خدمات شبکه و پشتیبانی شبکه

آلودگی کارتخوان‌های فروشگاهی به یک بدافزار جاسوس

شهریور ۱۱, ۱۳۹۷/در maher, POS, sert, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به کشف بدافزاری که سیستم های کارتخوان (POS) را هدف قرار می دهد هشدار داد.

به گزارش مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات، پژوهشگران امنیتی Booz Allen Hamilton بدافزاری را کشف کرده‌اند که سیستم‌های POS (کارت‌خوان) را مورد هدف قرار می‌دهد. این بدافزار جدید کشف شده که RtPOS نام گرفته در حد سایر بدافزارهای POS مانند TreasureHunter، UDPoS ، RawPOS یا MajikPOS پیشرفته نیست.

پژوهشگران می‌گویند که RtPOS تنها از مجموعه محدودی از توابع پشتیبانی می‌کند. برای مثال فایل اجرایی بدافزار فقط دو آرگومان (نصب و حذف) را قبول می‌کند. این بدافزار تنها یک سارق حافظه کلاسیک است و قابلیت اضافه دیگری ندارد.

بدافزار سارق حافظه (RAM Scrapping malware) بدافزاری است که حافظه دستگاه‌های دیجیتالی را اسکن می‌کند (به خصوص سیستم‌های POS) تا اطلاعات شخصی حساس مانند شماره کارت‌های اعتباری را استخراج کند.

سایر بدافزارهای POS قابلیت‌های پیشرفته‌ای از قبیل امکانات ارسال و دریافت اطلاعات از سارق و تروجان‌های با دسترسی از راه دور دارند که ابزاری کامل برای جمع‌آوری داده توسط مهاجم به شمار می‌روند.

بدافزار RtPOS تنها یک قابلیت اصلی دارد و آن هم این است که RAM سیستم را اسکن می‌کند تا الگوهای متنی مشابه شماره‌های کارت اعتباری را پیدا کند و آنها را در یک فایل DAT محلی ذخیره کند. این بدافزار اطلاعات دیگری از قبیل شماره‌های ملی، گذرواژه‌ها یا داده‌های مربوط به گواهینامه‌های رانندگی را ذخیره نمی‌کند.

علاوه بر این، بدافزار RtPOS هیچ ویژگی مرتبط با شبکه نیز ندارد. از این رو ارتباطی با سرورهای از راه دور برقرار نمی‌کند تا دستورهای اضافی برای استخراج اطلاعات به سرقت رفته را اجرا کند. تمامی اطلاعات بدست آمده فقط در فایل محلی DAT ذخیره می‌شوند.

با توجه به قابلیت‌های ابتدایی این بدافزار، پژوهشگران دو سناریو را مطرح کردند. حدس اول بر این است که این بدافزار هنوز کامل نشده و همچنان در حال توسعه است، زیرا در کد منبع آن هیچ گونه مبهم‌سازی اعمال نشده است. حدس دوم پژوهشگران این است که مهاجمان تنها به دلیل آلوده‌کردن کاربران و جمع‌آوری داده‌های پرداختی آن را ساخته‌اند.

حفاظت از ۳۰۰۰ سایت دولتی و مقابله با ۵۳ دسته بد‌افزار مخرب توسط مرکز ماهر

شهریور ۵, ۱۳۹۷/در badafzar, maher, security, امنیت, فناوری اطلاعات /توسط ادمین

رئیس مرکز ماهر حفاظت از سه هزار سایت دولتی و مقابله با ۵۳ دسته بدافزار را به عنوان بخشی از اقدامات انجام شده این مرکز از ابتدای سال ۹۷ اعلام کرد.

محمد تسلیمی در جلسه کارگروه ارتباطات و فناوری اطلاعات پدافند سایبری استان تهران با اشاره به وظایف و اقدامات انجام شده این مرکز گفت: از ابتدای سال 97 مرکز ماهر حملات سایبری را در محورهایی مانند حملات هدفمند در مقیاس ملی، حملات هک و دیفیس و آلودگی بدافزار، حملات و آلودگی‌ها در حوزه تلفن همراه، آسیب‌پذیری نرم‌افزارها و تجهیزات پرکاربر و صفحات جعلی، پایش و خنثی کرده است.

وی از حمله به زیرساخت توزیع شبکه اینترنت کشور به عنوان یکی از حملات در مقیاس ملی یاد کرد و افزود: قبل از وقوع این حمله اخطارهای لازم به سازمان‌ها و دستگاه‌های مربوطه اعلام شده بود.

