🔻 هشدار مایکروسافت به مدیران شبکه، به سرعت وصله های ارائه شده Exchange را نصب کنید

مایکروسافت به مدیران شبکه‌ هشدار داد که به سرعت وصله‌های امنیتی ارائه شده مرتبط با آسیب‌پذیری حیاتی Exchange Server را نصب کنند. این آسیب‌پذیری می‌تواند به هکرهای احراز هویت شده امکان اجرای کد از راه دور بر روی سرور آسیب‌پذیر را بدهد.

نقص امنیتی ردیابی شده با شناسه CVE-2021-42321 بر روی Exchange Server 2016 و Exchange Server 2019 اثرگذار است و بر اساس توصیه امنیتی مایکروسافت به دلیل اعتبار سنجی نادرست آرگومان‌های cmdlet ایجاد می‌شود.

شما می‌توانید با نصب وصله‌ امنیتی زیر اقدام به رفع این آسیب‌پذیری نمایید:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321



برای مطالعه ادامه این خبر به لینک زیر مراجعه نمائید👇

🔗 https://news.amnpardaz.com/2021/11/4859/

@padvishsupport | کانال پادویش سازمانی


#vulnerability

📣📣 آنتی ویروس پادویش (Total Security و Ultimate) نسخه 2.10.386.8918 به وضعیت کاندیدای پایدار رسید

🔰 در این به‌روزرسانی آنتی ویروس پادویش از نسخه‌ی 2.10.273.8341 به نسخه 2.10.386.8918 ارتقا یافت.

علاوه بر رفع باگ‌های جزئی، موارد زیر شامل تغییرات بوده‌اند:

قابلیت‌های اضافه شده
✅ اضافه شدن قابلیت اتصال همزمان چندین سرور مدیریتی پادویش به سرور مکاپ
✅ پشتیبانی رسمی از Windows Server Core

بهبودها
✅ اضافه شدن ورژن و آیکون پادویش به uninstaller
✅ افزایش سرعت پویش wmic
✅ بهبود عملکرد پویشگر فایل‌های فشرده
✅ افزایش سرعت ریموت زدن متعدد همزمان به ویندوز سرور
✅ بهبود مکانیزم استخراج آدرس mac کارت شبکه
✅ بهبود در کنترل برنامه پادویش
✅ بهبود در لاگ برداری کنترل ابزار


شما می‌توانید برای دریافت آخرین نسخه آنتی ویروس پادویش به صفحه دانلود محصولات سایت پادویش به آدرس زیر مراجعه فرمائید👇

🔗 https://padvish.com/r/dl

@padvishsupport | کانال پادویش سازمانی

#Padvish

چگونه سیستم‌های آسیب‌پذیر log4j را در شبکه بیابم؟

برخلاف عموم آسیب‌پذیری‌ها که صرفا محدود به یک نرم‌افزار خاص هستند، یکی از دردسرهای اصلی آسیب‌پذیری log4j وجود آن در انواع گسترده‌ی نرم‌افزارهای مختلف و حتی سفارشی و خاص منظوره می‌باشد که لازم است کل شبکه برای یافتن آنها جستجو شود.
از آنجا که ممکن است هر یک از نرم‌افزارها و سامانه‌های مبتنی بر جاوای شما، فایل آسیب‌پذیر را داخل خود کمپایل داشته باشند، صرف آپدیت پکیج‌های نرم‌افزاری کفایت نکرده و باید کل نرم‌افزارهای کمپایل شده را برای ماژول آسیب‌پذیر جستجو کنید.
برای یافتن کلیه نرم‌افزارهای آسیب‌پذیر، بسته به سیستم عامل از یکی از مجموعه دستورات زیر استفاده کنید. دقت کنید که این دستورات فقط استفاده از ماژول log4j را گزارش می‌کنند و حتی نسخه‌های آپدیت شده نیز گزارش می‌شوند.
یافتن نرم‌افزارهای آسیب‌پذیر در سیستم عامل لینوکس
دستورات حتما با یوزر root اجرا شوند که همه سیستم پویش شود.
find / -type f -name '*.?ar' -print0| xargs -0 fgrep JndiLookup.class
find / -type f -name '*.class' | fgrep JndiLookup.class
در صورت مشاهده خروجی، مسیر نرم‌افزار آسیب‌پذیر نمایش داده می‌شود
یافتن نرم‌افزارهای آسیب‌پذیر در سیستم عامل ویندوز
دستورات زیر در هر درایو به طور جداگانه اجرا شوند.
دستورات حتما با یوزر administrator اجرا شوند که همه سیستم پویش شود.
dir /s /b \*.jar \*.ear \*.war|findstr /f:/ /m JndiLookup.class
dir /s /b JndiLookup.class
در صورت مشاهده خروجی، مسیر نرم‌افزار آسیب‌پذیر نمایش داده می‌شود
پویش سیستم‌های آسیب‌پذیر توسط آنتی‌ویروس پادویش
کاربران کنسول آنتی‌ویروس پادویش می‌توانند از روش زیر جهت جستجو برای نرم‌افزارهای آسیب‌پذیر در سطح سازمان خود استفاده نمایند.
برای این منظور، لازم است که پایگاه امضای ویژه تشخیص آسیب‌پذیری log4j را دریافت نموده و سیستم‌های خود را پویش نمایید. هر گونه نرم‌افزاری که از این کتابخانه استفاده کرده باشد با نام PUA.JAVA.PotentiallyVulnerable.Log4j به شما گزارش خواهد شد.
به این منظور توصیه می‌شود مراحل زیر را انجام دهید:
1 پایگاه امضاهای شناسایی آسیب‌پذیری log4j را از لینک زیر دانلود نموده و در کنسول وارد نمایید.
2 https://download.amnpardaz.com/Temp/signature.apbundle
3 با مراجعه به Managed Computer مطمئن شوید که کلیه‌ی سیستم‌ها آپدیت را دریافت کرده‌اند. (در صورت نیاز از Force Update استفاده نمایید)
4 تنظیمات آنتی‌ویروس را موقتا تغییر دهید تا تشخیص‌های مشکوک Ignore شوند. انجام این تغییر از این جهت پیشنهاد می‌شود که در صورت پیدا شدن نرم‌افزار آسیب‌پذیر، دسترسی به آن مسدود نشود.
5 سپس تسک اسکن کامل را بر روی سیستم‌های مورد نظر خود اجرا نمایید.
6 در نهایت پس از اطمینان از انجام کامل اسکن، تمامی تنظیمات را به حالت قبل برگردانید.

