تبلیغات
گروه امنیتی منطقه تاریکی - مطالب
گروه امنیتی منطقه تاریکی

گسترش باج‌افزار Cryptowall از طریق تبلیغات آلوده

دوشنبه 19 خرداد 1393

نوع مطلب :اخبار دنیای امنیت، 

در چند سال اخیر، باج‌افزار‌های زیادی توسعه پیدا کرده‌اند که در انواع سامانه‌عامل‌های اندروید، OS X و ویندوز به خوبی عمل می‌کنند و به لطف ماهیت ناشناس پول‌های الکترونیکی مانند بیت‌کوین و MoneXy با رمز‌کردن پرونده‌های کاربر و یا قفل کردن کامل دستگاه وی،‌ از قربانیان اخاذی می‌کنند.
متأسفانه همان‌طور که باج‌افزار‌های بیش‌تری کشف می‌شوند، انواع جدید دارای قابلیت‌های بسیار زیادی هستند و به‌نحوی طراحی شده‌اند که امکان باز‌پس‌گیری پرونده‌های رمز‌شده تنها از طریق خود مهاجم امکان‌پذیر باشد.
در یک سال گذشته بارها اخبار باج‌افزار بسیار پیش‌رفته‌ی CryptoLocker در اخبار شنیده شده است که  با سرویس بیت‌کوین و سرویس MoneXy از قربانیان پول دریافت می‌کرد.
نسخه‌ی جدید این باج‌افزار به نام Crytowall، مشتق گرفته شده از باج‌افزار معروف  CryptoLocker، به‌تازگی از طریق تبلیغات در وب‌گاه‌های بزرگی مانند فیسبوک، رو‌زنامه‌ی گاردین، شرکت انیمیشن‌سازی دیزنی و … کاربران ویندوزی را تشویق به بارگیری بدافزار‌های مخربی می‌کند که در نهایت رایانه‌ی آن‌ها را به باج‌افزار آلوده می‌کند.
نسخه‌ای ازCryptolocker  توسط توسعه‌دهندگان باج‌افزار پیش‌رفته‌تری به نام CryptoDefense ایجاد  و در اواخر ماه مارس کشف شد، این باج‌افزار دیسک سخت کاربر را با الگوریتم رمز‌نگاری ۲۰۴۸ بیتی RSA رمز می‌کند و تا زمان پرداخت پول، پرونده‌ها رمز‌شده باقی می‌مانند، اما این نسخه از باج‌افزار به این علت که توسعه‌دهندگان فراموش کرده بودند کلید رمز‌گشایی را از محتویات پرونده‌های باج‌افزار حذف کنند با شکست مواجه شد.
برای غلبه بر چنین شکستی توسعه‌دهندگان باج‌افزار Cryptowall را ایجاد کرده‌اند که این‌بار بدون کلید رمز‌گشایی پرونده‌ها منتشر می‌شود و امکان باز‌پس‌گیری پرونده‌ها وجود نخواهد داشت.
این باج‌افزار زمانی‌که محققان سیسکو گزارش دادند برنامه‌ای به نام RIG Exploit Kits در حال انتشار است که به همراه خوب پرونده‌های آلوده دارد، کشف شد.  بسته‌ی سوء‌استفاده‌یRIG، از دو ماه پیش شروع به انتشار کرده است، این بسته‌ی سوء‌استفاده به دنبال آسیب‌پذیری‌های وصله‌نشده از فلش، اینترنت اکسپلورر، جاوا و سیلورلایت می‌گردد و اگر آن‌ها را پیدا کند، برای مهاجم امکان سوء‌استفاده را فراهم می‌کند.
محققان سیسکو دریافتند، بسته‌ی جدید RIG ترافیک بسیار زیادی را اشغال کرده است و به همین دلیل، آن‌ها نزدیک به ۹۰ دامنه را مسدود کردند. سپس مشاهده شد تعداد زیادی از کاربران از طریق مشاهده‌ی تبلیغات به این ۹۰ دامنه آلوده هدایت می‌شوند و متأسفانه تبلیغات در وب‌گاه‌های پربازدیدی مانند فیسبوک وجود دارند.
به محض کلیک روی تبلیغات، کاربر به‌ دامنه‌های آلوده هدایت می‌‌شود و سپس رایانه‌ی قربانی با بسته‌ی سوء‌استفاده‌ی RIG آلوده می‌شود که RIG وظیفه‌ی بارگیری و نصب باج‌افزار را برعهده می‌گیرد. پس از نصب باج‌افزار CryptoWall، این باج‌افزار به دنبال پرونده‌های دیسک سخت کاربر می‌گردد و آن‌ها را رمز می‌کند.
پس از رمز‌نگاری پرونده‌ها، این بدافزار پرونده‌های حاوی دستور‌العمل پرداخت و معرفی باج‌افزار را در هر پوشه‌ای که پرونده‌های آن را رمز‌ کرده است، می‌سازد.

