خانه » پست‌هایی با برچسب "حمله"

تایرنت، مقدمه حمله بزرگ باج‌افزارهای فارسی

باج افزار تایرنت به زبان فارسی در هفته گذشته به کاربران ایرانی حمله و به آنها ۲۴ ساعت وقت داد تا ۱۵ دلار بابت دریافت کلید رمزگشایی بپردازند.

به گزارش آی تی آنالیز، نکته جالب اینکه این باج افزار بومی توضیحات مفصلی به کاربران برای نحوه پرداخت وجه از ایران می داد و با توجه به مبلغ کم درخواستی، احتمالا قربانیان زیادی حاضر به پرداخت این پول شده اند. موضوعی که می تواند آغازی بر شیوع گسترده باج افزارهای ایرانی بوده و لازم است کاربران نکات ایمنی ساده ای را که بارها هشدار داده شده است، رعایت کنند.

پشتیبانی ۲۴ ساعته

بلافاصله پس از آلودگی سیستم به تایرنت، پیغامی پیش روی کاربر قرار می گیرد که در آن نوشته شده است: اگر در حال دیدن این پیام هستید، بدان معنی است که سیستم شما به باج افزار تایرنت آلوده شده و تمام فایل ها، پوشه ها و درایو های سیستم شما درگیر و توسط الگوریتم های بسیار پیچیده (ای بی اس آی و ای ای اس) رمزنگاری شده و کلید رمزگشایی فایل های شما به صورت خودکار برای ما ارسال گردیده

است. وقت تعیین شده برای پرداخت مبلغ ۱۵ دلار و دریافت ابزار و کلید رمزگشایی فایل های شما ۲۴ ساعت تعیین شده است. این بدان معنی است که شما ۲۴ ساعت وقت دارید تا مبلغ ۱۵ دلار را به صورت وب مانی برای ما ارسال کنید. در غیر این صورت کلید رمزگشایی فایل های تان به صورت خودکار از بین خواهد رفت و تمام فایل های شما برای همیشه نابود خواهند شد.

در ادامه این پیام وبمانی، نحوه دسترسی و پرداخت به طور مفصل توضیح داده شده و حتی فروشگاه هایی نیز در ایران معرفی شده اند.

نکته جالب اینکه این باج افزار پشتیبانی ۲۴ ساعته دارد و قربانیان می توانند از طریق تلگرام یا ایمیل با این گروه تماس بگیرند.

توضیحات مرکز ماهر

مرکز ماهر نیز هفته گذشته نسبت به شیوع تایرانت هشدار داد و از کاربران خواست نکات امنیتی را رعایت کنند.

در اطلاعیه مرکز ماهر آمده است: بررسی های مرکز ماهر نشان می دهد که باج افزاری موسوم به TYRANT با الهام از یک باج افزار متن باز در فضای سایبری منتشر شده است که از صفحه باج خواهی به زبان فارسی استفاده می کند و طبیعتا برای هدف قرار دادن کاربران فارسی زبان طراحی شده است. این باج افزار در محیط سیستم عامل های ویندوزی عمل می کند تا این لحظه تقریبا فقط نیمی از آنتی ویروس های معتبر، قادر به شناسایی این بدافزار هستند.

این باج افزار با قفل کردن دسترسی به سامانه های قربانی و رمز کردن فایل های سیستم، اقدام به مطالبه ۱۵ دلار باج به شکل ارز الکترونیکی کرده و از بستر غیر قابل پیگیری تلگرام و ایمیل برقراری ارتباط با قربانی و بررسی پرداخت باج استفاده می کند.

در گزارش های واصله، روش انتشار این باج افزار استفاده از پوشش فیلترشکن سایفون بوده و از طریق شبکه های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می کند که در حقیقت حاوی بد افزار است. البته با توجه به ماهیت حمله، استفاده از دیگر روش های مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظت نشده نیز محتمل است.

روش انتقال باج که این باج افزار از آن استفاده می کند، Web money است و سازنده باج افزار، مدت ۲۴ ساعت فرصت برای پرداخت باج در نظر گرفته است. همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وب سایت های فارسی ارایه کننده این نوع از ارز الکترونیکی ازسوی باج افزار معرفی می شوند.