برای دریافت اطلاعات بیشتر به لینک زیر مراجعه کنید:

https://kb.amnpardaz.com/2021/1426/

🔻سرورهای HP دارای یک ماژول مدیریتی به نام iLO مخفف Integrated Lights-Out هستند که به محض اتصال کابل برق روشن شده و یک سیستم عامل کامل اختصاصی را بارگذاری می‌کند.

این ماژول با خاموش کردن سرور باز هم به کار خود ادامه می‌دهد و دارای دسترسی کاملی به کل سفت‌افزار، سخت‌افزار، نرم‌افزار و سیستم‌عامل سرور است و علاوه بر مدیریت سخت‌افزار سرور، به ادمین اجازه می‌دهد از راه دور سرور را روشن و خاموش نموده، به کنسول آن دسترسی داشته و حتی سیستم عامل روی آن نصب نماید.


جهت مطالعه گزارش تحلیلی نخستین روت‌کیت کشف شده در سفت افزار iLO سرورهای HP تهیه شده در آزمایشگاه تحلیل بدافزار پادویش به لینک زیر مراجعه نمائید👇

🔗 https://news.amnpardaz.com/1400/10/5117/

@padvishsecurity | کانال آنتی ویروس پادویش

#threats

📣📣 آنتی ویروس پادویش (Total Security و Ultimate) نسخه ۲.۱۰.۴۵۰.۹۰۵۱ به وضعیت پایدار رسید

🔰 در این به‌روزرسانی آنتی ویروس پادویش از نسخه‌ی ۲.۱۰.۳۸۶.۸۹۱۸ به نسخه ۲.۱۰.۴۵۰.۹۰۵۱ ارتقا یافت.

علاوه بر رفع باگ‌های جزئی، موارد زیر شامل تغییرات بوده‌اند:

بهبودهای صورت گرفته
✅ نحوه استخراج شناسه جهت تشخیص کلاینت در سرور مدیریتی پادویش تغییر کرده است. جهت اطلاعات بیشتر می‌توانید به لیست تغییرات نسخه ۱.۱۶.۲۷۷.۵۰۵۸ سرور مدیریتی پادویش مراجعه کنید.

