رشد ۴ برابری استفاده از آسیب‌پذیری‎های امنیتی سایبری

 
بهره‌جویی از ۲۲۳ آسیب‌پذیری امنیتی، در سال گذشته میلادی، در مقایسه با دوره قبل از آن، حدود ۴ برابر افزایش داشته است.
 
به گزارش مرکز مدیریت راهبردی افتا، در بهره‌جویی از این آسیب پذیری‌ها، ۱۲۵ خانواده باج‌افزاری نقش داشته‌اند که به طور میانگین، هر یک از ۱۷ آسیب‌پذیری بهره‌جویی کرده‌اند.
 
اصلاحیه ۹۶ درصد از آسیب‌پذیری‌های مذکور از قبل از سال ۲۰۱۹ در دسترس قرار داشته است و عمر برخی از این باج‌افزارها به بیش از ۸ سال می‌رسد و به نظر نمی‌آید که به این زودی‌ها گردانندگان آنها قصد بازنشستگی داشته باشند، برای مثال می‌توان به خانواده باج‌افزارهای CryptoMix اشاره کرد که از پنجاه آسیب‌پذیری بهره‌جویی کرده است که کشف قدیمی‌ترین آنها به سال ۲۰۱۰ و جدیدترین آنها به سال ۲۰۲۰ باز می‌گردد.
 
گردانندگان حرفه‌ای باج‌افزار، هوشمندانه در حال گسترش دامنه اهداف خود از سیستم‌های عامل سرورها به بسترها و برنامه‌های تحت وب هستند که ۱۸ مورد از آسیب‌پذیری‌ها، با محصولاتی چون Apache Struts، WordPress ، Java ، PHP ، Drupal و ASP.net مرتبط هستند.
 
از محصولات کدباز و پروژه‌های آنها همچون Nomad ، Jboss ، OpenShift ، Elasticsearch ، TomCat ، OpenStack ، MySQL و Jenkins نیز ۱۹ مورد از آسیب‌پذیری‌ها ناشی شده‌اند.
 
بر اساس گزارش شرکت ریسک‌سنس (RiskSense, Inc) چهل درصد از آسیب‌پذیری‌های بررسی شده نیز به دلیل عدم محدودسازی درست در عملیات مرتبط با مرز یک بافر حافظه، کنترل‌های دسترسی، عدم اعتبارسنجی صحیح ورودی، فراهم شدن دسترسی به اطلاعات حساس برای کاربر غیرمجاز و عدم کنترل صحیح ایجاد کد، به وجود آمده‌اند که سه مورد از این پنج آسیب‌پذیری، در فهرست خطرناک‌ترین آسیب‌پذیری نرم‌افزاری ۲۰۲۰ به چشم می‌خورند.
 
گزارش شرکت ریسک‌سنس همچنین حاکی‌است که ۳۳ تهدید پیشرفته و مستمر (APT) در مجموع از ۶۵ باج‌افزار بهره‌جویی کرده‌اند.
 
کارشناسان مرکز مدیریت راهبردی افتا می‌گویند از آنجا که سوءاستفاده از آسیب‌پذیری‌های امنیتی از روش‌های مؤثر، متداول و بسیار مخرب است و مهاجمان، برای آلوده‌سازی دستگاه‌ها به بدافزار و رخنه به شبکه اهداف خود از آن‌ها بهره می‌گیرند، اصلی‌ترین راهکار در مقابله با این تهدیدات، اطمینان از نصب کامل اصلاحیه‌های امنیتی است.

افزایش چشم‌گیر تهدیدات Web Shell

 
 
مهاجمان سایبری تهدیدات موسوم به Web Shell را حدود دو برابر افزایش داده‌اند.
 
به گزارش مرکز مدیریت راهبردی افتا، از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.
 
در فاصله آگوست ۲۰۲۰ تا ژانویه ۲۰۲۱، مایکروسافت ماهانه حدود ۱۴۰ هزار Web Shell را شناسایی کرده است که در مقایسه با میانگین ۷۷ هزار مورد دوره قبل از آن، حدود دو برابر افزایش داشته است.
 
مهاجمان با استفاده از این تکنیک و با بهره‌جویی (Exploit) از ضعف‌های امنیتی ، فرامین مختلفی را  بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر، اجرا می‌کنند.
 
همچنین مهاجم سایبری،  می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای رد و بدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند.
 
مهاجمان سایبری،  با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند اما در بسیاری موارد تا زمانی که مهاجمان از  Shell استفاده نکنند، محتوای واقعی آن مشخص نمی‌شود.
 
تهدیدWeb Shell  مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP، PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند.
 
مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است.
 
تکنیک Web Shell  می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی فراهم است، که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست.
 
عواقب راهیابی Web Shell به یک سرور وب، می‌تواند تبعات بسیار جدی و گاه جبران‌ناپذیری را متوجه سازمان کند؛ بنابراین با توجه به گسترش رایانش ابری و الکترونیکی شدن خدمات، لازم است تا مسئولان امنیت سازمان‌ها به ملاحظات امنیتی سرورها،  بیش از قبل توجه کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه کارشناسان IT سازمانها و زیرساخت‌ها می خواهند تا برای مقاوم‌‌سازی سرورهای وب در برابر تهدیدات Web Shell ، اصلاحیه‌های امنیتی را  بر روی سامانه‌های قابل دسترس بر روی اینترنت، بطور کامل نصب و از عدم آسیب‌پذیر بودن برنامه‌های بر روی آنها، اطمینان حاصل کنند.
 