تحلیل های اولیه نشان می دهد که احتمالا این نسخه اول یا آزمایشی از یک حمله بزرگ تر باشد؛ چرا که با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایل ها، گاهی باج افزار موفق به رمزگذاری فایل های قربانی نمی شود و از آن مهم تر اینکه با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از ریستارت کردن سیستم نمی شود. با این وجود به نظر نمی رسد که تا کنون از محل این باج افزار خسارت قابل توجه ای ایجاد شده باشد.

راهکارهای پیشگیری:

۱- از دریافت فایل های اجرایی در شبکه های اجتماعی و اجرای فایل های ناشناخته و مشکوک پرهیز شود.

۲- از دانلود و اجرای فایل های پیوست ایمیل های ناشناس و هرزنامه ها خودداری شود.

۳- دقت ویژه در به روزرسانی دایم سیستم عامل و آنتی ویروس

۴- دقت ویژه در پرهیز از استفاده از دسترسی راه دور و در صورت عدم امکان حذف دسترسی راه دور و رعایت دقیق تمهیدات امنیتی

۵- عدم استفاده از مجوز دسترسی Administrator روی سیستم های کاربران سازمان.

هشدار دوم مرکز ماهر

هم زمان با هشدار مرکز ماهر درباره تایرنت، این مرکز درباره آسیب پذیری بحرانی در پروتکل WPA2 که ترافیک ز را در معرض سوءاستفاده قرار می دهد، هشدار داد.

براساس این گزارش محققان امنیتی چندین آسیب پذیری مدیریت کلید را در هسته پروتکل WPA2 کشف کردند که به مهاجمان امکان هک شبکه Wi-Fi و دزدیدن اتصالات اینترنت را می دهد.

این نقاط ضعف مربوط به یک پیاده سازی یا یک محصول نیستند و در خود استاندارد وجود دارند. از این رو تمامی پیاده سازی های WPA2 تحت تاثیر این کشف قرار می گیرند. تاثیرات استفاده از این آسیب پذیری ها شامل رمزگشایی، بازبخش بسته، ربودن اتصال TCP و تزریق محتوای HTTP است. برای رفع این آسیب پذیری ها باید منتظر انتشار به روزرسانی برای دستگاه ها بود.

🌐منبع خبر: IT Analyze

کشف گونه جدیدی از حمله به حافظه‌ها

Posted on 14 اکتبر 2017 by admin CPU DDR3 DDR4 RAM Rowhammer اخبار امنيت فناوری اطلاعات اخبار امنیت اطلاعات اخبار امنیت اطلاعات و ارتباطات حمله حمله سایبری

محققان امنیتی گونه جدیدی از حمله Rowhammer کشف کردند که تمام روش‌های جلوگیری که قبلا ارائه شده بود را دور می‌زند.
به گزارش ایسنا،‌ حمله Rowhammer از بزرگتر شدن فضای حافظه و کوچکتر شدن اندازه فیزیکی حافظه و در نتیجه قرار گرفتن تعداد بسیار زیادی سلول حافظه روی یک بورد، سواستفاده می‌کند. محققان کشف کردند که اگر حافظه RAM را با تعداد زیاد اما ثابتی از خواندن- نوشتن بمباران کنند، می‌توانند شارژ الکتریکی سلول‌های حافظه را به مقادیر دلخواه خود تغییر دهند. یعنی اگر داده ذخیره شده یک است آنرا به صفر تغییر دهند یا برعکس.
بر این اساس مهاجم می‌تواند از این حمله برای انتقال کدهای بدخواهی که سطح دسترسی را افزایش می‌دهند یا باعث از دسترس خارج شدن سرور می‌شوند استفاده کند. محققان کشف کردند که:
•   Rowhammer علیه حافظه‌های DDR3 و DDR4 انجام می‌شود.
•   حمله Rowhammer حتی با استفاده از کد جاوا اسکریپت انجام می‌شود و نیازی به طراحی بدافزار خاصی نیست.
•   با حمله Rowhammer روی Edge می‌توان کنترل ماشینی که سیستم عامل ویندوز روی آن در حال اجرا است را در اختیار گرفت.
•   با استفاده از حمله Rowhammer می‌توان کنترل ماشین‌های مجازی مبتنی بر لینوکسی که روی میزبان‌های ابری نصب است را در اختیار گرفت.
•   می‌توان با استفاده از حمله Rowhammer دستگاه‌های اندرویدی را روت کرد.

