افتانا - پربيننده ترين عناوين خبر :: rss_full_edition http://www.aftana.ir/news Sun, 23 Feb 2020 15:28:20 GMT استوديو خبر (سيستم جامع انتشار خبر و اتوماسيون هيئت تحريريه) نسخه 3.0 http://www.aftana.ir/skins/default/fa/{CURRENT_THEME}/ch01_newsfeed_logo.gif تهيه شده توسط افتانا http://www.aftana.ir/ 100 70 fa نقل و نشر مطالب با ذکر نام افتانا آزاد است. Sun, 23 Feb 2020 15:28:20 GMT خبر 60 حمله به ابزارهای هوشمند از طریق شبکه‌های LTE http://www.aftana.ir/fa/doc/news/16376/حمله-ابزارهای-هوشمند-طریق-شبکه-های-lte محققان آلمانی یک آسیب‌پذیری جدید را در شبکه LTE شناسایی کرده‌اند که همه ابزارهای پشتیبانی‌کننده از آن را تحت تأثیر قرار می‌دهد.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران دانشگاه رور بوخوم آلمان، نوعی آسیب‌پذیری در شبکه‌های ارتباطی استاندارد LTE که با نام 4G نیز شناخته می‌شوند شناسایی کرده‌اند. این نقص امنیتی امکان جعل هویت کاربران تلفن‌های همراه را به هکر می‌دهد. این کار به مهاجم اجازه می‌دهد خدماتی که هزینه نیاز دارند را به نام فرد دیگری دریافت کند.تورستن هولز (Thorsten Holz)، یکی از استاد دانشگاه روربوخوم گفت: مهاجم می‌تواند خدماتی مانند استریم ویدئو را رزرو کند و دارنده اصلی تلفن هوشمند مجبور به پرداخت هزینه‌های آن می‌شود.آسیب‌پذیری یاد شده می‌تواند در روند تحقیقات نهادهای اجرای قانون نیز تأثیر منفی بگذارد؛ زیرا هکر با جعل و سوءاستفاده از هویت دیگران اقدام به رزور خدمات و خرید اجناس کرده و به وب‌سایت‌ها وارد شده‌است. برای نمونه هکر می‌تواند اسناد محرمانه یک سازمان را روی اینترنت بارگذاری کند و این‌گونه به نظر برسد که قربانی، مجرم اصلی است.نقص یاد شده همه ابزارهایی را که از LTE پشتیبانی کرده و در محدوده آن قرار دارند در معرض خطر قرار می‌دهد. به این معنی که همه تلفن‌های هوشمند، تبلت‌ها، لوازم‌خانگی، لپ‌تاپ‌ها و بسیاری موارد دیگر ممکن است مورد سو استفاده قرار گیرند. تنها راه فعلی مقابله با این چالش ایجاد تغییر در طراحی سخت‌افزار است. محققان تحقیقات خود را برای برطرف کردن این مشکل امنیتی در شبکه‌های ۵G آغاز کرده‌اند.با وجود اقدامات در حال انجام هولز اشاره کرد: اپراتورهای شبکه باید پرداخت هزینه بالایی را مستقل شوند؛ زیرا حفاظت بیشتر از اطلاعات در زمان انتقال آن‌ها باید به وجود آید. همچنین همه تلفن‌های همراه و ایستگاه‌های ارتباطی نیز باید باز طراحی شده و تعویض شوند. این مسئله‌ای است که در آینده نزدیک اتفاق نخواهد افتاد.محققان شرح دادند، بسته‌های اطلاعاتی در زمان انتقال میان ایستگاه و تلفن همراه رمزنگاری می‌شوند. با وجود این می‌توان با تغییر بیت‌های اطلاعاتی آن‌ها خطاهای مختلفی را به وجود آورد و اطلاعات را به سادگی رمزنگاری و رمزگشایی کرد. همچنین امکان دسترسی به محتوای تلفن همراه و ارائه دستورهای مختلف به ابزار نیز وجود دارد.پژوهشگران دانشگاه رور بوخوم در سال ۲۰۱۸ نیز یک آسیب‌پذیری دیگر در شبکه LTE شناسایی کرده‌بودند که امکان هدایت قربانیان به وب‌سایت‌های جعلی و سرقت کلمات عبور آنها را به هکر می‌دهد. ]]> خبر Wed, 19 Feb 2020 13:26:49 GMT http://www.aftana.ir/fa/doc/news/16376/حمله-ابزارهای-هوشمند-طریق-شبکه-های-lte پاشنه آشیل ایران در مقابل حملات اینترنتی http://www.aftana.ir/fa/doc/news/16382/پاشنه-آشیل-ایران-مقابل-حملات-اینترنتی هفته گذشته حملات اینترنتی به سمت ایران به اوج خود رسید و به گفته مقامات دولتی حتی طی یک هفته دو برابر شده و به نظر می‌رسد همچنان ادامه خواهد داشت.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این حملات تمرکز یافته بر نوع DDos (منع سرویس) بوده که هدف از آن از کار انداختن سرویس یا سایت‌های هدف است. هرچند در ایران سال‌هاست انواع و اقسام حملات اینترنتی مورد تجربه قرار گرفته و با روش‌هایی با آن مقابله شده اما حملات اخیر به شکل، شیوه‌ و در سطحی انجام شده که توان مقابله با آن حتی برای مهم‌ترین شرکت دولتی حوزه ارتباطات ایران - شرکت ارتباطات زیرساخت- که تمام پهنای باند ایران را در دست خود دارد هم دشوار بوده است. مقامات دولتی می‌گویند این حملات زیرساخت‌های اصلی اینترنت در کشور را درگیر نکرده و صرفا برخی کسب‌و‌کارها را نشانه رفته، برخی از مقامات حتی معتقدند رقبای داخلی با ایجاد ترافیک خارجی پشت این حملات بوده‌اند. با این حال نتایج این حملات باعث افت قابل‌توجه کیفیت اینترنت کشور و از کار افتادن مقطعی برخی دیتاسنترها و به تبع آن سرویس‌های پرکاربر در این دو هفته شده که نارضایتی کاربران را به همراه داشته است.