⛔️محققان امنیتی میگویند تنها با باز کردن یک فایل PDF میتواند به سرقت هویتهای ویندوز هش NTLM بدون هیچگونه تعامل با کاربر بپردازد.
🔸 یک محقق امنیتی با چک کردن مجوزهای ویندوز، متوجه شد که تنها با باز کردن یک فایل PDF میتواند به سرقت هویتهای ویندوز هش NTLM بدون هیچگونه تعامل با کاربر بپردازد.
یک عملگر مخرب میتواند از ویژگیهای بومی موجود در استاندارد PDF استفاده کند تا هشهای NTLM را سرقت کند، فرمتی که در آن ویندوزها را ذخیره میکنند.
@drweb_sec
🔸 هنگامی که کسی این پرونده را باز میکند، سند PDF به طور خودکار یک سرور SMB مخرب از راه دور ایجاد میکند. این نوع حمله در ابتدا با شروع درخواستهای SMB از داخل اسناد PDF، پوشههای اشتراکی و سایر توابع داخلی سیستم عامل Windows اجرا نمیشود.
همه خوانندگان PDF به احتمال زیاد آسیبپذیر هستند و در حال حاضر، این تحقیقات نشان داده است که فایلهای PDF به اندازه زیادی خطرناک هستند.
www.drweb-sec.ir
🔸 بر اساس اطلاعات سایت پلیس فتا، مایکروسافت ADV170014 را برای ارائه یک مکانیزم فنی و دستورالعملهایی در مورد چگونگی استفاده کاربران از تأیید هویت NTLM SSO در سیستم عاملهای ویندوز، به منظور متوقف کردن سرقت هشهای NTLM از طریق درخواستهای SMB به سرورهای خارج از شبکه محلی، منتشر کرده است.
🔸 یک محقق امنیتی با چک کردن مجوزهای ویندوز، متوجه شد که تنها با باز کردن یک فایل PDF میتواند به سرقت هویتهای ویندوز هش NTLM بدون هیچگونه تعامل با کاربر بپردازد.
یک عملگر مخرب میتواند از ویژگیهای بومی موجود در استاندارد PDF استفاده کند تا هشهای NTLM را سرقت کند، فرمتی که در آن ویندوزها را ذخیره میکنند.
@drweb_sec
🔸 هنگامی که کسی این پرونده را باز میکند، سند PDF به طور خودکار یک سرور SMB مخرب از راه دور ایجاد میکند. این نوع حمله در ابتدا با شروع درخواستهای SMB از داخل اسناد PDF، پوشههای اشتراکی و سایر توابع داخلی سیستم عامل Windows اجرا نمیشود.
همه خوانندگان PDF به احتمال زیاد آسیبپذیر هستند و در حال حاضر، این تحقیقات نشان داده است که فایلهای PDF به اندازه زیادی خطرناک هستند.
www.drweb-sec.ir
🔸 بر اساس اطلاعات سایت پلیس فتا، مایکروسافت ADV170014 را برای ارائه یک مکانیزم فنی و دستورالعملهایی در مورد چگونگی استفاده کاربران از تأیید هویت NTLM SSO در سیستم عاملهای ویندوز، به منظور متوقف کردن سرقت هشهای NTLM از طریق درخواستهای SMB به سرورهای خارج از شبکه محلی، منتشر کرده است.
⛔️ “باغ وحش” – یا ZooPark به زبان روسی – عنوان گروه نفوذگری است که از ژوئن سال 2015 میلادی، با بکارگیری بدافزارهای تحت سیستم عامل اندروید کاربران را در منطقه خاورمیانه هدف قرار میداده است.
@drweb_sec
🔸 شرکت امنیتی در گزارشی به بررسی کارزارهای سایبری این گروه پرداخته است.
این شرکت امنیتی از شناسایی سایتهایی هک شده توسط این گروه خبر داده که مراجعه به آنها منجر به هدایت کاربر به سایتی دیگر شده و در آن مراجعه کننده تشویق به دریافت برنامکهای مخرب اندرویدی میشود.
در صورت آلوده شدن دستگاه قربانی به هر یک از این برنامکها، کد مخرب تزریق شده در برنامک، اطلاعات شخصی و حساس را از روی دستگاه سرقت میکند.
@drweb_sec
🔸 همچنین این شرکت بدافزارهای مورد استفاده این گروه را به چهار نسخه تقسیمبندی کرده است. در حالی که نسخه نخست این بدافزارها تنها قادر به استخراج فهرست شماره افراد و اطلاعات حساب کاربری بوده، نسخه چهارم به عنوان جدیدترین نسخه، قادر به انجام فرامین پیشرفته متعدد از جمله تصویربرداری، ضبط صدا و ویدئو و حتی برقراری تماس بدون اطلاع کاربر است.
به گزارش آزمایشگاه امنیت اطلاعات دکتروب ، کشورهای ایران، مراکش، مصر، لبنان و اردن از جمله اهداف گروه سایبری “باغ وحش” اعلام شدهاند.
