02632533311
02632533311

هیچ محصولی در سبد خرید نیست.

هک برچسب
خانه پست های برچسب شده "هک"
اخبار

محققان افزایش نگران کننده ای را در حملات فرصت طلبانه سایبری شناسایی کرده اند که از یک #آسیب پذیری مهم RCE (CVE-2022-47966) که 24 محصول Zoho ManageEngine را تحت تاثیر قرار می دهد، سوء استفاده می کند.

چندین عامل تهدید مشاهده شده ‌اند که از 20 ژانویه 2023 به‌ طور فرصت‌ طلبانه یک آسیب‌ پذیری امنیتی حیاتی وصله ‌شده را که چندین محصول Zoho ManageEngine را تحت تأثیر قرار می ‌دهند، مسلح می‌ کنند.

نقص اجرای کد از راه دور که به‌عنوان CVE-2022-47966 ردیابی می‌شود ( امتیاز ( CVSS: 9.8 ، امکان تسخیر کامل سیستم‌های حساس توسط مهاجمان غیرقانونی را فراهم می‌کند.

24 محصول مختلف از جمله Access Manager Plus، ADManager Plus، ADSelfService Plus، Password Manager Pro، Remote Access Plus و Remote Monitoring and Management (RMM) تحت تاثیر این مشکل قرار دارند.

Martin Zugec  از Bitdefender در مشاوره فنی به اشتراک گذاشته شده با The Hacker News گفت : این نقص به دلیل استفاده از outdated third-party dependency برای اعتبارسنجی امضای  XML signature وApache Santuario امکان اجرای کد از راه دور غیرقابل تأیید را می دهد.

به گفته شرکت امنیت سایبری رومانیایی ، گفته می ‌شود که تلاش‌ های بهره ‌برداری از یک روز پس از انتشار proof-of-concept (PoC) شرکت آزمایش نفوذ Horizon3.ai در ماه گذشته آغاز شده است.

اکثر قربانیان حمله در استرالیا، کانادا، ایتالیا، مکزیک، هلند، نیجریه، اوکراین، بریتانیا و ایالات متحده هستند.

هدف اصلی حملات شناسایی شده تا به امروز حول نصب و گسترش نرم افزارهایی بر روی میزبان های آسیب پذیر مانند Netcat و Cobalt Strike Beacon  می چرخد.

برخی از نفوذها از دسترسی اولیه برای نصب نرم‌ افزار AnyDesk برای دسترسی از راه دور استفاده کرده اند ، در حالی که برخی دیگر سعی کرده‌ اند نسخه‌ ای از یک نوع باج ‌افزار به نام Buhti را نصب کنند .

بیشتر بخوانید
bpapir 8 اسفند, 1401 0 Comments
اخبار

جاسوسی و جمع‌آوری اطلاعات از طریق ابزارها و روش‌های مختلفی قابل انجام است که در این مقاله به این موضوع می‌پردازیم.

خبر ساقط شدن یک بالون جاسوسی منتصب به چین بر فراز ایالات‌متحده، علاقه به نحوه جاسوسی دولت‌ها و ملت‌ها از یکدیگر را برانگیخته است.

البته اینکه این بالون بر فراز مناطق نظامی ایالات‌متحده شناور بوده و قصد جاسوسی داشته تأیید نشده است. چین اعلام کرده است که این یک کشتی هوایی غیرنظامی بوده که برای تحقیقات آب و هوایی مستقر شده و در خارج‌ازمسیر باد منفجر شده است. بااین‌وجود، اتهام تهدید بالقوه جاسوسی ایالات‌متحده را در آغوش گرفته است.

و این موضوعی منطقی است. نمی‌توان در مورد اهمیت هوشمندی‌های مختلف اغراق کرد. کشورها بر اساس آن تصمیمات مهم سیاسی، اقتصادی و نظامی می‌گیرند.

درحالی‌که مردم ممکن است در مورد ایده استفاده از یک بالون برای شناور شدن غیرفعال بالای یک کشور برای جاسوسی از آن بخندند، واقعیت این است که وقتی صحبت از برتری بر دشمنان شما می‌شود، همه‌چیز پیشروی خواهد کرد؛ بنابراین، چه راه‌هایی وجود دارد که ملت‌ها امروز اطلاعات را جمع‌آوری می‌کنند؟

جاسوسی از طریق سیگنال‌ها

یکی از راهبرد‌های اصلی جمع‌آوری اطلاعات، جاسوسی از طریق سیگنال‌ها است. این موضوع شامل استفاده از انواع فناوری‌های زمینی و فضایی برای هدف‌گیری سیگنال‌ها و ارتباطاتی است که از دستگاه یا دستگاه‌های هدف می‌آیند.

