خدمات شبکه و پشتیبانی شبکه

‫ هشدار ماهر در خصوص شیوع باج افزار SAMSAM

اردیبهشت ۱۴, ۱۳۹۷/در badware, maher, امنیت, فناوری اطلاعات /توسط ادمین

مشاهده و رصد فضای سایبری در روزهای اخیر از افزایش فعالیت #‫باج_افزار #‫SamSam خبر می‌دهد. هر چند شروع فعالیت این باج افزار در ماه های فوریه، مارس و آوریل ۲۰۱۶ گزارش گردیده است، اما فعالیت جدید این باج افزار در ماه های اخیر مجدداً از سر گرفته شده است.

بررسی ها نشان می دهد باج افزار SamSam بر خلاف سایر باج افزارها، اهداف خود را با دقت انتخاب می‌کند. مشاهدات حاکی از آن است که این باج افزار عموماً مراکز بهداشتی، مدارس و بیمارستان ها را مورد هدف قرار می دهد. این نکته را باید در نظر گرفت که SamSam از طریق آسیب پذیری های شناخته شده در سیستم عامل و یا حمله Brute force و شکستن کلمات عبور ضعیف در سرویس ریموت دسکتاپ (RDP)، اقدام به حمله می کند و دلیل موفقیت آن نیز همین نکته می باشد.

نکته قابل توجه این که باج افزارها، پس از نفوذ موفقیت‌آمیز به سیستم قربانی، به سرعت از طریق درایو های به اشتراک گذاشته شده در شبکه که در سیستم‌ها map شده‌اند باعث رمزگذاری اطلاعات سایر سیستم‌های موجود در شبکه نیز می‌شوند. لذا به مدیران و راهبران شبکه توصیه اکید می‌گردد که پس از بروزرسانی سیستم‌عامل و نصب آخرین وصله های امنیتی، نسبت به امن سازی سرویس های موجود در شبکه خصوصاً RDP اقدام نموده و حتماً از پشتیبان گیری منظم داده ها اطمینان حاصل نمایند.

حملات شب گذشته به سرورهای HP قربانی گرفت

اردیبهشت ۷, ۱۳۹۷/در attack, HP, maher, security, امنیت, فناوری اطلاعات /توسط ادمین

حملات سایبری شب گذشته به سرورهای شرکت HP از طریق درگاه مدیریتی Ilo صورت گرفته است.

مرکز ماهر با بیان اینکه طی 24 ساعت گذشته رصد فضای مجازی نشان داده حملاتی مبتنی بر آسیب‌پذیری‌های موجود در سرویس iLo سرورهای HP بوده است، اظهار کرد: سرویس iLo یک درگاه مستقل فیزیکی است که برای مدیریت و نظارت سروهای شرکت HP از سوی مدیران شبکه استفاده می‌شود.

این سرویس حتی در صورت خاموش بودن سرورها به مهاجم قابلیت راه‌اندازی مجدد و دسترسی غیرمجاز را می‌دهد؛ حملات مذکور روی نسخه‌های مختلف مانند iLO 2 و iLO 3 و iLO 4 مشاهده شده است.

اقدامات کلی که در مقابله با این حملات به عمل آمده نیز به شرح زیر بوده است:

‌ با اعلام حمله باج‌‌افزاری از سوی یکی از قربانیان از وقوع نوع جدیدی از حمله باج‌افزاری بر روی درگاه‌های iLO اطمینان حاصل شد.

• بررسی‌های بیشتر برای شناسایی قربانیان حمله انجام شده و با تعدادی از قربانیان در ایران و کشورهای دیگر برای بررسی بیشتر، تماس حاصل شده است.

• رصد فضای آدرس IP کشور بر روی درگاه‌های iLO انجام گرفت و سرورهای آسیب‌پذیر شناسایی شدند؛ با شماری از صاحبان این سرویس‌ بر روی بستر اینترنت که در معرض تهدید هستند تماس گرفته و هشدار لازم ارائه شد.

با توجه به اینکه ممکن است هنوز این ضعف در سرورها وجود داشته باشد جدی گرفتن توصیه‌های امنیتی حائز اهمیت است.

