روزانه بیش از ۵ صفحه جعلی بانکی ساخته می‌شود

معاون وزیر ارتباطات گفت: روزانه بیش از ۵ صفحه جعلی بانکی (فیشینگ) توسط کلاهبرداران ایجاد می‌شود و کاربران دارای سواد دیجیتالی کم، بیشتر در معرض خطر هستند.

به گزارش ایتنا، امیر ناظمی در اینستاگرام نوشت: فیشینگ، سایت‌ها و صفحه‌های اینترنتی جعلی هستند که سعی می‌کنند از طریق فریب کاربران اطلاعات مربوط به نام کاربری، گذرواژه یا اطلاعات کارت بانکی آنها را به دست آورند. از این طریق کاربرانی که دارای سواد دیجیتالی کمتری هستند و یا از ابزارهای به روز نشده استفاده می‌کنند، بیشتر در معرض خطر هستند و اطلاعات آنها مورد سوءاستفاده قرار می‌گیرد.

وی گفت: برای مقابله با فیشینگ راه‌های مختلفی وجود دارد که از جمله آنها می‌توان به افزایش دانش کاربران، پایش مداوم بانک‌ها برای شناسایی صفحات جعلی و راه حل‌های فنی مانند نصب فایروال‌ها اشاره کرد.
وی گفت: فیشینگ یک چالش جهانی است به همین دلیل نیز ابزارهای جهانی در این خصوص طراحی شده است.
رئیس سازمان فناوری اطلاعات ایران خاطرنشان کرد: اگر چه مأموریت سازمان فناوری اطلاعات به صورت مستقیم شناسایی و مسدودسازی این صفحات نیست و این امر در حیطه وظایف پلیس فتا و بانک‌ها است اما بیشترین شناسایی و مسدودسازی صفحات جعلی درگاه‌های بانکی را ما در مرکز ماهر انجام داده‌ایم.
وی با بیان اینکه در ۶ ماه نخست امسال ۸۵۷ سایت فیشینگ شناسایی و مسدودسازی شده اند، ادامه داد: این به معنی آن است که روزانه بیش از ۵ صفحه جعلی بانکی توسط کلاهبرداران ایجاد می‌شود.
معاون وزیر ارتباطات تصریح کرد: در مجموع کمتر از ۱۰ مورد (حدود یک درصد) از این موارد در شبکه‌های اجتماعی توسط کاربران هشدار داده می‌شود و با ۹۹ درصد دیگر به صورت فنی مقابله صورت می‌گیرد.
وی گفت: ۹۵ درصد از این موارد را از طریق همکاری بین‌المللی با مراکز ( CERT) دنیا انجام می‌دهیم. به صورت متقابل هم مراکز مشابه مرکز ماهر در کشورهای دیگر پس از شناسایی این درگاه‌های جعلی آن را به ما اطلاع می‌دهند. در حقیقت صیانت از حقوق کاربران بر پایه قواعد جهانی است و از مبداء مسدود می‌شود.
ناظمی ادامه داد: اگر چه شاید بسیاری ترجیح می‌دهند تا روز به روز بر کنترل بیشتر اینترنت مردم بیفزایند و این امر را به بهانه محافظت از مردم و صیانت از اطلاعات آنها انجام می‌دهند اما واقعیت آن است که اصلی‌ترین راه مقابله با چالش‌های جهانی، استفاده از قواعد جهانی است. بر این اساس همکاری بین‌المللی نه تنها پایدارتر است، بلکه ریسک تعرض به حقوق مردم را کاهش می‌دهد.
رئیس سازمان فناوری اطلاعات ایران خاطرنشان کرد: در عصر فناوری به همان دلیلی که فناوری جهانی است، اتکا به شیوه ها و قواعد جهانی نیز یک راه حل است. شاید گاهی باید این نگاه منفی به همکاری بین‌المللی را کنار بگذاریم تا بتوانیم منافع همکاری جهانی را ببینیم. در مورد چالش‌های جهانی، راه حل‌های جهانی کارآمدتر از کنترل شدید در کاربری مردم است که گاهی پشت سر واژه‌های درستی مانند شبکه ملی اطلاعات پنهان می‌شود.
وی گفت: شبکه ملی اطلاعات ضروری و مهم است اما حداقل این را خوب می‌دانیم که کاربردش مقابله با فیشینگ نیست.

تپسی هک شدن یکی از سرورهایش را تایید کرد

شرکت حمل و نقل اینترنتی «تپسی» با صدور اطلاعیه ای با تایید هک شدن یکی از سرورهای خود اعلام کرد: بخشی از اطلاعاتی که روز گذشته در اینترنت درز پیدا کرد مربوط به فاکتور سفرهای رانندگان این شرکت است.

به گزارش ایرنا، خبری روز گذشته درمورد هک شدن اطلاعات مربوط به یک شرکت حمل و نقل اینترنتی در ایران به دلیل امنیت پایین منتشر شد، این اطلاعات لو رفته شامل ده ها هزار صورت حساب که دارای اطلاعات شخصی نام، نام خانوادگی، شماره ملی و تاریخ صورت حساب‌ها مشترکان است.

شرکت حمل و نقل اینترنتی «تپسی» با صدور اطلاعیه ای اعلام کرد: بخشی از اطلاعاتی که روز گذشته در اینترنت درز پیدا کرده، مربوط به فاکتور سفرهای رانندگان این شرکت است.

تپسی در این اطلاعیه یادآور شد: پس از بررسی‌های انجام شده توسط تیم امنیت تپسی درخصوص ادعای لو رفتن اطلاعات توسط یک حساب توییتری، نتایج به اطلاع کاربران می‌رسد.