نتایجی که «محصول» نامیده می‌شود، اغلب اطلاعات بسیار حساسی را نشان می‌دهد که توضیح می‌دهد که چرا اطلاعات سیگنال‌ها نیز بحث‌برانگیزترین شکل جاسوسی است.

کشورهایی که این قابلیت را به سمت درون خود می‌برند، با انتقاد فزاینده‌ای از سوی کسانی که در شبکه گیر افتاده‌اند و از سوی شهروندانی که به حفظ حریم خصوصی اهمیت می‌دهند، مواجه خواهند شد. در سال 2013، ادوارد اسنودن استفاده آژانس امنیت ملی ایالات‌متحده از اطلاعات سیگنال‌ها را برای جمع‌آوری داده‌های انبوه از مردم فاش کرد. دولت ایالات‌متحده از آن زمان برای متقاعد کردن شهروندان تلاش کرده عنوان کند که اقدامات آژانس امنیت ملی این کشور عمدتاً بر پایه جمع‌آوری‌های خارجی متمرکز بوده است.

کاخ سفید نیز اخیراً فرمان اجرایی در این زمینه منتشر کرده است.

جاسوسی ژئو فضایی

جاسوسی ژئوفضایی به فعالیت‌های انسانی در سطح و زیرزمین، ازجمله آبراه‌ها، مربوط می‌شود. به‌طورکلی این جاسوسی بر ساخت‌وسازهای نظامی و غیرنظامی، تحرکات انسانی (مانند جابجایی پناهندگان و مهاجران) و استفاده از منابع طبیعی متمرکز است.

اطلاعات ژئوفضایی از اطلاعات به‌دست‌آمده از طریق ماهواره‌ها، هواپیماهای بدون سرنشین، هواپیماهای ارتفاع بالا و بله حتی بالن‌ها بهره‌برداری می‌کند!

بالن‌های جاسوسی می‌توانند نه‌تنها تصاویر و سیگنال‌ها، بلکه تجزیه‌وتحلیل‌های شیمیایی هوا را نیز جمع‌آوری کنند. آن‌ها متداول نیستند، زیرا این رویکرد فاقد قابلیت انکار قابل‌قبول است و همان‌طور که دیدیم، بالون‌ها به‌راحتی مشاهده و ساقط خواهند شد. از سوی دیگر، احتمال ردیابی آن‌ها در فضای رادار کم بوده، ارزان هستند و می‌توانند بی‌ضرر به نظر برسند.

جاسوسی تصویری

ازجمله جاسوسی‌های با ارتباط تنگاتنگ با جاسوسی ژئوفضایی، می‌توان جاسوسی تصویری را نام برد که اغلب با استفاده از ماهواره‌ها، پهپادها و هواپیماها انجام می‌شود.

نتیجه این روش اطلاعاتی است که از مجموعه بالای تصاویر فعالیت‌های غیرنظامی و نظامی به دست می‌آید. اطلاعات تصویری اغلب بر حرکات استراتژیک نیروها و سیستم‌های تسلیحاتی متمرکز است و به‌طور خاص پایگاه‌های نظامی، زرادخانه‌های هسته‌ای و سایر دارایی‌های استراتژیک را هدف قرار می‌دهد.

جاسوسی از طریق ردیابی

یکی از شکل‌های بسیار فنی جمع‌آوری اطلاعات که به‌ندرت به آن اشاره می‌شود، جاسوسی از طریق اندازه‌گیری و ردیابی است. این دسته شامل اطلاعاتی است که از ردیابی الکترومغناطیسی منحصربه‌فرد راکت‌ها، سیستم‌های فرماندهی و کنترل، سیستم‌های رادار و تسلیحاتی و سایر تجهیزات نظامی و غیرنظامی به دست می‌آید.

جمع‌آوری داده‌ها با استفاده از ابزارهای پیشرفته انجام می‌شود که به‌طور خاص برای شناسایی و طبقه‌بندی تابش‌های الکترومغناطیسی طراحی شده‌اند. در میان سایر روش‌ها، این شکل از جمع‌آوری اطلاعات امکان شناسایی از راه دور استقرار سلاح‌ها و اطلاعات دقیق در سکوهای فضایی را فراهم خواهد کرد.

جاسوسی سایبری

جاسوسی سایبری عموماً با اطلاعات سیگنال‌ها ترکیب می‌شود، اما ازاین‌جهت متمایز است که از تعامل مستقیم انسانی (مانند هکرها) برای نفوذ به سیستم‌های محافظت‌شده و دسترسی به داده‌ها استفاده می‌کند.

جاسوسی سایبری به جمع‌آوری آشکار و پنهان اطلاعات از شبکه‌های دوستانه و متخاصم اشاره دارد. می‌توان آن را از طریق جمع‌آوری سیگنال‌ها، بدافزارها یا از طریق دسترسی غیرمجاز مستقیم هکرها به سیستم به دست آورد. کشورها حتی ممکن است شبکه‌های متحدان خود را نیز هدف قرار دهند.