برای محدودسازی تبعات ناشی از یک سرور آلوده لازم است تا شبکه هر زیر ساخت تقسیم بندی  (Network Segmentation) شود  و حتما از ضدویروس به‌روزشده استفاده کنند.
 
 از آنجا که سامانه‌های قابل دسترس بر روی اینترنت، بیش از سایرین در معرض پویش و حمله واقع می‌شوند، ضروری است در اولین فرصت، لاگ‌های سرورهای وب، ممیزی و مرور مستمر شوند.
 
به گفته کارشناسان مرکز مدیریت راهبردی افتا، لازم است تا متخصصانIT دستگاه‌های زیر ساختی، برای جلوگیری از برقراری ارتباطات با سرور فرماندهی  (C2)  در میان نقاط پایانی،  دیواره آتش و نفوذیاب را بطور صحیح پیکربندی کرده و دامنه نفوذ و سایر فعالیت‌های مخرب را محدود و مسدود کنند.
 
  به حداقل رساندن سطح دسترسی حساب‌های کاربری و تا حد امکان پرهیز از بکارگیری از حساب‌های کاربری محلی (Local) و تحت دامنه (Domain) با سطح Administrator از دیگر راهکارهای لازم برای جلوگیری از راهیابی Web Shell به یک سرور وب است.
 
  کارشناسان مرکز مدیریت راهبردی افتا، رصد لاگ‌های دیواره‌های آتش و پراکسی‌ها را برای شناسایی دسترسی‌های غیرضروری به سرویس‌ها و درگاه‌ها،  از دیگر راه‌های مقاومت در برابر تهدیدات Web Shell عنوان می‌کنند.
 
مرکز مدیریت راهبردی افتا، اطلاعات فنی تکنیک Web Shell و حمله مهاجمن سایبری از این طریق به سرورهای وب را در لینک  https://www.afta.gov.ir/portal/home/?news/235046/237266/242799 منتشر کرده است.

افزایش چشم‌گیر تهدیدات Web Shell

 
 
مهاجمان سایبری تهدیدات موسوم به Web Shell را حدود دو برابر افزایش داده‌اند.
 
به گزارش مرکز مدیریت راهبردی افتا، از اصلی‌ترین دلایل استقبال مهاجمان از Web Shell، سادگی و در عین حال نقش مؤثر و کلیدی آن در اجرای موفق یک حمله سایبری است.
 
در فاصله آگوست ۲۰۲۰ تا ژانویه ۲۰۲۱، مایکروسافت ماهانه حدود ۱۴۰ هزار Web Shell را شناسایی کرده است که در مقایسه با میانگین ۷۷ هزار مورد دوره قبل از آن، حدود دو برابر افزایش داشته است.
 
مهاجمان با استفاده از این تکنیک و با بهره‌جویی (Exploit) از ضعف‌های امنیتی ، فرامین مختلفی را  بر روی سرور آلوده با اهدافی همچون سرقت داده‌ها، رخنه به شبکه سازمان یا توزیع بدافزارهای دیگر، اجرا می‌کنند.
 
همچنین مهاجم سایبری،  می‌تواند دستورات خود را در یک رشته به اصطلاح User Agent یا پارامترهای رد و بدل شده در جریان تبادل سرویس‌دهنده و سرویس‌گیرنده (Server/Client) مخفی کند.
 
مهاجمان سایبری،  با ترکیب این روش‌ها یک Web Shell چندبایتی، اما مخرب را تولید می‌کنند اما در بسیاری موارد تا زمانی که مهاجمان از  Shell استفاده نکنند، محتوای واقعی آن مشخص نمی‌شود.
 
تهدیدWeb Shell  مجموعه کد کوچکی است که با زبان‌های اسکریپت‌نویسی متداولی نظیر ASP، PHP یا JSP نوشته شده و مهاجمان با تزریق آنها در سرورهای وب (Web Server)، بستر را برای کنترل از راه دور سرور و اجرای کدهای بالقوه مخرب بر روی آنها فراهم می‌کنند.
 
مختصر بودن کدهای Web Shell و سادگی جاسازی آنها در میان کدهای معتبر، شناسایی آنها را به کاری پرچالش تبدیل کرده است.
 
تکنیک Web Shell  می‌تواند با هر یک از زبان‌های رایج ساخت برنامه‌های وب، برنامه‌نویسی شود. در هر زبان، روش‌های متعددی برای نوشتن کدی فراهم است، که وظیفه آن دریافت فرامین دلخواه مهاجم و اجرای آنهاست.
 
عواقب راهیابی Web Shell به یک سرور وب، می‌تواند تبعات بسیار جدی و گاه جبران‌ناپذیری را متوجه سازمان کند؛ بنابراین با توجه به گسترش رایانش ابری و الکترونیکی شدن خدمات، لازم است تا مسئولان امنیت سازمان‌ها به ملاحظات امنیتی سرورها،  بیش از قبل توجه کنند.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه کارشناسان IT سازمانها و زیرساخت‌ها می خواهند تا برای مقاوم‌‌سازی سرورهای وب در برابر تهدیدات Web Shell ، اصلاحیه‌های امنیتی را  بر روی سامانه‌های قابل دسترس بر روی اینترنت، بطور کامل نصب و از عدم آسیب‌پذیر بودن برنامه‌های بر روی آنها، اطمینان حاصل کنند.
 