دسترسی درگاه‌های iLo از طریق شبکه اینترنت بر روی سرورهای HP مسدود شد؛ توصیه اکید شده است در صورت نیاز و استفاده از iLO، با استفاده از راهکارهای امن نظیر ارتباط VPN اتصال مدیران شبکه به این‌گونه سرویس‌دهنده‌ها برقرار شود.

افزایش حملات فیشینگ بانکی طی دو ماه گذشته

اردیبهشت ۵, ۱۳۹۷/در Bank, maher, Phishing, امنیت, فناوری اطلاعات /توسط ادمین

مرکز ماهر از رشد حملات فیشینگ درگاه‌های پرداخت بانکی طی دو ماه گذشته، با انتشار‫ برنامکهای اندرویدی مخرب یا جعلی خبر داد.

این مرکز اعلام کرد بر اساس رصد صورت گرفته حملات ‫فیشینگ درگاه‌های پرداخت بانکی در کشور در دو ماه گذشته رشد شدیدی داشته است. این حملات عموما با محوریت انتشار برنامکهای اندرویدی مخرب یا جعلی صورت گرفته است.

بر این اساس مرکز ماهر توصیه هایی را جهت کاهش احتمال قربانی شدن در این حملات پیشنهاد کرده است:

پرهیز از نصب هرگونه برنامک اندرویدی از منابعی غیر از توزیع‌کنندگان شناخته شده و معتبر به ویژه پرهیز از نصب برنامک های منتشر شده در شبکه‌های اجتماعی و کانال‌ها و همچنین حساسیت بیشترنسبت به هرگونه پرداخت درون اپلیکیشن‌های موبایلی حتی در صورت دریافت آن از طریق توزیع‌کنندگان معتبر (لازم به توجه است که هرگونه پرداخت درون برنامه‌ باید با انتقال کاربر به آدرس معتبر درگاه پرداخت از طریق صفحه مرورگر صورت پذیرد) از جمله پیشنهادهای مطرح شده است.

توجه داشته باشید که برنامک‌های متعددی حتی از طریق توزیع کنندگان شناخته شده منتشر شده اند که با فریب کاربر و با استفاده از درگاه‌های پرداخت معتبر از کاربر وجه دریافت کرده ولی در عمل هیچ خدمتی ارائه نمی‌کنند.

درگاه‌های پرداخت صرفا در آدرس‌های معرفی شده از سوی شرکت شاپرک در این آدرس و بصورت زیردامنه‌هایی از shaparak.ir‌ (بدون هرگونه تغییر در حروف) معتبر هستند. هر گونه آدرسی غیر از این نامعتبر بوده و لازم است ضمن خودداری از وارد کردن اطلاعات در آن، نسبت به گزارش آن به مرکز ماهر([email protected]) یا پلیس فتا جهت پیگیری و مقابله اقدام گردد.

توجه داشته باشید صرف مشاهده مجوز HTTPS معتبر در وبسایت به معنی اعتبار آن نیست. حتما به آدرس دامنه‌ی وبسایت دقت کنید.

در جدول پیوست فهرستی از موارد فیشینگ رصد شده و مسدود شده توسط مرکز ماهر در فروردین ماه ارایه شده است. خوشبختانه هویت عاملین برخی از این حملات شناسایی شده و اقدامات جهت برخورد قانونی با آنها در جریان است.

هشدار مرکز ماهر درخصوص یک آسیب پذیری بحرانی

فروردین ۲۱, ۱۳۹۷/در CMS, Drupal, maher, security, امنیت, فناوری اطلاعات /توسط ادمین

مرکز ماهر اعلام کرد يك آسیب پذیری بحرانی در هسته سیستم مدیریت محتوای دروپال با درجه اهمیت بسیار حیاتی شناسایی و در تاریخ ۲۸ مارس اعلام شده است.

این آسیب پذیری به نفوذگر امکان اجرای کدهای مخرب از راه دور را در نسخه های 7 و 8 دروپال بدون نیاز به احراز هویت می دهد و نفوذگران به راحتی می توانند تمامی سایت را در اختیار بگیرند. اين آسيب پذيري كه با شناسه CVE–2018–7600 شناخته مي شود، روی نسخه های مختلف دروپال تاثیر می گذارد.

مرکز ماهر: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیزات سیسکو نمایید

فروردین ۱۸, ۱۳۹۷/در attack, Cisco, hack, maher, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی اطلاعیه دیرهنگامی را منتشر کرد.