   

این باج‌افزار تا مبلغ ۵۰۰ دلار از کاربران پول درخواست می‌کند و برای پرداخت باید از سرویس مخفی که توسط کارگزار کنترل و فرمان‌دهی که توسط شبکه‌ی ناشناس TOR در دامنه‌های oninio میزبانی می‌شود، آدرس دریافت کند، شیوه‌ای که به‌تازگی در باج‌افزار ویژه‌ی سامانه‌عامل اندورید نیز به‌کار گرفته شده است.
در حال حاضر بیش‌ترین میزان آلودگی‌ها در آمریکا، انگلیس و استرلیا می‌باشد و به نظر می‌رسد مهاجمان از چند تیم نفوذ با یکدیگر همکاری دارند.


وصله شدن آسیب‌پذیریِ افشای اطلاعات و انسداد سرویس در Tomcat

چهارشنبه 14 خرداد 1393

نوع مطلب :اخبار دنیای امنیت، 

آپاچی به‌تازگی با ارائه‌ی وصله‌های امنیتی دو دسته آسیب‌پذیری Tomcat، مربوط به خطای این بستر که منجر به افشای اطلاعات و حملات انسداد سرویس می‌شود را وصله کرده است.
آسیب‌پذیری انسداد سرویس، در ماه فوریه توسط محققی از تیم پاسخ‌گویی امنیتی رِد‌هت به‌ نام دیوید جرم1، کشف شد. این آسیب‌پذیری می‌تواند به مهاجم این امکان را دهد تا یک چانک با اندازه‌ی ناهنجار را به عنوان بخشی از درخواست چانک به سمت کارگزار ارسال و در نهایت همین درخواست امکان ارسال جریان داده‌ی نامحدود را به سمت کارگزار قربانی ایجاد می‌کند. کارگزار‌های وب، معمولاً دارای یک محدودیت برای درخواست می‌باشند و با استفاده از این‌ آسیب‌پذیری مهاجم می‌تواند این محدودیت را دور بزند و شرایط یک حمله‌ی انسداد سرویس را فراهم کند.
آسیب‌پذیری‌های دیگر که مربوط به خطای افشای اطلاعات است، توسط تیم امنیتی Tomcat کشف شده‌اند و مهاجم می‌تواند با سوء‌استفاده از آن‌ها تنظیمات امنیتی نرم‌افزار را دور بزند.
آسیب‌پذیری با شناسه‌ی CVE-2014-0096 این امکان را به یک نرم‌افزار وب آلوده می‌دهد تا از سدِّ محدودیت‌های ایجاد‌شده برای دست‌رسی به پرونده‌ها بگذرد. آسیب‌پذیری با شناسه‌ی CVE-2014-0119 نیز مانند آسیب‌پذیری قبلی با فراهم کردن امکان دور زدن محدودیت‌هایی که روی شناسه‌های خارجیِ XML تعریف شده است، علاوه بر این که امکان دست‌رسی به این پرونده‌ها را برای مهاجم ایجاد می‌کند،‌ بلکه امکان مشاهده‌ی پرونده‌های XML که برای سایر نرم‌افزار‌های وب روی همان نمونه‌ی Tomcat ایجاد شده‌اند را نیز فراهم می‌کند.
آسیب‌پذیری CVE-2014-0099 مربوط به روشی است که کد برای تجزیه‌ی بخش اندازه‌ی محتوی در سرآیند به‌کار می‌گیرد، این روش از هیچ راهی برای تشخیص سرریز استفاده نمی‌کند، و درنهایت منجر به آسیب‌پذیری قاچاق درخواستِ HTTP می‌شود.
آسیب‌پذیری قاچاق درخواستِ HTTP2 زمانی اتفاق می‌افتد که از یک سامانه‌ی HTTP واسطه به عنوان یک پراکسی به منظور تجزیه‌ی داده‌های دریافتی، استفاده می‌شود. حملات قاچاق درخواست، با ارسال یک درخواست HTTP که تجزیه‌ی آن در سامانه پراکسی و سامانه‌ی نهایی متفاوت است،‌  شروع می‌شوند و به همین دلیل مهاجم می‌تواند به صورت قاچاقی به یک درخواست را به سمت یکی از سامانه‌‌ها ارسال کند، بدون این که سامانه‌ی دیگر از این درخواست مطلع باشد و در نهایت سوء‌استفاده از چنین آسیب‌پذیری منجر به بروز حملات دیگر مانند خطای ربودن جلسات3،  حملات XSS4 و مسمویت کَش5 شود، از همه مهم‌تر خطر دور زدن دیوار آتش برنامه‌های وب نیز به وجود خواهد آمد. 
نسخه‌های 6.0.0 تا 6.0.39، نسخه‌های 7.0.0 تا 7.0.52 و همچنین نسخه‌های 8.0.0-RC1 تا 8.0.3 باید نسخه‌های جدید‌تر را از وب‌گاه اصلی دریافت کنند تا از سوء‌استفاده‌های احتمالی در امان باشند.