برای محدودسازی تبعات ناشی از یک سرور آلوده لازم است تا شبکه هر زیر ساخت تقسیم بندی  (Network Segmentation) شود  و حتما از ضدویروس به‌روزشده استفاده کنند.
 
 از آنجا که سامانه‌های قابل دسترس بر روی اینترنت، بیش از سایرین در معرض پویش و حمله واقع می‌شوند، ضروری است در اولین فرصت، لاگ‌های سرورهای وب، ممیزی و مرور مستمر شوند.
 
به گفته کارشناسان مرکز مدیریت راهبردی افتا، لازم است تا متخصصانIT دستگاه‌های زیر ساختی، برای جلوگیری از برقراری ارتباطات با سرور فرماندهی  (C2)  در میان نقاط پایانی،  دیواره آتش و نفوذیاب را بطور صحیح پیکربندی کرده و دامنه نفوذ و سایر فعالیت‌های مخرب را محدود و مسدود کنند.
 
  به حداقل رساندن سطح دسترسی حساب‌های کاربری و تا حد امکان پرهیز از بکارگیری از حساب‌های کاربری محلی (Local) و تحت دامنه (Domain) با سطح Administrator از دیگر راهکارهای لازم برای جلوگیری از راهیابی Web Shell به یک سرور وب است.
 
  کارشناسان مرکز مدیریت راهبردی افتا، رصد لاگ‌های دیواره‌های آتش و پراکسی‌ها را برای شناسایی دسترسی‌های غیرضروری به سرویس‌ها و درگاه‌ها،  از دیگر راه‌های مقاومت در برابر تهدیدات Web Shell عنوان می‌کنند.
 
مرکز مدیریت راهبردی افتا، اطلاعات فنی تکنیک Web Shell و حمله مهاجمن سایبری از این طریق به سرورهای وب را در لینک  https://www.afta.gov.ir/portal/home/?news/235046/237266/242799 منتشر کرده است.

رئیس مرکز مدیریت راهبردی افتا تغییر کرد

 
 
رئیس مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات (افتای ریاست جمهوری) تغییر کرد.
 
به گزارش مرکز مدیریت راهبردی افتا، در مراسمی با حضور اعضای کمیسیون عالی امنیت شورایعالی فضای مجازی، رئیس پلیس فتا و معاون سازمان پدافند غیرعامل، دکتر جاوید به عنوان رئیس جدید مرکز مدیریت راهبردی افتای ریاست جمهوری معرفی و از خدمات رضا جواهری تقدیر شد.
 
ابوالحسن فیروزآبادی دبیر شورایعالی فضای مجازی در این مراسم تودیع و معارفه گفت: بر اساس مصوبه شورای عالی فضای مجازی، نقش برجسته‌ای به مرکز مدیریت راهبردی افتا سپرده شده است و این مرکز باید براساس یک نگاه راهبردی توسعه یابد.
 
وی با بیان اینکه برای حراست از امنیت فضای تولید و تبادل اطلاعات، طبق نظام ملی پیشگیری و مقابله با حوادث فضای مجازی، وظایف دستگاه‌های مسئول مشخص شده است، افزود: در اجرای مصوبه تقسیم کار ملی و پیشگیری و مقابله با حوادث سایبری با همکاری دستگاه‌های دخیل در مصوبه، موفقیت‌های چشمگیری صورت گرفته است و مقام معظم رهبری برای این موضوع اهمیت ویژه‌ای قائل هستند.
 
دبیر شورای عالی فضای مجازی با قدردانی از همکاری صمیمانه پلیس فتا، پدافند غیرعامل، وزارت ارتباطات و فناوری اطلاعات و همچنین افتا با یکدیگر گفت: در هر نوع حمله سایبری باید همه ابعاد آن به طور دقیق بررسی شود و مرکز مدیریت راهبردی افتا در این زمینه ارشدیت دارد.
 
فیروزآبادی با اشاره به اینکه مسئولیت امنیت سایبری هر یک از دستگاه‌های زیرساختی با بالاترین مقام آن سازمان است، گفت: مرکز مدیریت راهبردی افتا باید از توانایی همه شرکت‌های مطرح در امنیت سایبری برخوردار باشد و امنیت سایبری حوزه‌های زیرساختی را به همراه دیگر سازمان‌های مسئول به صورت کلان و جامع، کنترل کند.

هشدار مرکز افتا درباره آسیب‌پذیری خطرناک سرویس مایکروسافت

مرکز افتا نسبت به سوءاستفاده گسترده از آسیب‌پذیری سرویس مایکروسافت Exchange هشدار داد و از سازمان ها خواست سرورهای خود را به روزرسانی کنند.
 
به گزارش مرکز مدیریت راهبردی افتا، هر مهاجم سایبری با استفاده از آسیب پذیری سرویس Microsoft Exchange که موفق به هک دستگاه یا دستیابی به اطلاعات اصالت‌سنجی حداقل یکی از کاربران هر سازمانی شود، امکان در اختیار گرفتن کنترل سرور Exchange آن سازمان را خواهد داشت.
 