در متن این اطلاعیه آمده است: در پی بروز اختلالات سراسری در سرویس اینترنت و سرویس های مراکز داده داخلی در ساعت حدود 20:15 مورخ 17/1/97، بررسی و رسیدگی فنی به موضوع انجام پذیرفت. در طی بررسی اولیه مشخص شد این حملات شامل تجهیزات روتر و سوئیچ متعدد شرکت سیسکو بوده که تنظیمات این تجهیزات مورد حمله قرار گرفته و کلیه پیکربندی های این تجهیزات (شامل running-config و startup-config) حذف گردیده است. در موارد بررسی شده پیغامی با این مذمون در قالب startup-config مشاهده گردید:

دلیل اصلی مشکل، وجود حفره ی امنیتی در ویژگی smart install client تجهیزات سیسکو می باشد و هر سیستم عاملی که این ویژگی بر روی آن فعال باشد در معرض آسیب پذیری مذکور قرار داشته و مهاجمین می توانند با استفاده از اکسپلویت منتشر شده نسبت به اجرای کد از راه دور بر روی روتر/سوئیچ اقدام نمایند.

لازم است مدیران سیستم با استفاده از دستور "no vstack" نسبت به غیرفعال سازی قابلیت فوق (که عموما مورد استفاده نیز قرار ندارد) بر روی سوئیچ ها و روترهای خود اقدام نمایند، همچنین بستن پورت 4786 در لبه‌ی شبکه نیز توصیه می شود. در صورت نیاز به استفاده از ویژگی smart install، لازم است بروزرسانی به آخرین نسخه های پیشنهادی شرکت سیسکو صورت پذیرد. جزییات فنی این آسیب پذیری و نحوه ی برطرف سازی آن در منابع زیر آمده است: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2#fixed در این راستا به محض شناسایی عامل این رخداد، دسترسی به پورت مورد استفاده توسط اکسپلویت این آسیب پذیری در لبه شبکه زیرساخت کشور و همچنین کلیه سرویس دهنده های عمده ی اینترنت کشور مسدود گردید.

تا این لحظه، سرویس دهی شرکت ها و مراکز داده ی بزرگ از جمله افرانت، آسیا تک، شاتل، پارس آنلاین و رسپینا بصورت کامل به حالت عادی بازگشته است و اقدامات لازم جهت پیشگیری از تکرار رخداد مشابه انجام شده است. لازم به توضیح است متاسفانه ارتباط دیتاسنتر میزبان وب سایت مرکز ماهر نیز دچار مشکل شده بود که در ساعت ۴ بامداد مشکل رفع شد.

همچنین پیش بینی می گردد که با آغاز ساعت کاری سازمان ها، ادارات و شرکت ها، شمار قابل توجهی از این مراکز متوجه وقوع اختلال در سرویس شبکه ی داخلی خود گردند. لذا مدیران سیستم های آسیب دیده لازم است اقدامات زیر را انجام دهند: با استفاده از کپی پشتیبان قبلی، اقدام به راه اندازی مجدد تجهیز خود نمایند یا در صورت عدم وجود کپی پشتیبان، راه اندازی و تنظیم تجهیز مجددا انجام پذیرد. قابلیت آسیب پذیر smart install client را با اجرای دستور "no vstack" غیر فعال گردد. لازم است این تنظیم بر روی همه تجهیزات روتر و سوئیچ سیسکو (حتی تجهیزاتی که آسیب ندیده اند) انجام گردد. رمز عبور قبلی تجهیز تغییر داده شود. توصیه می گردد در روتر لبه شبکه با استفاده از ACL ترافیک ورودی 4786 TCP نیز مسدود گردد. متعاقباً گزارشات تکمیلی در رابطه با این آسیب پذیری و ابعاد تاثیرگذاری آن در کشور و سایر نقاط جهان توسط این مرکز منتشر خواهد شد.

