ايتنا - آخرين عناوين بدافزار :: نسخه کامل http://www.itna.ir/security/Malware Sat, 02 Dec 2017 12:47:45 GMT استوديو خبر (سيستم جامع انتشار خبر و اتوماسيون هيئت تحريريه) نسخه 3.0 /skins/default/fa/normal/ch01_newsfeed_logo.gif تهيه شده توسط سايت خبری فناوری اطلاعات (ايتنا) http://www.itna.ir/ 100 70 fa نقل و نشر مطالب با ذکر نام سايت خبری فناوری اطلاعات (ايتنا) آزاد است. Sat, 02 Dec 2017 12:47:45 GMT بدافزار 60 چرا رسانه‌ها در مورد کسپرسکی صحبت می‌کنند؟ چه اتفاقی رخ داده است؟ http://www.itna.ir/news/50668/چرا-رسانه-ها-مورد-کسپرسکی-صحبت-می-کنند-اتفاقی-رخ-داده مدت زمانی‌ست که رسانه‌های انگلیسی زبان اخباری را منتشر می‌سازند، در این اخبار سازمان‌های اطلاعاتی بر این باور هستند که لابراتوار کسپرسکی برای سازمان‌های اطلاعاتی فعالیت می‌کند و هدف این لابراتوار جاسوسی است. اما این اخبار همچنان در حال انتشار است و کل دنیا از آن باخبر شده اند. به گزارش ایتنا از کسپرسکی آنلاین، اگر بخواهیم به طور خلاصه این ماجرا را بیان کنیم داستان از این قرار بوده است: بسیاری از رسانه‌های انگلیسی همزمان در مورد بکار‌گیری و استفاده‌ راهکارهای امنیتی کسپرسکی در سرقت فایل‌های محرمانه‌ NSA خبر دادند. داستانی که رسانه‌ها در مورد آن صحبت کرده‌اند از اینجا آغاز شده است که فایل های محرمانه‌ سازمان اطلاعات آمریکا توسط یکی از کارمندان NSA که بر روی سیستم خانگی وی راهکارهای امنیتی لابراتوار کسپرسکی نصب شده بود، توسط هکرهای روسی به سرقت رفته است و برخی از هکرهای دولت روسیه، بدون ارائه جزئیات، مدعی شدند که تمامی فایل های NSA را بدست آوردند و مالک آنها شده‌اند. پس آیا هکرها تسلط کامل به NSA دارند؟ تمامی نشریات بر اساس اطلاعات حاکی از منابع ناشناس گزارش‌های خود را منتشر ساخته‌اند که این اخبار به هیچ وجه قابل تایید نبوده و هیچ گونه رسمیتی نخواهند داشت. با این حال آن‌ها داستان را اینگونه بازگو کرده‌اند: کارمند NSA مجموعه‌ای از اطلاعات بسیار محرمانه را که از روی سیستم های دولتی دریافت کرده بود را به دستگاه های شخصی خود در منزل انتقال داده، که بر روی دستگاه‌های خانگی این شخص راهکارهای کسپرسکی نصب شده بود و هکرها از این طریق توانستند به اطلاعات محرمانه‌ی این سازمان دسترسی یابند. آنها همچنین افزودند حمل اطلاعات محرمانه از بخش نخبه‌ NSA کاری بچگانه است. آنها چه نوع فایل‌های محرمانه‌‌ای بودند؟ هیچ گونه اطلاعات محرمانه‌ای در این رابطه وجود ندارد. ممکن است نوعی از نرم افزارهای مخرب سایبری- نظامی یا بدافزارهای جاسوسی بوده باشد. اینطور که به نظر می‌رسد این کارمند تصمیم گرفته بود تا کارهای محرمانه‌ خود را در منزل انجام دهد اما آنتی ویروس ما آن‌ها را شناسایی کرد. چه سورپرایزی! اسرائیل چه نقشی در این بین دارد؟ طبق آخرین اخبار، کسپرسکی در گزارش ماه ژوئن 2015 خود اعلام نمود که هکرها بیشتر علاقمند به کسب اطلاعات در خصوص فعالیت کسپرسکی در NSA و ستاد ارتباطات دولت بریتانیا بودند. در مقابل، مقامات اسرائیلی به NSA اعلام کردند که در حمله‌ی اخیر خود به شبکه‌‌ی کسپرسکی به اطلاعاتی دست یافته‌‌اند که دسترسی دولت روسیه به برنامه‌‌های سری دولت آمریکا توسط آنتی ویروس کسپرسکی را فاش می‌کند. مقامات اسرائیلی به همتای خود در آژانس امنیت ملی آمریکا شواهدی ارائه کرده‌اند که شامل اسکرین ‌شات‌ها و دیگر اسناد مرتبط به دسترسی دولت روسیه در راهکار کسپرسکی است. چه مدرکی ارائه شده است؟ در حال حاضر هیچ شواهدی مبنی بر همکاری کسپرسکی با هکرهای روسی وجود ندارد. خبرنگاران اطلاعات خود را از کجا دریافت کرده‌اند؟ متاسفانه این مورد هم هنوز مشخص نشده است. رسانه‌ها اغلب با پیش فرضی پیش می‌روند که دیگر رسانه‌ها به آن می‌پردازند. بدون هیچ عنوان و اسم و هیچ چیزی شروع به انتشار اخبار می‌کنند. علاوه بر این خبرنگاران خود هیچ کدام موفق به اخذ تایید رسمی چنین ادعاهایی به جز ما که منکر تمام شایعات شدیم، نشدند. اخباری که از منابع ناشناس منتشر می‌شوند به این معنا هستند که هیچ گونه شواهدی در رابطه با آن‌ها در دسترس نیست و هیچ شخصی مسئولیت این اخبار را به عهده نمی‌گیرد. در حال حاضر هیچ راهی برای تایید و تصدیق اطلاعات وجود ندارد. اما تا به حال رسانه‌های زیادی از عدم همکاری لابراتوار کسپرسکی با هکرهای روسی خبر داده‌اند. کدام بخش‌ها درست است؟ وقتی اصل موضوع ثابت نشده است و هیچ چیز در مورد آن مشخص نیست، طبیعی است که نمی‌توان گفت چه چیز درست و چه چیز نادرست است. تنها چیزی که می توانیم آن را با قطعیت بیان کنیم این است که منابع این اخبار ناشناس هستند و هیچ مدرکی در حال حاضر در دسترس نیست. تا اواسط سال 2015لابراتوار کسپرسکی هیچ‌گونه دخالتی از سوی جاسوسان اسرائیلی را در سیستم‌های خود پیدا نکرده بود، تا زمانی که یکی از مهندسان این کمپانی در حال تست یک ابزار جدید، متوجه فعالیت مشکوکی در شبکه‌ی کسپرسکی شد. این کمپانی در ماه ژوئن 2015 در گزارشی که به طور عمومی منتشر شد، تمامی بررسی ‌ها و یافته‌های خود را اعلام نمود. در این گزارش نام اسرائیل به عنوان سازمان دخالت کننده عنوان نشده بود، اما فرآیند دسترسی به سیستم‌ ها و شبکه بسیار شبیه به حمله‌‌ قبلی به این شرکت موسوم به بدافزار Duqu بود. محققان امنیتی، عاملان این حمله‌ی سایبری را همان کسانی می‌دانند که در حمله ‌استاکس‌نت دخیل بودند. بدافزار استاکس‌نت که محصول مشترک آمریکا و اسرائیل به شمار می‌رود، برای ایجاد خرابکاری در تأسیسات غنی‌سازی اورانیوم نطنز در سال ۲۰۱۰ طراحی شده بود. به منظور بررسی صحت ادعاهای مختلف بایستی از مقامات و سازمان‌های دیگر در این مورد سوالات لازم را بپرسیم. ما در لابراتوار کسپرسکی یک جانبه صحبت نمی‌کنیم و عقیده داریم که یک طرف داستان رسانه‌های آمریکایی، منابع ناشناس هستند و طرف دیگر افراد و سازمان‌های معتبری همانند اینترپل و BSI. در مورد دوم یا همان اینترپل و BSI متخصصان معتقد هستند که هیچ شواهدی در مورد حمایت هکرها از جانب لابراتوار کسپرسکی و جاسوسی از جانب این کمپانی صورت نگرفته است. به همین علت هیچ دلیلی برای هشدار در مورد محصولات لابراتوار کسپرسکی وجود ندارد و هدف ما تنها یک چیز است: مبارزه با جرایم سایبری! شما می‌گویید هکرهای روسی؟ آیا به راستی لابراتوار کسپرسکی با سازمان های اطلاعاتی روسیه کار می‌کند؟ ما به سازمان‌های مجری قانون (در سطح جهانی و نه تنها در روسیه) کمک می‌کنیم. اما هدف ما از این یاری رساندن تنها یک چیز است، آن هم به دام انداختن مجرمان سایبری و توقف فعالیت‌های مخرب آنها. این همکاری گاهی به ما کمک می‌کند تا به عنوان مثال رمزگشاهای رایگان باج افزارها را به کمک قربانیانی که فایل‌های خود را از دست داده‌اند، منتشر و به دست کاربران برسانیم. بدین وسیله ما قادر به ایجاد چیزهای مفید دیگری همانند وب سایتی که می‌تواند برای بررسی اینکه کامپیوتر به بخشی از بات نت تبدیل شده است یا خیر مورد استفاده قرار بگیرد. ما هرگز به سازمان‌های سایبری برای جاسوسی یا اطلاعات نظامی کمک نمی‌کنیم. این موضوع برخلاف اصول ما خواهد بود. ما جاسوس نیستیم و در لابراتوار خود هیچ گاه جاسوسی نکرده و نخواهیم کرد. آیا این صحت دارد که آنتی ویروس کسپرسکی داده ها را از سیستم کاربران خود جمع آوری می‌کند؟ بله با قطعیت به این سوال پاسخ مثبت می‌دهیم. ما اطلاعات کاربران خود را جمع آوری می‌کنیم اما نه اطلاعات شخصی همانند اسناد و عکس‌های شخصی. محصولات امنیتی ما همانند محصول آنتی ویروس دارای یک بخش حفاظت از ابر است. این ویژگی به هرگونه تهدید جدیدی واکنش نشان می‌دهد و از تمام کاربران در عرض یک دقیقه محافظت می‌کند. ما این ماژول را امنیت شبکه ی کسپرسکی یا (KSN) نامیده‌ایم. در زمانی که KSN راه‌اندازی و خطر برای کاربر شناسایی شود، آنتی ویروس فایل‌ها را به صورت ابر انتقال می‌دهد (اگر که آن‌ها مربوط به فایل‌های مخرب یا مشکوک باشد). اما در صورتی‌که شما مایل به انتقال داده‌ها نباشید، می‌توانید ماژول KSN را هنگام نصب محصول یا در هر زمان دیگر، بعد از نصب نرم‌افزار امنیتی خود غیر فعال کنید. این موضوع کاملا ساده است، اطلاعات شما نزد ما محافظت خواهند شد اما در صورتی که مایل به انجام این کار نباشید می توانید آن را غیر فعال کنید. کاربران سازمانی ما می‌توانند به جای استفاده از KSN از ویژگی KPSN یا همان شبکه‌ی امنیت شخصی ما استفاده کنند که همان سطح حفاظت را برای آن‌ها فراهم می‎کند با این تفاوت که هیچ اطلاعاتی از جانب آنها به سرورهای لابراتوار کسپرسکی انتقال پیدا نخواهند کرد. آژانس‌های دولتی در ایالات متحده آمریکا در حال حاضر از راهکارهای لابراتوار کسپرسکی استفاده نمی‌کنند، آیا آن‌ها قادر به انجام چنین کاری هستند؟ بر اساس اطلاعاتی که از تحقیقات مستقل بدست آمده است، راهکارهای امنیتی کسپرسکی جز بهترین راهکارها است و از لحاظ جامع بودن یکه‌تاز می‌باشد. بنابراین انتخاب با شما است و می‌توانید برای امنیت خود تصمیم گیری عاقلانه داشته باشید. امیدواریم با مطالعه‌ این مقاله آگاه شده باشید که دقیقا چه اتفاقی افتاده است و داستان از چه قرار است!   ]]> امنيت Sun, 22 Oct 2017 12:46:36 GMT http://www.itna.ir/news/50668/چرا-رسانه-ها-مورد-کسپرسکی-صحبت-می-کنند-اتفاقی-رخ-داده نوع جدید حمله خطرناک سایبری http://www.itna.ir/news/50529/نوع-جدید-حمله-خطرناک-سایبری   حمله Rowhammer از بزرگتر شدن فضای حافظه و کوچکتر شدن اندازه فیزیکی حافظه و در نتیجه قرار گرفتن تعداد بسیار زیادی سلول حافظه روی یک بورد، سواستفاده می‌کند. محققان کشف کردند که اگر حافظه RAM را با تعداد زیاد اما ثابتی از خواندن- نوشتن بمباران کنند، می‌توانند شارژ الکتریکی سلول‌های حافظه را به مقادیر دلخواه خود تغییر دهند. یعنی اگر داده ذخیره شده یک است آنرا به صفر تغییر دهند یا برعکس. به گزارش ایتنا از ایسنا،‌  بر این اساس مهاجم می‌تواند از این حمله برای انتقال کدهای بدخواهی که سطح دسترسی را افزایش می‌دهند یا باعث از دسترس خارج شدن سرور می‌شوند استفاده کند. محققان کشف کردند که: •    Rowhammer  علیه حافظه‌های DDR3 و DDR4 انجام می‌شود. •    حمله Rowhammer حتی با استفاده از کد جاوا اسکریپت انجام می‌شود و نیازی به طراحی بدافزار خاصی نیست. •    با حمله Rowhammer روی Edge می‌توان کنترل ماشینی که سیستم عامل ویندوز روی آن در حال اجرا است را در اختیار گرفت. •    با استفاده از حمله Rowhammer می‌توان کنترل ماشین‌های مجازی مبتنی بر لینوکسی که روی میزبان‌های ابری نصب است را در اختیار گرفت. •    می‌توان با استفاده از حمله Rowhammer دستگاه‌های اندرویدی را روت کرد. بر اساس اطلاعات سایت افتا، شرکت‌های تولید کننده سخت افزار روش‌های مختلفی برای جلوگیری از این حمله ارائه دادند، حتی اینتل تغییراتی در معماری CPUهایش اعمال کرد. ولی این نوع جدید از حمله Rowhammer همه ی این روش‌ها را دور می‌زند. طبق تحقیقات انجام شده توسط محققان حمله Rowhammer حدود 44.4 تا 137.8 ساعت زمان نیاز دارد. با این وجود انجام شدن این حمله روی سرورها و فراهم کننده‌های سرویس‌های ابری کاملا امکان پذیر است. ]]> امنيت Fri, 13 Oct 2017 12:11:31 GMT http://www.itna.ir/news/50529/نوع-جدید-حمله-خطرناک-سایبری چشم انداز تهدید برای سیستم های اتوماسیون صنعتی در نیم‌سال اول 2017 http://www.itna.ir/news/50408/چشم-انداز-تهدید-سیستم-های-اتوماسیون-صنعتی-نیم-سال-اول-2017 تمام داده‌های آماری در این گزارش با استفاده از شبکه امنیت کسپرسکی (KSN)، یک شبکه آنتی ویروس توزیع گردید. این داده‌ها از طرف کاربران KSN که برای دسترسی به داده‌های ناشناس از رایانه‌های خود رضایت کامل داشته‌اند، دریافت شده است. به گزارش ایتنا از کسپرسکی آنلاین، داده‌هایی که از رایانه‌های محافظت شده توسط راهکارهای لابراتوار کسپرسکی دریافت شد، توسط ICS CERT کسپرسکی به عنوان بخشی از زیرساخت‌های صنعتی در سازمان‌ها طبقه بندی شده است. این گروه شامل ویندوز کامپیوترهایی است که یک پلتفرم یا چندین توابع زیر را اجرا می کند: کنترل و نظارت و کسب اطلاعات (SCADA) سرورها؛ سرورهای ذخیره ی داده‌ها؛درگاه داده‌ها؛  ایستگاه‌های کاری ثابت مهندسان و اپراتورها؛ ایستگاه‌های کارِ تلفن همراه مهندسین و اپراتورها؛ رابط ماشین انسان؛ این گروه همچنین شامل رایانه‌های کارکنان در سازمان‌های پیمان کار و رایانه‌های مدیران شبکه‌های کنترل صنعتی و توسعه دهندگان نرم‌افزارهایی هستند که نرم‌افزار اتوماسیون صنعتی را شامل می‌شوند. رویدادهای اصلی در ماه آوریل گروه هکرهای Shadow Brokers به آرشیو امنیت ملی (NSA) با استفاده از اکسپلویت‌ها و ابزارهای حمله دسترسی یافتند. در ابتدا Shadow Brokers در تلاش بودند تا بتوانند آرشیو به سرقت رفته را به فروش برسانند. اما چندی بعد بیشتر آرشیوها انتشار یافت. داده‌هایی که به صورت عمومی منتشر شده بودند شامل اکسپلویت‌هایی می شد که برای تجهیزات شبکه‌ها و روترها، سیستم های بانکی، سیستم‌های یونیکس، نسخه های مختلف