@drweb_sec
🔸 علاوه بر هک سایتها، کانالهای تلگرام و تبلیغ دریافت برنامکهایی نظیر رایگیری در این کانالها، دیگر روش این گروه برای آلودهسازی دستگاهها عنوان شده است.
@drweb_sec
🔸 شرکت امنیتی در گزارشی به بررسی کارزارهای سایبری این گروه پرداخته است.
این شرکت امنیتی از شناسایی سایتهایی هک شده توسط این گروه خبر داده که مراجعه به آنها منجر به هدایت کاربر به سایتی دیگر شده و در آن مراجعه کننده تشویق به دریافت برنامکهای مخرب اندرویدی میشود.
در صورت آلوده شدن دستگاه قربانی به هر یک از این برنامکها، کد مخرب تزریق شده در برنامک، اطلاعات شخصی و حساس را از روی دستگاه سرقت میکند.
@drweb_sec
🔸 همچنین این شرکت بدافزارهای مورد استفاده این گروه را به چهار نسخه تقسیمبندی کرده است. در حالی که نسخه نخست این بدافزارها تنها قادر به استخراج فهرست شماره افراد و اطلاعات حساب کاربری بوده، نسخه چهارم به عنوان جدیدترین نسخه، قادر به انجام فرامین پیشرفته متعدد از جمله تصویربرداری، ضبط صدا و ویدئو و حتی برقراری تماس بدون اطلاع کاربر است.
به گزارش آزمایشگاه امنیت اطلاعات دکتروب ، کشورهای ایران، مراکش، مصر، لبنان و اردن از جمله اهداف گروه سایبری “باغ وحش” اعلام شدهاند.
@drweb_sec
🔸 علاوه بر هک سایتها، کانالهای تلگرام و تبلیغ دریافت برنامکهایی نظیر رایگیری در این کانالها، دیگر روش این گروه برای آلودهسازی دستگاهها عنوان شده است.
⛔️نویسندگان GandCrab، نسخه سوم این باجافزار مخرب را منتشر کردند. نسخههای قبلی این باجافزار در ماههای اخیر تعداد قابل توجهی از دستگاهها را در کشورهای مختلف از جمله ایران به خود آلوده کرده بودند.
🔸به گزارش آزمایشگاه امنیت اطلاعات دکتروب ، در زمان نگارش این خبر، نسخه سوم این باجافزار، با سوءاستفاده از آسیبپذیریهای امنیتی – با بکارگیری بسته بهرهجوی Magnitude – و از طریق ایمیلهای با پیوست فایل ZIP که در آن یک اسکریپت VB جاسازی شده کاربران را هدف قرار داده است.
www.drweb-sec.ir
🔸نسخه جدید مجهز که به یک قابلیت خودکار است که با ایجاد کلید زیر در محضرخانه سیستم عامل سبب اجرای خودکار فایل اصلی باجافزار در هر بار راهاندازی دستگاه میشود. فایل اطلاعیه باجگیری و پسوند فایلهای رمزگذاری شده همانند نسخه پیشین بترتیب CRAB-DECRYPT.txt و .CRAB بدون تغییر باقی ماندهاند.
همچنین در نسخه جدید پسزمینه سیستم عامل تغییر یافته و در پیام درج شده در تصویر از قربانی خواسته میشود تا به اطلاعیه باجگیری مراجعه کند.
@drweb_sec
🔸نسخه سوم GandCrab دارای اشکالی است که سبب بروز اختلال در عملکرد دستگاههای با سیستم عامل Windows 7 میشود.
در این دستگاهها پس از راهاندازی مجدد شدن دستگاه تها یک مرورگر در اختیار کاربر خواهد بود.
هر چند که با فشردن همزمان دکمههای CTRL+ALT+DEL، انتخاب گزینه Task Manager و در ادامه پایان دادن به پروسه متعلق به باجافزار، دسترسی به بخشهای سیستم عامل فراهم خواهد شد. انتظار میرود که این باگ امنیتی بزودی توسط نویسندگان باجافزار برطرف شود.
www.drweb-sec.ir
✅همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد توصیه شده در مطالب پیشین ،ضروری می باشد.
🔸به گزارش آزمایشگاه امنیت اطلاعات دکتروب ، در زمان نگارش این خبر، نسخه سوم این باجافزار، با سوءاستفاده از آسیبپذیریهای امنیتی – با بکارگیری بسته بهرهجوی Magnitude – و از طریق ایمیلهای با پیوست فایل ZIP که در آن یک اسکریپت VB جاسازی شده کاربران را هدف قرار داده است.
www.drweb-sec.ir
🔸نسخه جدید مجهز که به یک قابلیت خودکار است که با ایجاد کلید زیر در محضرخانه سیستم عامل سبب اجرای خودکار فایل اصلی باجافزار در هر بار راهاندازی دستگاه میشود. فایل اطلاعیه باجگیری و پسوند فایلهای رمزگذاری شده همانند نسخه پیشین بترتیب CRAB-DECRYPT.txt و .CRAB بدون تغییر باقی ماندهاند.
همچنین در نسخه جدید پسزمینه سیستم عامل تغییر یافته و در پیام درج شده در تصویر از قربانی خواسته میشود تا به اطلاعیه باجگیری مراجعه کند.