اما چرا شبکه و زیرساخت اینترنت کشور و سپرهای امنیتی مانند «دژفا» قادر به دفع کامل حملات نبوده‌اند؟ معماری شبکه اینترنت ایران و انحصار واردات پهنای باند تا چه اندازه مقابله با این حملات را دشوار کرده و راه‌حل‌های مقابله با این حملات چه از سمت کسب‌و‌کارها و چه دولت کجاست؟ حملاتی گسترده‌تر از قبلمدل و هدف حملات D‌Dos بسیار ساده است:‌آن‌قدر ترافیک غیر‌واقعی روی هدف سرازیر می‌کنند تا سایت یا سرویس قربانی از کار بیفتد. این ترافیک‌ها از نقاط مختلف سرچشمه می‌گیرند از جمله کامپیوترهای آ‌لوده یا دستگاه‌های متصل به اینترنت - مثل دوربین مداربسته یا بلندگو یا... - و افرادی که کنترل این کامپیوترها یا ابزارها را به وسیله بدافزارها در اختیار گرفته‌اند از حجم انبوه ترافیک تولید شده توسط آنها برای اهداف حملات DDos استفاده می‌کنند.حملات DDos معمولا یا پهنای‌باند تعریف شده برای سایت یا سرویس موردنظر را هدف قرار می‌دهند یا با افزایش ترافیک، منابع سرور هدف (مثل CPU) را اشغال می‌کنند. این حملات منجر به از بین رفتن یا سرقت اطلاعات نمی‌شود و در اغلب اوقات خدمات‌دهندگان اینترنت قادر به رفع و رجوع آن هستند.حملات در روزهای اخیر اما آنقدر گسترده و وسیع بوده که تمهیداتی حتی در سطح دیتاسنتر هم برای مقابله با آن کافی نبوده و تمهیداتی در سطح کشور مورد استفاده قرار گرفته که حتی به‌رغم انجام همان تمهیدات کیفیت اینترنت کشور با افت قابل‌توجه روبه‌رو شده‌است.رئیس سازمان فناوری اطلاعات هفته گذشته به رسانه‌ها گفت: این حملات در این سطحی که الان وجود دارد هیچ وقت نبوده و پیک حملات نسبت به کل ماکزیمم تاریخ قبلی از هفته قبل دوبرابر شده است.در موارد قبلی عمدتا با خارج کردن سرور سایت (مسدود کردن سایت یا آی پی قربانی به‌طور موقت) یا استفاده از امکاناتی فنی با ترافیک‌های جعلی مقابله می‌کردند. یکی از این امکانات بهره‌گیری از CDN است که راهکار اصلی مقابله با اینگونه حملات است. CDN (شبکه تحلیل محتوا) با توزیع کردن محتوا در نقاط مختلف جهان، با حمله متمرکز ترافیک جعلی مقابله می‌کند.اما در حملات اخیر مستقیما آی‌پی برخی شرکت‌های خدمات‌دهنده اینترنت و میزبان سایت (که ممکن است سرور وب‌سایت‌ها یا سرویس‌های موردنظر حمله‌کننده را هم میزبانی کنند) مورد حمله قرار گرفته است، حملاتی بی‌سابقه که گفته می‌شود دیتاسنترهای ایرانی برای مقابله با آن آماده نبوده‌اند. نتایج این حملات به افت شدید پهنای باند این دیتاسنترها منجر شده که نتایج آن را در هفته گذشته در وضعیت کیفیت اینترنت شاهد بودیم. هزینه گران مقابله با حملاتمقابله با حملات در سطح پایین‌تر عمدتاتوسط شرکت‌ها و تمهیدات فنی قابل‌حل است اما حملات با ترافیک‌های گسترده و به اصطلاح ترابیتی اساسا قابل‌تمهید هم نیست. هرچند هزینه حملات سنگین‌تر بسیار گران است اما حملات کوچک با هزینه بسیار پایین (در حد ۵ دلار برای چند ثانیه) قابل‌انجام است. برخی از سایت‌هایی که چنین حملاتی را ارائه می‌کنند حتی از بیت‌کوین بهره می‌گیرند تا خریدار واقعی ناشناس بماند.فرهاد فاطمی ناخدای فنی ابرآروان درباره نحوه مقابله با این حملات به «دنیای‌اقتصاد» گفت: «در دنیا برخی شرکت‌ها با تمهید Scrubbing Center ترافیک آلوده را به اصطلاح از ترافیک واقعی تفکیک می‌کنند که هم‌اکنون توسط شرکت زیرساخت برای اینترنت ایران از چنین مدلی بهره گرفته می‌شود.»با این حال معماری شبکه اینترنت ایران به این‌گونه است که کلیه پهنای باند اینترنت باید توسط یک شرکت (شرکت زیرساخت) خریداری، وارد کشور و توزیع شود. فاطمی می‌گوید: «راهکار قطعی برای برخی از این حملات در دنیا هم وجود ندارد، این حملات انجام می‌شود و ضررهای هنگفتی می‌زند. برخی در دنیا از همان روش Scrubbing Center استفاده می‌کنند و برخی دیگر از CDN اما چون همه شرکت‌های خدمات‌دهنده و میزبان اینترنت در ایران از شرکت زیرساخت خدمات می‌گیرند، اینترنت کل کشور تحت‌تاثیر قرار می‌گیرد.»