یکی از نمونه‌های جاسوسی سایبری، سرقت اطلاعات دفتر مدیریت کارکنان ایالات‌متحده در سال 2015 بود. این سرقت برای جمع‌آوری تمام اطلاعات موجود در مورد کارکنان دولت و ارتش ایالات‌متحده که برای مجوز امنیتی غربالگری شده بودند، طراحی شده بود.

جاسوسی منبع باز

جدیدترین رشته مجموعه اطلاعات، جاسوسی منبع باز است. در اواخر دهه 1980، جاسوسی منبع باز از منابع اولیه مختلفی مانند روزنامه‌ها، وبلاگ‌ها، پست‌ها و گزارش‌های رسمی و منابع ثانویه مانند افشای اطلاعات در سایت‌هایی ازجمله ویکی لیکس ( WikiLeaks ) ، اینترسپت (The Intercept) و رسانه‌های اجتماعی به دست می‌آمد.

اگرچه این اطلاعات به‌راحتی در دسترس‌اند، اما تبدیل آن به اطلاعات قابل‌اجرا به ابزارهای خاصی مانند وب اسکراپر و استخراج‌کننده داده و همچنین تحلیلگران آموزش‌دیده‌ای نیاز دارد که می‌توانند ارتباط بین مجموعه داده‌های بزرگ را پیدا کنند.

جاسوسی از راه نیروی انسانی

جاسوسی انسانی قدیمی‌ترین شکل جمع‌آوری اطلاعات و شاید شناخته‌شده‌ترین روش است. جاسوس‌ها به‌طورکلی به سه دسته تقسیم می‌شوند:

  1. افسران اطلاعاتی اعلام‌شده (علنی)
  2. افرادی که تحت پوشش رسمی کار می‌کنند، مانند جاسوسانی که به‌عنوان دیپلمات، کارکنان نظامی و سفارتی و یا کارکنان پشتیبانی غیرنظامی کار می‌کنند.
  3. جاسوسان غیررسمی تحت پوشش که اغلب ظاهراً در سمت‌های تجاری، دانشگاهی و تجاری کار می‌کنند.

افسران جاسوسی، شهروندان یک کشور را برای جاسوسی آگاهانه یا ناخواسته و اداره عوامل شهروندان همکار یک کشور میزبان برای حمایت از اهداف استراتژیک کشورشان، استخدام می‌کنند.

به لطف اینترنت و شبکه تاریک یا همان دارک وب، ما اکنون اطلاعات انسانی مبتنی بر سایبری داریم که به جاسوسان اجازه می‌دهد تا دارایی‌ها و منابع را از امنیت کشور خود ارزیابی، استخدام و کار کنند. این موضوع حتی در وب‌سایت‌هایی مانند لینکدین هم ممکن است رخ دهد.

درحالی‌که جمع‌آوری اطلاعات به کمک یک بالن هواشناسی سرگردان به نظر می‌رسد اقدامی نسبتاً آشفته باشد، آخرین رویدادها ما را به یاد جنگ دائمی برای اطلاعاتی که کشورها به راه انداخته‌اند، می‌اندازند. تحلیلگران پس از جنگ در اوکراین در حال بررسی مجموعه‌ای از اطلاعات برای مقایسه سیستم‌های تسلیحاتی روسیه، چین و ایران با اوکراین و حامیان ناتو هستند.

ازآنجایی‌که جهان همچنان با چالش‌های جدیدی ازجمله تغییرات آب و هوایی و توسعه سریع فناوری‌های جدید مواجه است، تمرکز اطلاعاتی کشورها احتمالاً برای همگام شدن با آن‌ها باید گسترش یابد.

بیشتر بخوانید
bpapir 1 اسفند, 1401 0 Comments
اخبار

آسیب‌پذیری در FortiOS SSL-VPN که به تازگی توسط فورتی نت اعلام شده است ضعف امنیتی خطرناکی از نوع سرریز بافر مبتنی بر پشته (heap based buffer) با امتیاز CVSS 9.3 می‌باشد. این نقص فنی که در FortiOS SSL-VPN وجود دارد به مهاجم اجازه دسترسی از راه دور برای اجرای کدهای مورد نظرش را می‌دهد. لازم است بدانید مهاجم برای اکسپلویت این ضعف امنیتی نیاز به احراز هویت نیز ندارد.

