بر اساس اطلاعیه های متعدد شرکت مایکروسافت، از تاریخ 14 ژانویه سال 2020 (24 دی سال 1398) از نسخه های ویندوز هفت و سرور 2008 پشتیبانی نخواهد شد. بدین معنی که در صورت وجود نقص امنیتی یا مشکلی در ساختار این سیستم های عامل، مایکروسافت وصله امنیتی جدیدی برای آن صادر نمی کند و یا به بیان دیگر، این سیستم های عامل قابل اطمینان نخواهند بود. لذا اکیدا توصیه می گردد کلیه کاربران و سازمان ها در این مدت محدود یک ماهه، به بروزرسانی سیستم های خود برای محافظت از تهدیدهای سایبری بپردازند. لازم به توضیح است عدم دسترسی سیستم ها به شبکه اینترنت دلیل عدم نیاز به بروزرسانی آن نخواهد بود و لازم است کلیه سیستم های عامل کلاینت و سرور در اسرع وقت به نسخه های جدید بروزرسانی گردند.

اینتل یک #‫آسیب‌پذیری در Rapid Storage Technology (RST) برطرف کرده است که به یک مهاجم محلی اجازه می‌دهد امتیازات خود را به امتیاز سیستمی ارتقا دهد.
RST یک برنامه‌ی مبتنی بر ویندوز در بسیاری از رایانه‌هایی است که از تراشه‌های Intel برای ارایه‌ی عملکرد و قابلیت اطمینان بیشتر هنگام استفاده از دیسک‌های SATA بهره می‌برند.
این نقص امنیتی که با شناسه‌ی CVE-2019-14568 ردیابی می‌شود و امتیاز CVSS آن 6.7 است می‌تواند برای دورزدن دفاع‌ها مورد سوءاستفاده قرار گیرد و از طریق بارگذاری یک DLL دلخواه امضانشده (unsigned) به فرایندی که با امتیازات سیستمی اجرا می‌شود به پایداری برسد. مهاجم برای سوءاستفاده از این آسیب‌پذیری نیاز به امتیازات مدیریتی در سیستم دارد.
این آسیب‌پذیری مشابه مواردی است که اخیراً در محصولاتی از Kaspersky، McAfee، Symantec، Avast و Avira کشف شده است و به مهاجم اجازه می‌دهد یک DLL مخرب را در سیستم متأثر قرار دهد و آن را به یک فرایند ممتاز بارگذاری کند.
دلیل اصلی این آسیب‌پذیری این است که هیچ اعتبارسنجی امضا علیه فایل‌های DLL‌ که سرویس IAStorDataMgrSvc.exe (یک فرایند مربوط به Intel RST که با امتیازات سیستمی امضا و اجرا می‌شود)، تلاش می‌کند بارگذاری کند، انجام نمی‌شود. از آنجاییکه این فایل‌ها وجود ندارند، یک مهاجم می‌تواند فایل‌های DLL دلخواه را جای دهد و این سرویس آن را بارگذاری خواهد کرد.
با سوءاستفاده از این مشکل، مهاجم می‌تواند یک خرابکاری را ضمن فرار از شناسایی‌شدن، بارگذاری و اجرا کند. علاوه‌براین، این خرابکاری می‌تواند به صورت مداوم هر بار که این سرویس شروع به کار می‌کند، اجرا شود.
این آسیب‌پذیری، نسخه‌های پیش از Intel RST 17.7.0.1006 را تحت‌تأثیر قرار می‌دهد و توصیه می‌شود هر چه سریعتر به نسخه‌ی وصله‌شده به‌روزرسانی شود.