رئیس مرکز ماهر شناسایی هک و نفوذ به 600 سایت مهم و کنترل و رفع آلودگی در کمترین زمان ممکن، حفاظت از سه هزار سایت مهم دولتی در برابر حملات و شناسایی و مقابله با 53 دسته از بدافزارهای مخرب از دیگر اقدامات انجام شده در حوزه حملات هک از ابتدای سال 97 عنوان کرد.

او افزود: شناسایی 69 برنامک مخرب اندرویدی، مسدودسازی منابع اینترنتی و اطلاع‌رسانی عمومی و گزارش هویت مهاجمین، بخشی از اقدامات انجام شده در حوزه حملات مربوط به تلفن همراه است.

تسلیمی به شناسایی آسیب‌پذیری بیش از 30 هزار روتر میکروتیک توسط مرکز ماهر اشاره کرد و گفت: مرکز ماهر در زمینه همکاری‌های بین‌المللی نیز با تمام کشورهای دنیا به جز رژیم صهیونیستی در زمینه امنیت فضای سایبری همکاری دارد و تاکنون 200 مکاتبه در این زمینه با مراکز امنیت سایبری کشورهای مختلف داشته است.

وی همچنین به خدمات ارائه شده توسط مرکز ماهر به دستگاه‌ها نیز اشاره کرد و افزود: ارزیابی امنیتی وب سایت‌های دولتی یکی از خدمات مرکز ماهر است که به صورت دائمی و جاری انجام می‌شود.

او توسعه خدمات ابری با پوشش بیش از سه هزار وب سایت دولتی و محافظت در برابر حملات DDOS و مقاوم‌‌سازی آنها در برابر حملات هک و دیفیس، راه‌اندازی و توسعه 35 مرکز تخصصی پیشگیری و مقابله با رخدادهای رایانه‌ای در تمام استان‌ها و طراحی و توسعه شبکه هانی‌نت ملی در زیرساخت‌ها و ساختارهای اصلی شبکه کشور را از دیگر خدمات ارائه شده مرکز ماهر عنوان کرد.

رئیس مرکز ماهر افزود: تولید، بکارگیری و توسعه هفت سامانه و هشت‌هزار ابزار مهم رصد، ارزیابی، راه‌اندازی آزمایشگاه بررسی امنیت برنامک‌های توزیع شده در کشور، خرید خدمات هشت سیستم مدیریت و تحلیل لاگ و طراحی و توسعه سامانه ذخیره‌سازی و تحلیل جریان‌های شبکه در مقیاس کلان، بخشی دیگر از خدمات مرکز ماهر است.

وی برخی دیگر از خدمات ارائه شده این مرکز را ارائه موتوشاب به عنوان نخستین موتور تولید شبکه اجتماعی سازمانی و کسب‌وکار بومی رایگان، برگزاری دوره صیانت از کودک و خانواده در فضای مجازی و اطلاع‌رسانی و آگاهی بخشی مؤثر در حوزه امنیت در سراسر کشور اعلام کرد.

حفاظت از ۳۰۰۰ سایت دولتی و مقابله با ۵۳ دسته بدافزار مخرب

شهریور ۵, ۱۳۹۷/در badafzar, maher, امنیت, فناوری اطلاعات /توسط ادمین

رییس مرکز ماهر سازمان فناوری اطلاعات، حفاظت از ۳۰۰۰ سایت دولتی و مقابله با ۵۳ دسته بدافزار را به عنوان بخشی از اقدامات انجام‌شده این مرکز از ابتدای سال ۹۷ اعلام کرد.

محمد تسلیمی در جلسه کارگروه ارتباطات و فناوری اطلاعات پدافند سایبری استان تهران با اشاره به وظایف و اقدامات انجام‌شده مرکز ماهر، گفت: از ابتدای سال ۱۳۹۷ مرکز ماهر حملات سایبری را در محورهایی مانند حملات هدفمند در مقیاس ملی، حملات هک و دیفیس و آلودگی بدافزار، حملات و آلودگی‌ها در حوزه تلفن همراه، آسیب‌پذیری نرم‌افزارها و تجهیزات پرکاربر و صفحات جعلی، پایش و خنثی کرده است.