این آسیب‌پذیری که Exchange Control Panel از آن تأثیر می‌پذیرد از عدم توانایی Exchange در ایجاد کلیدهای رمزنگاری منحصربه‌فرد در زمان نصب محصول ناشی می‌شود. بهره‌جویی (Exploit) از آسیب‌پذیری مذکور، مهاجم را قادر می‌سازد تا کد مورد نظر خود را «به‌صورت از راه دور» با سطح دسترسی SYSTEM روی سرور اجرا کند.
 
شرکت مایکروسافت، آسیب پذیری سرویس Microsoft Exchange را با شناسه CVE-۲۰۲۰-۰۶۸۸ ، به عنوان یک آسیب‌پذیری بسیار خطرناک معرفی کرده است.
 
هشدارهای سوء‌استفاده از این آسیب‌پذیری ‌در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر شد و شرکت مایکروسافت نیز اصلاحیه امنیتی مربوط به آن را بلافاصله منتشر کرد.
 
تمامی نسخه‌های Exchange  که فاقد آخرین به‌روزرسانی‌های منتشر شده از سوی مایکروسافت هستند، آسیب‌پذیر هستند و باید بلافاصله به‌روزرسانی شوند.
 
نسخ از رده خارج شده Exchange که پشتیبانی مایکروسافت از آنها به پایان رسیده است، نیز نسبت به CVE-۲۰۲۰-۰۶۸۸ آسیب‌پذیر هستند. اگر چه در توصیه‌نامه این شرکت صریحاً از آنها نام برده نشده است.
 
مرکز افتا تاکید کرد: متأسفانه با وجود اطلاع رسانی‌های متعدد صورت پذیرفته، نشانه‌هایی از آسیب‌پذیری و آلودگی سرورهای مختلفی در سطح کشور وجود دارد. در موارد دیده شده، بردار حمله مهاجمین به طور خلاصه به صورت زیر بوده است:
 
•    پویش سرورهای Exchange موجود در بستر اینترنت
•    تلاش برای یافتن نام کاربری و رمز عبور یکی از کاربران (به عنوان مثال از طریق Brute-Force)
•    نفوذ به سازمان و بارگذاری چندین وب شل در مسیرهای مختلف از Exchange
•    ارسال دستوراتی همچون  net group domain admins  و net group Exchange Trusted Subsystem به وب شل برای یافتن کاربران دارای سطح دسترسی بالا در سطح Local و Domain
•    بارگذاری سایرفایل‌های مخرب همچون Mimikatz بصورت یک پاورشل رمز شده
•    دریافت اطلاعات کاربری کلیه کاربرانی که به سرور وارد می‌شوند (به وسیله Mimikatz)
•    نفوذ به شبکه داخلی و سایر سرورهای سازمان
 
با توجه به موارد بیان شده، مرکز مدیریت راهبردی افتا از تمامی دستگاه‌ها درخواست می‌کند، هر چه سریعتر سرورهای Exchange خود را به‌روز رسانی و از عدم وجود آلودگی روی این سرورها اطمینان حاصل کنند.
 
کارشناسان افتا از همه دستگاه‌ها درخواست می‌کنند تا برای به‌روزرسانی سرورهای Exchange این سرورها و تمامی فایل‎های قابل اجرا روی وب سرور را به طور دقیق  بررسی کنند، این بررسی بسته به تنظیمات وب سرور شامل فایل‌هایی با پسوند  (aspx,asp,php,ps,ps۱  py,…)  نیز می‌شود.
 
در گام بعدی ه بویژه در صورت وجود شواهد نفوذ، بدون اعمال هرگونه تغییری در شواهد (به منظور انجام عملیات فارنزیک)، سرور مربوط را از شبکه خارج کرده و یک سرور جدید Exchange با استفاده از آخرین نسخه ارائه شده مایکروسافت، راه‎اندازی کنید.
 
درصورتی که نیازمند برگرداندن فایل‌های پشتیبان خود هستید، این نکته را در نظر داشته باشید که شروع فعالیت مهاجمین دقیقا بعد از انتشار اخبار آسیب‌پذیری مربوطه بوده است، بنابراین بهتر است که از فایل‌های پشتیبان سالمِ قبل از ۲۲ بهمن ۹۸ استفاده کنید.
 
لازم است تا دستگاه‌های اجرایی، در مرحله بعد، نام‌کاربری و رمزعبور تمامی کاربران به خصوص کاربران با دسترسی بالا را، روی سرور و شبکه تغییر دهند و سیاست‌های سختگیرانه‌ای مبنی بر انتخاب رمزعبور اتخاذ کنند.
 
دو اطلاع رسانی پیشین مرکز مدیریت راهبردی افتا از آسیب پذیری سرویس Microsoft Exchange با امکان دریافت جزییات بیشتر همچون نحوه سوءاستفاده مهاجمین از این آسیب پذیری، در دو لینک https://b۲n.ir/۱۱۹۸۲۴ و https://b۲n.ir/۴۵۲۶۷۴ قابل مشاهده است.

دولتی‌ها ملزم به استفاده از نرم‌افزارهای داخلی می‌شوند

 
مرکز مدیریت راهبردی افتا ریاست جمهوری با هدف ساماندهی سامانه‌های نرم‌افزاری سازمانی و تامین امنیت این نرم‌افزارها الزاماتی را در قالب دو سند امنیتی تدوین کرد. در این دو سند به صورت جداگانه برای دستگاه‌ها و شرکت‌های ارائه‌کننده محصول وظایفی تعیین شده است.
 