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00324.html

محققان بیش از 100 برنامه مخرب را از فروشگاه #‫گوگل_پلی کشف کردند که توسط بیش از 4.6 میلیون کاربر اندرویدی در سراسر جهان نصب شده‌اند.
بسیاری از برنامه‌های مخرب کلاهبرداری در تبلیغات هستند که با استفاده از همان کد مشترک موسوم به" Soraka " با نام پکیج (com.android.sorakalibrary. *) استفاده می‌کنند.
"GBHackers on Security" چندین گزارش را درخصوص تبلیغات مخرب در چند ماه گذشته منتشر کرده است که به سرعت در حال رشد هستند که کاربران اندرویدی را به‌طور انحصاری هدف قرار دهند تا میلیون‌ها دلار درآمد کسب کنند.
بدافزارهای مخرب، جاسوس افزارها و تبلیغ‌افزارها می‌توانند با آن‌ دسته همراه شده و سیستم‌های کاربر را آلوده کرده و منجر به اختلال در روند روتین و نشت اطلاعات شخصی دستگاه‌های اندرویدی شوند.
علاوه بر پکیج کد Soraka، محققان همچنین در برخی از برنامه‌ها نوعی کد با عملکرد مشابه را کشف کردند که آن‌ را "soga" با نام پکیج (com.android.sogolibrary) لقب داده‌اند.

برخی از فعالیت‌های اپلیکیشن‌های مخرب:
یک اپلیکیشن به نام "best fortune explorer app" که توسط JavierGentry80 منتشر شده است، اقدام به انواعی از فعالیت‌های مخرب از جمله فریب کاربران برای کلیک بر روی تبلیغات جهت درآمدزایی،کرده‌ است. این برنامه‌ها دارای بیش از 170000 نصب بدون شناسایی توسط VirusTotal بوده است.
قبل از انتشار تبلیغات جعلی، این تبلیغ‌افزارها موارد مختلف کنترلی و چک کردن کد را دور می‌زند، از جمله کد‌های:
• Screen On
• TopActivity
• Interval since installation
• Trigger on/off switches
• Ad Network daily count limit
• Trigger time interval (to space out the ad rendering for each trigger)

مکانیسم و روش‌های مبهم‌سازی به مهاجمان کمک می‌کند تا از تجزیه و تحلیل خودکار بدافزارشان جلوگیری کنند. در فعالیت‌های مربوط به کلاهبرداری در تبلیغات، با باز کردن قفل دستگاه، در حالی که صفحه تلفن خاموش است کد برنامه‌، سرویس اعلان پس‌زمینه را که تمام فعالیت‌های کلاهبرداری را متوقف می‌کند، حذف می‌کند و اولین آگهی Out-of-Context (OOC) چند ثانیه بعد از باز کردن قفل گوشی ارائه داده می‌شود.
مهاجمان از سازوکارهای ماندگاری مبتنی بر کد جاوا برای حفظ بدافزار در دستگاه آلوده اندرویدی استفاده می‌کنند.
"این مکانیسم همچنین اجازه می‌دهد تا با استفاده از کنترل سیستم‌عامل‌ها ، افرادی که تبلیغات مخرب را دریافت می‌کنند، کنترل کنند و وقتی شرایط این امر مناسب است، برنامه‌ها تبلیغات خارج از زمینه ارائه می‌دهند ".
تیم اطلاعاتی White Ops Threat گفته‌اند که آن‌ها همچنان نظارت بر این پکیج‌ها را دارند و هرگونه پکیج‌های در حال ظهور مبتنی بر موارد قبلی را شناسایی می‌کنند.
در ادامه اسامی پکیج‌های آلوده آمده است که اگر کاربری این پکیج‌ها را نصب کرده است توصیه می‌شود آن را حذف نماید.

دریافت لیست پکیج ها

یک آسیب­ پذیری به شناسه CVE-2019-5539 در دو محصول VMwareا ز نوع DLL-hijacking کشف شده است که منجر به افزایش سطح دسترسی می­شود.
مهاجم با بهره­ برداری از این آسیب­ پذیری می­تواند سطح دسترسی خود را از یک کاربر معمولی به کاربر adminارتقا دهد.
محصولات آسیب­ پذیر عبارتند از:

• VMware Workstation Pro / Player for Linux (Workstation) version 15.x
• VMware Horizon View Agent (View Agent) version 7.x.x

به مدیران شبکه توصیه می­شود برای رفع این آسیب­ پذیری به ­روزرسانی­ های زیر را انجام دهند.

