IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

IOT

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

آلودگی بیش از 100 میلیون دستگاه اینترنت اشیاء با آسیب پذیری NAME:WRECK

takian.ir iot security

محققان امنیتی 9 آسیب پذیری را شناسایی کرده اند  که با استفاده از چهار استک TCP/IP بیش از 100 میلیون دستگاه که توسط مصرف کنندگان شخصی و یا سازمانی استفاده میشوند، را تحت تأثیر قرار می دهد که این آسیب پذیری می تواند توسط مهاجم برای کنترل سیستم آسیب پذیر مورد سوءاستفاده قرار بگیرد.

به نقل از هکر نیوز، این نقصی که توسط فاراسکات و JSOF با عنوان "NAMED:WRECK" نام برده شده است، در ادامه آخرین سری تحقیقاتی است که به عنوان بخشی ابتکاری به نام Project Memoria برای بررسی امنیت استک های TCP/IP پرکاربرد که توسط تامین کنندگان مختلف جهت ارائه امکانات اتصال به اینترنت و شبکه در سیستم عاملها گنجانده شده، انجام پذیرفته است.

محققان گفته اند: "این آسیب پذیری ها مربوط به پیاده سازی DNS است که باعث DoS یا Denial of Service و یا اجرای کد از راه دور (RCE) می شود و به مهاجمین اجازه می دهد دستگاه های هدف را بصورت آفلاین یا کنترل از راه دور کنترل کنند".

این نام از این واقعیت ناشی می شود که تجزیه نام دامنه ها می تواند پیاده سازی DNS را در استک های TCP/IP بشکند (یعنی "خراب (wreck)" کند) و با اضافه کردن آسیب پذیری های اخیر مانند SigRed ، SAD DNS و DNSpooq از دفترچه تلفن اینترنتی به عنوان وکتوری برای حمله استفاده میکند.

آنها خاطر نشان کردند، این پنجمین بار است که نقاط ضعف امنیتی در استک های پروتکل ها که زیربنای میلیون ها دستگاه متصل به اینترنت هستند، شناسایی میشوند.

  • URGENT/11
  • Ripple20
  • AMNESIA:33
  • NUMBER:JACK

علی الخصوص جدیدترین تحقیقات پیشنهاد میکنند که باید نگاه ریزبینانه تری به "طرح فشرده سازی پیام" مورد استفاده در پروتکل DNS که با هدف کاهش اندازه پیام ها "از تکرار نام دامنه در پیام جلوگیری میکند" باعث کشف چندین نقص در FreeBSD (12.1)، استک هایIPnet (VxWorks 6.6) ، Nucleus NET (4.3) و NetX (6.0.1) میشود، داشت.

takian.ir iot hack

 

در یک سناریوی کامل حمله در حالت واقعی، مهاجمان می توانند با استفاده از این نقایص راه نفوذ خود را از طریق یک دستگاه سازمانی متصل به اینترنت که درخواست های DNS را به یک سرور صادر می کند پیدا کنند و اطلاعات حساس را از بین ببرند یا حتی از آنها به عنوان بنیانی برای خرابکاری در تجهیزات حیاتی استفاده کنند.

به استثنایIPnet ،FreeBSD ، Nucleus NET و NetX، همه بروزرسانی هایی را منتشر کرده اند که تامین کنندگان را ملزم مینماید دستگاه هایی را که از نسخه آسیب پذیر نرم افزاری بهره میبرند، با ارتقای نرم افزاری آنها و نصب بروزرسانی ها، به مشتریان خود عرضه کنند.

اما مانند نقایص قبلی، برای رفع این اشکالات چندین مانع وجود دارد؛ از جمله کمبود اطلاعات در مورد استک TCP/IP که روی دستگاه اجرا می شود؛ مشکل در ارائه بروزرسانی ها به دلیل اینکه دستگاه ها به طور یکپارچه و مرکزی مدیریت نمی شوند یا اینکه نمی توانند به دلیل نقش اصلی آنها در فرایندهای مهم ماموریتی و عملیاتی مانند مراقبت های بهداشتی و سیستم های کنترل صنعتی، آفلاین شوند.

به عبارت دیگر، علاوه بر تلاش لازم برای شناسایی همه دستگاه های آسیب پذیر، ممکن است زمان قابل توجهی طول بکشد تا بروزرسانی های امنیتی از تامین کننده استک به سیستم عامل دستگاه واصل شود.

