وب نوشت شخصی محمد مهدی احمدیان

از «الف» امنیت تا «ی» فلسفه زندگی - عقل معاش در کنار عقل معاد حقیقت زندگی است.

۲۷ مطلب با موضوع «امنیت :: امنیت- بدافزار» ثبت شده است

همکاری موفقی دیگر در حوزه فنی و پژوهشی:پذیرش مقاله در پانزدهمین کنفرانس بین‌ المللی انجمن رمز ایران (در حوزه شناسایی و پیشگیری از تهدیدات بدافزاری)

همکاری موفقی دیگر در حوزه فنی و پژوهشی:پذیرش مقاله در پانزدهمین کنفرانس بین‌ المللی انجمن رمز ایران (در حوزه شناسایی و پیشگیری از تهدیدات بدافزاری)

پذیرش مقاله "A Novel Approach for Detecting DGA-based Ransomwares " در پانزدهمین کنفرانس بین‌ المللی انجمن رمز ایران را خدمت تیم محترم آزمایشگاه طراحی و تحلیل سیستم‌های امن دانشگاه صنعتی امیرکبیر(جناب دکتر حمیدرضا شهریاری ،جناب مهندس سعید صالحی، سرکار خانم مهندس تازیک )تبریک عرض می کنم و  و موفقیت روز افزون شما عزیزان را از خداوند متعال خواستارم.   پانزدهمین  دوره کنفرانس بین ‌المللی انجمن رمز ایران از ۶ تا ۷ شهریور ماه سال ۱۳۹۷ توسط دانشکده مهندسی برق دانشگاه تربیت دبیر شهید رجایی در تهران برگزار خواهد شد. شایان ذکر است که امسال تنها  28 مقاله در این کنفرانس پذیرفته شده است؛ برای مشاهده فهرست مقالات پذیرفته شده به این لینک مراجعه فرمایید.علاقه مندان به مباحث مختلف امنیت اطلاعات می توانند در این کنفرانس شرکت نمایند.


۰ نظر موافقین ۰ مخالفین ۰
گزارش آسیب پذیری  و  حملات بدافزاری VPNفیلتر به تجهیزات صنایع و زیرساخت های حیاتی

گزارش آسیب پذیری و حملات بدافزاری VPNفیلتر به تجهیزات صنایع و زیرساخت های حیاتی

در سال‌های اخیر با گسترش فناوری شاهد حرکت سامانه‌های فناوری اطلاعات (IT) و سامانه‌های فناوری عملیاتی (OT) به‌سوی یکدیگر بوده‌ایم. از این پدیده به‌عنوان یکی از همگرایی‌های فرایندهای سایبری با فرایندهای فیزیکی با عنوان تلاقی سایبر-فیزیکی یاد می‌شود. سامانه‌های کنترل صنعتی که در صنعت و زیرساخت‌های حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکت‌های محدود و انحصاری تولید می‌گردند. این سامانه‌ها درگذشته به‌صورت جدا از سایر سامانه‌های دیگر به کار گرفته می‌شدند و این امر روشی در امن سازی این سامانه‌ها قلمداد می‌گردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرف‌کنندگان این سامانه‌ها را از پرداختن به سایر لایه‌های امنیتی غافل کرده بود. استفاده از معماری و پروتکل‌های غیر امن و واسط‌های غیراستاندارد را می‌توان از نتایج این رویکرد دانست [1]. به دلیل نیازمندی‌های جدید و توسعه فناوری امروزه این قبیل سامانه‌های صنعتی، به‌تدریج با انواع جدیدتر جایگزین و یا به‌روزرسانی می‌گردند. در سامانه‌های جدید از پروتکل‌ها و نقاط دسترسی ارتباطی مشترک در شبکه‌ها استفاده می‌گردد [1]. به علت تفاوت‌های متعدد میان امنیت در فضای فناوری اطلاعات (IT) و امنیت در فضای فناوری عملیاتی (OT ) لزوماً نمی‌توان راهکارهای عمومی حوزه‌ی سایبری را به حوزه‌ی سایبر-فیزیکی منتقل کرد [1].