رفع باگ
✅ رفع وابستگی نام دستگاه و شناسه‌ی دستگاه در قواعد پیشرفته‌ی کنترل ابزار به بزرگی و کوچکی حروف
✅ رفع مشکل در جمع‌آوری ناقص اطلاعات کنترل برنامه، وقتی تنظیم مربوط به آن خاموش باشد. به همین منظور در زمان ارتقا نسخه (در صورتی که ورژن قبلی یکی از نسخه‌های حدفاصل ۲.۱۰.۲۳۴.۷۹۹۳ الی ۲.۱۰.۳۶۰.۸۹۱۸ باشد) فایل پایگاه داده اطلاعات جمع‌آوری شده کنترل برنامه مجدد از اول ساخته می‌شود.
✅ رفع یک مورد کرش در موتور OLE Parser
✅ اگر یک فایل مشکوک پویش می‌شد و گزینه‌ی پاکسازی در بوت بعدی انتخاب می‌شد، و بعد از بوت شدن سیستم، فایل مشکوک دیگری مجددا پویش می‌شد، گزینه‌ی پاکسازی در بوت بعدی غیرفعال می‌بود که این باگ برطرف شده است.
✅ درج مقادیر فیلد‌های شدت حساسیت و نوع پویش در گزارش تهدید‌ها برای تهدیدات تشخیص داده شده توسط موتور پویش رجیستری، WMIC و پویشگر پردازه
✅ رفع نشتی هندل در شرایط خاص در پویشگر پردازهرفع باگ عدم نمایش قواعد دیوار آتش اعمال شده از سمت سرور در رابط کاربری کلاینت‌های غیربرخط (Offline Clients)


شما می‌توانید برای دریافت آخرین نسخه آنتی ویروس پادویش به صفحه دانلود محصولات سایت پادویش به آدرس زیر مراجعه فرمائید👇

🔗 https://padvish.com/r/dl

@padvishsupport | کانال پادویش سازمانی

#Padvish

📣📣 کنسول مدیریتی پادویش نسخه 1.16.277.5058 به وضعیت پایدار رسید

🔰 در این به‌روزرسانی کنسول مدیریتی پادویش از نسخه‌ی 1.16.190.4846 به نسخه 1.16.277.5058 ارتقا یافت.

علاوه بر رفع باگ‌های جزئی، موارد زیر شامل تغییرات بوده‌اند:

بهبودهای صورت گرفته
✅ جلوگیری از ارتقای نادرست سرور Slave: در این نسخه، سرور Slave نمی‌تواند نسخه خود را به نسخه‌ای بالاتر از سرور Master خود ارتقا دهد و در صورت تلاش برای این کار با نمایش پیام مناسب در برنامه نصب، از آن جلوگیری خواهد شد.
✅بهبود تشخیص کلاینت پس از تغییر ویندوز: کنسول مدیریتی پادویش به منظور جلوگیری از تشکیل سطرهای اضافه (duplicate)، جهت تشخیص کلاینتی که – بدون unregister صحیح – ویندوز آن تعویض شده و مجددا روی آن ایجنت نصب شده است از اطلاعات MAC آدرس کارت شبکه استفاده می‌کند. در این نسخه با حذف اطلاعات کارت شبکه‌های مجازی و برخی بهبودهای دیگر، این مکانیزم تشخیصی دقیقتر عمل می‌کند.

رفع باگ
✅ در این نسخه کنسول نظارتی پادویش جهت ارتباط با کنسول مدیریتی سری ۱.۱۶ آماده شده است.
✅ رفع مشکل نمایش Invalid Device به عنوان فیلد نوع در برخی دستگاه‌ها در گزارش کنترل ابزار.
✅ در صورتی که کلاینت از یک Organization Unit به یک Organization Unit دیگر در اکتیو دایرکتوری منتقل می‌شد، در صورتی که در سرور مدیریتی پادویش گزینه‌ی Discover Type یکی از موارد Discover Computers and Sync Active Directory Groups ‌ و یا Only Sync Active Directory Groups انتخاب می‌شد و در سربرگ Advanced گزینه‌ی Active Directory Groups Sync فعال می‌بود، تغییر گروه کلاینت در اکتیو دایرکتوری به صورت خودکار بدون اجرا کردن Discover به سرور مدیریتی پادویش اعمال می‌شد. در نسخه‌ی جدید در صورت وجود شرایط ذکر شده تا زمانی که Discover به صورت دستی انجام نشده و یا زمان گزینه‌ی Active Directory Group Sync نرسیده باشد، تغییر گروه کلاینت در اکتیو دایرکتوری به سرور مدیریتی اعمال نمی‌شود.
✅ افزوده شدن فیلد Current OS Version به گزارش سفارشی Search Softwares
✅ رفع مشکل نمایش اشتباه نسخه‌ی ساخت سیستم‌عامل در گزارش سفارشی Most OS on Computers
✅ رفع مشکل قابلیت Auto Grouping برای سیستم عامل لینوکس


شما می‌توانید برای دریافت آخرین نسخه کنسول پادویش به صفحه دانلود محصولات سایت پادویش به آدرس زیر مراجعه فرمائید👇

🔗 https://padvish.com/r/dl

@padvishsupport | کانال پادویش سازمانی

#Ultimate

امن پرداز ابزار Padvish iLO Scanner را به صورت متن باز منتشر کرد

🔻 دقیقا یک ماه پیش بود که ما نتایج تحقیقاتمان را درباره اولین بدافزار (روت‌کیت) سفت‌افزار HP iLO منتشر کردیم. در کنار گزارش تفصیلی که از بدافزار، ماژول‌ها و قابلیت‌های فنی آن منتشر شد، روش ساده‌ای نیز برای تشخیص بدافزار با استفاده از قیافه ظاهری رابط کاربری iLO بیان شده بود.

