نحوه استفاده از استراتژی دفاع در عمق برای به حداقل رساندن حملات باج افزار
این مقاله را از اینجا بخوانید
#Defense_in_depth
#cybersecurityawareness
#cybersecurity
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti
عملیات کلاغ
سه مامور سابق اطلاعاتی آمریکا اقرار کردهاند که برای امارات متحده عربی جاسوسی سایبری کرده و قوانین ضدهک و فروش فناوری نظامی حساس آمریکا را نقض کرده اند.
آنها با پذیرفتن ارتکاب جرم، از تعقیب قضایی بیشتر مصون شده اند.
ماموران اطلاعاتی، مارک بایر، رایان آدامز و دنیل گریک بخشی از یگان ویژهای به نام "عملیات کلاغ" بودند که به امارات متحده کمک میکرد از دشمنانش جاسوسی کند.
رویترز پیشتر گزارش داده بود که "عملیات کلاغ" در راستای منافع پادشاهی امارات متحده عربی، اکانتها و پلتفرمهای فعالان حقوق بشر، ژورنالیستها و دولتهای رقیب را هک میکند.
این سه مرد اقرار کردند که شبکه سایبری آمریکا را هک کرده و ابزارهای جاسوسی سایبری پیچیده را بدون اجازه دولت ایالات متحده صادر کرده اند.
یکی از این ابزارهای پیچیده جاسوسی، تکنولوژی هک "کلیک صفر" است که میتواند هر دستگاهی را صرفا با ارسال لینک و بدون آنکه کاربر روی لینک کلیک کند، در معرض خطر امنیتی قرار دهد.
سفارت امارات متحده عربی هنوز در این باره اظهار نظری نکرده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
بسیار مهم !
آیا میدانید یک بیت اطلاعات ممکن است خود به خود تغییر کند !
به ازای هر 256 مگابایت رم 1 بیت ممکن است در طول یک ماه تغییر کند بدون اینکه کسی متوجه شود !
و در ارتفاعات بالا (مثل هواپیما) احتمال رخداد این اتفاق می تواند تا 30 برابر افزایش یابد.
علت این پدیده برخورد پرتوهای کیهانی و تغییر بار التریکی در حافظه ها است.
در سال 2008 این پدیده در سیستم تشخیص ارتفاع یک هواپیمای ایرباس اختلال ایجاد کرد و باعث تغییر ارتفاع ناگهانی ارتفاع و برخورد سر مسافران به سقف هواپیما شد.
در سال 2003 انتخابات بلژیک که همیشه بدون مشکل به صورت کامپیوتری انجام میشد دچار اختلال شد و یکی از کاندیداها دقیقا 4096 رای اضافه تر از آرای ماخوذه رای آورد علت آن تغییر بیت 13 هم از 0 به 1 بود.
این پرتوها حتی توسط انسان قابل دیدن هستند. اگر چشمان خود را ببندید و این پرتوها از چشم شما عبور کنند ممکن است مغز شما آنرا به شکل یک فلش نور کوتاه در یکی از چشمان ببیند. این پدیده برای فضا نوردان در فضا به متداولا رخ می دهد.
این پدیده در ویندوز باعث ایجاد بلواسکرین میشود.
این پرتو ها حتی می توانند روی ژن ها نیز تاثیر بگذارند.
راه حلی برای جلوگیری از این پدیده در حال حاضر وجود ندارد اما راه هایی برای جبران یا کاهش احتمال رخداد آن وجود دارد. مثلا در فضا پیما ها یا مریخ پیما ها از چند کامپیوتر که کاملا با هم سینک شده اند استفاده می شود.
منبع:
https://youtu.be/AaZ_RSt0KP8
https://www.linkedin.com/posts/activity-6841229241032560640-81pM
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
💠 آسیبپذیریهای چندگانه اجرای کد دلخواه در مرورگر کروم
طبق آخرین گزارشات CIS Security آسیبپذیریهای چندگانه جدید در گوگل کروم کشف شده است که شدیدترین آنها میتوانند باعث اجرای کد دلخواه بر روی سیستم هدف شوند. سوءاستفاده موفقیتآمیز از شدیدترین این آسیبپذیریها میتواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند.
گوگل گفته است که در حال حاضر بهرهبرداری از آسیبپذیریها بصورت فعال انجام نشده است و نسخه آسیبپذیر این برنامه مربوط به نسخههای قبل از 93.0.4577.63 میشود.
🟩 به کاربران توصیه میشود که مرورگرهای خود را به آخرین نسخه موجود بهروزرسانی کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
⚠️ هشدار❗️
🔴 آسیبپذیری وصلهنشده در Fortinet امکان تسخیر فایروال را فراهم میکند!
🔷 این آسیبپذیری که دارای شدت بالا( 8.7 از 10) میباشد، نقص OS command-injection در فایروال وباپلیکیشن (WAF) موسوم به FortiWeb است که در حال حاضر وصله نشده و احتمالاً آخرماه وصلهی امنیتی برای آن منتشر میشود.