حتی در بدترین حالت، در بعضی موارد تلاش برای بروزرسانی و یا پچ کردن هرگز عملی نخواهد بود، در نتیجه بسیاری از دستگاههای آسیب دیده به احتمال زیاد تا سالهای آینده یا تا زمانی که از رده خارج نشوند، در معرض حملات قرار می گیرند!

اگرچه ممکن است راه حلی سریع در حال حاضر در دسترس نباشد، اما نکته قابل توجه در این یافته ها وجود مواردی از کاهش خطر است که تشخیص تلاش برای استفاده از این نقص ها را آسان تر می کند. برای شروع، فاراسکات یک اسکریپت متن باز برای شناسایی دستگاه هایی که استک های آسیب دیده را اجرا می کنند، منتشر کرده است. علاوه بر این محققان همچنین توصیه کرده اند تا زمان نصب بروزرسانی ها، كنترل تقسیم بندی شبكه را اعمال کرده و تمام ترافیك شبكه را جهت بررسی بسته های مخربی كه سعی در سوءاستفاده از کاربرهایDNS ، mDNS و DHCP دارند، كنترل كنند.

همچنین انتظار می رود این مطالعه در کنفرانس Black Hat Asia 2021 در تاریخ 6 ماه می سال 2021 ارائه شود.

محققان اعلام کردند: "NAME:WRECK موردی است که در آن، پیاده سازی نادرست یک قسمت خاص از RFC می تواند عواقب فاجعه باری داشته باشد که در نقاط مختلف استک TCP/IP گسترش می یابد و سپس محصولات ز آن استک آسیب دیده استفاده میکنند".

محققین اضافه کردند که: "همچنین جالب است که عدم اجرای پشتیبانی از فشرده سازی (همانطور که به عنوان مثال در lwIP دیده می شود) یک عامل موثر در کاهش خطرات در برابر این نوع آسیب پذیری است. از آنجا که صرفه جویی در پهنای باند مرتبط با این نوع فشرده سازی در دنیای اتصال سریع تقریباً بی معنی است، ما معتقدیم که پشتیبانی از فشرده سازی پیام DNS در حال حاضر مشکلات بیشتری را در قیاس با مواردی که ممکن است حل کند، ایجاد می نماید".

افزایش تقاضای بازار نرم افزار محافظت از حملات DDoS در بازه 2020 تا 2028

 

حمله DDoS یا Distributed Denial of Service نوعی حمله مخرب است که با ایجاد فشار بیش از حد در وب سایت با میزان بازدید بیشتر از سرور، ترافیک منظم شبکه را مختل می کند. هدف اصلی این نوع حمله سایبری غیرفعال کردن و از کار انداختن وب سایت ها است.

طی سالهای اخیر، این نوع حملات روند رو به افزایش داشته است و متعاقبا تقاضا برای بهترین نرم افزارهای محافظت از DDoS را افزایش می دهد. بسیاری از قطع دسترسی های برنامه ریزی نشده از مرکز داده ها به دلیل حملات DDoS اتفاق افتاده است. درجه بالای خطر DDoS به دلیل دسترسی آسان به ابزارهای لازم برای حمله و سود بالقوه آن از طریق اخاذی است.

این حملات بطور مستقیم مشاغل را هدف قرار داده و منجر به خسارات مالی و جانی قابل توجهی می شود و داشتن راه حل های قوی و مستحکم برای حفاظت از DDoS، تبدیل به امری حیاتی شده است.

طبق گزارش موسسه مارکت ریسرچ ، پیش بینی می شود نرخ رشد مرکب سالانه (CAGR) بازار نرم افزارهای محافظت از حملات DDoS برای سال 2020 تا 2028 به 14 درصد برسد.

 

آماری مهم که نشان از تقاضای روزافزون برای نرم افزاری محافظتDDoS دارد

تقاضا برای بازار نرم افزار DDoS به دلیل افزایش تصاعدی حملات چند جانبه DDoS و سهولت دسترسی به نفرات برا استخدام در حملات DDoS، در حال افزایش است.

این آمار، رشد مداوم در حملات مرگبار DDoS و نیاز قریب الوقوع به داشتن یک فضای محافظت قوی از DDoS را نشان می دهد.

