امکان وقوع حمله به بیش از 120 میلیون کاربر اکسل از طریق حمله DDE به واسطه آسیب پذیری

No comments

میلیون ها کاربر مایکروسافت اکسل حمله و آسیب پذیرجدیدی از راه دور به نام DDE را کشف کرده اند .
محققان تهدید امنیتی از مرکز Mimecast اکسلی را کشف کردند که می تواند 120 میلیون کاربر را آلوده نماید .
در این حملات می توان از ابزار Power Query اکسل استفاده کرد تا به صورت پویاحمله داده دینامیک دیتا (DDE) را به یک صفحه گسترده متصل کرد و به طور فعال محتوای بارگیری را آلوده نمود . محققان همچنین دریافتند که از Query Power میتوان برای جاسازی کد مخرب در یک منبع داده و گسترش تروجان استفاده کرد.
برای اطلاعات بیشتر میتواند به لینک های زیر مراجعه نمایید .
• Security flaw in Dell SupportAssist tool puts millions of Windows systems at risk
• Over half of enterprises think security is lagging behind cloud adoption
• Netflix discovers SACK Panic and other Linux security flaws

محققان اعلام کردند بر اساس ویژگی های قدرتمند Power Query از آن استفاده و بهره برداری می کنند . این حمله بیار پیچیده و غیر قابل شناسایی است زیر پس از بازکردن صفحات اکسل نیاز به تایید ندارد .

Ofir Shlomo در یک وبلاگ در مورد این حمله می گویید :
Power Query یک ابزار قدرتمند و قابل مقایسه با (BI) است .که به کاربران اجازه می دهد که صفحات گسترده خود را با سایر منابع داده، مانند یک پایگاه داده خارجی، سند متن، یک صفحه گسترده دیگر یا یک صفحه وب، به چندین نام ادغام کنند. هنگامی که منابع مرتبط هستند، داده ها را می توان در صفحه گسترده، بارگذاری و ذخیره ویا به صورت پویا بارگذاری کرد. (به عنوان مثال هنگامی که سند باز است).

بر اساس تحقیقات تیم مرکز Mimecast Threat : این حملات Power Query برای راه اندازی حملات پیچیده و هم چنین برای تشخیص استفاده می شود و می تواند چندین حمله را ترکیب می کنند. با استفاده از این حملات ، مهاجمان می توانند محتوای مخرب را در یک منبع داده جداگانه جاسازی کنند و سپس آن را به صفحه گسترده دیگر منتقل کنند. کد مخرب با رها کردن و اجرای نرم افزارهای مخرب در دستگاه کاربر می تواند مورد استفاده قرار گیردو آن را به خطر اندازد.

این ویژگی کنترلهای قدرتمندی را فراهم می کند که می توان از آن برای استفاده از یک sandbox یا دستگاه قربانی حملات قبل از آلوده شدن استفاده کرد. مهاجم دارای امکانات بالقوه قبل از بارگیری و کنترل پیش از استثمار می باشد و می تواند بارگیری مخرب را به قربانی انجام دهد .
هم چنین

Mimecast با همکاری مایکروسافت به عنوان بخشی از فرآیند شناسایی آسیب پذیری هماهنگ (CVD) مشغول به کار است تا تعیین کند آیا این یک حملات بسیار مخرب است ؟اما ماکروسافت به جای ایجاد راه حل این مشکل را به قطع رد نمود .

مایکروسافت چندین سال پیش مشاوره ای در مورد حفره امنیتی ارائه داد اما تصمیم گرفت آن را اصلاح نکند.

روزبه نوروزیامکان وقوع حمله به بیش از 120 میلیون کاربر اکسل از طریق حمله DDE به واسطه آسیب پذیری
ادامه

تهدیدات امنیت سایبری در حوزه تجارت که باید در سال 2019 مورد توجه قرار بگیرتد

No comments

با وجود نرخ تکامل تکنولوژی، ممکن است هیچ چیزی سریعتر از چشم انداز امنیت سایبری تغییر نکند. حتی زمانیکه سازمان ها در معرض یک تهدید امنیتی قرار میگیرند  به نظر میرسد سه طرح دفاع سایبری دیگر به نوبت اتفاق می افتند.