وضعیت اکسپلویت

از آنجایی که تا به حال موارد زیادی مبنی بر اکسپلویت این آسیب‌‌پذیری گزارش شده است، فورتی نت IoC های زیر را در راستای شناسایی ارائه کرده است:

لاگین‌های متعدد با:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“

وجود artifactهای زیر در filesystem

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

وجود ارتباط‌ بین فورتی گیت با آدرس‌های IP زیر:

۱۸۸٫۳۴٫۱۳۰٫۴۰:۴۴۴
۱۰۳٫۱۳۱٫۱۸۹٫۱۴۳:۳۰۰۸۰,۳۰۰۸۱,۳۰۴۴۳,۲۰۴۴۳
۱۹۲٫۳۶٫۱۱۹٫۶۱:۸۴۴۳,۴۴۴
۱۷۲٫۲۴۷٫۱۶۸٫۱۵۳:۸۰۳۳

فهرست محصولات آسیب‌پذیر
  • FortiOS نسخه ۷٫۲٫۰ تا ۷٫۲٫۲
  • FortiOS نسخه ۷٫۰٫۰ تا ۷٫۰٫۸
  • FortiOS نسخه ۶٫۴٫۰ تا ۶٫۴٫۱۰
  • FortiOS نسخه ۶٫۲٫۰ تا ۶٫۲٫۱۱
  • FortiOS-6K7K  نسخه ۷٫۰٫۰ تا ۷٫۰٫۷
  • FortiOS-6K7K  نسخه ۷٫۰٫۰ تا ۷٫۰٫۷
  • FortiOS-6K7K  نسخه ۶٫۴٫۰ تا ۶٫۴٫۹
  • FortiOS-6K7K  نسخه ۶٫۲٫۰ تا ۶٫۲٫۱۱
  • FortiOS-6K7K  نسخه ۶٫۰٫۰ تا ۶٫۰٫۱۴
راهکارها
  • ارتقا به FortiOS نسخه ۷٫۲٫۳ و یا بالاتر
  • ارتقا به FortiOS نسخه ۷٫۰٫۹ و یا بالاتر
  • ارتقا به FortiOS نسخه ۶٫۴٫۱۱ و یا بالاتر
  • ارتقا به FortiOS نسخه ۶٫۲٫۱۲ و یا بالاتر
  • ارتقا به FortiOS-6K7K  نسخه ۷٫۰٫۸ و یا بالاتر
  • ارتقا به FortiOS-6K7K  نسخه ۶٫۴٫۱۰ و یا بالاتر
  • ارتقا به FortiOS-6K7K  نسخه ۶٫۲٫۱۲ و یا بالاتر
  • ارتقا به FortiOS-6K7K  نسخه ۶٫۰٫۱۵ و یا بالاتر

مرجع: CVE-2022-42475

بیشتر بخوانید
bpapir 26 آذر, 1401 0 Comments
اخبار

کار در فضای مجازی با استفاده از اینترنت می‌تواند یک سفر پر دردسر باشد. بازیگران بدی که قصد بهره‌برداری از کاربران ناآگاه را دارند، دائما در پشت ایمیل‌ها، وب‌سایت‌ها و دعوت‌های رسانه‌های اجتماعی در کمین هستند. حتی روتر Wi-Fi شما و آن کد‌های QR که اکنون در همه جا وجود دارند نیز می‌توانند نقاط خطر باشند. به این لیست، تهدید‌های بی‌پایان ویروس و بدافزار را نیز اضافه کنید.

کاربران رایانه و دستگاه‌های تلفن همراه اغلب از مناطق خطر بی‌اطلاع هستند، با این حال اینترنت نباید یک سفر دائمی از طریق سرزمین‌های بد باشد. چیزی که برای محافظت آنلاین لازم است این است که بدانید از چه چیزی اجتناب کرده و چگونه از خود محافظت کنید. هکر

در ادامه پنج راهکار برای حفظ امنیت در فضای دیجیتال ارائه شده است:

۱. کد‌های QR، مفید، اما بالقوه مضر

این پیوند‌های تصویر با اندازه پستی به وب سایت‌ها می‌توانند نقش بسیار موثری در تسهیل کارها داشته باشند، کافی است دوربین تلفن هوشمند خود را به سمت آن بگیرید و فورا به یک وب سایت، محل پشتیبانی فنی، پیشنهاد تخفیف در خرید یا منوی رستوران بروید؛ با این حال، کد‌های QR همچنین می‌توانند شما را به مکانی تهدید آمیز ببرند که در آن بدافزار یا بدتر از آن در انتظار شماست. کد‌های QR را می‌توان طوری برنامه ریزی کرد که به هر چیزی پیوند داده شود و حریم خصوصی و امنیت شما را در معرض خطر بزرگی قرار دهد.

قبل از اسکن یک کد QR فکر کنید. اگر کد در وب سایت یا سند چاپی مورد اعتماد شما نمایش داده می‌شود، احتمالا امن است، اگر نه، یا مطمئن نیستید، آن را بررسی کنید.


