IPIment ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

backdoor

شرکت تاکیان - توسعه امن کیان - تاکیان

آیا واقعا نباید در تلگرام بر روی فایل های PNG کلیک کرد؟

اخیراً اخباری در شبکه های مجازی دست به دست میشود که نباید بر روی فایل های با پسوند png کلیک کرد. اما فلسفه این داستان چیست و آیا فقط بر روی این نوع پسوند نباید کلیک کرد؟ یا در مورد سایر پسوند ها نیز صادق است. در این مطلب سعی داریم این موضوع را موشکافی کنیم.

امروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند. اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.مروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند.

اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.
در بسیاری از زبان‌ها، مانند زبان عربی کلمات از راست به چپ نوشته می‌شوند. در استاندارد Unicodeنیز می‌توان جهت نمایش حروف را تغییر داد. کافی است تنها از یک نماد نامرئی خاص استفاده شود، پس از آن تمامی حروف به‌طور خودکار در جهت معکوس نمایش داده می‌شوند. هکرها از این قابلیت سوءاستفاده می‌کنند.
Takian.ir RLO in Telegram

فرض می‌شود مجرمی فایل مخرب cute_kitten.jsرا ایجاد کرده است. این فایل یک فایل جاوااسکریپت با پسوند JSاست که قابل اجرا است. نفوذگر می‌تواند نام آن را به صورت زیر تغییر دهد:

photo_high_re*U+202E*gnp.js.

در اینجا U + 202Eهمان کاراکتر Unicodeاست که جهت نمایش را تغییر میدهد. بنابراین نام این فایل در صفحه نمایش به صورت زیر است:

photo_high_resj.png

حال به نظر می‌رسد پسوند فایل PNGو یک فایل تصویری است، در حالیکه عملکردش همان تروجان جاوااسکریپت است (یکی از وظایف اصلی سازندگان تروجان‌ها این است که کاربر را متقاعد سازند خودش یک فایل مخرب را راه‌اندازی نماید. برای انجام این کار یک فایل مخرب را بی‌ضرر جلوه می‌دهند.).استفاده از Unicodeبرای تغییر نام یک فایل اتفاق جدیدی نیست. از تقریباً ده سال پیش برای پوشاندن پیوست‌های مخرب در رایانامه‌ها و فایل‌های اینترنتی دانلودشده مورداستفاده ‌بوده است؛ اما اولین باری است که در تلگرام استفاده شده است و معلوم شد که کار هم می‌کند. این آسیب‌پذیری RLO(Right to Left Override) نام دارد.
آسیب‌پذیری RLOتنها در نسخه‌ی ویندوزی تلگرام شناسایی شده است و در برنامه‌های تلفن‌همراه وجود ندارد. محققان کسپرسکی نه تنها به وجود این آسیب‌پذیری پی‌برده‌اند بلکه متوجه شدند مجرمان از آن سوءاستفاده نیز کرده‌اند. قربانی فایل تصویر غیرحقیقی را دریافت و آن را باز می‌کند و رایانه‌‌اش آلوده می‌شود. سیستم‌عامل در زمان اجرا به کاربر هشدار می‌دهد فایل اجرایی از منبعی ناشناس است (در صورتی که در تنظیمات غیرفعال نشده باشد)؛ اما متأسفانه بسیاری از کاربران بدون توجه به این پیام هشدار  بر روی “Run”یا “Start”کلیک می‌کنند.
 Takian.ir RLO in Telegram run
پس از اجرای فایل مخرب، بدافزار تصویری را به‌منظور جلب‌توجه کاربر نشان می‌دهد. پس از آن بسته به تنظیمات تروجان گزینه‌های مختلفی وجود دارد.
پس از کشف این آلودگی توسط محققان کسپرسکی و گزارش آن به توسعه‌دهندگان تلگرام، این مشکل را برطرف کردند، یعنی کلاهبرداران دیگر نمی‌توانند از این فریب در پیام‌رسان تلگرام استفاده کنند؛ اما این بدان معنی نیست که هیچ ‌آسیب‌پذیری دیگری در تلگرام یا دیگر پیام‌رسان‌های محبوب وجود ندارد. بنابراین برای حفاظت در برابر حملات جدید توصیه می‌شود قوانین ساده‌ی ایمنی در شبکه‌های اجتماعی، پیا‌م‌رسان‌های فوری یا هرگونه وسایل ارتباطی دیگری رعایت شود: 1 - عدم دانلود از منابع ناشناس  2 - توجه به هشدارهای سیستمی زمان بازکردن یک فایل  3 - نصب یک آنتی‌‌ویروس قابل اعتماد

 

باز بودن درب پشتی بر روی مودم های زایکسل

به گزارش هک رید؛ شرکت امنیت سایبری نیو اسکای (NewSky)، طی گزارشی از وجود بات نت جدید در حوزه اینترنت اشیا خبر داد. این بات نت که نام آن «DoubleDoor» است، فایروال های را نشانه گرفته و از طریق درب پشتی موجود به این فایروال نفوذ می کند.Takian.ir DoubleDoor

این بات نت از طریق دور زدن ویژگی های امنیتی و تأیید های معمول به سیستم قربانی نفوذ می کند.