ما شاهد همکاری بیشتری بین مجرمان سایبری و بازار زیر زمینی بوده ایم، که به آنها اجازه داده است تا راندمان محصولات خود را افزایش دهند . مجرمان سایبری سالها به این طریق همکاری داشته اند. در سال 2019 فقظ اقتصاد این بازار گسترش خواهد یافت. بازی موش و گربه ای که صنعت امنیت با توسعه دهندگان  ransomware رو به افزایش است و صنعت باید سریع تر و موثر تر از همیشه پاسخ دهد

مراقب تهدیدات هوش مصنوعی باشید:

هوش مصنوعی برای کسب و کارها از لحاظ کارآیی و خودکار سازی وظایف خسته کننده بسیار مفید است، اما مجرمان سایبری نیز در تکنولوژی به دنبال فرصت میگردند. مخصوصا هنگامی که به دنبال تکنیک های حیله هستند که مجرمان را قادر می سازد تا شناخته نشوند و امنیت را دور بزنند. محققان McAfee در گزارش پیش بینی تهدیدات سال 2019 توضیح میدهند: “انتظار میرود تکنیک های حیله برای استفاده از هوش مصنوعی برای خودکار سازی انتخاب هدف و یا بررسی محیط های آلوده قبل از استقرار مراحل بعد و جلوگیری از تشخیص استفاده شوند.”

این بدافزار مبتنی بر هوش مصنوعی، در بالای لیستی که پر از تکنیک های حیله میباشد که امروزه مشاغل سایبری زیرزمینی از آن استفاده میکنند از جمله تکنیک های جدیدی که در سال 2018 کشف شده است، مانند بات نت ها و رمزگشایی.

یک پادزهر احتمالی مبتنی بر هوش مصنوعی و دیگر ابزار امنیت سایبری نسل جدید برای شناسایی و جلوگیری از تهدیداتی که به ظور فزاینده در حال پیچیده شدن هستند استفاده میشوند.

ریموند بوگس، معاون پژوهشی تحقیقات کسب و کار کوچک و متوسط در IDC، به BizTech می گوید: “ابزارهایی که از هوش مصنوعی برای نظارت بر رفتار دستگاه و کاربر استفاده می کنند و هر گونه مورد مشکوک را علم میکنند، در سال 2019 برای کمک به ارتقای قابلیت های امنیتی می آیند.”

امنیت ابر مهمترین مساله میشود:

با اتخاذ ایمیل های مبتنی بر ابر و برنامه های دیگر، امنیت ابر باعث نگرانی بیشتری در سال جدید خواهد بود. مخصوصا به دلیل گفته McAfee، 21درصد داده های دخیره شده در ابر حساس هستند. همچنین بازیگران بد وقتی ابر به اشتباه تنظیم شده باشد فرصتی برای سواستفاده از آن دارد.

تیم جفرسون، معاون رئیس جمهور ابر عمومی در شبکه های Barracuda توضیح میدهد: همانطور که انتقال حجم کار به فضای عمومی ابر زیاد میشود، متخصصان امنیت ریسک باید به طور فعالانه در فرایندهای تیم DevOps خود شرکت کنند تا بتوانند برنامه های حاکمیت و کنترل های انطباق را خودکار کنند. در نتیجه، جفرسون انتظار دارد که تیم های بیشتری درگیر شدن با اتوماسیون باشند که می تواند به «نظارت بر امنیت ابری و حل مشکلات به صورت خودکار» کمک کند.

روزبه نوروزیتهدیدات امنیت سایبری در حوزه تجارت که باید در سال 2019 مورد توجه قرار بگیرتد
ادامه

بدافزار جدید Echobot

No comments

لیستی از برخی از دستگاه های مورد حمله اخیر. بدافزار جدید Echobot این آسیب پذیری ها را مورد هدف قرار می دهد:

1- Asustor NAS appliance (CVE-2018-11510)

2- ASUS Wireless-N300 ADSL Modem Router (CVE-2018-15887)

3- Belkin Wemo UPnP Remote Code Execution (CVE-2019-12780)

4- Blackbox (CVE-2019-3929)

5-Dell (Quest) KACE Command Injection (CVE-2018-11138)

6-Open Dreambox Command Injection (CVE-2017-14135)

7-Geutebruck Command Injection (CVE-2017-5173)

8- Hootoo HT-05 Remote Code Execution (CVE-2018-20841)

9-Netgear readyNAS Remote Command Execution (CVE-2017-18377)

10-NUUO NVRmini devices remote Command Execution (CVE-2018-14933)

روزبه نوروزیبدافزار جدید Echobot
ادامه

توصیه و راهکار مرکز تالوس سیسکو برای کشف حملات روی ترافیک رمز شده RDP نظیر BlueKeep