در ادامه این اطلاعیه آمده است: همان‌گونه که در اطلاعیه نخست نیز ذکر شد اولویت تپسی حفاظت از اطلاعات کاربران است. بررسی‌های تپسی هم ثابت کرد تأکید و سرمایه‌گذاری این شرکت بر حفاظت اطلاعات کاربران کاملاً به‌جا بوده و در شرایط حیاتی کاملاً موثر واقع شده و هیچ‌گونه دسترسی به هیچ نوع اطلاعات مسافران – مانند اطلاعات سفر، مبدا و مقصد و زمان سفر، اطلاعات هویتی صورت نگرفته است.

در اطلاعیه شرکت تپسی تصریح شده است: با بررسی دقیق‌تر موضوع، تیم امنیت تپسی متوجه تلاش برای تعدادی نفوذ با منشا خارجی به سرورهای این شرکت شد که تنها یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آی‌پی متعلق به کشور اوکراین قرار گرفته است که فاکتورهای 60 هزار راننده فعال جهت حسابرسی مالیاتی در سال‌های 1395و 1396 روی آن نگهداری می‌شدند.

منشا و هدف اصلی این نفوذ خارجی برای تپسی مشخص نیست و همکاری تیم امنیت تپسی با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد.

طی هفته‌های اخیر تپسی و سایر استارت‌آپ‌های ایرانی با محدودیت‌های ناشی از تحریم‌های فناوری مواجه بوده‌اند. به رغم تمامی مشکلات اعم از تحریم‌ها و تلاش گسترده برای نفوذ اینترنتی، تپسی همچنان مصمم به ارایه خدمات باکیفیت، امن و مناسب به کاربران است.

محمدجواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات نیز روز گذشته در توییتی گزارش منتشر شده در مورد آسیب‌پذیری در نگهداری اطلاعات یک شرکت را تأیید کرده است و آن را هشداری جدی برای کسب‌ وکارهای اینترنتی می‌داند. جهرمی از شرکت‌های می‌خواهد در امنیت اطلاعات کاربران خود جدی‌تر باشند.

تهدید و باج‌خواهی بیت‌کوینی از سایت‌های ایرانی

از چند هفته قبل، حمله‌های هکری به سایت‌های ایرانی با هدف تهدید و باج‌خواهی از کسب‌وکارها شکل گرفته و هدف هکرها از تهدید کسب‌وکارهای اینترنتی دریافت بیت‌کوین است، هر فردی هم به خواسته‌شان تن ندهد حملاتشان را شروع و دسترسی به سایت را مسدود می‌کنند.

به گزارش سایبربان، این روزها چیزی که بیش از همه در دستگاه‌های ارتباطی ما نصب می‌شود، فیلترشکن‌هایی هستند که تمامی آن‌ها بدون این‌که منبع انتشارشان مشخص باشند به دست ما می‌رسد. همین فیلترشکن‌های آلوده می‌توانند ابزار حمله‌های DDoS، تهدید و باج‌خواهی قرار بگیرند. هرچند به گفته «امیر ناظمی» رئیس سازمان فناوری ایران، این احتمال وجود دارد که فیلترشکن‌ها و پوسته‌های فارسی تلگرام این حملات را رقم‌زده باشند اما برای اطلاعات دقیق‌تر، مرکز ماهر در حال بررسی این مسئله است.

احتمالاً برایتان پیش‌آمده که قصد خرید اینترنتی از سایتی را داشته باشید، اما آن سایت برای شما باز نشود یا سرورش از کار بیفتد. دیداس DDoS مخفف Distributed Denial of Service دقیقاً همین اتفاق است. زمانی حمله‌هایی ازاین‌دست اتفاق می‌افتد که حجم زیادی از تقاضای کاذب عمداً به سمت سرور مورد هدف روانه شود، تا آن سرور از کار بیفتد.

فرهاد فاطمی کارشناس ارشد حوزه فناوری ابری، معتقد است احتمال این‌که نرم‌افزارها با منتشرکننده ناشناس دست به تخریب سیستم‌ها بزنند و دستگاه‌ها را آلوده کنند، بسیار زیاد است. نمی‌توان دسته‌بندی مشخصی از این بدافزارها ارائه داد و به‌طور حتم گفت آن‌ها به استفاده از فیلترشکن‌ها مربوط هستند. هر نرم‌افزاری که به شکل ناشناس منتشر شود، می‌تواند این حفره امنیتی را رقم بزند و نمی‌توان در این خصوص نظر قطعی داد که چه نرم‌افزاری دقیقاً این مشکل را موجب می‌شود.

فاطمی، معاون فناوری آروان که طی هفته گذشته،20 حمله DDoS در مجموعه آن‌ها خنثی شده است، گفت: کار ما ارائه سیستم‌های ابری به بسیاری از شرکت‌های ایرانی است، در یک هفته گذشته به 20 شرکت سرشناس و معتبر ایرانی حمله هکری شده است. سرورهای این شرکت‌ها به سرویس امنیت ابری ما انتقال پیدا کرده‌اند و حملاتشان خنثی شده است.

وی که احتمال می‌دهد تعداد حمله‌ها بیش از آنچه گزارش شده، باشد، افزود: البته این آمار مجموعه‌هایی است که به ما مراجعه کرده‌اند و ممکن است حمله‌ها بیش از این تعداد باشد. این حملات گسترده و بسیار زیاد بوده در لایه‌های سه و چهار، حجم حمله 50 گیگابیت بر ثانیه و در لایه هفت، چیزی حدود دو میلیون درخواست در دقیقه بوده است.