🔶 این نقص امکان ارتقاء سطح دسترسی و در نهایت تسخیر دستگاه را برای مهاجم فراهم میکند.
❌ آسیبپذیری مذکور در رابط مدیریت نسخههای 6.3.11 و پیش از آن وجود دارد.
✅ طبق برنامهریزی Fortinet، این نقص در پایان ماه آگوست در FortiWeb نسخه 6.4.1 برطرف خواهد شد. اما تا زمان انتشار نسخهی آپدیتشده، توصیه میشود رابط مدیریت FortiWeb را برای شبکههای غیرقابلاعتماد که میتواند اینترنت را هم شامل شود غیرفعال کنید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
✅ روش بررسی و غیرفعالسازی سرویس Print Spooler 👆
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
⚠️ هشدار مایکروسافت در خصوص آسیبپذیری روزصفر وصلهنشدهی دیگری در Windows Print Spooler❗️
🔷 این آسیبپذیری با شناسه CVE-2021-36958 و شدت بالا (7.3 از 10) در Windows Print Spooler وجود دارد و به یک مهاجم محلی امکان دستیابی به سطح دسترسی SYSTEM در سیستم آسیبپذیر را میدهد.
🔶 مهاجم با دستیابی به این سطح دسترسی میتواند کد دلخواه خود را با دسترسی SYSTEM اجرا نماید، برنامه نصب کند، دادهها را مشاهده، حذف و تغییر دهد یا اینکه حساب کاربری جدیدی با دسترسی کامل ایجاد کند.
✅ اقدامات کاهشی:
▪️توقف و غیرفعالسازی سرویس Print Spooler.
▪️مسدود کردن ترافیک خروجی SMB در فایروال، جهت جلوگیری از اتصال به پرینترهای مخرب اشتراکگذاریشده.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
هکرهای APT31 برای اولین بار به شرکت های روسی حمله کردند
آثار حملات گروه هکر APT31 ، که تعدادی از کارشناسان با سرویس های اطلاعاتی چین ارتباط دارند ، در روسیه کشف شد
نمایندگان شرکت Positive Technologies گزارش دادند که گروه هکر APT31 که به دلیل حملات خود به ساختارهای دولتی کشورهای مختلف شناخته می شود ، برای اولین بار به شرکت های روسی حمله کرد. تعدادی از متخصصان گروه APT31 را که با نام های طوفان پاندا و زیرکونیوم نیز ظاهر می شود ، با خدمات ویژه چینی مرتبط می دانند.
به گفته کارشناسان کتاس ، از بهار سال 2021 ، APT31 شروع به گسترش جغرافیای حملات و استفاده از روش جدیدی برای هک و آلوده سازی ابزارها کرده است.
به گفته این کانال ، هکرها ایمیل های فیشینگ حاوی پیوندی به یک دامنه جعلی-inst.rsnet-devel [.] com ارسال می کنند. این به طور کامل دامنه برخی از سازمان های دولتی را تقلید می کند. هنگامی که پیوند باز می شود ، یک dropper (تروجان دسترسی از راه دور) وارد رایانه کاربر می شود ، که یک کتابخانه مخرب روی دستگاه آلوده ایجاد می کند و یک برنامه ویژه را نصب می کند. سپس برنامه یکی از عملکردهای کتابخانه مخرب بارگیری شده را راه اندازی می کند و مهاجم کنترل کامپیوتر را در دست می گیرد.
ترفند دیگر هکرها این بود که در برخی حملات dropper با یک امضای دیجیتالی معتبر امضا شد و بسیاری از ابزارهای امنیتی آن را به عنوان برنامه ای از سازنده معتبر تلقی کردند. کارشناسان فناوری های مثبت معتقدند که به احتمال زیاد امضا به سرقت رفته است و نشان می دهد که گروه به خوبی آماده شده است.
شایان ذکر است که فعالیت APT31 از سال 2010 ثبت شده است. هکرها عمدتا به بخش عمومی حمله می کنند و اطلاعات محرمانه را جمع آوری می کنند. به گفته مایکروسافت ، از مارس تا سپتامبر 2020 ، حدود 1 هزار حمله این گروه به کاربران مربوط به انتخابات ریاست جمهوری در ایالات متحده و نامزدهای این پست ثبت شد. حملات هکر APT31 در نروژ ، فنلاند ، آلمان ، مغولستان ، کانادا و بلاروس نیز گزارش شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
✅ ۲۷ دفتر دادستانی در آمریکا هک شدهاند
🔹وزارت دادگستری آمریکا اعلام کرد در حمله سایبری اخیر علیه نهادها و وزارتخانههای مختلف این کشور، ایمیلهای مربوط به بیست و هفت دفتر دادستانی در پانزده ایالت هک شدهاند.