تسلیمی، شناسایی هک و نفوذ به ۶۰۰ سایت مهم و کنترل و رفع آلودگی در کمترین زمان ممکن، حفاظت از ۳ هزار سایت مهم دولتی در برابر حملات و شناسایی و مقابله با ۵۳ دسته از بدافزارهای مخرب از دیگر اقدامات انجام‌شده در حوزه حملات هک از ابتدای سال ۹۷ عنوان کرد.

وی افزود: شناسایی ۶۹ برنامک مخرب اندرویدی، مسدودسازی منابع اینترنتی و اطلاع‌رسانی عمومی و گزارش هویت مهاجمین، بخشی از اقدامات انجام‌شده در حوزه حملات مربوط به تلفن همراه است.

رییس مرکز ماهر سازمان فناوری اطلاعات به شناسایی آسیب‌پذیری بیش از ۳۰ هزار روتر میکروتیک توسط مرکز ماهر اشاره کرد و گفت: مرکز ماهر در زمینه همکاری‌های بین‌المللی نیز با تمام کشورهای دنیا به جز رژیم صهیونیستی در زمینه امنیت فضای سایبری همکاری دارد و تاکنون ۲۰۰ مکاتبه در این زمینه با مراکز امنیت سایبری کشورهای مختلف داشته است.

وی همچنین به خدمات ارایه‌شده توسط مرکز ماهر به دستگاه‌ها نیز اشاره کرد و افزود: ارزیابی امنیتی وب‌سایت‌های دولتی یکی از خدمات مرکز ماهر است که به صورت دایمی و جاری انجام می‌شود.

تسلیمی، توسعه خدمات ابری با پوشش بیش از ۳۰۰۰ وب‌سایت دولتی و محافظت در برابر حملات DDOS و مقام‌سازی آنها در برابر حملات هک و دیفیس، راه‌اندازی و توسعه ۳۵ مرکز تخصصی پیشگیری و مقابله با رخدادهای رایانه‌ای در تمام استان‌ها و طراحی و توسعه شبکه‌ هانی نت ملی در زیرساخت‌ها و ساختارهای اصلی شبکه کشور را از دیگر خدمات ارایه‌شده مرکز ماهر عنوان کرد.

وی افزود: تولید، بکارگیری و توسعه هفت سامانه و ۸۰۰۰ ابزار مهم رصد، ارزیابی، راه‌اندازی آزمایشگاه بررسی امنیت برنامک‌های توزیع‌شده در کشور، خرید خدمات هشت سیستم مدیریت و تحلیل لاگ و طراحی و توسعه سامانه ذخیره‌سازی و تحلیل جریان‌های شبکه در مقیاس کلان، بخشی دیگر از خدمات مرکز ماهر است.

رییس مرکز ماهر سازمان فناوری اطلاعات ایران برخی دیگر از خدمات ارایه‌شده این مرکز را ارایه موتوشاب به عنوان نخستین موتور تولید شبکه اجتماعی سازمانی و کسب‌وکار بومی رایگان، برگزاری دوره صیانت از کودک و خانواده در فضای مجازی و اطلاع‌رسانی و آگاهی‌بخشی موثر در حوزه امنیت در سراسر کشور اعلام کرد.

ارسال ایمیل‌ جعلی به شرکتهای پتروشیمی

شهریور ۴, ۱۳۹۷/در jaali, maher, Password, امنیت, فناوری اطلاعات /توسط ادمین

مرکز ماهر با اعلام هشدار در خصوص ارسال ایمیل‌های با پیوست آلوده جهت سرقت رمزهای عبور، از شناسایی بدافزار جاسوسی که با انتشار ایمیل جعلی به شرکتهای پتروشیمی قربانی می گیرد، خبر داد.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: در روزهای اخیر مهاجمان با نفوذ به ‫حساب ایمیل یکی از شرکت‌های خصوصی فعال در حوزه پتروشیمی، به انتشار ایمیلی جعلی با پیوست آلوده اقدام کرده اند.

این ایمیل محتوایی مرتبط با موضوع تحریم ها داشته و پیوست همراه آن یک بدافزار جاسوسی در قالب یک فایل فشرده rar. با توانایی استخراج رمزهای عبور برنامه‌های مختلف ذخیره شده در سیستم‌های عامل ویندوز قربانی است.

در همین حال دو مورد مشابه نیز در هفته های اخیر توسط آنتی ویروس بومی شناسایی و گزارش شده است. در هر دوی این موارد، ایمیل مورد سواستفاده متعلق به شرکت‌های فعال در حوزه پتروشیمی بوده است.