اما از آن جایی که هیچ ابزاری برای تشخیص یا بررسی وجود بدافزار در iLO وجود نداشت، متعهد شدیم که ابزار پویش iLO را به صورت عمومی منتشر کنیم تا همگان بتوانند سرورهای خود را بررسی کنند.

امروز این ابزار به صورت متن‌باز و با عنوان Padvish iLO Scanner در اختیار علاقه مندان قرار گرفت تا با استفاده از آن بتوانند سفت‌افزار iLO را دامپ گرفته و صحت آن را چک کنند.


برای مطالعه ادامه خبر و دریافت این ابزار به اتاق خبر امن‌پرداز مراجعه نمائید👇

🔗 https://news.amnpardaz.com/1400/11/5384/

@padvishsupport | کانال پادویش سازمانی

#AmnpardazNews

📣📣 کنسول مدیریتی پادویش نسخه 1.16.306.5177 به وضعیت کاندیدای پایدار رسید

🔰 در این به‌روزرسانی کنسول مدیریتی پادویش از نسخه‌ی 1.16.302.5160 به نسخه 1.16.306.5177 ارتقا یافت.

موارد زیر شامل تغییرات بوده‌اند:

قابلیت‌های جدید
✅ اضافه شدن قابلیت ارتباط سرور مدیریتی پادویش با سامانه‌ی البرز.

بهبود‌های صورت گرفته
✅ بهبود در مصرف پردازنده در صورت اتصال تعداد زیادی کلاینت به سرور مدیریتی پادویش.

رفع باگ
✅ رفع باگ وقوع کرش در صورت همزمان شدن به‌روزرسانی باندل آسیب‌پذیری با پویش آن.

✅ رفع باگ Timeout شدن تسک پویش در صورتی که همزمان با اجرای این تسک، تسک timeout ،Uninstall Third Party شده باشد.

✅ رفع باگ به‌روزرسانی نشدن باندل امضا در سرور مدیریتی پادویش از طریق پوشه‌ی به اشتراک‌ گذاشته شده.


شما می‌توانید برای دریافت آخرین نسخه کنسول پادویش به صفحه دانلود محصولات به آدرس زیر مراجعه فرمائید👇

🔗 https://padvish.com/r/dl

@padvishsupport | کانال پادویش سازمانی

#PadvishManagementConsole

🔻به اطلاع می‌رساند که با راه‌اندازی دیتاسنتر جدید، مشتریان ضدویروس پادویش از سرعت بالاتری در دریافت به‌روزرسانی‌های مربوط به ضدویروس بهره‌مند شده‌اند.

بنابر گزارشات رسیده به شرکت امن پرداز، بعضی از مشتریان ما به دلیل اینکه از طریق آدرس ip اقدام به تنظیم فایروال خود برای دریافت به‌روزرسانی از سرور اینترنتی پادویش داشته‌اند، پس از تغییر آدرس ip این سرور، با مشکل دریافت به‌روزرسانی مواجه شده‌اند.

بنابراین توصیه می‌گردد، مطابق با اطلاعات موجود در پایگاه دانش پادویش، از طریق dns و آدرس url به‌روزرسانی پادویش، اقدام به دریافت به‌روزرسانی کرده و تنظیم فایروال شبکه مورد نیاز را اعمال نمایند. بدیهی است امکان اعمال چنین تغییراتی در آینده نیز محتمل خواهد بود.

مطابق با اطلاعات موجود در پایگاه دانش پادویش، آدرس url دریافت به‌روزرسانی پادویش هیچ تغییری نسبت به گذشته نداشته است.

🔗 https://kb.amnpardaz.com/2018/228/


@padvishsupport | کانال پادویش سازمانی

#AmnpardazNews

📣📣 آنتی ویروس پادویش (Total Security و Ultimate) به وضعیت کاندیدای پایدار رسید.

🔰 در این به‌روزرسانی آنتی ویروس پادویش از نسخه‌ی ۲.۱۰.۴۵۰.۹۰۵۱ به نسخه ۲.۱۰.۴۹۰.۹۱۷۵ ارتقا یافت.