اطلاعیه مرکز ماهر درخصوص حواشی مطرح شده در فضای مجازی در مورد اپلیکیشن روبیکا

فروردین ۸, ۱۳۹۷/در maher, robica, robika, security, امنیت, فناوری اطلاعات /توسط ادمین

در پی طرح سوالات و مباحث مطرح شده در فضای مجازی در خصوص اپلیکیشنی با عنوان ((نرم افزار چند رسانه ای اندرویدی روبیکا)) و تاکید وزیر محترم ارتباطات و فناوری اطلاعات مبنی بر بررسی موضوع توسط مرکز ماهر، این اپلیکیشن مورد تحلیل دقیق این مرکز قرار گرفت.
در بررسی آخرین نسخه ((۱.۰.۸)) از این برنامه مشاهده شد کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار گرفته است. دلیل این امر استفاده از واسط گرافیگی مبتنی بر Fragments پیاده سازی شده در نرم افزار تلگرام بوده و بخش عمده باقی مانده اساسا بی استفاده مانده است. از نظر عملکردی نیز قابلیت های شبکه های اجتماعی مشابه تلگرام در این نرم افزار پیاده سازی نشده است و صرفا خدمات ارائه شده توسط این اپلیکیشن براساس قابلیت WebView اندروید و شامل ارائه محتوای شماری از وب سایت ها است.
در نتیجه بر اساس بررسی صورت گرفته می توان بیان داشت که:
• این نرم افزار حریم خصوصی کاربران را نقض نمی کند.
• این نرم افزار دسترسی به محتوای اطلاعات سایر اپلیکیشن ها از جمله تلگرام را ندارد (اساسا با توجه به تکنولوژی application security sandbox سیستم عامل اندروید، اجرای اپلیکیشن ها در فضایی ایزوله انجام شده و برنامه ها امکان دسترسی مستقیم به داده های یکدیگر را ندارند)
• کدهای منبع نسخه اندرویدی تلگرام بصورت کامل در این نرم افزار قرار داده شده اما تنها از برخی کلاس های واسط گرافیکی آن در برنامه بهره برداری شده است و سایر قسمت ها قابل حذف هستند.
• نسخه مورد بررسی اساسا قابلیت شبکه اجتماعی یا پیام رسان نظیر تلگرام را ارائه نمی کند.

‫ اطلاعیه مرکز ماهر درخصوص پاره ای از سوء برداشت ها از گزارش حمله سایبری به وب سایت ها و پورتال های خبری

بهمن ۲۴, ۱۳۹۶/در bayanei, etalaeie, hack, maher, saite khabari, امنیت, فناوری اطلاعات /توسط ادمین

پیرو گزارش منتشر شده از نتایج بررسی‌های فنی این‌ مرکز درخصوص حمله سایبری به وب سایت ها و پورتال های خبری کشور، مرکز ماهر اظلاعیه ای را صادر کرد.

مرکز ماهر اعلام کرد؛ نکات زیر را به اطلاع می‌رساند:

• ضعف امنیتی مورد سوءاستفاده قرار گرفته توسط مهاجم به این سایت ها در لایه کاربردی وب و سامانه مدیریت محتوا (CMS) بوده و هیچ‌گونه آسیب‌پذیری و نقص امنیتی در مراکز داده‌ی میزبان سایت‌های آسیب‌دیده مشاهده نشده است. همچنین مورد ذکر شده درخصوص عدم همکاری مرکز داده تبیان، ناشی از ضعف در همکاری و تعامل بموقع برای حل مشکل بوده و ادعای نادرست بعضی از رسانه ها در این خصوص تکذیب میگردد. خوشبختانه با برقراری ارتباط مناسب، این نقیصه نیز مرتفع شده است.
• در گزارش منتشر شده، یکی از پنج آدرس IP‌ مهاجم متعلق به کشور بلغارستان بوده که به اشتباه به نام انگلستان ذکر شده است. این مورد در نسخه جدید گزارش نیز اصلاح شده است.
• در گزارش این مرکز صرفا به آدرس‌های IP مهاجم و کشورهای مالک آنها اشاره شده و هیچ‌گونه اظهارنظری نسبت به هویت و ملیت فرد یا افراد بهره بردار از این آدرس‌ها جهت نفوذ به وب‌سایت‌ها صورت نگرفته است.
• در برخی از رسانه‌ها نام برخی از شرکت‌های تولید کننده CMS داخلی مطرح شده که فاقد صحت می باشد. با بررسی‌های انجام شده آسیب‌پذیری مورد سوءاستفاده شناسایی و مرتفع گردیده است.
• ذکر این نکته ضروری است که وجود آسیب‌پذیری و نقص امنیتی در محصولات نرم‌افزاری و سخت‌افزاری امری اجتناب ناپذیر است. اما لازم است که تولید‌کنندگان نرم‌افزار و مدیران راهبر سیستم‌ها حساسیت و سرمایه‌گذاری مناسبی در مقوله امنیت سایبری در نظر گیرند.
• متاسفانه برخی از افراد مدعی شدند فایلpdf گزارش مرکز ماهر آلوده به بدافزار بوده که این گونه ادعاها از اساس کذب می باشد. با توجه به انتشار عمومی این فایل، بررسی و صحت سنجی این ادعای بی اساس توسط کارشناسان داخلی و خارجی به سادگی قابل انجام می باشد.

