امنیت اطلاعات دکتر وب
281 members
633 photos
4 videos
7 files
275 links
"آزمايشگاه امنيت اطلاعات دكتر وب"
♦️شناسايي ، آناليز و پیشگیری حملات بدافزاری
♦️بازیابی اطلاعات رمزنگاری شده توسط باج افزارها
کد ثبت شامد:1-3-61-194-1-1
www.drweb-sec.ir
آدرس این کانال در پیام رسان گپ:
https://Gap.im/drweb_sec

Tel:05137298784-09151010615
Download Telegram
to view and join the conversation
⛔️هکرهای کلاه سیاه از وحشت مردم در شیوع ویروس کرونا سوءاستفاده‌ کرده و با به کارگیری حملات گسترده مهندسی اجتماعی اقدام به سرقت اطلاعات کاربران می‌کنند.

🔸مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) با هشدار در خصوص سوءاستفاده هکرها در بحران کرونا اعلام کرد: ترس از ویروس کرونا باعث شده که مردم به مطالعه مستندات مختلف بپردازند تا اطلاعات خود را در مورد این ویروس و روشهای پیشگیری از آن افزایش دهند.

🔸 حال اینکه هکرها از این موقعیت با ارسال ایمیل‌ها و مستندات آلوده انبوه مختلف با موضوعات تحریک‌آمیز و استفاده از شبکه‌های اجتماعی، می‌توانند سوءاستفاده‌های لازم را به منظور دستیابی به اهداف خود داشته باشند.
@drweb_sec
🔸 این روش‌ها می‌تواند شامل موارد زیر باشد:
• ایجاد مستندات Microsoft Office آلوده به بدافزار
• ایجاد مستندات PDF آلوده به بدافزار
• ایجاد لینک‌های آلوده به بدافزار
• ایجاد اپلیکیشن‌های آلوده
• ایمیل‌های آلوده و یا جعلی
• آسیب‌پذیری‌های سیستم‌عامل و نرم‌افزارها
www.drweb-sec.ir
🔸برای مثال در صورتی که در فایل Word از کدهای VBA استفاده شده باشد در پیغامی از کاربر درخواست فعال کردن محتوای کدهای ماکرو می شود. این کدها ممکن است که توسط هکر نوشته شده و حاوی یک کد مخرب باشد. پس در صورت اجرای فایل‌های مجموعه Microsoft Office به هیچ عنوان ماکروها را فعال نکنید.
⛔️دستگاه‌های وای.فای در معرض خطر حمله گسترده هکرها !

✳️آزمایشگاه امنیت اطلاعات دکتر وب✳️

@drweb_sec
⛔️مرکز مدیریت راهبردی افتای ریاست جمهوری اعلام کرد: بیش از یک میلیارد دستگاه «وای.فای» در جهان در خطر هجوم مهاجمان سایبری قرار دارند. آن دسته از دستگاه‌های Wi-Fi که در آنها از مجموعه تراشه‌های ساخت Broadcom یا Cypress استفاده شده دارای آسیب‌پذیری هستند که مهاجمان سایبری را به سمت آنها سوق داده است.

🔸سازندگانی که در محصولات خود از این مجموعه تراشه‌ها (Chipset) استفاده کرده‌اند مشغول آماده سازی اصلاحیه‌های مربوط، شده‌اند. سیسکو (Cisco) اعلام کرده است که بهره‌جویی از این آسیب‌پذیری، امکان شنود ترافیک شبکه Wi-Fi را فراهم می‌کند. سیسکو در حال بررسی میزان گستردگی این آسیب‌پذیری در محصولات خود به‌عنوان یکی از استفاده‌کنندگان تراشه‌های Broadcom است. بررسی‌های اولیه از تأثیر پذیرفتن تعدادی از محصولات این شرکت از Kr۰۰k حکایت دارد.
www.drweb-sec.ir
🔸 از جمله این محصولات می‌توان به روترهای موسوم به Connected Grid و Power over Ethernet، دیواره‌های آتش، تلفن‌های IP و سیستم‌های Access Point اشاره کرد. پایگاه اینترنتی ZDNet نوشته است: Cisco در حال تحقیق درباره احتمال آسیب‌پذیر بودن تلفن‌های IP، مدل‌های DX۷۰، DX۸۰ و DX۶۵۰ که ثابت‌افزار (Firmware) آنها مبتنی بر Android است و همچنین مدل ۸۸۲۱ است.
@drweb_sec
🔸کارشناسان معاونت بررسی مرکز مدیریت راهبردی افتا می‌گویند: شرکت سیسکو هنوز اصلاحیه‌ای برای این محصولات عرضه نکرده است، اما انتظار می‌رود که به‌زودی به‌روزرسانی‌های لازم را منتشر کند.
⛔️اندرویدهای قدیمی در معرض خطر حمله هکرها !