مرکز ماهر تاکید کرد: لازم است کاربران، به ویژه کاربران سازمانی، نسبت به محتوای ایمیل‌های دریافتی توجه بیشتری کرده و از بازگشایی هرگونه پیوست مشکوک جدا خودداری کنند.

‫ آسیب پذیری جدید PHP در کمین WORDPRESS

مرداد ۲۸, ۱۳۹۷/در asib paziri, maher, PHP, WordPress, امنیت, فناوری اطلاعات /توسط ادمین

محقق امنیت سایبری مرکز Secarma ، به تازگی یک #‫آسیب_پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوا Wordpress را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذی که از نوع Code Execution بوده در تاریخ 28 فوریه 2017 به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است.

این آسیب پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی Application های PHP-based را تحت تأثیر خود قرار خواهد داد. این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها می باشد. از سال 2009 که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده است که باعث حملات مختلف بر علیه سرورها و PHP Application ها شده است.

آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را بر روی سرور قربانی Upload کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده بر روی سرور قابل انجام خواهد بود. این آسیب پذیری بر روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت Upload فایلهای عکس آلوده بر روی سرور مد نظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می گردد. در تحقیقات اولیه علاوه بر Wordpress، سیستم مدیریت محتوا Typo3 و Contao هم دارای این آسیب پذیری هستند. شایان ذکر است که برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ؛ یکی برای نسخه 4.9 و دیگری برای نسخه های پایین تر باید آماده گردد. بر خلاف وردپرس که تا این لحظه (آماده سازی این مطلب) به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo3 در آخرین به روز رسانی خود این آسیب پذیری را رفع نموده است.

این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین بر روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP می باشد. برای جلوگیری از حمله بر علیه این CMS ها و کتابخانه های مشابه، به روز رسانی هایی که در چند روز آینده ارائه خواهند شد را حتما بر روی سامانه های خود اعمال نمائید.

توصیه مرکز ماهر به سازمان ها

مرداد ۲۸, ۱۳۹۷/در asib paziri, Cisco, maher, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت امداد وهماهنگی عملیات رخدادهای رایانه ای با اعلام هشدار نسبت به حمله سایبری به پروتکل سیسکو، از مدیران شبکه های سازمانی خواست دستگاههای مرتبط با این آسیب پذیری را بروزرسانی کنند.

به گزارش مرکز ماهر، کمپانی سیسکو به روز رسانی امنیتی مهمی را منتشر کرده که این به روزرسانی برای سیستم عامل IOS و IOS XE خود است و در بسیاری از محصولات سیسکو به کار می رود.

این آسیب پذیری که با شماره شناسایی CVE-۲۰۱۸-۰۱۳۱ معرفی شده، یکی از حملات جدید cryptographic علیه پروتکل IKE است که در IPSec مورد استفاده قرار می گیرد. معرفی این حمله جدید که به تازگی در مقاله ای با نام The Dangers of Key Reuse: Practical Attacks on IPsec IKE منتشر شده، هفته آینده در بیست و هفتمین نشست امنیتی USENIX در شهر بالتیمور ایالت مریلند آمریکا صورت خواهد گرفت.

محققان اعلام کردند که پیاده سازی این حمله بر علیه پروتکل IKEv۱ در Cisco با شماره شناسایی CVE-۲۰۱۸-۰۱۳۱، در Huawei با شماره شناسایی CVE-۲۰۱۷-۱۷۳۰۵ ، در Clavister با شماره شناسایی CVE-۲۰۱۸-۸۷۵۳ و در ZyXEL با شماره شناسایی CVE-۲۰۱۸-۹۱۲۹ معرفی خواهند شد.

این محققان که از دانشگاه Ruhr-University بوخوم آلمان و از دانشگاه Opole لهستان هستند، اعلام کردند که این آسیب پذیری ها را به سازندگان محصولات اطلاع داده اند که پاسخ سازندگان دستگاه های آسیب پذیر این بوده که به روز رسانی هایی برای رفع این آسیب پذیری ها منتشر کرده اند.

در این میان سیسکو بیشترین محصولات آسیب پذیر را دارا بوده است، مشخص شده که سیستم عامل IOS و IOS XE آسیب پذیر هستند که با شماره شناسایی CVE-۲۰۱۸-۰۱۳۱ معرفی شده است.