🔹این وزارتخانه اعلام کرد از هفتم ما می تا بیست و هفتم دسامبر سال گذشته میلادی (اردیبهشت تا دی ماه سال ۱۳۹۹) دادههایی شامل «تمامی ایمیلهای ارسالشده، دریافت شده و ذخیره شده و فایلهای پیوست آنها» در دسترس هکرها قرار گرفته است./فارس
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
⚠️ کشف آسیبپذیری بحرانی در Microsoft Hyper-V❗️
🔷 این آسیبپذیری با شناسه CVE-2021-28476 و شدت 9.9 از 10، امکان اجرای کد دلخواه را برای مهاجم فراهم آورده و میتواند منجر به حمله DoS شود.
🔶 مهاجم با ارسال یک پکت ساختگی از یک ماشین مجازی guest به هاست Hyper-V، میتواند از این آسیبپذیری بهرهبرداری نماید.
❌ این آسیبپذیری windows 10 و windows sever 2012 تا 2019 را تحت تأثیر قرار میدهد.
✅ جهت رفع این آسیبپذیری توصیه میشود بهروزرسانیهای منتشر شده در لینک زیر هر چه سریعتر اعمال گردند.
🌐 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28476
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
قدرت بالای سایبری ایران لرزه انداز در دل دشمنان
یک سند پنج گزارشی که احتمال حمله سایبری علیه اهداف در کشورهای غربی را بررسی می کند، گفته می شود در ایران تهیه شده است، در اختیار اسکای نیوز قرار گرفته است.
به گفته اسکای نیوز این اسناد توصیف می کند که چگونه می توان از یک حمله سایبری برای غرق شدن یک کشتی باری یا منفجر کردن پمپ سوخت در یک پمپ بنزین استفاده کرد.
همچنین این اسناد شامل اطلاعات مربوط به دستگاه های ارتباطی ماهواره ای مورد استفاده در صنعت حمل و نقل جهانی و همچنین سیستم های رایانه ای است که روشنایی، گرمایش و تهویه را در خانه های هوشمند در سراسر جهان کنترل می کنند.
همانطور که کانال اسکای نیوز گزارش می دهد، این اسناد نشان دهنده علاقه خاصی به مطالعه شرکت ها و فعالیت در کشورهای غربی، از جمله انگلیس، فرانسه و ایالات متحده است.
بن والاس رئیس وزارت دفاع انگلیس گفت: اسناد ایرانی از آسیب پذیری انگلیس و متحدانش در برابر حملات سایبری صحبت می کند.
والاس به اسکای نیوز گفت: اگر کاری انجام ندهیم، زیرساخت های حیاتی ملی ما، شیوه زندگی ما با تهدید روبرو خواهند شد.
منیع اصلی گزارش:
https://news.sky.com/story/irans-secret-cyber-files-on-how-cargo-ships-and-petrol-stations-could-be-attacked-12364871
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔻کلابهاوس هک شد: اطلاعات ٣.٨ میلیارد کاربر به بیرون درز کرد
▫️محققان امنیتی اعلام کردند که اطلاعات کامل کاربران شبکه اجتماعی کلابهاوس به سرقت رفته و در دارکنت به فروش می رسد.
▫️ در این انتشار دیتاها، احتمال داده میشود که حتی اگر شخصی هنوز یک حساب کلاب هاوس ایجاد نکرده باشد، حداقل شماره تلفن او ممکن است به خطر بیفتد.
▫️ طبق گفته برخی از محققان امنیتی در توئیتر، کل دادههای کلاب هاوس هک شده و شماره تلفن کاربران نیز برای فروش در دارکنت منتشر شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
رئیس سازمان جاسوسی انگلیس باج افزار را بزرگترین تهدید آنلاین نامید
دنیای دیجیتال پر از خطرات و مشکلات است ، اما یکی از آنها خطرناک ترین تهدید است. به گفته لیندی کامرون ، رئیس مرکز ملی امنیت سایبری انگلستان ، مراقب این امر باشید اخاذی رایانه ای ...
وظیفه مرکز ملی محافظت از انگلستان در برابر تهدیدات سایبری از جمله حملات بزرگ خارجی است. با این حال ، وی در طی سخنرانی اخیر خود اظهار داشت که باج افزار سریعترین تهدید را ایجاد می کند و بالاترین تخریب را دارد:
"برای اکثریت قریب به اتفاق شهروندان و مشاغل انگلستان ، و همچنین اکثریت قریب به اتفاق زیرساخت های ملی و ارائه دهندگان خدمات دولتی ، مجرمان اینترنتی تهدید اصلی نیستند و نه ایالات [خارجی]."
▪️خطرناک و موثر
جنگ های سایبری زیرساخت های مهم ملی مانند حمل و نقل یا شبکه های برق را هدف قرار می دهد که در صورت ایجاد اختلال ، می تواند باعث ایجاد هرج و مرج در کشور مورد حمله شود. مجرمان اینترنتی انگیزه مالی دارند و به طور فزاینده ای از باج افزار برای حمله به مشاغل و افراد برای اخاذی پول استفاده می کنند.
باج افزار ها یا Ransomware سلاحی برای مجرمان اینترنتی است زیرا گسترش آن آسان است و بسیار کارآمد عمل می کند . با مسدود کردن دسترسی به داده های حساس ، هکرها می دانند که شرکت ها و اشخاص آسیب دیده را با گزینه های دشواری روبرو کنند - اینکه آیا باج را پرداخت می کنند یا خطر از دست دادن پرونده های خود را برای همیشه دارند.
