نویسنده: علیرضا سمنانی

شناسایی عامل تهدید هدفمند سایبری Flame

در پی بررسی­های تخصصی انجام شده طی چند ماه گذشته توسط كارشناسان مركز ماهر و در ادامه تحقیقات صورت گرفته از سال 2010 پیرامون حملات هدفمند سازمان دهی شده استاكس نت و دیوكیو، این مركز برای نخستین بار اقدام به انتشار اطلاعات آخرین نمونه از حملات این خانواده می نماید.

این حمله توسط بدافزاری كه از این پس با نام Flame (شعله آتش) معرفی خواهد شد صورت می گیرد. این نام برگرفته از محتویات رمزگشایی شده فایل های اصلی بدافزار است. این بدافزار در واقع پلتفرمی است كه قابلیت دریافت و نصب ابزارهای گوناگون جهت فعالیت های مختلف را داراست. در حال حاضر هیچ كدام از اجزای پرشمار تشكیل دهنده این بدافزار توسط بیش از 43 نرم افزار آنتی ویروس در دسترس مورد شناسایی قرار نمی گیرند. با این وجود ابزار شناسایی و پاكسازی این بدافزار در مركز ماهر تهیه شده و از امروز در اختیار سازمان ها و شركتهای متقاضی قرار خواهد گرفت.

شماری از قابلیت­های مهم این بدافزار عبارتند از:

• انتشار از طریق حافظه های فلش
• انتشار در سطح شبكه
• پویش شبكه و جمع آوری و ثبت اطلاعات منابع شبكه و رمز عبور سیستم­های مختلف
• پویش دیسك كامپیوتر آلوده و جستجو برای فایل­هایی با پسوندها و محتوای مشخص
• تهیه تصویر از فعالیت­های خاص كاربر سیستم آلوده با ذخیره سازی تصاویر نمایش داده شده بر روی مانیتور كاربر
• ذخیره سازی صوت دریافتی از طریق میكروفن سیستم در صورت وجود
• ارسال اطلاعات ذخیره شده به سرورهای كنترل خارج از كشور
• دارا بودن بیش از 10 دامنه مورد استفاده به عنوان سرور C&C
• برقراری ارتباط امن با سرورهای C&C از طریق پروتكل های SSH و HTTPS
• شناسایی و از كار انداختن بیش از 100 نرم افزار آنتی ویروس، ضد بدافزار، فایروال و …
• قابلیت آلوده سازی سیستم­های ویندوز XP، ویستا و ویندوز 7
• قابلیت آلوده سازی سیستم­های یك شبكه در مقیاس بالا

به احتمال قریب به یقین و با در نظر گرفتن پیچیدگی و كیفیت بالای عملكرد و همچنین اهداف مشابه این بدافزار، می­توان آن را محصولی از خانواده استاكس نت و دیوكیو دانست.

نشانه های یافت شده حاكی از آن است كه رویدادهای رخ داده اخیر درخصوص از بین رفتن همزمان اطلاعات سیستم­های كامپیوتری نتیجه فعالیت یكی از اجزای این بدافزار می_­باشد.

با تحلیل انجام شده فهرستی از اجزای تشكیل دهنده این بدافزار شناسایی شده و در جدول زیر ارائه می­گردد. این اطلاعات قابل ارائه به تولیدكنندگان عمده آنتی ویروس می­باشد و از این پس اجزای این بدافزار می­تواند مورد شناسایی آنتی ویروس­ها قرار گیرد.

 

 

علائم آلودگی و جزئیات اجزای تشكیل دهنده بدافزار

وجود هریك از این نشانه ها بیانگر آلودگی سیستم به بدافزار flame است:

منبع :  http://certcc.ir

 

هشدارمهم! آمادگی در برابر ويروس  وایپر

براساس گزارشات دريافتي، تعدادی از شرکتهای ایرانی اخیرا آلوده به ویروس خطرناکی شده اند كه اطلاعات دستگاهها رابصورت دائمي وغيرقابل برگشت، حذف ميكند. بدلیل اهمیت موضوع لازم است مدیران محترم شبکه توصیه های زیر را به منظور اطمینان بیشتر و کاهش ریسک این تهدید و سایر تهدیدات مشابه در شبکه خود انجام دهند:

1 – ازبه روزبودن آنتی ویروس خود برروي تمامی دستگاههای شبكه اطمينان حاصل كنيد

2 – ازاطلاعات خوديك نسخه پشتيبان بطوركامل تهيه كرده ودرمحل ديگری بصورت Offline مثلاًبر روی HDDهای External ويا DVD كپی كنيد .

3- آخرين بسته هاي بروزرسانی های واصلاحيه (Patch) سيستم عامل ونرم افزارهای كاربردی مورداستفاده رابرروي تمام دستگاههاوبه ويژه Serverهانصب كنيد ، براي اينكارمي توان ازنرم افزار WSUS و يا سایر نرم افزار های Patch Management مانند GFI Languard استفاده كرد .

4 – دسترسي كاربران به درگاههاي فيزيكي ماننددرگاه USB برای استفاده ازديسكهای قابل حمل رامحدودكنيد . برای اينكارميتوان از Application And Device Control در Symantec استفاده كرد .