@drweb_sec
🔸نسخه سوم GandCrab دارای اشکالی است که سبب بروز اختلال در عملکرد دستگاههای با سیستم عامل Windows 7 میشود.
در این دستگاهها پس از راهاندازی مجدد شدن دستگاه تها یک مرورگر در اختیار کاربر خواهد بود.
هر چند که با فشردن همزمان دکمههای CTRL+ALT+DEL، انتخاب گزینه Task Manager و در ادامه پایان دادن به پروسه متعلق به باجافزار، دسترسی به بخشهای سیستم عامل فراهم خواهد شد. انتظار میرود که این باگ امنیتی بزودی توسط نویسندگان باجافزار برطرف شود.
www.drweb-sec.ir
✅همچون همیشه، برای ایمن ماندن از گزند باجافزارها، رعایت موارد توصیه شده در مطالب پیشین ،ضروری می باشد.
⛔️این باج افزارعموماً مراکز بهداشتی، مدارس و بیمارستان هارا مورد هدف قرارمی دهد.
🔸 مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شیوع باج افزار «سم سم» در کشور که سیستم کامپیوتری مراکز بهداشتی، مدارس و بیمارستانها را مورد هدف قرار می دهد، هشدار داد.
🔸 به گزارش مرکز ماهر با اعلام شیوع باج افزار SamSam اعلام کرد: مشاهده و رصد فضای سایبری در روزهای اخیر از افزایش فعالیت باج افزار SamSam خبر میدهد. هر چند شروع فعالیت این باج افزار در ماه های فوریه، مارس و آوریل ۲۰۱۶ گزارش شده اما فعالیت جدید این باج افزار در ماه های اخیر مجدداً از سر گرفته شده است.
www.drweb-sec.ir
🔸 بررسی ها نشان می دهد باج افزار SamSam بر خلاف سایر باج افزارها، اهداف خود را با دقت انتخاب میکند. مشاهدات حاکی از آن است که این باج افزار عموماً مراکز بهداشتی، مدارس و بیمارستان ها را مورد هدف قرار می دهد.
🔸 این نکته را باید در نظر گرفت که SamSam از طریق آسیب پذیری های شناخته شده در سیستم عامل و یا حمله Brute force و شکستن کلمات عبور ضعیف در سرویس ریموت دسکتاپ RDP، اقدام به حمله می کند و دلیل موفقیت آن نیز همین نکته است.
www.drweb-sec.ir
نکته قابل توجه اینکه باج افزارها، پس از نفوذ موفقیتآمیز به سیستم قربانی، به سرعت از طریق درایوهای به اشتراک گذاشته شده در شبکه، که در سیستمها نگاشت شدهاند باعث رمزگذاری اطلاعات سایر سیستمهای موجود در شبکه نیز میشوند.
✅ مرکز ماهر به مدیران و راهبران شبکه توصیه اکید کرده که پس از بروزرسانی سیستمعامل و نصب آخرین وصله های امنیتی، نسبت به امن سازی سرویس های موجود در شبکه خصوصاً RDP اقدام کرده و حتماً از پشتیبان گیری منظم داده ها اطمینان حاصل کنند.
🔸 مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به شیوع باج افزار «سم سم» در کشور که سیستم کامپیوتری مراکز بهداشتی، مدارس و بیمارستانها را مورد هدف قرار می دهد، هشدار داد.
🔸 به گزارش مرکز ماهر با اعلام شیوع باج افزار SamSam اعلام کرد: مشاهده و رصد فضای سایبری در روزهای اخیر از افزایش فعالیت باج افزار SamSam خبر میدهد. هر چند شروع فعالیت این باج افزار در ماه های فوریه، مارس و آوریل ۲۰۱۶ گزارش شده اما فعالیت جدید این باج افزار در ماه های اخیر مجدداً از سر گرفته شده است.
www.drweb-sec.ir
🔸 بررسی ها نشان می دهد باج افزار SamSam بر خلاف سایر باج افزارها، اهداف خود را با دقت انتخاب میکند. مشاهدات حاکی از آن است که این باج افزار عموماً مراکز بهداشتی، مدارس و بیمارستان ها را مورد هدف قرار می دهد.
🔸 این نکته را باید در نظر گرفت که SamSam از طریق آسیب پذیری های شناخته شده در سیستم عامل و یا حمله Brute force و شکستن کلمات عبور ضعیف در سرویس ریموت دسکتاپ RDP، اقدام به حمله می کند و دلیل موفقیت آن نیز همین نکته است.
www.drweb-sec.ir
نکته قابل توجه اینکه باج افزارها، پس از نفوذ موفقیتآمیز به سیستم قربانی، به سرعت از طریق درایوهای به اشتراک گذاشته شده در شبکه، که در سیستمها نگاشت شدهاند باعث رمزگذاری اطلاعات سایر سیستمهای موجود در شبکه نیز میشوند.
