در صورتی که شما کارشناس امنیت یک ارگانی مشغول به انجام وظیفه باشید یقینا درهنگام نوشتن قوانین در فایروال و یا در فایل های .htaccess موتور های جستجوی مانند بینگ، یاهو و غیره را مسدود نمی کنید و آنها را جزء منابع معتبر در شبکه خود معرفی می کنید  . حال در صورتی که شبکه شما مورد هجوم افراد خاصی واقع شود و شما قصد داشته باشید که متوجه بشوید که منبع حمله از کجا می باشد و از کجا به شما حمله شده است معمولا به سراغ فایل log ایجاد شده مراجعه می کنیم. در این سناریوی که در زیر به آن اشاره خواهیم کرد ممکن است در هنگام بررسی این فایل  با چیز غیر عادی و عجیبی مواجه شوید و از خود می پرسید آیا این را نیز باید مسدود کنیم ؟!! این دیگر چرا؟ ویا اینکه چرا این منبع حمله اقدام به چنین کاری کرده است ؟

درخواست GET :

تاچند روز اخیر این سناریو سری فاش نشده بود که  به شکل تصادفی این اطلاعات افشا شد. یک تحلیلگر امنیتی کشف کرده است که Google سعی در انجام برخی حملات SQL Injection بر روی وب سایت مشتری های خود دارد . این در حالی اتفاق افتاده است که این محقق ابتدا آدرس را مسدود کرده و گمان می کردند که این آدرس به طور اشتباهی در Log فایل خود ثبت شده است اما پس از بررسی دقیق متوجه چیز غیر عادی و عجیبی می شود زیرا که این آدرس کشف شده آدرس واقعی Google Bot است.

Google SQL Injection

 درواقع این ربات Google می باشد که اقدام به تزریق این کد در درخواست های Get  ایجاد شده می باشد. سوالاتی که پیش می آید این است که آیا Google هک شده است؟ آیا آدرس IP Google مورد هجوم واقع شده و هکر از این IP در حال استفاده کردن در سناریو خود می باشد؟ آیا این یک Clone Google Bot یا ربات گوگل شبیه سازی شده توسط هکر خاص می باشد؟ که در جواب تمام این سوالات باید گفته شود که خیر !!!. برای اثبات این قضیه کافی است در دستور تفکیک شده زیر دقیقتر بشویم...

Google SQL Injection

Google هیچ علاقه ای برای راه اندازی این حملات همانند هکر ها را ندارد .Google از Bot خود در کنار این حمله استفاده می کند در نتیجه نیازی به استفاده از منابع سرور ندارد و زمان را مانند هکره  صرف این گردآوری اطلاعات نمی کند و نیز بدون اینکه توسط IP  آن Trace شود دیده نمی شود.

در این سناریو Bot گوگل شروع به خزیدن در وب سایت A می کند این وب سایت لینک های زیادی را در خود جای داده که برخی از این لینک ها به سایت B اشاره می کنند که در اینجا سایت قربانی حساب می شود. که به راحتی هکر با استفاده از Google Bot و بازدید از این لینک ها و قرار دادن لینک های که برای استفاده از آسیب پذیری SQL Injection طراحی شده است کار های مخرب خود را انجام می دهد.

ما نمی توانیم گوگل را مسول این قضبه خطاب کرد زیرا که کار گوگل Crawling کردن در وب سایت شما و بازدید کردن از تک تک لینک هاست .برای مقابله با این موضوع نباید یک لیست سفید از سایت های معتبر را در سطح اول قرار دهیم در عوض باید تایید کنیم که در خواست شامل کلمات کلیدی عجیب مانند base64، Union، exec و غیره نباشد که برای این افزونه bbq وجود دارد که در خواست های مخرب را در نظر گرفت.