حمله هکرها موضوع عجیبی نیست

فاطمی معتقد است که این حمله‌ها همیشه و به صورت مداوم وجود داشته و موضوع جدیدی نیست و می‌گوید: طی چهار سالی که در حال ارائه خدمات هستیم این حملات را در نقاط مختلف، به روش‌های مختلف و روی سرویس‌های مختلف مشاهده کرده‌ایم مانند حملاتی که از سال 94 روی سیستم خودمان انجام شد یا حمله‌هایی که شب یلدای سال 94 برای دیجی کالا و سایت‌های فروشگاهی دیگری مانند بامیلو، صورت گرفت.

وی توضیح داد: این حمله‌ها بعد از مدت کوتاهی از سمت سایت‌های فروشگاهی به‌سوی بانک‌ها متمرکز شدند و شروع کردند به آلوده کردن سیستم‌های آن‌ها به‌این‌ترتیب که حمله به بانک‌های ایرانی به سیستم بانک‌های پاسارگارد، آینده، سامان و توسعه تعاون آغاز شد که خوشبختانه توانستیم امنیت آن‌ها را به‌سرعت تأمین کنیم.

او در خصوص اهدافی که پشت چنین حملاتی وجود دارد، گفت: مدل اول این حملات به دلیل از بین بردن رقبا اتفاق می‌افتد، مثلاً یک کسب‌وکار با استفاده از این نرم‌افزارها به رقیبش حمله می‌کند؛ نمونه‌ای که همین الان روی سرویس‌هایی که فالوئر اینستاگرام می‌فروشند وجود دارد و هدفشان بیشتر از بین بردن رقیب است.

ابزارک‌هایی (دیوایس‌هایی) که زامبی می‌شوند

فاطمی با بیان اینکه هدف بعدی از حمله‌های هکری که بسیار مهم است و باید بیشتر روی آن تمرکز کرد، حمله با هدف تهدید و باج‌خواهی کسب‌وکارهاست، گفت: شیوه کار این بدافزارها به این شکل است که یک یا چند اکانت جعلی (فیک) در تلگرام، شروع به تهدید یک کسب‌وکار می‌کنند و به آن‎ها می‌گویند اگر به ما بیت‌کوین ندهید به شما حمله می‌کنیم و معمولاً هم ظرف مدت کوتاهی تهدیدشان را عملی می‌کنند و بعد از حمله‌های دیداس، سایت‌ها از دسترس خارج می‌شوند.

او در توضیح بیشتر عنوان «زامبی» که به این حمله‌ها اطلاق شده است، گفت: در این حملات، یک سری از دیوایس‌ها پس از هک شدن به زامبی تبدیل می‌شوند و به سایت‌های مورد نظر حمله می‌کنند. این حمله می‌تواند به دیوایس‌های موبایل و سایت یا به دوربین‌های مداربسته که با اینترنت اشیا به هم متصل شده‌اند، صورت بگیرد. در واقع در این ماجرا، هر آنچه به اینترنت وصل شود می‌تواند درصورتی‌که به آن حمله شود، نقش زامبی را بازی و کل سیستم را مختل کند.

این فعال کسب‌وکارهای اینترنتی درباره جغرافیای حمله‌کنندگان نیز گفت: “همچنان سورس اکثر حملاتی که ما با آن‌ها مواجه شدیم از کشورهایی مانند آمریکا، روسیه و چین صورت می‌گیرد؛ البته ممکن است این کاربران ایرانی باشند و از آنجا که با «وی پی ان» به اینترنت متصل می‌شوند، لوکیشن‌شان محل دیگری را نشان دهد.”

او در پایان گفت: “کسب‌وکارها وقتی موردحمله قرار می‌گیرند، تازه به فکر امنیتشان می‌افتد. درحالی‌که ایجاد امنیت باید یکی از اصول اولیه کسب‌وکارهای اینترنتی باشد. در اکثر کشورهای بزرگ، همواره از سرویس‌های امنیتی استفاده می‌شود و به همین دلیل است که سایت‌های بزرگ دنیا، به‌صورت روزانه از دسترس خارج نمی‌شوند درحالی‌که در ایران ما به علت دوراندیش نبودن، شاهد اتفاقات زیادی ازاین‌دست هستیم.”

خطر نفوذ به سیستم مدیریت محتوای «وردپرس»

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به آسیب پذیری جدید زبان PHP که سیستم مدیریت محتوای «وردپرس» را هدف قرار داده است، هشدار داد.

به گزارش گرداب، محقق امنیت سایبری مرکز Secarma ، به تازگی یک ‫آسیب پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوای سایت وردپرس ( WordPress ) را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذیری که از نوع Code Execution بوده در تاریخ ۲۸ فوریه ۲۰۱۷ به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است.

این آسیب پذیری تنها سیستم مدیریت محتوا WordPress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی اپلیکیشن های مبتنی بر پی اچ پی ( PHP-based ) را تحت تأثیر خود قرار خواهد داد.

این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها بوده و از سال ۲۰۰۹ که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده که باعث حملات مختلف علیه سرورها و اپلیکیشن PHP ها شده است.

آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را روی سرور قربانی آپلود کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده روی سرور قابل انجام خواهد بود.

این آسیب پذیری روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا WordPress اثر می گذارد و در صورت آپلود فایلهای عکس آلوده روی سرور مدنظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می شود.