✅ مرکز ماهر به مدیران و راهبران شبکه توصیه اکید کرده که پس از بروزرسانی سیستمعامل و نصب آخرین وصله های امنیتی، نسبت به امن سازی سرویس های موجود در شبکه خصوصاً RDP اقدام کرده و حتماً از پشتیبان گیری منظم داده ها اطمینان حاصل کنند.
⛔️به گزارش آزمایشگاه امنیت اطلاعات دکتروب ، شرکت امنیتی از شناسایی باجافزار جدیدی با عنوان BlackHeart خبر داده که در جریان انتشار آن، ابزار دسترسی از راه دور معروف AnyDesk بر روی دستگاه قربانی کپی میشود. با این حال این شرکت از نحوه آلوده شدن دستگاهها به این باجافزار اظهار بیاطلاعی کرده است.
🔸در فرآیند آلودهسازی، دو فایل زیر بر روی دستگاه قربانی کپی میشود:
%User Temp%\ANYDESK.exe
%User Temp%\BLACKROUTER.exe
فایل نخست، ابزار مجاز AnyDesk است که امکان برقراری ارتباط از راه دور را فراهم میکند. ضمن اینکه از این ابزار میتوان برای انتقال فایل بین دو دستگاه بر روی بستر اینترنت استفاده کرد. البته نمونه AnyDesk بکارگرفته شده توسط گردانندگان BlackHeart، نسخهای نسبتاً قدیمی از این ابزار محسوب میشود.
@drweb_sec
🔸فایل دوم، فایل اصلی باجافزار است که عملکردی مشابه باجافزارهای رایج این روزها دارد. از دیگر اقدامات انجام شده توسط این باجافزار، حذف فایلهای موسوم به Shadow Copies با اجرای فرمان زیر است:
“cmd.exe” /c vssadmin.exe delete shadows /all /quiet
🔸به نظر میرسد که استفاده از ابزار AnyDesk، صرفاً ترفندی برای فریب کاربر باشد. بدین ترتیب که اجرای فایل سبب میشود که کاربر تصور کند که این ابزار نام آشنا بر روی دستگاه او اجرا شده و به فایل دوم که پشت صحنه به رمزگذاری فایلهای کاربر میپردازد توجه نکند. بخصوص آنکه موردی از بهرهجویی امنیتی گردانندگان BlackHeart از این ابزار گزارش نشده است.
در نمونه ای دیگر، مهاجمان با روشی مشابه بجای باجافزار از یک ابزار جاسوی ثبت کننده کلید Keylogger استفاده کردهاند.
🔸در فرآیند آلودهسازی، دو فایل زیر بر روی دستگاه قربانی کپی میشود:
%User Temp%\ANYDESK.exe
%User Temp%\BLACKROUTER.exe
فایل نخست، ابزار مجاز AnyDesk است که امکان برقراری ارتباط از راه دور را فراهم میکند. ضمن اینکه از این ابزار میتوان برای انتقال فایل بین دو دستگاه بر روی بستر اینترنت استفاده کرد. البته نمونه AnyDesk بکارگرفته شده توسط گردانندگان BlackHeart، نسخهای نسبتاً قدیمی از این ابزار محسوب میشود.
@drweb_sec
🔸فایل دوم، فایل اصلی باجافزار است که عملکردی مشابه باجافزارهای رایج این روزها دارد. از دیگر اقدامات انجام شده توسط این باجافزار، حذف فایلهای موسوم به Shadow Copies با اجرای فرمان زیر است:
“cmd.exe” /c vssadmin.exe delete shadows /all /quiet
🔸به نظر میرسد که استفاده از ابزار AnyDesk، صرفاً ترفندی برای فریب کاربر باشد. بدین ترتیب که اجرای فایل سبب میشود که کاربر تصور کند که این ابزار نام آشنا بر روی دستگاه او اجرا شده و به فایل دوم که پشت صحنه به رمزگذاری فایلهای کاربر میپردازد توجه نکند. بخصوص آنکه موردی از بهرهجویی امنیتی گردانندگان BlackHeart از این ابزار گزارش نشده است.
در نمونه ای دیگر، مهاجمان با روشی مشابه بجای باجافزار از یک ابزار جاسوی ثبت کننده کلید Keylogger استفاده کردهاند.
⛔️به گزارش آزمایشگاه امنیت اطلاعات دکتروب، محققان از کشف نسخه جدیدی از باجافزار SynAck خبر دادهاند که از روش پیشرفته Process Doppelgänging برای عبور از سد محصولات ضدویروس استفاده میکند. این محققان معتقدند SynAck، نخستین باجافزاری است که از این تکنیک بهره میگیرد.
🔸 نمونههایی از آلودگی به نسخه جدید SynAck بر روی دستگاههایی در ایران، آمریکا، کویت و آلمان گزارش شده است. دامنه محدود اهداف گردانندگان این باجافزار را میتوان نشانهای از هدفمند بودن انتشار آن دانست.
www.drweb-sec.ir
🔸 روش Process Doppelgänging در دسامبر سال گذشته میلادی و در جریان کنفرانس Black Hat Europe در لندن توسط یکی از کارشناسان شرکت enSilo معرفی شد. در این روش، مهاجم، با بهرهجویی از بخش موسوم به – Transactional NTFS به اختصار – TxF کد مخرب خود را در قالب یک پروسه مجاز اجرا کرده و عملاً با این کار ضدویروس و ابزارهای امنیتی رصد کننده را دور میزند.