 این مرکز دو سند امنیتی «الزامات امنیتی زیرساخت‌های حیاتی در استفاده از محصولات نرم افزاری سازمانی» و «الزامات امنیتی ارائه محصولات نرم افزاری سازمانی به زیرساخت‌های حیاتی» را تدوین و منتشر کرده و حالا سازمان نظام صنفی رایانه‌ای کشور از کارشناسان و متخصصان این حوزه در بخش خصوصی خواسته تا با مطالعه نسخه اولیه این سند‌ها نظرها و پیشنهادهای خود را ارائه دهند.
 
الزام به استفاده از محصولات داخلی در سازمان‌ها
سند «الزامات امنیتی زیرساخت‌های حیاتی در استفاده از محصولات نرم‌افزارهای سازمانی» از هفت بخش تشکیل شده و وظایف دستگاه‌های اجرایی مشمول ماده ۵ قانون مدیریت خدمات کشوری را در تامین امنیت نرم‌افزارهای سازمانی مشخص کرده است.
 
در بخش اول این سند که «الزامات انتخاب محصول» نام دارد، دستگاه‌های مشمول باید محصولات داخلی را برای استفاده در سازمان خود انتخاب و خریداری کنند مگر اینکه ثابت شود محصولات داخلی پاسخگوی نیاز آن سازمان نیست که این امر باید به تایید مرکز افتا برسد.
 
دراین سند سازمان‌ها ملزم هستند تا شرکت‌های ارائه‌دهنده خدمات نصب و پشتیبانی محصولی را انتخاب کنند که پروانه ارائه خدمات نصب و پشتیبانی محصولات نرم افزاری را مطابق با فرآیند اخذ پروانه خدمات دریافت کرده باشند.
 
همچنین در این سند آمده است: «سازمان‌ها باید محصولی را انتخاب کنند که حداقل وابستگی به ابزارهای خارجی داشته باشد و در صورتی که نیاز بود تا از محصولی دارای ابزارها و اجزای غیر بومی استفاده کنند، اطمینان داشته باشند که محصول، لایسنس‌های معتبر را داشته باشد.»
 
بخش دیگری از این سند با عنوان «الزامات زمان عقد قرارداد» میان دستگاه‌های مشمول در این سند و تولیدکننده محصولات را مشخص کرده است. براین اساس مسئولیت تامین هر یک از بخش‌ها، اجزا یا مولفه‌های مستقل نرم‌افزاری محصول، باید در زمان قرارداد تعیین شود. این بخش‌ها می‌تواند شامل سیستم عامل، وب سرور، پایگاه داده و برنامه‌های کاربردی شخص ثالث (مانند فریم ورکها و کتابخانه‌ها) باشد.
در مورد محصولاتی که در بستر اینترنت و محلی خارج از مالکیت سازمان جایگذاری می‌شوند نیز الزام شده وظیفه تامین زیرساخت میزبانی و نحوه رعایت دستورالعمل میزبانی امن خدمات وب در قرارداد به درستی تعیین شود. برخی از ملاحظات امنیتی در این دستورالعمل هم شامل مواردی چون ذخیره‌سازی امن داده‌های حساس، اطمینان از گرفتن نسخه پشتیبان دوره‌ای، به‌روزرسانی و نصب آخرین وصله‌های امنیتی وب سرورها می‌شوند.
در این سند مشخص شده که سازمان مورد نظر با ارائه‌کننده خدمات برای برقراری ارتباط از کانال مناسب و امن استفاده کند. سازمان و ارائه‌کننده خدمات باید در قرارداد خود کانال مورد توافق را ذکر کنند. از طریق این کانال قرار است اطلاع‌رسانی و آگاهی در خصوص روال کشف و رفع‌ آسیب‌پذیری صورت بگیرد.
 
سازمان‌های دولتی باید محصول نرم افزاری را انتخاب کنند که حداقل وابستگی به ابزارهای خارجی داشته باشد و در صورتی که نیاز بود تا از محصولی دارای ابزارها و اجزای غیر بومی استفاده کنند، اطمینان داشته باشند که محصول، لایسنس‌های معتبر را داشته باشد
«الزامات زمان نصب و استقرار محصول» از دیگر بخش‌های سند است که سازمان باید در زمان نصب و استفاده از محصول رعایت کند. به این ترتیب سازمان مورد نظر باید هنگام استقرار محصول، محیط عملیاتی و محیط تست مجزایی را در اختیار ارائه کننده قرار دهد.
سازمان همچنین باید پس از نصب محصول، مستندات مورد نیاز از جمله معماری استقرار محصول (نحوه قرار گرفتن محصول در محیط عملیاتی) و اطلاعات دیگر شامل پلتفرم‌ها، تکنولوژی‌ها، نرم‌افزارها، سرویس‌های اجرایی، پورت‌ها و دسترسی فایل‌ها به هر پورت را جهت راهبری محصول از ارائه‌کننده دریافت کند.
در بخش دیگری از این سند با عنوان‌ «الزامات پشتیبانی» نحوه پشتیبانی محصول از سوی سازمان تعیین شده است. بر این اساس، سازمان باید آسیب‌پذیری‌های کشف شده در محصول و اجزای مستقل آن را از طریق کانال ارتباطی مشخص شده در قرارداد از ارائه‌کننده دریافت کرده و حداکثر ظرف ۷۲ ساعت راهکارهای کوتاه مدتی را برای پیشگیری از بروز خرابی یا حملات احتمالی ناشی از آسیب‌پذیری کشف شده از ارائه کننده را دریافت و اعمال کند.
این سند پشتیبانی از محصول از راه دور را ضروری ندانسته است؛ اما در صورت نیاز باید با حفظ ملاحظات امنیتی از جمله تایید نشست از راه دور توسط سازمان، تعیین زمان و تاریخ مشخص برای پشتیبانی از راه دور، رمزنگاری نشست‌های از راه دور، استفاده از احراز هویت قوی این پشتیبانی صورت گیرد.
سازمان همچنین باید در زمان ارائه بروزرسانی‌ها، وصله‌های امنیتی و تغییرات پیکربندی، ابتدا تغییرات رادر محیط تست سازمان پیاده‌سازی کند و پس از اطمینان از صحت عملکرد آن، در محیط عملیاتی سازمان اعمال کند.
 
