بنا به درخواست بسیاری از مدیران شبکه مشترک کامیران دیروز 15 اکتبر 2020 مورخه 24 مهر 1399 حمله سایبری Zerologon در لابراتوآر ویروس شناسی کامیران شبیه سازی شد تا قدرت جلوگیری از حملات سایبری بر روی آنتی ویروس های ESET , Kaspersky , Bitdefender به چالش کشیده شود.
اطلاعات بیشتر در مورد این نوع حمله و لینک دانلود پچ های مربوطه در لینک زیر در دسترس شما قراردارد :
▪️ همانطور که میدانید این آسیب پذیری علت بروز حمله سایبری به دو سازمان مهم دولتی در تاریخ 22 مهر و همچنین هک سامانه های انتخاباتی آمریکا در تاریخ 23 مهر بوده است که قطعا این مراکز فاقد سامانه های امنیتی قدرتمند بوده اند. اما متخصصین ما در کامیران به شما خواهند گفت که کدام آنتی ویروس ها قادر بودند Zerologon را با ماژول Network Protection خود مسدود کنند.
‼️ در نتایج اولیه شبیه سازی Zerologon آنتی ویروس های مخصوص ویندوز سرور ESET File Security For Microsoft Windows Server V7 با استفاده از ماژول Network Attack Protection یا همان IDS خود، حمله هکر را کاملا تشخیص داده و سیستم مهاجم را مسدود کردند.
مشاهده ویدئوی تشخیص Zerologon توسط ESET :
▪️ اما در تست Kaspersky Security for Windows Server V11 که با لایسنس Advanced هم نصب شده بود هکر به DC دسترسی کامل پیدا کرد و Kaspersky نتوانست حمله را تشخیص دهد. که ویدئوی شبیه سازی این حمله در لینک زیر در دسترس شما قرار دارد:
▪️ در تست Bitdefender Gravity Zone Advanced چون نسخه های سرور این آنتی ویروس طبق این سند تا این تاریخ فاقد Network Attack Defense هستند و این ماژول در حال حاضر فقط برای کلاینت ها وجود دارد طبیعی است که محافظتی در خصوص حملات داخلی روی سرورها وجود ندارد و حمله Zerologon با موفقیت روی سرور قربانی انجام شد:
‼️ با توجه به نتایج این تست مشترکین کسپرسکی و بیت دیفندر باید سریعا پچ های CVE-2020-1472 را بر روی دامین کنترلر های خود نصب نمایند. اما مشترکین ESET حتی بدون نصب این آپدیت ها هم کاملا در مقابل این نوع حمله محافظت شده هستند اما این بدین معنا نیست که آنها ملزم به آپدیت DC های خود نیستند.
▪️ خلاصه تست حملات Zerologon :
ESET ✅
Kaspersky ❌
Bitdefender ❌
▪️ مستندات این تست برای لابراتوآر Kaspersky و Bitdefender هم ارسال شده است تا در صورت امکان این نوع حملات در آپدیت های جدید مسدود گردد.
▪️ البته بسیار پیشتر از شروع این حملات و در زمان کشف این آسیب پذیری در 8 آگوست 2020 ( 18 مرداد 1399 ) این خبر توسط دفتر ESET هلند در این لینک منتشر شده بود.
اولین حمله Zerologon در ایران چه تاریخی اتفاق افتاده است ؟
بر اساس اطلاعات کنسول ابری ESET ما که امنیت بیش از 1500 سرور در کشور را بر عهده دارد اولین حمله از نوع Zerologon با شناسه RPC/Exploit.CVE-2020-1472 در تاریخ 1 اکتبر ( 10 مهر 1399 ) از مبدا کشور آلمان به دو سرور بخش خصوصی که در تصویر زیر مشاهده میکنید انجام شده است که هر دو حمله توسط IDS آنتی ویروس های سرور مسدود شده اند. این اطلاعات نشان میدهد که هکر ها از 2 هفته قبل از حمله به سازمان های دولتی ایران در حال تست این آسیب پذیری بوده اند. البته این دو سرور کلیه پورت های دامین کنترلرشان روی اینترنت باز بوده است که هکر توانسته مستقیما از آلمان به DC آنها حمله کند !!!
‼️ طرق همیشگی تماس با پشتیبانی:
تلگرام: @KamiranSupport ، واتساپ 09332050007 ، مرکز تماس 02147251 ، سامانه www.47251.ir
برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :
لابراتوآر ويروس شناسی شركت مهندسي كاميران
____________________________________________________