۳۰ سایت خبری همچنان در معرض حمله+لیست

بهمن ۲۳, ۱۳۹۶/در hack, maher, site.it.iran, امنیت, فناوری اطلاعات /توسط ادمین

بر این اساس سایت روزنامه های آرمان، ستاره صبح و قانون روز شنبه 21 بهمن هک شد و در این سایت ها اخبار جعلی منتشر شد.
بلافاصله پس از انتشار این اخبار جعلی، سایت های این سه روزنامه از دسترس خارج شد، اما تصویر اخبار این سایت ها در شبکه های اجتماعی همچنان دست به دست می شود.

اطلاعیه مرکز ماهر
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در اطلاعیه ای، درباره پیگیری ها و اقدامات انجام شده درباره حمله سایبری اخیر به سایت های خبری توضیح داد. در این اطلاعیه آمده است:
در آستانه برگزاری راهپیمایی باشکوه 22 بهمن ماه در روز شنبه مورخ 21 بهمن ماه حدود ساعت 20 الی 22 اخباری در خصوص حمله به تعدادی از پورتال ها و سایت های خبری منتشر و باعث ایجاد نگرانی هایی در سطح جامعه شد. مرکز ماهر وزارت ارتباطات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص به عمل آورد. جهت اطلاع و رعایت نکات مهم مطرح در این زمینه، توضیح اجمالی حمله مذکور در گزارش حاضر آمده است.
سایت های خبری که مورد حمله قرار گرفته اند شامل: روزنامه قانون، روزنامه آرمان و روزنامه ستاره صبح بوده که در مرکز داده تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند. گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف کرده و در این فرآیند مشخص شده که تمامی این سامانه ها ازسوی یک شرکت و در بستر سیستم عامل ویندوز با سرویس دهنده وب IIS و زبان برنامه نویسی ASP.NET توسعه داده شده اند.
شرکت تولید کننده نرم افزار این سامانه ها مجری بیش از 30 سایت خبری شامل این موارد است و نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کردند. تهدید اخیر کماکان برای این سایت ها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال کنند:
1- armandaily.ir
2- aminejameeh.ir
3- kaenta.ir
4- ghanoondaily.ir
5- asreneyriz.ir
6- sharghdaily.ir
7- ecobition.ir
8- karoondaily.ir
9- baharesalamat.ir
10- tafahomnews.com
11- bankvarzesh.com
12- niloofareabi.ir
13- shahrvand–newspaper.ir
14- etemadnewspaper.ir
15- vareshdaily.ir
16- bahardaily.ir
17- nishkhat.ir
18- sayeh–news.com
19- nimnegahshiraz.ir
20- shahresabzeneyriz.ir
21- neyrizanfars.ir
22- sarafrazannews.ir
23- tweekly.ir
24- armanmeli.ir
25- davatonline.ir
26- setaresobh.ir
27- noavaranonline.ir
28- bighanoononline.ir
29- naghshdaily.ir
30- hadafeconomic.ir
اقدامات فنی اولیه توسط مرکز ماهر به این شرح صورت پذیرفت:
- شناسایی دارایی های مرتبط با سامانه ها جهت تحلیل دقیق (در این زمینه متاسفانه مرکز داده تبیان هیچگونه همکاری را به عمل نیاورده است).
- از دسترس خارج کردن سامانه هایی که مورد حمله قرار گرفته اند، جهت بازیابی و حذف تغییرات در محتوای پیام ها.
- تغییر یا غیرفعال سازی نام کاربری اشتراکی و پیش فرض در تمامی سامانه ها
- ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویس دهنده های مجازی که مورد حمله قرار گرفته اند.
- کپی کامل از تمامی فایل های ثبت وقایع بر روی سرویس دهنده های هدف.
در ادامه این گزارش آمده است: پس از دریافت فایل های ثبت وقایع از حملات انجام شده از سرویس دهنده ها، با تحلیل و بررسی تاریخچه حملات و آسیب پذیری ها حجم بالایی از فایل ها مورد تحلیل و آنالیز قرار گرفت و IP مبدا حملات استخراج شد که شامل پنج IP از کشورهای انگلستان و آمریکا بوده است.
شواهد موجود در فایل های ثبت وقایع نشان می دهد که مهاجمان از دو روز قبل پس از کشف آسیب پذیری هایی از قبیل انواع Injectionها، در تلاش جهت نفوذ با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی نظیر نام کاربری و کلمات عبور در پایگاه داده سامانه ها بوده اند. تمامی فعالیت ها و عملیات مخرب جهت کشف آسیب پذیری و نفوذ به سامانه ها که متعلق به آدرس های IP حمله کننده است، استخراج و بررسی شد.