✳️آزمایشگاه امنیت اطلاعات دکتر وب✳️

@drweb_sec
⛔️گوشی و تبلت‌های اندرویدی که نسخه سیستم عامل آنها اندروید ۴ یا قدیمی تر است، در معرض بیشترین آسیب پذیری و احتمال نفوذ هکرها و مجرمان سایبری قرار دارند. کارشناسان امنیتی به کاربران دستگاه‌های اندرویدی قدیمی هشدار دادند که به علت عدم دریافت به‌روزرسانی‌های امنیتی در معرض نفوذ هکرها قرار خواهند گرفت.

🔸نتایج تحقیقات جدید کارشناسان فعال در حوزه امنیت سایبری نشان می‌دهد که حدود ۴۰ درصد از کاربران گوشی و تبلت های اندرویدی هنوز از نسخه‌های قدیمی این سیستم عامل استفاده می‌کنند که تحت پشتیبانی گوگل نیستند، این بدان معناست که شرکت گوگل، به عنوان توسعه دهنده سیستم عامل اندروید، به روز رسانی و آپدیت‌های امنیتی جدیدی که برای نسخه‌های جدیدتر این سیستم عامل منتشر می کند، شامل نسخه‌های قدیمی نمی‌شود.
www.drweb-sec.ir
🔸به گفته کارشناسان، گوشی و تبلت‌های اندرویدی که نسخه سیستم عامل آنها اندروید ۴ یا قدیمی تر است، در معرض بیشترین آسیب پذیری و احتمال نفوذ هکرها و مجرمان سایبری قرار دارند. همچنین کاربرانی که نسخه اندروید گوشی آنها ۷ است ولی امکان به روز رسانی آن به نسخه جدیدتر را ندارند، نیز باید نگران امنیت دستگاه خود باشند.
@drweb_sec
🔸به طور کلی آنها بر این باورند که حتی در صورتی که نسخه اندروید گوشی و دستگاه‌های هوشمند کاربران جدید باشد ولی در دریافت به روزرسانی های امنیتی که گوگل هر از گاهی منتشر می کند، سهل انگاری کرده و یا دیر اقدام به آپدیت گوشی خود کنند، نیز به همان اندازه در معرض خطر و آسیب پذیری قرار دارند.
🔸مراقب ترفندهای کرونایی مجرمان سایبری باشید!
پلیس فتا:
۱_ ایمیل‌های ناشناس با موضوع کرونا و موارد مرتبط را باز نکنید.
۲_ بسیاری از اپلیکیشن‌های تست کرونا جعلی بوده و حاوی بدافزار است لذا تنها از سایت رسمی وزارت بهداشت به آدرس salamat.gov.ir استفاده کنید.
۳_مراقب خریدهای برخط مواد شوینده و ضد عفونی کننده از سایت‌های جعلی باشید.
۴_از منابع خبری نامعتبر و اعتماد به اخبار جعلی و شایعات پرهیز کنید.
۵- مراقب پیامک‌های دریافت کمک برای بیمارستان‌ها باشید.
@drweb_sec
تحلیل_و_پیش_بینی_روند_مبتلایان_به_کروناویروس_در_ایران.pdf
2.2 MB
تحلیل و پیش بینی روند مبتلایان به کروناویروس در ایران
@drweb_sec
Media is too big
VIEW IN TELEGRAM
افشاگری های کرونا ویروس
@drweb_sec
Forwarded from دکتر وب ایران (DrWeb)
⛔️هشدار مرکز افتا درباره نفوذ هکرها به دستگاه‌های مسیریاب !