ما در جهانی زندگی می کنیم که افراد زیادی وجود دارند که خواهان آسیب رساندن به منابع حساس و حیاتی موجود در شبکه را دارند. امروزه اینترنت بخش ضروری و مهم زندگی ما و همچنین سازمان ها را تشکیل می دهد که این عامل باعث شده هکر ها نیز اینترنت را به عنوان بهترین هدف برای پیاده سازی هدف های سوء خود انتخاب کنند و به این منابع مهم موجود در دنیای اینترنت متصل شوند و آن را آلوده به ویروس، تروجان و سایر بد افزاره های مخرب کنند. بنابراین شما باید از برنامه های امنیتی پیشرفته ای برای محافظت از سیستم های خود در برابر این بد افزار ها استفاده کنید. محصولات امنیتی Kaspersky یکی از بهترین راه حل های می باشد که می توان با انواع و اقسام ویروس ها و حملات هکرها در دنیای اینترنت مقابله کرد زیرا که این محصولات علیرغم هزینه پایین آن امنیت بالای را برای شما به ارمغان می آورد. در زیر به 8 دلیل اشاره شده است که ما را مجاب می کند از محصولات Kaspersky Security برای ایمن کردن شبکه خود استفاده کنیم که به شرح زیر می باشند :

 SQL Injection یک روش تزریق کد است که برای حمله به برنامه های کاربری تحت وب استفاده می شود. این حمله با استفاده از آسیب پذیر های موجود در برنامه های تحت وب این قابلیت را به هکر میدهد به اطلاعات پایگاه داده برای استخراج اطلاعات حساس دست یابد . SQL Injection تکنیکی است که می تواند DataBase قربانی را از بین ببرد این حمله از جمله حملات متداول علیه وب سایت ها استفاده می شود که این حمله از طریق تزریق کد های مخرب SQL در ورودی های صفحه وب صورت می گیرد.

SQL Injection معمولا هنگامی رخ میدهد که شما از کاربر برای ورود به صفحه شخصی وبی کاربر نام کاربری و رمز عبور را حساب کاربری را در خواست کند که در این حمله هکر در صفحه ورودی برخی کد های SQL را وارد می کند کد های در پایگاه داده اجرا می شود.

به مثال زیر دقت کنید که یک عبارت Select را با اضافه کردن یک متغییر (txt Userid) به یک رشته انتخاب ایجاد می کند متغییر از ورودی کاربر (GetRequeststring) گرفته شده است.

sql injection

تزریق کد همیشه درست "1=1"

به مثال بلا دوبار نگاه کنید هدف اصلی کد ایجاد یک بیانیه ای SQL برای انتخاب یک کاربر با یک شناسه داده شده است حال اگر هیچ چیزی برای جلوگیری از کاربر در صورت وارد کردن اطلاعات اشتباه تنظیم نشده یاشد کاربر می تواند اطلاعات ورودی هوشمند دستوری وارد کند مانند :

 

که در نتیجه این ورودی به شکل SQL Statement به صورت زیر خواهد بود :

دستور SQL بالا معتبر است و تمام ردیف ها از جدول User باز می کند زیرا کد شرط OR 1=1  همیشه True  میباشد. SQL Statement اشاره شده در بالا همانند دستور زیر است.

که یک هکر ممکن است این توانایی را کسب کند به تمام حساب های کاربری و کلمه عبور آنها دسترسی یابد.

تزریق کد همیشه درست "="

در اینجا مثالی از ورودی یک کاربر به صفحه شخصی به یک  وب سایت می باشد

sql injection

درنتیجه :

هکر به راحتی می تواند حساب کاربری و رمز آنها را تنها با وارد کردن “or””=” در محل نام کاربری و یا رمز عبور به شکل زیر :

sql injection

این ورودی ها را سرور دریافت و آن را به شکل فرم دستوری SQL معتبر تبدیل می کند.

 فرم دستوری بالا کاملا معتبر می باشد که باعث می شود تمام ردیف های جدول User برگردانده شود زیرا که “Or”=” همیشه درست است.

SQL Injection بر اساس SQL Statement ها :

برای حفاظت از وب سایت در برابر حملات SQL Injection شما می توانید از پارامترهای SQL استفاده کنید. پارامترهای SQL عبارتند از مقادیری که به صورت کنترل شده به یک SQL Query در زمان اجرا اضافه می شود هستند.