ارتباط مستمر شرکت ارائه‌کننده با مرکز افتا
سند «الزام امنیتی ارائه محصولات نرم‌افزاری سازمانی به زیرساخت‌های حیاتی» سند دومی است که از سوی مرکز افتای ریاست‌ جمهوری تدوین شده است. در این  سند ۸ بخشی وظایف ارائه‌کننده‌های محصولات را تعیین شده است. در بخش اول این سند با عنوان «الزامات کلی» ارائه کننده محصول داخلی، باید محصولی را به سازمان‌ها ارائه دهد که گواهی ارزیابی امنیتی را از مرکز مدیریت راهبردی افتا مطابق با فرآیند اخذ گواهی ارزیابی امنیتی محصولات اخذ کرده باشد.
ارائه‌کننده محصول همچنین باید کلیه اطلاعات به‌روز مرتبط با سازمان‌ها شامل اطلاعات تماس، آدرس و نسخه محصول مورد استفاده را در یک سیستم بایگانی مطمئن و امن نگهداری و به صورت مستمر بروزرسانی کند.
در بخش «الزامات استقرار و راه‌اندازی محصول» ارائه‌کننده محصول باید در محصولات تحت وب تضمین کند تا برای جلوگیری از افشای اطلاعات حساس، نمایش جزئیات خطاهای برنامه و اطلاعات نسخه را غیرفعال یا حذف شود.
 
ارائه کننده محصول داخلی، باید محصولی را به سازمان‌ها ارائه دهد که گواهی ارزیابی امنیتی را از مرکز مدیریت راهبردی افتا  اخذ کرده باشد
براساس این سند ارائه‌کننده محصول باید آسیب‌پذیری محصول و اجزای مستقل بکار رفته در محصول خود را به طور مستمر رصد کند و در صورت وجود آسیب‌پذیری و به محض کشف آن به سازمان‌ اطلاع‌رسانی و سپس ظرف ۷۲ ساعت یک راهکار کوتاه مدت برای پیشگیری از بروز خرابی یا حملات احتمالی عرضه کند.
بخش پایانی این سند هم به ارتباط شرکت ارائه‌کننده محصول با مرکز افتا اختصاص دارد. شرکت ارائه‌کننده باید فهرست سازمان‌های استفاده کننده از محصول خود به همراه مشخصات نماینده فنی سازمان، نسخه و شناسه محصول تحویل داده شده به سازمان، به همراه گزارش آسیب‌پذیری‌های کشف شده در محصول و اقدامات انجام شده برای رفع آنها را به صورت گزارش‌های فصلی برای مرکز افتا ارسال کند.
در صورتی که این شرکت‌ها از آسیب‌پذیری بحرانی در محصول مطلع شدند باید در سریع‌ترین زمان این آسیب‌پذیری را به این مرکز اعلام کنند.

تدوین چارچوب قانونی برای شرکت‌های افتا با کمک بخش خصوصی

معاون امنیت سازمان فناوری اطلاعات از بخش خصوصی خواست برای تدوین راهکارها و کاهش زمان صدور مجوزهای شرکت‌های افتا، به دولت مشورت دهند.
 
ابوالقاسم صادقی، در نشست کمیسیون افتای سازمان نظام صنفی رایانه‌ای تهران در بیست و پنجمین نمایشگاه الکامپ و درباره لزوم دریافت مجوزهای متعدد برای کسب‌وکارها گفت: «مجوز برای حفاظت از زیرساخت‌های حیاتی مردم است و این حداقل کاری است که می‌توانیم انجام دهیم. ممکن است در اجرا مشکلاتی وجود داشته باشد اما نباید اساس صدور مجوز را زیر سوال برد.»
 
او در بخش دیگری از سخنانش با انتقاد از عملکرد نهادهای صنفی گفت: «کسانی که وارد نهادهای صنفی می‌شوند باید بخشی از وقت‌شان را برای صنف بگذارند و این مساله‌ای است که در حال حاضر آنچنان که باید در این افراد دیده نمی‌شود. یکی از چالش‌های ما نبود آمار و اطلاعات است و ما از بخش خصوصی می‌خواهیم این اطلاعات را در اختیار ما بگذارند و تحلیل‌های عمیق و جدی داشته باشند.» او با تاکید بر اینکه مدل گواهی‌های موجود به لحاظ محتوایی و مفهومی نیاز به به روزرسانی دارند خطاب به حاضران گفت:‌ «ما می‌خواهیم با مشورت شما در دولت راهکارها را تدوین کنیم و این کمکی است که بخش خصوصی می‌تواند به دولت بکند.» 
 