✳️آزمایشگاه امنیت اطلاعات دکتر وب✳️

@drweb_sec
🔸 این سرورهای DNS مخرب می‌توانند قربانیان را به محتوای مخرب تحت کنترل خود هدایت کنند.یک حمله سایبری اخیرا مشاهده شده که در حال سرقت تنظیمات DNS دستگاه‌های مسیریاب به منظور نمایش یک هشدار جعلی از سازمان بهداشت جهانی درباره ویروس کرونا ( COVID-۱۹ ) است. این هشدار جعلی در واقع منجر به دریافت بدافزار سارق اطلاعات Oski می‌شود.

🔸پس از تحقیقات بیشتر مشخص شد که این هشدارها در اثر حمله انجام شده برای تغییر سرورهای DNS پیکربندی شده در مسیریاب‌های خانگی D-Link یا Linksys به سرورهای DNS ، نمایش داده که توسط مهاجمین اداره می‌شوند.
@drweb_sec
🔸در حال حاضر مشخص نیست که چگونه مهاجمین برای تغییر پیکربندی DNS به مسیریاب‌ها دسترسی پیدا می‌کنند، اما برخی از کاربران اعلام کردند که مهاجمین به مسیریاب‌هایی دسترسی یافته‌اند که دارای رمز عبور ضعیف بودند.
www.drweb-sec.ir
🔸از آنجایی که این آدرس IPها تحت کنترل مهاجمین هستند، قربانی در صفحه مرورگر خود هشداری مبنی بر دانلود یک برنامه اطلاع‌رسانی درباره ویروس COVID-۱۹ از طرف سازمان بهداشت جهانی مشاهده می‌کند.در صورت کلیک روی گزینه دانلود، قربانی تروجان سارق اطلاعات Oski را دریافت می‌کند که این بدافزار پس از راه‌اندازی، اطلاعاتی را از رایانه قربانی سرقت می‌کند.
@drweb_sec
🔸از این رو مرکز افتا به کاربران توصیه کرده است که در صورت نمایش این صفحه هشدار جعلی، تنظیمات DNS مسیریاب بررسی و گذرواژه‌های مسیریاب به گذرواژه‌های قوی تغییر یابند. علاوه‌بر این، در صورت آلودگی به تروجان Oski، لازم است تا کلیه گذرواژه‌های ذخیره شده در مرورگر کاربر، مجدد تعیین شوند.
⛔️ نفوذ هکرها به امنیت کاربران از طریق ایمیل‌های مربوط به کرونا !

✳️آزمایشگاه امنیت اطلاعات دکتر وب✳️

@drweb_sec
⛔️به تازگی کارشناسان در مورد افزایش ایمیل‌های آلوده و مخرب با عناوین مرتبط با ویروس کرونا و نفوذ هکرها به اطلاعات شخصی کاربران رایانه‌های شخصی هشدار داده‌اند.

🔸کارشناسان و تحلیلگران امنیت سایبری فعال در شرکت تحقیقاتی- امنیتی Proofpoint به تازگی اعلام کردند که همزمان با شیوع گسترده ویروس کرونا و همه گیری آن در بسیاری از کشورهای جهان، طیف وسیعی از گروه‌های هکری و مجرمان سایبری با فرصت طلبی و سوء استفاده از خانه نشینی و دورکاری شهروندان و همچنین افزایش نگرانی‌های ناشی از شیوع ویروس خطرناک و مرگبار کرونا یا بیماری کووید-۱۹ به ارسال ایمیل‌های آلوده و مخرب با تیتر و لینک‌های مربوط به ویروس کرونا اقدام کرده اند و بدین ترتیب با حملات فیشینگی و بدافزاری توانسته‌اند به خیل عظیمی از داده‌ها و اطلاعات شخصی کاربران نفوذ و دست پیدا کنند.
@drweb_sec
🔸گروه‌های متعددی از هکرها و مجرمان سایبری همزمان با شیوع گسترده و ویروس خطرناک و مرگبار کرونا اقدام به ارسال ایمیل‌های فیشینگ، اسکم (scams) ، اسپم (spam) و آلوده به بدافزار کرده‌اند به گونه ای که بر اساس یافته های کارشناسان شرکت تحقیقاتی مذکور در هفته گذشته بالغ بر ۵۰۰ هزار پیام، ۳۰۰ هزار لینک url آلوده به بدافزار و همچنین ۲۰۰ هزار ضمیمه ایمیل مخرب و آلوده که همگی با عناوین و لینک های مربوط به ویروس کرونا به دست کاربران رسیده بوده است، ثبت و گزارش شده است.
www.drweb-sec.ir
🔸نحوه دسترسی هکرها به اطلاعات کاربران از طریق حملات بدافزاری و فیشینگی، ارسال یک ایمیل آلوده و مخرب با عناوین مرتبط با اطلاع رسانی یا هرگونه مساله مربوط به بحران کروناست که در آن یک لینک یا فایل ضمیمه شده قرار دارد و کاربر به محض باز کردن و کلیک کردن بر روی آنها، بخش زیادی از اطلاعات خود را به طور ناخودآگاه در اختیار هکرها قرار می دهد.
⛔️دورکاری کارمندان؛شرایطی عالی برای جاسوسان و کلاهبرداران سایبری!