No comments

اخیرا مایکروسافت برای یک آسیب پذیری خطرناک اجرای کد از راه دور در خصوص مرحله قبل از تعیین هویت در پروتکل RDP وصله ای را ارائه کرده است. این آسیب پذیری به عنوان CVE-2019-0708 در patchهای ماه می شناخته شده است. این آسیب پذیری توجه محققان و رسانه ها را به دلیل این واقعیت که “کرم پذیر است” به خود جلب کرده است. کرم پذیر یعنی حمله ای که از این آسیب پذیری استفاده میکند و میتواند به راحتی از یک ماشین به ماشین دیگری پخش شود. این مساله در طول 54 قسمت از پادکست “آبجو با تالوس” مورد بحث قرار گرفت.
سیسکو تالوس بلافاصله شروع به کار مهندسی معکوس کرد تا مشخص کند دقیقا RDP چگونه آسیب پذیر است. تالوس به محض اینکه توانستیم شرایط آسیب پذیری را تعیین کنیم، پوشش آسیب پذیری را تدوین و منتشر کرد. Snort با SID 50137 به درستی سو استفاده از آسیب پذیری به شماره CVE-2019-0708 و اسکن هایی که تلاش میکنند از این آسیب پذیری استفاده کنند را مسدود میکند.
این قانون با مسدود کردن هر اتصال RDP که تلاش می کند از کانال مجازی MS_T120 استفاده کند. از سو استفاده از آسیب پذیری به شماره CVE-2019-0708 جلوگیری می کند. پروتکل RDP کانال های مجازی را تعریف می کند که می توانند برای انتقال انواع مختلف داده (مانند کلیپ بورد، صوتی و غیره) استفاده شوند. علاوه بر این کانال های مشخص شده توسط کاربر، مایکروسافت کانال MS_T120 را در سیستم RDP ویندوز ایجاد می کند. ایجاد کردن یک کانال MS_T120 ازکاربران انتظار نمیرود. یک مهاجم ناشناسا از راه دور میتواند با ارسال داده های ساخته شده به این کانال داخلی از آسیب پذیری به شماره CVE-20190708 سو استفاده کند.
از آنجا که سرورهای RDP سیستم کاربران از چه کانال های مجازی پشتیبانی میکنند، کاربران لیستی از کانالهای درخواستی شان را در بسته اولیه اتصال در آغاز نشست RDP فراهم میکنند.
Client –> Connection Request –> Server
Client <– Connection Confirm <– Server — Optionally switch transport to TLS — Client –> MCS connect-initial –> Server
Client <– MCS connect-response <– Server
مشخص شدن اینکه سیستم سرویس گیرنده قادر به دریافت TLS است یا خیر در درخواست اتصال RDP امکان پذیر می باشد. در بیشتر موارد، این باعث می شود که سرور بعد از بسته تأیید اتصال، اتصال را به TLS تغییر دهد. این به این معنی است کهFirepower سیسکو فقط لیست کانال های مجازی در مورد رمزگذاری شده را بررسی میکند درصورتی که رمزگشایی TLS برای RDP تنظیم شده باشد.
درحالیکه قانون ذکرشده Snort میتواند به محافظت در برابر BlueKeep کمک کند مهاجمین هنوز هم میتوانند حملات رمزگذاری شده را انجام دهند. اساسا کاربران گذشته را گمراه کرده و ناشناخته باقی مانده اند. حتی اگر کاربران رمزگشایی TLS را برای RDP بر روی دستگاه Firepowerشان راه اندازی کنند، این احتمال وجود دارد که مهاجم بتواند از آسیب پذیری CVE-2019-0708 برا رساندن بدافزاری که میتواند به سرعت پخش شود سو استفاده کند.

روزبه نوروزیتوصیه و راهکار مرکز تالوس سیسکو برای کشف حملات روی ترافیک رمز شده RDP نظیر BlueKeep
ادامه

پیشنهاد مایکروسافت برای ارتقای امنیت ویندوز

No comments

برنامه های لینک زیر میتوانند برای دور زدن Application Whitelisting شما مورد استفاده قرار گیرند .

لذا اجرای آنها را محدود کنید.