۲. از کلاهبرداری‌های ایمیل «لغو اشتراک» خودداری کنید

این یک کلاهبرداری رایج در حال انجام است که نرخ موفقیت بالایی برای هکر‌ها دارد. قربانیان احتمالی، ایمیلی با محتوای یک پیشنهاد محصول یا سایر دعوت نامه‌های تجاری دریافت می‌کنند. مرحله اقدام به انصراف، فریبنده بوده و معمولا با این مضمون ارسال می‌شوند: «نمی‌خواهید ایمیل‌های ما را دریافت کنید؟ برای لغو اشتراک، اینجا را کلیک کنید» اشاره می‌کند.

گاهی اوقات ایمیل‌های تکراری آزاردهنده از شما می‌پرسند که آیا می‌خواهید اشتراک ایمیل‌های بعدی را لغو کنید. برخی حتی به شما پیوندی برای لغو اشتراک پیشنهاد می‌دهند.

هیچ گزینه‌ای را انتخاب نکنید. با کلیک بر روی لینک‌ها یا پاسخ دادن آدرس فعال شما تایید می‌شود.

هرگز آدرس ایمیل خود را در قسمت «لغو اشتراک من» وارد نکنید. ارسال کنندگان بیشتری دنبال خواهند شد.

راه حل بهتر برای حذف ایمیل‌های ناخواسته، به خصوص از طرف یک فرستنده ناشناس، علامت گذاری آن به عنوان هرزنامه است که آن را به پوشه اسپم منتقل می‌کند، همچنین می‌توانید آن فرستنده را به لیست مسدودی برنامه ایمیل خود اضافه کنید یا فیلتری را تنظیم کنید تا قبل از رسیدن به صندوق ورودی شما به طور خودکار آن را حذف کند.

۳. قفل کردن هکر‌های فیسبوک

هکرهای دیگر سعی می‌کنند حساب‌های فیسبوک را غصب کنند. آن‌ها می‌توانند رمز عبور، آدرس ایمیل و شماره تلفن شما را تغییر دهند و حتی یک کد امنیتی اضافه کنند تا مانع ورود شما به حسابتان شوند. قبل از اینکه مشکلی اتفاق بیفتد، برای جلوگیری از این شرایط فعال باشید. فیسبوک تنظیمات امنیتی زیر را ارائه می‌دهد که باید فعال کنید.

احراز هویت دو مرحله‌ای (۲FA) را فعال کنید تا به تایید ورود شما در دستگاه جداگانه نیاز داشته باشد.

برای انجام این کار، وارد حساب فیسبوک خود شده و به تنظیمات و حریم خصوصی بروید. سپس Security را انتخاب کرده و وارد شوید. به پایین اسکرول کرده و گزینه Two-factor authentication را ویرایش کنید.

تنظیمات احراز هویت دو مرحله‌ای فیسبوک

این دو ویژگی اضافی را برای مسدود کردن هکر‌های فیسبوک فعال کنید:

قابلیت Code Generator را در اپلیکیشن موبایل فیسبوک روشن کنید
هشدار‌های ورود به ایمیل خود را تنظیم کنید

ابتدا اپلیکیشن موبایل فیسبوک را باز کنید و روی ذره بین ضربه بزنید و عبارت «code generator» را وارد کنید و روی نماد جستجو ضربه بزنید. روی نتیجه Code Generator ضربه بزنید تا به صفحه بعدی بروید، سپس روی دکمه «روشن کردن کد ژنراتور» ضربه بزنید تا یک کد ۶ رقمی دریافت کنید که هر ۳۰ ثانیه تغییر می‌کند. برای ورود به حساب کاربری خود در دستگاه دیگری باید این کد را در این بازه زمانی کوتاه وارد کنید.

در مرحله بعد، هشدار‌هایی را در مورد ورود‌های ناشناس تنظیم کنید. می‌توانید این کار را از طریق رایانه یا دستگاه تلفن همراه انجام دهید.

۴. روتر Wi-Fi خود را ایمن کنید

شیوع بیماری کرونا و افزایش دورکاری در سطح جهان، راه را برای هکرها در مورد روتر‌های وای فای خانگی هموار کرده است، حملات بدافزار به شبکه‌های وای فای خانگی در حال افزایش است، زیرا تنظیمات مسکونی اغلب فاقد سطح امنیت و حفاظتی هستند که در شبکه‌های سازمانی یافت می‌شود.

یکی از ابزار‌های حمله ناخوشایند، به نام ZuoRAT، یک تروجان دسترسی از راه دور است که برای هک کردن روتر‌های اداری کوچک طراحی شده است و می‌تواند روی رایانه‌های macOS، Windows و Linux تاثیر بگذارد.