علیرضا شیرازی بنیانگذار بلاگفا و متخصص فنی دیتاسنتر به «دنیای‌اقتصاد» گفت: واقعیت این است سخت‌افزارها و حتی فایروال‌های مورد نیاز برای چنین حملاتی در سطح سرویس‌های بزرگ بسیار گران است و ما فعلا تجهیزات مقابله با حملات بسیار گسترده را نداریم. حمله‌کنندگان و روش‌های مقابلهبسیاری از متخصصان می‌گویند یافتن مهاجمان واقعی و انگیزه‌های اصلی آنان اصلا ساده نیست. سجاد بنابی عضو هیئت‌مدیره زیرساخت گفت: احتمال می‌دهم منشأ این حملات رقبای داخلی کسب‌وکارها باشند؛ اما واقعیت این است که عمده ترافیک این حملات از خارج از کشور می‌آید. علیرضا شیرازی می‌گوید سخن گفتن از دلایل پشت پرده و افراد پشت حملات ساده نیست؛ چراکه انگیزه‌های متعددی می‌تواند برای این حملات وجود داشته باشد؛ هرچند حملاتی با انگیزه افت کیفیت اینترنت ایران می‌تواند انگیزه‌های فراتر از رقابت‌های کسب‌و‌کار داشته باشد. یک روش ایران برای مقابله با چنین حملاتی خارج کردن دسترسی از خارج از کشور به سایت و سرور مربوطه است. به این روش ایران اکسس می‌گویند که شرکت زیرساخت چنین روشی را در مواردی به کار گرفته است. بنابی، عضو هیات‌مدیره زیرساخت به «ایرنا» می‌گوید: معمولا وقتی در لایه زیرساخت با حمله مقابله می‌کنیم نیاز به قطع اینترنت بین‌الملل یا دسترسی ایران اکسس داریم، گاهی هم خود سرویس‌دهنده (مثلا پارس آنلاین، شاتل و...) چاله سیاهی درست می‌کنند که آی‌پی قربانی را از بیرون کسی نبیند. پاشنه آشیل ایران در حملات اینترنتیمعماری اینترنت ایران بر اساس قانون شرکت‌های خدمات دهنده را از گرفتن پهنای باند به‌طور مستقیم از خارج از کشور منع می‌کند. این ویژگی طی این سال‌ها باعث شده که شرکت زیرساخت به انحصار پهنای باند متهم شود؛ انحصاری که افزایش قیمت تمام‌شده اینترنت برای کاربر نهایی یکی از نتایج آن است.حالا این انحصار به پاشنه آشیل اینترنت ایران در مقابله با این حملات هم منجر شده است. متخصصان معتقدند وضعیت ایده‌آل این بود که شرکت‌ها هرکدام خودشان به پهنای باند دسترسی داشتند از روش‌ها و شیوه‌های مختلف مستقلا به اینترنت متصل می‌شدند یا حتی از شرکت‌های مختلف ارائه‌دهنده خدمات مقابله با DDos سرویس می‌گرفتند؛ چیزی که احتمالا به دلیل تحریم‌ها برای شرکت دولتی زیرساخت ساده نیست. علیرضا شیرازی می‌گوید: در صورتی که شرکت‌های اصلی سرویس دهنده در ایران خود به اینترنت متصل بودند در هنگام بروز چنین حمله‌ای کل شبکه اینترنت کشور دچار افت نمی‌شد و تنها همان یک شرکت تحت‌تاثیر حمله قرار می‌گرفت و از دسترس خارج می‌شد.حملات اینترنتی ۱۰ روز اخیر آخرین حملات از این دست نخواهد بود. با رشد روزافزون سرویس‌های اینترنتی و وابسته شدن کاربران به آن حالا تمهیدات جدید و تازه‌ای مورد نیاز است. ]]> خبر Sat, 22 Feb 2020 11:28:00 GMT http://www.aftana.ir/fa/doc/news/16382/پاشنه-آشیل-ایران-مقابل-حملات-اینترنتی Netwalker کاربران سازمانی ویندوز را هدف گرفته است http://www.aftana.ir/fa/doc/news/16381/netwalker-کاربران-سازمانی-ویندوز-هدف-گرفته باج‌افزاری با نام Mailto یا Netwalker در حال انتشار است که دستگاه‌های دارای سیستم عامل Windows را در شبکه‌های سازمانی هدف قرار می‌دهد.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، با در نظر گرفتن اخاذی‌های با مبالغ بالا توسط مهاجمان و پرداخت‌های هنگفت از سوی قربانیان در جریان حملات باج‌افزاری بر ضد سازمان‌ها، استقبال نویسندگان باج‌افزار از اجرای این نوع حملات هدفمند در حال افزایش است. یکی از جدیدترین نمونه‌های آن، انتشار باج‌افزاری با نام Mailto است که با عنوان Netwalker نیز شناخته می‌شود. این باج‌افزار دستگاه‌های با سیستم عامل Windows را در شبکه‌های سازمانی هدف قرار می‌دهد.اگرچه در آگوست سال میلادی گذشته، نمونه فایلی رمزگذاری شده که به آن پسوند Mailto الصاق شده‌بود به سایت ID Ransomware ارسال شد، اما به نظر می‌رسد جزییات آن تا قبل از آلوده شدن شبکه Toll Group، یکی از بزرگ‌ترین شرکت‌های ترابری استرالیایی به این باج‌افزار حدود دو هفته قبل، مورد توجه منابع امنیتی قرار نگرفته‌بود.در فایل اجرایی نمونه‌ای از باج‌افزار Mailto که اخیراً به دست محققان رسید این‌طور وانمود می‌شود که فایل متعلق به یک نرم‌افزار مدیریت رمزهای عبور با نام Sticky Password است.با اجرای آن، باج‌افزار بر اساس تنظیماتی که در کد آن لحاظ شده‌است شروع به کار می‌کند. ازجمله این تنظیمات می‌توان به الگوی (Template) اطلاعیه باج‌گیری (Ransom Note)، نام‌های فایل اطلاعیه باج‌گیری، تعداد نویسه‌های شناسه/پسوند و فایل‌ها، پوشه‌ها و پسوندهای مستثنی شده اشاره کرد. بخشی از این پیکربندی‌ها در تصویر زیر نمایش داده شده‌است.برخی محققان معتقدند که پیکربندی Mailto در مقایسه با باج‌افزارهای متداول نسبتاً پیشرفته و پرجزییات است. در حالی که تقریباً در تمامی باج‌افزارها فایل‌ها، پوشه‌ها و پسوندهایی خاص از رمزگذاری شدن استثنا می‌شوند در فهرست سفید Mailto مجموعه‌ای به مراتب مفصل‌تر از این موارد در نظر گرفته شده است.در زمان رمزگذاری فایل‌ها، باج‌افزار، کلمه Mailto را در قالب .mailto[{mail۱}].{id} به فایل رمز شده الصاق می‌کند. برای مثال، نام و پسوند فایل ۱.doc پس از رمز شدن توسط یک نمونه از این باج‌افزار به ۱.doc.mailto[sevenoneone@cock.li],۷۷d۸b تغییر می‌کند.