امروز سیسکو به روز رسانی برای هر دو سیستم عامل خود منتشر کرد و اعلام کرد که دستگاه های دارای دو سیستم عامل فوق که دارای تنظیمات احراز هویت rsa-encr هستند آسیب پذیر هستند.

براساس توضیحات سیسکو، این آسیب پذیری از راه دور به نفوذگران احراز هویت نشده این اجازه را می دهد که Encrypted Nonces از یک نشست کاری رمزنگاری شده با استفاده از پروتکل IKEv۱ را با موفقیت به دست بیاورند. علت وجود این آسیب پذیری، اشتباه در عملیات Decryption در نرم افزار پاسخ دهنده است.

نفوذگر می تواند با استفاده از یک متن رمزنگاری شده خاص که برای فرستادن به دستگاه دارای پروتکل IKEv۱ طراحی شده است، اطلاعات مربوط به رمزنگاری RSA استفاده شده در آن پروتکل را بدست بیاورد. همچنین نفوذگر می تواند با بازآوری IKEv۱ Nonces ها، دیتاهای رمزنگاری رد و بدل شده توسط پروتکل IPSec را که در اغلب ساختارهای VPN مورد استفاده قرار می گیرد را رمزگشایی کند.

مرکز ماهر اعلام کرد: توصیه اکید به مدیران شبکه در سازمانها و شرکت ها می شود که سریعاً دستگاه های خود را که شامل این آسیب پذیری می شود به روز رسانی کنند.

به گزارش مهر، فروردین ماه امسال آسیب پذیری بحرانی تجهیزات سیسکو، باعث تهدید سایبری در بسیاری از کشورهای جهان از جمله ایران شد. آسیب پذیری سیستم های سخت افزاری تحت شبکه شرکت سیسکو، اختلال در دیتاسنترهای بیش از ۱۵۰ کشور را به همراه داشت.

حمله گسترده بدافزارها به مسیریاب‌های اینترنتی

مرداد ۱۶, ۱۳۹۷/در badware, maher, router, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای اعلام کرد: تعداد زیادی از مسیریاب‌های داده اینترنتی در کشور (روترهای میکروتیک) به دلیل به روز رسانی نشدن، مورد حمله‌های گسترده بدافزارها قرار گرفته‌اند.

روتر یا مسیریاب، دستگاهی است که داده‌های اینترنتی را در شبکه مسیریابی می‌کند. روتر را می‌توان کلیدی‌ترین دستگاه ارتباطی در دنیا شبکه نامید که با اتصال شبکه‌‌های محلی کوچک به یکدیگر و مسیریابی بسته‌های اطلاعاتی، شبکه‌ای از شبکه‌ها که امروزه به آن اینترنت می‌گوییم را شکل می‌دهد.

چطور روتر (مسیر‌یاب) کار می‌کند؟

بنا بر اعلام مرکز مدیریت امداد و هماهنگی عملیات رخداد‌های رایانه‌ای کشور، به رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه امسال در خصوص آسیب‌پذیری گسترده‌ی روترهای ‫میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات هنوز نسبت به بروزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده‌اند.

آشنايي با روش‌هاي ايمن ماندن در فضاي سايبر

مرکز ماهر اعلام کرد: رصد شبکه کشور در روزهای اخیر نشان‌دهنده حملات گسترده به پورت 23 (telnet) از مبداء روترهای میکروتیک آسیب‌پذیر آلوده شده در سطح کشور است؛ آلودگی این روترها به صورت عمده از طریق آسیب‌پذیری اشاره شده اخیر (آسیب‌پذیری پورت 8291 مربوط به سرویس winbox) صورت گرفته است.

مرکز ماهر برای حفاظت از روترهای میکروتیک، توصیه کرد در اسرع وقت بروزرسانی سیستم عامل و مسدودسازی پورت‌های مدیریت تجهیز روی اینترنت اجرا شود.

بر اساس این گزارش، مشاهدات حسگرهای مرکز ماهر در شبکه کشور، در روزهای گذشته حجم حمله‌های ثبت شده به پورت 23(telnet) افزایش چشمگیری داشته است. براساس بررسی‌های انجام شده، منشاء این حمله‌ها به طور عمده تجهیزات اینترنت اشیا (hot) آلوده نظیر مودم های خانگی و به ویژه روترهای میکروتیک بوده و هدف آن نیز شناسایی و آلوده سازی تجهیزات مشابه است.