✳️آزمایشگاه امنیت اطلاعات دکتر وب✳️

@drweb_sec
⛔️دورکاری کارمندان باعث شده است که جاسوسان و کلاهبرداران سایبری این فرصت سوء استفاده را پیدا کنند. شکاف‌ها بین امنیت و شیوه‌های جدید کار کردن می‌تواند مشکلات زیادی را ایجاد کند.

🔸امروزه ویروس کرونا بسیاری از کسب و کارها را به تعطیلی کشانده است. از طرفی آن دسته از کسب و کارهایی که می‌توانند کار خود را از محیط خانه انجام دهند، اقدام به کار در منزل یا دورکاری کرده‌اند. مشکلی که در حال حاضر با آن روبرو هستیم این است که جاسوسان و کلاهبرداران سایبری به‌خوبی می‌دانند که سیستم‌های خانگی امنیت چندانی ندارند و می‌توان از آن‎ها سوء استفاده کرد. شکاف‌ها بین امنیت و شیوه‌های جدید کار کردن باعث شده است که مشکلات امنیتی و نقض داده صورت گیرد و اطلاعات بسیاری از شرکت‌ها در اختیار هکرها قرار بگیرد.
@drweb_sec
🔸در حال حاضر بسیاری از کارمندان در حال خرید لپ‌تاپ، وب‌کم و سایر تجهیزات لازم برای کار در منزل هستند. چالشی که وجود دارد این است که خیلی از کارمندان نمی‌دانند که برای حفظ امنیت این دستگاه‌ها باید دقیقاً چه کاری انجام دهند. از طرفی برخی از تیم‌ها لازم است که با هم در ارتباط باشند و از این رو ابزارها و نرم افزارهای ارتباطی روی سیستم خود نصب و راه اندازی می‌‎کنند ولی همین نرم افزارها هم مشکلات امنیتی خاص خودشان را دارند.
www.drweb-sec.ir
🔸شایان ذکر است که چک‌لیست‌ها و نکات آموزشی زیادی وجود دارد که شیوه ایمن‌سازی سیستم‌ها، نرم افزارها و غیره را به شما آموزش می‌دهد. دورکاری و کار در منزل با دقت در نکات و اصول امنیتی می‌تواند خیلی آسان و راحت باشد و هیچ مشکلی را در پی نداشته باشد. هر چند که سرعت تغییر مسیر شرکت‌ها و سازمان‌ها در انتخاب دورکاری و کار در منزل خیلی بالا بود ولی با این حال نرم افزارها و برنامه‌های امنیتی زیادی وجود دارد که می‌تواند شما را در برابر هکرها، جاسوسان و کلاهبرداران سایبری حفظ و نگهداری کند. سعی کنید قبل از استفاده از برنامه‌ها برای کار در منزل سیستم خود را از نظر امنیتی، درست کنید تا بتوانید با خاطری آسوده با آن کار کنید.
⛔️نوع جدیدی از حملات سایبری در پوشش کرونا !

✳️آزمایشگاه امنیت اطلاعات دکتر وب✳️

@drweb_sec
⛔️حملاتی با مضمون ویروس کرونا که ویندوز را به‌ بدافزار Lokibot آلوده می‌کند، در حال انتشار است که برای سرقت اطلاعات طراحی شده است.