در تحقیقات اولیه علاوه بر وردپرس، سیستم مدیریت محتوا Typo۳ و Contao هم دارای این آسیب پذیری هستند.

برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ، یکی برای نسخه ۴.۹ و دیگری برای نسخه های پایین تر باید آماده شود. برخلاف وردپرس که تا این لحظه به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo۳ در آخرین به روزرسانی خود این آسیب پذیری را رفع کرده است.

این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP است.

مرکز ماهر از کاربران خواست که برای جلوگیری از حمله علیه این CMS ها و کتابخانه های مشابه، به روزرسانی هایی که در چند روز آینده ارائه خواهند شد را حتما روی سامانه های خود اعمال کنند.

وردپرس یک سیستم مدیریت محتوا برای سایت‌ها و وبلاگ‌ها است. به بیان دیگر وردپرس یک سیستم رایگان وبلاگ نویسی است که به صورت یک CMS یا نرم‌افزار متن باز برای مدیریت محتوای سایت‌ها معرفی شده است.

اطلاعیه مرکز ماهر در خصوص بروزرسانی مهم سیستم عامل های خانواده ویندوز

پس از به‌روز‌رسانی این ماه ویندوز که لااقل ۴۸ آسیب‌پذیری وصله شد (25 تای آن‌ها بحرانی بوده‌اند)، این آسیب‌پذیری‌ها افشاء شده‌اند. یکی از این آسیب‌پذیری‌ها بسیار خطرناک بوده و همه نسخه‌های ویندوز را تحت تاثیر قرار می‌دهد. آخرین باری که آسیب‌پذیری با این سطح خطر افشاء شد، باج‌افزار WannaCry را با خود به همراه داشت.

به گزارش مرکز ماهر، مایکروسافت در آخرین به‌روز‌رسانی ماهانه که برای محصولات خود منتشر نمود، ۴۸ آسیب‌پذیری که ۲۵ تای آن‌ها آسیب‌پذیری‌های بحرانی بودند را وصله نموده است. در میان این آسیب‌پذیری‌ها یک آسیب‌پذیری بسیار خطرناک وجود دارد که با شناسه بین‌المللی CVE-2017-8620 شناخته می‌شود. این آسیب‌پذیری بسیار خطرناک بوده و همه نسخه‌های ویندوز تحت تاثیر آن هستند. این آسیب‌پذیری به هکر‌ها اجازه می‌دهد که بدافزار خود را درون یک شبکه نشر دهند.
آخرین باری که آسیب‌پذیری با این سطح خطر کشف شد، ماه مارس میلادی بود که سوء استفاده از آن با اکسپلویتی با نام EternalBlue انجام شد. دو ماه پس از اینکه این آسیب‌پذیری وصله شد، یک کمپین باج‌افزاری عظیم با نام WannaCry میلیون‌ها سیستم را در بسیاری از کشور‌ها آلوده نمود و لقب بزرگترین حمله باج‌افزاری تاریخ را از آن خود کرد.
یکی از مهم‌ترین دلایلی که WannaCry قربانیان زیادی گرفت و به شدت گسترش یافت و خسارت‌های زیادی را متحمل سازمان‌ها و شرکت‌ها کرد این بود که علی‌رغم اینکه وصله رفع آسیب‌پذیری EternalBlue منتشر شده بود بسیاری از کاربران و شرکت‌ها اقدام به نصب آن ننموده بودند. زمانی که یک آسیب‌پذیری افشاء می‌شود، بسیاری از کاربران به‌روز‌رسانی‌های رفع آسیب‌پذیری را نصب نمی‌کنند و آن سیستم را به طعمه‌هایی راحت برای هکر‌ها تبدیل می‌کنند.
مرکز ماهر پیش‌بینی می‌نماید که همان اتفاقی که زمان افشای آسیب‌پذیری EternalBlue و باج‌افزار WannaCry رخ داد، دوباره می‌تواند اتفاق بیافتد. شرکت‌های زیادی از WannaCry ضربه خوردند و هزینه‌های بسیاری دادند و نباید درس‌هایی که از WannaCry گرفته شد را از یاد برد.
به‌روز‌رسانی سیستم‌ها یکی از مهم‌ترین روش‌های رفع این آسیب‌پذیری‌ها است. بخصوص سازمان‌ها باید به این امر توجه بیشتری داشته باشند زیرا تعلل یک کارمند در عدم به‌روز‌رسانی می‌تواند سازمان را با خسارت‌های زیادی روبرو کند. سیستم‌های مدیریت وصله در این مورد می‌توانند کمک شایانی به سازمان‌ها کنند. سیستم مدیریت وصله بدون دخالت کاربر جدید‌ترین به‌روز‌رسانی‌ها و وصله‌های رفع آسیب‌پذیری را روی سیستم کاربران سازمان نصب می‌کند و آن‌ها را مقابل استفاده از آسیب‌پذیری‌های کشف شده مقاوم می‌کند.

هک تعدادی از سامانه های دانشگاهی/ رعایت نکات امنیتی الزامی است

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با اعلام هک تعدادی از سامانه های دانشگاهی، اطلاعیه ای در این زمینه صادر کرد.

مرکز ماهر اعلام کرد: پیرو گزارشات دریافتی و بررسی های انجام شده توسط این مرکز در تحلیل حملات صورت گرفته، مشخص شده است که علت اصلی رخداد ایجاد شده وجود یک آسیب پذیری در یکی از مولفه های جانبی سایت های دانشگاهی برای مدیریت و داوری همایشها بوده است.