مرکز ماهر مهمترین راهکار پیشگیری و مقابله با این تهدید را بروزرسانی(firmware) تجهیزات و مسدودسازی دسترسی به پورت‌های کنترلی از جمله پورت 23و 22 اعلام کرد.

مرکز ماهر جزئیات حمله به سایت «زرین پال» را اعلام کرد

مرداد ۱۳, ۱۳۹۷/در maher, security, zarrin pal, امنیت, فناوری اطلاعات /توسط ادمین

مرکز ماهر نسبت به آلودگی مسیریابهای شبکه در کشور هشدار داد و اعلام کرد: براساس مشاهدات حسگرهای این مرکز، در روزهای گذشته حجم حملات ثبت شده به تجهیزات «روتر» با افزایش همراه بوده است.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر)، اواخر هفته گذشته با انتشار اطلاعیه ای نسبت به آلودگی تعداد زیادی از مسیریاب‌های شبکه (روتر) در کشور، مربوط به تجهیزات میکروتیک، هشدار داد.

در این اطلاعیه آمده بود که «متاسفانه به رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه درخصوص آسیب‌پذیری گسترده‌ روترهای میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات، هنوز نسبت به به‌روزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده اند.»

در این راستا مرکز ماهر مربوط به معاونت امنیت فضای تولید و تبادل اطلاعات سازمان فناوری اطلاعات ایران، باردیگر با انتشار اطلاعیه ای تاکید کرد: پیرو اطلاعیه قبلی درخصوص افزایش آلودگی روترهای ‫میکروتیک در کشور، رصد انجام شده از افزایش چشمگیر حملات روی پورت ۲۳ (telnet) حکایت دارد؛ منشاء این حملات عمدتا روترهای میکروتیک آلوده است.

افزایش حملات ثبت شده به روترهای شبکه در کشور

این مرکز با اعلام جزئیات گزارش افزایش حملات ثبت شده به پورت ۲۳ در شبکه ارتباطی کشور، اعلام کرد: براساس بررسی‌های انجام شده، منشاء این حملات عمدتا تجهیزات اینترنت اشیا (IOT) آلوده نظیر مودمهای خانگی و به ویژه روترهای میکروتیک بوده و هدف آن نیز شناسایی و آلوده سازی تجهیزات مشابه است.

افزایش حملات صورت گرفته روی دستگاههای اینترنت اشیاء در حالی رو به افزایش است که سطح پایین امنیت در بسیاری از این ابزارها، آنها را به هدف ساده ای برای حمله تبدیل کرده است؛ به طوری که بسیاری از قربانیان حتی متوجه آلوده شدن سیستم خود نمی شوند. هدف بسیاری از مهاجمان آلوده کردن یک سیستم IoT و اضافه کردن آن سیستم به شبکه «بات» است. بیشتر این بات‌نتها برای ایجاد حمله DoS توزیع شده، طراحی شداند.

از این رو مهمترین راهکار پیشگیری و مقابله با این تهدید، به روزرسانی سفت افزارها (firmware) تجهیزات و مسدودسازی دسترسی به پورتهای کنترلی از جمله پورت ۲۳ و ۲۲ است.

دراین زمینه مرکز ماهر تاکید کرده است که در صورت عدم به روزرسانی دستگاهای IoT در هنگام نیاز، احتمال آلوده شدن دستگاه افزایش پیدا می کند. انتشار این بدافزارها معمولا از طریق اسکن آدرسهای ip و یافتن پورتهای Telnet و SSH باز صورت می‌گیرد و پس از آن با استفاده از حمله Brute Force و یا استفاده از آسیب پذیریهای شناخته شده، امکان ورود به سیستم محقق می شود.

دستگاههای IOT از پردازنده ها و معماریهای سخت افزاری مختلفی بهره می‌گیرند، به همین منظور توسعه دهندگان بدافزار برای اطمینان از اینکه برنامه آنها تعداد بالایی از این دستگاها را آلوده کند، فایل خود را برای معماریهای مختلف آماده می کنند.

در حملات مربوط به تجهیزات IoT ، معمولا ابتدا نوع پلتفرم دستگاه بررسی شده و پس از آن فایل اجرایی مربوطه در سیستم نصب می شود. پس از اجرای فایل باینری مخصوص دستگاه، اتصالی به یک سرور C&C برقرار شده و «بات» منتظر دستوری از بات‌مستر راه دور می کند. در این حملات بیشترین معماریهای مورد هدف در ابزارهایی مانند روترها، مودمها، دستگاههای NAS، سیستمهای CCTV، سیستمهای ICS و بسیاری ابزارهایIoT دیگر به کار می روند.