🔸یک کارزار جدید که از ۲۷ مارس فعالیت دارد، از روش‌های مختلفی برای آلوده کردن قربانیانش استفاده کرده و کاربران زیادی را در کشورهای مختلفی به‌خصوص ترکیه، پرتغال، آلمان، اتریش و ایالات متحده فریب داده است. این کارزار جدیدا با ارسال یک ایمیل جعلی از طرف سازمان بهداشت جهانی با مضمون و عنوان ویروس کرونا و همچنین با داشتن یک فایل با پسوند غیراجرایی در ظاهر، قربانیان را فریب داده و بدافزار Lokibot را روی دستگاه‌های آن‌ها نصب می‌کند. این بدافزار که برای سرقت اطلاعات طراحی شده، جدیدا قابلیت‌های بیشتری نیز پیدا کرده است.

🔸گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) هشدار داده که کارزار جدید با استفاده از ایمیلی با مضمون ویروس کرونا (کووید ۱۹) از طرف سازمان بهداشت جهانی (WHO)، بدافزار مخرب Lokibot را انتشار می‌دهد، مشاهده شده است. این ایمیل‌ها حاوی یک فایل فشرده هستند که برای فشرده‌سازی از ARJ استفاده شده است که برای ایجاد بایگانی‌ فایل‌های فشرده با راندمان بالا استفاده می‌شود.
@drweb_sec
🔸به محض باز شدن فایل اجرایی، سیستم قربانی را به بدافزار Lokibot آلوده می‌کند. بدافزار Lokibot که برای اولین بار در سال ۲۰۱۵ مشاهده شد، به‌منظور سرقت اطلاعات از دستگاه آلوده طراحی شده است. این برنامه اطلاعات و اعتبارنامه‌ها را از برنامه‌های مختلف مانند موزیلا فایرفاکس، گوگل‌کروم، تاندربرد، FTP و SFTP جمع‌آوری می‌کند.
www.drweb-sec.ir
🔸این بدافزار همچنین در بازارهای هک زیرزمینی فروخته شده و در ابتدا به‌عنوان یک سارق اطلاعات و کی‌لاگر معرفی شده بود که بعدا به پیشرفت قابلیت‌های خود ادامه داد. اخیرا در این بدافزار یک تکنیک قدرتمند در کد آن تزریق شد تا با استفاده از آن از شناسایی شدن و تکنیک‌های آنالیز فرار کند و اصطلاحا این روش‌ها را دور زده و همچنین ابزارهای امنیتی موجود در رایانه قربانیان هدف، غیرفعال شود.
@drweb_sec
🔸این کمپین از ۲۷ مارس فعال است و به کشورهای زیادی حمله می‌کند. ۱۰ مکان برتر هدف این کمپین، ترکیه با ۲۹ درصد، پرتغال با ۱۹ درصد، آلمان با ۱۲ درصد، اتریش با ۱۰ درصد و ایالات متحده با ۱۰ درصد در صدر این فهرست قرار دارند که بلژیک، پورتوریکو، ایتالیا، کانادا و اسپانیا که با کسب کمتر از یک درصد از این فهرست خارج شدند. در یک حمله اخیر این کارزار، بدافزار تروجانLokibot به‌عنوان راه‌انداز یک بازی محبوب خود را جا زده و کاربران را برای اجرای بدافزار روی دستگاه‌های خود فریب داده بود.
🔴 بدافزار چینی MosaicRegressor؛ خطرناک و غیرقابل پاک کردن
@drweb_sec
پژوهشگرها خبر از کشف یک بدافزار جدید داده‌اند که از نظر پیچیدگی در نوع خود کم نظیر است. این بدافزار جدید که MosaicRegressor نام گرفته ، UEFI Firmware یا همان بایوس مادربردها را آلوده می‌کند و شناسایی و پاک‌ سازی آن بسیار دشوار است. در ادامه با بدافزار بسیار خطرناک MosaicRegressor آشنا شوید.
@drweb_sec
بدافزارMosaicRegressor دومین بدافزار UEFI شناسایی شده تا به امروز است. این بدافزار بر روی کامپیوترهای مورد استفاده یک سازمان مردم‌ نهاد و برخی دیپلمات‌ها در آسیا شناسایی شده است. این بدافزار در فیرم ویر UEFI پنهان می‌شود و از همین طریق قادر است فایل‌های آلوده را به محیط سیستم عامل تزریق کند.