علاوه بر رفع باگ‌های جزئی، موارد زیر شامل تغییرات بوده‌اند:

✅ بهبود تجربه کاربران جدید از سرعت سیستم پس از نصب آنتی‌ویروس
✅ رفع چند باگ مهم در کنترل ابزار، مکانیزم قرنطینه و ...
✅ رفع چند باگ امنیتی


شما می‌توانید برای دریافت آخرین نسخه آنتی ویروس پادویش به صفحه دانلود محصولات به آدرس زیر مراجعه فرمائید👇

🔗 https://padvish.com/r/dl

@padvishsupport | کانال پادویش سازمانی

#Padvish

📢 نسخه 2.10.490.9175 آنتی ویروس پادویش (Total Security و Ultimate) و نسخه 1.16.307.5179 کنسول مدیریتی پادویش به وضعیت «پایدار» رسیدند.

✅ توصیه می‌شود تمامی کاربرانی که از نسخه‌های پیشین استفاده می‌کنند، پادویش خود را به آخرین نسخه ارتقا دهند. همچنین، مطابق روال انتشار پادویش، در این مرحله انتظار می‌رود که نمایندگان محترم پادویش نسبت به آگاه‌سازی مشتریان خود و آپگرید آنها تا این نسخه اقدام نمایند.


شما می‌توانید برای دریافت آخرین نسخه پادویش به صفحه دانلود محصولات به آدرس زیر مراجعه فرمائید👇

🔗 https://padvish.com/r/dl

@padvishsupport | کانال پادویش سازمانی

#Padvish

📣 پادویش لینوکس‌ نسخه 2.2.38.49 و پادویش لینوکس‌ Legacy (جهت پشتیبانی از لینوکس‌های قدیمی و فاقد امکان محافظت مستمر) نسخه 1.1.4.4 به وضعیت «پایدار» رسیدند.

✅ آنتی ویروس پادویش نسخه‌ی لینوکس راهکاریست جامع و یکپارچه‌ که به منظور تامین امنیت نقاط پایانی با سیستم‌عامل لینوکس در سازمان‌ها و شبکه‌های سازمانی به منظور مقابله با انوع تهدیدات بدافزاری در فضای مجازی طراحی شده است و از داده‌های کاربران و سازمان‌ها در مقابل انواع بدافزارهای این سیستم‌عامل محافظت می‌کند.


@padvishsupport | کانال پادویش سازمانی

#Padvish

📣📣 کنسول مدیریتی پادویش نسخه 1.16.325.5287 به وضعیت پایدار رسید

🔰 در این به‌روزرسانی کنسول مدیریتی پادویش از نسخه‌ی 1.16.307.5179 به نسخه 1.16.325.5287 ارتقا یافت.

موارد زیر شامل تغییرات بوده‌ است:
1⃣ بهبود در عملکرد Push Install و Discovery در صورت بروز خطای موقت در اتصال شبکه

2⃣ افزایش سرعت باز شدن تنظیمات کنترل برنامه (در این نسخه ستون App Count از پنجره قواعد حذف شده است)

3⃣ اضافه شدن ویندوز ۱۱ در لیست سیستم‌عامل‌های موجود در صفحه‌ی Add Client Auto Grouping

4⃣ رفع باگ عدم نمایش کامل صفحه‌ی Vulnerability Assessment

5⃣ رفع باگ نمایش مقدار اشتباه ستون Operating System در لیست کلاینت‌های Discover‌ شده در صورتی که سیستم‌عامل کلاینت دیسکاور شده ویندوز ۱۱ و یا ویندوز سرور ۲۰۲۲ ‌باشد.

6⃣ رفع باگ عدم عملکرد دکمه‌ی tab در صفحه‌ی تنظیمات Mail Server در Server Setting

7⃣ رفع باگ ثبت نشدن دامنه‌های بیش از ۴ کاراکتر (مانند local.) در فیلد SMTP Server‌ در صفحه‌ی تنظیمات Mail Server در Server Setting

8⃣ رفع باگ کرش هنگام ارتقاء مستقیم از نسخه‌های بسیار قدیمی ۱.۹ و ۱.۱۰ به ۱.۱۶

9⃣ رفع باگ عدم امکان انتخاب همه‌ی Severityها در قسمت جستجوی گزارش IPS

🔟 رفع باگ حذف شدن اولین سطر قاعده‌های دیوار آتش به جای قاعده‌ی مورد نظر در شرایط خاص


شما می‌توانید برای دریافت آخرین نسخه کنسول پادویش به صفحه دانلود محصولات به آدرس زیر مراجعه فرمائید👇

🔗 https://padvish.com/r/dl

@padvishsupport | کانال پادویش سازمانی

#PadvishManagementConsole

📣📣 ناظر پیکربندی پادویش به وضعیت کاندیدای پایدار رسید

🔰 در این به‌روزرسانی ناظر پیکربندی پادویش از نسخه‌ی 1.2.234.1372 به 1.2.240.1379 ارتقا یافت.