اطلاعیه باج‌گیری Mailto نیز در قالب {ID}-Readme.txt بر روی دستگاه قربانی ایجاد می‌شود. برای مثال، فایل اطلاعیه باج‌گیری در نمونه مذکور با نام ۷۷D۸B-Readme.txt بر روی دستگاه ذخیره می‌شود.اطلاعیه باج‌گیری شامل توضیحاتی در خصوص بلایی که بر سر فایل‌های کاربر آمده بوده و برای دریافت اطلاعات بیشتر ازجمله آگاهی از نحوه پرداخت باج، قربانی به دو نشانی ایمیل درج شده در اطلاعیه ارجاع می‌شود.هنوز مشخص نیست که این باج‌افزار حاوی ضعفی باشد که امکان دور زدن سازوکار رمزگذاری آن و رمزگشایی رایگان فایل‌ها را فراهم کند.در زمان شناسایی یک باج‌افزار جدید، معمولاً کاشف و شرکت‌های امنیتی برای نامگذاری آن از همان اسمی استفاده می‌کنند که برنامه‌نویس یا مهاجم به‌نحوی (در اطلاعیه باج‌گیری یا در بخشی از کد) با آن عنوان از آن یاد کرده است. اما اگر باج‌افزار فاقد چنین نشانه‌هایی باشد عموماً پسوند الصاقی به فایل رمز شده ملاک نامگذاری قرار می‌گیرد. بسیاری از قربانیان نیز در زمان مواجهه با آلودگی به باج‌افزار ناخواسته از رویکرد دوم تبعیت می‌کنند.در خصوص باج‌افزار یاد شده در این خبر، در ابتدا محققان کاشف آن به دلیل نیافتن کلمه یا عبارتی خاص در باج‌افزار و فایل‌های وابسته بدان، بر اساس پسوند اقدام به انتخاب نام کردند. اما پس از مدتی، نمونه‌ای از رمزگشای (Decryptor) عرضه‌شده از سوی گردانندگان این باج‌افزار شناسایی شد که در آن این افراد صراحتاً از عبارت Netwalker استفاده کرده‌اند.با توجه به این یافته جدید احتمالاً در برخی محافل و منابع امنیت فناوری اطلاعات به‌جای Mailto با عنوان Netwalker به این باج‌افزار اشاره خواهدشد. ]]> خبر Sat, 22 Feb 2020 09:28:18 GMT http://www.aftana.ir/fa/doc/news/16381/netwalker-کاربران-سازمانی-ویندوز-هدف-گرفته آغاز موج جدید حملات بدافزار Loki Bot http://www.aftana.ir/fa/doc/news/16380/آغاز-موج-جدید-حملات-بدافزار-loki-bot کارشناسان امنیت سایبری شرکت ترندمیکرو به‌تازگی موج جدیدی از حملات سایبری بدافزار Loki Bot را شناسایی کرده‌اند.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به‌تازگی کارشناسان شرکت امنیت سایبری ‌ترندمیکرو موج جدیدی از حملات سایبری بدافزار لوکی‌بات (Loki Bot) را شناسایی کرده‌اند که تحت پوشش نرم‌افزار لانچر شرکت اپیک گیمز (Epic Games) انجام می‌شود. این بدافزار قادر است رمز عبور اکانت‌های کاربران را از طریق مرورگرها، برنامه‌های ایمیل، کلاینت‌های FTP، پیام‌رسان‌ها و کیف پول‌های ارز دیجیتال جمع‌آوری و سرقت کرده و به اپراتورهای خود ارسال کند.لوکی‌بات همچنین قادر است به‌عنوان کی‌لاگر عمل کرده و کلیه فعالیت‌های کاربر روی مرورگر و دسکتاپ را ردیابی کند.این بدافزار همیشه در ابتدا درقالب ایمیل‌های فیشینگ ارسال گشته و یک روش نصب غیرمعمول دارد و آنتی‌ویروس‌ها به‌سختی می‌توانند آن را شناسایی کنند. اپراتورهای لوکی‌بات در حملات جدید خود اقدام به ارسال ایمیل‌های فیشینگ کرده و خود را به‌عنوان نرم‌افزار لانچر شرکت اپیک‌گیمز معرفی کرده‌اند که بازی محبوب فورتنایت (Fortnite) را توسعه داده است. آنها در این ایمیل‌ها از نرم‌افزار جعلی لانچر اپیک گیمز بهره برده و برای مشروعیت دادن به خود از لوگوی شرکت مذکور استفاده کرده‌اند.لوکی‌بات هنگام آلوده سازی، دو فایل در سیستم هدف کپی می‌کند که یکی از آن‌ها فایل سورس کد به زبان C# بوده و دیگری یک فایل اجرایی .NET در %AppData% directory سیستم است. این بدافزار با کدهایی که به زبان C# مبهم سازی شده است، از دید آنتی‌ویروس‌ها مخفی می‌ماند. برنامه اپیک گیمز یکی از سرشناس‌ترین لانچرها به شمار می‌آید و کاربران از طریق آن می‌توانند تمام بازی‌های مربوط به شرکت اپیک گیمز را بدون بروز مشکلی دانلود نمایند.اپیک‌گیمز یک شرکت توسعه‌دهنده و منتشرکننده بازی آمریکایی است که در سال ۱۹۹۱ توسط Tim Sweeney بنیان‌گذاری شده‌است. این کمپانی یک موتور قدرتمند بازی‌سازی به نام Unreal Engine را ساخته و از طریق آن بازی‌های زیادی منتشر کرده است که یکی از آنها فورتنایت است. ]]> خبر Sat, 22 Feb 2020 07:31:50 GMT http://www.aftana.ir/fa/doc/news/16380/آغاز-موج-جدید-حملات-بدافزار-loki-bot انتشار نسخه جدید Loda با قابلیت‌های جدید http://www.aftana.ir/fa/doc/news/16379/انتشار-نسخه-جدید-loda-قابلیت-های نتیجه بررسی و رصد نسخه جدیدی از تروجان Loda طی چند ماه گذشته توسط محققان امنیت سایبری شرکت سیسکو از ارتقای قابلیت‌های این بدافزار حکایت دارد.