شرکت فنی مهندسی ساپرا صنعت

شرکت فنی مهندسی ساپرا صنعت

تامین و نگهداری تجهیزات F5 – Fortinet – HPE

021-76871880

Forti Guard چگونه تهدیدات امنیتی را بررسی می کند؟

تاریخ انتشار : 2020/09/07

 

به دلیل همه گیری جهانی ، تقریباً دو سوم شرکت ها،نیمی یا بیشتر کارمندان خود را به کار از راه دور منتقل کرده اند.

به عنوان مثال شصت و دو درصد از آمریکایی های شاغل ، می گویند که در طول بحران پاندمی از خانه کار کرده اند و از 13 مارس تا 2 آوریل سال 2020 تعداد کارمندان از راه دور به دو برابر رسیده است.

جالب اینجاست که این فقط یک تغییر موقتی نخواهد بود، زیرا تقریباً یک سوم کل سازمان ها انتظار دارند که  بیش از 50٪ کار کنان از راه دور فعلی آن‌ها پس از پایان احتمالی همه گیری نیز از خانه به کار خود ادامه دهند.

پیامدهای امنیتی چنین انتقال چشمگیری دراین مدت زمان کوتاه را نمی توان به راحتی توضیخ داد. در شرایط عادی ، انتقال کل نیروی کار از محیط IT امن به شبکه های خانگی با  امنیت سایبری بسیار اندک نیاز به برنامه ریزی و آماده سازی طولانی مدت دارد.

 

فورتی گارد

 

اما این مدل  یک گزینه برای شرکت ها در سال 2020 نبود. در نتیجه ، 32٪ از پاسخ دهندگان به Fortinet Secure Remote Work Survey دریافتند که راه اندازی و مدیریت اتصال ایمن به عنوان چالش برانگیزترین جنبه،تغییرمدل کار از(حضوری) به (از راه دور) است.

 

بخشی از مشکل این بود که دستگاههای موجود در شبکه اصلی شرکت برای مدیریت حجم بالای اتصالات VPN مورد نیاز طراحی نشده اند.

در نتیجه ، بسیاری از اتصالات ایمن نبودند. اما بخش دیگر چالش این است که بسیاری از شبکه های خانگی حتی برای پشتیبانی از پهنای باند مورد نیاز VPN راه اندازی نشده اند ، چه رسد به برنامه های تجاری با نیاز پایه  به پهنای باند بالا (برنامه های کاریردی مانند کنفرانس ویدیویی).

 

برای اطلاع از محصولات و ارائه ی خدمات ساپراصنعت کلیک کنید

 

فورتی گارد

 

بعلاوه ، دستگاه‌های کاربر نهایی (بسیاری از کارگران با استفاده از دستگاه شخصی کار خود را در خانه شروع می کردند) اغلب مانند سایر دستگاه‌های متصل به شبکه خانگی از پچ و امنیت برخوردار نیستند. این چالش ها شبکه های خانگی را به هدفی ایده آل برای مجرمان اینترنتی تبدیل کرده است.
بیشتر بخوانید: هفت توصیه برای کار کنان از راه دور :

 

5 آسیب پذیری با بالاترین رتبه در جدول زیر :

Top 5 Application Vulnerabilities / IPS Distribution
rank name %

ThinkPHP.Controller.Parameter.Remote.Code.Execution 23

 PHPUnit.Eval-stdin.PHP.Remote.Code.Execution 21

Linux.Kernel.TCP.SACK.Panic.DoS 20

PHP.Diescan 18

NETGEAR.DGN1000.CGI.Unauthenticated.Remote.Code.Execution 18

 

 

HTTP.Server.Authorization.Buffer.Overflow

سرورهای HTTP که ازامنیت کافی در زمینه درخواستهای HTTP برخوردار نیستند ممکن است مستعد چنین حمله ای باشند. حملات موفقیت آمیز ممکن است به یک مهاجم از راه دور اجازه دهد کد دلخواهی را در سرور وب اجرا کند ، برنامه آسیب دیده را خراب کند یا خدمات را برای کاربران قانونی رد کند.

 

هر سرور محافظت نشده یا پیکربندی غلط HTTP در معرض حمله قرار دارد. آزمایشگاه های FortiGuard به شما توصیه می کند patch های مناسب را اعمال کرده یا سیستم را به جدیدترین نسخه غیر آسیب پذیر ارتقا داده و میزان ترافیک آن شبکه را برای هرگونه فعالیت مشکوک کنترل کنید.

 

Top 5 Malware Activity Distribution
rank name %
 MSOffice/CVE_2017_11882.C!exploit 22
 W32/VB.CBV!tr.dldr 21
 Riskware/KuaiZip 20
 VBA/Agent.LAG!tr.dldr 20
 RTF/CVE_2017_11882.C!exploit 17

 

فورتی گارد

 

سرقت از بانک های کره شمالی توسط BeagleBoyz

اخیراً ، آژانس امنیت سایبری و زیرساخت های ایالات متحده (CISA) ، همراه با وزارت خزانه داری (خزانه داری) ، دفتر تحقیقات فدرال (FBI) و فرماندهی سایبری ایالات متحده (USCYBERCOM) هشدار فنی مشترکی را منتشر کردند که فعالیت های مخرب سایبری برای دولت کره شمالی هشدار فنی تجزیه و تحلیل دقیق نقش دولت کره شمالی در طرح نقدی دستگاه خودکار (ATM) را ارائه می دهد که توسط دولت ایالات متحده به عنوان “FASTCash 2.0: Banks Robbing BeagleBoyz” کره شمالی معرفی می شود.

