استفاده می شود) در نسخه های جدیدتر ویندوز.

دو اشکال مهم دیگر مورد توجه خاص هستند

اولین مورد CVE-2021-31959 است که یک آسیب پذیری در زمینه تخریب حافظه در موتور برنامه نویسی Chakra JScript است. مانند این اشکال در MSHTML ، این آسیب پذیری در به روزرسانی تجمعی اینترنت اکسپلورر نیز مرتفع شده است. موتور JScript در سیستم عامل های جدید نیز وصله می شود. مورد دوم CVE-2021-31985 است که یک آسیب پذیری RCE در نرم افزار ضد نرم افزار Microsoft’s Defender است. آسیب پذیری مشابه که در ژانویه اصلاح شد.

از آنجا که هر دوی این مولفه ها فایل های  از خارج از شبکه را پردازش می کنند. از قبل در لیست هدف بسیاری از بازیگران مخرب قرار دارند ، احتمال سو استفاده از آنها بیشتر است. نصب به روزرسانی برای این مولفه ها تنها کاهش آسیب پذیری برای Scripting Engine است. مشتریانی که از Sophos یا سایر نرم افزارهای امنیتی  استفاده می کنند ، نباید بیش از حد نگران اشکال Defender باشند ، زیرا سیستم های غیرفعال Defender در معرض این نوع حمله نیستند. همچنین در صورت فعال بودن به روزرسانی های Defender ، هیچ اقدامی برای وصله این مورد لازم نیست – به روزرسانی امضای فعلی ویندوز ، آسیب پذیری را اصلاح می کند.

آسیب پذیری های دیگر RCE در کوتاه مدت کمتر مورد استفاده قرار می گیرند ، اما هنوز هم خواستار وصله های فوری هستند. CVE-2021-31963 آسیب پذیری در SharePoint Server است. آخرین اشکال مهم CVE-2021-31967 است ، نقصی در Microsoft VP9 Video Extensions (کدک فشرده سازی ویدیو که توسط YouTube و سایر سیستم عامل های پخش ویدئو استفاده می شود).

آسیب پذیری وصله امنیتی مایکروسافت

مشروح کامل خبر در وب سایت سوفوس

باج افزار جدید Epsilon Red

شرکت رایان سامانه آرکا نمایندگی سوفوس در ایران

22 ژوئن 2021

باج افزار جدید Epsilon Red

باج افزار جدید Epsilon Red

در هفته های گذشته ، تحلیلگران Sophos باج افزار جدیدی را که به زبان برنامه نویسی Go نوشته شده بود کشف کردند که خود را Epsilon Red می نامد. این بدافزار به عنوان آخرین بار قابل اجرا در یک حمله کنترل شده دستی علیه یک تجارت مستقر در ایالات متحده  استفاده شد که در آن اجزای  یک اسکریپت PowerShell بودند.

در حالی که نام و ابزار منحصر به فرد این مهاجم ، در رایانه های آلوده شبیه یادداشت باقی مانده توسط باج افزار REvil است ، اما چند اصلاح جزئی گرامری به آن اضافه می کند. هیچ شباهت آشکاری دیگر بین باج افزار Epsilon Red و REvil وجود ندارد.

 سرورهای Exchange هدف باج افزار

سرور Microsoft Exchange سازمانی اولین نقطه ورود مهاجمان به شبکه سازمانی بوده است. مشخص نیست که آیا این مورد توسط سو استفاده ProxyLogon فعال شده است یا آسیب پذیری دیگری ، اما به نظر می رسد که دلیل اصلی آن یک سرور وصله نشده باشد.(که Microsoft در ۱۲ اسفند اصلاحیه‌هایی اضطراری برای ترمیم آنها منتشر کرد. از زمان انتشار اصلاحیه‌ها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیک‌های نفوذ خود اضافه کرده‌اند.)

از آن دستگاه ، مهاجمان از  (WMI) برای نصب نرم افزارهای دیگر بر روی ماشین های داخل شبکه که از سرور Exchange می توانند به آنها دسترسی پیدا کنند ، استفاده کردند.

( Windows Management Instrumentation (WMI) از سیستم های محاسباتی ویندوز است. اطلاعاتی در مورد وضعیت سیستم های رایانه ای محلی یا از راه دور در اختیار کاربران قرار می دهد.)

نام Epsilon Red مانند بسیاری از بازیگران تهدید باج افزار ، اشاره ای به فرهنگ پاپ است. شخصیت Epsilon Red مخالف نسبتاً مبهم برخی از مردان ایکس در جهان گسترش یافته Marvel بود. یک “ابر سرباز” که ادعا می شود ریشه روسی دارد ، دارای چهار شاخک مکانیکی  است.

زمینه سازی با استفاده از PowerShell

در طول حمله ، عوامل تهدید مجموعه ای از اسکریپت های PowerShell را به شماره ۱٫ps1 تا ۱۲٫ps1 (و همچنین برخی از آنها که فقط با یک حرف از حروف الفبا نامگذاری شده اند) راه اندازی کردند که ماشین های مورد حمله را برای بار نهایی باج افزار آماده می کند و در نهایت آن را تحویل و آغاز می کند.