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نخستین نسخه از Loda در سال ۲۰۱۶ شناسایی شد. این تروجان دسترسی از راه دور (Remote Access Trojan – به اختصار RAT) که به زبان AutoIt نوشته شده با قابلیت‌هایی از قبیل ضبط کلیدهای فشرده شده (Keylogger)، ثبت نماگرفت (Screenshot)، اجرا و بستن فرایندها و دریافت کدهای مخرب و بدافزارهای دیگر با برقراری ارتباط با سرور فرماندهی (C2) خود قادر به دسترسی یافتن، استخراج کردن و سرقت نمودن اطلاعات سیستم و کاربر است. نتیجه بررسی و رصد نسخه جدیدی از این تروجان طی چند ماه گذشته توسط محققان شرکت Cisco از ارتقای قابلیت‌های این بدافزار حکایت دارد.آخرین نسخه این بدافزار ۱,۱.۱ است و در آن تلاش شده تا با تجدید ساختار روش‌های موسوم به مبهم‌سازی (Obfuscation) بکار رفته در نسخ پیشین، قابلیت‌های مخرب Loda از دید محصولات امنیتی و تحلیلگران بدافزار مخفی نگاه داشته شود. ضمن اینکه در آن سازوکارهای جدیدی در ماندگار ساختن خود بر روی سیستم پس از خاموش یا راه‌اندازی مجدد شدن دستگاه لحاظ شده است.مشابه با نسخه‌های پیشین، در این نسخه نیز اکثر رشته‌های مندرج و متغیرهای مورد استفاده در کد Loda رمزگذاری شده است. بر خلاف نسخ پیشین که در آن‌ها با استفاده از تابعی با احتمال خطا تلاش می‌شد تا نام ضدویروس بر روی دستگاه استخراج شود، در نسخه جدید با اجرای پرسمان‌های (Query) مبتنی بر WMI، تروجان Loda قادر به شناسایی نرم‌افزار ضدویروس نصب شده بر روی دستگاه است.از دیگر قابلیت‌های جدید Loda توانایی آن در استخراج محتوای "filezilla\recentservers.xml\" است که حاوی اطلاعاتی همچون نشانی‌های IP، نام‌های کاربری و رمزهای عبور مورد استفاده بر روی سرورهای FileZilla است.در جریان اجرای حملات اخیر ۴success[.]zapto[.]org و success۲۰[.]hopto[.]org در نقش سرور فرماندهی عمل می‌کرده‌اند.دامنه‌های مذکور نقشی کلیدی در زنجیره آلودگی Loda داشته و فایل‌هایی نظیر اسناد Word را که در نهایت ناقل کدهای مخرب این تروجان هستند میزبانی می‌کنند.حمله با روش آشنای ارسال ایمیل فیشینگ و با پیوست سندی با محتوای مخرب آغاز می‌شود. نام فایل پیوست یک نمونه بررسی شده توسط محققان، comprobante de confirmación de pago.docx گزارش شده که کد Office Open XML تزریق شده در آن به سندی دوم که فایلی با قالب Rich Text Format – به اختصار RTF – بر روی lcodigo[.]com است اشاره می‌کند.برچسب نویسنده (Author Tag) در مشخصات فایل، obidah qudah است که در نزدیک به ۱۳۰۰ سند ارسال شده به سایت VirusTotal از سال ۲۰۱۷ به چشم می‌خورد.برای مخفی کردن عملکر مخرب سند، یک بهره‌جوی OLE در فایل RTF تزریق شده و از ترفندی به‌منظور جلوگیری از خوانده شدن شیء (Object) مورد استفاده در آن بهره گرفته شده‌است.در صورت دریافت آن، سند دوم تلاش می‌کند تا از آسیب‌پذیری CVE-۲۰۱۷-۱۱۸۸۲ که ضعفی از نوع بروز اختلال در حافظه (Memory Corruption) در نرم‌‌افزارهای زیر است بهره‌جویی شود:Microsoft Office ۲۰۰۷ Service Pack ۳Microsoft Office ۲۰۱۰ Service Pack ۲Microsoft Office ۲۰۱۳ Service Pack ۱Microsoft Office ۲۰۱۶بهره‌جویی از این آسیب‌پذیری امکان اجرای کد به‌صورت از راه دور را فراهم می‌کند. در نمونه‌های دیگری از این تروجان که پیش‌تر توسط شرکت Cofense مورد بررسی قرار گرفته بود، در ایمیل‌های دروغین و در ظاهر مرتبط با بیمه عمر، اشتراک و تغییرات در سیاست‌های Amazon از آسیب‌پذیری یکسانی بهره‌جویی شده بوده است. در آخرین مرحله از زنجیره آلودگی، پس از اجرای بهره‌جو، Loda در قالب یک فایل MSI بر روی دستگاه نصب می‌شود.علی‌رغم سادگی روش انتشار این تروجان ، قابلیت‌های آن به شدت مخرب است. توانایی آن در سرقت اطلاعات اصالت‌سنجی می‌تواند منجر به ضررهای مالی یا نشت اطلاعات شود. بهبودهای اعمال شده در آن ازجمله سازوکارهای ماندگاری این تروجان و قابلیت شناسایی محصولات ضدویروس از تکامل مستمر Loda توسط نویسندگان آن حکایت دارد. ]]> خبر Sat, 22 Feb 2020 05:27:19 GMT http://www.aftana.ir/fa/doc/news/16379/انتشار-نسخه-جدید-loda-قابلیت-های مسدودسازی میلیاردها نصب بدافزار توسط Google Paly Protect http://www.aftana.ir/fa/doc/news/16377/مسدودسازی-میلیاردها-نصب-بدافزار-توسط-google-paly-protect سال گذشته ۱.۹ ميليارد نصب بدافزار از منابع غيرگوگلی توسط PLAY PROTECT مسدودشد.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Google Paly Protect در سال ۲۰۱۹، بیش از ۱.۹ میلیارد نصب برنامه‌ مخرب از منابع غیررسمی مانند فروشگاه‌های شخص ثالث برنامه‌های کاربردی را مسدود کرده‌است. این تعداد در سال ۲۰۱۷ و ۲۰۱۸، ۱.