  • بین سالهای 2014 و 2017 افزایش محسوسی در حملات DDoS برای نرخ افزایش 2.5 برابری مشاهده شده است.
  • تا سال 2020 ، تعداد کل حملات DDoS به 17 میلیون نفر رسید که هزینه هر کدام از این حملات بین 20 تا 40 هزار دلار در ساعت بوده است.
  • در سه ماهه دوم سال 2018، میانگین حجم و اندازه چنین حمله ای 26.37 گیگابایت بر ثانیه بوده است، که 967٪ افزایش یافته و در سه ماهه اول سال 2019 به 100 گیگابیت بر ثانیه رسیده است.
  • بزرگترین حمله تاکنون، حمله به GitHub در ماه فوریه سال 2018 با 1.3 ترابابت بر ثانیه بوده است.
  • چین بالاترین رتبه در بین عاملین حملات DDoS در سه ماهه سوم سال 2020 را داشته و 70.20٪ از کل حملات را به خود اختصاص داده است.
  • در سه ماهه سوم سال 2020، چین با 72.83٪ حملات، کشور پیشرو در اهداف حملات بوده است.
  • میزان فعالیت حملات DDoS بین سه ماهه چهارم سال 2019 و سه ماهه اول سال 2020، 542% افزایش یافته است.

پیش بینی می شود که حجم جهانی محافظت و کاهش حملات DDoS با افزایش 14 درصدی نرخ رشد مرکب سالانه ، از 2.4 میلیارد دلار در سال 2019 به 6 میلیارد دلار تا سال 2028 برسد.

عوامل موثر در رشد بازار محافظت و کاهش حملاتDDoS

حملات سایبری در چند وقت اخیر افزایش یافته است که بیشتر به دلیل تغییر جهت دیجیتالی شدن، افزایش تعداد دستگاههای متصل به اینترنت و افزایش قدرت محاسباتی پردازنده ها است. برای کاهش این تهدیدات نیاز به توسعه راه حل های نرم افزاری به شدت احساس میشود.

از اصلی ترین عواملی که می تواند باعث رشد بازار محافظت و کاهش حملات DDoS را بین سالهای 2020 تا 2028 بشود، افزایش نفوذ اینترنت اشیا (IoT) و دستگاه های متصل به اینترنت و تقاضای شرکت های کوچک و متوسط ​​است.

سازمان ها متوجه تأثیر این حملات شده اند و می خواهند از قبل برنامه ای برای مقاومت در برابر این دست حوادث داشته باشند.

حفاظتDDoS چگونه کار می کند

بسیاری از شرکتها با این سوال روبرو هستند که چگونه از وب سایت خود در برابر حملات DDoS محافظت کنم؟ امروزه فروشندگان زیادی وجود دارند که راه حل های نرم افزاری مختلفی ارائه می دهند که از وب سایت ها در برابر این حملات محافظت می کنند.

از الگوریتم ها و نرم افزار پیشرفته ای برای مدیریت ترافیک ورودی به وب سایت استفاده می کند. دسترسی به ترافیک مشکوک را مسدود می کند و اجازه می دهد موارد غیرمشکوک از  فیلتر آن عبور کنند.

راه حل پیشگیری ازDDoS

برنامه حفاظت DDoS شامل خرید و مدیریت تجهیزاتی است که می توانند ترافیک دریافت کننده را غربال کرده و در برابر حمله مقاومت کنند. سرویس های امنیتی مبتنی بر ساختار ابری و دستگاه های شبکه هستند که تهدیدات و مخاطرات ورودی را کاهش می دهند.

انتظار می رود بین سالهای 2020-2028 ، راه حل ها و خدمات سخت افزاری برای اطمینان از اتصال شبکه و کاهش خرابی در صورت خرابی تجهیزات یا برق رشد کنند.

حالت های گسترش و استقرار محافظت ازDDoS

وقتی صحبت از گستردگی میشود، بازار محافظت و کاهش حملات DDoS به ساختار ابری ، درون ساختاری و ترکیبی تقسیم می شود. انتظار می رود مدل ترکیبی در دوره پیش بینی شده، حداکثر رشد را داشته باشد. این حالت به سازمانها اجازه می دهد تا داده های با اهمیت خود را در ساختار خود نگه دارند و داده غیر مهم را به فضای ابری منتقل کنند.

در دوران اخیر، بسیاری از حملات DDoS توسط راهکار های داخلی و مبتنی بر ابر قابل شناسایی نبوده و سازمان ها نمی توانستند آنها را شناسایی و خنثی کنند. بنابراین آنها در حال تغییر به سمت یک مدل استقرار ترکیبی هستند.