با استفاده از آن، هکر‌ها می‌توانند داده‌های شما را جمع آوری کرده و هر سایتی را که در شبکه خود بازدید می‌کنید، هک کنند. یکی از بدترین عوامل ZuroRAT این است که هنگامی که روتر شما آلوده شد، می‌تواند روتر‌های دیگر را آلوده کند تا به گسترش دسترسی هکر‌ها ادامه دهد.

۵. مراقب طرح‌های پشتیبانی فنی ساختگی باشید

برخی از کلاهبرداران با تلفن تماس می‌گیرند و به شما می‌گویند که یک بخش پشتیبانی فنی هستند که برای یک شرکت رایانه یا نرم افزار معروف کار می‌کنند. تماس گیرنده ادعا می‌کند که در پاسخ به هشداری از رایانه شما در مورد شناسایی ویروس یا بدافزار در دستگاه شما تماس می‌گیرد. کلاهبردار پیشنهاد می‌کند که اگر به سادگی شماره کارت اعتباری خود را ارائه دهید، آن را برطرف کند.

هرگز اجازه ندهید یک کلاهبردار شما را فریب دهد تا به یک وب سایت برود یا روی یک پیوند کلیک کند.
هرگز با اتصال از راه دور توسط به اصطلاح عامل پشتیبانی فنی که شروع کننده تماس با شماست موافقت نکنید. هرگز اطلاعات پرداخت را در ازای پشتیبانی فنی که شما درخواست نکرده‌اید، ندهید. شرکت‌های فنی قانونی با شما تماس نمی‌گیرند و برای رفع مشکلی که ادعا می‌کنند در دستگاه شما کشف کرده‌اند، درخواست پرداخت نمی‌کنند.

اگر مشکوک هستید که رایانه شما مشکل ویروس یا بدافزار دارد، خودتان با یک مرکز تعمیر تماس بگیرید. احتمالا قبلا یک طرح پشتیبانی یا گارانتی فعال از جایی که رایانه را خریداری کرده‌اید، دارید. اگر با یک شرکت پشتیبانی فنی تماس نگرفته‌اید، تماس یا پیامی که دریافت کرده‌اید فریب دهنده است.

بیشتر بخوانید
bpapir 23 شهریور, 1401 0 Comments
اخبار

محققان می‌گویند هکر‌ها می‌توانند ابزار اتوماسیون ویندوز ۱۱ را به راحتی هک کرده و از طریق باج‌افزار از کاربران سوءاستفاده کنند.

در چند سال گذشته، خودکار کردن کار‌های روزمره ساده‌تر شده است. با استفاده از نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام می‌برد، به‌طور خودکار یک مورد از فهرست کار‌ها را ایجاد کنید. ابزار‌ها می‌توانند زندگی شما را آسان‌تر کنند، اما خطراتی را نیز به همراه دارند. ویندوز ۱۱

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین‌های متصل و سرقت داده‌ها از دستگاه‌ها یافته است.

مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده می‌کند؛ اما به جای ارسال اقدامات قانونی، می‌توان از آن برای استقرار بدافزار استفاده کرد.

بارگوری گفت: تحقیق من نشان داد که شما به‌عنوان یک مهاجم می‌توانید به راحتی از تمام این زیرساخت‌ها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محموله‌های خود به جای محموله‌های سازمانی استفاده می‌کنید.

این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز ۱۱ تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به عنوان RPA نیز شناخته می‌شود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیون‌ها وجود دارد و نرم افزار مایکروسافت می‌تواند Outlook، Teams، Dropbox و سایر برنامه‌ها را به هم مرتبط کند.
این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزار‌هایی است که افراد می‌توانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.

تحقیقات بارگوری از موقعیتی شروع می‌شود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می‌کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما این‌ها نسبتا ساده هستند.

بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود، راه‌اندازی کرده و آن را طوری تنظیم کند که کنترل‌های مدیریتی بر روی ماشین‌هایی که به او اختصاص داده می‌شود، داشته باشد. این اساسا به حساب مخرب اجازه می‌دهد تا فرآیند‌های RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام می‌شود.

بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محموله‌ها را به دستگاه می‌دهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان می‌داد چگونه می‌توان از Power Automate برای خروج باج‌افزار به ماشین‌های آسیب‌دیده استفاده کرد. دمو‌های دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

او گفت: شما می‌توانید از طریق این تونل قابل اعتماد، داده‌ها را خارج از شبکه‌های شرکتی استخراج کنید، می‌توانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.

سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظت‌های آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.

به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستم‌ها و فرآیند‌های رسمی در سراسر آن استفاده می‌کند. وقتی به معماری فکر می‌کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.

بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزار‌های Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، اعمال می‌کند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش می‌دهد.