ویندوز مورد استفاده قرار گرفته بود. برخی از آسیب پذیری‌های منتشر شده قبلا به صورت آسیب پذیری های صفر روزه منتشر شده بودند. در ماه ژوئن سال 2017، نتایج تحقیقات مربوط به بدافزار  CrashOverride/Industroyer منتشر شد. کارشناسان امنیتی ESET ،  Dragos  و همچنین تعداد زیادی از محققان مستقل به این نتیجه رسیدند که این بدافزار به منظور جلوگیری از کارکرد سیستم های کنترل صنعتی (ICS)، به ویژه ایستگاه های الکتریکی طراحی شده است. CrashOverride/Industroyer قادر به کنترل مستقیم سوییچ‌ها و قطع کننده های مدار در مدار ایستگاه های الکتریکی بود. کارشناسان امنیتی  ICS CERT در گزارش خود اعلام کردند که در کسب و کارها، ایمیل ها توسط مجرمان نیجریه مورد هدف قرار گرفته بود و این حمله در درجه اول شرکت های حمل و نقل و تدارکات صنعتی بزرگ را مورد حمله قرار داده بود. با توجه به حملاتی که توسط لابراتوار کسپرسکی بررسی می شود، شرکت های صنعتی بیش از 80 درصد قربانیان بالقوه را شامل می‌شوند. طبق یافته های کسپرسکی، در مجموع بیش از 500 کمپانی در بیش از 50 کشور مورد حمله ی مجرمان قرار گرفتند.  خبر بسیار مهمی که در شش ماه اول سال 2017 توجه همه را به خود جلب کرد، ریزش آرشیو اطلاعات یک واحد ویژه آژانس مرکزی در آمریکا بود. این آرشیو اطلاعات حاوی اطلاعاتی در مورد ابزارهای هکری سیا از جمله اکسپلویت های صفر روزه، ابزار دسترسی از راه دور و اسناد مربوطه بود. بخشی از این آرشیو در WikiLeaks منتشر شد. باج افزارها تهدیدات قابل توجهی برای کمپانی ها به خصوص شرکت های صنعتی محسوب می شوند. این گونه از ویروس‌ها برای کمپانی‌هایی که زیرساخت های حیاتی و با ارزش دارند یک تهدید همیشگی و البته خطرناک محسوب می شوند زیراکه فعالیت بدافزارها می تواند فرآیندهای صنعتی را به راحتی مختل کنند. در طی شش ماه اول سال 2017، حملات توسط باج افزارهای رمزنگار با 33 گونه ی مختلف باعث مسدود شدن کامپیوترهای ICS شدند. خوشبختانه در بین نمونه‌های مخرب شناسایی شده ما هیچ برنامه خاصی را که برای مسدود کردن نرم افزارهای اتوماسیون صنعتی طراحی شده باشد را پیدا نکردیم.  بر اساس تعداد سیستم های مورد حمله واقع شده، باج افزار واناکرای در نیمه ی اول سال 2017، بالاترین رتبه را کسب کرد. این در حالی است که 13.4 درصد از تمام کامپیوترهای موجود در زیرساخت‌های صنعتی مورد حمله این باج‌افزار و رمزنگاری آن قرار گرفته بودند.     ما علت شیوع و موفق بودن عفونت های واناکرای را خطا در پیکربندی شبکه‌های معمولی می‌دانیم. محققان ما تمام مسیرهای آلوده را آنالیز کردند و به این نتیجه رسیدند که سیستم های اتوماسیون صنعتی می توانند توسط باج افزارهایی نظیر واناکرای از طریق شبکه محلی و اتصالات وی.پی.ان مورد حمله قرار بگیرند. آمار تهدیدات در نیمه اول سال 2017، راهکارهای امنیتی لابراتوار کسپرسکی 37.6% از کامپیوترهای ICS محافظت شده را در برابر حملات متعدد محافظت و تلاش های مکرر مجرمان را مسدود ساختند که این رقم 1.6 درصد از نیمسال دوم سال 2016 کمتر است. در ماه ژانویه ما شاهد وقوع فعالیت‌های مکرر مجرمان بودیم و پس از آن این تعداد به حد معمول خود رسید و سپس به تدریج از ماه آوریل تا ژوئن از تعداد آن ها کاسته شد.     از لحاظ موارد استفاده و فناوری‌های قابل کاربرد، شبکه های صنعتی به طور فزاینده ای شباهت بسیار زیادی با شبکه های شرکت‌های بزرگ دارند. در نتیجه چشم انداز تهدید برای سیستم های صنعتی مشابه چشم انداز تهدید برای سیستم های شرکت‌های بزرگ هستند. در نیمه اول سال 2017 حدود 18000 گونه اصلاح شده بدافزار متعلق به 2500 خانواده بر روی سیستم های اتوماسیون صنعتی شناسایی شد. در این مدت تلاش های مداوم برای دانلود نرم افزارهای مخرب از طریق اینترنت یا دسترسی به منابع مخرب وب و فیشینگ‌ها در 20.4% از کامپیوترهای ICS مسدود شد. برای کامپیوترهایی که بخشی از زیرساخت های صنعتی هستند، اینترنت منبع اصلی عفونت محسوب می شود. عنوان های مشارکتی عبارت اند از رابط بین شبکه‌های شرکتی و صنعتی، دسترسی سیستم‌ها به اینترنت، اتصال کامپیوترها به شبکه، موبایل‌ها، مودم، USB و وای.فای می‌تواند زیرساخت یک مجموعه را به خطر بیاندازد.     تروجان‌های در قالب ویندوز (Win32/Win 64) توانستند فایل های اجرایی بیش از 50 درصد رایانه‌های مورد حمله را مسدود کنند. به جای توسعه یک فایل اجرایی، مجرمان اغلب قابلیت‌های مخرب را با استفاده از یک زبان اسکریپت که قبلا بر روی سیستم قربانیان توسط خود مجرمان نصب شده است، اجرا می کنند. رتبه بندی پلتفرم هایی از جمله ویندوز که توسط بدافزارها مورد استفاده قرار گرفته است، در تصویر زیر قابل مشاهده است.     توجه داشته باشید که مجرمان اغلب از بازکننده های کوچک نوشته شده (لودر) در جاوااسکریپت، Visual Basic Script یا پاورشل که با استفاده از پارامترهای خط فرمان برای کاربران و اشخاص مربوطه راه‌اندازی می شود، استفاده می‌کنند.   ]]> امنيت Wed, 04 Oct 2017 09:26:57 GMT http://www.itna.ir/news/50408/چشم-انداز-تهدید-سیستم-های-اتوماسیون-صنعتی-نیم-سال-اول-2017 APT33: حمله ای که در آن صنایع عربستان مورد هدف هکرها واقع شد! http://www.itna.ir/news/50318/apt33-حمله-صنایع-عربستان-مورد-هدف-هکرها-واقع به‌تازگی مشخص شده است گروهی از هکرها که با نام APT33 شناخته شده اند، پشت یک حمله ی سایبری بزرگ که شرکت های هوافضا، پتروشیمی و انرژی را واقع در عربستان سعودی و کره ی جنوبی آلوده کرده است، قرار گرفته اند. محققان بر این باورند که هکرهای پشت این حمله، گروهی هستند که در گذشته عربستان سعودی را مورد هدف سایبری خود قرار دادند. به گزارش ایتنا از کسپرسکی آنلاین، بر  اساس آخرین گزارش منتشر شده در روز چهارشنبه توسط FireEye، آخرین حمله این گروه هکری به وسیله یک dropper بوده است که آن را DropShot نامیده‌اند و مدعی شده‌اند که با بدافزار  StoneDrill wiper (یک گونه نامعمول از شامون 2) در ارتباط است. محققان گفته‌اند که این بدافزار به وسیله کمپین‌های فیشینگ که شامل تبلیغات برای کار در شرکت های هواپیمایی عربستان سعودی و سازمان‌های غربی است، توزیع می شود. آنها بر این باورند که ایمیل‌ها شامل فریب‌هایی برای استخدام هستند که هر کدام حاوی فایل‌های HTML مخرب بودند.  