در مقابل، بهناز آریا، رئیس کمیسیون افتای سازمان نظام صنفی رایانه‌ای تهران با انتقاد از این سخنان گفت: «به نظر می‌رسد دولت می‌خواهد نقش خودش را به بخش خصوصی واگذار کند. اطلاعات در اختیار دولت است و تجمیع آن هم وظیفه دولت است.»
 
پس از این گفته‌ها رامبد راستی،‌ قائم‌مقام اول کمیسیون افتا گفت: «صنف در این مدت خواسته‌های بسیاری را با مدیران دولتی مطرح کرده اما جوابی نگرفته و این باعث ناامیدی شده است. اگر یکی از این خواسته‌ها به سرانجام می‌رسید ناامیدی صنف از بین می‌رفت.»
 
محمود روزبهانی، معاون ارزیابی و اعتبارسنجی مرکز مدیریت راهبردی افتای ریاست جمهوری از دیگر شرکت‌کنندگان در این نشست بود که اعلام کرد اسفند ماه سال ۹۴ بخشنامه‌ای به حراست‌ سازمان‌ها ابلاغ شده که براساس آن شرکت‌هایی که مجوز خدمات افتا دارند نیازی به استعلام تایید صلاحیت ندارند. او از فعالان بخش خصوصی خواست اگر با چنین مساله‌ای برخورد کردند آن را گزارش دهند.
 

سوءاستفاده باج افزاری از آسیب پذیری ویندوز

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به سوءاستفاده یک ویروس باج گیر (باج افزار) جدید از آسیب پذیری سیستم عامل ویندوز هشدار داد.
 
به گزارش معاونت بررسی مرکز افتا، باج‌افزار Sodinokibi با بهره‌برداری از یک آسیب‌پذیری در مؤلفه Win۳۲k در نسخه‌های مختلف ویندوز، در حال افزایش سطح دسترسی خود است. این باج‌افزار اولین بار در ماه آوریل، زمانی که سوءاستفاده از یک آسیب‌پذیری بحرانی در Oracle WebLogic را آغاز کرد، شناسایی شد.
 
باج‌افزار Sodinokibi با نام REvil هم شناخته می‌شود و از آسیب‌پذیری CVE-۲۰۱۸-۸۴۵۳ بهره‌برداری می‌کند. این آسیب‌پذیری توسط مایکروسافت در ماه اکتبر سال ۲۰۱۸ رفع شد.
 
بر اساس تحلیل انجام شده توسط پژوهشگران، در کد بدافزار یک بخش پیکربندی به صورت رمز شده وجود دارد که حاوی اطلاعات و تنظیمات مورد نیاز برای فعالیت بدافزار است. به طور جزئی‌تر، کد پیکربندی حاوی فیلدهایی برای کلید عمومی، شناسه‌های حمله و توزیع‌کننده باج‌افزار، پسوندهایی که نباید رمزگذاری شوند، نام فرایندهای پردازشی که باید متوقف شوند، آدرس سرورهای فرمان و کنترل، قالب متن باج‌خواهی و گزینه‌های دیگری است که استفاده از یک اکسپلویت را برای افزایش سطح دسترسی٬ فعال می‌کند.
 
نمونه بدافزار تحلیل شده توسط پژوهشگران کسپرسکی، از یک فرایند ترکیبی برای رمزگذاری داده‌ها استفاده می‌کند. پژوهشگران متوجه شدند که باج‌افزار کلید عمومی و کلید خصوصی را در رجیستری ذخیره می‌کند. پس از رمزگذاری فایل‌ها، باج‌افزار به ازای هر سیستم قربانی یک پسوند تصادفی قرار می‌دهد. قربانی باید کلید و پسوند فایل‌های رمز شده را در سایت مهاجم وارد کند تا میزان مبلغ باج را مشاهده کند. این باج‌افزار سیستم‌های مختلفی را در سراسر جهان آلوده کرده است.

مشتریان بانک‌ها هدف اصلی بدافزار جدید

پژوهشگران امنیتی حملات فیشینگ فعالی را کشف کرده‌اند که در حال انتشار تروجان دسترسی از راه دور RAT هستند و مشتریان بانکی را با کلیدنگارها و سرقت‌کنندگان اطلاعات هدف قرار می‌دهد.
 
به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، این بدافزار جدید که ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم مبتنی بر VBS (ویژوال بیسیک اسکریپت) است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شده است.
 
سرعت انتشار WSH RAT بسیار بالا است، به طوری که با وجود شروع انتشار در ۲ ژوئن (۱۶ خرداد) ، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL های مخرب و همچنین فایل‌های MHT و ZIP توزیع می‌شود.
 
علاوه بر این، این تروجان به عوامل خود اجازه انجام حملاتی را می‌دهد که قادر به سرقت گذرواژه‌ها از مرورگرهای اینترنتی قربانیان و کاربران ایمیل، کنترل رایانه‌های اهداف از راه دور، بارگذاری، دانلود و اجرای فایل‌ها و همچنین اجرای اسکریپت‌ها و دستورات از راه دور هستند.
 