این مرکز ادامه داد: این آسیب پذیری منجر به بارگذاری یک صفحه توسط مهاجمین در وب سایتهای مذکور شده است.

بررسی های مرکز ماهر نشان داده است که این رخداد موجب هیچگونه دسترسی غیر مجاز به محتوای وب سایت ها نشده و هماهنگی های لازم جهت تهیه وصله امنیتی انجام و اکثر وب سایت های دانشگاهی بروزرسانی شده و یا در حال انجام بروز رسانی است.

مرکز ماهر به همه صاحبان درگاه ها و توسعه دهندگان نرم افزار ها تاکید کرد که قبل از بارگذاری نرم افزارها و افزونه های مختلف نسبت به رعایت نکات امنیتی و آزمون های نفوذ پذیری قبل از بهره برداری توجه ویژه به عمل آورند.

جزئیات حمله روز گذشته به چند وبسایت دولتی/روشهای پیشگیری و مقابله

به دنبال حمله و از دسترس خارج شدن برخی وبسایت های دستگاه های دولتی، سازمان فناوری اطلاعات ایران با تایید حمله سایبری صورت گرفته به این وبسایت ها، از کنترل این حملات خبر داد.

به گزارش مهر، عصر روز گذشته هفتم خردادماه، برخی وبسایتها و پرتال های سازمانها و دستگاه های اجرایی از دسترس خارج شد. امروز سازمان فناوری اطلاعات ایران با اعلام کنترل حملات عصر روز گذشته، جزئیات این حمله سایبری ر ا تشریح کرد.

براساس اعلام سازمان فناوری اطلاعات ایران، عصر روز گذشته، تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی بر اثر حوادث امنیتی، از دسترس خارج شدند و یا با بارپردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب خود رو به رو بودند که تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع اقدامات لازم و ضروری را اجرایی کرد.

طبق اعلام مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای)، هدف حمله، منع سرویس توزیع شده، سیستم‌های عامل ویندوز با سرویس‌دهنده‌های وب IIS بوده ‌است و تمامی اهداف مورد حمله قرار گرفته تاکنون، از شرایط فنی یکسان برخوردار بوده‌اند.

آناتومی حمله، شامل ارسال زیاد درخواست‌های HTTP به سمت وب‌سرورها با حجم و تعداد بالا است که باعث ایجاد پردازش سنگین روی سرویس‌دهنده‌ها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده است، لذا تشخیص اولیه با سیستم‌های مانیتورینگ و پایش معمولی، به سختی قابل انجام است و با تاخیر تشخیص حاصل می شود.

برهمین اساس، پیکربندی صحیح سرویس‌دهنده‌های وب که میزبان برنامه‌های کاربردی تحت وب هستند، باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستم‌ها و برنامه‌های کاربردی را تحت تاثیر قرار می‌دهد.

روش‌های پیشگیری و مقابله

بر اساس این گزارش و با توجه به اعلام مرکز ماهر، استفاده از دیواره‌های آتش اختصاصی لایه کاربرد یا WAF و پیکربندی موثر آن به تناسب تعداد کاربران و نیز شرایط برنامه‌ کاربردی هر سازمان از جمله روش های موثر برای مقابله با این دست از حملات است.

یکی از اولین اقدام‌های امنیتی، مقاوم‌سازی سرویس‌دهنده‌های وب در مقابل ارسال درخواست‌های سیل‌آسا جهت تشخیص و جلوگیری است؛ برای این منظور لازم است تا به روش‌های مختلف نظیر استفاده از ماژول‌های امنیتی و قابلیت‌های درونی سرویس‌دهنده‌های وب IIS موارد لازم به تناسب پیکربندی شود.

یکی از موثرترین پیکربندی‌ها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions است.

از این رو باید در طراحی و پیکربندی برنامه‌های کاربردی مختلف هریک دارای  application pools مجزا باشند و از فضاهای اشتراکی اجتناب شود و در صورت استفاده، موارد امنیتی مرتبط را رعایت کنند.

پیکربندی و استفاده از قابلیت امنیتی  Request Filtering در سرویس‌دهنده، جهت فیلترسازی درخواست‌های ورودی ناخواسته براساس قواعد امنیتی و همچنین پیکربندی فایل‌های ثبت وقایع یا ماژول Logging در سرویس‌دهنده‌ وب IIS، جهت بررسی و پاسخگویی‌های امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.

مجزا کردن یا ایزوله کردن نرم افزارهای کاربردی تحت وب مختلف، ایجاد Worker Processهای منحصر به فرد برای هریک از نرم افزارهای کاربردی تحت وب مختلف و همچنین به‌روز رسانی سیستم‌عامل و نصب آخرین وصله‌های امنیتی نیز از دیگر توصیه هایی است که در جهت پیشگیری و مقابله با این حملات می تواند اثرگذار باشد.

در این خصوص مرکز ماهر نیز در اطلاعیه ای تاکید کرد: باتوجه به اخبار دریافتی و بررسی حوادث امنیتی روی تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی در روز یکشنبه ۷ خردادماه، مبنی بر از دسترس خارج شدن و یا بار پردازشی بسیار زیاد و غیرطبیعی روی سرویس‌دهنده‌های وب، تیم عملیاتی و پاسخگویی به حوادث امنیتی مرکز ماهر، ضمن بررسی موضوع و ارتباط با سازمان‌های مورد حمله قرار گرفته، نسبت به پیگیری ابعاد حادثه‌ وهمچنین تهدیدات پیش رو، اقدامات لازم و ضروری را بعمل آورده است.