بدافزار تولید شده با پوشش هرچه بیشتر معماریهای مختلف که عمده آن از خانواده Mirai هستند، طیف گسترده ای از ابزارهای IoT را هدف می گیرد.

جزئیات هک درگاه پرداخت اینترنتی «زرین پال»

در این زمینه روز گذشته نیز درگاه پرداخت اینترنتی زرین پال مورد هجوم هکرها قرار گرفت و گفته شد که اطلاعات کاربران این وبسایت مورد سرقت قرار گرفته است.

در این راستا مرکز ماهر با انتشار اطلاعیه ای با بیان اینکه حمله به این سایت از نوع دیفیس (تغییر چهره سایت) بوده است، اعلام کرد: رخداد دیفیس سامانه درگاه پرداخت اینترنتی زرین پال به نام دامنه zarinpal.ir و آدرس IP ۹۱.۲۳۹.۵۵.۲۴۵ توسط اپراتور سامانه مراقبت از رخداد هک و دیفیس مرکز ماهر در ساعت ۲۰:۱۵ روز جمعه مشاهده شد و این موضوع در همان زمان با تماس با مسئولان این شرکت اطلاع داده شد.

مرکز ماهر در این اطلاعیه به موارد زیر اشاره کرده است:

• بر اساس بررسی های صورت گرفته تا این لحظه و نیز ادعای قاطع مسئولان شرکت ‫زرین پال، نفوذ تنها در سطح روتر ‫میکروتیک این شرکت صورت گرفته و مهاجم پس از در اختیار گرفتن کنترل روتر، بازدیدکنندگان وب سایت را به صفحه دیگری متعلق به خود مهاجم هدایت کرده و پیغام Deface را منتشر کرده است.

• محل فیزیکی استقرار تجهیزات از جمله این روتر،‌ دیتاسنتر آسیاتک در تهران بوده است. در این مورد مسئولیت نگهداری تجهیز با خود شرکت زرین‌پال بوده و مسئولیتی متوجه آسیاتک نبوده است.

• پیگیری مرکز ماهر برای صحت‌سنجی قطعی ادعای شرکت، با توجه به اعمال reset factory تجهیز جهت بازیابی رمز عبور توسط مسئولان آن، امکانپذیر نبوده است. شرکت آسیاتک نیز به دلیل عدم ذخیره سازی netflow‌ شبکه، در این خصوص نتوانسته کمکی ارائه کند. با اینحال لاگ‌های دیگر درحال تهیه است که ممکن است شواهد بیشتری ارائه کند. درخصوص این آسیب‌پذیری میکروتیک طی چند ماه گذشته ۳ بار توسط مرکز ماهر از طریق سایت، شبکه تعاملی و پیامک اطلاع رسانی شده است.

• در این خصوص پیش‌تر آدرس روترهای میکروتیک آسیب پذیر در کشور شناسایی شد و به تفکیک استانی در اختیار مراکز ICT استانی قرار گرفت. آدرس روتر این شرکت نیز به نام سامان سیستم پرداز کیش در میان روترهای آسیب پذیر بوده و با توجه به آدرس ثبت شده آن (در سایت Ripe.net) در جزیره کیش، اواسط هفته گذشته به مسئولان آن استان اطلاع رسانی شد.

• شمار دیگری از روترهای آسیب پذیر میکروتیک که مورد نفوذ قرار گرفته و درحال حمله به نقاط دیگر شبکه کشور هستند نیز شناسایی شده و هفته گذشته در اختیار شرکت های سرویس دهنده اینترنت قرار گرفته است. فهرست کل اینIP ها در سامانه تعاملی نیز برای ۲۳۱۸ نفر از نمایندگان دستگاه‌ها در هفته گذشته ارسال شد.

مدیر این وبسایت نیز با تایید حمله صورت گرفته به این سایت، گفته است که این حمله در روتر میکروتیک لایه نت ورک اتفاق افتاده که کوتاهی از سوی این مجموعه بوده است اما از آنجایی که حمله در لایه اکسس شبکه نبود، هیچ دیتایی لو نرفته و مورد سوء استفاده واقع نشده است.

مرکز ماهر تاکید کرده که «موارد دیگری نیز که هنوز نسبت به بروزرسانی روترهای میکروتیک اقدام نکردند در معرض نفوذ قرار دارند که لازم است سریعا اقدامات پیشگیرانه صورت پذیرد.»