• Workstation 15.5.1
• View agent 7.5.4 , 7.10.1 , 7.11.0

منبع:

https://www.vmware.com/security/advisories/VMSA-2019-0023.html

#‫رمزگشا ی باج‌افزار Mapo توسط پژوهشگران مرکز امداد سایبری لهستان (CERT.PL) ارائه شد.
باج‌افزار Mapo که از خانواده با‌ج‌افزار Outsider می‌باشد، برای اولین بار در اواخر ماه دسامبر ۲۰۱۸ میلادی مشاهده گردید و تاکنون با پسوندهای مختلفی منتشر شده است. این باج‌افزار عملیات رمزگذاری خود را با الگوریتم AES انجام می‌دهد. تصویر زیر پیغام باج‌خواهی این باج‌افزار را نشان می‌دهد.
 

در صورتی که فایل‌های شما توسط این باج‌افزار با پسوند .mapo رمزگذاری شده‌اند، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید.

دستور کار:
پیش از اجرای رمزگشا، این مراحل را انجام دهید:
1. پیغام باج‌خواهی باج‌افزار را در آدرس https://mapo.cert.pl بارگذاری و سپس بر روی دکمه سبز رنگ Get Key کلیک نمایید.
 

2. سپس کدی که این صفحه نمایش می‌دهد را کپی کنید.
3. رمزگشا را اجرا کنید. زمانی که اجرای برنامه در خط فرمان به عبارت Input the recovered key: رسید کدی که کپی کرده بودید را همانند تصویر زیر بچسبانید.
 

4. صبر کنید تا عملیات رمزگشایی به اتمام برسد.
5. پس از اتمام عملیات رمزگشایی پیغام Press Enter to exit را خواهید دید. حالا باید یک کپی سالم از فایل‌هایتان در کنار فایل رمزشده داشته باشید.
6. پس از اطمینان از رمزگشایی صحیح فایل‌هایتان می‌توانید فایل‌های رمز شده را پاک کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت CERT.PL:

https://nomoreransom.cert.pl/static/mapo_decryptor.exe

#‫رمزگشای #‫باج‌افزار ChernoLocker توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
باج‌افزار ChernoLocker که برای اولین‌بار در اواسط ماه دسامبر ۲۰۱۹ میلادی مشاهده گردید، عملیات رمزگذاری خود را با الگوریتم AES-256 انجام می‌دهد و به زبان پایتون نوشته شده است.
 

در صورتی که فایل‌های شما توسط این باج‌افزار با پسوند .CHERNOLOCKER رمزگذاری شده‌اند، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/chernolocker

شرکت TP-Link یک آسیب پذیری بحرانی با شناسه CVE-2019-7405را در روترهای مدل Archer کشف کرده است که مهاجم با بهره ­برداری از این آسیب­ پذیری می­تواند رمز عبور adminرا به دست آورد و سپس این روتر آسیب ­پذیر را از راه دور و از طریق Telnet کنترل کند.
بهره ­برداری موفق از این آسیب­ پذیری به مهاجم این اجازه را می­دهد تا از راه دور کنترل کامل روتر را از طریق Telnetو در شبکه LAN به دست بگیرد. سپس به FTP server شبکه متصل شود.
مهاجم یک بسته HTTP request که حاوی یک رشته کاراکتر با اندازه بزرگتر از مقدار مجاز است را برای روتر آسیب پذیر ارسال می­کند. با این کار، رمز عبور admin را با یک مقدار خالی جایگزین می­کند. با اینکه اعتبار سنجی داخلی انجام می­شود اما باز هم روتر فریب می­خورد زیرا فقط هدر بسته HTTPرا بررسی می­کند. بنابراین مهاجمان از این طریق سرویس httpd روتر را فریب می­دهند تا با استفاده از tplinkwifi.net درخواست را معتبر تشخیص ­دهد.(مطابق شکل زیر)
 