اکنون مجرمان سایبری با دقت حملات خود را برای بیشترین تأثیر هدف قرار می دهند. شرکتهای بزرگ همچنان محبوب ترین اهداف هستند زیرا آنها قادر به پرداخت باج هستند میلیون ها دلار آمریکا ... با این حال ، مشاغل کوچک و افراد نیز در معرض خطر قابل توجهی قرار دارند - هکرها به سادگی خواستار باج کمتر و مقرون به صرفه تری هستند که احتمال پرداخت آنها بیشتر است.
🔸بحران بین المللی
اگرچه لیندی کامرون مستقیماً اشاره ای نکرد ، اما اصرار داشت که دولت های ملی باید نقشی فعال در کمک به مبارزه با جرایم سایبری ایفا کنند. به نظر وی ، بسیاری از حملات باج افزار از آنجا آغاز می شود جمهوری های شوروی سابق از جمله روسیه ... اگرچه رسماً از فعالیت های جنایتکارانه علیه دولت های خارجی دلسرد شده است ، اما او معتقد است که مقامات کشورهای اتحاد جماهیر شوروی سابق اغلب این مشکل را نادیده می گیرند. "مجرمان در خلا وجود ندارند. آنها اغلب توسط دولت ها حمایت می شوند ، و بنابراین بدون مصونیت عمل می كنند. "
کامرون همچنین از دولت انگلیس خواست تا تلاش های بیشتری برای تقویت امنیت اطلاعات انجام دهد. وی یک رویکرد بسیج در سطح دولت را پیشنهاد کرد که برای افزایش انعطاف پذیری سایبری و اتخاذ موضع دیپلماتیک مورد نیاز برای ایجاد روابط با کشورهایی که به گفته وی پناهندگان مجرمان سایبری هستند ، مورد نیاز است. به دنبال این درخواست "قاطع ترین اقدام عدالت کیفری برای کسانی که کیفرخواست آنهاست" بود.
در جایی که دولت ها و مرکز ملی امنیت سایبری متعهد به محافظت از کشور به عنوان یک کل هستند ، افراد همچنین می توانند برای دفاع از خود در برابر مجرمان سایبری گام بردارند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
مورد حمله باج افزار قرار گرفتید؟ این ابزارهای رمزگشایی را امتحان کنید
باج افزار یا Ransomware یک مشکل حاد برای کاربران امروزی اینترنت است و مانند آتش سوزی گسترش می یابد.
من دوستان ، آشنایان و اقوامی دارم که اطلاعات آنها رمزگذاری شده است. اکنون آنها به توصیه های من برای پشتیبان گیری منظم از اطلاعات خود توجه می کنند ، اما آرزو می کنند قبل از ظهور باج افزار به آنها گوش داده بودند.
در حالی که تنها راه برای حفظ داده های خود پس از چنین حمله ای ، بازیابی آنها از نسخه پشتیبان است ، چندین رمزگشایی وجود دارد که می توانید برای بازگرداندن پرونده های خود و جلوگیری از پرداخت باج از آنها استفاده کنید.
با این حال ، به خاطر داشته باشید که برخی از این ابزارهای رمزگشایی می توانند خیلی زود منسوخ شوند ، زیرا مجرمان اینترنتی به سرعت در حال بهبود باج افزار هستند و آسیب پذیری هایی را که اجازه رمزگشایی داده ها را دارند ، برطرف می کنند.
فقط چند نوع باج افزار قابل رمزگشایی است ، اما ارزش امتحان آن را دارد. در اینجا لیستی از رمزگشاهای موجود وجود دارد:
https://www.nomoreransom.org/decryption-tools.html
https://www.barkly.com/ransomware-recovery-decryption-tools-search
http://www.thewindowsclub.com/list-ransomware-decryptor-tools
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
سازمانهای ایرانی، هدف نوعی بدافزار با دامهایی به زبان فارسی
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
سازمانهای ایرانی در هفتههای اخیر هدف بدافزار Agent Tesla قرار گرفتهاند که در جریان آن ایمیلهای جعلی با ظاهر و محتوای قابلباور به کاربران ارسال شده است.
بهگزارش روابط عمومی مرکز مدیریت راهبردی افتا، نکته قابلتوجه در خصوص ایمیلهای فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را بر روی سایتهای معتبر قرار میدهند تا ارتباط با آن سایتها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
اصلیترین روش انتشار Agent Tesla، ایمیلهای Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشیسازی بدافزار، توزیع و بهرهبرداری از آن به روش خود خواهند بود.
در نسخههای اخیر Agent Tesla از روشهای مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکسها و در جریان تحلیلهای ایستا بهره گرفته شده است.
بدافزار Agent Tesla میتواند در بستر برخی از پروتکلها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و دادههای به سرقت رفته کاربران را این سرور ارسال کند .
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم میکند.
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امنتر بوده و بهرهگیری از آن به زیرساخت کمتری نیاز دارد.