از آنجائیکه تکرار حوادث مشابه در دیگر سایت ها نیز وجود دارد لذا جهت پیشگیری و آمادگی برای حوادث احتمالی مشابه، مستندات و اطلاعات تکمیلی در پرتال مرکز ماهر به نشانی https://certcc.ir/ موجود است.

ماجرای از دسترس خارج شدن برخی از سایت های دولتی

عصر روز گذشته، تعدادی از وب‌سایت‌ها و پورتال‌های سازمان‌ها و دستگاه‌های اجرایی بر اثر حوادث امنیتی، از دسترس خارج شد و یا بار پردازشی بسیار زیاد و غیرطبیعی بر روی سرویس‌دهنده‌های وب خود رو به رو بودند.

باشگاه خبرنگاران جوان؛ برخی از رسانه های اجتماعی از دسترس خارج شدن سایت یکی از اپراتورها، بانک مرکزی و سایت شرکت پست را مخابره کردند، که البته بررسیها نشان می دهد، این سایت ها قالبا با کندی مواجه بودند اما به طور کامل از دسترس خارج نشده بودند.

بر اساس اعلام مرکز ماهر، هدف حمله، منع سرویس توزیع شده، سیستم‌های عامل ویندوز با سرویس‌‌دهنده‌های وب IIS بوده‌است و تمامی اهداف مورد حمله قرار گرفته تاکنون از شرایط فنی یکسان برخوردار بوده‌اند.

آناتومی حمله، شامل ارسال زیاد درخواست‌های HTTP به سمت وب‌سرورها با حجم و تعداد بالا می‌باشد، که باعث ایجاد پردازش سنگین بر روی سرویس‌دهنده‌ها شده و به اعتقاد کارشناسان، هدف اولیه این حمله پهنای باند شبکه نبوده، لذا تشخیص اولیه با سیستم‌های مانیتورینگ و پایش معمولی به سختی قابل انجام است و با تاخیر تشخیص حاصل می شود.

بر همین اساس، پیکربندی صحیح سرویس‌دهنده‌های وب که میزبان برنامه‌های کاربردی تحت وب می‌باشند، باید به دقت صورت پذیرد و رعایت نکات امنیتی در آنها، امنیت کل سیستم‌ها و برنامه‌های کاربردی را تحت تاثیر قرار می‌دهد.

روش‌های پیشگیری و مقابله

بر اساس این گزارش و با توجه به اعلام مرکز ماهر، استفاده از دیواره‌های آتش اختصاصی لایه کاربرد یا WAF و پیکربندی موثر آن به تناسب تعداد کاربران و نیز شرایط برنامه‌ی کاربردی هر سازمان از جمله روش های موثر برای مقابله با این دست از حملات است.

یکی از اولین اقدام‌های امنیتی، مقاوم‌سازی سرویس‌دهنده‌های وب در مقابل ارسال درخواست‌های سیل‌آسا جهت تشخیص و جلوگیری می‌باشد، برای این منظور لازم است تا به روش‌های مختلف نظیر استفاده از ماژول‌های امنیتی و قابلیت‌های درونی سرویس‌دهنده‌های وب IIS موارد لازم به تناسب پیکربندی شود.

یکی از موثرترین پیکربندی‌ها جهت محافظت و جلوگیری از حملات منع سرویس، پیکربندی قابلیت IP Restriction و یا Dynamic IP Restrictions است.

در طراحی و پیکربندی برنامه‌های کاربردی مختلف هر یک دارای application pools مجزا باشند و از فضاهایی اشتراکی اجتناب گردد و در صورت استفاده، موارد امنیتی مرتبط را رعایت نمایید.

این گزارش حاکی است، پیکربندی و استفاده از قابلیت امنیتی Request Filtering در سرویس‌دهنده، جهت فیلترسازی درخواست‌های ورودی ناخواسته بر اساس قواعد امنیتی و همچنین پیکربندی فایل‌های ثبت وقایع یا ماژول Logging در سرویس‌دهنده‌ی وب IIS، جهت بررسی و پاسخگویی‌های امنیتی و رسیدگی قانونی و حقوقی به حوادث امنیتی لازم و ضروری است.

مجزا کردن یا ایزوله کردن نرم افزارهای کاربردی تحت وب مختلف، ایجاد Worker Processهای منحصر به فرد برای هر یک از نرم افزارهای کاربردی تحت وب مختلف و همچنین به‌روز رسانی سیستم‌عامل و نصب آخرین وصله‌های امنیتی نیز از دیگر توصیه هایی است که در این جهت پیشگیری و مقابله با این حملات می تواند اثرگذار باشد.

سامانه «ویروس کاو» راه اندازی شد/ فایلهای مشکوک را اسکن کنید

سامانه «ویروس کاو» به عنوان پویشگر نرم افزارهای مخرب توسط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) راه اندازی شد.

به گارش مهر، سامانه ویروس‌کاو (پویشگر بدافزار چند موتوره) با در اختیار داشتن ۱۰ آنتی ویروس به‌روز، می تواند فایل‌های مشکوک را مورد بررسی قرار دهد.

با استفاده از این سامانه که توسط مرکز ماهر وابسته به سازمان فناوری اطلاعات ایران راه اندازی شده است، کاربر می تواند در هنگام مواجهه به فایلی مشکوک در اینترنت یا رایانه خود و یا دریافت ایمیلی با پیوست مشکوک،‌ فایل مربوطه را در این سامانه بارگذاری کرده و نتایج اسکن آن را توسط آنتی ویروس‌های مختلف مشاهده کند.