BeagleBoyz “یک گروه تازه شناسایی شده است که زیرمجموعه فعالیتهای عوامل تهدید شناخته شده به عنوان HIDDEN COBRA / LAZARUS / APT 38 است و از سال 2014 فعال است.

 

HIDDEN COBRA به چندین حمله با مشخصات بالا مرتبط شده است که باعث ایجاد اختلالات گسترده در زیرساخت ها شده است.

و همچنین حملات با انگیزه مالی در مناطق مختلف جهان شکل گرفته حملات قابل توجه شامل حمله در سال 2014 به یک شرکت بزرگ سرگرمی و دزدی موسسه مالی بنگلادشی در سال 2016 است که تقریباً 1 میلیارد دلار  (USD) برای مهاجمان سود خالص داشته است!

 

اگر غلط املایی در یک دستورالعمل که باعث پرچم گذاری یک بانک و جلوگیری از سی معامله می شد نبود ، HIDDEN COBRA برخلاف سایر موارد ، یک دزدی مهم را از دست نمی داد.

 

فورتی گارد

 

اگرچه HIDDEN COBRA در تلاش خود ناکام ماند ، اما آنها در کل توانستند حدود 81 میلیون دلار خالص داشته باشند. جدیدترین و قابل توجه ترین حمله ای که به HIDDEN COBRA نسبت داده شد ، حمله باج افزار WannaCry بود که منجر به اختلال گسترده و آسیب رساندن به سازمانهای مختلف به ویژه سازندگان در سراسر جهان شد.

 

برآوردهای مختلف در مورد این تأثیرات صدها میلیون دلار اعلام شده است ، برخی تخمین ها ادعا می کنند خسارت میلیاردی است. سایر اهداف عمودی که این گروه هدف قرار داده است ، شامل زیرساخت های حیاتی ، سرگرمی ، امور مالی ، مراقبت های بهداشتی و بخش های ارتباط از راه دور در چندین کشور است. 

 

این وبلاگ خلاصه ای از گزارش های مشترک هشدار فنی و بدافزار ااد(ARs) منتشر شده توسط CISA را ارائه می دهد:

 

 

Signatures: W32/Alreay.BG!tr W32/KeyLogger.BHFC!tr W32/Banker.ADRO!tr.spy W32/Alreay.A!tr W32/Agent.0D36!tr W64/Agent.AP!tr W32/Generic!tr W64/Banker.AX!tr.spy W32/Banker.ADRO!tr.bdr W64/Agent.AP!tr W32/Alreay.BB!tr Riskware/Banker

 

فورتی گارد

 

  

:(Indicator)
f12db45c32bda3108adb8ae7363c342fdd5f10342945b115d830701f95c54fa9
a1f06d69bd6379e310b10a364d689f21499953fa1118ec699a25072779de5d9b
0e3552c8232e007f421f241ea4188ea941f4d34eab311a5c2341488749d892c7
d48b211533f37e082a907d4ee3b0364e5a363f1da14f74a81b187e1ce19945a8
f9d29b21bb93004cea6431e79f7aa24b9cc419289ca04c0353d9e3db3c587930
2938200b7c0300c31aa458860b9f4f684f4f3f5893ab0f1d67c9d797168cad17
16251b20e449d46e2b431c3aed229cd1f43f1ff18db67cc5a7fa7dd19673a9bc
d928b1c1096e636463afbd19f40a6b325e159196b4497895748c31535ea503dc
820ca1903a30516263d630c7c08f2b95f7b65dffceb21129c51c9e21cf9551c6
4a740227eeb82c20286d9c112ef95f0c1380d0e90ffb39fc75c8456db4f60756

 

 

صفحات جعبه مورد استفاده در حمله فیشینگ برای فریب دادن قربانیان: 

محققان امنیتی اخیراً حمله فیشینگی را کشف کرده اند که با استفاده از یک صفحه جعبه قانونی با مارک Microsoft 365 برای دستکاری قربانیان خود ، علیه دولت و سازمان های امنیتی انجام شده است.

این روش  فیشینگ مربوط به برداشت گواهینامه که اخیراً کشف شده است ، با ارسال یک صفحه وب جعبه مجاز با Microsoft 365 ، قربانیان را مجذوب خود کرده است .

 این حمله با ارسال ایمیل های فیشینگ برای قربانیان انجام شده است. این ایمیل ها حاوی پیام هایی است که ادعا می کنند از طرف شخص ثالث بوده و از قربانیان می خواهد یک سند حساس مالی را بخوانند.

،توسط مهاجم انجام می شود تا پروسه  فقط 10 روز طول بکشد  email تحویل

این امر باعث احساس اضطرار در قربانی می شود و بنابراین بلافاصله روی پیوند کلیک کنید. بعد از اینکه قربانی روی پیوند کلیک کرد ، سپس به صفحه میزبانی شده در Box هدایت می شود ،که حاوی یک سند OneDrive دیگر است. پس از اینکه قربانی روی سند OneDrive نیز کلیک کرد ، آنها را به صفحه فرودفیشینگ نهایی هدایت می کند.

 

آن‌ها پورتال ورود به سیستم Officee365 را مشاهده خواهند کرد و از آنها خواسته می شود که باطلاعاکاربری خود وارد سیستم شوند. 

پس از افزودن تمام مدارک تحصیلی ، زمانی که قربانی بر روی دکمه ارسال کلیک می کند ، تمام مدارک برای مهاجم ارسال می شود و مهاجم می تواند در هر زمان برای مشاهده اعتبار قربانی به آن دسترسی پیدا کند بنابراین ، قربانی تحت نظر قرار  می گیرد.

آزمایشگاه های FortiGuard تمام IOC های مرتبط را به عنوان مخرب را طبقه بندی کرده است.

برخی از مشتریان