وصله‌شدن ۲۲ آسیب‌پذیری در سافاری

شنبه 3 خرداد 1393

نوع مطلب :اخبار دنیای امنیت، 

اپل روز گذشته به‌روز‌رسانی را برای مرورگر سافاری منتشر کرده است که در آن ۲۲ آسیب‌پذیری این مرورگر وصله شده که در شرح این به‌روز‌رسانی مشکل مربوط به موتور مرورگرِ WebKit که امکان اجرای کد یا از کار انداختن مرورگر را برای مهاجم فراهم می‌کند، معرفی شده است.
Safari 7.0.4 برای سامانه‌عامل OS X Mavericks 10.9 ارائه شده و Safari 6.1.4 برای سامانه‌عامل OS X Mountain Lion 10.8 معرفی شده است، آسیب‌پذیری‌های وصله شده در صورتی که مهاجم موفق به ترغیب کاربر برای بازدید از یک وب‌گاه آلوده شود، قابل سوء‌استفاده است.
چندین آسیب‌پذیری خطای حافظه در WebKit مشاهده شده است که با بهبود مدیریت حافظه در این محصول، آسیب‌پذیری‌ها وصله شده‌اند، هم‌چنین آسیب‌پذیری‌ دیگر مربوط به نحوه‌ی مدیریت نویسه‌های یونی‌کد در آدرس‌ها وصله شده است،‌ که در صورت وصله نشدن مهاجم با سوء‌استفاده از آن می‌تواند منجر به از کار افتادن مرورگر قربانی شود.
بسیاری از آسیب‌پذیری‌های اجرای کد مخرب در WebKit توسط گوگل کشف شده‌اند، گوگل هم در مرورگر کروم تا نسخه‌ی ۲۷ از این موتور مرور وب استفاده می‌کرده، ولی هم‌اینک مرورگر گوگل کروم مبتنی بر Blink است.
هم‌چنین لازم به ذکر است که با وجود این‌که بسیاری از آسیب‌پذیری‌ها به‌تازگی کشف‌ شده‌اند اما دو آسیب‌پذیری با شناسه‌های CVE-2013-2875 و CVE-2013-2927  در سال گذشته‌ی میلادی به اپل گزارش داده شده‌اند.
آسیب‌پذیری‌های سال جاری با شناسه‌های CVE-2014-1323 تا CVE-2014-1344 به جز شناسه‌های CVE-2014-1325 و CVE-2014-1328 مربوط به سال جاری هستند که وصله شده‌اند. هم‌چنین دو آسیب‌پذیری دیگر با شناسه‌های CVE-2014-1731 و CVE-2014-1346 نیز وصله شده‌اند.
در ماه گذشته‌ی میلادی، اپل ۲۵ خطای امنیتی در مرورگر خود را وصله کرده بود که باز هم همه‌ی آن‌ها مربوط به چارچوب مرور وبِ WebKit بوده‌اند.