تنها کاربری که در این نوع روترها وجود دارد کاربر admin است بنابراین وقتی مهاجم احراز هویت را دور می­زند دسترسی او به طور خودکار همان دسترسی admin می­شود و از این به بعد admin واقعی روتر هم نمی تواند به روتر login کند زیرا دیگر صفحه login هیچ رمز عبوری را نمی ­پذیرد. بنابراین admin واقعی روتر هیچ دسترسی به روتر نخواهد داشت و حتی نمی­تواند رمز عبور جدیدی بسازد تا دسترسی را از مهاجم بگیرد.
 

حتی اگر admin واقعی روتر بتواند رمز عبور را تغییر دهد مهاجم می­تواند دوباره آن را با درخواست LAN/WAN/CGI از بین ببرد و به روتر login کند.
این آسیب­‌پذیری بحرانی در مدل­‌های زیر وجود دارد:

• Archer C5 V4
• Archer MR200v4
• Archer MR6400v4
• Archer MR400v3

وصله این آسیب­ پذیری بحرانی برای هرکدام از مدل­ های آسیب­ پذیر در جدول زیر آمده است:
 

وقتی صحبت از #‫امنیت_سایبری می‌شود، پیش‌بینی تهدیدات به جای واکنش مقابل آنها دارای اهمیت بالاتری است. در یک چشم انداز کلی، تهدیدات به طور مداوم در حال تغییر و تحول است، دیگر وصله کردن رخنه‌ها و یا انجام به‌روزرسانی‌ها در مقابل تهدیدات دیروز، دیگر کافی نیست. سال جدیدی پیش روی ماست و همراه آن تهدیدهای جدیدی، به ویژه در دنیای امنیت سایبری، در انتظار ماست. در این مطلب 5 پیش‌بینی در حوزه امنیت سایبری برای سال 2020، به منظور کمک در پیشگیری از تهدیدات آورده شده است که در ادامه بررسی خواهند شد.
 

1- #‫باج‌افزارها قرار است شب‌های بی‌خوابی بیشتری را به‌وجود آورند.

  • باج‌افزارها پیشرفته‌تر می‌شوند.
  • با وجود پیشرفته‌ترین راه‌حل‌های امنیتی برای ایمیل‌ها، باز هم این موارد دور زده خواهند شد.
  • آلودگی ناشی از باج‌افزارها دارای پیامدهای مخرب‌تر است.

آلودگی‌های باج‌افزار (Ransomware) اکنون با پیچیدگی بیشتر و به صورت خودکار، حتی در پیشرفته‌ترین راه‌حل‌های امنیتی ایمیل نیز قابل نفوذ هستند، خصوصاً وقتی صحبت از ایجاد تغییرات و استفاده از تروجان‌ها مطرح می‌شود. علاوه بر این، راه‌حل‌های امنیتی فعلی، حملات باج‌افزار را فقط چند ساعت پس از انتشار تشخیص می‌دهند، که اغلب طولانی‌تر از زمان کافی برای آسیب رساندن است.
برای نمونه می‌توان به Emotet اشاره کرد. یکی از عواملی که Emotet را بسیار موفق می‌کند این است که از لیست کوتاه مشخصی از اهداف استفاده می کند، بنابراین اقدامات برای کشف آن زمان بیشتری می‌برد. این حملات همچنین به طور مداوم در حال تغییر IOC هستند، بنابراین حتی هوشمندترین روش‌های مبتنی بر امضا، IDS و سایر راه‌حل‌های سنتی قادر به تشخیص به اندازه کافی سریع آن نیستند.
همانطور که می‌بینیم، تقریباً به طور مداوم و هر هفته این حملات اتفاق می‌افتند. مهاجمان یک پایگاه از نمونه‌های جدید ایجاد می‌کنند که شامل تکنیک‌های جدید مبهم‌سازی و دور زدن شناسایی‌ها است. آنها سپس نمونه‌ها بر اساس این تکنیک‌ها تولید کرده و در سطح وسیع توزیع می‌کنند. مراکز امنیتی تولید ضدبدافزار و ضدباج‌افزار، باید در حالی که مهاجمین پایگاه جدیدی را برای نمونه‌ها ایجاد می‌کنند، از آن‌ها جلو زده و روش‌هایی را به محصول خود اضافه کرده که قادر به شناسایی نمونه‌های جدید باشند.