یکی از اصلیترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامههای هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش مییابد.
از جمله برنامههایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش میکند، مرورگرها، نرمافزارهای مدیریت ایمیل و سایر نرمافزارها است.
برطبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیلهای حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاهها و سازمانهای دارای زیرساخت حیاتی تاکید میکنند که از ضدویروس قدرتمند و بهروز استفاده کنند.
آموزش و راهنمایی کاربران سازمان بهصرف نظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن فایلهای ارسالی بدافزار داشته باشد.
مسدود کردن ایمیلهای دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی بر روی تمامی دستگاهها و استفاده نکردن از هرگونه سیستمعامل ازردهخارج شده از دیگر توصیه های امنیتی مرکز افتا است.
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاهها و سازمانهای دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نمیشود.
اطلاعات فنی و امنیتی در باره بدافزار Agent Tesla، روشهای نفوذ به سیستم های سازمانها، قابلیتهای نسخههای جدید و مشخصات پروتکلهای مورد سوء استفاده این بدافزار در پایگاه اینترنتی مرکز افتا به آدرس:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۴۰۳۴/ منتشر شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
تعداد زیادی آسیب پذیری های امنیتی در سخت افزار زیمنس که در صنایع زیرساخت های حیاتی استفاده می شود ، شناسایی شده است
حفره های امنیتی مختلف در تجهیزات زیمنس ، که عمدتا در صنعت زیرساخت های حیاتی در صنایع مختلف مورد استفاده قرار می گیرند ، مورد استفاده هکرها قرار گرفته است.
این مطلب بسیار مهم را از اینجا بخوانید
#otsecurity #icssecurity #siemens #infrastructuresecurity
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti
❌ فیلترینگ در کره جنوبی❌
برخی کشورها با روش های متعدد سعی در عدم دسترسی شهروندان به سایت های غیرمجاز دارند.
❌ #کره_جنوبی یکی از این کشورها است که برای حفظ سلامت جامعه به شدت به #فیلترینگ سایت ها و مهمتر از آن حذف همیشگی سایت های کره ای اقدام می نماید.
❌در یکسال ۸۶ هزار سایت در کره فیلتر شدند که از این بین ۲۳ هزار سایت کره ای به طور کلی حذف شدند.
❌در همان سال ۵۰۰۰ کامنت از توییتر و فیس بوک به دستور مقامات کره ای پاک شدند.
❌سایت هایی که تعطیل شدند غیر از فیلم های غیر اخلاقی و قمار شامل بازی های آنلاین هم می شدند!! چرا که طبق قوانین کره بازی آنلاین بین ساعت ۱۲ تا ۶ صبح برای زیر ۱۶ سال ممنوع است. و افراد باید با کارت شناسایی رسمی در این سایت ها ثبت نام کنند و در صورت عدم رعایت قانون و آنلاین بودن افراد زیر ۱۶ سال در ساعات مذکور، سایت مربوطه فیلتر می شود‼️
🚫 علاوه بر موارد فوق تمامی گوشی هایی که به نام افراد زیر ۱۹ سال ثبت شده اند باید اپ های فیلترینگی داشته باشند که به طور خودکار اپ های غیرمجاز را در گوشی فیلتر کنند و والدین هم می توانند از طریق این اپ ها مواردی که مناسب نمی دانند را بلاک کنند.
منبع انتشار:
@kharej2025
منابع اصلی:
econ.st/2KcF1p0
bit.ly/2rzFGJx
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
⚠️ هشدار❗️
🔴 آسیبپذیری دور زدن فرایند احراز هویت در نرمافزار Cisco Enterprise NFV Infrastructure Software (NFVIS)
🔷 این آسیبپذیری با شناسه CVE-2021-34746 و شدت بحرانی (9.8 از 10) در پروتکل TACACS+ (که برای قابلیت AAA مورد استفاده قرار میگیرد) از نرمافزار NFVIS وجود دارد و به یک مهاجم احراز هویت نشده از راه دور اجازه میدهد فرایند احراز هویت را دور بزند و به عنوان administrator در دستگاه آسیبپذیر لاگین کند.
🔶 این نقص ناشی از اعتبارسنجی ناقص ورودیهای کاربر است که موجب دور زدن اسکریپت احراز هویت میشود.
❌ این آسیبپذیری، نرمافزار Cisco Enterprise NFVIS نسخه 4.5.1 را تحت تأثیر قرار میدهد (البته در صورتی که متد احراز هویت TACACS برای آن فعال و پیکربندی شده باشد).
✅ آسيبپذيری مذکور در Cisco Enterprise NFVIS نسخه 4.6.1 برطرف شده است.
توصیه میشود هر چه سریعتر جهت بهروزرسانی اقدام نمایید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔳⭕️همین یک «کلمه» را بگو و برو
او آن یک «کلمه» را نگفت و ماند! ماند برای همیشه تاریخ!! و به همه آموخت خدا، انسان و «کلمه» حرمت دارند!