راه نفوذ مخفی در محصولات سیسكو

شنبه 28 دی 1392

نوع مطلب :اخبار دنیای امنیت، 

شركت سیسكو یك راه نفوذ مخفی (backdoor) مبتنی بر LAN را در چندین محصول مربوط به شبكه‌های تجاری كوچك خود افشا كرد كه هنوز ترمیم نشده است. مهاجمی كه از طریق واسط LAN از این آسیب‌پذیری سوء استفاده نماید می‌تواند به اعتبارات كاربر برای حساب administrator دستگاه و پیكربندی دستگاه دسترسی پیدا كند یا با حق دسترسی بالا، دستورات دلخواه خود را بر روی دستگاه اجرا كند.

محصولات تحت تأثیر این آسیب‌پذیری عبارتند از:
  • مسیریاب Cisco RVS4000 4-port Gigabit Security كه سفت‌افزار نسخه 2.0.3.2 یا نسخه‌های پیش از آن را اجرا كند
  • مسیریاب Cisco WRVS4400N Wireless-N Gigabit Security با سخت‌افزار نسخه 1.0 و 1.1 كه سفت‌افزار نسخه 1.1.13 یا نسخه‌های پیش از آن را اجرا كند
  • مسیریاب Cisco WRVS4400N Wireless-N Gigabit Security با سخت‌افزار نسخه 2.0 كه سفت‌افزار نسخه 2.0.2.1 یا نسخه‌های پیش از آن را اجرا كند
  • Cisco WAP4410N Wireless-N Access Point كه سفت‌افزار نسخه 2.0.6.1 و نسخه‌های پیش از آن را اجرا كند
به گفته سیسكو در حال حاضر هیچ محصول دیگری كه تحت تأثیر این آسیب‌پذیری قرار داشته باشد شناسایی نشده است.
آسیب‌پذیری مذكور در نتیجه یك واسط تستی غیرمستند در سرویس TCP كه بر روی پورت 32764 منتظر می‌ایستد ایجاد شده است.
سیسكو قصد دارد نرم‌افزار ترمیم شده دستگاه‌های تحت تأثیر این آسیب‌پذیری را در انتهای ژانویه 2014 عرضه نماید. در حال حاضر گردش كاری خاصی برای این مسأله وجود ندارد.


نگاهی به برنامه‌ تجسسی تمپورا (Tempora)

پنجشنبه 19 دی 1392

نوع مطلب :اخبار دنیای امنیت، 

چندی پیش روزنامه بریتانیایی گاردین در رابطه با عدم رعایت حریم خصوصی کاربران اینترنت و تلفن‌های همراه شهروندان اروپایی، از شیوه‌های گوناگونی، از جلمه از برنامه‌ تجسسی تمپورا (Tempora) برای جاسوسی در اینترنت و تلفن‌های همراه گزارش داد.

تمپورا از سوی ستاد ارتباطات دولت بریتانیا، روی صدها کابل فیبر نوری در سطح بریتانیا و اروپا نصب شده و اطلاعات و داده‌های کاربران صدها میلیون مشترک را به مدت ۳۰ روز ذخیره می‌کند.

شرکت‌هایی که به نحوی با این عملیات مرتبط هستند باید در این باره سکوت اختیار کنند. در مواردی حتی آنها به اجبار تن به همکاری می‌دهند.