2- حملات #‫فیشینگ نگرانی اصلی مدیران امنیتی خواهد بود.

  • ما همیشه می‌شنویم که تمام متخصصان امنیتی به دنبال راه‌حل‌هایی برای حل خطر رو به رشد حملات فیشینگ هستند.
  • یک سال پیش، بدافزارها بزرگترین تهدید برای مشاغل تلقی می‌شدند. با نزدیک شدن به سال 2020، حملات فیشینگ دغدغه‌ اصلی هستند.

امروزه، بیشتر سازمان‌هایی که به دنبال تقویت امنیت در سرویس‌های ایمیل خود هستند، نیاز به مسدود کردن حملات فیشینگ دارند. در آینده حملات فیشینگ پیشرفته‌تر می‌شوند و حتی متخصص‌ترین افراد نمی‌توانند تمامی موارد آن‌ها را تشخیص دهند. کیت‌های فیشینگ موجود در dark web، همراه با لیست مدارک معتبر برای حملات هدفمند، به معنای افزایش حجم حملات فیشینگ و پیشرفت روش‌های آنها هستند.
علاوه بر این، آثار حملات فیشینگ شدیدتر و مخرب‌تر شده است. نشت داده‌ها، کلاهبرداری مالی و سایر پیامدهای حمله فیشینگ می‌تواند عواقب ناگواری برای سازمان‌ها در هر اندازه، داشته باشد. بهتر است بدانیم، مطابق با آمار گزارش Verizon 2019 DBIR، حملات فیشینگ عامل شماره یک برای نشت اطلاعات است.
در واقع یک نیاز ضروری و لازم در این سال‌ها در حوزه سایبری، پیاده‌سازی سامانه‌هایی است که بتوانند این نوع حملات را به خصوص هنگامی که از طریق ایمیل ارسال می‌شوند، شناسایی و مسدود کنند.

3- اهمیت تشخیص سریع و فوری تهدیدات بلافاصله پس از رخ دادن

  • پس از رخ دادن یک تهدید، شمارش معکوس برای تکثیر گسترده آغاز می‌شود.
  • ساعت‌ها طول می‌کشد تا راه‌حل‌های امنیتی مبتنی بر داده‌، تهدیدات جدید را شناسایی کنند.
  • این بخش خطرناک‌ترین مرحله از حملات است.
  • سازمان‌ها کم کم تحمل خود را در مقابل این تأخیر، از دست می‌دهند.

سازمان‌ها و متخصصان امنیتی شروع به تصدیق این موضوع كرده‌اند که این تأخیرها در روند شناسایی تهدیدات جدید باعث به وجود آمدن تهدیداتی بالقوه شده‌اند و انتظار می‌رود كه آن را در سال 2020 به عنوان یك چالش اساسی قلمداد كنند.

4- پلتفرم‌های همکاری سازمانی به عنوان هدف‌های حمله محبوب‌تر می شوند.

  • بسترهای نرم‌افزاری مانند درایوهای ابری و پیام‌رسان‌ها به طور فزاینده‌ای توسط مهاجمین مورد توجه قرار می‌گیرند.
  • این پلتفرم‌های همکاری سازمانی، اغلب بلافاصله مورد اعتماد کاربران قرار می‌گیرند و مهاجمین در واقع از این مزیت استفاده می‌کنند.