نرم افزارUEFI یا Unified Extensible Firmware Interface یک نرم افزار نهفته در مادربردهای سیستم‌ها و لپ تاپ‌های امروزی است که جایگزین BIOS شده است. UEFI در کنار فراهم سازی شرایط برای اجرای سیستم عامل و شروع به کار اجزای مختلف سیستم عامل، برخی قابلیت‌ها و تنظیمات را هم در اختیار کاربر می‌گذارد. آنچه که درباره UEFI نگران کننده شده، این نرم افزار با وجود امنیت بالاتر نسبت به BIOS به هدف هکرها و سازندگان بدافزارهای پیچیده تبدیل شده است.
@drweb_sec
نرم افزارUEFI در سطح بسیار پایین با سیستم عامل و سخت افزارهای سیستم تعامل می‌کند، بنابراین با آلوده کردن آن می‌توان دسترسی‌های استثنایی به دست آورد. برای نمونه می‌توان با هر بار راه اندازی سیستم بدافزارهای دلخواه را به سیستم عامل تزریق کرد یا امکان پاک‌ سازی بدافزارها را از آنتی ویروس‌ها گرفت. همچنین با دسترسی داشتن به UEFI می‌توان به سرقت اطلاعات و کنترل سیستم قربانی دست زد. به وضوح بدافزارهای UEFI بسیار پیچیده و در عین حال به شدت نگران کننده هستند.
وجود ماژول‌های غیرعادی در UEFI دست کم دو سیستم متعلق به یک سازمان مردم نهاد در آسیا و دیپلمات‌ها باعث شناسایی بدافزار MosaicRegressor شده است. این ماژول‌ها باعث تزریق بدافزار به سیستم عامل می‌شوند و با هر بار راه اندازی سیستم، از آلوده بودن سیستم به بدافزار دلخواه سازنده آن اطمینان حاصل می‌کند. در این بدافزار برخی از کامپوننت های منتصب به Hacking Team یافت شده است.
@drweb_sec
علی رغم اینکه محققان توانسته‌اند بسیاری از رفتارهای پیچیده بدافزار MosaicRegressor را شناسایی کنند ، اما متأسفانه هنوز آنها نمی‌دانند آلوده شدن به این بدافزار چگونه رخ می‌دهد. محتمل‌ترین نظریه آنها دسترسی فیزیکی حمله کننده‌ها به سیستم‌ها و آلوده کردن UEFI سیستم است. آنها بر روی یکی از سیستم‌های آلوده به بدافزار MosaicRegressor برنامه Q-flash را یافته ‌اند که می‌تواند نشان از آلوده کردن سیستم از طریق نصب نسخه دستکاری شده UEFI باشد.
@drweb_sec
جالب اینکه مشخص شده MosaicRegressor از چندین مکانیزم مختلف برای دانلود و پیاده سازی بدافزارهای مورد نظر سازنده آن از طریق شبکه و اینترنت بهره می گیرد که آن را به یک تهدید بزرگ تبدیل می‌کند. این بدافزار قادر است بدافزارهای بیشتری را دانلود و نصب کند که می تواند برای سرقت اطلاعات و حتی انجام حملات دیگر مورد استفاده قرار بگیرد.
بررسی‌های تکمیلی نشان داده شمار قابل توجهی از دیپلمات‌های مرتبط با سازمان‌های مردم نهاد در آفریقا، آسیا و اروپا در خلال سال‌های 2017 تا 2019 مورد هدف بدافزار MosaicRegressor قرار گرفته‌اند. به طور دقیق تر این بدافزار افرادی را هدف گرفته که فعالیت‌های آنها عمدتاً پیرامون موضوعات مرتبط با کره شمالی بوده است.
جالب اینکه شواهد بسیار پیچیده به دست آمده نشان می‌دهد ، سازندگان بدافزار MosaicRegressor چینی زبان هستند.
http://www.drweb-sec.ir
نرم افزار بررسی از راه دور TeamViewer رفع تحریم شد. هنوز مشخص نیست این موضوع به صورت اتفاقی رخ داده است یا به طور دائم این ممنوعیت برای کاربران ایران برداشته شده است.

@drweb_sec