توجه داشته باشد که پارامترها در SQL با نشان @  نشان داده شده اند. موتور SQL هر پارامتر را بررسی می کند تا اطمینان حاصل شود که ستون آن درست است و به معنای واقعی و نه به عنوان بخشی از SQL اجرا می شود. در زیر مثال دیگری آورده شده است :

مثال ها :

مثال های زیر نشان میدهد که چگونه در برخی از زبان های رایج پارامتری را ایجاد کنید.

INSERT INTO STATEMENT IN ASP.NET:

INSERT INTO STATEMENT IN ASP.NET:

Scripting :

XSS یکی از نقاط ضعف امنیتی میباشد که معمولا در Web Application ها یافت می شود. XSS این قابلیت را به هکر میدهد که اسکریپت های مخربی در سمت کلاینت، در هنگامی که کاربران درخواست اتصال به صفحه وب خاصی را داشته باشند تزریق می کند. از قابلیت دیگر این حمله ، هکر می تواند سطح دسترسی های خاص تعیین شده توسط برخی سیاست ها یا به عبارت دیگر Same-Origin-Policy را Bypass کند.

بر اساس گزارش های ارائه شده توسط سیستم امنیتی سیمانتک،89 درصد حملاتی که بر علیه وب سایت انجام میگیرد از این نوع حمله می باشد. اکثر کارشناسان امنیتی در شرکت های مختلف به این موضوع معتقد هستند که حملات XSS یکی از تهدیدات خطرناک به حساب می آید.

 باج افزار جدیدی در دنیای شبکه جهانی کار خود را آغاز کرده است که به نظر می رسد داستان WannaCry همچنان ادامه دارد ولی این بار بزرگتر و قدرتمند تر از گذشته می باشد. گزارش های متعددی وجود دارد که چندین شرکت بزرگ از کشورهای مختلف تحت تاثیر این حمله جدید قرار گرفته اند و خیلی از سازمان ها و ارگان های دولتی در معرض خطر ابتلا به این اپیدمی می باشند. برخی از محققان پس از بررسی باج افزار جدید گزارش کرده اند که Petya Ransomware همان WannaCry می باشد اما قدرتمندتر و دامنه گسترش وسیع تری دارد که نام های دیگر این باج افزار  Petya.A،Petya.D  یا  PetrWrapمی باشند.

از آنجای که کاربران اینترنتی و سازمان های دولتی گمان می کردند که باج افزار WannaCry به کار خود خاتمه داده است و دیگر به عنوان تهدید حساب نمی شود، اما بار دیگر شبکه جهانی اینترنت آلوده به باج افزار جدیدی همانند WannaCry شده است. این باج افزار که Petya نام دارد، اقدام به خاموش کردن سیستم ها و منابع تغذیه شرکت ها می کند. کشور هایی که تا کنون متضرر این حمله شده اند کشور های روسیه، اوکراین، اسپانیا، بریتانیا، هند و اروپا می باشند که همانند WannaCry از قربانیان این حمله در خواست می شود، مبلغ 300 دلار برای بازگردانی اطلاعات Decrypt شده از طریق bitcoin پرداخته کنند.

Sinitsyn تحلیلگر ارشد بدافزار آزمایشگاه کسپرسکی، پس از بررسی باج افزار Jaff توانست نقطه ضعف های این بد افزار را کشف کند و برای تمام نسخه های  این بد افزار که تا به امروز تولید و در سطح اینترنت منتشر شده اند یک decryptor ایجاد کند. ابزار RakhniDecryptor برای کسانی که مورد حمله باجافزار جاف قرار گرفته اند  و فایل های آنها با پسوند .jaff، .wlu، یا .sVn رمزنگاری شده اند طراحی شده است که این فایل ها را از حالت رمزنگاری شده خارج میکند و بهبود می بخشد.

