شركت كاميران نمایندگی ESET | Kaspersky | Bitdefender - مشترکین Oracle WebLogic قربانی GandCrab
 
 

 
منوی اصلی

گواهینامه های کامیران










مرکز ارتباط کامیران

مرکز تماس کامیران :
شبانه روزی

47251 - 021
44007217 - 021
( 40 خط ويژه )

موارد اضطراری امور مشتریان
09302700800


کانال تلگرام کامیران:
KAMIRANChannel@

ارتباط از طریق پیامرسانها:
تلگرام فروش: @KAMIRANco
واتساپ فروش : 09302700800

  تلگرام واحد پشتیبانی:
@KAMIRANSupport
واتساپ واحد پشتیبانی:
09332050007

کامیران در سایر پیامرسانها:
(سروش ، گپ ، بله و ... )
KAMIRAN SocialMedia

سامانه پیامکی:
02147251

 

 


رادار ویروس ها


اطلاعات آخرین آپدیت ها
و لیست ویروس های جدید
از لابراتوار های ESET


اطلاعات شناسائی لحظه ای
از لابراتوآر Kaspersky
 
 

مشترکین Oracle WebLogic قربانی GandCrab
اخبار باج افزاری

  هکر های پشت پرده GandCrab این بار سرور های Oracle WebLogic را نشانه رفته اند :

به گزارش لابراتوآر ویروس شناسی کامیران، موج جدید حملات باج افزار GandCrab این بار با استفاده از آسیب پذیری های Oracle WebLogic در کشور مشاهده و آنالیز شده است. این در حالی است که نسخه 5.0.3 این باج افزار در زمان شروع حمله تنها توسط 4 نوع آنتی ویروس قابل شناسائی بود. براي اطلاعات بيشتر و مشاهده لیست این 4 نوع آنتی ویروس و اسناد این خبر بر روي ادامه خبر كليك نمائيد.




متخصصین لابراتوآر ویروس شناسی کامیران در جدیدترین بررسی های خود سرور آلوده به باج افزاری را آنالیز کردند که توسط آسیب پذیری های Oracle WebLogic با شناسه CVE-2018-3245 به باج افزار آلوده شده است.

سرور مذکور به باج افزار GandCrab V5 آلوده شده و هکر توانسته از سد آنتی ویروس سازمانی بیت دیفندر و نرم افزار ضد باج افزاری کسپرسکی که بر روی این سرور نصب بوده عبور کند ! بررسی های جرم شناسی این نوع حمله حاکی از این است که هکر بدون نیاز به غیر فعال کردن آنتی ویروس قادر به عبور از سد امنیتی آنها به واسطه آسیب پذیری های اوراکل شده  است.

بررسی های اولیه نشان از این دارد که حملات از پورت 7001 مربوط به Oracle WebLogic و آسیب پذیری های این سرویس انجام شده است.

در حال حاضر متخصصین امنیتی ISC SANS و Netlab در حال بررسی این نوع حملات هستند اما آنچه واضح است این مطلب است که هکر ها با استفاده از آسیب پذیری های CVE-2018-2893 یا موارد مشابه اراکل میتوانند با استفاده اتوماسیون های میزبانی شده روی پورت 7001 اقدام به آلوده کردن سرور ها نمایند. پیش تر این آسیب پذیری ها برای آلوده کردن سرور ها به CoinMiner استفاده شده است:

منبع : https://goo.gl/5cvCPV

توصیه متخصصین امنیتی شرکت کامیران در این خصوص مثل همیشه آپدیت نمودن سرویس های اوراکل و همچنین ویندوز های سرور بوده و ترجیها از ارائه سرویس روی پورت 7001 روی اینترنت خودداری شود. بهتر است سرویس های اتوماسیون ها و پرتال ها روی بستر اینترانت و یا تنها به وسیله VPN ارائه گردد.

همانطور که در تصاویر فوق هم مشاهده کردید باج افزار جدید GandCrab با استفاده از آسیب پذیری های ویندوز دسترسی Powershell را در اختیار گرفته و سپس فایل JavaScript خود را دانلود و بر روی سرور قربانی اجرا میکند.

در پالیسی های ضد باج افزاری چند لایه ESET به صورت پیش فرض استفاده از Powershell و JavaScript توسط مدیر سیستم مسدود شده است. لذا این نوع باج افزارها حتی در صورت عدم شناسائی در محیط های تحت شبکه ESET قابل اجرا نیست. همچنین ماژول ضد باج افزاری فایروال ESET اجازه دانلود هر گونه فایل به PowerShell را نخواهد داد.