۶ میلیارد گزارش شده‌بود.Google Paly Protect یک برنامه‌ حفاظت در برابر بدافزار است که از قبل بر روی دستگاه‌‌های اندرویدی رسمی نصب شده‌است.  این میزان افزایش می‌تواند دو دلیل داشته‌باشد. اول اینکه Play Protect در شناسایی و متوقف‌کردن بدافزارها بهتر از سال‌های گذشته عمل کرده‌است. دلیل دوم می‌تواند این باشد که کاربران اندرویدی بیشتری به نصب برنامه‌های آلوده به بدافزار از خارج از Play Store فریب خورده‌اند یا از فروشگاه‌های شخص ثالث برای دسترسی به برنامه‌هایشان استفاده کرده‌اند، زیرا دسترسی به Play Store برایشان مسدود شده‌بود.قابلیت تشخیص اسکن و تشخیص بدافزار در نصب برنامه‌های غیر گوگلی از ویژگی‌های جدید سیستم‌عامل اندروید است که در ماه می سال ۲۰۱۷ اضافه شده‌است.پیش از این، کاربران اغلب برنامه‌های آلوده به بدافزار را از فروشگاه‌های شخص ثالث برنامه‌های کاربردی، سایت‌های بزرگسالان، سایت‌های آنلاین شرط‌بندی یا سایت‌های مختلف دیگر نصب می‌کردند.برای مقابله با این روند رو به رشد، گوگل در ماه می سال ۲۰۱۷، Play Protect را به عنوان یک ویژگی جدید که مطابق با برنامه‌های فروشگاه رسمی Play است، راه‌اندازی کرد.Play Protect در شکل فعلی خود دارای چندین ویژگی و عملکرد است، اما به طور مؤثر به عنوان یک برنامه ضد ویروس داخلی برای دستگاه‌های Android که دارای مجوز اجرای برنامه‌های رسمی Google هستند‌، کار می‌کند.به‌طور پیش‌فرض، Play Protect در مرحله‌ اول، تمامی برنامه‌های نصب شده در یک دستگاه را در فواصل منظمی اسکن می‌کند تا مطمئن شود به‌روزرسانی برنامه برای کاربر به‌صورت مخفیانه بدافزار نصب نمی‌کند. سپس نه فقط برنامه‌های جدیدی که از Play Store نصب شده‌اند را اسکن می‌‌کند، بلکه هر برنامه‌ی جدیدی که از هر منبع شخص ثالث نصب شده‌ است را نیز اسکن می‌کند.به گفته‌ گوگل، Play Protect در سال ۲۰۱۷ هر روز ۵۰ میلیارد برنامه‌ کاربردی را اسکن می‌کرد که این رقم تا سال ۲۰۱۸ نیز حفظ شده‌است. در ماه نوامبر سال ۲۰۱۸، گوگل با افزایش بدافزارهای شناخته‌شده (برنامه‌های بالقوه مضر (PHA))، در پایگاه داده‌ Play Protect، سرویس Paly Protect را ارتقا داد. گوگل این کار را با شروع به اسکن تمام اینترنت برای فایل‌های APK و فهرست‌کردن برنامه‌های مخرب، آغاز کرد، به جای اینکه مانند قبل منتظر بماند تا کاربران در دام یک برنامه‌ی مخرب بیفتند.به گفته‌ گوگل، نرخ اسکن روزانه‌ Paly Protect امروزه دوبرابر شده‌است و در حال حاضر بیش از ۱۰۰ میلیارد برنامه‌ اندرویدی را روزانه اسکن می‌کند. دلیل افزایش اسکن روزانه‌ی Paly Protect هم به افزایش تعداد کاربران اندرویدی مربوط می‌شود و هم به بهبود در ذخیره‌سازی دستگاه‌ها. زیرا دستگاه‌ها می‌توانند برنامه‌های بیشتری را نسبت به قبل ذخیره کنند.انتظار می‌رود در آینده، قابلیت Play Protect در شناسایی برنامه‌‌های مخرب حتی به بالاتر از ۱.۹ میلیارد برنامه‌ی کاربردی افزایش یابد. دلیل این انتظار این است که این سرویس در ماه نوامبر سال ۲۰۱۹ زمانی که گوگل با همکاری ESET، Lookout و Zimperium، App Defense Alliance (شریکی جهت بهبود شناسایی بدافزارها برای Play Store و Play Protect)را ایجاد نمود، ارتقای بزرگی یافت.طبق آمار گوگل،  Play Protect در حال حاضر بر روی بیش از دو میلیارد دستگاه اندرویدی اجرا می‌شود. ]]> خبر Wed, 19 Feb 2020 11:30:07 GMT http://www.aftana.ir/fa/doc/news/16377/مسدودسازی-میلیاردها-نصب-بدافزار-توسط-google-paly-protect شناسایی آسیب‌پذیری مهم در محصولات JUNIPER http://www.aftana.ir/fa/doc/news/16361/شناسایی-آسیب-پذیری-مهم-محصولات-juniper ‫آسیب‌پذیری با درجه اهمیت بالا کشف شده‌است که نسخه‌های مختلف سیستم‌عامل juniper به نام Junos OS را تحت تاثیر قرار می‌دهد.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک ‫آسیب‌پذیری با درجه بالا و به شناسه CVE-۲۰۲۰-۱۶۰۳ کشف شده‌است که نسخه‌های مختلف سیستم‌عامل juniper به نام Junos OS را تحت تاثیر قرار می‌دهد.مهاجم برای بهره‌برداری از این آسیب‌پذیری، بسته‌های مخرب IPv6 را می‌سازد و آنها را برای دستگاه آسیب‌پذیر ارسال می‌کند. این بسته‌ها باید توسط موتور پردازش و یا Routing Engine(RE) پردازش شوند، اما مهاجم این بسته‌ها را به گونه‌ای طراحی کرده‌است که توسط سیستم RE بلاک می‌شوند سپس RE به آنها اجازه می‌دهد تا از موتور پردازش خارج شوند. بنابراین مشکل نشت حافظه mbuf در دستگاه‌های Juniper Networks Junos OS اتفاق می‌افتد.درنهایت این نشت حافظه منجر به crash کردن هسته سیستم عامل می‌شود که برای بازگرداندن دستگاه به حالت عادی باید آن را reboot کرد که این منجر به حمله DoS می‌شود.