در این سامانه امنیت و محرمانگی فایل‌های بارگذاری شده مدنظر قرارگرفته است و آنتی‌ویروس‌ها نیز به‌صورت کاملا آفلاین قابل استفاده خواهند بود.

سامانه «ویروس کاو» که به نشانی https://scanner.certcc.ir در دسترس قرار دارد، توسط مرکز پژوهشی آپای دانشگاه صنعتی امیرکبیر به سفارش مرکز ماهر پیاده سازی شده است.

مرکز ماهر اعلام کرد؛ جدیدترین نرم افزارهای باج‌گیر را بشناسید/ نفوذ به ایمیل کاربران

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با اعلام شناسایی جدیدترین بدافزارهای باج‌گیر، نسبت به سوءاستفاده از این نرم افزارهای مخرب از طریق ایمیل و صفحات وب به کاربران هشدار داد.
مهر: در سال‌های اخیر مهاجمان زیادی به سمت گونه‌ای از بدافزارها، که باج‌افزار نام دارند تمایل پیدا کرده و از طریق آن کسب درآمد می‌کنند. آن ها سعی می‌کنند از غفلت و سهل‌انگاری کاربران بهره برده و از روش‌های مختلفی مانند ایمیل‌ها، صفحات وب و پیام‌های آلوده، از افراد سوءاستفاده کنند.
باج‌افزارها گونه‌ای از بدافزارها (نرم افزارهای مخرب) به شمار می‌آیند که قادرند به روش‌های مختلف از جمله رمزنگاری، دسترسی قربانی به فایل‌ها یا کل سیستم را محدود کرده و در ازای دریافت باج، محدودیت را برطرف سازند.
سیر رشد باج‌افزارها در سال‌ اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه گزارش می‌شود.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) در گزارشی آخرین رویدادهای اعلام شده در حوزه باج افزارهای رایانه ای را طی ماه اخیر اعلام کرده است و جدیدترین باج افزارها را برای آگاهی کاربران معرفی کرده است.
۱-باج افزار FenixLocker
باج افزار جدید FenixLocker به تازگی شناسایی شده است. این باج افزار فایلهای قربانی را با استفاده از الگوریتم AES رمز کرده و عبارت .centrumfr@india.com!! را در انتهای فایل های رمز شده قرار می دهد. در هر فایل رمز شده یادداشت FenixILoveyou!! قرار داده شده است.
۲-باج افزار HDDCryptor
باج افزار HDDCryptor که با نام Mamba نیز شناخته شده است، گونه جدیدی از باج‌افزارها به حساب می آید که MBR بخش بوت را بازنویسی کرده و کاربران را قفل می کند.
۳-نسخه جدید باج افزار Fantom
نسخه جدیدی از باج‌افزار Fantom به تازگی شناسایی شده که در آن ویژگی های جالبی به باج افزار قبلی، افزوده شده است. از جمله این ویژگی‌ها می‌توان به استخراج اطلاعات و رمزنگاری شبکه به اشتراک گذاشته شده، تولید تصویر پس زمینه تصادفی و رمزنگاری آفلاین اشاره کرد. علاوه بر این به نظر می رسد مقدار باج درخواستی و ایمیل مربوط به ارتباط با مهاجم نیز بسته به نام فایل، برای هر قربانی متفاوت است.
۴-تغییر در باج‌افزار Locky
باج افزار Locky علاوه بر اجرا در حالت آفلاین، مجددا امکان برقراری ارتباط با کارگزار کنترل و فرمان را نیز به خود اضافه کرده است. اجرا به صورت آفلاین دارای مزایا و معایب متعددی است، از جمله آنکه در صورت کار به صورت آفلاین، شبکه Locky از دید مراجع قانونی و تحلیلگران مخفی خواهد ماند. اما از طرفی در صورت عدم ارتباط قربانی با کارگزار کنترل و فرمان نمی‌توان تخمینی از تعداد قربانیان و وسعت آلودگی داشت.
در نسخه جدیدی که از باج‌افزار Locky شناسایی شده، پسوند فایل های رمز شده از ZEPTO به .ODIN تغییر یافته است. البته فایل های رمز شده با این باج‌افزار نباید با فایل های رمز شده توسط باج افزار  Odin اشتباه گرفته شود.
۵-باج افزارCyber SpLiTTer Vbs  
محققان به تازگی باج‌افزاری به نام Vbs SpLiTTer Cyber را شناسایی کرده‌اند که به نظر می‌رسد در حال توسعه باشد چرا که تاکنون هیچ عملکرد مربوط به رمزنگاری در آن مشاهده نشده است.
۶-باج‌افزار UnblockUPC
باج‌افزار UnblockUPC باج‌افزار جدیدی است که پس از آلودگی، یادداشت باجی با نام txt.encrypted ایجاد کرده که در آن یک شناسه یکتا برای قربانی و سایت پرداختی که قربانی باید به آن مراجعه کند، مقدار باج درخواستی توسط این باج‌افزار نیز ۰.۱۸ بیت کوین یا ۱۰۰ یورو تعیین شده است.
۷-باج‌افزار MarsJoke و انتشار ابزار رمزگشای آن