  • addinprocess.exe
  • addinprocess32.exe
  • addinutil.exe
  • bash.exe
  • bginfo.exe[1]
  • cdb.exe
  • csi.exe
  • dbghost.exe
  • dbgsvc.exe
  • dnx.exe
  • fsi.exe
  • fsiAnyCpu.exe
  • kd.exe
  • ntkd.exe
  • lxssmanager.dll
  • msbuild.exe[2]
  • mshta.exe
  • ntsd.exe
  • rcsi.exe
  • system.management.automation.dll
  • windbg.exe
  • wmic.exe
روزبه نوروزیپیشنهاد مایکروسافت برای ارتقای امنیت ویندوز
ادامه

نکته ای در بحث امن سازی vSphere

No comments

از قالب ها و مدیریت اسکریپتی استفاده کنید

قالب­های ماشین مجازی شما را قادر می­سازند تا سیستم عامل­هایی مطابق با نیاز شما و مشابه ماشین­های مجازی دیگر با همان تنظیمات  را ایجادکنید. اگر می­خواهید تنظیمات ماشین مجازی را بعد از استقرار اولیه تغییر دهید، استفاده از اسکریپ­ها را در نظر بگیرید برای مثال PowerCLI.

در کتاب امنیت vSphere (تهیه شده در گروه آموزشی پژوهشی روزبه ) خواهید دید  که چگونه با استفاده از کاربر گرافیکی GUI،  امور امنیتی را به نحو احسن  انجام دهید. استفاده از اسکریپت­ها را به جای GUI برای حفظ پایداری محیط خود در نظر بگیرید. در محیط­های بزرگ شما می­توانید ماشین­های مجازی را در پوشه­ها گروه بندی کنید تا اسکریپت نویسی بهینه شود.

کاهش استفاده از کنسول ماشین مجازی

کنسول ماشین مجازی عملکردی مشابه مانیتور روی سرور فیزیکی را برای ماشین های مجازی فراهم می­کند.کاربران با دسترسی به کنسول ماشین مجازی به مدیریت روشن و خاموش کردن و استاپ و استارت  ماشین مجازی دسترسی دارند ومی­توانند اجزای قابل حذف و اضافه نظیر DVD را دستکاری کنند. در نتیجه دسترسی به کنسول ماشین مجازی ممکن است اجازه یک حمله مخرب به ماشین مجازی را بدهد.

بوت کردن امن UEFI   را حتما دربرنامه خود قرار دهید

 از نسخه 6.5 vSphere شما می­توانید ماشین مجازی خود را برای استفاده از بوت UEFI پیکربندی کنید. اگر سیستم عامل شما از بوت امن  UEFIپشتیبانی کند شما می­توانید این قابلیت را به عنوان امنیت بیشتر برای ماشین مجازی خود انتخاب کنید.

بوت امن کمک می­کند که درمرحله بوت، امکان تزریق بد افزار وجود نداشته باشد چون در این مرحله هنوز سیستم عامل مدیریت کننده بالا نیامده لذا هکر می­تواند با تزریق بد­افزار ماندگاری خود را دایمی سازد، بطوریکه احتمال کشف حضور او تقریبا ناممکن گردد.
نکته :برای اطلاعات بیشتر در زمینه بوت امن به مستندات دوره SSCP  از دوره های سازمان  ISC2 مراجعه کنید .

 

کتاب امنيت vSphereبراي متخصصان امنيت,مديران وكار شناسان زير ساخت مجازي سازي

کاری از گروه آموزشی پژوهشی روزبه

http://www.naghoospress.ir/bookview.aspx?bookid=1487001

تهیه آنلاین از انتشارات ناقوس

روزبهنکته ای در بحث امن سازی vSphere
ادامه

❇ مصاحبه و گفتگو با جوان ترین دارنده مدرک امنیت اطلاعات، از سازمان بین المللی ISC2

No comments

پیرو تلاشهای قبل برای شناسایی گرایش های مختلف امنیت اطلاعات و ارایه نقشه راه و با توجه به پیگیری علاقمندان در خصوص نقشه راه امنیت و چگونگی اخذ مدارک بین المللی، مقرر شده است در وبیناری موارد فوق مورد بررسی قرارگیرند. در این وبینار نکات مرتبط نقشه راه امنیت و نحوه مطالعه برای موفقیت در این رشته ، با جوان ترین دارنده مدرک بین المللی امنیت از ISC2 ، مورد بررسی قرار میگیرد .

🔷لینک ثبت نام در ایوند

https://evand.com/events/5521

🕘شروع رویداد
دوشنبه ۲۴ دی ۹۷
ساعت : ۲۱:۰۰

آکادمی آموزش روزبه

روزبه❇ مصاحبه و گفتگو با جوان ترین دارنده مدرک امنیت اطلاعات، از سازمان بین المللی ISC2
ادامه

تبریک به جناب سید علیرضا وزیری

No comments

جناب سید علیرضا وزیری موفق به کسب CISSP رسمی و بین المللی شدند .

این مدرک از پربها ترین مدارک دنیای فناوری اطلاعات است .