بازیگران اصلی ارائه راه حل های تشخیص و کاهشDDoS

با افزایش حملات DDoS، تعداد عوامل ارائه دهنده راه حل های نرم افزاری برای شناسایی و کاهش حملات افزایش پیدا کرده اند.

بزرگترین عوامل حاضر در بازار عبارتند از نت‌اسکات، اینداسفیس مینیجد DDoS میتیگیشن، آکامای تکنولوژیز، کلودفلیر، لینک11، هوآوی تکنولوژیز، وریساین، نکسوس گارد.

بزرگترین سهم بازار در بازار محافظت و کاهشDDoS

طبق گزارش مجموعه مارکت ریسرچ، آمریکای شمالی بیشترین و بزرگترین سهم را در بازار محافظت و کاهش حملات DDoS در دوره پیش بینی شده داشته است. محرک های اصلی برای داشتن یک بازار بزرگ این است که این یکی از ابتدایی ترین راه حل های محافظت و کاهش DDoS بود و هیچ ارائه دهنده دیگری در این زمینه وجود ندارد. بسیاری از مشاغل در آمریکای شمالی برای در نطفه خنثی کردن این تهدیدات، راهکارهای محافظت و کاهش حملات DDoS را به عمل درمی آورند.

آسیا و اقیانوسیه (APAC) نیز شاهد افزایش رشد بازار خود را به دلیل رشد اقتصادی سریع و ثبات در کشورهای در حال توسعه و اصلاحات نظارتی بهتر خواهند بود.

در دوران اخیر و پیش رو، با تغییر روند تهدیدات و تاثیر حملات شبکه های DDoS در طول زمان، حملات DDoS بیشتر و پیچیده تر می شوند. اگرچه حجم حملات کاملا یکسان است، تعداد حملات به برنامه های خاص و هدف های حساب شده، به مقدار قابل توجهی افزایش می یابد.

هدف از راه حل های نرم افزاری حفاظت از حملات DDoS، کاهش بازه زمان خرابی حاصل از این حملات و افزایش در دسترس بودن وب سایت ها در راستای حفظ تولید و کارآیی مشاغل است. راه حل های نرم افزاری درون ساختاری، ابری و ترکیبی برای شرکت های کوچک، متوسط و بزرگ، قطعا بسیار راهگشا است.

پیروزی در نبرد بدون گلوله، تنها با حمله به دستگاه های هوشمند

به گزارش TimesOfIsrael؛ تأمیر پاردو (Tamir Pardo)، مدیر سابق سازمان موساد، در زمان برگزاری «نمایشگاه مونی اتحادیه مقامات محلی» هشدار داد، هر چه شهر هوشمندتر و دیجیتالی تر شود، بیش از گذشته در برابر تهدیدات سایبری آسیب پذیر می شود.Takian.ir Tamir Pardo
بیش از 8 هزار نفر در اجلاس مذکور که به مدت دو روز در مرکز کنوانسیون تل آویو (Tel Aviv Convention Center) برگزار شد حضور داشتند. در میان شرکت کنندگان اعضای کنست، شهرداران و مقامات بیش از 80 شهر از سراسر جهان حضور داشتند.
پاردو در بخشی از اتحادیه محلی مقامات و سرمایه ملی یهود، گفت: " شما می توانید یک کشور را نابود کرده و بدون شلیک حتی یکی گلوله در جنگ پیروز شوید. دشمنان ما در نبرد آینده، نیازی به جنگنده و موشک ندارند. آنها می توانند با حملات سایبری ضربه ی سختی به ما وارد کرده، همه ی سامانه های  اینجا را غیر فعال کنند."

این همایش روی دو موضوع اصلی تمرکز کرده بود. این دو بخش شهرهای هوشمندی که مورد حمله ی سایبری واقع می شوند و سرمایه گذاری مشترک بین شهرداری ها و استارت آپ ها بودند.
وی توضیح داد ما در زمانی زندگی می کنیم که مقابله با نقض های امنیتی به صورت روز افزون مشکل تر می شود؛ زیرا ردیابی آنها در حال سخت تر شده است. برای نمونه می توان به دستکاری نتایج انتخابات ریاست جمهوری آمریکا توسط روسیه اشاره کرد.
رییس سابق موساد از دولتمردان درخواست کرد به جای تکیه بر شرکت ها، خود نقش اصلی را در مدیریت تهدیدها برعهده بگیرند.
هیم بیباس (Haim Bibas)، رییس شورای مرکزی مقامات محلی گفت: "صدها شهر و مقامات محلی هر سال در اسرائیل مورد حمله قرار می گیرند."