در نسخه 1.2.240.1379، موارد زیر شامل تغییرات بوده‌ است:

1⃣ رفع باگ مشاهده‌ی سطر تکراری در Managed Computers به ازای یک کلاینت در حالات زیر:
🔹 در صورتی که بدون حذف نمودن محصول ناظرپیکر‌بندی مکاپ، سیستم‌عامل کلاینت تغییر کرده و کارت شبکه‌ی آن تغییر نمی‌کرد و مجددا محصول ناظر پیکربندی مکاپ برروی آن نصب می‌شد.
🔹 در صورتی که بدون حذف نمودن محصول ناظرپیکر‌بندی مکاپ، سیستم‌عامل کلاینت تغییر کرده و پس از بالا آمدن سیستم‌عامل ابتدا نرم‌افزار‌هایی مانند Open VPN و یا Kerio نصب و سپس محصول ناظر پیکربندی مکاپ نصب می‌شد.

2⃣ رفع باگ نمایش مقدار اشتباه برای فیلد «Product Type» در Managed Computers به ازای یک کلاینت ناظر پیکربندی مکاپ تحت مدیریت کنسول مدیریتی پادویش در حالت زیر:
🔹 بر روی همان کلاینت محصول Padvish Ultimate نیز نصب شده و تحت مدیریت یک کنسول مدیریتی پادویش دیگر باشد.


برای دریافت اطلاعات بیشتر درباره تغییرات سری 1.2 به لینک زیر مراجعه فرمائید👇

🔗 https://kb.amnpardaz.com/2021/1385/

@padvishsupport | کانال پادویش سازمانی

#Audit

🔻هشدار افتا درباره شناسایی یك بدافزار جدید در زیرساخت‌ها

اخیرا هشداری از سوی مرکز مدیریت راهبردی افتا با عنوان "شناسایی یك بدافزار جدید در زیرساخت‌ها" درباره کشف نوعی بدافزار جدید با نام Dilemma در برخی از زیرساخت‌ها منتشر شده است.

فایل Dilemma.exe، فایل Wiper بدافزار می‌باشد که علاوه بر تخریب اطلاعات هارددیسک (Wipe) می‌تواند بنابر تنظیمات تعریف شده از سوی هکر، عملیات دیگری را پشتیبانی کند. این عملیات عبارتند از: تغییر رمز عبور کاربران، حذف فایل‌های پشتیبان ویندوز، حذف اکانت کاربران، متوقف کردن سرویس iis، خاتمه دادن به پردازه‌های خاص و حذف لاگ‌های Event Viewer ویندوز.

لازم به ذکر است که بدافزار موسوم به Dilemma توسط آنتی‌ویروس پادویش با عنوان HackTool.Win32.Qwipe.a شناسایی می‌شود که در کنار سایر ابزارهای هک و نفوذ گروه APT-PS در گزارش تحلیل منتشر شده در بانک اطلاعات تهدیدات بدافزاری پادویش به آنها پرداخته شده است (آنتی ویروس پادویش از تاریخ ۲۸ اسفند ماه ۱۴۰۰ قادر به شناسایی این بدافزار می‌باشد).


جهت اطلاعات بیشتر در خصوص این مجموعه بدافزار، می‌توانید گزارش تحلیلی پادویش (منتشر شده در تاریخ ۲۴ فروردین ماه ۱۴۰۱) را در لینک زیر بخوانید 👇

🔗 https://threats.amnpardaz.com/malware/apt/hacktool-win32-apt-ps/

@padvishsupport | کانال پادویش سازمانی

#threats

⭕️ اطلاعیه پادویش در خصوص مقابله با حملات سایبری

⚠️ آنچه در ادامه می‌آید، حاصل تجربیات و مشاهداتی است که تیم فارنزیک و پاسخ به رخداد پادویش از حملات سایبری اخیر به سازمان‌های مختلف در کشور کسب نموده است.

این مشاهدات، به درخواست کاربران و مدیران محترم سازمان‌های مختلف کشور و با هدف افزایش میزان توجه به ارتقا امنیت، برای اولین بار به صورت عمومی منتشر می‌شود.

در حین مطالعه، لازم است توجه نمایید که مطلب تهیه شده شامل تجمیعی از بیش از ده‌ها حمله مختلف در طول یک سال گذشته می‌باشد که تیم فارنزیک پادویش در روند بررسی‌های حوادث مربوطه حضور داشته است و مربوط به یک سازمان یا یک حمله خاص نمی‌شود.