@drweb_sec
🔸 نخستین نسخه از باجافزار SynAck در اواسط سال گذشته شناسایی شد. اتصال از راه دور از طریق پودمان – Remote Desktop به اختصار– RDP به دستگاههای با رمزعبور ضعیف و اجرای فایل مخرب باجافزار، اصلیترین روش انتشار این نسخه از SynAck بود.
🔸 در نسخههای بعدی این باجافزار، قابلیتهای موسوم به ضدتحلیل و مبهمسازی مختلفی به آن افزوده شدهاند که استفاده از تکنیک Process Doppelgänging یکی از قابل توجهترین آنها محسوب میشود.
باجافزار SynAck فایلهای کاربر را با الگوریتم AES-256-ECB رمزگذاری میکند. مبلغ اخاذی شده توسط آخرین نسخه از این باجافزار نیز 3 هزار دلار اعلام شده است.
🔸 نمونههایی از آلودگی به نسخه جدید SynAck بر روی دستگاههایی در ایران، آمریکا، کویت و آلمان گزارش شده است. دامنه محدود اهداف گردانندگان این باجافزار را میتوان نشانهای از هدفمند بودن انتشار آن دانست.
www.drweb-sec.ir
🔸 روش Process Doppelgänging در دسامبر سال گذشته میلادی و در جریان کنفرانس Black Hat Europe در لندن توسط یکی از کارشناسان شرکت enSilo معرفی شد. در این روش، مهاجم، با بهرهجویی از بخش موسوم به – Transactional NTFS به اختصار – TxF کد مخرب خود را در قالب یک پروسه مجاز اجرا کرده و عملاً با این کار ضدویروس و ابزارهای امنیتی رصد کننده را دور میزند.
@drweb_sec
🔸 نخستین نسخه از باجافزار SynAck در اواسط سال گذشته شناسایی شد. اتصال از راه دور از طریق پودمان – Remote Desktop به اختصار– RDP به دستگاههای با رمزعبور ضعیف و اجرای فایل مخرب باجافزار، اصلیترین روش انتشار این نسخه از SynAck بود.
🔸 در نسخههای بعدی این باجافزار، قابلیتهای موسوم به ضدتحلیل و مبهمسازی مختلفی به آن افزوده شدهاند که استفاده از تکنیک Process Doppelgänging یکی از قابل توجهترین آنها محسوب میشود.
باجافزار SynAck فایلهای کاربر را با الگوریتم AES-256-ECB رمزگذاری میکند. مبلغ اخاذی شده توسط آخرین نسخه از این باجافزار نیز 3 هزار دلار اعلام شده است.
🔸 به گزارش آزمایشگاه امنیت اطلاعات دکتروب ، سهشنبه، 18 اردیبهشت ماه ، شرکت Adobe مجموعه اصلاحیههای امنیتی ماهانه خود را برای ماه میلادی می منتشر کرد.
این اصلاحیهها، در مجموع، پنج آسیبپذیری را در محصولات زیر ترمیم میکنند:
Flash Player
Creative Cloud Desktop
Connect
اصلاحیه مربوط به Adobe Flash Player، یک آسیبپذیری با درجه اهمیت “حیاتی” Critical را در این نرمافزار پراستفاده ترمیم میکند. مهاجم با بهرهجویی از این ضعف امنیتی مذکور قادر به اجرای از راه دور کد بر روی دستگاه قربانی خواهد بود.
@drweb_sec
با نصب اصلاحیه ماه می برای Adobe Flash Player، نسخه این نرمافزار به 29.0.0.171 ارتقاء مییابد.
✅ یادآوری می شود سوءاستفاده نفوذگران از آسیبپذیریهای Flash Player بهخصوص در حملات مبتنی بر وب و “دانلودهای سر راهی” Drive-by Download یکی از روشهای رایج آلوده کردن دستگاهها محسوب میشود و به همین خاطر نصب اصلاحیههای این نرمافزارها دارای اهمیت بسزائی است.
البته خوانندگان اطلاع دارند که امکان بهروزرسانی خودکار نرمافزارهای Adobe با نشانیهای IP ایرانی وجود نداشته و کاربران و مدیران شبکه باید با استفاده از روشها و ابزارهای دیگر اقدام به این کار کنند.
این اصلاحیهها، در مجموع، پنج آسیبپذیری را در محصولات زیر ترمیم میکنند:
Flash Player
Creative Cloud Desktop
Connect
اصلاحیه مربوط به Adobe Flash Player، یک آسیبپذیری با درجه اهمیت “حیاتی” Critical را در این نرمافزار پراستفاده ترمیم میکند. مهاجم با بهرهجویی از این ضعف امنیتی مذکور قادر به اجرای از راه دور کد بر روی دستگاه قربانی خواهد بود.