بیباس برای رفع مسئله ی بالا اعلام کرد شورای یاد شده نوعی بستر خدمات ابری ابتکاری را به منظور تقویت امنیت و از بین بردن شکاف فناوری بین شهرداری ها ایجاد کرد.

حملات جدید توسط بات نت میرای

محققان شرکت امنیت سایبری «Fortinet»، اظهار کردند که نسخه جدید میرای، ابزاری بسیار قدرتمند است و از سال 2016 تا امروز در سراسر اروپا و آمریکا فعال بوده است.
Takian.ir Miray botnet

بات نت میرای به روش های گوناگون اقدام به نفوذ و تخریب سیستم ها می کند. به طور مثال نسخه اولیه میرای حملات اختلال سرویس توزیع شده (DDoS) را کلید زد، در ویرایش های بعدی این بات نت شاهد استخراج ارزهای دیجیتالی با سوءاستفاده از دستگاه های سخت افزاری کاربران بودیم. البته از آنجایی که عمده فعالیت های این بات نت در حوزه اینترنت اشیا بوده است، بیشتر در این جهت رشد داشته و شناخته شده است.

بسیاری از تجهیزات اینترنت اشیا به دلیل گستردگی فعالیت بات نت میرای مورد تهاجمات گسترده قرار گرفته اند.

در یک مورد از این حملات، با یافتن آسیب پذیری در دوربین های مدار بسته، مدل های « Netgear R7000 و R64000» امکان نفوذ و سرقت اطلاعات آنها فراهم شد. این آسیب پذیری با شناسه «CVE-2016-6277» معرفی شده است.

طبق بررسی های صورت گرفته توسط کارشناسان امنیت سایبری برخی بات نت ها ادامه دهنده راه میرای بوده و عملکردشان تفاوت زیادی با میرای ندارد.

به عنوان مثال بات نت «Sora botnet» یا «Owari bot» نمونه ای از این موارد هستند که عموما با رویکرد سرقت اطلاعات وارد سیستم کاربران می شود.

با توجه به گسترش اینترنت اشیا و گستردگی این حوزه هکرها اقبال بیشتری به هک و نفوذ در این زمینه نشان می دهند. همین موضوع سبب شده تا بات نت ها و بدافزار های موجود در این حوزه گسترش بیشتری پیدا کنند.

گونه جدید شل اسکریپت برای اخاذی اینترنتی و فعال سازی Mirai

 

محققان امنیت سایبری روز دوشنبه موج جدیدی از حملات مداوم را با بهره گیری از چندین آسیب پذیری برای استقرار نوع جدیدی از Mirai در دستگاه های متصل به اینترنت فاش کردند.

تیم اطلاعات امنیتی واحد 42 شرکت پالو آلتو در توضیحی نوشت: "پس از نفوذ و سوءاستفاده موفقیت آمیز، مهاجمان سعی می کنند یک shell script مخرب که شامل اعمال آلوده کننده دیگری مانند بارگیری و اجرای انواع Mirai و اخاذی است را بارگیری کنند".

مواردی که در پی این آسیب پذیری مورد سوءاستفاه قرار میگیرند، عبارتند از:

  • VisualDoor - آسیب پذیری اعمال دستور از راه دور SonicWall SSL-VPN که اوایل ژانویه سال جاری مشخص گردید.
  • CVE-2020-25506 - آسیب پذیری اجرای کد راه دور (RCE) فایروال D-Link DNS-320.
  • CVE-2021-27561 و CVE-2021-27562 - دو آسیب پذیری در مدیریت دستگاه Yealink که به مهاجم غیرمجاز اجازه می دهد دستورات دلخواه خود را بر روی سرور با امتیازات دسترسی root اجرا کند.
  • CVE-2021-22502 - نقص RCE در گزارشگر Micro Focus Operation Bridge (OBR)، در نسخه 10.40.
  • CVE-2019-19356 - روتر بی سیم Netis WF2419 که از RCE استفاده می کند.
  • CVE-2020-26919 - آسیب پذیری Netgear ProSAFE Plus RCE

سونیک وال در بیانیه ای اعلام کرد: "بهره برداری VisualDoor از آسیب پذیری سیستم عامل SSL-VPN نسخه قدیمی است که در سال 2015 با نسخه های 7.5.1.4-43sv و 8.0.0.4-25sv بر روی محصولات قدیمی بروزرسانی شده است." همچنین در ادامه افزوده است که "این سوءاستفاده از هر دستگاه سونیک وال که به درستی بروزرسانی شده باشد، قابل اجرا نیست."