از آنجا که دسترسی هکر این باج افزار به سرور مذکور به خاطر وجود آسیب پذیری های نرم افزاری بوده، لذا برای جلوگیری از این نوع حملات اکیدا توصیه میکنیم در سرورهای متصل به اینترنت کلیه وصله های امنیتی نرم افزارهای مورد استفاده به خصوص وب سرور ها و بانک های اطلاعاتی نصب شوند.




فایل جاوا اسکریپ مورد استفاده این باج افزار در این لحظه توسط تنها 4 آنتی ویروس شناسایی شده است که ESET و Microsoft از معروف ترین آنهاست. نمونه این باج افزار برای لابراتوآر های کسپرسکی در مسکو و بیت دیفندر در رومانی ارسال شده است و ظرف 24 ساعت آینده شناسائی خواهد شد. لیست 4 آنتی ویروس شناسائی کننده این باج افزار :

(با فیلتر شکن باید باز شود)
🔗 https://goo.gl/PDxcWF

البته نمونه این باج افزار برای کلیه لابراتوآر های طرف قرارداد کامیران و VirusTotal ارسال شده و در این لحظه بیش از 27 آنتی ویروس از 58 آنتی ویروس موجود در جهان آن را شناسائی میکنند که لیست آنها در لینک زیر در دسترس شما قرار دارد:
( لینک زیر پویا بوده به صورت لحظه تغییر میکند و آرشیو شده نیست )

🔗 https://goo.gl/wvkbn4


هکر های این گروه در حمله ای مشابه به یکی از سرور های ESET نیز حمله کرده اند که با توجه به شناسائی این باج افزار توسط ESET و همچنین وجود تکنولوژی های ضد باج افزاری چند لایه HIPS موفق به رمزنگاری فایل های سرور نشدند اما دیتابیس اوراکل کلا توسط هکر ها آسیب دیده است :

در تصویر زیر مشاهده میکنید که هکر در مدت 3 روز توسط اوراکل مشغول اجرای فرامین از راه دور توسط PowerShell بوده است که همگی توسط HIPS مسدود شده اند.

( برای مشاهده تصویر تمام صفحه بر روی آنها کلیک کنید )


 


برای اطلاعات بیشتر در مورد باج افزار ها و طرق مقابله با آنها به مرکز ضد باج افزاری شرکت کامیران مراجعه نمائید :

Antiransomware


 

لابراتوآر ويروس شناسی شركت مهندسي كاميران
____________________________________________________

   


کلمات کليدي : باج افزار GandCrab

ارسال شده در مورخه : دوشنبه، 7 آبان ماه ، 1397 توسط administrator  چاپ مطلب

 

مرتبط با موضوع :

 آسیب پذیری بحرانی در ConnectWise ScreenConnect  [پنجشنبه، 3 اسفند ماه ، 1402]
 آسیب پذیری خطرناک در فایروالهای Fortigate  [پنجشنبه، 3 اسفند ماه ، 1402]
 هک فایروال Sophos در ده ثانیه  [جمعه، 21 مرداد ماه ، 1401]
 اطلاعیه افتا برای حمله سایبری مهر99  [يكشنبه، 4 آبان ماه ، 1399]
 ESET حملات Zerologon را مسدود میکند  [جمعه، 25 مهر ماه ، 1399]
 رمزگشایی GandCrab قربانیان سوری  [جمعه، 4 آبان ماه ، 1397]
 باج افزار Crysis با ده پسوند جدید  [يكشنبه، 22 مهر ماه ، 1397]
 پورت های RDP قاتل جان سرورها  [يكشنبه، 2 ارديبهشت ماه ، 1397]
 حملات جدید باج افزاری با Word OLE  [چهارشنبه، 10 آبان ماه ، 1396]
 انتشار باج افزار Badrabbit  [چهارشنبه، 3 آبان ماه ، 1396]

امتیاز دهی به مطلب
امتیاز متوسط : 5
تعداد آراء: 1


لطفا رای مورد نظرتان را در مورد این مطلب ارائه نمائید :

عالی
خیلی خوب
خوب
متوسط
بد


اشتراک گذاري مطلب


انتخاب ها

 نمایش تمام صفحه این مقاله نمایش تمام صفحه این مقاله


 
موضوعات مرتبط

اخبار آنتي ويروس

صفحه اصلي |  آنتی ویروس اورجینال |  نمایندگان ما |  برخی از مشترکین کامیران |  تماس با کامیران
كليه حقوق اين وب سايت متعلق به شركت ایمن کارا کام ایرانیان ( صاحب امتیاز برند کامیران ) مي باشد - 2023-2011

  


وقت بخیر، کاربر عزیز
از مشاوره آنلاین ما استفاده کنید!



مشاوره خرید و پشتیبانی
نمایندگی قویترین آنتی ویروسهای جهان
( شبانه روزی )