 در غالب صنایع و زیرساخت‌های حیاتی شاهد به‌کارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچ‌های لایه دو و لایه سه، هاب‌ها، بریج‌ها، تقویت‌کننده‌های ارتباطی کارت‌های شبکه و حتی مسیریاب‌ها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکه‌ها به کار گرفته می‌شوند در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساخت‌های حیاتی کشور خواهیم بود. ازاین‌رو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکه‌های کنترل صنعتی (واحد‌های بهره‌بردار و نگه‌داری) قرار گیرد. در این سند در بخش دوم به بررسی اجمالی حمله بدافزار VPNFilter به سایت صنعتی تولید کلر در اوکراین می‌پردازیم، در بخش سوم به معرفی ارائه «حملات کنترل صنعتی، از حرف تا عمل» خواهیم پرداخت که انشا الله قصد داریم در روز سه‌شنبه، ششم شهریورماه (ساعت 11 الی 12)، در محل نمایشگاه‌های پانزدهمین کنفرانس بین‌المللی انجمن رمز ایران (تهران، دانشگاه شهید رجایی) آن را ارائه نماییم. در بخش چهارم به بررسی اجمالی آسیب‌پذیری حیاتی مسیرباب‌های میکروتیک خواهیم پرداخت.



در این گزارش 38 صفحه ای به موارد ذیل پرداخته  شده است:

۰ نظر موافقین ۰ مخالفین ۰

حمله بدافزار VPNFilter به سایت صنعتی تولید کلر در اوکراین

در اوایل ماه می میلادی اسکن‌های TCP فراوانی روی درگاه‌های شماره‌های ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ مسیریاب‌ها و تجهیزات ذخیره‌ساز شبکه (NAS ) تولیدشده توسط شرکت‌های Mikrotik، ASUS، D-Link،TP-Link، Linksys، QNAP،Huawei، Ubiquiti، UPVEL و ZTE در بیش از ۱۰۰ کشور مشاهده‌شده است. گزارش‌های اولیه در ماه می میلادی حاکی از آلودگی بالغ‌بر 500 هزار دستگاه در دنیا بوده است. این بدافزار دارای قابلیت‌های راه‌اندازی مجدد تجهیزات هدف (حمله ممانعت از خدمات)، رصد ترافیک عبوری و جلوگیری از ارسال داد‌ه‌ها است.

اگرچه قربانیان اولیه‌ی بدافزار VPNFilter کاربران و شرکت‌های ISP کوچک و متوسط بودند اما شواهد حاکی از این دارد که احتمالاً به دلیل قدرت بسیار بالای این بدافزار، تیم سازنده بدافزار یا تیم دیگری که به کد منبع آن دسترسی داشته است از آن برای حمله به شبکه‌های کنترل صنعتی و زیرساخت‌های شبکه‌ای که بستر عبور ترافیک‌های صنعتی (خاص پروتکل مدباس) هستند استفاده نمودند. در این راستا یک پلاگین خاص برای تحلیل و شناسایی پروتکل مدباس طراحی و پیاده‌سازی شده است. می‌دانیم مدباس قدیمی‌ترین پرکاربردترین پروتکل ارتباطی برای سامانه‌های کنترل صنعتی است. مدباس به‌طور گسترده به‌عنوان یک استاندارد به کار گرفته‌شده است و طی سال‌ها تکامل‌یافته و نسخه‌های متفاوتی از آن به وجود آمده است.

جهت مشاهده  متن کامل گزارش این بدافزار(مراحل حمله، محصولات تحت تاثیر، توصیه ها و غیره) به فصل دوم سند گزارش اخیر بنده(ICS-SR-MMA-970502) مراجعه نمایید.


۰ نظر موافقین ۰ مخالفین ۰
گزارشی  مختصر از بدافزار کنترل صنعتی TRITON/TRISIS

گزارشی مختصر از بدافزار کنترل صنعتی TRITON/TRISIS

TRITON  بدافزاری جدید است که اخیرا توسط شرکت امنیتی FireEye شناسایی شده است و هدف آن سامانه های کنترل صنعتی است.  عملیات مخرب این بدافزار اجرای حملات ممانعت از خدمات (DoS) از طریق از کار انداختن و دستکاری مکانیزم های ایمنی(Safety) در منطق نردبانی کنترل کننده است.