@drweb_sec
با نصب اصلاحیه ماه می برای Adobe Flash Player، نسخه این نرمافزار به 29.0.0.171 ارتقاء مییابد.
✅ یادآوری می شود سوءاستفاده نفوذگران از آسیبپذیریهای Flash Player بهخصوص در حملات مبتنی بر وب و “دانلودهای سر راهی” Drive-by Download یکی از روشهای رایج آلوده کردن دستگاهها محسوب میشود و به همین خاطر نصب اصلاحیههای این نرمافزارها دارای اهمیت بسزائی است.
البته خوانندگان اطلاع دارند که امکان بهروزرسانی خودکار نرمافزارهای Adobe با نشانیهای IP ایرانی وجود نداشته و کاربران و مدیران شبکه باید با استفاده از روشها و ابزارهای دیگر اقدام به این کار کنند.
⛔️ تعداد زیادی از شرکت های بزرگ در جهان هنوز از نرمافزارهایی که میزان آسیبپذیری زیادی در مقابل حملات هکری دارند، استفاده میکنند.
بالغ بر ۱۰ هزار شرکت و سازمان در جهان هنوز از نرم افزار آسیب پذیری استفاده می کنند که موجب افشای اطلاعات میلیون ها نفر از مشتریان شرکت ها شده است.
@drweb_sec
🔸 به گزارش آزمایشگاه امنیت اطلاعات دکتروب ، متخصصان فناوری و اطلاعات در یک شرکت فعال در حوزه امنیت سایبری مستقر در مری لند به تازگی با انتشار گزارشی اعلام کرده اند که ۱۰ هزار و ۸۰۱ سازمان و شرکت در جهان هم اکنون از نرم افزار آلوده ای استفاده می کنند ، که آسیب پذیری موجود در آن به هکرها و مجرمان سایبری این اجازه را می دهد تا از راه دور به تمامی اطلاعات موردنظر خود دست یابند.
www.drweb-sec.ir
🔸 شرکت اکوئیفاکس مستقر در ایالات متحده آمریکا بعنوان یکی از بزرگترین شرکت های مالی در جهان که سال گذشته با رسوایی و چالش بزرگی در زمینه امنیت سایبری مواجه شد، با استفاده از یک نرم افزار منبع باز و رایگان به نام Apache Struts ، اطلاعات شخصی و مالی بیش از ۱۴۸ میلیون نفر از مشتریان و کاربران خود را به ورطه افشا و نابودی کشاند.
ضعف های امنیتی موجود در نرم افزار و سخت افزارهای بکار رفته توسط شرکت های مختلف، اخیرا جنجال های بسیاری به پا کرده و به شدت مبحث امنیت اطلاعات کاربران را زیر سوال برده است.
@drweb_sec
🔸 اما تازهترین آمار و گزارشهای منتشر شده نشان میدهد که تعداد زیادی از شرکت های بزرگ در جهان هنوز از این نرم افزار یا موارد مشابه استفاده میکنند بنابراین خطر افشای اطلاعات مالی و خصوصی مشتریان و کاربران در تمامی نقاط جهان هنوز وجود دارد.
www.drweb-sec.ir
نرم افزار Apache به منظور درگاه پرداخت های آنلاین و نقل و انتقالات مالی استفاده می شود. بر اساس گزارش زد دی نت، بالغ بر نیمی از این شرکت ها هنوز از نسخه آسیب پذیر نرم افزار مذکور استفاده می کنند.
بالغ بر ۱۰ هزار شرکت و سازمان در جهان هنوز از نرم افزار آسیب پذیری استفاده می کنند که موجب افشای اطلاعات میلیون ها نفر از مشتریان شرکت ها شده است.
@drweb_sec
🔸 به گزارش آزمایشگاه امنیت اطلاعات دکتروب ، متخصصان فناوری و اطلاعات در یک شرکت فعال در حوزه امنیت سایبری مستقر در مری لند به تازگی با انتشار گزارشی اعلام کرده اند که ۱۰ هزار و ۸۰۱ سازمان و شرکت در جهان هم اکنون از نرم افزار آلوده ای استفاده می کنند ، که آسیب پذیری موجود در آن به هکرها و مجرمان سایبری این اجازه را می دهد تا از راه دور به تمامی اطلاعات موردنظر خود دست یابند.
www.drweb-sec.ir
🔸 شرکت اکوئیفاکس مستقر در ایالات متحده آمریکا بعنوان یکی از بزرگترین شرکت های مالی در جهان که سال گذشته با رسوایی و چالش بزرگی در زمینه امنیت سایبری مواجه شد، با استفاده از یک نرم افزار منبع باز و رایگان به نام Apache Struts ، اطلاعات شخصی و مالی بیش از ۱۴۸ میلیون نفر از مشتریان و کاربران خود را به ورطه افشا و نابودی کشاند.
ضعف های امنیتی موجود در نرم افزار و سخت افزارهای بکار رفته توسط شرکت های مختلف، اخیرا جنجال های بسیاری به پا کرده و به شدت مبحث امنیت اطلاعات کاربران را زیر سوال برده است.