برگی دیگر از ساختارشکنی در شبکه اجتماعی کلاب هاوس:
بازی شوت اور پس چیست؟ (چوز اور پس) (Choose or Pass)
این بازی مختص کلاب هاوس است و هیچ هدف خاصی ندارد و بیشتر در گروه های دختر پسری شکل میگیرد و برای کسانیکه هیچ حرف و سخنی ندارند از روی بیکاری مفرط این بازی را انجام می دهند. بازی به این صورت است که مدیر آنرا هدایت می کند و از بالا پسرها و دختر تا پایین به نوبت یک نفر را که از او خوششان می آید انتخاب می کنند. معمولا هم این اتفاق فقط از روی یک عکس کوچک اتفاق می افتد. سپس نفر انتخاب شده باید بگوید که می پذیرد یا رد می کند؟ یعنی accept یا reject . اگر فرد اکسپت شود یعنی این دو نفر الان با همند! اگر ریجکت کند آن فرد انتخاب کنند اوت می شود و مدیر او را به بخش Audience هدایت می کند و اوایل همه یک صدای veeeeeeeeeeee در می اوردند! همینطور تا انتها می روند و نکته اینجاست که اگر فردی که قبلا انتخاب شده مججدا انتخاب شود باید انتخاب کند که loyal یعنی وفادار با نفر قبلی بماند و ریجکت کند یا اینکه به نفر قبل خودش خیانت یا cheat کند و با نفر دوم برود! به این ترتیب چند سری بازی تکرار می شود و تعداد نفرات مدام کم می شود تا در مرحله آخر تعداد اندکی بمانند و همین! تمام! انتهای بازی! واقعا مسخره نبود؟!
✅ روش بررسی و غیرفعالسازی سرویس Print Spooler 👆
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔻 طرح کنگره امریکا: ارائه اینترنت آزاد و بدون فیلتر برای کوبا
▫️ کنگره امریکا طرحی را در دست دارد که براساس آن از دولت این کشور خواسته شده اینترنت آزاد و بدون فیلتر را مستقیم در دسترس مردم کوبا قرار دهد تا فیلتر و موانع دولت کوبا علیه اینترنت دور زده شود. به گزارش خبرگزاری فرانسه با انتشار این خبر نوشت که این اقدام با مخالفت شدید دولت کوبا روبه رو شد و وزیر خارجه کوبا آن را "تجاوز" توصیف کرد. دولت کوبا نظارت سختگیرانه ای بر اینترنت در این کشور دارد و محدودیت های زیادی را برای دسترسی مردم به سایت ها و برنامه های مختلف ایجاد می کند / عصرایران
پروژه OpenSky (opensky-network.org) امکان ردیابی هواپیماها را در زمان واقعی فراهم می کند. و اگر حتی ساده ترین رادیو SDR را دارید که به شما امکان می دهد فرکانس هوا را بگیرید ، خود شما می توانید به جامعه عظیمی از ناظران هوانوردی بپیوندید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
✅ #اختصاصی/ استقرار واحدهای سایبری اسرائیل در امارات برای ایجاد اختلال در خطوط هوایی و کشتیرانی
🔻یک مقام امنیتی به «نورنیوز» گفت:
🔹حدود یکماه است که واحدهای سایبری موساد با انتقال تجهیزات پیشرفته به یک امیرنشین امارات، برنامه جامعی برای ایجاد اختلال در شبکههای ارتباطی و سامانههای ناوبری دریایی و هوایی در منطقه خلیجفارس و دریای عمان آغاز کردهاند.
🔹ایجاد اختلاف میان کشورهای حوزه خلیج فارس و وارد کردن آنها به درگیری ناخواسته، اصلیترین هدف اسرائیل در این خصوص بوده است.
🔹انتقال کانون بحران از سرزمینهای اشغالی به خلیجفارس و دریای عمان و کاهش فشارهای سیاسی و امنیتی به حکام این رژیم، هدف دیگر این بحرانسازی است.
🔹درصورت لزوم اطلاعات دقیقتری از محل استقرار، تجهیزات فنی و برنامههای این تیم که در هماهنگی کامل با دستگاه اطلاعاتی امارات فعالیت میکند، اعلام خواهد شد.
🔸گفتنی است بعد از ظهر دیروز سهشنبه، چهار کشتی نفتکش به نامهای «کوئین ایماثا»، «گلدن بریلینت»، «جگ پوجا» و «ابس» به صورت همزمان اعلام کردند که هدایت شناورها از فرمان آنها خارج شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🛡 10 بدافزار مخرب در ماه ژوئن 2021
در ماه ژوئن 2021، طبق بررسی مرکز MS-ISAC شاهد بازگشت BitCoin Miner ،Mirai و Ursnif به لیست 10 بدافزار مخرب بودهایم.
این 10 بدافزار مخرب 62٪ از کل فعالیت کل بدافزارها را در ماه ژوئن 2021 تشکیل میدهند که نسبت به ماه می 2021 کاهش 13٪ دارد.