#645333 شماره مدرک و عضویت بین المللی در ISC2
SeyedAlireza Vaziri

از طرف مدیریت و کارکنان آکادمی آموزش روزبه ، اخذ مدرک عالی امنیت اطلاعات CISSP رابه ایشان تبریک میگوییم .

لازم به ذکر است موسسه صادر کننده این مدرک ممتاز امنیت اطلاعات ، سازمان ISC2 میباشد و مدرک رسمی CISSP تنها از سوی این سازمان صادر میگردد. آدرس این سازمان در زیر آمده است :
www.isc2.org

روزبهتبریک به جناب سید علیرضا وزیری
ادامه

🚨بررسی یک Dropper که در محیط دات نت نوسته شده است

No comments

⬅تهیه شده در واحد انالیر بد افزار و فارنزیک آکادمی آموزش روزبه
آدرس کانال تلگرامی آموزشHttps://t.me/roozbeh_learning
بخشی از دوره آنالیز بد افزار مطابق مستندات موسسه SANS

dropper به برنامه‌ای گفته می‌شود که برای نصب بدافزارها (ویروس، درپشتی و غیره) بر روی یک سامانه هدف طراحی شده است در این مقاله سعی شده است که یک بد افزار مورد تحلیل قرار گیرد. ما در اینجا نکات مقاله مندرج در لینک را بررسی میکنیم .

🔆در لینک زیر مثال مد نظر برای این دراپر ، اتوران Patient Zero انجام گرفته است .

🔰نکات:
معمولا برای بازکردن پک های اجرایی ( exe) از Disassembler استفاده میگردد ، نمونه خوب آن ابزار IDA pro است .اما برای محیط دات نت از dnSpy استفاده میکنیم .

بدلیل اینکه پک اجرایی کد های دات نت به راحتی به کد اولیه قابل برگشت هستند ، توسعه گران تلاش میکنند با استفاده از تکنیک های Obfuscation ، مهندسی معکوس روی کد های خود را مشکل سازند .

برای این مثال در راستای فهم نوع درهم سازی کد از ابزار
deyect it eady( die )استفاده میکنیم .پس از آن با استفاده از de4dot کد را باز میکنیم تا خوانا باشند.برای بررسی کد از روشهای استاتیک و داینامیک استفاده میکنیم . چون dnspy خود یک دیباگر است میتوانیم در خطوط کد به راحتی حرکت کنیم.

نکته: این بد افرار برای سخت کردن کار محققان مهندسی معکوس از تکنیک هایی استفاده کرده که در هنگام بررسی کد ها و توابع ( خصوصا در هنگام تحلیل کد بصورت داینامیک )، تمام ابزار ها از کار افتاده و بسته میشوند . این کار را با کمک از تزریق در پروسه ها استفاده کرده است .

لذا میبینید که وقتی با نویسنده یک بد افزار مواجه هستید روبروی شما یک هکر ساده نیست.
ولی باز برای اینکه ببینید راهکاری هست ، مقاله را بخوانید .

https://www.cybereason.com/blog/.net-malware-dropper

🔻🔻🔻🔻🔻🔻🔻🔻🔻
🚨با ما همراه باشید در دوره مهندسی معکوس و انالیز بدافزار با به روز ترین منابع و برترین اساتید باسابقه کشور
🔷واتس اپ برای رزرو
09902857289
آکادمی آموزش روزبه

روزبه🚨بررسی یک Dropper که در محیط دات نت نوسته شده است
ادامه

هشدار به متخصصان امنیت در زیرساخت های حیاتی و صنعتی کشور

No comments

تحقیقات در زمینه Triton، بدافزار مختص سیستم های کنترل صنعتی ادامه دارد.
این بدافزار در سال ۲۰۱۷ در صنایع پتروشیمی بخش خصوصی عربستان باعث انفجار شده است و اکنون بنا بر ادعای FireEye ، سازنده آن موسسه ای تحقیقاتی در کشور روسیه است .

مدیران و متخصصان امنیت در کشور ، نسبت به اجرای اقدامات دفاعی لازم و انجام جستجوهای مورد نیاز همت گمارند چون حتی اگر تارگت بدافزار مذکور کشور عربستان باشد، نمیتوان به اطمینان گفت وارد ایران نشده و نخواهد شد.برای اطلاعت بیشتر به لینک زیر مراجعه کنید:

https://www.zdnet.com/google-amp/article/fireeye-links-russian-research-lab-to-triton-ics-malware-attacks

adminهشدار به متخصصان امنیت در زیرساخت های حیاتی و صنعتی کشور
ادامه