@drweb_sec
🔸 اما تازهترین آمار و گزارشهای منتشر شده نشان میدهد که تعداد زیادی از شرکت های بزرگ در جهان هنوز از این نرم افزار یا موارد مشابه استفاده میکنند بنابراین خطر افشای اطلاعات مالی و خصوصی مشتریان و کاربران در تمامی نقاط جهان هنوز وجود دارد.
www.drweb-sec.ir
نرم افزار Apache به منظور درگاه پرداخت های آنلاین و نقل و انتقالات مالی استفاده می شود. بر اساس گزارش زد دی نت، بالغ بر نیمی از این شرکت ها هنوز از نسخه آسیب پذیر نرم افزار مذکور استفاده می کنند.
⛔️این بدافزارها جلوی پاکسازی را میگیرند و وبسایتهای آلوده را در معرض دید کاربر قرار میدهند.
🔸 یک شرکت امنیتی از شناسایی تعدادی بدافزار جدید و خطرناک خبر داد که تداوم حضور آنها در گوگل پلی کاربران را به طور جدی تهدید می کند.
بدافزارهای یادشده قبلا هم در گوگل پلی وجود داشته و حذف شده بودند، اما حالا با اسامی جدید به این فروشگاه آنلاین بازگشته اند.
www.drweb-sec.ir
🔸 به گزارش این شرکت امنیتی این بدافزارها در برنامه های موبایلی مختلفی مخفی شده اند که برخی از آنها هم دارای محبوبیت هستند و همین مساله می تواند تعداد افرادی که به علت نصب برنامه های مذکور دچار مشکل می شوند را افزایش دهد.
@drweb_sec
کارشناسان می گویند این بدافزارها از خانواده بدافزارهایی موسوم بهAndroid.Reputation.1 هستند که اولین بار در سال ۲۰۱۴ از راه رسیدند.
🔸 این بدافزارها بعد از مدتی مخفی کاری فعالیت مخرب خود را آغاز کرده و ابتدا جلوی پاکسازی خود را می گیرند و سپس وب سایت های آلوده ای را به طور تصادفی در معرض دید کاربران قرار می دهند.
www.drweb-sec.ir
هدف اصلی بدافزار یادشده کسب درآمد از کاربران پس از کلیک آنها بر روی صفحات این وب سایتهاست.
بررسی ها نشان می دهد کدهای نگارش این بدافزار در مقایسه با سال ۲۰۱۴ تغییر چندانی نکرده و برنامه های ضدویروس عادی هم قادر به شناسایی و حذف کردن آن هستند.
🔸 یک شرکت امنیتی از شناسایی تعدادی بدافزار جدید و خطرناک خبر داد که تداوم حضور آنها در گوگل پلی کاربران را به طور جدی تهدید می کند.
بدافزارهای یادشده قبلا هم در گوگل پلی وجود داشته و حذف شده بودند، اما حالا با اسامی جدید به این فروشگاه آنلاین بازگشته اند.
www.drweb-sec.ir
🔸 به گزارش این شرکت امنیتی این بدافزارها در برنامه های موبایلی مختلفی مخفی شده اند که برخی از آنها هم دارای محبوبیت هستند و همین مساله می تواند تعداد افرادی که به علت نصب برنامه های مذکور دچار مشکل می شوند را افزایش دهد.
@drweb_sec
کارشناسان می گویند این بدافزارها از خانواده بدافزارهایی موسوم بهAndroid.Reputation.1 هستند که اولین بار در سال ۲۰۱۴ از راه رسیدند.
🔸 این بدافزارها بعد از مدتی مخفی کاری فعالیت مخرب خود را آغاز کرده و ابتدا جلوی پاکسازی خود را می گیرند و سپس وب سایت های آلوده ای را به طور تصادفی در معرض دید کاربران قرار می دهند.
www.drweb-sec.ir
هدف اصلی بدافزار یادشده کسب درآمد از کاربران پس از کلیک آنها بر روی صفحات این وب سایتهاست.
بررسی ها نشان می دهد کدهای نگارش این بدافزار در مقایسه با سال ۲۰۱۴ تغییر چندانی نکرده و برنامه های ضدویروس عادی هم قادر به شناسایی و حذف کردن آن هستند.
⛔️هشدار در خصوص خطرفعال بودن TELNET و قابل دسترس بودن آن از طریق اینترنت
✳️امنیت را با دکتر وب تجربه کنید✳️
@drweb_sec
✳️امنیت را با دکتر وب تجربه کنید✳️
@drweb_sec
🔸یکی از پروتکل های قدیمی و منسوخ شبکه Telnet است که برای ارائه یک ارتباط دوطرفه متنی با استفاده از ترمینالهای مجازی طراحی شده است (به جای استفاده از رابط کنسول).
بهطور پیش فرض، ارتباط بر بستر IP و روی پورت شماره 23 پروتکل TCP برقرار میگردد. ابزارهای متنوعی در سیستم عاملهای مختلف برای برقراری این نوع ارتباط طراحی و ارائه شدهاند.
www.drweb-sec.ir
🔸 به دلیل قدیمی بودن، این پروتکل ذاتاً دارای نقاط ضعف امنیتی جدی میباشد. عدم استفاده از روشهای رمزنگاری، بزرگترین نقطه ضعف امنیتی این پروتکل است. از اینرو نبایستی از آن برای دسترسی به سیستمهای راه دور استفاده نمود.