بر اساس اطلاعات سایت افتا، شرکت‌های تولید کننده سخت افزار روش‌های مختلفی برای جلوگیری از این حمله ارائه دادند، حتی اینتل تغییراتی در معماری CPUهایش اعمال کرد. ولی این نوع جدید از حمله Rowhammer همه ی این روش‌ها را دور می‌زند.
طبق تحقیقات انجام شده توسط محققان حمله Rowhammer حدود ۴۴٫۴ تا ۱۳۷٫۸ ساعت زمان نیاز دارد. با این وجود انجام شدن این حمله روی سرورها و فراهم کننده‌های سرویس‌های ابری کاملا امکان پذیر است.

🌐منبع خبر: ایسنا

دستگاه‌های مجهز به بلوتوث هک می‌شوند؟

Posted on 18 سپتامبر 201718 سپتامبر 2017 by admin BlueBorne Bluetooth IOS آسیب‌پذیری اخبار امنیت اطلاعات اخبار فناوری اطلاعات و ارتباطات بلوتوث حمله نفوذ هک

بالغ بر پنج میلیون گوشی و سایر دستگاه‌های الکترونیکی که به بلوتوث مجهزند، در معرض هک شدن قرار دارند.
به نقل از وب سایت اینگجت، به تازگی روش جدیدی از هک کردن دستگاه‌های الکترونیکی کشف شده است که به وسیله آن هکرها و مجرمان اینترنتی می‌توانند دستگاهی را که قابلیت بلوتوث آن روشن و فعال است، هک کنند. جالب اینجاست که هکرها برای این کار لازم نیست حتی با دستگاه مورد نظر جفت (pair) شوند.
قابلیت بلوتوث که هم اکنون در بسیاری از گوشی ها، تبلت ها و سایر دستگاه‌های الکترونیکی وجود دارد، به کاربران این اجازه را می‌دهد تا بدون اتصال و به‌صورت وایرلس با سایر دستگاه‌ها اتصال برقرار کرده و به راحتی تبادل اطلاعات کند. البته برخی گوشی ها نظیر آیفون به دلیل امنیت بیشتر، اغلب این قابلیت را ندارند که این در حال حاضر باعث شده است تا این دسته از گوشی‌ها از روش جدید هک از طریق بلوتوث بیشتر در امان بمانند.
این روش جدید از حملات سایبری موسوم به بلو بورن (BlueBorne) است که بسیار خطرناک بشمار می رود چراکه بدون اجازه شخص قربانی، از طریق بلوتوث دستگاه مورد نظر به اطلاعات شخصی کاربر نفوذ کرده و اقدام به انتشار اطلاعات وی می کند.
هک از طریق بلوتوث به هکرها این امکان را می‌دهد تا به هرگونه دستگاهی که به بلوتوث مجهز شده نظیر گوشی، لپ‌تاپ، تبلت، ساعت هوشمند، تلویزیون هوشمند و حتی خودروها ورود پیدا کرده و در صورتی که کاربر بلوتوث دستگاه خود را در فضاهای عمومی روشن کند، می توانند آن را هک کنند.