عملیات “تمپورا” برای نخستین بار در سال ۲۰۰۸ آزمایش شد. دو سال بعد، در سال ۲۰۱۰، مرکز ارتباطات دولتی بریتانیا دارای بزرگترین امکان دسترسی به اینترنت و کنترل آن در مقیاس جهان شد، که حتی بزرگتر از دیگر اعضای اتحادیه‌ی موسوم به “پنج چشم” است. بریتانیا، آمریکا، کانادا، استرالیا و نیوزیلند اعضای “اتحادیه استراق سمع”، موسوم به “پنج چشم” هستند. در بین این پنج کشور، بریتانیا از نظر امکانات جاسوسی و اطلاعاتی، یک ابرقدرت به شمار می‌رود.

از ماه مه سال ۲۰۱۲ سیصد تحلیل‌گر مرکز ارتباطات دولتی بریتانیا به همراه ۲۵۰ کارمند آژانس امنیت ملی آمریکا در عملیات “تمپورا” مشغول به فعالیت بوده و در حال غربال‌ کردن انبوه اطلاعات هستند. بیش از ۲۰۰ کابل ارتباطی از بریتانیا به سوی آمریکا، کانادا و غرب اروپا مورد شنود و تجسس قرار می‌گیرد. مبادله داده‌ها میان ۴۶ کانال ارتباطی می‌تواند به‌طور همزمان زیر کنترل و تجسس قرار ‌گیرد. علاوه بر این روزانه ۶۰۰ میلیون تماس تلفنی می‌‌تواند شنود شود.

گاردین به نقل از منابع امنیتی نوشته است که جمع‌آوری اطلاعات توسط نهادهای اطلاعاتی در چارچوب یک سری مقررات امنیتی و به صورت قانونی انجام می‌شود. این برنامه کنترل داده‌ها، بنا بر نوشته گاردین، به پیشرفت جدی در تشخیص و پیشگیری از جرم و جنایت منجر شده است.

به گفته‌ رئیس “آژانس امنیت ملی” ایالات متحده سازمان‌های اطلاعاتی اروپایی در گردآوری و ذخیره داده‌های شهروندان این قاره نقشی اساسی دارند. کیت الکساندر می‌گوید که تمام عملیات کنترل و شنود در چارچوب همکاری و تبادل اطلاعات میان سازمان‌های اطلاعاتی آمریکا و دیگر کشورها صورت می‌گیرد.

رسانه‌های آلمانی ‌زبان نیز در ماه سپتامبر گزارش دادند که سازمان اطلاعات برونمرزی آلمان (بی ان دی) و سازمان امنیت داخلی این کشور به طور منظم اطلاعاتی در اختیار سرویس‌های امنیتی و اطلاعاتی آمریکا، از جمله “آژانس امنیت ملی” قرار داده‌اند.


ضعف امنیتی در سایت بانک صادرات ایران

پنجشنبه 19 دی 1392

نوع مطلب :اخبار دنیای امنیت، 

وجود ضعف امنیتی در بانک صادرات که هکر توسط آن می تواند به صورت غیر مجاز فایل های بانک صاردات را مشاهده و دانلود کند و در صورت توانایی بالای هکر، دسترسی به کل سامانه ی بانک صادرات مقدور می باشد.

 تیم امنیتی مپا پس کاوش در اینترنت متوجه ضعف امنیتی در بانک صادرات شده است، که هکر توسط لینک زیر می تواند به صورت غیر مجاز فایل های بانک صاردات را مشاهده و دانلود کند و در صورت توانایی بالای هکر، دسترسی به کل سامانه ی بانک صادرات مقدور می باشد.

این گروه برای اثبات حسن نیت خود و کمک به سایت های ایرانی به صورت دوستانه و صادقانه، در ابتدا ضعف های امنیتی سایت های مهم را اول به خود سازمان به صورت خصوصی گزارش می دهد، در صورت توجه ننمودن مدیر سایت، باگ به صورت عمومی منتشر می شود تا مسئولین پیگیری کنند.

لینک اول 

http://w3.bsi.ir/en/Reports List/AllItems.aspx

 لینک دوم 

http://w3.bsi.ir/_layouts/viewlsts.aspx

 


تعداد کل صفحات: (2) 1   2   

فهرست وبلاگ
طبقه بندی
آرشیو
نویسندگان
پیوندها
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
جستجو
آخرین پستها
اَبر برچسبها