چگونگی رمزگشایی فایل های رمز شده توسط باجافزار جاف با اسفاده از RakhniDecryptor :
قربانیان باجافزار جاف را می توان از طریق  فایل های رمزگذاری شده با پسوند .jaff، .wlu، و یا فرمت .sVn  تشخیص داد برای مثال، یک فایل با نام test.jpg  پس از آلوده شدن به این بد افزار  به صورت  test.jpg.jaff، test.jpg.wlu  یا test.jpg.sVn.  تغییر نام می دهد نمونه ای از یک پوشه از فایل های رمزگذاری شده توسط نوع .sVn از جاف زیر دیده می شود.

حمله به scada از طریق آسیب پذیری های HMI

حمله به scada از طریق آسیب پذیری های HMI :

کنترل نظارتی و گردآورنده داده های سیستم ها یا Supervisory control and data acquisition (SCADA) یک ساختار کنترل سیستمی است که متشکل از کامپیوترها، شبکه برای تبادل داده و رابط کاربری برای مدیریت و نظارت بر روی فرایند های بسیار مهم در شرکت ها می باشد. علاوه بر ابزار SCADA از ابزار های جانبی مانند، کنترل کننده های منطقی قابل برنامه ریزی Programmable Logic Controllers (PLC) و کنترل کننده Proportional Integral Derivative (PID) و با استفاده از یک رابط گرافیکی برخی از ماشین آلات کنترل می شوند. اپراتور ناظر می تواند از طریق سیستم های کامپیوتری SCADA به مانیتور کردن و صدور دستوراتی مانند کنترل و تنظیم تغییرات وضعیت تجهیزات بپردازد.

معرفی حمله خطرناک فیشینگ

حملات phishing  برای بدست آوردن اطلاعات مهم و حساس مانند نام کاربری، پسورد و اطلاعات حساب بانکی طراحی می شوند. این حملات اغلب خود را به عنوان یک نهاد معتبر و قابل اعتماد در یک ارتباط الکترونیکی معرفی می کنند که براساس محاسبات انجام شده توسط Microsoft میزان خسارت های مالی وارد شده توسط  این نوع حملات به 5 بیلیون دلار امریکایی می رسد.حملات phishing معمولا از طریق e-mail spoofing (کلاهبرداری از طریق ایمیل) و یا پیام رسانی های فوری کاربران را اغوا کرده و با ارائه یک صفحه جعلی از صفحات تحت وب شبکه های اجتماعی مانند Facebook ،Twiter ،Yahoo ، Instagram و یا صفحات بانک های معتبر از کاربران درخواست می شود اطلاعات شخصی خود را وارد نمایند که به محض وارد کردن اطلاعات هکر آنها را دریافت می کند.

شاید شما که در حال مطالعه این مقاله هستید مسئول پشتیبانی واحد نرم افزار یا شبکه و ... یک سازمان هستید و با چالش ها و ترافیک کاری بالای اینگونه واحدها آشنایی دارید
واحدهای فناوری اطلاعات ، واحد پشتیبانی و ارائه خدمات به مشتریان، همیشه با انبوهی از درخواست ها روبرو می شوند، در برخی زمان ها تعداد درخواست ها و سوالات به قدری زیاد می شود که کارشناسان واحد مذکور نمی توانند به همه آنها به درستی و به موقع رسیدگی کنند، و این موضوع موجب سردرگمی کارشناسان و نیز نارضایتی کاربران و مشتریان می شود، در این مواقع همه کارشناسان تلاش می کنند تا حد ممکن به تعداد بیشتری از کاربران و مشتریان مراجعه کرده و حداقل بخشی از درخواست ها و مشکلات ایشان را برطرف سازند که این خود موجب نا تمام ماندن کارها و کاهش کیفیت سطح خدمات می شود.

صفحه1 از2

مهندسین شبکه افزار سایان

  • اهواز - خیابان وهابی خ 19 شرقی پلاک 20
  • 061-33386011-13
  • 061-33374556
  • spambots

پیشنهادات خود را با ما در میان بگذارید

  ایمیل ارسال نشد   ایمیل با موفقیت ارسال شد