در اکثر مواقع، ویروس‌ها و بدافزارها زمانی وارد دستگاه‌های الکترونیکی مورد نظر می شوند که کاربران ناخواسته و ناآگاهانه روی لینک یک وب سایت آلوده کلیک کرده و یا فایل مخرب و آلوده ای را دانلود کرده اند. اما درباره روش بلوبورن (هک از طریق بلوتوث) باید گفت که کاربر کافیست بلوتوث خود را روشن کند تا هدف حمله هکرها قرار بگیرد.
ندیر ایزرائیل – کارشناس – دراین باره اظهار می کند:” تنها یک بار کافیست تا بلوتوث شخص قربانی روشن شده تا توسط یک هکر هک شود. سپس بعد از آن، هکر بدون نیاز به اجازه کاربر و یا اتصال دوباره قابلیت بلوتوث، به تمامی اطلاعات گوشی یا دستگاه مورد نظر دسترسی یافته و می تواند از آنها سوءاستفاده کند”.
سیستمهای عامل اندروید، مایکروسافت و اخیرا لینوکس در معرض این خطر قرار گرفته اند. به گفته برخی منابع، در نسخه هایی از سیستم عامل iOS نیز احتمال آلودگی از این روش وجود دارد.
این روزها که بازار حملات سایبری و هک کاربران در فضای مجازی و اینترنتی بسیار پر تب و تاب شده است، یکی از بزرگ ترین عوامل خطر، ناآگاهی و سهل انگاری کاربران است. بدین ترتیب که در دنیای امروز در صورتی که افراد برای ورود به فضای گسترده اینترنت، اطلاعات کافی و به روز نداشته باشند و یا در به‌روزرسانی سیستم عامل، نرم افزارهای امنیتی و یا آنتی ویروس های سیستم خود سهل انگاری کنند، دچار صدمات و آسیب های جبران ناپذیری خواهند شد. بنابر آمار منتشر شده، حملات سایبری در سال ۲۰۱۷ میلادی به اوج خود رسیده است.

🌐منبع خبر: ایسنا

حمله فیشینگ به بانک‌های آمریکایی؛ میزبانی وبگاه فیشینگ در سرورهای روسیه

Posted on 7 آگوست 20177 آگوست 2017 by admin Attack Bank of America BoA HackRead Phishing Russian Server Site Hosted آمریکا اخبار امنیت اطلاعات بانک‌های آمریکایی حمله حمله سایبری حمله فیشینگ روسیه سرورهای روسیه فیشینگ میزبانی وبگاه

کلاهبرداری فیشینگ جدید به طور خاص مشتریان “BoA” را هدف قرار داده است. شاید گمان کنید که رخنه گران از به کارگیری کلاهبرداری های فیشینگ برای حمله به مشتریان بانکی در سراسر جهان خسته شده اند، اما مشتریان بانک‌های آمریکایی همچنان با دشواری‌های این روش رویاروی هستند.
“HackRead” حملۀ فیشینگی ست که حمله به مشتریان “BoA” را بررسی کرده است. رخنه گران پس از جزئیات کارت اعتباری، اطلاعات شخصی را نیز با استفاده از وبگاهی که در یک سرور روسی میزبانی می شود، می‌بینند. درحالی که شاهدی نداریم که رخنه گران، روس هستند یا به دولت روسیه ربط دارند، این حمله متکی به روش های سنتی است که شامل: فرستادن رایانامه و درخواست جزئیات از کاربران برای زمانی که بخواهند با محدودیت های خاص، از حساب های بانکی شان برداشته شود.

منابع:

🌏: http://news.softpedia.com
🇮🇷: کاشف

زیان جبران‌ناپذیر بیمارستان‌های ایران از حمله باج‌افزارها

Posted on 6 آگوست 20176 آگوست 2017 by admin Administrator Event-viewer Group Policy Manager keylogger Log-in Malware RDP Remote Desktop VPN اخبار امنیت اطلاعات باج افزار بیمارستان پروتکل RDP حمله رخنه زیان جبران ناپذیر نفوذ امنیتی

مرکز ماهر در اطلاعیه‌ای اعلام کرد حملات باج افزارها به سامانه‌های بیمارستانی کشور، خسارات جبران‌ناپذیری را به بار آورده است.
در اطلاعیه مرکز ماهر آمده است: در هفته های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی ازجمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است. بررسی های فنی نشان داده که در بسیاری از این حملات، مهاجمان با سوءاستفاده از دسترسی به سرویس دسترسی از راه دور در سیستم عامل ویندوز که مبتنی بر پروتکل RDP است، وارد شده، آنتی ویروس نصب شده را غیرفعال می کنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایل های سرور می کنند. حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده های ممکن، زمان و الگوی انجام پشتیبان گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج افزاری بی نقص شده اند.
براساس این گزارش در این حملات، مهاجم با سوء استفاده از نسخه های آسیب پذیر سرویس Remote Desktop ، رمز عبور ضعیف، تنظیمات ناقص یا بی احتیاطی در حفاظت از رمز عبور، وارد سرورها می شوند. به منظور جلوگیری از وقوع این حملات لازم است که تا حد امکان، نسبت به مسدود کردن سرویس های غیر ضروری Remote Desktop روی سرورهای در دسترس از طریق شبکه اینترنت اقدام کرد و در صورت ضرورت و غیرقابل اجتناب بودن ارایه این امکان در بستر اینترنت، به دقت مواردی را که در این گزارش توصیه می شود، رعایت کرد. همچنین یادآور می شود که فعال بودن دسترسی Remote Desktop به صورت حفاظت نشده در سطح اینترنت، سرور و داده ها را جدا در معرض خطر قرار خواهد داد.