حملات فیشینگ توزیع‌کننده ضمیمه‌های ایمیل مخرب WSH RAT که در قالب‌های URL،ZIP و یا MHT هستند، مشتریان بانک‌های تجاری را با هدایت آنان به سمت دانلود فایل‌های ZIP حاوی این بدافزار، هدف قرار می‌دهند.
 
پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c۲، این بدافزار سه محتوای مخرب را روی ماشین‌های آسیب‌دیده قربانیان در قالب فایل‌های اجرایی PE۳۲ و تحت پوشش آرشیوهای tar.gz.، به عنوان بخشی از مرحله دوم حمله، بارگیری‌کرده و روی سیستم قربانی قرار می‌دهد.
 
این سه ابزار مخرب کلیدنگار، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتورهای عملیات مخرب برای جمع‌آوری مدارک و سایر اطلاعات حساس از آنها استفاده می‌کنند.
 
بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بین‌بردن روش‌های ضدبدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دسته‌ای دستورات را به همه قربانیان حمله امکان‌پذیر می‌کند.
 
کارشناسان معاونت فنی مرکز افتا می‌گویند: در حال حاضر، سازندگان بدافزار WSH RAT ، آن را تحت یک مدل اشتراکی به فروش می‌رسانند و تمام امکانات موجود در آن را برای خریداران فعال می‌کنند.

نفوذ به وب سرور آپاچی برای انتقال بدافزار استخراج رمزارز

پژوهشگران امنیتی در Sophos اخیرا روش حمله جدیدی را مشاهده کرده‌اند که در آن یک وب سرور اجراکننده Apache Tomcat هدف قرار گرفته است. تلاش مهاجمین در این حمله انتقال بدافزار استخراج رمز ارز به سرور قربانی بوده است.
 
به گزارش لابراتوار امنیتی Sophos، دلیل اصلی وقوع این حمله استفاده از گذرواژه‌هایی که به راحتی قابل حدس زدن هستند یا گذرواژه‌های ضعیف در صفحه مدیریت Tomcat است. مرحله اول حمله با بهره‌برداری از روش جستجوی فراگیر (brute-force) در پنل ادمین Tomcat انجام شده است.
 
پس از حدس گذرواژه سرور، مهاجمین یک درخواست HTTP POST به سرور ارسال می‌کنند. درخواست POST به صفحه ادمین Tomcat انجام می‌شود که این صفحه دارای قابلیت بارگذاری برنامه‌های وب به سرور است. این برنامه‌ها در قالب فایل‌هایی با پسوند war هستند. سپس، مهاجم یک فایل war دلخواه با نام admin-manager.war به سرور ارسال می‌کند که حاوی یک فایل JSP مخرب با نام admin.jsp است. این فایل دارای سه قابلیت ایجاد اطلاعات پروفایل سیستمی، ساخت فایل جدید روی سرور Apache یا اجرای دستور در سرور است.
 
در حمله مشاهده شده توسط Sophos، مهاجمین دستوراتی را به منظور راه‌اندازی کاوش‌گر رمز ارز در سیستم، اجرا کردند. این دستورات در ابتدا فرایندهای پردازشی WMIC.exe، RegSvr۳۲.exe و PowerShell.exe را متوقف می‌کند و سپس وجود PowerShell ۱,۰ در مسیر %systemroot%System۳۲WindowsPowerShellv۱.۰PowerShell.exe را بررسی می‌کند که مهاجم از آن برای اجرای اسکریپت استفاده می‌کند. در صورت عدم وجود این فایل، از فایل RegSvr۳۲.exe استفاده می‌شود.
 
اسکریپت‌های مخرب مهاجم که بصورت زنجیره‌ای اجرا می‌شوند، در نهایت منجر به انتقال یک payload به نام Neutrino می‌شوند. این payload با دستکاری مسیر system۳۲ و فایل HOSTS، رکوردهای DNS استخرهای کاوش رمز ارز را بررسی و در صورت نیاز این فایل را ویرایش می‌کند. همچنین، لیستی از فرایندهای پردازشی نیز توسط این payload بررسی می‌شوند که در صورت وجود متوقف شوند. Payload اصلی کاوش‌گر در مرحله آخر منتقل می‌شود و با استفاده از منابع سرور، به استخراج رمز ارز می‌پردازد.
 
با توجه به روش نفوذ اولیه مهاجمین، با استفاده از گذرواژه‌های قوی و مناسب، می‌توان از این نوع حمله جلوگیری کرد.
 
نشانه‌های آلودگی (IoC):
دامنه‌ها و آدرس IP:
•    ۱۳۴,۱۷۵.۳۳.۷۱
•    xmr.usa-۱۳۸.com
•    wk.ctosus.ru
•    down.ctosus.ru
•    blog.ctoscn.ru
•    down,۹ni.top
•    down.sxly۵۱۸.xyz
•    gowel.top
•    m۴.rui۲.net
 
URLها:
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/PSN/_DL.ps۱
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴_VMP.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶_VMP.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/_WMI.ps۱
 
هش فایل DL.php:
•    ۲F۹۰۸ECDC۲۰۹۲۳D۷۰۳F۰۵DA۶EEDE۷۶EB۱۴DCA۲۹۶