همچنین سه آسیب پذیری اعمال دستور که قبلاً نامشخص بوده است، در این مجموعه گنجانده شده است که در برابر اهداف ناشناخته اعمال گردیده که به گفته محققان یکی از آنها همراه با یک بات نت جداگانه با نام MooBot مشاهده شده است.

گفته می شود این حملات به مدت یک ماه از 16 فوریه تا 13 مارس کشف شده است.

صرف نظر از نقصی که از آن برای دستیابی موفقیت آمیز بهره برده شده است، این زنجیره حمله شامل استفاده از ابزار wget برای بارگیری یک shell script از زیرساخت های بدافزار است که سپس برای استخراج باینری های Mirai استفاده می شود، یک بدافزار معروف که دستگاه های مبتنی اینترنت اشیا شبکه ای را تبدیل به بات های کنترل از راه دور کرده که می توانند به عنوان بخشی از بات نت در حملات شبکه با مقیاس گسترده استفاده شود.

علاوه بر دانلود Mirai، shell script های دیگری نیز مشاهده شده اند که در حال بازیابی موارد عملیاتی برای سهولت انجام حملات شدید برای نفوذ به دستگاه های آسیب پذیر با رمزهای عبور ضعیف هستند.

این محقق افزود: "حریم اینترنت اشیا به عنوان یک هدف به راحتی در دسترس مهاجمان باقی مانده و بهره برداری و سوءاستفاده از آن حجم زیاد از آسیب پذیری ها، بسیار آسان است و در برخی موارد می تواند عواقب فاجعه باری را به همراه داشته باشد".

 

بات نت جدیدZHtrap، با استفاده ازHoneypot قربانیان را به دام می اندازد

در یک طرح توسعه مرتبط، محققان شرکت امنیتی چینی نت لب 360، بات نت جدید مستقر در Mirai به نام ZHtrap را کشف کردند که در حالی که برخی از ویژگی ها را از یک بات نت  DDoS معروف به نام Matryosh گرفته است، از روش Honeypot برای یافتن و اضافه کردن قربانیان جدید استفاده می کند.

takian.ir ZHtrap botnet malware 1

 

در حالی که هانی پات ها به طور معمول اقدام به تقلید از هدف خود برای جرایم سایبری خود میکنند تا برای نفوذ به آنها جهت کسب اطلاعات بیشتر در مورد روش کار خود استفاده کنند، بات نت ZHtrap برای گسترش و تکثیر بیشتر خود، از یک روش مشابه استفاده کرده و از طریق یکپارچه سازی ماژول جمع آوری IP اسکن برای جمع آوری آدرس های IP که به عنوان اهداف استفاده می شوند، استفاده می کند.

این اطلاعات با زیر نظر گرفتن و بررسی 23 پورت تعیین شده و با شناسایی آدرس های IP متصل به این پورت ها و سپس با استفاده از آدرس های IP انباشته شده برای بررسی چهار آسیب پذیری برای نفوذ به مقادیر در حال بارگیری، به دست آمده است:

  • MVPower DVR Shell RCE تأیید نشده
  • Netgear DGN1000 Setup.cgi RCE غیرمجاز
  • دوربین مدار بسته DVR RCE که بر فروشنده های مختلف تأثیر می گذارد
  • اجرای دستور Realtek SDK miniigd SOAP (CVE-2014-8361)

محققان اعلام کردند: "انتشار ZHtrap از چهار آسیب پذیری N-day استفاده می کند و در حالی که از برخی ویژگی های backdoor بهره میبرد، عملکرد اصلی آن DDoS و اسکن کردن است". آنها افزودند: "Zhtrap یک هانی پات را بر روی دستگاه آلوده راه اندازی می کند و تصاویری را از دستگاه های قربانی می گیرد و اجرای دستورات جدید را بر مبنای آن تصاویر غیرفعال می کند و اینگونه به دستگاه تسلط پیدا مینماید".

takian.ir ZHtrap botnet malware 2

 

ZHtrap هنگامی که دستگاه ها را به انحصار خود گرفت، با استفاده از Tor برای ارتباط با یک سرور command-and-control برای بارگیری و اجرای مابقی اطلاعات، با بات نت Matryosh ارتباط می گیرد.