لینک مشاهده گزارش تصویری در اندازه بزرگتر

 مطالب متنی به دلیل کپی برداری های غیر مجاز و عدم مرجع دهی به کانال یا وب نوشت بنده (توسط برخی کانال های تلگرامی) حذف شد.

۰ نظر موافقین ۰ مخالفین ۰
کانال عجیب چنگال دوست داشتنی و فرضیه احتمال وجود نشانه های بدافزاری

کانال عجیب چنگال دوست داشتنی و فرضیه احتمال وجود نشانه های بدافزاری

خوب می دانیک که بدافزارهای زیادی از بستر تلگرام برای انتشار یا دریافت دستورات استفاده می کنند که نمونه آن بدافزار TelegramRAT  است. اخیرا توسط یکی از دوستان عزیزم، آقا مصطفی م.، با کانال  lovelyfork@  در تلگرام  آشنا شدم. کانال lovelyfork، کانالی است که از 21 آبان سال نود و چهار فعالیت خود را  تلگرام شروع کرده است و از آن تاریخ هر شب عکس یک چنگال تکراری را در کانالش قرار میدهد. نکته ی جالب در رابطه با این کانال تعداد اعضای آن است که هر روز در حال افزایش است!نکته دیگر اینکه دقیقا کانال مشابه ی با نام Same Photo of a Fork Everyday در فیسبوک نیز وجود دارد!

اگرچه به ظاهر عکس غالب چنگال های مشابه است اما به عنوان یک محقق امنیتی اندکی مشکوک شدم،احتمال میدهم این کانال می تواند  Master یک بدافزار(معمولا بات نت) باشد که برای  Command and Control از تکنیک هایی  اختفا اطلاعات(پنهان نگاری) مثل استگانوگرافی  درون عکس استفاده می کند و دستوراتش رو درون تصویر چنگال ها پنهان می کند؛فرصت لازم برای برسی اعتبار این فرضیه را نداشتم اما در بررسی اولیه روی برخی تصاویر چنگال ها متوجه تفاوت هایی شدم که طبیعتا برای چشم انسانی قابل تشخیص نیست و در تصویر ذیل نمونه ای از تفاوت اندازه و کد درهم سازی(MD5 hash) آنها را مشاهده می کنید:

۲ نظر موافقین ۰ مخالفین ۰
چارچوبی به منظور تشخیص باجگیرافزارها (باج افزارها)

چارچوبی به منظور تشخیص باجگیرافزارها (باج افزارها)

در این پست، ارائه جلسه دفاع کارشناسی ارشد خودم (مربوط به دو سال قبل) با موضوع «چارچوبی مبتنی بر تحلیل رفتار برنامه به منظور تشخیص باجگیرافزارها» را جهت استفاده برخی دوستان که درخواست کرده بودند قرار می دهم؛ امیدوارم که مفید باشد.


لینک به ارائه

۰ نظر موافقین ۰ مخالفین ۰
فهرست برخی مجلات معتبر حوزه امنیت اطلاعات

فهرست برخی مجلات معتبر حوزه امنیت اطلاعات

در طول  یک سال گذشته چند نفر از مخاطبان گرامی وبنوشت، لیست ژورنال های حوزه امنیت اطلاعات را تقاضا کرده بودند. ذیلا لیست برخی از ژورنال هایی که در حوزه های عمومی امنیت اطلاعات(ژورنال های معتبر و مطرح) اقدام به چاپ مقالات می کنند را قرار داده ام. چنانچه شما بزرگواران نیز ژورنال هایی را می شناسید که در این لیست نیست لطفا در همین پست اطلاع دهید تا به لیست اضافه شوند(باتشکر).

توجه: این لیست به مرور به روزرسانی می شود.

۰ نظر موافقین ۰ مخالفین ۰
ارائه صحت جریان کنترل

ارائه صحت جریان کنترل

در این پست ارائه  صحت جریان کنترل(Control Flow Integrity) را جهت استفاده علاقمندان قرار می دهم. امیدوارم که مفید باشد.


