منوی اصلی
 



گواهینامه های کامیران










مرکز ارتباط کامیران

مرکز تماس کامیران :
شبانه روزی

47251 - 021
44007217 - 021
( 40 خط ويژه )


کانال تلگرام کامیران:
KAMIRANChannel@

ارتباط از طریق پیامرسانها:
تلگرام فروش: @KAMIRANco
WhatsApp : 09302700800

  Telegram Support:
@KAMIRANSupport
Whatsapp Supoort:
09332050007

کامیران در سایر پیامرسانها:
(سروش ، گپ ، بیسفون و ... )
KAMIRAN SocialMedia

سامانه پیامکی:
02147251

Skype : KAMIRAN.Asia
Gmail : KAMIRAN.Asia

 

 


رادار ویروس ها


اطلاعات آخرین آپدیت ها
و لیست ویروس های جدید
از لابراتوار های ESET


اطلاعات شناسائی لحظه ای
از لابراتوآر Kaspersky
 
 

مشترکین Oracle WebLogic قربانی GandCrab
اخبار باج افزاری

  هکر های پشت پرده GandCrab این بار سرور های Oracle WebLogic را نشانه رفته اند :

به گزارش لابراتوآر ویروس شناسی کامیران، موج جدید حملات باج افزار GandCrab این بار با استفاده از آسیب پذیری های Oracle WebLogic در کشور مشاهده و آنالیز شده است. این در حالی است که نسخه 5.0.3 این باج افزار در زمان شروع حمله تنها توسط 4 نوع آنتی ویروس قابل شناسائی بود. براي اطلاعات بيشتر و مشاهده لیست این 4 نوع آنتی ویروس و اسناد این خبر بر روي ادامه خبر كليك نمائيد.




متخصصین لابراتوآر ویروس شناسی کامیران در جدیدترین بررسی های خود سرور آلوده به باج افزاری را آنالیز کردند که توسط آسیب پذیری های Oracle WebLogic با شناسه CVE-2018-3245 به باج افزار آلوده شده است.

سرور مذکور به باج افزار GandCrab V5 آلوده شده و هکر توانسته از سد آنتی ویروس سازمانی بیت دیفندر و نرم افزار ضد باج افزاری کسپرسکی که بر روی این سرور نصب بوده عبور کند ! بررسی های جرم شناسی این نوع حمله حاکی از این است که هکر بدون نیاز به غیر فعال کردن آنتی ویروس قادر به عبور از سد امنیتی آنها به واسطه آسیب پذیری های اوراکل شده  است.

بررسی های اولیه نشان از این دارد که حملات از پورت 7001 مربوط به Oracle WebLogic و آسیب پذیری های این سرویس انجام شده است.

در حال حاضر متخصصین امنیتی ISC SANS و Netlab در حال بررسی این نوع حملات هستند اما آنچه واضح است این مطلب است که هکر ها با استفاده از آسیب پذیری های CVE-2018-2893 یا موارد مشابه اراکل میتوانند با استفاده اتوماسیون های میزبانی شده روی پورت 7001 اقدام به آلوده کردن سرور ها نمایند. پیش تر این آسیب پذیری ها برای آلوده کردن سرور ها به CoinMiner استفاده شده است:

منبع : https://goo.gl/5cvCPV

توصیه متخصصین امنیتی شرکت کامیران در این خصوص مثل همیشه آپدیت نمودن سرویس های اوراکل و همچنین ویندوز های سرور بوده و ترجیها از ارائه سرویس روی پورت 7001 روی اینترنت خودداری شود. بهتر است سرویس های اتوماسیون ها و پرتال ها روی بستر اینترانت و یا تنها به وسیله VPN ارائه گردد.

همانطور که در تصاویر فوق هم مشاهده کردید باج افزار جدید GandCrab با استفاده از آسیب پذیری های ویندوز دسترسی Powershell را در اختیار گرفته و سپس فایل JavaScript خود را دانلود و بر روی سرور قربانی اجرا میکند.

در پالیسی های ضد باج افزاری چند لایه ESET به صورت پیش فرض استفاده از Powershell و JavaScript توسط مدیر سیستم مسدود شده است. لذا این نوع باج افزارها حتی در صورت عدم شناسائی در محیط های تحت شبکه ESET قابل اجرا نیست. همچنین ماژول ضد باج افزاری فایروال ESET اجازه دانلود هر گونه فایل به PowerShell را نخواهد داد.