باج‌افزار MarsJoke نخستین بار در تاریخ ۱۱ مردادماه شناسایی شده و در یک مهرماه نیز توزیع گسترده آن از طریق هرزنامه مشاهده شده است. به نظر می‌رسد این باج‌افزار سازمان‌های دولتی درجه اول ایالتی و محلی و همچنین مؤسسات آموزشی آمریکایی را مورد هدف قرار داده است. آزمایشگاه امنیت کسپرسکی موفق به انتشار ابزار رمزگشای این باج‌افزار شده است. این ابزار قادر است فایل‌های رمز شده با نسخه ۱.۹.۳۰ باج‌افزار را که دارای پسوند .a۱۹ هستند، با ابزار RannohDecryptor رمزگشایی کند.
۸- باج‌افزار Nagini
یکی از باج‌افزارهایی که به‌تازگی شناسایی شده باج افزار Nagini است. در صفحه قفل این باج‌افزار، تصویری از ولدمورت که یکی از شخصیت‌های داستان هری پاتر است، نمایش داده شده است. در واقع Nagini نام مار ولدمورت در این داستان است. فایل‌های مورد هدف این باج‌افزار دارای پسوندهای .pdf. exe ، jpeg ، .jpg ، .png ، .bmp ، .xls ، .pptx ، .ppt ، .docx ، .doc  هستند. این باج‌افزار به جای استفاده از بیت کوین، از طریق وارد کردن شماره کارت اعتباری باج خود را دریافت می‌کند.
۹-باج‌افزار Help_dcfile
محققین باج‌افزار جدیدی را شناسایی کرده اند که به دلیل نام فایل یادداشت باج که help_dcfile.txt نام دارد، آن را help_dcfile نام نهاده‌اند. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند XXX است.
۱۰- باج‌افزار دونالد ترامپ
باج‌افزار دونالد ترامپ ازجمله بدافزارهایی است که در جریان انتخاباتی آمریکا ایجاد شده است. البته این باج افزار در نسخه آزمایشی خود بوده و باجی برای رمزگشایی فایل ها دریافت نمی‌کند. البته احتمال آنکه از این باج‌افزار در هرزنامه‌های انتخاباتی استفاده شود بسیار زیاد است و به همین دلیل لازم است کاربران دقت بیشتری در گشودن اینگونه ایمیل ها داشته باشند. این باج‌افزار از الگوریتم AES برای رمزنگاری فایل ها بهره برده و فایل‌های رمز شده نیز دارای پسوند .ENCRYPTED هستند.
۱۱- باج‌افزار  DXXD
این باج افزار پیش از این شناسایی شده بود و هم اکنون ابزار رمزگشای باج‌افزار DXXD منتشر شده است.
۱۲-Princess Locker
باج‌افزار جدیدی به نام Princess شناسایی شده است که فایل‌های قربانی را رمز کرده و مقدار باج ۳ بیت کوین یا ۱۸۰۰ دلار از وی درخواست کرده است. درصورتی که قربانی باج را در زمان تعیین شده پرداخت نکند، مقدار باج دو برابر شده و به ۶ بیت کوین افزایش می‌یابد.
۱۳-باج افزار AL-Namrood  و انتشار ابزار رمزگشای آن 
محققین موفق شده اند ابزار رمزگشایی برای باج افزار AL-Namrood منتشر سازند. این باج‌افزار از باج‌افزارApocalypse  مشتق شده است. مهاجمین کارگزارانی را مورد هدف قرار داده‌اند که سرویس دسترسی به دسکتاپ از راه دور روی آنها فعال است. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند .unavailable بوده و فایلی با نام *.Read_me.Txt به ازای هر فایل رمز شده ایجاد می‌شود.
۱۴-باج‌افزار TeamXrat
مجرمین برزیلی که پیش از این به دلیل مهارت بالای خود در زمینه تروجان‌های بانکی به شهرت رسیده بودند، وارد حیطه باج‌افزارها شده‌اند. باج‌افزار ساخته شده توسط این گروه Trojan -Xpan.Win۳۲.Ransomنام داشته و شرکت‌ها و بیمارستان ها را مورد هدف قرار داده است. فایل‌های رمز شده توسط این باج‌افزار دارای پسوند .___xratteamLucked هستند.
۱۵-باج‌افزار Nuke
باج‌افزارNuke  که به تازگی شناسایی شده، قادر است با استفاده از الگوریتم AES فایل‌های قربانی را رمز کرده و نام فایل را تغییر دهد. پس از پایان یافتن پروسه رمزنگاری یادداشت داده_!! RECOVERY_instructions_!!.html و _!! RECOVERY_instructions_!!.txt به قربانی نمایش داده می شود که در آن نحوه ارتباط با مهاجم و پرداخت باج شرح داده شده است. نام اصلی فایل، آدرس و دیگر اطلاعات به پایان فایل رمز شده اضافه می شود.
۱۶-انتشار ابزار رمزگشای باج‌افزار  Globe
باج افزار Globe ابزار رمزگشای خود را به روزرسانی کرده است. فایل‌های رمز شده توسط این باج‌افزار یا دارای پسوند .purge است و یا آدرس ایمیل و چند کاراکتر تصادفی پس از نام فایل قرار می‌گیرد.
مرکز ماهر با اعلام ۱۶ مورد از باج گیرهای سایبری، از کاربران خواست: برای جلوگیری آلودگی توسط بدافزارها توصیه‌های متداولی از جمله عدم باز کردن ایمیل‌های ناشناس و مشکوک، عدم مراجعه به وبسایت‌های ناامن، استفاده و اطمینان از فعال بودن برنامه‌های ضدویروس روی سیستم و تهیه نسخه پشتیبان از اطلاعات و ذخیره آن روی یک حافظه خارجی را جدی بگیرند.
این توصیه‌ها اگرچه بسیار ساده هستند اما می‌توانند از خسارات جبران‌ناپذیری جلوگیری کنند.