اقدامات اصلاحی انجام شده:
1- تغییر نام کاربری و کلمه عبور پیش فرض راهبر سامانه در تمامی محصولات شرکت. توضیح مهم در این زمینه اینکه تمامی سایت های خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض (*****) و یکسان ازسوی شرکت پشتیبان بوده است. همچنین در بررسی مشخص شد که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر ****@gmail.com است که نام کاربری و کلمه عبور استفاده شده در سایت ها نیز همان است. این موارد نشان می دهد متاسفانه حداقل موارد امنیتی رعایت نشده است.
2- اطلاع رسانی به تمامی دارندگان و استفاده کنندگان محصول شرکت مورد هدف
3- کشف ماژول ها و بخش های آسیب پذیر در سایت های مورد حمله و اطلاع به پشتیبان جهت وصله امنیتی سریع
4- هشدارها و راهنمایی های لازم جهت حفاظت و پیکربندی و مقاوم سازی سرویس دهنده و فایل ثبت وقایع روی تمامی سرویس دهنده ها
5- اقدامات لازم برای انجام آزمون نفوذپذیری روی تمامی بخش ها و ماژول های سامانه مشترک.

‫ گزارش مرکز ماهر از حمله شب گذشته به سایتهای خبری: حداقل نکات امنیتی توسط سایت های خبری رعایت نشده بود

بهمن ۲۲, ۱۳۹۶/در hack, maher, امنیت, فناوری اطلاعات /توسط ادمین

فهرست سی سایت خبری در معرض خطر که توسط شرکت نرم افزاری فوق طراحی شده اند: 1- armandaily.ir

2- aminejameeh.ir 3- kaenta.ir 4- ghanoondaily.ir 5- asreneyriz.ir 6- sharghdaily.ir 7- ecobition.ir 8- karoondaily.ir 9- baharesalamat.ir 10- tafahomnews.com 11- bankvarzesh.com 12- niloofareabi.ir 13- shahrvand-newspaper.ir 14- etemadnewspaper.ir 15- vareshdaily.ir 16- bahardaily.ir 17- nishkhat.ir

18- sayeh-news.com 19- nimnegahshiraz.ir 20- shahresabzeneyriz.ir 21- neyrizanfars.ir 22- sarafrazannews.ir 23- tweekly.ir 24- armanmeli.ir 25- davatonline.ir 26- setaresobh.ir 27- noavaranonline.ir 28- bighanoononline.ir 29- naghshdaily.ir 30- hadafeconomic.ir

پس از وعده وزیر ارتباطات، مرکز ماهر با صدور اطلاعیه ای گزارش تحلیلی خود را از ماجرای هک شب گذشته برخی سایت های خبری و انتشار خبر جعلی در خصوص وضعیت سلامت مقام معظم رهبری منتشر ساخت.

به گزارش آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) در این اطلاعیه آمده است: در آستانه‌ی برگزاری راهپیمایی باشکوه 22 بهمن‌ماه در روز شنبه مورخ 21 بهمن‌ماه حدود ساعت 20 الی 22 اخباری در خصوص حمله به تعدادی از پورتال‌ها و وب‌سایت‌های خبری منتشر و باعث ایجاد نگرانی‌هایی در سطح جامعه شد. مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص بعمل آورد.