اکثر این حملات شامل سازمان‌هایی می‌شود که اصلا آنتی‌ویروس پادویش نداشته و تمام یا بخشی از شبکه آنها از آنتی‌ویروس‌های خارجی استفاده می‌کرده است. تعدادی از تجربیات نیز مربوط به سازمان‌هایی است که مورد نفوذ ابتدایی قرار گرفتند اما سامانه MDR پادویش نفوذ را تشخیص داده و با اعلام هشدار به موقع، از وقوع حوادث ناگوار بعدی جلوگیری شده است.

اغلب حملات یک سال گذشته توسط افرادی انجام شده است که خود را با اسامی مختلف نظیر «گنجشک درنده»، «عدالت علی» و «قیام تا سرنگونی» معرفی کرده‌اند. شواهد فنی نشان می‌دهد با احتمال بالایی این سه گروه، یک گروه فنی بوده یا به ابزارهای یکدیگر دسترسی دارند.

اکثر قریب به اتفاق حملات موفق سایبری به سازمان‌ها در سال گذشته به دلیل وجود نقاط ضعف و آسیب‌پذیری‌های ناشی از عدم رعایت مسائل اساسی ‌در تامین امنیت شبکه‌ها به وجود آمده است که برخی از آنها به شرح زیر بوده است:

🔸شبکه‌های سازمان‌ها علی‌رغم انتظارات و ادعاهای اعلام شده، همگی به نحوی به اینترنت متصل بوده‌اند.

🔸در برخی موارد شبکه‌ها نه تنها بدون رعایت کمترین الزامات امنیتی به اینترنت متصل بوده‌اند، بلکه هیچ روش نظام‌مندی جهت کنترل اتصالات به شبکه‌های بیرون سازمان وجود نداشته است و هر بخشی از شبکه به روش مجزایی و بدون نظارت مرکزی به شبکه‌های بیرونی (اینترنت و اینترانت) متصل بوده است.

🔸در یک مورد، حتی پس از رخداد حمله سایبری و الزام و تاکید سازمان‌های بالادستی به قطع نمودن شبکه، همچنان شبکه با حداقل موازین امنیتی به اینترنت متصل بوده و منجر به هشدارهای مکرر بعدی شده است.

🔸در بسیاری موارد باز بودن پورت RDP از بیرون شبکه منجر به نفوذ اولیه شده است. باید توجه نمود در این موضوع، تفاوت چندانی بین شبکه اینترانت ملی و اینترنت وجود ندارد و هر دو محل ورود نفوذگران بوده‌اند.

🔸در چند مورد، نفوذگران از سرور آنتی‌ویروس خارجی موجود در سازمان و یا سرور WSUS، جهت انتشار بدافزار استفاده کرده بودند.

🔸استفاده از پسوردهای ضعیف و یا وجود اکانت‌های با دسترسی ادمین که وجود آنها فراموش شده است یکی از علل نفوذ به شمار می‌رود.

🔸در یک مورد نه تنها سرور اصلی اکتیودایرکتوری با پسورد ادمین فوق‌العاده ساده از اینترنت در دسترس بوده، بلکه بر روی آن چندین نرم‌افزار کنترل از راه دور مانند AnyDesk و TeamViewer نیز نصب بوده است.

🔸عدم رعایت اصل بخش‌بندی و تعریف VLANهای مناسب و محدودسازی دسترسی بین آنها در بسیاری از شبکه‌ها عملیات را برای نفوذگر ساده نموده بود. به عنوان مثال امکان دسترسی به سرورهای مهمی مانند اکتیودایرکتوری یا زیرساخت مجازی‌سازی و مانند آن به سیستم‌های ادمین محدود نشده بود، یا کلیه دوربین‌ها یا پورت‌های حساس سیستم‌های کاربران از کلیه نقاط شبکه در دسترس بوده‌اند. در نقطه مقابل، در شبکه‌هایی که محدودسازی مناسب انجام شده بود تخریب و نفوذ بسیار محدودتر انجام شده و بازیابی بسیار ساده بود.

🔸اغلب حملات با تعریف پالیسی روی اکتیودایرکتوری انجام شده‌اند، و حتی در برخی موارد دسترسی طولانی مدت (بیش از شش ماه تا یک سال) به اکتیودایرکتوری وجود داشته و نفوذگر بدون آنکه کسی متوجه شود، مدت‌ها روی اکتیودایرکتوری پالیسی تعریف می‌کرده است.