@drweb_sec
🔸 مهمترین نقاط ضعف این پروتکل عبارتند از:
• شنود: به دلیل عدم رمز نمودن اطلاعات تبادل شده، به راحتی زمینه شنود و استخراج اطلاعات مبادله شده همچون کلمات عبور فراهم است. از اینرو استفاده از این پروتکل بهجز در محیطهای آزمایشگاهی ایزوله توصیه نمیگردد.
• آسیبپذیری نسبت به حملات BRUTE FORCE و دیکشنری برای یافتن کلمه عبور
• آسیبپذیری نسبت به حمله منع دسترسی DOS به راحتی میتوان با ارسال حجم زیادی درخواست، مانع از اتصال کاربر اصلی به ماشین سرویسدهنده شد.
• امکان استخراج اطلاعات: اطلاعات نمایش داده شده در بنر میتواند منجر به افشای اطلاعاتی درخصوص سختافزار و نرمافزار گردد. این امر میتواند روند سوءاستفاه از آسیبپذیریهای موجود را تسریع نماید.
www.drweb-sec.ir
🔸 ماشینهایی که سرویس Telnet بر روی آنها فعال بوده و از طریق شبکه اینترنت قابل دسترسی هستند، بسیار مورد توجه نفوذگران بوده و به راحتی قابل تسخیر هستند. پس از تسخیر، ماشین قربانی میتواند در سناریوهای حمله مختلف همچون DDOS و غیره مورد استفاده قرار گیرد.
@drweb_sec
✅ بررسیهای انجام گرفته توسط مرکز ماهر نشان میدهد که سرویس Telnet بر روی تعداد زیادی از آدرسهای IP قابل دسترس از طریق اینترنت آن مجموعه فعال است. اکیداً توصیه میگردد که راهبران شبکه مطمئن شوند که بر روی هیچ یک از آدرسهای Valid IP تحت کنترل آنها، سرویس Telnet فعال نمیباشد.
درصورت لزوم استفاده از ارتباط راه دور متنی، بایستی از سرویس SSH استفاده نمایند که بهطور امن پیکربندی شده است.
بهطور پیش فرض، ارتباط بر بستر IP و روی پورت شماره 23 پروتکل TCP برقرار میگردد. ابزارهای متنوعی در سیستم عاملهای مختلف برای برقراری این نوع ارتباط طراحی و ارائه شدهاند.
www.drweb-sec.ir
🔸 به دلیل قدیمی بودن، این پروتکل ذاتاً دارای نقاط ضعف امنیتی جدی میباشد. عدم استفاده از روشهای رمزنگاری، بزرگترین نقطه ضعف امنیتی این پروتکل است. از اینرو نبایستی از آن برای دسترسی به سیستمهای راه دور استفاده نمود.
@drweb_sec
🔸 مهمترین نقاط ضعف این پروتکل عبارتند از:
• شنود: به دلیل عدم رمز نمودن اطلاعات تبادل شده، به راحتی زمینه شنود و استخراج اطلاعات مبادله شده همچون کلمات عبور فراهم است. از اینرو استفاده از این پروتکل بهجز در محیطهای آزمایشگاهی ایزوله توصیه نمیگردد.
• آسیبپذیری نسبت به حملات BRUTE FORCE و دیکشنری برای یافتن کلمه عبور
• آسیبپذیری نسبت به حمله منع دسترسی DOS به راحتی میتوان با ارسال حجم زیادی درخواست، مانع از اتصال کاربر اصلی به ماشین سرویسدهنده شد.
• امکان استخراج اطلاعات: اطلاعات نمایش داده شده در بنر میتواند منجر به افشای اطلاعاتی درخصوص سختافزار و نرمافزار گردد. این امر میتواند روند سوءاستفاه از آسیبپذیریهای موجود را تسریع نماید.
www.drweb-sec.ir
🔸 ماشینهایی که سرویس Telnet بر روی آنها فعال بوده و از طریق شبکه اینترنت قابل دسترسی هستند، بسیار مورد توجه نفوذگران بوده و به راحتی قابل تسخیر هستند. پس از تسخیر، ماشین قربانی میتواند در سناریوهای حمله مختلف همچون DDOS و غیره مورد استفاده قرار گیرد.
@drweb_sec
✅ بررسیهای انجام گرفته توسط مرکز ماهر نشان میدهد که سرویس Telnet بر روی تعداد زیادی از آدرسهای IP قابل دسترس از طریق اینترنت آن مجموعه فعال است. اکیداً توصیه میگردد که راهبران شبکه مطمئن شوند که بر روی هیچ یک از آدرسهای Valid IP تحت کنترل آنها، سرویس Telnet فعال نمیباشد.
درصورت لزوم استفاده از ارتباط راه دور متنی، بایستی از سرویس SSH استفاده نمایند که بهطور امن پیکربندی شده است.