با این حال بارگوری گفت: برای موفقیت‌آمیز بودن، این حرکت به تیم‌های امنیتی متکی است که سیاست‌های منسجم و روشنی را در سراسر سازمان‌های خود داشته باشند که همیشه این طور نیست.

در حالی که محبوبیت ابزار‌های RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال ۲۰۲۰، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروه‌های هکر از سیستم‌های خودکار برای حذف داده‌ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: “در اقدامی غیر معمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد.”

بیشتر بخوانید
bpapir 23 شهریور, 1401 0 Comments
اخبار

محققی به نام گوری از شناسایی روشی جدید به نام ETHERLED برای استخراج و سرقت اطلاعات از سیستم های Air-Gapped با استفاده از چراغ LED خبر داد.

محققی اسرائیلی به نام مردیچای گوری از شناسایی یک روش جدید برای استخراج و سرقت اطلاعات از سیستم های Air Gap شده با استفاده از نشانگرهای ال ای دی خبر داد.

رایانه ای که دارای Air gap می باشد از شبکه های ناایمن جدا شده است، به این معنی که به طور مستقیم به اینترنت وصل نشده است و همچنین به هیچ سیستم دیگری که به اینترنت متصل باشد، وصل نمی شود. یک رایانه Air gap شده نیز از نظر فیزیکی جدا شده است، به این معنی که داده ها فقط از طریق جسمی (از طریق USB، رسانه قابل جابجایی یا آتش نشانی با دستگاه دیگر) می توانند به آن منتقل شوند. تمام سازمان هایی که داده های بسیار حساس دارند (مانند واحد های کنترل تسلیحات) از این نوع شبکه استفاده می کنند.

این روش که ETHERLED نام دارد، چراغ های چشمک زن را به سیگنال های مورس کدی تبدیل می کند که می توانند توسط مهاجم رمزگشایی شوند.

به دست آوردن این سیگنال نیازمند استفاده از دوربین با دید مستقیم به چراغ های ال ای دی موجود بر روی کارت شبکه کامپیوترهای Air Gap است. این سیگنال ها یا همان علامت ها می توانند به داده های باینری تبدیل شوند که به سرقت اطلاعات کمک می کنند.

این سیستم ها در شبکه های Air Gap شده فعالیت می کنند و همچنان یک کارت شبکه را مورد استفاده قرار می دهد. در صورتی مهاجم آن ها را به بدافزار آلوده کند، خواهد توانست با هدف ارسال امواج داده های رمزنگاری شده، کارت درایور را با نسخه ای از آن  جا به جا کند که رنگ ال ای دی و تعداد چشمک زدن های آن را تغییر می دهند.

از این روش می توان در دیگر سخت افزارهای دارای ال ای دی مانند پرینترها، اسکنرها و… نیز استفاده کرد.

این حمله با کاشت بدافزار بر روی کامپیوتری آغاز می شود که حاوی نسخه دستکاری شده سفت افزار مرتبط با کارت شبکه است. این کار می تواند کنترل رنگ، تعداد چشمک ها و طول مدت آن ها را به دست مهاجمین بسپارد.

این بدافزار همچنین می تواند با حمله مستقیم به درایو کنترل کننده رابط شبکه، وضعیت اتصال آن را تغییر دهد و ال ای دی های آن ها را تنظیم کنند.

این محقق مدعی شد این درایور آلوده می تواند با بهره برداری از ویژگی های سخت افزاری، سرعت اتصال شبکه را دستخوش تغییرات کند و مشخصات چراغ های چشمک زدن را تغییر دهد.

بازیگران مخرب می توانند برای گرفتن این سیگنال ها از راه دور، هر چیزی اعم  از دوربین گوشی های هوشمند (تا 30 متر)، پهبادها (تا 50 متر)، وبکم های هک شده (10 متر)، دوربین های جاسوسی هک شده (30 متر) و تلسکوپ یا لنزهای سوپر زوم تله فوتو (تا 100 متر) را مورد استفاده قرار دهند.

زمان لازم برای نشت اطلاعاتی مانند پسورد از طریق ETHERLED  بین 1 ثانیه تا 1.5 دقیقه، برای کلیدهای خصوصی بیت کوین بین 2.5 ثانیه تا 4.2 دقیقه و برای کلیدهای 4096 بیت RSA بین 42 ثانیه تا 60 دقیقه است. (بسته به روش حمله)

بیشتر بخوانید
bpapir 23 شهریور, 1401 0 Comments
Diverse computer hacking shoot
اخبار

مرکز مدیریت راهبردی افتا با توجه به بهره‌جویی باج‌افزار DeadBolt از ضعف امنیتی در Photo Station، از همه راهبران امنیتی سازمان‌های دارای زیرساخت حیاتی خواست تا تجهیزات QNAP خود را آپدیت کنند.