5 –درصورتي كه ازسخت افزارهاي امنيتی يا نرم افزارهای Firewall برروي ورودي شبكه (Gateway) استفاده می كنيد ، دسترسي كاربران به اينترنت رامحدودبه سرويسها و پورتهای مورد نیازنماييد.

متاسفانه در حال حاضر خبر و اطلاعاتي در مورد بدافزار مورد نظر در اينترنت و سايتهاي خارجي معتبر وجود نداشته و در هيچ كشوري مشابه آن گزارش نشده است. از آنجا كه بدافزار مورد اشاره تاكنون توسط هيچ آنتي ويروس داخلي و خارجي شناسايي نشده و همچنين sample فايل آلوده جهت گزارش و ارسال نيز در دسترس نيست، در حال حاضر روشي براي پاك سازي و يا شناسايي قبل از وقوع وجود ندارد.

با اين وجود برخي منابع كارشناسي وتحقيقاتي درباره روش مقابله باويروس احتمالي Wipe راهكاري را بصورت زير پيشنهاد داده اند. با بررسیهای دقیق مشخص شد در تمام این موارد از دستور diskpart استفاده شده است. این دستور از دستورات command prompt می باشد و در ویندوز هم قابل اجرا است. براين اساس، توصیه اکید می شوددسترسي وفعاليت فايل diskpart.exe که از فایلهای سیستمی Windows بوده و در حالت عادی کاربردی ندارد محدود گردد.

جهت جلوگيري از اجراي فايل diskpart.exe لازم است از هر دو روش زير به صورت همزمان استفاده گردد تا از هرگونه احتمال خطر اجتناب شود.

روش اول(تغيير نام فايل diskpart.exe بر روي تمامي سرورها و كلاينتهاي مهم):

فايل diskpart.exe که از فایلهای سیستمی Windows بوده و در حالت عادی کاربردی ندارد در محل های زير قرار دارد:

%windir%system32diskpart.exe

%windir%system32en-USdiskpart.exe.mu

تغییرنام این فایل ها بايد در حالت Safe mode انجام شود.زيرا ويندوز در حالت عادي اجازه انجام اين كار را نمي دهد.

نكته: در ويندوز 7 ابتدا دستورات زير را اجرا كنيد بعد بر روی فایلها کلیک راست کرده و permision آنها را fullcontrol کنید و سپس اقدام به تغییر نام نمایید .

takeown /f c:windowssystem32diskpart.exe

takeown /f c:windowssystem32en-USdiskpart.exe.mui

http://www.ayco.ir

سیستم‌عامل جدید مایکروسافت برای خانه های هوشمند

شرکت پاناسونیک با انتشار گزارشی روی سایت اینترنتی مرکز Microsoft Research توضیح داد که نسخه جدید سیستم‌عامل HomeOS چگونه می‌تواند در دنیای واقعی برای سیستم‌های اتوماسیون منازل مورد استفاده قرار گیرد.

http://www.ictna.ir/news/archives/041523.html

راهنمای شناسایی ویروس Duqu

آزمایشگاهی که برای نخستین بار ویروس Duqu را شناسایی کرده است روش و ابزار تشخیص این ویروس را منتشر کرد …

http://www.crysys.hu/duqudetector.html

دنیس ریچی و استیو جابز !

آقای دنیس ریچی، خالق زبان برنامه‌نویسی C و از اعضای سازندگان سیستم عامل یونیکس در سن ۷۰ سالگی درگذشت.

وی در Bell Labs توانست زبان برنامه‌نویسی C را طراحی کند. این زبان برنامه‌نویسی تا کنون از محبوبیت جهانی برخوردار است.

بخاطر کارهای آقای دنیس ریچی صنعت برنامه‌نویسی رایانه در آن سال‌ها به سرعت محبوب شد و باعث شد که جنبش‌های نرم‌افزار کد باز و آزاد پدید آیند. نرم‌افزارهای آزاد در آینده باعث شدند که شبکه جهانی اینترنت را به پیش ببرند.

برای درک بهتر کارهای آقای دنیس ریچی میتوان به مثال‌‌هایی همچون: طراحی زبان C و همکاری در ساخت یونیکس اشاره داشت اما هنگامیکه متوجه میشویم که کرنل سیستم‌عامل‌های لینوکس و یونیکس، مکینتاش و شاید حتی ویندوز با زبان C نوشته شده‌اند به راستی به واژه نابغه واقعی میرسیم.

تقریباً همه مرورگر‌های وب با زبان C و یا C++  نوشته شده اند. حتی هنگامیکه آقای Tim Berners-Lee اولین ساختار شبکه جهانی وب را آزمایش میکرد از رایانه NexT استفاده کرد که از سیستم‌عامل یونیکس بهره میبرد و زبان برنامه نویسی‌اش C بود.

اگر دنیس ریچی نبود، شاید هیچگاه رایانه‌های شخصی به این شکل در اختیار ما نبودند و هیچوقت شبکه جهانی اینترنت خصوصیات و آزادی‌های نرم‌افزاری امروز را نداشت.