استفاده از خدمات اشتراکی و ابری در حال انفجار است. کاربران بطور فزاینده از ابزارهایی مانند OneDrive مایکروسافت، Google Drive و غیره استفاده می‌‌کنند. اگرچه این استفاده روز افزون بسیار مفید است اما چالشی بی نظیر برای یک حرفه در حوزه‌ امنیت است.
این خدمات همواره تحت حمله مداوم قرار دارند و نوع حملات پیچیده‌تر، با روش‌های شناسایی بسیار سخت‌تر خواهند بود. همچنین هدف‌های حمله جدید ظاهر می‌شوند، این بدان معناست که خطرات و آسیب‌های احتمالی در این حوزه که می‌توانند ایجاد شوند، در حال رشد هستند.

5- مراکز دارای محصولاتی برای "شبیه سازی حمله و نشت اطلاعات" راه‌حل‌های خود را بر روی انواع و هدف‌های حمله مختلف گسترش می‌دهند.

  • به گفته مرکز گارتنر، اکثر تهدیدات هنوز از کانال ایمیل آغاز می‌شوند.
  • بررسی ایمیل شامل 94 درصد از شناسایی بدافزارها بوده است و باعث زیان بیش از 1.2 میلیارد دلار در سال 2018 شده است.
  • ابزارهای Breach and Attack Simulation (BAS) دفاع از شبکه را با شبیه‌سازی حمله سایبری آزمایش می‌کنند، اما BAS برای ایمیل هنوز تاثیر واقعی را ندارد.

از تولیدکنندگان BAS انتظار می‌رود که راه حل‌های خود را برای کل حملات و تهدیدات موجود گسترش دهند و راه‌حل‌های جامع‌تری برای مشتریان خود ارائه دهند. از آنجا که ایمیل یک هدف حمله‌ محبوب است، به احتمال زیاد آن‌ها به عنوان بخشی از راه حل‌های BAS پوشش ایمیل را آغاز می‌کنند.
پیش‌بینی‌های امنیت سایبری برای سال 2020: چالش‌های پیش‌رو
ابزارها و بسترهایی از جمله ایمیل، که استفاده زیادی داشته و به صورت گسترده کاربران با آن سر و کار دارند، از جهتی دیگر به معنای افزایش ریسک و آسیب‌پذیری برای تیم‌های امنیتی است. صرف‌نظر از اینکه این که تمهیدات امنیتی در این بستر انجام شده باشد، تهدیداتی مانند باج‌افزار، فیشینگ یا حملات هدفمند به پلتفرم‌های محبوب در سال جدید مورد توجه هستند و محافظت از سیستم‌ها و داده‌های کاربران و سازمان‌ها کاری است که متخصصان حوزه امنیت باید بر روی آن متمرکز شوند. از طرفی دیگر، در حالی که به صورت مداوم محصولاتی برای محافظت در برابر این تهدیدها ارائه می‌شوند، مهاجمان دائماً در حال بدست آوردن تکنیک‌هایی برای دور زدن راه‌حل‌های امنیتی هستند.
آنچه روشن است این است که راه‌حل‌ها و تکنیک‌هایی که برای برقراری امنیت در سال 2019 در حال استفاده است برای حفظ امنیت سازمان در سال 2020 به طور خودکار قابل اتکا نیست و هرگز نقش امنیت سایبری، در سازمان‌ها به اهمیت امروز نبوده است.

نکته مهم این است که ما یک سال هیجان انگیز را در پیش‌رو داریم: تهدیدهای جدید، چالش‌های جدید و دنیایی که به طور فزاینده‌ای در ارتباط است و برای حفظ امنیت نیاز به کمک ما دارد.