لیست این 10 بدافزار مخرب به صورت زیر است:
1. Shlayer
2. CoinMiner
3. Mirai
4. NanoCore
5. Quasar
6. ZeuS
7. Gh0st
8. BitCoin Miner
9. Ursnif
10. CryptoWall
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
صفحه اختصاصی مربی جعلی هکرها با نام Marcella Flores
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti
نوعی حمله جدید به نام PetitPotam کشف شده است که به کمک آن میتوان یک دامین ویندوز را تسخیر کرد. علت این نقص، وجود یک آسیبپذیری در پروتکلی به نام EFSRPC است.
🔻مایکروسافت توصیههایی برای جلوگیری از این حمله ارائه داده است، از جمله اینکه در صورت امکان، احراز هویت NTLM را در دامین ویندوز غیرفعال کنید.
🔻با این وجود هنوز مایکروسافت برای آسیبپذیری موجود در پروتکل EFSRPC وصلهای ارائه نداده است.
✅ توصیهنامه مایکروسافت:
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
انالله و اناالیه راجعون
مطلع شدم که استاد عزیزمان، جناب آقای دکتر مسعود اخوان فرد، از چهرههای بارز حقوق ارتباطات و فناوری اطلاعات که سالهای مدیدی است این بخش از وجود ایشان به عنوان عضو صاحبنظر در کمیسیون تنظیم مقررات ارتباطات بهره میبرد، بر اثر ابتلا به بیماری کرونا، به رحمت ایزدی پیوستند.
دکتر اخوان فرد با سابقه اجرایی معاونت سازمان انرژی اتمی و همچنین سابقه درخشان علمی و مدیریتی در دانشگاه آزاد اسلامی، منشا خدمات موثری به کشور بودند.
ضایعه فقدان این استاد عزیز را به خانوادهی محترم وی و همچنین خانواده بزرگ ارتباطات و فناوری اطلاعات کشور، تسلیت عرض میکنم.
روحش شاد.
آسیب پذیری در Cloudflare CDN تقریباً 13٪ از سایتهای موجود در اینترنت را در معرض خطر هک قرار می دهد
این مسئله ، شبکه تحویل محتوا را که برای تسریع در تحویل کتابخانه های JavaScript طراحی شده ، تحت تأثیر قرار می دهد.
شرکت Cloudflare ، که خدمات CDN را ارائه می دهد ، یک آسیب پذیری خطرناک را برطرف کرده است که احتمالا حدود 12.7٪ از همه سایتهای اینترنت را به خطر بیندازد.
طبق گفته یک محقق امنیت اطلاعات معروف به RyotaK ، این مشکل که CDNJS را تحت تأثیر قرار می دهد ، یک شبکه تحویل محتوا است که برای تسریع در تحویل کتابخانه های جاوا اسکریپت طراحی شده است و خود آسیب پذیری در امکان جایگزینی کتابخانه های جاوا اسکریپت ارائه شده توسط سایت ها و اجرای کد دلخواه در سرورهای CDN است. .
محقق هنگام تجزیه و تحلیل cdnjs.com متوجه شد که کاربران می توانند کتابخانه هایی را درخواست کنند که هنوز در CDNJS نیستند. علاوه بر این ، مشخص شد که cdnjs / bot-ansible و cdnjs / tools حاوی اسکریپت هایی هستند که به صورت خودکار به روز می شوند تا اطمینان حاصل شود که به روزرسانی کتابخانه به طور خودکار بارگیری می شود.
همچنین CDNJS بسته ها را از Git یا مخزن NPM بارگیری می کند و به هر سایتی اجازه می دهد تا از شبکه تحویل محتوا Cloudflare برای تسریع در بارگزاری کتابخانه JavaScript استفاده کند. همزمان ، برای باز کردن بسته های NPM در بایگانی های tgz ، از ماژول بایگانی / tar در زبان Go استفاده می شود که لیستی از فایلها را بدون عادی سازی مسیر تولید می کند.
به عنوان بخشی از آزمایش ، RyotaK کتابخانه آزمایشی به نام hey-sven را در CDNJS منتشر کرد و نسخه های جدید hey-sven را به مخزن NPM اضافه کرد. در یکی از نسخه ها ، محقق اسکریپت های مخفی Bash را در بایگانی ZIP / TGZ تزریق کرده است که از آسیب پذیری عبور دایرکتوری (Path Traversal) سو explo استفاده می کنند.
علاوه بر این ، EA توانست GITHUB_REPO_API_KEY (یک کلید API که مجوز نوشتن را می دهد) و WORKERS_KV_API_TOKEN (می تواند برای اصلاح کتابخانه ها در حافظه نهان Cloudflare Workers استفاده شود) را به اسکریپت های صادر شده توسط CDN (cdnjs.cloudflare.com) تزریق کند.
این محقق توضیح داد: "با ترکیب این مجوزها ، می توان قسمت اصلی CDNJS ، مانند داده های مبدا CDNJS ، حافظه پنهان KV و حتی وب سایت CDNJS را اصلاح کرد."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
ترمیم آسیبپذیری روز- صفر توسط SolarWinds
شرکت سولارویندز (SolarWinds, LLC) با اعلام وجود یک آسیبپذیری امنیتی در Serv-U از مشتریان خود خواسته تا دراسرعوقت، نسبت به نصب بهروزرسانی مربوطه اقدام کنند.
