شركت كاميران نمایندگی ESET | Kaspersky | Bitdefender

منوی اصلی

(مشاوره خرید و پشتیبانی)

آنتی ویروس تحت شبکه

مرکز ضد باج افزاری

مرکز آموزش کامیران

مرکز ویدئوهای کامیران

اخبار شرکت کامیران

خرید لایسنس Security

خرید لایسنس Kaspersky

خرید لایسنس Bitdefender

تمدید اعتبار لایسنس

ارسال فایل مشکوک

سفارش Internet Security

سفارش سرویس اقتصادی

نظرات مشترکین کامیران

گواهینامه های نمایندگی

نمایندگان کامیران

فرم ارتباط با کامیران

گواهینامه های کامیران

مرکز ارتباط کامیران

مرکز تماس کامیران :
شبانه روزی

47251 - 021
44007217 - 021
( 40 خط ويژه )

موارد اضطراری امور مشتریان
09302700800

کانال تلگرام کامیران:
KAMIRANChannel@

ارتباط از طریق پیامرسانها:
تلگرام فروش: @KAMIRANco
واتساپ فروش : 09302700800

تلگرام واحد پشتیبانی:
@KAMIRANSupport
واتساپ واحد پشتیبانی:
09332050007

کامیران در سایر پیامرسانها:
(سروش ، گپ ، بله و ... )
KAMIRAN SocialMedia

سامانه پیامکی:
02147251

رادار ویروس ها

اطلاعات آخرین آپدیت ها
و لیست ویروس های جدید
از لابراتوار های ESET

اطلاعات شناسائی لحظه ای
از لابراتوآر Kaspersky

حمله باج افزاری Makop

حملات باج افزاری Makop با استفاده از پورت های Oracle Weblogic:

کارشناسان لابراتوآر کامیران امروز حمله باج افزاری جدیدی از گروه Makop را آنالیز کردند که در آن هکر با استفاده از پورت Oracle Weblogic که از 7001 به 9001 تغییر داده شده بود دسترسی Administrator سرور را به مدت 2 ماه دردست داشته است. براي اطلاعات بيشتر بر روي ادامه خبر كليك نمائيد.

▪️ تصویر فوق گزارش آنتی ویروس این سرور است که نشان میدهد هکر با دسترسی Administrator از نرم افزار certutil.exe برای دانلود فایل های خود استفاده کرده که درخواست های او توسط آنتی ویروس مسدود شده است.

▪️ فایل این باج افزار با نام Japan.exe که در حمله دیروز مورد استفاده قرار گرفته تا این لحظه توسط 27 آنتی ویروس قابل شناسائی است:
🔗 https://www.virustotal.com/gui/file/3c301dbc9fbd49e6c0d85d4ba25a94692b5af0f2477529a1670ea6b55b90490c/detection

▪️ هکر پس از 2 ماه دسترسی به این سرور در نهایت با دسترسی Administrator آنتی ویروس را غیر فعال کرده و فایل فوق را اجرا نموده است که منجر به کد شدن اطلاعات سرور با پسوند Makop گردید.

‼️ همانطور که قبلا آموزش دادیم باز بودن پورت Oracle Weblogic دسترسی مدیر سرور را به هکر تقدیم مینمایدکه باید توسط IpWhiteList در فایروال یا VPN ایمن شود.

‼️ مسدود کردن حملات certutil.exe با استفاده از AntiRansomware Policy در ESET :

▪️ همانطور که در آنالیز حمله قبلی دیدید هکر با استفاده از پورت اوراکل و با استفاده از certutil.exe اقدام به دانلود فایل در سرور نموده است. لذا در پالیسی های ضد باج افزاری 7.2 اجرای certutil.exe مسدود خواهد شد که شما میتوانید با اضافه کردن دو عبارت زیر به پالیسی های 7.0 و 7.1 در بخش HIPS -> Rules این برنامه را مسدود نمائید :

AntiRansomware: Deny script processes started by AnyApplications

%windir%System32certutil.exe

%windir%SysWOW64certutil.exe

▪️ اگر پالیسی های ضدباج افزاری شما توسط کنسول، مدیریت میشوند موارد فوق باید از داخل کنسول ECMC انجام شود.

▪️ این ترفند برای دانلود فایل های مخرب در مقاله زیر تشریح شده است. البته هکر برای این نوع حمله نیاز به دسترسی Administrator یا دسترسی های بالا دارد که پورت های آسیب پذیر این امکان را فراهم میکنند:

🔗 https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/

‼️ کاربران Oracle Weblogic با اولویت بالا برای ارتقای پالیسی های ضد باج افزاری کنسول های خود با واحد پشتیبانی کامیران با مرکز تماس 02147251 و یا سامانه www.47251.ir و همچنین @KAMIRANSupport به صورت شبانه روزی تماس حاصل نمایند.

برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :

کانال مدیران فناوری اطلاعات شرکت کامیران:
KAMIRANChannel@