محققان با اشاره به اینکه این حملات از 28 فوریه 2021 آغاز شده است، میگویند که توانایی ZHtrap در تبدیل دستگاه های آلوده به هانی پات ، یک "تحول جالب" از بات نت ها برای تسهیل در امر یافتن اهداف و طعمه های بیشتر است.

بات نت های مبتنی بر Mirai جدیدترین مواردی هستند که در فضای حملات سایبری ظاهر شده اند و تا حدی با در دسترس بودن کد سورس Mirai از سال 2016 در اینترنت، زمینه را برای سایر مهاجمان جهت ایجاد انواع مختلف از این بات نت را فراهم کرده است.

در ماه مارس گذشته، محققان یک نوع Mirai به نام "Mukashi" را کشف کردند که مشخص شد دستگاه های ذخیره سازی متصل به شبکه Zyxel (NAS) را هدف قرار می دهد تا آنها را در اختیار یک بات نت قرار دهد. سپس در اکتبر سال 2020، تیم تحقیقاتی اینترنت اشیاء شرکت Avira نوع دیگری از بات نت Mirai به نام "Katana" را شناسایی کرد که از آسیب پذیری های اجرای کد از راه دور برای آلوده کردن روترهای D-Link DSL-7740C، دستگاه های DOCSIS 3.1 wireless gateway و سوئیچ های Dell PowerConnect 6224 سوءاستفاده می کرده است.

معرفی کتابی مفید در مورد نیازهای امنیت سایبری در محیطIOT

کتاب "Cyber-Assurance for the Internet" که توسط انتشارات Wiley منتظر شده است ، در مورد نیازهای امنیت سایبری در محیط اینترنت اشیاء (IOT) توضیحات مفصلی را ارائه داده است. قیمت اصلی این کتاب 99$ است که بصورت رایگان جهت دانلود متخصصین این خوزه در اختیار شما قرار گرفته است.
این کتاب مفید را میتوانید از اینجا دانلود کنید.

Takian.ir Cyber Assurance for the Internet of Things

ناامنی در سیستم های هوشمند بیداد میکند

 اینترپل، اخیرا طی گزارشی، نسبت به امکان هک وسایل هوشمندی از جمله وب کم ها، تلویزیون های هوشمند و حتی یخچال های جدید، ابراز نگرانی کرده و به کاربران این وسایل، هشدار داده است.Takian.ir insecurity in IOT

در حالی که بسیاری از کاربران، فقط نگران نفوذ هکر ها و مهاجمان سایبری به رایانه ها و تلفن های همراه خود هستند، پلیس بین الملل، اعلام کرده است که همه وسایل متصل به اینترنت و مجهز به فناوری اینترنت اشیا، به صورت بالقوه در معرض خطر هک، قرار دارند.

بر اساس تازه ترین آمار، حملات سایبری به وسایل خانگی مجهز به اینترنت اشیا، در دو سال اخیر، رشدی بی سابقه داشته است.

از همین روی، طبق اعلام مقامات مسئول اینترپل، نیروهای این سازمان، در حال ارتقای توانمندی های تخصصی خود در راستای مقابله با این تهدید نوظهور هستند. به عنوان مثال، اخیرا، 43 متخصص حوزه امنیت سایبری اینترپل، از 23 کشور جهان، طی مانوری به بررسی امکان انجام حملات سایبری به یک بانک مجهز به فناوری اینترنت اشیا، پرداختند.

بر اساس برنامه ریزی های صورت گرفته، متخصصان پلیس بین الملل، در آینده ای نزدیک، قادر خواهند بود که آسیب پذیری های فنی در سرور ها را شناسایی کرده و از حملات بیشتر جلوگیری کنند.