محققان گفتند فایل های  .hta شامل شرح و توصیف شغل و لینک‌ها برای ارسال مشاغل مشروع در وب سایت های اشتغال محبوب بود که افراد مختلف را مورد هدف قرار داده بود. فایل  .hta بدون توجه به کاربر، دارای کدهای جاسازی شده بود که به صورت خودکار یک درب پشتی  APT33 را دانلود می کرد. لینک ها در ایمیل ها با دامنه‌های جعلی برای شرکت‌های Boeing، شرکت هواپیمایی Alsalam، Northrop Grumman Aviation Arabia و Vinnell Arabia مورد استفاده قرار می‌گرفتند. بسیاری از این قربانیان که بر روی لینک‌ها کلیک می کردند، به طور کاملا تصادفی و ناخواسته DropShot را دانلود می کردند. هدف هکرها از ثبت چندین دامنه به دام انداختن نهادها و سازمان‌های مورد هدف بوده است. در ماه مارس،  لابراتوار کسپرسکی مقاله ای را در مورد لینک های بدافزار  StoneDrill که به یک گونه از شامون ها مرتبط می شد و توانسته بود کمپانی‌های Aramcoو Rasgas را در سال 2012 مورد هدف قرار دهد، منتشر ساخت.  stoneDrill در آن زمان برای مقابله با سازمان های عربستان سعودی مورد استفاده قرار گرفت و در نهایت سر از سازمان‌های پتروشیمی اروپا در آورد. لابراتوار کسپرسکی در مقاله مربوطه نوشت: " stoneDrill شباهت های بسیار زیادی با شامون دارد با این فرق که در آن چندین فاکتور و تکنیک جالب برای جلوگیری از تشخیص در این گونه وجود دارد". محققان لابراتوار کسپرسکی شباهت‌های بسیاری را بین stoneDrill و یک گروه APT که با نام های NewsBeef یا Charming Kitten برای اکسپلویت فرم ورک‌های مرورگرها پیدا کردند. اما لابراتوار کسپرسکی و FireEye هر دو بر این باور هستند که گروه‌هایی که پشت حملات شامون و StoneDrill هستند، هردو یکسان هستند و  این حملات هماهنگ شده توسط افراد مشترک بودند. تیم های امنیتی اظهار دارند که APT33 از سال 2013 تاکنون در حال فعالیت‌های جاسوسی است و هکرهای پشت این حمله برای دولت‌ها فعالیت می‌کنند. محققان امنیتی  FireEye  در گزارشی نوشته‌اند: " به تازگی در می ماه سال 2017، APT33 یک سازمان عربستان سعودی و یک کمپانی تجاری در کره جنوبی را با استفاده از یک فایل مخرب که در تلاش است تا کاربران را برای یک شغل مناسب در یک شرکت پتروشیمی عربستان به دام بیاندازد، مورد هدف قرار داده است". طبق گزارش‌های متعدد از محققان امنیتی، هدف اصلی این حملات افزایش توانایی‌های هوانوردی ، جمع آوری اطلاعات نظامی عربستان  و کمک به شرکت‌های پتروشیمی و منفعت کشوری که حمله را به راه انداخته است، بوده است. طبق گزارش FireEye: "ما بدافزار APT33 را با گروهی که پشت این حمله بودند شناسایی کردیم. اینطور که مشخص است این بدافزار توسط دولت‌هایی برای انجام فعالیت‌های تهدید آمیز علیه دشمنانش ایجاد شده است".    ]]> امنيت Tue, 26 Sep 2017 12:54:38 GMT http://www.itna.ir/news/50318/apt33-حمله-صنایع-عربستان-مورد-هدف-هکرها-واقع آلودگی 4.2 میلیون کاربر اندروید با تکنیک‌های پیچیده بدافزار expensivewall http://www.itna.ir/news/50269/آلودگی-4-2-میلیون-کاربر-اندروید-تکنیک-های-پیچیده-بدافزار-expensivewall فروشگاه گوگل پلی به تازگی 50 اپلیکیشن را که بدافزار  " ExpensiveWall" به آنها نفوذ کرده است را از فروشگاه خود حذف نموده است. به گفته محققان امنیتی  Check Point، این بدافزار که بین 1 میلیون تا 4.2 میلیون بار دانلود شده است، در هنگام نصب مانند دیگر نرم‌افزارها، اجازه‌هایی مانند دسترسی به اینترنت و SMS را از کاربر دریافت می‌کند که برای عضو کردن صاحب تلفن در سرویس های هزینه بر مانند خدمات پیامکی پولی مورد استفاده قرار می‌گیرد. محققان گفته‌اند که این بدافزار به طور عمده با اپلیکیشنی برای تصویر بک گراند یا همان پس زمینه با نام Lovely Wallpaper همراه شده است. به گزارش ایتنا از کسپرسکی آنلاین، محققین امنیتی در وبلاگی در روز پنچشنبه نوشتند: "ExpensiveWall نوع جدیدی از بدافزارها است که اوایل امسال در فروشگاه گوگل پلی قرار گرفت. کل خانواده‌های این بدافزار بین 5.9 میلیون تا 21.1 میلیون دفعه دانلود شده‌اند". گونه این بدافزار با دیگر هم نژادهایش به دلیل استفاده از تکنیک‌های پیچیده که "packed"  نامیده می‌شوند، متفاوت است. این بدافزار به منظور جلوگیری از شناسایی شدن، برنامه‌های مخرب را فشرده و آنها را رمزنگاری می‌کند. گوگل از وجود این بدافزار در هفتم ماه آگوست خبردار شد و فورا آن ها را از فروشگاه حذف کرد. به گفته محققان چندی پس از حذف اپلیکیشن‌های حاوی بدافزار، ExpensiveWall در یک اپلیکیشن ناشناس دیگر در گوگل پلی ظاهر شد. Check Point همچنین گفت: قبل از حذف اپلیکیشن‌های مخرب در گوگل پلی حدود 5000 دستگاه دچار آلودگی شدند. در حالی که تعداد اپلیکیشن‌های آلوده شده توسط این بدافزار کم نبوده است اما گوگل پلی تمامی آنها را حذف و مانع ورود آنها به دیگر اپلیکیشن‌ها شد. همه به خوبی می‌دانیم که بستن راه برای بدافزارها کاری غیر ممکن است، به قول معروف در را بر روی آنها ببندی از دیوار بالا خواهند آمد. همانطور که قبلا مقاله آن را منتشر ساختیم یکی دیگر از جاسوس افزارهای اندروید که sonicspy نامیده شد، ماه گذشته از فروشگاه محبوب گوگل پلی حذف شد. همچنین در ماه می بدافزاری به نام Judy36  میلیون بار از فروشگاه گوگل پلی دانلود و در 40 اپلیکیشن یافت شد. بدافزارهای بسیاری همانند Dvmap, SMSVova, Ztorg بودند که گوگل مجبور شد آنها را از گوگل پلی حذف کند و مانع آلودگی بیشتر کاربران شوند.   طبق گفته محققان، هنوز مشخص نشده است که ExpensiveWall چه مقدار درآمد حاصل از کلاهبرداری خود داشته است.  آنها می‌گویند این خیلی مهم است که هر اپلیکیشن آلوده ای قبل از اینکه بر روی دستگاه های کاربران نصب شود، از فروشگاه حذف شود و اجازه ی شیوع آن به مجرمان داده نشود. بسیاری از کاربران هستند که این اپلیکیشن‌ها را دانلود کرده‌اند و متاسفانه بدافزار در دستگاه آنها وجود دارد. توصیه می شود به کاربران که فورا چنین برنامه‌هایی را از دستگاه خود حذف و سریعا از یک ابزار حذف ویروس برای پاکسازی دستگاه خود استفاده کنند. آنها می‌گویند هنگامی که یک دستگاه اپلیکیشنی را که حاوی بدافزار ExpensiveWall است را نصب می‌کنند، بدافزار چندین مجوز را از جمله دسترسی به اینترنت برای اتصال به سرور C&C و مجوزهای مسیج را برای ثبت نام کاربران به منظور خدمات پرداخت و ارسال مسیج‌های حقوقی درخواست می‌کند. محققان بر این باور هستند که ممکن است اپلیکیشن‌ها اقدامات امنیتی فروشگاه گوگل پلی را دزدیه باشند چرا که مجوزهای مورد نیاز برای این کلاهبرداری کاملا غیر معمول است و بدافزار اپلیکیشن‌های مشروع را مورد هدف حمله خود قرار داده است. ExpensiveWall شامل یک رابط کاربری است که به عملکردهای درون برنامه و کد جاوا