پیشنهادات مرکز ماهر

مرکز ماهر به کاربران و سازمان ها توصیه کرد حتما این موارد را رعایت کنند:

۱- به روزرسانی مداوم سیستم عامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیب پذیری های جدید.

۲- انجام منظم و سخت گیرانه پشتیبان گیری از اطلاعات روی تعداد کافی از رسانه های ذخیره سازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبان گیری.

۳- عدم استفاده از کاربر Administrator برای دسترسی از راه دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.

۴- تنظیم سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش های ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام کند و تغییر رمز عبور در بازه زمانی معقولی را اجبار کند. این فرآیند در سیستم عامل های مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می شود.

۵- در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راه دور در فایروال به آدرس آی پی های مشخص. همچنین، ایجاد لایه های دفاعی بیشتر با تکیه بر خدماتی چون VPN.

۶- محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راه دور با استفاده از Group Policy Manager ویندوز. (مثلا محدود کردن دسترسی به ساعات اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال کردن آن پس از رفع نیاز.

۷- بررسی مداوم و روزانه گزارش های امنیتی (مخصوصا گزارش مربوط به Log-in در Event-viewer ویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزها یا ساعت های تعطیل و تلاش های ناموفق بدافزارها برای دسترسی و آلوده سازی.

۸- دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده می شود. انواع Key logger از تروجان ها می توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمان را به سرورها ممکن کنند. این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را می بینند، بسیار خطرناک بوده و منشاء اغلب حملات با میزان خسارت درشت در ماه های اخیر هستند.

🌐منبع خبر: پایگاه خبری فناوران

گروه رخنۀ «دارک هتل» با روش های تازه به سیاستمداران حمله کرده است

Posted on 31 جولای 2017 by admin Dark Hotel اخبار امنیت اطلاعات حمله دارک هتل رخنه سیاستمداران

بر پایۀ گزارشی که شرکت «بیت دیفندر» همین هفته منتشر کرده است، گروه تهدید دارک هتل با استفاده از روش هایی تازه در حمله های خود، سراغ کارکنان دولتی رفته است و اکنون، بر کشور کره شمالی متمرکز شده است. فعالیت های گروه دارک هتل در نوامبر ۲۰۱۴ – هنگام نشر گزارش کسپرسکی – آشکار شد. گروه یادشده، آن زمان به مسافران تجاری در منطقه آسیا-اقیانوس آرام حمله کرده بود. تقریباً یک دهه از فعالیت گروه یادشده می گذرد و برخی پژوهشگران معتقدند که اعضای آن کره ای هستند. مهاجمان این گروه با استفاده از روش های گوناگونی، مانند: وای فای هتل، بهره جویی های روز-صفرم و وبگاه های به اشتراک گذاری نظیر به نظیر به قربانیان حمله می کند و تقریباً یک سال پیش دیدیم که روش تازه ای را نیز به کار گرفته است و یک بهره جویی اش از نهاد سازنده جاسوس افزار در ایتالیا، با نام: Hacking Team افشاء شد. دارک هتل در چندین کشور، مانند: کره شمالی، روسیه، کره جنوبی، ژاپن، بنگلادش، تایلند، تایوان، چین، آمریکا، هند، موزامبیک، اندونزی و آلمان قربانیانی داشته است؛ اگرچه تا همین نزدیکی ها، چنین می پنداشتیم که حمله هایش روی مدیران شرکت، پژوهشگران و کارکنان توسعه از بخش های گوناگون، مانند: پایگاه صنعت دفاعی، نظامی، انرژی، دولت، سازمان های غیردولتی، تولید الکترونیک، داروسازی و پزشکی متمرکز شده است.

منابع:

🌏: http://www.securityweek.com
🇮🇷: کاشف