هشدار مایکروسافت درباره هدف قرار گرفتن سیستم های ویندوز و لینوکس با بدافزار LemonDuck

 takian.ir microsoft warns of lemonduck malware 1

یک بدافزار مخرب استخراج رمزارز کراس پلتفرم معروف، همچنان با هدف قرار دادن آسیب پذیری های قدیمی و تکیه بر آنها، ضمن بسط دادن همزمان انواع مکانیسم های توزیع و ارتقای تکنیک های خود برای به حداکثر رساندن اثربخشی کمپین هایش، به ضربه زدن به سیستم عامل های ویندوز و لینوکس ادامه می دهد.

مایکروسافت در مقاله فنی که هفته پیش منتشر شد، اعلام کرد: "LemonDuck، یک بدافزار فعال به روز شده و نیرومند است که اساساً به خاطر اقداماتش در راستای استخراج رمزارز و بات نت شناخته می شود. این بدافزاز با اتخاذ رفتارهای پیچیده تر و افزایش عملیات های خود، همان مسیر قبل را در پیش گرفته و دنبال میکند. امروزه، فراتر از استفاده از منابع برای فعالیت های سنتی بات ها و استخراج رمز ارز، LemonDuck اطلاعات را سرقت می کند، کنترلر های امنیتی را حذف می کند، از طریق ایمیل گسترش یافته و پخش میشود، به صورت جانبی حرکت می کند و در نهایت ابزارهای بیشتری را برای فعالیت های مبتنی بر کنترل اپراتور مستقر مینماید".

این بدافزار به دلیل توانایی انتشار سریع در شبکه آلوده برای تسهیل سرقت اطلاعات و تبدیل دستگاه ها به بات های استخراج رمزارز به وسیله هدایت منابع محاسباتی خود به سمت استخراج غیرقانونی رمزارز، مشهور است. قابل ذکر است که LemonDuck به عنوان یک لودر برای حملات بعدی عمل می کند که شامل سرقت اعتبارنامه ها و نصب ایمپلنت هایی برای مراحل بعد است که می توانند به عنوان دروازه ورودی برای انواع تهدیدات مخرب، از جمله باج افزار باشند.

takian.ir microsoft warns of lemonduck malware 2

فعالیت های LemonDuck برای اولین بار و قبل از شروع به استفاده از ترندهایی با مضمون COVID-19 در حملات ایمیل سال 2020 و حتی نقایص سرور Exchange ProxyLogon که اخیراً به آن پرداخته شده است تا دسترسی به سیستم های پچ نشده را پیدا کند، در ماه می سال 2019 در چین مشاهده گردیده است. تاکتیک قابل توجه دیگر آن نیز، توانایی پاک کردن سایر مهاجمان از یک دستگاه آسیب دیده با خلاص شدن از شر بدافزارهای مخرب و جلوگیری از هرگونه آلودگی جدید به وسیله پچ کردن آسیب پذیری هاییست که برای دسترسی مشابه استفاده میشده است.

حملات شامل بدافزار LemonDuck در بخشهای اصلی تولید و IoT متمرکز بوده است. همچنین کشورهایی از جمله ایالات متحده آمریکا، روسیه، چین، آلمان، انگلیس، هند، کره، کانادا، فرانسه و ویتنام نیز بیشترین برخوردها و درگیری ها را با این بدافزار داشته اند.

takian.ir microsoft warns of lemonduck malware 3

افزون بر این، مایکروسافت از فعالیت بدافزار دومی که بر LemonDuck برای دستیابی به اهداف جداگانه تکیه می کند، پرده برداشت. شرکت مایکروسافت اسم رمز این بدافزاز را "LemonCat" گذاشته است. گفته می شود که زیرساخت حمله همراه با نوع "Cat" در ژانویه 2021 ظهور کرده است و در نهایت منجر به استفاده از آن در حملات سواستفاده از آسیب پذیری های هدف قرار دادن Microsoft Exchange Server شده است. نفوذهای بعدی با استفاده از دامنه های Cat منجر به نصب backdoor، سرقت اعتبارنامه ها و داده ها و استقرار بدافزار شده است که غالباً یک تروجان ویندوز به نام Ramnit است.

مایکروسافت بیان داشت: "این واقعیت که از زیرساخت Cat برای فعالیت های خطرناک تر استفاده می شود، آلودگی های مخرب را از طریق زیرساخت Duck کم نمی کند. در عوض، این اطلاعات زمینه مهمی را برای درک بهتر این تهدید اضافه می کند: همان مجموعه از ابزارها، دسترسی ها و روش ها را مجددا می توان در فواصل زمانی پویا برای تأثیر بیشتر و بهتر، استفاده کرد".