اسکریپت متصل می‌شود و بر روی یک رابط وب به نام WebView اجرا می شود. این بدان معنی است که جاوا اسکریپت در داخل WebView می تواند فعالیت های اپلیکیشن‌ها را مختل کند. پس از نصب و اعطای مجوزها، ExpensiveWall اطلاعات مربوط به دستگاه آلوده را (همانند مکان دستگاه، شناسه‌های منحصر بفرد مانند MAC ، آدرس آی پی، IMSI و IMEI) را به سرور C&C خود ارسال می‌کند. هنگامی که یک کاربر اندروید تلفن هوشمند خود را روشن می‌کند  یا که تنظیمات اتصال را تغییر می دهد، بدافزارها به سرور C&C متصل می‌شوند و یک URL دریافت می کنند. URL در یک WebView جاسازی شده باز می شود. این صفحه شامل یک کد جاوااسکریپت مخرب است که می‌تواند با استفاده از رابط جاوااسکریپت توابع درون اپلیکیشن‌ها را همانند سرویس‌های هزینه بر و ارسال پیام های SMS، فراخوانی کند. ]]> امنيت Sat, 23 Sep 2017 11:09:07 GMT http://www.itna.ir/news/50269/آلودگی-4-2-میلیون-کاربر-اندروید-تکنیک-های-پیچیده-بدافزار-expensivewall چگونه از نفوذ بدافزارهای اندرویدی به تلفن هوشمند جلوگیری کنیم؟ http://www.itna.ir/news/50212/چگونه-نفوذ-بدافزارهای-اندرویدی-تلفن-هوشمند-جلوگیری-کنیم در حال حاضر اندروید پرطرفدارترین سیستم عامل موبایل است که محبوبیت آن موجب شده است تا مجرمان این سیستم عامل را برای اهداف مخرب خود انتخاب و بدافزارهای خود را در اکثر اپلیکیشن‌های مربوط به آن گسترش دهند. اما دلیل دیگری که باعث می‌شود کاربران اندرویدی مدام در معرض خطر قرار بگیرند این است که این سیستم عامل به کاربرانش اجازه دانلود اپلیکیشن‌ها را از هر منبعی می دهد و تنها به یک فروشگاه خاص آنها را محدود نمی‌کند. که این مورد برای سیستم عامل  iOS وجود ندارد و شاید رمز موفقیت در امنیت کاربران iOS نیز همین باشد. به گزارش ایتنا از کسپرسکی آنلاین، از سویی دیگر کاربران اندروید انتخاب گسترده‌تری را برای اپلیکیشن‌ها دارند و این موضوع شدیدا امنیت کاربران را زیر سوال می‌برد. هر شخصی می تواند اپلیکیشنی را ایجاد کند، آن را از طریق کانال‌های مختلف گسترش دهد و یا که در یک فروشگاه جایگاهی برای آن درست کند و اپلیکیشن را قابل دانلود در اختیار دیگر کاربران قرار دهد. اگر بخواهیم در یک جمله امنیت اندروید را بیان کنیم این گونه آن را مطرح می‌کنیم: " آلوده کردن یک دستگاه اندرویدی یکی از ساده‌ترین کارها در جهان است". با این وجود راه های بسیاری وجود دارد که می‌تواند این خطرات را کاهش دهد و از شما و اطلاعات داخل دستگاه اندرویدی شما محافظت کند. در این مقاله پنج قاعده اصلی برای جلوگیری از این خطرات وجود دارد که به شرح زیر است:   اپلیکیشن‌های خود را تنها از گوگل پلی دانلود کنید فروشگاه گوگل پلی یک بخشی را دارد که به طور کاملا خاص اپلیکیشن‌هایی که در آن ثبت شده اند را بررسی می‌کند. این کاملا بدیهی است که بدافزارها از راهی برای نفوذ به گوگل پلی استفاده کنند و بتوانند در بین دیگر اَپ‌های مشروع پنهان شوند. اما به هر حال احتمال دانلود یک برنامه مخرب یا همان بدافزارها از فروشگاه گوگل پلی به نسبت دیگر فروشگاه‌ها بسیار ضعیف‌تر است و با فراغی آسوده تر می‌توان در آن به دانلود اپلیکیشن‌های محبوب پرداخت. ممکن است شما به فروشگاه‌های دیگر که شاید به اندازه گوگل پلی بزرگ و شناخته شده باشند و البته سیاست‌هایی برای  پذیرش برنامه‌های مشکوک از توسعه دهندگان نداشته باشند، نیز اعتماد داشته باشید. اما باید بدانید که همیشه و در همه حال مجرمان راه هایی را برای اقدام حملات مخرب خود در نظر می گیرند و شما را تنها به چشم یک طعمه نگاه می‌کنند. با این وجود برای بالابردن امنیت، غیر فعال کردن برنامه های کاربردی از منابع شخص ثالث در تنظیمات دستگاه اندرویدی خود می تواند به شما کمک بسزایی کند. با انجام این کار شما می توانید دستگاه خود را در برابر اکثر تروجان های تبلیغاتی و سایت‌های شخص ثالثی که آنها را پخش می‌کنند، ایمن نگاه دارید.   برای انجام این کار، به گزینه تنظیمات در دستگاه خود مراجعه کنید و منابع ناشناخته یا همان Unknown sources را غیر فعال کنید. اپلیکیشن‌ها را از توسعه دهندگان مورد اعتماد دریافت کنید یک کمپانی بزرگ با یک نام تجاری مشهور و نامدار همیشه برای ترویج تروجان‌ها و البته ننگین نشدن اعتبارش هراس دارد و تا جایی که بتواند موارد امنیتی را رعیات می کند. به همین دلیل است که دانلود برنامه ها از برنامه نویسان و توسعه دهندگان مشهور جهان از امنیت بالاتری برخوردار است. شما می توانید به راحتی نام کامل توسعه دهندگان اپلیکیشن ها، لیست اَپ های انتشار یافته از جانب آن ها و جزئیات تماس با آن ها را در بخش توضیحات اپلیکشن در گوگل پلی مشاهده کنید. امتیازات را بررسی کنید و نظرات دیگر کاربران را مطالعه کنید رتبه بندی بالای یک اپلیکیشن در فروشگاه مشخصه ی یک برنامه ی خوب، مفید و امن است. با این حال شما باید همچنان محتاطانه عمل کنید. گاهی اوقات مجرمان برای گسترش تروجان های خود رتبه بندی مربوط به اپلیکیشن مختص خود را افزایش می دهند و نظرات جعلی به نفع خود را مطرح می‌سازند. به همین دلیل است که برای دانلود یک برنامه امن نباید تنها به امتیاز بالای اپلیکیشن نگاه کرد. نظرات کاربران از اپلیکیشن مد نظر یکی دیگر از عناصر بسیار مهم است. حتما توجه کنید که نظرات توسط افراد واقعی نوشته شده باشند و نه ربات ها. نظراتی که توسط تروجان‌ها نوشته می‌شود اغلب نظراتی مطلوب و البته ساده هستند. چندین نظر یکسان و با یک مفهوم در یک سطر نشان دهنده پرچم قرمز رنگ تروجان ها است. در مورد برنامه های قابل اعتماد و محبوب، امتیازات آن ها به ندرت به پنج ستاره می رسد و کاربران امتیازی دقیق به آن ها می دهند. احتمالا تا به حال امتیازات منفی ارسال شده توسط دیگر کاربران را برای تلاش ارتباط با توسعه دهندگان دیده اید. حتما در نظرات به امتیازات منفی دقت کنید، زیراکه اپلیکیشن های جعلی هیچ یک امتیازات و نظرات منفی ندارند و مجرمان همیشه موارد مثبت را ذکر می کنند. به اختیاراتی که اپلیکیشن‌ها هنگام نصب از شما درخواست می‌کنند توجه ویژه داشته باشید سیستم  اختیارات یک مکانیسم حفاظت از اندروید است که برنامه ها را کنترل می کند. این اختیارات به منظور دسترسی به توابع و داده های خاص مورد استفاده قرار می گیرد ( درصورتیکه این اختیارات برای اپلیکیشن ها وجود نداشته باشند، اپلیکیشن هایی که قادر به فعالیت خواهند بود بسیار محدود می شوند). در این وبلاگ اختیارات خطرناک و البته اختیاراتی که برای شما خطراتی را در پی نخواهند داشت ذکر شده است. خطرات رایجی شامل توانایی جمع آوری اطلاعات (مکان، مخاطبین، فایل های شخصی) و انجام عملیات خاص همانند عکس گرفتن، ضبط صدا، ارسال مسیج و غیره از طریق دادن اختیارات به اپلیکیشن ها کاربران را تهدید می‌کند. قبل از نصب اپلیکیشن، با دقت کامل اختیاراتی را که به اپلیکیشن ها می دهید را بررسی کنید و به ارزیابی درخواست های منطقی بپردازید: آیا واقعا این اپلیکیشن به چنین اختیاراتی نیاز دارد؟ و چرا باید احتیاج داشته باشد؟ آیا چنین درخواست هایی مشکوک به نظر نمی رسد؟ کاربران اندروید 6.0 یا بالاتر از آن می توانند اختیارات را در اپلیکیشن ها را در تنظیمات دستگاه ها بررسی و در صورت عدم تمایل آن ها را لغو کنند. از یک راهکار امنیتی قابل اعتماد استفاده کنید در زمانی که قصد دانلود (فیلم، عکس، موزیک و اپلیکیشن) دارید، حتما اطمینان حاصل کنید که دستگاه شما به یک راهکار امنیتی قوی و قابل اعتماد ایمن شده است. در رابطه با راهکارهای امنیتی کسپرسکی دو نسخه اینترنت سکیوریتی کسپرسکی برای اندروید وجود دارد: نسخه رایگان آن به شما اجازه ی اسکن دستی و رایگان اپلیکیشن ها را می دهد و نسخه تجاری آن به صورت خودکار اپلیکیشن ها را اسکن می کند. سعی کنید همیشه رویکردی عاقلانه داشته باشید: قبل از اینکه اپلیکیشن های خود را دانلود کنید از خود بپرسید که آیا واقعا به این اپلیکیشن نیاز دارم؟ آیا به منبع آن اعتماد دارم؟ آیا درخواست‌های اختیارات منطقی به نظر می رسند؟ اگر با وجود راهکار امنیتی و پرسیدن چنین سوالاتی از خود به دانلود اپلیکیشن اقدام نمایید، دیگر نگران استفاده از دستگاه‌های دیجیتال و البته امنیت داده های خود نباشید.     ]]> امنيت Mon, 18 Sep 2017 09:12:08 GMT http://www.itna.ir/news/50212/چگونه-نفوذ-بدافزارهای-اندرویدی-تلفن-هوشمند-جلوگیری-کنیم باج افزار Crysis قدرتمندتر از قبل ظاهر می‌شود http://www.itna.ir/news/49941/باج-افزار-crysis-قدرتمندتر-قبل-ظاهر-می-شود چند روز گذشته Michael Gillespie متخصص امنیتی باج‌افزارها، نوع جدیدی از باج‌افزارها را که تمامی فایل‌ها را به فرمت .arena در هنگام رمزنگاری داده‌ها تغییر می‌دهد، کشف کرد. دقیقا مشخص نیست که این باج‌افزار چگونه شیوع می‌یابد اما در گذشته از طریق سرویس کنترل از راه دور دسکتاپ و نصب باج‌افزار بر روی سیستم به آلودگی و گسترش می‌پرداخت. به گزارش ایتنا از کسپرسکی آنلاین، هنگامی که باج‌افزار بر روی سیستم نصب می‌شد، کامپیوتر را برای انواع فایل های خاص اسکن و آنها را رمزنگاری می‌کرد. هنگام رمزنگاری یک فایل فرمت .id-[id].[email].arena به فایل‌ها اضافه می‌شد. به عنوان مثال اگر یک فایل test.jpgنام داشت هنگام رمزنگاری توسط باج‌افزار به  test.jpg.id-BCBEF350.[chivas@aolonline.top].arenaتبدیل می‌شد. لازم به ذکر است که این باج‌افزار درایوها و اشتراک گذاری های شبکه را نیز رمزنگاری می‌کند. از این رو اطمینان حاصل کردن قفل اشتراک گذاری شبکه و باز کردن دسترسی آن را تنها برای افرادی که واقعا به آن نیاز دارند مهم است. شما می‌توانید در تصویر زیر نمونه‌ای از فولدر رمزنگاری شده توسط باج‌افزار Crysis را مشاهده کنید.   به دلیل اینکه Crysis با اجرای فرمان زیر نسخه‌های Shadow Copy را از روی سیستم حذف می کند، بنابراین نمی توانید از آنها برای بازگردانی فایل‌های رمزنگاری شده خود استفاده کنید. باج‌افزار آنها را با اجرای دستور delete shadows /all /quiet از روی سیستم حذف خواهد کرد. اما Crysis در طول مدت خرابکاری خود دو یادداشت برای شما به جای می گذارد. یکی از آن ها فایل info.hta است که توسط یک autorun راه‌اندازی شده است.   و یادداشت دیگری که از خود برای شما به جای می گذارد FILES ENCRYPTED.txt است.   هر دوی این یادداشت‌ها شامل دستورالعمل هایی هستند که برای پرداخت و تماس با ایمیل chivas@aolonline.top برنامه ریزی شده‌اند. و اما در نهایت باج‌افزار خودش را هنگامی که شما به ویندوز وارد می شوید پیکر بندی خواهد کرد. این کار به او این اجازه را می‌دهد که فایل‌هایی را که برای رمزنگاری از زمان آخرین اجرا قلم انداخته است را رمزنگاری کند. در حال حاضر امکان رمزگشایی فایل‌ها توسط باج افزار Crysis وجود ندارد متاسفانه در حال حاضر امکان رمزگشایی فایل های .arena که توسط باج‌افزار Crysis رمزنگاری شده است وجود ندارد. تنها راه بازیابی فایل های رمزنگاری شده از طریق بک آپ است و اگر که شما به طور باورنکردنی خوش شانس هستید می‌توانید از طریق Shadow Volume Copies این کار را انجام دهید. اگرچه Crysis در حمله خود تلاش می‌کند تا نسخه‌های Shadow Volume Copies را حذف کند اما در موارد بسیار نادر قادر به انجام این کار نخواهد بود و این عدم توان می‌تواند برای شما یک خوش شانسی بزرگ را به ارمغان بیاورد. به همین دلیل اگر که شما نسخه پشتیبان را تهیه نکرده‌اید و به دام این باج‌افزار افتاده‌اید پیشنهاد می‌کنیم که آخرین راه را برای بازگردانی فایل های خود یعنی همان Shadow Volume Copies را امتحان کنید. چگونه در برابر Crysis و دیگر باج‌افزارها از خود محافظت کنیم؟ برای محافظت در برابر Crysis و دیگر باج‌افزارها مهم است که از یک نرم‌افزار امنیتی مناسب استفاده کنید. مسلم است که هیچ چیز به اندازه استفاده نرم افزار امنیتی نمی تواند از شما و اطلاعات شما محافظت کند. حتی در زمانی که شما نکات امنیتی را حین وب گردی رعایت نمی‌کنید. اول و مهتر از همه همیشه بایستی یک بک آپ قابل اعتماد و تست شده از تمامی اطلاعات خود داشته باشید. علت تاکید ما برای بک آپ‌گیری به این دلیل است که اگر زمانی شما به یکی از باج افزارها گرفتار شدید می‌توانید به راحتی از کنار آن بگذرید و از بک آپ فایل های مهم و حیاتی خود استفاده کنید و بدون داشتن هیچ دغدغه‌ای آنها را بازگردانی کنید. شما هچنین باید از یک نرم‌افزار امنیتی مناسب که رفتارهای بدافزارها را تشخیص می‌دهد و قبل از انجام رفتارهای مخرب بر روی سیستم آن را مسدود می کند استفاده کنید. و اما در آخر اطمینان حاصل کنید که نرم‌افزارهای امنیتی شما به خوبی آپدیت می‌شوند و عملکرد آنها صحیح است. و اما رعایت موارد زیر را فراموش نکنید: •    بک آپ‌گیری یکی از مهم‌ترین، مهم‌ترین و مهم‌ترین فعالیت‌های امنیتی است که هر کاربر باید آن را به طور منظم انجام دهد. •    در صورتیکه فرستنده پیوست‌های ایمیل را نمی‌شناسید به هیچ وجه آنها را باز نکنید. پس از مطمئن شدن از هویت واقعی شخص فرستنده، ایمیل را باز کنید. •    پیوست‌های ایمیل را با ابزارهایی همانند VirusTotal اسکن کنید. •    از آپدیت‌های منظم و به موقع ویندوز خود اطمینان حاصل کنید. همچنین از آپدیت تمامی برنامه‌ها خصوصا جاوا، فلش، آدوب ریدر مطمئن شوید. برنامه‌های قدیمی شامل آسیب پذیری‌های امنیتی هستند که توسط توزیع کنندگان بدافزارها مورد سوء استفاده قرار می‌گیرند. به همین خاطر به‌روز رسانی به موقع آنها حائذ اهمیت است. •    استفاده از نرم افزار امنیتی قابل اعتماد و همچنین قوی را فراموش نکنید. •    از رمز عبورهای سخت برای حساب‌های کاربری خود استفاده کنید و از تکرار رمزعبورهای استفاده شده بپرهیزید. •    اگر از سرویس‌های Remote Desktop استفاده می کنید، آن را مستقیما به اینترنت متصل نکنید. شما می‌توانید هنگام استفاده از آن به منظور امنیت بیشتر از یک VPN استفاده کنید. شما همچنین می توانید برای حفظ امنیت بیشتر خود از آنتی ویروس رایگان کسپرسکی استفاده نمایید.   ]]> امنيت Tue, 29 Aug 2017 13:14:30 GMT http://www.itna.ir/news/49941/باج-افزار-crysis-قدرتمندتر-قبل-ظاهر-می-شود از کجا بفهمیم به جاسوس‌افزارها آلوده شده‌ایم؟ http://www.itna.ir/article/49808/کجا-بفهمیم-جاسوس-افزارها-آلوده-شده-ایم جاسوس‌افزارها اگرچه به تخریب اطلاعات کاربر اقدام نمی‌کنند، اما آنها را جمع‌آوری کرده و برای هکرها می‌فرستند. بنابراین لازم است با به‌روز نگه داشتن نرم‌افزارهای امنیتی و سیستم عامل و همچنین باز نکردن لینک‌های مشکوک، از نفوذ آنها جلوگیری شود.به گزارش ایتنا از ایسنا، جاسوس‌افزار (spyware) مانند ویروس و کرم، نوعی بدافزار است، این نوع بدافزارها دارای ماهیت تخریبی نبوده بلکه تنها اقدام به جمع‌آوری اطلاعات از روی سیستم رایانه شما و ارسال آن برای نفوذگر می‌کند. درنهایت این اطلاعات برای مقاصد خاص فرستاده می‌شود تا از آنها جهت اهداف تجاری، تبلیغی، نظامی و نظارتی و... استفاده شود.جاسوس‌افزار می‌تواند حریم خصوصی کاربران را به خطر بیندازد. این بدافزار بدون اجازه کاربر برروی سیستم کامپیوتری وی نصب شده، کنترل آن را از فرد می‌گیرد و پس از اجرا روی رایانه می‌تواند پیام‌های کاربر را خوانده، مکالمات را شنود کرده و وب‌کم را فعال کند و این اطلاعات شخصی را برای یک شخص ثالث می‌فرستد. در گزارشی که در وب‌سایت پلیس فتا آمده، شیوه نفوذ و راه‌های جلوگیری از نفوذ جاسوس‌افزارها و همچنین نحوه مقابله با آنها تشریح شده است.نشانه‌های آلودگی به جاسوس‌افزارهاکندی در هنگام اجرای برنامه‌ها، مشاهده پیغام خطاهای نامفهوم، فعالیت‌های تایید هویت نشده در اشتراک‌های آنلاین از علائم احتمالی آلودگی به جاسوس‌افزارها هستند.از آنجایی که جاسوس‌افزار یک برنامه‌ است، برای اجرا شدن به حافظه و پردازنده نیاز دارد و سرعت کامپیوتر را کاهش می‌دهد. همچنین جاسوس‌افزار برای این که به راحتی اطلاعات کاربر را برای شخص ثالث ارسال کند و تنظیمات سیستم کامپیوتری را تغییر دهد، اغلب بدون اطلاع کاربر دیوار آتش و ضدویروس را غیرفعال می‌کند تا به اهداف خود دست یابد.ظاهر شدن مداوم پنجره‌های پاپ‌آپ نیز از علائم حضور یک جاسوس‌افزار است. بنابراین اگر فرد به صورت مکرر و مداوم با پنجره‌های پاپ آپ مواجه شود، امکان وجود جاسوس‌افزار در سیستم کامپیوتری وی زیاد است. از طرفی بعضی جاسوس افزارها طوری تنظیمات مرورگر را تغییر می‌دهند که برخلاف میل کاربر و بدون توجه به آدرس وارد شده در نوار آدرس و یا نوار جستجو صفحاتی را به وی نشان دهد که در جهت اهداف تبلیغاتی طراحان آن جاسوس‌افزار است.برای محافظت از سیستم در برابر جاسوس‌افزارها راه‌های گوناگونی وجود دارد، از جمله اینکه باید اطمینان حاصل کنید نرم‌افزار امنیتی و سیستم عامل رایانه شما به‌روز است. زیرا بسیاری از نفوذهای امنیتی به دلیل به‌روز نبودن سیستم‌ها اتفاق می‌افتد. به علاوه لازم است مرورگر خود را به‌روز نگه دارید و آن را به گونه‌ای تنظیم کنید که در صورت باز شدن صفحه و یا دانلود به شما اطلاع‌رسانی کند.باید هنگام وب‌گردی محتاط باشید و از کلیک کردن روی لینک‌های مشکوک خودداری کنید. همچنین هرگز رو لینک‌هایی که در ایمیل‌های ناشناس مشاهده می‌کنید، کلیک نکنید. بسیاری از هکرها لینک‌های مخرب را جاسازی می‌کنند و کاربرانی که به این موضوع توجه نداشته باشند، ناخواسته راه را برای هکرها و بدافزارها باز می‌کنند.از جمله راهکارهای امنیتی دیگر این است که اطمینان حاصل کنید فایروال سیستم شما فعال است، برنامه‌های مورد نیاز خود را از منابع مطمئن دانلود کنید و همچنین وب‌کم رایانه خود را در زمانی که از آن استفاده نمی‌کنید بپوشانید.در صورت آلوده شدن رایانه چه باید کرد؟یک نرم‌افزار امنیتی نصب کنید. پس از این که از حذف شدن جاسوس‌افزار مطمئن شدید تمامی رمزهای عبور مربوط به اشتراکات آنلاین خود را تغییر دهید. همچنین با استفاده از نرم‌افزار امنیتی نصب‌شده تمام سیستم خود را اسکن کنید.در نهایت با توجه به راهی که این بدافزارها همواره برای دسترسی به اطلاعات کاربران در پیش می‌گیرند، اگر اقدامات امنیتی را رعایت نکنید، همچنان احتمال آلودگی به این نوع از بدافزارها وجود دارد. بنابراین از آنجایی که بهترین راه مقابله با آنها پیشگیری است، توصیه می‌شود در آینده بیشتر مواظب باشید و اقدامات ایمنی را بیشتر رعایت کنید. ]]> امنيت Sun, 20 Aug 2017 05:45:37 GMT http://www.itna.ir/article/49808/کجا-بفهمیم-جاسوس-افزارها-آلوده-شده-ایم «واناکرای» از تب و تاب افتاد http://www.itna.ir/news/49363/واناکرای-تب-تاب-افتاد رئیس یکی از مراکز آگاهی رسانی، پشتیبانی و امداد رخدادهای رایانه‌ای از مهار باج گیر سایبری «واناکرای » در ایران خبر داد و گفت: واکنش در ایران به این حمله سایبری، واکنش مناسبی بود.به گزارش ایتنا از مهر، مهران گرمه‌ای مسئول مرکز آپا (گاهی رسانی، پشتیبانی و امداد) دانشگاه بجنورد که هدایت تیم امداد مقابله با ویروس رایانه‌ای «واناکرای» را از سوی مرکز ماهر برعهده داشت، آخرین وضعیت این باج افزار سایبری را تشریح کرد.باج‌افزار سایبری «واناکرای» از حدود یک ماه اخیر با حمله به سیستم‌های کامپیوتری در نقاط مختلف جهان، اقدام به باج‌گیری از طریق پول مجازی (بیت کوین) کرده و بسیاری از سیستم‌های کامپیوتری قربانی این حمله شده‌اند. گفته می‌شود این بزرگ‌ترین حمله باج‌افزاری تاکنون در جهان بوده است.