در این نوع از حمله با توجه به دور زدن تأیید هویت های معمول می توان کنترل کامل تجهیزات هوشمند را در اختیار گرفت.

آسیب پذیری موجود در فایروال های یاد شده با کد آسیب پذیری CVE-2015-7755 شناسایی می شود. همچنین آسیب پذیری دیگری همانند مورد یاد شده در مودم های «Zyxel» شناسایی شده که از طریق درب پشتی موجود در این مودم به سیستم ها نفوذ می کنند و آسیب پذیری مودم های زایکسل با کد CVE-2016-10401 شناسایی می شوند. از طریق این آسیب پذیری از راه دور هم می توان به سیستم نفوذ کرد، گفتنی است از طریق هر نام کاربری با استقاده از گذرواژه « <<< %s(un=’%s’) = %u» می توان به مودم های زاکسل نفوذ کرد.

از طرفی فایروال ها را می توان از طریق نام کاربری «netscreen» و گذر واژه «zyad5001» مورد حمله قرار داد.

در نهایت از طریق آسیب پذیری درب پشتی فایر وال و آسیب پذیری موجود در مودم های زایکسل میتوان حتی از راه دور به سیستم های کامپیوتری نفوذ کرد.

سوء استفاده هکرها از روترهای لبه شبکه

اخبار و گزارش های جدید سایت ها  تحلیلی و پایگاه های خبری حاکی از آن هست که در سال 2018 سوء استفاده از Takian.ir hacking routerروتر های شبکه افزایش یافته است و از روتر های شبکه ها به عنوان یکی از ابزار های اصلی در چرخه حمله  استفاده شده است. از نمونه  های بسیار مهم می توان به حملات گروه هکری  Slingshot APT  اشاره کرد که از  روتر های میکروتیک برای آلوده کردن هاست ها در زیر ساخت سایبری داعش استفاده کرد. البته اینکه آیا از این آسیب پذیری برای کشور های دیگر از جمله ایران استفاده نکرده باشد هنوز مشخص نشده است. نمونه دیگر استفاده Inception Framework APT از روتر های خانگی برای ایجاد شبکه ای از Proxy های تو در تو هست که می توانند خود را پشت آنها پنهان کنند. از نمونه های قدیمی تر می توان به حمله به روتر های سیسکو توسط SYNful Knock اشاره کرد که توسط Fireeye شناسایی شد.  آخرین مثال هم استفاده گروه LuckyMouse APT از روتر ها به عنوان C&C های خود بوده است. 

البته  ما همه می دانیم که این ها مثال های کشف شده از سوء استفاده از تجهیزات روتر می باشد و ممکن است، شاید بهتر است بگوییم به احتمال زیاد، راه کار هایی متعدد کشف یا شناخته نشده ای توسط نفوذگران استفاده می شوند که می توانند ریسک های امنیتی متعددی را برای ما ایجاد کنند.

با توجه به آنچه گفته شد نکات زیر در این مورد قابل توجه است :

  • همواره از آخرین آسیب پذیری های مربوط به تجهیزات خود مطلع باشید و در صورت مشاهده یک آسیب پذیری با درجه اهمیت Critical یا High نسبت استفاده از Workaround اعلام شده اقدام کنید. در صورت نشر سیستم عامل یا Firmware تجهیز نیز در حداقل زمان اقدام کرده و بروز رسانی کنید. حمله به Smart Install شرکت سیسکو در فاصله کمتر از 10 روز نمونه بسیار خوبه از اهمیت سرعت عمل در واکنش ما است. این رصد می تواند توسط CERT یا SOC توسط Feed های موجود یا بررسی های فردی انجام شود.
  • حتما سیستم عامل و Firmware های خود را از سایت معتبر تهیه و قبل از نصب Hash آن را با سایت اصلی مقایسه کنید. سیستم عامل های Backdoor شده یکی از راه های نفوذ اصلی در دسترسی به روتر ها محسوب می شوند.
  • تمام دسترسی های مدیریتی از راه دور به تجهیزات خود را مسدود یا محدود کنید. نمونه این قابلیت ها Control Plane Policy در روتر های سیسکو می باشد. به علاوه ، لاگ های مربوط به دسترسی را ثبت کرده و آن ها را بررسی کنید.
  • در صورت امکان از یک راه کار Packet analyzer یا IPS ( به صورت Passive یا حتی Tap) در مسیر ارتباطی به روتر خود استفاده کنید و تمامی حملات به پروتکل ها یا دسترسی های غیر مجاز به سمت خود تجهیز روتر را رصد کنید و تجهیزات IPS خود را بگونه ای تنظیم کنید که لاگ های مربوط را به سمت SIEM ، ابزار مدیریت لاگ یا هر ابزار دیگری با قابلیت مشابه ارسال کند. 
  • چک لیست های مربوط به Hardening را پیاده سازی کنید و خطاهای تنظیمات را به حداقل برسانید.
  • تغییرات تنظیمات را به صورت مستمر رصد کنید و در صورتی مشاهده تنظیمات مشکوک یا غیر مجاز بلافاصله نسبت به آن واکنش دهید