این آسیب‌پذیری نسخه‌های مختلف سیستم عامل juniper را تحت تاثیر قرار می‌دهد. لیست زیر نسخه‌های آسیب‌پذیر را نشان می‌دهد:• ۱۶.۱ versions prior to ۱۶.۱R۷-S۶;• ۱۶.۱ version ۱۶.۱X۷۰-D۱۰ and later;• ۱۶.۲ versions prior to ۱۶.۲R۲-S۱۱;• ۱۷.۱ versions prior to ۱۷.۱R۲-S۱۱, ۱۷.۱R۳-S۱;• ۱۷.۲ versions prior to ۱۷.۲R۱-S۹, ۱۷.۲R۲-S۸, ۱۷.۲R۳-S۳;• ۱۷.۳ versions prior to ۱۷.۳R۳-S۶;• ۱۷.۴ versions prior to ۱۷.۴R۲-S۹, ۱۷.۴R۳;• ۱۸.۱ versions prior to ۱۸.۱R۳-S۷;• ۱۸.۲ versions prior to ۱۸.۲R۳-S۲;• ۱۸.۲X۷۵ versions prior to ۱۸.۲X۷۵-D۵۰, ۱۸.۲X۷۵-D۴۱۰;• ۱۸.۳ versions prior to ۱۸.۳R۱-S۶, ۱۸.۳R۲-S۲, ۱۸.۳R۳;• ۱۸.۴ versions prior to ۱۸.۴R۲-S۲, ۱۸.۴R۳;• ۱۹.۱ versions prior to ۱۹.۱R۱-S۳, ۱۹.۱R۲;• ۱۹.۲ versions prior to ۱۹.۲R۱-S۲, ۱۹.۲R۲.وصله مربوط به هرکدام از نسخه‌های آسیب‌پذیر منتشر شده‌است. به کاربران این سیستم عامل‌هایآسیب‌پذیر توصیه می‌شود که به‌روز رسانی را هرچه سریع تر انجام دهند. ]]> خبر Sun, 16 Feb 2020 07:30:25 GMT http://www.aftana.ir/fa/doc/news/16361/شناسایی-آسیب-پذیری-مهم-محصولات-juniper گوگل ۹۸درصد اپلیکیشن‌های سارق پیامک را مسدود کرد http://www.aftana.ir/fa/doc/news/16367/گوگل-۹۸درصد-اپلیکیشن-های-سارق-پیامک-مسدود گوگل گزارشی از میزان موفقیت خود در زمینه مقابله با اپلیکیشن‌های جاسوس و سارق اطلاعات منتشر کرده که نشان می‌دهد این شرکت در سال گذشته میلادی، ۹۸ درصد از این اپلیکیشن‌ها را مسدود کرد.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گوگل با افزایش کنترل‌های خود بر روی فروشگاه اینترنتی پلی استور در یک سال اخیر تلاش کرده تا مانع از فعالیت اپلیکیشن‌های جاسوس و مشکوک شود و آنها را به هر نحو ممکن شناسایی و مسدود کند.بر اساس گزارش جدید گوگل، این شرکت در سال ۲۰۱۹ توانسته ۹۸ درصد از اپلیکیشن‌هایی که به پیامک‌های کاربران دسترسی می‌یافتند و سابقه تماس‌های افراد را بررسی می‌کردند، مسدود کند.گوگل همچنین ۷۹۰ هزار اپلیکیشن ناقض سیاست‌های خود در حوزه حریم شخصی و امنیت کاربران را مسدود کرده و اجازه فعالیت آنها در پلی استور را نداده است.این شرکت پیش از این در می سال ۲۰۱۹ از به‌روز کردن سیاست‌های خود برای حذف ده‌ها هزار اپلیکیشن جاسوس و سارق خبر داده بود. ]]> خبر Mon, 17 Feb 2020 07:30:40 GMT http://www.aftana.ir/fa/doc/news/16367/گوگل-۹۸درصد-اپلیکیشن-های-سارق-پیامک-مسدود این کارها را با وای‌فای عمومی انجام ندهید http://www.aftana.ir/fa/doc/news/16188/این-کارها-وای-فای-عمومی-انجام-ندهید اگر نمی‌دانید که هنگام استفاده از اینترنت بی‌سیم عمومی چه کارهایی نباید انجام دهید حتما این مطلب را  بخوانید.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، استفاده از فناوری‌های مختلف همیشه لذت‌بخش است، مخصوصاً زمانی که فقط با یک اشاره انگشت وارد دنیای جدیدی می‌شوید، اما گاهی اتصال به اینترنت چندان هم بی‌خطر نیست چراکه ممکن است فقط با یک اشاره اشتباه امنیت اطلاعات‌تان به خطر بیفتد. در این گزارش با چند باید و نباید درباره استفاده از اینترنت بی‌سیم عمومی آشنا می‌شوید.۱- اتصال خودکارشبکه‌های وای‌فای درمجموع شیوه ارتباطی امنی نیست، اما از آن بدتر این است که کاربران از زمان اتصال خود به شبکه وای‌فای عمومی خبردار نباشند. یکی از دلایل این بی‌خبری وصل شدن خودکار اکثر گوشی‌ها غالب گوشی‌ها به شبکه وای‌فای است. این مسئله باعث می‌شود که به‌شدت در مقابل هکرها و کلاهبردارهای اینترنتی آسیب‌پذیر شوید. برای همین توصیه می‌شود که به بخش تنظیمات گوشی‌هایتان مراجعه کرده و اتصال خودکار را غیرفعال کنید. حتی وقتی‌که اتصال خودکار را غیرفعال کرده‌اید بازهم مراقب باشید که چه شبکه‌ای را برای استفاده انتخاب کرده‌اید.۲- پرداخت و امور مالیهیچ‌وقت با شبکه‌های وای‌فای عمومی عملیات بانکی و پولی انجام ندهید. مهاجمان اینترنتی ممکن است اطلاعات حساب بانکی شما را به سرقت ببرند. دو خطر عمده که شما را در اتصال به وای‌فای عمومی تهدید می‌کند یکی «حمله مرد میانی» است که در این نوع  شیوه هک، فرد خود را به‌جای فرد دیگری جا می‌زند و دیگری امنیت نداشتن خود شبکه وای‌فای عمومی است به خاطر اینکه حریم شخصی ندارد.۳- به اشتراک‌گذاری رمز عبورکاربران وای‌فای عمومی نباید از سایت‌هایی استفاده کنند که مجبور به وارد کردن نام کاربری و کلمه عبور شوند. با این کار شما نام کاربری و کلمه عبور خود را در معرض لو رفتن قرار می‌دهید. ممکن است فکر کنید که رمز شما کدگذاری شده و قابل‌ دیدن نیست، اما هکرهایی که از بستر وای‌فای عمومی استفاده می‌کنند می‌توانند قبل از  کدگذاری رمز عبور شما، آن را رصد کنند.