باج افزار جدید Epsilon Red

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

باج افزار جدید Epsilon Red پس از رخنه به شبکه اسکریپت PowerShell به نام RED.ps1 ایجاد می شود که با استفاده از WMI بر روی دستگاه های هدف اجرا می شود. اسکریپت یک پرونده بایگانی .۷z را که شامل بقیه اسکریپتهای PowerShell ، قابل اجرا است را در پوشه system32 بازیابی و بسته بندی می کند.

این فایل همچنین وظایف برنامه ریزی شده ای  را تنظیم می کند. که اسکریپت های شماره ۱ تا ۱۲ را اجرا می کند اما از ۷ و ۸ رد می شود.

بازکردن پورت های فایروال پاکسازی مسیرها

اسکریپت red.ps1 فایل RED.7z را در فهرست٪ SYSTEM٪ \ RED باز کرده و سپس کارهای برنامه ریزی شده ای را ایجاد می کند. که اسکریپت های بسته بندی نشده را اجرا می کند. اما یک ساعت منتظر می ماند و دستوراتی را اجرا می کند که قوانین فایروال ویندوز را اصلاح می کند. به طوری که فایروال اتصالات ورودی را در همه پورت های TCP  باز می کند.( به جز ریموت دسکتاپ ۳۳۸۹ / tcp.پورت ارتباطی مورد استفاده توسط یک ابزار تجاری به نام Remote Utilities ، ۵۶۵۰ / tcp )

باج افزار جدید Epsilon Red

 

پس از رمزگذاری هر فایل، پسوند فایل”.epsilonred” را به فایل ها اضافه می کند. و در هر پوشه یک یادداشت باج می اندازد.

در آدرس رمزنگاری ارائه شده توسط مهاجمان ، به نظر می رسد. كه حداقل یكی از قربانیان آنها در تاریخ ۱۵ مه ۴/۲۹ BTC باج پرداخت كرده است. (در آن تاریخ تقریباً ۲۱۰،۰۰۰ دلار ارزش دارد).

باج افزار جدید Epsilon Red

محصولات نهایی Sophos ، مانند Intercept X ، از نظر رفتاری چندین اقدام انجام شده توسط اسکریپت های PowerShell یا باج افزار را شناسایی می کنند. اقدام به رمزگذاری فایل ها توسط ویژگی CryptoGuard مسدود شده است. از آنجا که به نظر می رسد نقطه ورود این حمله یک سرور Exchange است که در معرض زنجیره بهره برداری ProxyLogon قرار دارد ، از مشتریان خواسته می شود که سرورهای Exchange رو به اینترنت را در اسرع وقت آپدیت کنند.

محصولات Sophos می توانند از سرورهای Exchange و همچنین Domain Controller یا ایستگاه های کاری محافظت کنند.

مشروح گزارش Sophos 

رایان سامانه آرکا پیشرو در ارایه راهکارهای امنیتی

بررسی و پیشنهاد فایروال سوفوس

21 ژوئن 2021

بدافزار Vigilante جلوگیری از ورود افراد به سایت های غیر مجاز مانند PirateBay

به نقل از اندرو برانت ، محقق ارشد SophosLabs  بدافزار عجیب Vigilante از ورود سیستم های کاربران به سایتهایی که توزیع نرم افزار و داده های غیرقانونی و کرک شده را ارایه می دهند، جلوگیری می کند.

وی همچنین افزود: در یکی از عجیب ترین مواردی که مدتی است دیده ام ، اخیراً یک بدافزار که به نظر می رسد هدف اصلی آن دور از انگیزه های رایج بدافزار باشد. این بدافزار با تغییر دادن پرونده HOSTS در سیستم آلوده ، از دسترسی رایانه کاربران آلوده به تعداد زیادی از وب سایت هایی که نرم افزار کرک شده توزیع می کنند ، جلوگیری می کند. این بدافزار را می توان در سرویس های چارت بازی در Discord یا URLهای BitTorrent یافت.

اصلاح پرونده HOSTS روشی خام اما موثر برای جلوگیری از دسترسی کامپیوتر به آدرس وب است. این خام است زیرا ، در حالی که کار می کند ، بدافزار هیچ مکانیسم ماندگاری ندارد. هر کسی می تواند ورودی ها را بعد از اضافه شدن به پرونده HOSTS حذف کند. (مگر اینکه برنامه را برای بار دوم اجرا کند)

بدافزار نام فایل اجرا شده به همراه آدرس IP دستگاه را به سروری که توسط مهاجم کنترل می شود ارسال می کند. تغییراتی در دستگاه ایجاد می کند تا قربانی با ایجاد تغییر در فایل HOSTS دستگاه. نتواند به وب سایت های نرم افزار دزدی مانند ThePirateBay.com وارد شود.

انگیزه این بدافزار کاملاً واضح به نظر می رسد. از مراجعه افراد به وب سایت های نرم افزار دزدی جلوگیری می کند. بدافزار Vigilante از چند صد تا بیش از ۱۰۰۰ دامنه وب به فایل HOSTS اضافه می کند. و آنها را به آدرس localhost ، ۱۲۷٫۰٫۰٫۱ تغییر می دهد.

بدافزار Vigilante

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

رایان سامانه آرکا پیشرو در ارایه راهکارهای امنیتی

مشروح گزارش سوفوس

سوفوس راه حل تمامی تهدیدات پیجیده امروزه