🔸استفاده از آسیب‌پذیری‌های شناخته شده و وصله نشده روی وب‌سرور و سامانه‌های تحت وب سازمان که از اینترنت در دسترس هستند، یکی از راه‌های اصلی ورود به شبکه سازمان در حملات اخیر بوده است.

🔸استفاده از آسیب‌پذیری PrintNightmare‌ و ZeroLogon و مانند آن جهت افزایش سطح دسترسی و حرکت در شبکه نیز یکی از الگوهای رایج حملات می‌باشد.

🔸در حملات اخیر سرعت خرابکاری افزایش یافته و بین یک ماه تا دو هفته بعد از دسترسی اولیه، خرابکاری و تخریب اطلاعات انجام می‌گیرد که نشان می‌دهد زمان کمتری برای تشخیص و واکنش به نفوذ وجود دارد.

🔸در برخی شبکه‌ها سیاست مناسبی برای بکاپگیری تعریف نشده بود و یا بازبینی صحیحی انجام نمی‌گرفت که فرایند بازیابی و راه‌اندازی مجدد سرویس‌ها را با دشواری جدی روبرو کرده بود.
(ادامه در پست بعدی)👇

@padvishsupport | کانال پادویش سازمانی

#padvish

🔰 با توجه به موارد فوق، راهکارهای زیر جهت ارتقای امنیت شبکه و مقابله با حملات مشابه توصیه می‌شود:

1⃣ جداسازی بخش‌های مختلف (VLAN) و غیر مربوط شبکه از یکدیگر و جلوگیری از برقراری هرگونه ارتباط غیر ضروری بین این بخش‌ها و جداسازی شبکه (Air Gap Network) جهت ایمن‌سازی بخش‌های حیاتی شبکه

در رابطه با این موضوع، با ذکر دو مثال از دو مورد از حوادث روی داده، اهمیت موضوع را توضیح می‌دهیم.در مورد اول، سازمان مورد نفوذ قرار گرفته، دارای شبکه‌ای بدون جداسازی و به اصطلاح flat بود که پس از نفوذ، تمامی زیر ساخت آن تحت تاثیر قرار گرفته و سایت‌ها داده‌های مختلف آن از دسترس خارج گردید.

اما در یک حمله کاملا مشابه به سازمانی دیگر، به واسطه جداسازی اصولی شبکه از یکدیگر، تنها سروری که به صورت مستقیم از اینترنت در دسترس و آسیب پذیر بود، مورد نفوذ قرار گرفته و نفوذگران امکان حمله به سایر بخش‌ها و سرورها و از کار انداختن کل شبکه را نداشتند.

در مورد اول شبکه سازمان مربوطه برای بیش از یک هفته از دسترس خارج شده بود در حالی که در مورد دوم، علاوه براینکه در کمتر از ۲۴ ساعت شبکه به حالت پایدار بازیابی گردید، عملیات فارنزیک بسیار راحت‌تر و در بررسی همان سرور مورد نفوذ قرار گرفته، آی‌پی مورد استفاده نفوذگر کشف و مسدود گردید.

انتظار می‌رود که در هر شبکه، حداقل تقسیم‌بندی سرورها به سه دسته قابل دسترس از خارج شبکه، داخلی با دسترسی به خارج شبکه، و داخلی بدون دسترسی تقسیم گردد.

همچنین، کلاینت‌ها نیز حداقل به دو بخش ادمین و غیر ادمین تقسیم شود و کلاینت‌های غیر ادمین دسترسی به پورت‌های حساس سرورها و سایر کلاینت‌ها نداشته باشند، و کلاینت‌های ادمین (و در صورت امکان سایر کلاینت‌ها) نیز دسترسی مستقیم به اینترنت نداشته باشند. البته طبیعتا این تقسیم‌بندی بسیار حداقلی است و باید در هر شبکه تا حد امکان برحسب سطح ریسک و نوع کاربرد تقسیم‌بندی بسیار جدی‌تری انجام شود.
(ادامه در پست بعدی)👇

@padvishsupport | کانال پادویش سازمانی

#padvish

2⃣ غیرفعال‌سازی سرویس‌های غیرضروری

با غیر فعال نمودن سرویس‌های غیرضروری (برای مثال غیر فعال سازی سرویس پرینتر بر روی وب سرورها، دامین کنترلرها و …)، در صورت انتشار آسیب‌پذیری‌های بحرانی نظیر PrintNightmare بدون نیاز به نصب وصله‌های امنیتی، در برابر آنها ایمن خواهید بود. بنابراین، سرویس‌های بلااستفاده را تشخیص داده و آنها را غیرفعال کنید.
(ادامه در پست بعدی)👇

@padvishsupport | کانال پادویش سازمانی

#padvish