وبسایتهای خبری که مورد حمله قرار گرفته اند شامل: روزنامه ی قانون، روزنامه ی آرمان، روزنامه ستاره صبح بوده که در مرکز داده ی تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند .

براساس این گزارش، گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستمهای هدف نموده و در این فرایند مشخص گردیده که تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل ویندوز با سرویس دهنده IIS و زبان برنامه نویسی ASP.Net توسعه داده شده اند.

براساس این گزارش، شرکت تولید کننده نرم فازرا این سامانه هامجری بیش از 30 سایت خبری بالا بودند که نفوذگران از این حیث به مجموعه اهداف مناسبی دست پیدا کرده اند.

به گزارش ایستنا، مرکز ماهر در گزارش خود تصریح کرده تهدید اخیر کماکان برای وب سایت ها وجود دارد و لازم است سریعا تمهیدات امنیتی مناسب را اعمال کنند.

بر اساس این گزارش، اقدامات فنی اولیه توسط مرکز ماهر به شرح زیر صورت پذیرفت:

1- شناسایی دارایی های مرتبط با سامانه ها جهت تحلیل دقیق(در این زمینه متاسفانه مرکز داده تبیان هیچگونه همکاری را بعمل نیاورده است).

2-از دسترس خارج نمودن سامانه های که مورد حمله قرار گرفته اند، جهت بازیابی و حذف تغییرات در محتوی پیامها

3-تغییر و یا غیرفعال سازی نام کاربری اشتراکی و پیشفرض در تمامی سامانه ها

4- ایجاد یک اسنپ شات و یک کپی سالم و دست نخورده از سرویس دهنده های مجازی که مورد حمله قرار گرفته اند.

5-کپی کامل از تمامی فایل های ثبت وقایع بر روی سرویس دهنده های هدف

پس از دریافت فایلهای ثبت وقایع از حملات انجام شده از سرویس دهنده ها با تحلیل و بررسی تاریخچه ی حملات و آسیب پذیری ها حجم بالایی از فایل ها مورد تحلیل و آنالیز قرار گرفت و آی پی مبدا حملات استخراج شد که شامل 5 آی پی ا انگلیس و آمریکا بوده که در جدول منتشر شده توسط ماهر فهرست آی پی حمله کننده، مبدا حمله و سرویس دهنده آن مشخص شده است.

ماهر تصریح کرده شواهد موجود در فایل های ثبت وقایع (لاگ فایل ها) نشان میدهد مهاجمان از دو روز قبل یعنی از تارین 8/2/2018 پس از کشف آسیب پذیریهایی از قبیل انواع اینجکشن ها، در تلاش برای نفود با ابزارهای خودکار و نیمه خودکار برای استخراج اطلاعاتی مثل نام کاربری و کلمات عبور در پایگاهها داده (دیتابیس) سامانه ها بوده اند.

به گفته ماهر تمامی فعالیت ها و عملیات مخرب برای کشف آسیبپذیری و نفوذ به سامانه ها که متعلق به آدرس آی پی های حمله کننده است استخراج و توسط این مرکز بررسی شده است.

براساس اطلاعیه مرکز ماهر درباره هک اخیر سایت‌های خبری، تمامی سایت‌های خبری مورد حمله، دارای نام‌کاربری و کلمه‌ی عبور پیش‌فرض و یکسان توسط شرکت پشتیبان بوده است. همچنین در بررسی مشخص گردید که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی با برابر gmail.com@***** است که نام‌کاربری و کلمه عبور استفاده شده در سایت‌ها نیز همان است. این موارد نشان می‌دهد متاسفانه حداقل موارد امنیتی رعایت نشده است.

برای دانلود متن کامل این گزارش اینجا را کلیک کنید.

شناسایی حمله بدافزاری در ایران

آذر ۱۴, ۱۳۹۶/در maher, security, امنیت, فناوری اطلاعات /توسط ادمین

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای از کاربران نرم افزار چندرسانه ای «فلش پلیر» خواست برای جلوگیری از حملات بدافزاری، نرم افزار خود را به روزرسانی کنند.