لینک ارائه

۰ نظر موافقین ۰ مخالفین ۰
باجگیر افزار (باج افزار) سامانه های کنترل صنعتی

باجگیر افزار (باج افزار) سامانه های کنترل صنعتی

همانطور که در پست  «هشدار به کارشناسان امنیت سامانه های کنترل صنعتی در مورد باجگیرافزارها » پیشبینی کرده بودم و هشدار داده بودیم باجگیرافزارهای سامانه های کنترل صنعتی رسما پا به عرصه گذاشتند. دو محقق از مؤسسه فناوری جورجیا، باجگیرافزاری آزمایشی ساخته‌اند که قادر است ضمن قطع دسترسی به دستگاه PLC تنظیمات آن را نیز تغییر دهد. این محققان این نمونه باجگیرافزار را روز دوشنبه 25 بهمن در کنفرانس RSA ارائه کردند.

در دنیای واقعی تجهیزات PLC دریچه‌ها، موتورها، پمپ‌ها، حسگرها، آسانسورها، پله‌های برقی، ورودی‌های ولتاژ، زمان‌سنج‌ها، سیستم‌های تهویه و بسیاری از سیستم‌های مکانیکی دیگر را کنترل می‌کنند.

تجهیزات PLC که در موقعیت های مختلف پراکنده‌اند خود نیز از طریق نرم‌افزارهای اسکادا که معمولاً بر روی یک کامپیوتر معمولی نصب شده‌اند توسط راهبر یا بصورت خودکار کنترل و پیکربندی می‌شوند.

۱ نظر موافقین ۰ مخالفین ۰
هشدار به کارشناسان امنیت سامانه های کنترل صنعتی در مورد باجگیرافزارها (باج افزارها)

هشدار به کارشناسان امنیت سامانه های کنترل صنعتی در مورد باجگیرافزارها (باج افزارها)

با در نظر گرفتن انگیزه‌های اقتصادی می توان به این نتیجه رسید که تنوع و پیچیدگی بدافزارها به‌صورت قابل‌توجهی افزایش پیداکرده است. برای مثال باجگیرافزار(باج افزار)های خطرناک که گونه ای نسبتاً جدید بدافزارها می باشند در اواخر سال 2012 میلادی به‌شدت رشد کرده اند. از سویی دیگر به نظر میرسید که سال 2012 مهم‌ترین سال برای باجگیرافزارها باشد اما این روند از این سال بعد کماکان ادامه پیداکرده است[1].

New Ransomware Samples

تعداد نمونه باجگیرافزارهای جدید از 2010 تا 2015 [2]


بدافزار KillDisk که قبلا به سامانه های کنترل صنعتی اوکراین خسارات بالایی را وارد کرده بود اخیرا دارای ماژول هایی جدیدی شده است که می تواند این بدافزار را تبدیل به باجگیرافزار(باج افزار) نماید. بنابراین اگرچه هنوز گزارشی رسمی  از وقوع این نوع اخاذی بر روی سامانه های کنترل صنعتی اعلام نشده است اما کارشناسان امنیت سامانه های کنترل صنعتی آگاه باشند که باجگیرافزارها  قلمرو خود را به سامانه های کنترل صنعتی نیز  گسترش داده اند؛ البته این مسئله پیش بینی هم می شد؛ چرا که سامانه های کنترل صنعتی می توانند هدف مناسب  برای طراحان باجگیرافزارها باشند زیرا که:

  • عموما سطح امنیتی سامانه های کنترل صنعتی به نسبت سطح امنیتی سامانه های عمومی حوزه ICT پایین تر است.
  •  غالب منابع  سامانه های کنترل صنعتی بسیار ارزشمند بوده و در صورت  موفقیت باجگیرافزارها در آلوده سازی این سامانه ها امکان اخاذی مبالغ بالا وجود دارد.
  • چنانچه باجگیرافزار بتواند پایداری سامانه های کنترل صنعتی را با اختلال رو به رو کند قطعا می تواند مبلغ اخاذی بالایی را مطالبه کند.
  • به نظر بنده به لحاظ اهمیت اطلاعات موجود بر روی سامانه های کنترل صنعتی احتمال اینکه در آینده باجگیرافزارها به سمت حملات اخاذی اطلاعات(به این پست مراجعه کنید) بر روی این سامانه ها حرکت کنند وجود دارد.
۰ نظر موافقین ۰ مخالفین ۰