گفتنی است که آقای دنیس ریچی دارای بلند‌مرتبه ترین مدال افتخار فناوری از کشور ایالات متحده امریکا است. وی این مدال را در سال ۱۹۹۹ میلادی از دست آقای بیل کلینتون دریافت کرد.

منبع : http://it.zos.ir

یک سوال : چرا خبر درگذشت استیو جابز چنین رسانه ای شد و خبر درگذشت دنیس ریچی حتی در رسانه های تخصصی هم کمرنگ بود؟؟؟

«Duqu» ویروسی جدید از جنس استاکس نت علیه فعالیت هسته ایران

اینترنت پرسرعت سالی 7200 دلار هزینه هر خانواده را کاهش می‌دهد !!

مرکز  نوآوری‌های اینترنتی”(IIA) در گزارشی نتایج حاصل از مطالعه جدید خود را منتشر کرد و توضیح داد که دسترسی به اینترنت پرسرعت می‌تواند به‌طور میانگین سالانه 7200  دلار در هزینه‌های یک خانواده آمریکایی صرفه‌جویی کند.

به گزارش گروه اخبار خارجی آژانس خبری  فناوری اطلاعات و ارتباطات (ایستنا) بر اساس گزارش این مرکز، هر خانواده  آمریکایی با پرداخت سالانه 500 دلار می‌تواند به اینترنت پرسرعت دسترسی داشته باشد و بر این  اساس هزینه استفاده  از دیگر خدمات اینترنتی در طول سال  کاهش میابد و در نهایت هر  خانواده  آمریکایی با این روند سالانه 7200 دلار در هزینه‌های خود صرفه‌جویی می‌کند.

این مرکز بر این باور است که اینترنت پرسرعت  می‌تواند هزینه‌های مربوط به 10 اولویت اصلی خانواده‌های آمریکایی را در طول سال  به میزان قابل ملاحظه کاهش دهد. از جمله این هزینه‌ها که خانواده‌های  آمریکایی  پرداخت می‌کنند می‌توان  به هزینه 5 هزار دلاری سرگرمی و 30 هزار دلاری خرید اتومبیل اشاره کرد.

http://www.ictna.ir/news/archives/037449.html

INL  : Idaho National Laboratory

مرکزINL یا Idaho National Laboratory   مسئول برنامه های دولت امریکا برای ایمن سازی سیستم های صنعتی است و در این مرکز 75 کارشناس مشغول به کار هستند و بودجه سالانه مرکز حدود 25 میلیون دلار است. این مرکز ، اولین خط دفاعی در برابر حملات علیه سیستم های صنعتی است.

هر ماه تمرین هایی در این مرکز برگزار می شود تا دانش و آگاهی کارشناسان امنیتی که در بازر صنعت و تولید فعالیت می کنند ، افزایش یابد و به روز شود . در این تمرینات این گروه از کارشناسان مسئولیت یک سیستم صنعتی را بر عهد ه می گیرند که انواع حفره های امنیتی ، نقاط ضعف ، بدافزارها و … در آن ایجاد شده است . یک گروه از کارشناسان مرکز نیز نقش نفوذگران را بازی می کنند . رقابت مشخص  ست ،. کارشناسان باید مرزهای خود را مستحکم و مقاوم سازند و گروه نفوذگران از هر راهی سعی در رخنه به سیستم های آسیب پذیر دارند . هدف از انجام این تمرینات ، آماده سازی کارشناسان امنیتی برای چنین موقعیت های در دنیای واقعی است .

کسانی که مسئول سیستم های صنعتی در کارخانجات و واحد های تولیدی و صنعتی هستند ، فقط یک هدف دارند . آنها می خواهند ماشین آلات کارخانه بدون هیچ اختلال و مشکلی کار کنند. حتی نصب یک اصلاحیه امنیتی و یا به روز رسانی سیستم عامل کامپیوتر کارخانه هم نباید مانعی برای رسیدن آنها به هدفشان شود . این ماشین آلات صنعتی توسط شرکت های بزرگی ماننده  Siemens, Honeywell, Rockwell و …. ساخته شده اند  ولی تاکنون همواره بی سرو صدا به کار خود ادامه داده اند.

سال گذشته ، Stuxent  همه چیز را عوض کرد . این ویروس نشان دادکه می شود به این ماشین آلات حمله کرد و حتی آنها را از کار انداخت……….

www.shabakeh.net

سرنوشت شرکت DigiNotar

شرکت DigiNotar صادر کننده گواهینامه های SSL ، پس از نفوذ هکر ها به سامانه صدور گواهینامه های دیجیتالی SSL این شرکت و پس از آنکه شرکتهای تولیدکننده مرورگر همانند  Microsoft, Mozilla, Google , Apple  گواهینامه های دیجیتالی  صادر شده توسط این شرکت را غیر معتبر  دانستند و همچنین وزارت ارتباطات هلند نیز مجوز صدور گواهینامه دیجیتالی SSL توسط این شرکت را باطل کرد و… این شرکت ورشکست شد !!!!

www.shabakeh.net

بعد از 8 روز بالاخره سایت من بالا آمد. امان از دست این هاست….