تعداد زیادی روترهای میکروتیک شبکه کشور آلوده شده است

مرداد ۹, ۱۳۹۷/در asib paziri, maher, router, telnet, امنیت, فناوری اطلاعات /توسط ادمین

مرکز ماهر نسبت به آلودگی جدیدی در تجهیزات شبکه کشور هشدار داد و از مدیران خواستار بروزرسانی سیستم‌عامل شد.

مرکز ماهر اعلام کرده متأسفانه علی‌رغم هشدار پیشین این مرکز در اوایل اردیبهشت ماه درباره آسیب‌پذیری گسترده‌ی روترهای میکروتیک در سطح شبکه کشور، بسیاری از کاربران و مدیران این تجهیزات هنوز نسبت به بروزرسانی و رفع آسیب‌پذیری این تجهیزات اقدام نکرده‌اند.

در این رابطه، رصد شبکه کشور در روزهای اخیر نشاندهنده حملات گسترده به پورت 23 (telnet) از مبدأ روترهای میکروتیک آسیب‌پذیر آلوده شده در سطح کشور است.

آلودگی این روترها عمدتا از طریق آسیب‌پذیری اشاره شده اخیر (آسیب‌پذیری پورت 8291 مربوط به سرویس winbox) صورت گرفته است.

همچنین گفته شده فهرست آدرس‌های IP روترهای آلوده در ساعات آتی در سامانه تعاملی مرکز ماهر در دسترس اعضا خواهد بود؛ مدیران شبکه عضو سامانه می‌توانند ضمن مراجعه به سامانه تعاملی از آلودگی روترهای کاربران خود مطلع شوند.

بنابراین به منظور حفاظت از روترهای میکروتیک، اکیدا توصیه شده سریعا بروزرسانی سیستم عامل و مسدودسازی پورت‌های مدیریت تجهیز بر روی اینترنت اجرا شود.

فریب برنامه جعلی ساخت کارت بانکی را نخورید

تیر ۵, ۱۳۹۷/در baj afzar, credit card, Cybersccp, maher, security, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای ضمن هشدار درباره انتشار باج افزار «سایبرزسی.سی.پی» (Cybersccp) در کانال های تلگرامی فارسی زبان به کاربران توصیه کرد مراقب برنامه جعلی ساخت کارت بانکی باشند.

باج افزار (Ransomware) نوعی بدافزار است که به مجرمان این امکان را می دهد بتوانند از طریق یک کنترل از راه دور، کامپیوتر قربانی را قفل کنند به طوری که کاربر نتواند از سیستم خود استفاده کند تا در نهایت مجبور باشد برای رفع مشکل هزینه ای را به هکرها بپردازد.

در همین پیوند و براساس تازه ترین گزارش مرکز ماهر آمده است: مشاهدات اخیر در فضای سایبری کشور به خصوص در پیام‌ رسان تلگرام حاکی از آن است که یک باج‌افزار از خانواده خطرناک شناخته شده هایدن تیر (HiddenTear) با نام سایبرای.ایکس.ای (Cyber.exe) در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت در حال انتشار است.

گزارش مرکز ماهر عنوان می کند: قربانیان این برنامه که به طور عمده افرادی مبتدی و باانگیزه جعل هویت هستند، پس از دریافت برنامه سایبرای.ایکس.ای (Cyber.exe) مورد حمله باج افزاری قرار خواهند گرفت.

مرکز ماهر در گزارش خود آورده است که باج افزار مذکور برای رمزگشایی فایل ها از قربانیان خود طلب 0.03 باج می کند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای به همه کاربران توصیه اکید دارد تا از دریافت و اجرای برنامه ها از منابع ناشناخته به شدت پرهیزکنند.

مرکز ماهر در ادامه گزارش خود آورده است: بر اساس قانون جرایم رایانه ای مصوب بهمن ماه سال 1389مجلس شورای اسلامی هر یک از فعالیت های مورد ادعا در پوشش انگیزشی این بد افزار، جرایمی جدی است و مورد تعقیب قضایی قرار خواهد گرفت.

مرکز ماهر اعلام کرد: بهترین راهکار برای پیشگیری از فعالیت باج افزار ها تهیه منظم رونوشت های پشتیبان از اطلاعات و نگهداری آنها به صورت غیر برخط است.