۴- خرید کردنبهتر است در هنگام استفاده از وای‌فای عمومی خرید اینترنتی انجام ندهید. وقتی در بستر وای‌فای عمومی فرایند پرداخت هزینه‌های خریدتان را انجام می‌دهید در عمل کلمه عبور و مشخصات کارت اعتباری خود را در کل اینترنت پخش می‌کنید حتی در وب‌سایت‌هایی که امنیت دارند یک هکر می‌تواند نرم‌افزار کی‌‌لاگینگ (Keylogging) را در شبک وای‌فای نصب کند. این نرم‌افزار به‌منزله وسیله اتصال کوچکی است که در نقش واسط بین صفحه‌ کلید و کامپیوتر عمل می‌کند و می‌توان با کمک آن داده‌های خصوصی را به دست آورد.۵- وصل شدن به شبکه‌های کاری (اتوماسیون اداری)یکی از مزیت‌های وای‌فای عمومی این است که می‌توانیم با استفاده از آن، کارهای فوری مربوط به محل کارمان را هم انجام دهیم، اما کارشناسان توصیه می‌کنند که با وای‌فای عمومی به سرویس‌های مرتبط با محل کارتان متصل نشوید. استفاده از سرویس‌هایی مانند ایمیل کاری، ارتباط با مشتری، ابزارهای مدیریتی و نرم‌افزارهای حسابداری ازجمله سرویس‌هایی است که نباید از آن استفاده کرد. هکرها با دسترسی به اطلاعات شما می‌توانند به بخش‌های مختلف شرکت نفوذ کنند و در صورت هک شدن ممکن است ضرر میلیاردی به محل کارتان وارد کنید. این مسئله درباره ایمیل شخصی شما هم وجود دارد. کارشناسان معتقدند که مجرمان اینترنتی می‌توانند داده‌های ایمیل‌های شما را به سرقت ببرند و از اطلاعات ایمیل شما علیه خودتان استفاده کنند: از اخاذی گرفته تا شکستن حریم خصوصی شما.۶- آدرس‌های بدون HTTPSبسیاری از کاربران به آدرس وب‌سایتی که به آن وارد می‌شوند توجه ندارند. کارشناسان می‌گویند که فقط باید از وب‌سایت‌هایی استفاده کرد که در نوار بالایی مرورگر، پیش از نشان داده شدن آدرس وب‌سایت از HTTPS استفاده‌ شده‌است. در غیر این صورت تقریباً می‌توانید هرچه را که می‌بینید و می‌نویسید در معرض لو رفتن تصور کنید. البته تلفن‌های هوشمند و مرورگرها احتمالاً به شما هشدار می‌دهند سایتی که به آن وارد شده‌اید امن نیست.۷- جست‌وجوهای شخصیهنگام استفاده از وای‌فای عمومی باید مراقب جست‌وجو و وب‌گردی خود باشید؛ چراکه باید فرض کنید یک نفر دائماً در حال دیدن چیزهایی است که جست‌وجو می‌کنید. ممکن است شما چیزهایی شخصی را جست‌وجو کنید که دوست نداشته‌باشید دیگران در مورد آن بدانند.۸- به اشتراک‌گذاری اطلاعاتفکرش را هم نکنید که از به اشتراک‌گذاری اطلاعات در هنگام استفاده از وای‌فای عمومی استفاده کنید. به اشتراک‌گذاری خودکار اطلاعات در کامپیوتر یا گوشی تلفن‌تان را غیرفعال کنید. کامپیوتر یا گوشی شما نباید برای گوشی یا کامپیوترهای دیگر در دسترس باشد چون ممکن است بدافزارهایی را دریافت کنید که آسیب جدی به رایانه و تلفن شما بزند یا کل داده‌هایتان را به سرقت ببرد. ]]> خبر Thu, 20 Feb 2020 06:38:20 GMT http://www.aftana.ir/fa/doc/news/16188/این-کارها-وای-فای-عمومی-انجام-ندهید نمایه‌های کاربران با به‌روزرسانی ویندوز ۱۰ مختل می‌شود http://www.aftana.ir/fa/doc/news/16365/نمایه-های-کاربران-به-روزرسانی-ویندوز-۱۰-مختل-می-شود مایکروسافت به تازگی دومین به‌روزرسانی را برای سیستم عامل ویندوز ۱۰ عرضه کرد که نصب آن باعث می‌شود نمایه‌های کاربران مخفی شده و از دسترس خارج شود.به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بررسی‌ها نشان می‌دهد مشکلی در بسته به روزرسان KB۴۵۳۲۶۹۳ ویندوز ۱۰ وجود دارد که پس از نصب موجب مخفی شدن نمایه‌های کاربری افراد و داده‌های ذخیره شده از طریق آنها می‌شود.البته این مشکل بر روی برخی رایانه‌های مجهز به ویندوز ۱۰ به وجود آمده و همین مسئله موجب اعتراض‌های شدید کاربران در شبکه‌های اجتماعی شده‌است.کاربران می‌گویند بعد از به‌روزرسانی ویندوز ۱۰، نمایه کاربری پیش‌فرض آن به نمایش درمی‌آید و تمامی اطلاعات قبلی مانند برنامه‌های نصب شده، کاغذ دیواری‌های دسکتاپ، فایل‌های دسکتاپ، داده‌های بارگذاری شده و غیره از دسترس خارج می‌شوند.بررسی‌های مؤسسه امنیتی بلیپینگ کامپیوتر نشان می‌دهد اطلاعاتی که بدین‌ترتیب غیرقابل دسترس می‌شوند فقط در رایانه مخفی شده‌اند و با پاک کردن بسته دردسرساز به‌روزرسان از مسیر Windows Update>> View update history>> Uninstall updates و کلیک راست بر روی KB۴۵۳۲۶۹۳ برای پاک کردن این بسته، مشکل برطرف می‌شود. ]]> خبر Sun, 16 Feb 2020 13:25:10 GMT http://www.aftana.ir/fa/doc/news/16365/نمایه-های-کاربران-به-روزرسانی-ویندوز-۱۰-مختل-می-شود