به گزارش کارگروه امنیت بهپارت به نقل از مرکز مدیریت راهبردی افتا، گردانندگان باج‌افزار DeadBolt این بار از یک آسیب‌پذیری در Photo Station برای رمزگذاری دستگاه‌های ذخیره‌سازی متصل به اینترنت ساخت شرکت QNAP، سوءاستفاده می‌کنند.

با توجه به هشدار شرکت کیونپ، کارشناسان امنیتی مرکز افتا از سازمان‌های دارای تجهیزات QNAP خواسته‌اند دستگاه‌ها و تجهیزات ذخیره‌ساز معروف به NAS را به‌طور مستقیم به اینترنت متصل نکنند و همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.

شرکت کیونپ به کاربران خود توصیه اکید کرده است Photo Station تجهیزات خود را به آخرین نسخه‌های غیرآسیب‌پذیر، به‌روز کنند و یا از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.

مهاجمان باج‌افزار DeadBolt دی ۱۴۰۰ نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند و اطلاعات این سیستم‌ها را رمزگذاری کردند.

در این حملات مهاجمان، پس از رمزگذاری تجهیزات NAS، در اطلاعیه باج‌گیری، خواستار پرداخت ۰.۰۳ باج بیت‌کوین (تقریباً ۱۲۷۷ دلار) به‌ازای یک کلید رمزگشایی برای بازیابی فایل‌ها شدند.

مهاجمان سایبری، کلید رمزگشایی اصلی را به قیمت ۵۰ بیت‌کوین عرضه می‌کنند که می‌تواند به همه قربانیان این باج‌افزار اجازه رمزگشایی فایل‌ها را بدهد.

بنا به گفته کارشناسان مرکز افتا، شرکت کیونپ، از دوازدهم شهریور در واکنش به موج جدیدی از حملات باج‌افزار DeadBolt در توصیه‌نامه‌ای به راهبران امنیتی توصیه کرده است علاوه بر به‌روزرسانی تجهیزات خود، به‌صورت جدی از رمزهای عبور قوی در تمام حساب‌های کاربری NAS استفاده و از اطلاعات و داده‌های خود به‌صورت منظم نسخه‌های پشتیبان تهیه کنند.

شرکت کیونپ ضمن انتشار هشداری، از مشتریان توصیه کرده است که دستگاه‌ها و تجهیزات NAS را مستقیماً به اینترنت متصل نکنند؛ همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.
به مشتریان شرکت کیونپ توصیه اکید شده است که Photo Station را به آخرین نسخه‌های غیر آسیب‌پذیر زیر، به‌روز کنند:

QTS 5.0.1: Photo Station 6.1.2 +
QTS 5.0.0/4.5.x: Photo Station 6.0.22 +
QTS 4.3.6: Photo Station 5.7.18 +
QTS 4.3.3: Photo Station 5.4.15 +
QTS 4.2.6: Photo Station 5.2.14 +

کیونپ به کاربران پیشنهاد می‌کند که از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.
مهاجمان باج‌افزار DeadBolt در دی 1400 نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند‌ و اطلاعات این سیستم‌ها را رمزگذاری کردند.
در این حملات مهاجمان باج‌افزاری،  پس از رمزگذاری تجهیزات NAS، پسوند .deadbolt را به نام فایل‌ها اضافه کرده و پیام رمزگذاری فایل‌ها توسط باج‌افزار DeadBolt را به‌صورت زیر در صفحه ورود دستگاه‌های NAS به کاربران نمایش می‌دهند:

“WARNING: Your files have been locked by DeadBolt”

بیشتر بخوانید
bpapir 23 شهریور, 1401 0 Comments
اخبار

لست‌پس ( LastPass )، محبوب‌ترین برنامه‌ مدیریت رمز عبور جهان با 25 میلیون کاربر هک شده و بخش‌هایی از کد منبع، همراه با اطلاعات فنی اختصاصی آن به سرقت رفته است.🔐

‌‌
به گفته «کریم توبا»، مدیرعامل LastPass هکرها از نقص مربوط به سرورهای توسعه آن استفاده کرده‌اند و این حمله دو هفته پیش رخ داده است. تیم امنیتی لست‌پس در سریع‌ترین زمان ممکن موفق شده تا این حمله را متوقف کند و هیچ مدرکی دال بر فعالیت مخرب بیشتر توسط هکرها وجود ندارد. توبا اعلام کرده هیچ مدرکی مبنی بر دسترسی هکرها به اطلاعات مشتریان یا رمزهای عبور رمزگذاری شده کاربران یافت نشده است.

بیشتر بخوانید
bpapir 5 شهریور, 1401 0 Comments