از آنجا که دسترسی هکر این باج افزار به سرور مذکور به خاطر وجود آسیب پذیری های نرم افزاری بوده، لذا برای جلوگیری از این نوع حملات اکیدا توصیه میکنیم در سرورهای متصل به اینترنت کلیه وصله های امنیتی نرم افزارهای مورد استفاده به خصوص وب سرور ها و بانک های اطلاعاتی نصب شوند.




فایل جاوا اسکریپ مورد استفاده این باج افزار در این لحظه توسط تنها 4 آنتی ویروس شناسایی شده است که ESET و Microsoft از معروف ترین آنهاست. نمونه این باج افزار برای لابراتوآر های کسپرسکی در مسکو و بیت دیفندر در رومانی ارسال شده است و ظرف 24 ساعت آینده شناسائی خواهد شد. لیست 4 آنتی ویروس شناسائی کننده این باج افزار :

🔗 https://goo.gl/PDxcWF

البته نمونه این باج افزار برای کلیه لابراتوآر های طرف قرارداد کامیران و VirusTotal ارسال شده و در این لحظه بیش از 14 آنتی ویروس از 55 آنتی ویروس موجود در جهان آن را شناسائی میکنند که لیست آنها در لینک زیر در دسترس شما قرار دارد:
( لینک زیر پویا بوده به صورت لحظه تغییر میکند و آرشیو شده نیست )

🔗 https://goo.gl/wvkbn4


هکر های این گروه در حمله ای مشابه به یکی از سرور های ESET نیز حمله کرده اند که با توجه به شناسائی این باج افزار توسط ESET و همچنین وجود تکنولوژی های ضد باج افزاری چند لایه HIPS موفق به رمزنگاری فایل های سرور نشدند اما دیتابیس اوراکل کلا توسط هکر ها آسیب دیده است :

در تصویر زیر مشاهده میکنید که هکر در مدت 3 روز توسط اوراکل مشغول اجرای فرامین از راه دور توسط PowerShell بوده است که همگی توسط HIPS مسدود شده اند.

( برای مشاهده تصویر تمام صفحه بر روی آنها کلیک کنید )


 


برای اطلاعات بیشتر در مورد باج افزار ها و طرق مقابله با آنها به مرکز ضد باج افزاری شرکت کامیران مراجعه نمائید :

http://www.kamiran.asia/antiransomware


 

لابراتوآر ويروس شناسی شركت مهندسي كاميران
____________________________________________________

   


کلمات کليدي : باج افزار GandCrab

ارسال شده در مورخه : دوشنبه، 7 آبان ماه ، 1397 توسط administrator  چاپ مطلب

 

مرتبط با موضوع :

 رمزگشایی GandCrab قربانیان سوری  [جمعه، 4 آبان ماه ، 1397]
 باج افزار Crysis با ده پسوند جدید  [يكشنبه، 22 مهر ماه ، 1397]
 پورت های RDP قاتل جان سرورها  [يكشنبه، 2 ارديبهشت ماه ، 1397]
 حملات جدید باج افزاری با Word OLE  [چهارشنبه، 10 آبان ماه ، 1396]
 انتشار باج افزار Badrabbit  [چهارشنبه، 3 آبان ماه ، 1396]

امتیاز دهی به مطلب
امتیاز متوسط : 5
تعداد آراء: 1


لطفا رای مورد نظرتان را در مورد این مطلب ارائه نمائید :

عالی
خیلی خوب
خوب
متوسط
بد


انتخاب ها

 گرفتن پرينت از اين مطلب گرفتن پرينت از اين مطلب


اشتراک گذاري مطلب


 
موضوعات مرتبط

اخبار آنتي ويروس

صفحه اصلي |  آنتی ویروس اورجینال |  نمایندگان ما |  برخی از مشترکین کامیران |  تماس با کامیران
كليه حقوق اين وب سايت متعلق به شركت ایمن کارا کام ایرانیان ( صاحب امتیاز برند کامیران ) مي باشد - 2018-2005

  


وقت بخیر، کاربر عزیز
از مشاوره آنلاین ما استفاده کنید!



مشاوره خرید و پشتیبانی
نمایندگی رسمی ESET و Kaspersky
( شبانه روزی )