به گزارش مرکز مدیریت راهبردی افتا، این آسیبپذیری که به آن شناسه CVE-۲۰۲۱-۳۵۲۱۱ تخصیصدادهشده ضعفی از نوع "اجرای کد از راه دور" (Remote Code Execution) گزارش شده است. Serv-U Managed File Transfer و Serv-U Secure FTP از CVE-۲۰۲۱-۳۵۲۱۱ تأثیر میپذیرند.
به گفته سولارویندز در صورت غیرفعال بودن SSH بر روی سرور، سوءاستفاده از این آسیبپذیری روز - صفر ممکن نخواهد بود.
سولارویندز جمعه، ۱۸ تیر، CVE-۲۰۲۱-۳۵۲۱۱ را مطابق با جدول زیر در نسخ جدید خود ترمیم کرد:
سولارویندز در توصیهنامه زیر به روشهایی که از طریق آنها میتوان به هک شدن سازمان به دلیل وجود آسیبپذیری CVE-۲۰۲۱-۳۵۲۱۱ نیز پی برد پرداخته است:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
در توصیهنامه این شرکت با استناد به اطلاعات ارائه شده از سوی مایکروسافت (Microsoft, Corp)، سوءاستفاده از CVE-۲۰۲۱-۳۵۲۱۱ توسط حداقل یک گروه از مهاجمان تأیید شده است. مایکروسافت تعداد این حملات را محدود و هدفمند اعلام کرده است.
این اولینبار نیست که ضعف امنیتی در محصولات سولارویندز مورد سوءاستفاده مهاجمان قرار گرفته است. در آذر ۱۳۹۹، مهاجمان پس از هک شرکت سولارویندز و آلودهسازی یکی از فایلهای نرمافزار Orion، آن را به یک درب پشتی (Backdoor) تبدیل کردند و در عمل موجب شدند که شبکه مشتریان این نرمافزار در هر نقطه از جهان به تسخیر آنها در بیاید. بررسیهای بعدی نشان داد که مهاجمان با بهکارگیری این تکنیک "زنجیره تأمین" (Supply Chain Attack) موفق به هک بسیاری از سازمانها و شرکتهای مطرح در کشورهای مختلف شده بودند.
منابع:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-serv-u-vulnerability-exploited-in-the-wild
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
تصاحب دامین سرور با سوءاستفاده از آسیبپذیری PrintNightmare
مایکروسافت، PrintNightmare را بهعنوان یک آسیبپذیری روز – صفر تأیید کرد که قبل از بهروزرسانیهای امنیتی ژوئن ۲۰۲۱ ، بر کلیه نسخههای ویندوز تأثیر گذاشته است.
به گزارش مرکز مدیریت راهبردی افتا، جزئیات فنی و PoC، که به بیرون درز کرده مربوط به یک آسیبپذیری برطرف نشده در ویندوز است که اجازه اجرای کد از راه دور را میدهد .
علیرغم نیاز به احراز هویت، شدت این باگ بسیار حیاتی است. زیرا مهاجمان میتواننداز این باگ جهت تصاحب یک دامین سرور ویندوز استفاده کنند تا به راحتی بدافزار را در شبکه یک شرکت مستقر کنند.
این مسئله Windows Print Spooler را تحت تأثیر قرار میدهد و به دلیل لیست طولانی اشکالاتی که در طول سالها بر روی این مؤلفه تأثیرگذار بوده است، محققان آن را PrintNightmare نامگذاری کردهاند.
چندین محقق، اکسپلویت PoC درز کرده را روی سیستم عامل کاملاً وصله شده Windows Server ۲۰۱۹ آزمایش کردهاند و قادر به بهره برداری و اجرای کد با دسترسی SYSTEM بودهاند. به نظر میرسد که وصله مایکروسافت برای CVE-۲۰۲۱-۱۶۷۵ در ۸ ژوئن ناقص بوده است و بهرهبرداری PrintNightmare RCE روی سیستمهای بهروز کار میکند.
قابل ذکر است که PrintNightmare در همه نسخههای ویندوز وجود دارد و شماره شناسایی جدید CVE-۲۰۲۱-۳۴۵۲۷ به آن اختصاص دارد.
مایکروسافت به مشتریان Microsoft ۳۶۵ Defender خود هشدار داد که مهاجمان به طور فعال از این آسیبپذیری استفاده می کنند.
ازآنجاکه وصله مربوط هنوز در دسترس نیست، به مدیران اکیداً توصیه میشود که سرویسWindows Print Spooler را در سیستمهای دامین کنترلر متوقف و غیرفعال کنند، چرا که نیاز به احراز هویت برای یک مهاجم، بازدارنده نیست.
شرکت مایکروسافت با انتشار توصیه نامه ای راهکارهای موقتی برای مقاوم سازی این آسیب پذیری ارایه کرده که توضیحات بیشتر در این لینک در دسترس است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security