رئیس مرکز آگاهی رسانی، پشتیبانی و امداد رخدادهای رایانه‌ای دانشگاه بجنورد از مهار شدن باج افزار «واناکرای» در ایران خبر داد و گفت: البته این به این معنی نیست که هیچ آلودگی را مشاهده نکنیم، بلکه منظور این است که حملات این ویروس از تب و تاب افتاده و آسیب‌پذیری سیستم‌ها، در همان حدود و حدودی که پیش از این اعلام شده بود، متوقف شد.گرمه‌ای با اشاره به اینکه هنوز در سطح جهانی موارد آلودگی به این بدافزار وجود دارد، افزود: این باج افزار خود به خود سیستم‌های متصل به اینترنت که دارای آدرس IP معتبر هستند را جستجو کرده و سعی می‌کند به سیستم‌های آسیب‌پذیر نفوذ کند. براین اساس تعدادی آلودگی در سطح جهان همچنان وجود دارد و تعدادی سامانه آسیب‌پذیر در جاهای مختلف از جمله ایران باقی مانده است.وی با بیان اینکه برخی با وجود هشدارهای امنیتی پیاپی همچنان سامانه های کامپیوتری خود را به روزرسانی نکرده اند، گفت: این آسیب‌پذیری فقط مختص سیستم‌هایی است که تاکنون به روزرسانی نشده اند.رئیس مرکز آپای دانشگاه بجنورد با تاکید براینکه با تعداد بسیار کمی از حمله نسبت به شیوع اولیه این باج گیر سایبری مواجه هستیم، اضافه کرد: اگرچه در سطح جهان هم انتشار این ویروس از تب و تاب افتاده و تعداد موارد آلودگی مانند روزهای نخست شیوع این بدافزار، نیست اما برآوردها نشان می‌دهد که در ایران واکنش مناسبی به این حمله سایبری صورت گرفته است.گرمه ای با اشاره به اینکه معیار عددی برای میزان سیستم های آلوده به این بدافزار رایانه ای در دست نیست، خاطرنشان کرد: حتی در کشورهای دیگر نیز معیار دقیق عددی برای این بدافزار اعلام نشده چرا که ممکن است در بسیاری موارد حادثه ای پیش بیاید، اما گزارش نشود.وی گفت: در آخرین آمار اعلام شده از سوی مرکز ماهر برای میزان سیستم های آلوده به این نرم افزار مخرب، از راهی غیر از ثبت گزارش ها استفاده شد و هم اکنون نیز استنباطمان این است که در ایران تعداد موارد قابل توجهی از آلودگی به واناکرای مشاهده نشد.عضو هیات علمی دانشگاه بجنورد با اشاره به پژوهش انجام شده درخصوص آسیب پذیری سیستم‌های کامپیوتری در مواجهه با بدافزار «واناکرای» توضیح داد: ما در این پژوهش متوجه شدیم که در ایران نسبت به سایر کشورهای دنیا، کمتر آسیب دیده‌ایم.وی میزان اطلاع رسانی و آموزش را از جمله دلایل مقابله و پیشگیری از این آلودگی سایبری عنوان کرد و گفت: از سوی مرکز ماهر، برنامه‌های متعددی برای آشنایی کاربران با مواجهه و مقابله با این بدافزار ارائه شد و ما به سرعت توانستیم نسبت به حمله این باج‌افزار واکنش نشان دهیم و به همین دلیل آنطور که انتظار می‌رفت، آسیب جدی ندیدیم.گرمه‌ای در مورد آلودگی سیستم‌های حیاتی و حساس کشور گفت: در آسیبی که از یک باج افزار ایجاد می‌شود دو بخش را می توان مورد بررسی قرار داد. اول آنکه اطلاعات ما رمزگذاری شده و شاید دیگر نتوان به آن دسترسی یافت. و دوم اینکه سیستم ما خراب شده و از کار می‌افتد. در حمله اخیر، ما از این جنس آسیب که اطلاعات و داده‌های دستگاه‌های حیاتی کشور را از دست بدهیم، حتی در صورت آلودگی هم نداشتیم و این اتفاق نیافتاد.این مسئول بخش امداد رخدادهای رایانه‌ای با تاکید براینکه سازمانهای حساس و حیانی کشور دارای مجموعه فناوری اطلاعات آگاهی هستند که از داده ها و اطلاعات ارزشمند بک آپ گیری منظم و منضبطی دارند، تصریح کرد: در این قبیل سازمانها، حمله باج فزاری اتفاق خاصی ایجاد نمی کند و تنها دردسر این است که سامانه‌ها آلوده شده و از حالت عملیاتی درمی آیند که باید دوباره سیستم عامل نصب کرد و به دنبال پاک کردن آلودگی در لابلای اطلاعات گشت.وی گفت: این بدافزار باج گیر به سیستم‌هایی آسیب‌زده است که فرآیند پشتیبان گیری (بک آپ) آنها درست نبوده که اغلب این سیستم‌ها نیز مربوط به شرکت‌های خصوصی، ادارات کوچک و کاربران خانگی بوده است.گرمه‌ای اظهار داشت: حمله ویروس سایبری «واناکرای» یک حمله کور بوده است و براساس مشاهداتی که داشتیم می‌توان گفت که هدف این باج افزار، موضوعات مالی نبوده چرا که زیرساخت‌های دریافت پول آن به درستی طراحی نشده بود.به گفته رئیس مرکز آپای دانشگاه بجنورد، فرق اساسی و اصولی این باج افزار نسبت به باج افزارهای دیگر این بود که خود به خود منتشر می‌شد. به این معنی که این ویروس، یک کامپیوتر را آلوده می‌کرد و سعی می‌کرد با استفاده از ارتباطات شبکه روی آن کامیپوتر، سراغ کامپیوترهای دیگر برود. ]]> امنيت Tue, 04 Jul 2017 10:05:30 GMT http://www.itna.ir/news/49363/واناکرای-تب-تاب-افتاد عامل اصلی حملات باج افزار «پتیا» تحت پیگرد قانونی قرار گرفت http://www.itna.ir/news/49359/عامل-اصلی-حملات-باج-افزار-پتیا-تحت-پیگرد-قانونی-قرار-گرفت هفته گذشته باج افزار پتیا با قفل کردن و تخریب فایل‌های ذخیره شده بر روی هزاران رایانه در کشورهای شرق اروپا و به خصوص اوکراین جنجال گسترده‌ای به راه‌انداخت.به گزارش ایتنا از مهر، تلاش‌ها برای شناسایی عوامل اصلی موفقیت پتیا در کشور اوکراین در روزهای اخیر به طور فشرده در جریان بوده تا سرانجام یک محقق امنیتی به نام جاناتان نیکولز موفق به شناسایی آسیب‌پذیری خطرناکی در سرورهای به روزرسان یک شرکت نرم‌افزاری اوکراینی به نام MeDoc شد. این شرکت مرکز و عامل اصلی حملات گسترده پتیا در اوکراین بوده است.محققان می‌گویند بسیاری از موارد اولیه آلودگی به باج‌افزار پتیا در اوکراین به علت به روزرسانی‌های آلوده و مسمومی بوده که از طرف شرکت یادشده صورت گرفته است. این فایل‌های به روزرسان آلوده به باج افزار توسط کاربران زیادی بر روی رایانه‌هایشان نصب شدند و مشکلات زیادی ایجاد کردند.ضعف امنیتی شدید سرورهای این شرکت باعث شد تا فایل‌های به روزرسان آلوده با دخالت عوامل طراح باج‌افزار پتیا به طور گسترده برای کاربران بی اطلاع ارسال شوند.سرورهای مرکزی به روزرسان MeDoc از یک نسخه قدیمی و به‌روزنشده نرم‌افزار انتقال فایل مشهور FTP استفاده می کنند که حفره‌های امنیتی متعددی دارد و سواستفاده از آن برای هکرها بسیار ساده است. هنوز مشخص نیست طراحان پتیا از کدامیک از مشکلات این برنامه برای نفوذ به سرورهای شرکت MeDoc استفاده کرده‌اند.مقامات اوکراینی می‌گویند به علت همین سهل‌انگاری‌ها شرکت MeDoc را تحت پیگرد قضایی قرار می‌دهند. کلنل Serhiy Demydiuk رییس پلیس سایبری اوکراین می‌گوید قبلا هم به این شرکت چندین بار در مورد مشکلات امنیتی هشدار داده شده بود، آما آنها به این مساله بی‌توجهی کرده بودند و این بار باید مسئولیت جنایی و قضایی کار خود را بپذیرند. ]]> امنيت Tue, 04 Jul 2017 05:48:37 GMT http://www.itna.ir/news/49359/عامل-اصلی-حملات-باج-افزار-پتیا-تحت-پیگرد-قانونی-قرار-گرفت