به گزارش مهر، مرکز ماهر از هشدار ادوب (Adobe) برای دریافت آخرین نسخه‌ فلش‌پلیر در راستای جلوگیری از حملات بدافزاری خبر داد.

Adobe Flash Player یک برنامه نرم افزاری است که به کاربران این امکان را می‌دهد تا از محتوای چندرسانه‌ای در وب از طریق مرورگر بهره ببرند. از آنجایی‌که روزبه‌روز به تعداد کاربرانی که از این نرم افزار استفاده می‌کنند افزوده می‌شود، نیاز به کنترل آن نیز بیشتر می‌شود. بااین‌حال، برخی از افراد، قربانی آسیب‌پذیری‌های موجود در این برنامه نرم افزاری می‌شوند.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای اعلام کرد: در به‌روزرسانی اخیر Adobe Flash Player، این شرکت از کاربران خود خواسته است تا سامانه‌های خود را به آخرین نسخه‌ این برنامه، وصله کنند. دلیل این امر، آسیب‌پذیری‌هایی است که توسط حملات مخرب مورد سوءاستفاده قرارگرفته‌اند.

هشدار Adobe مربوط به آسیب‌پذیری موجود در بسته‌ نرم‌افزاری چندرسانه‌ای «فلش‌پلیر» است. به همین دلیل، این شرکت از کاربران خود خواسته است تا با وصله کردن سامانه‌های خود، از این حملات جلوگیری کنند.

محققان امنیتی آزمایشگاه کسپرسکی، استفاده از این آسیب‌پذیری برای اجرای کدهای کنترل از راه دور را در Adobe Flash پیدا کردند که توسط گروهی به نام BlackOasis ارائه شده است. تاکنون گروه BlackOasis قربانیانی را در کشورهای مختلف از جمله روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس و آنگولا مورد هدف قرار داده است.

این بدافزار که با نام‌های FinFisher یا FinSpyشناخته شده است، یک محصول تجاری است که با اهداف نظارتی و جاسوسی، به ادارات اجرای قانون و ایالات ملی فروخته شده است.

این آسیب‌پذیری بحرانی که با عنوان CVE-۲۰۱۷-۱۱۲۹۲ ردیابی می‌شود، می‌تواند به اجرای کد منجر شود و Flash Player ۲۱.۰.۰.۲۲۶ را در سیستم‌عامل‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل کروم ( Chrome ) تحت تاثیر قرار دهد.

به‌روزرسانی درنظر گرفته‌شده برای رفع این مشکل، مرورگرهای وب معروف مانند اینترنت اکسپلورر، مایکروسافت Edge و گوگل کروم را تحت تأثیر قرار می‌دهد؛ بنابراین، مشکلات موجود در فلش‌پلیر می‌تواند به‌آسانی در هنگام نصب در هر نسخه‌ پشتیبانی شده از ویندوز، برطرف شود.

این نسخه‌ها شامل ویندوز سرور نسخه‌ ۱۷۰۹، ویندوز ۱۰ نسخه‌ ۱۷۰۹، ویندوز سرور ۲۰۱۶، ویندوز ۱۰ نسخه‌ ۱۷۰۳، ویندوز ۱۰ نسخه‌ ۱۵۱۱، ویندوز ۱۰ نسخه‌ ۱۶۰۷، ویندوز ۸.۱، ویندوز RT ۸.۱ و ویندوز RTM ۱۰ است.

به‌روزرسانی‌های امنیتی و غیرامنیتی برای نسخه‌های خاصی از ویندوز در دسترس هستند؛ بنابراین، ضروری است تا برای دریافت به‌روزرسانی‌های آتی این شرکت، به‌روزرسانی ۲۹۱۹۳۵۵ در ویندوز RT ۸.۱، ویندوز سرور R۲ ۲۰۱۲ و رایانه‌های مبتنی بر ویندوز ۸.۱ نصب شود.

کاربران می‌توانند این به‌روزرسانی را از طریق به‌روزرسانی ویندوز نصب کنند. برای این کار آن‌ها تنها نیاز به روشن کردن به‌روزرسانی خودکار برای دانلود و نصب خودکار آن دارند. آن‌ها همچنین می‌توانند از کاتالوگ به‌روزرسانی مایکروسافت برای دریافت بسته‌های مستقل این به‌روزرسانی استفاده کنند.