منبع:

https://www.helpnetsecurity.com/2019/12/09/cybersecurity-predictions-2020

اخیرا گونه‌ای جدیدی از #‫باج‌افزار های خانواده Vega موسوم به Zeppelin سازمان‌های فناوری و خدمت درمانی را در سراسر اروپا، ایالات متحده و کانادا هدف قرار داده است.
تمامی گونه‌های قبلی باج‌افزار Vega (موسوم به VegaLocker) کاربران روسیه را هدف قرار می‌داد درحالیکه این باج‌افزار جدید اگر موقعیت را یکی از کشورهای روسیه، اوکراین، قزاقستان و دیگر کشورهای پساشوروی تشخیص دهد فعالیت خود را متوقف می‌کند؛ این امر نشانگر این است که Zeppelin کار همان گروه که پشت پرده‌ی حملات قبلی بودند نیست.
به گزارش BlackBerry Cylance باج‌افزار Zeppelin یک باج‌افزار مبتنی بر زبان Delphi و کاملا تنظیم‌پذیر است؛ بصورتی‌که با توجه به نیاز مهاجم در هدف قرار دادن هر گروهی از قربانیان امکان فعالسازی و غیرفعالسازی ویژگی‌های متعددی را فراهم می‌کند.
Zeppelin با ویژگی‌های زیر می‌تواند در فایل‌های DLL یا EXE قرار گرفته و یا در loaderهای powershell پنهان شود:

• ردیابی آدرس‌های IP و موقعیت مکانی قربانیان (IP Logger)
• حفظ سطح دسترسی حتی پس از reboot شدن سیستم (StartUp)
• حذف کپی و پشتیبان‌های فایل‌ها، غیرفعالسازی بازیابی اطلاعات و غیره
• امکان توقف task‌های داخواه مهاجم (Task-Killer)
• قفل کردن فایل‌ها در فرآیند رمزنگاری (قفل‌سازی خودکار)
• تلاش برای اجرای باج‌افزار با سطح دسترسی بالا (UAC prompt)

این باج افزار تعداد تمامی فایل‌های موجود در همه‌ی درایورها و شبکه را محاسبه کرده و با الگوریتم استفاده شده در دیگر گونه‌های مشابه Vega، رمز می‌کند. همچنین برای پنهان ماندن ، از لایه‌های متعدد obfuscation (درهم ریختگی) شامل استفاده از کلیدهای تصادفی pseudo، رشته‌های رمز شده، استفاده از کدها با طول‌های گوناگون، تاخیر در اجرا برای دور زدن sandboxها و فریب مکانیسم‌های بازگشتی استفاده می‌کند.

باج افزار Zeppline برای اولین بار یک ماه پیش زمانی که بین تعدادی وب‌سایت توسط payloadهای powershell توزیع شده بود، کشف شد و این در حالی‌ست که به گفته‌ی محققان امنیتی حدود 30 درصد آنتی ویروس‌ها قادر به شناسایی این باج‌افزار نیستند.
برای آگاهی از جزییات فنی به آدرس زیر مراجعه کنید:

https://nationalcybersecurity.com/new-zeppelin-ransomware-targeting-tech-and-health-companies/

#‫آسیب‌پذیری‌ های متعددی در Adobe Acrobat Reader کشف شده است که بهره‌برداری از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب اجرای کد دلخواه شود. Adobe Acrobat Reader نرم‌افزاریست که کاربران را قادر می‌سازد که بتوانند اسناد PDF را مشاهده، ایجاد، دستکاری، چاپ و مدیریت کنند. بهره‌برداری از شدید‌ترین این آسیب‌پذیری‌ها می‌تواند منجر به کنترل سیستم آسیب‌پذیر ‌شود. بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده یا تغییر دهد و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. اگر دسترسی کاربری کمتری برای این برنامه در سیستم اعمال شود، بهره‌برداری از این آسیب‌پذیری‌ها می‌تواند تاثیر مخرب کمتری داشته باشد، مگر اینکه برنامه با دسترسی مدیریتی پیکربندی شود. در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها ارائه نشده است.
سیستم‌های تحت‌تأثیر این آسیب‌پذیری‌ها:
• (Acrobat DC (Continuous track برای ویندوز و مک نسخه 2019.012. 20056 و نسخه‌های قبل‌تر ار آن
• (Acrobat reader DC (Continuous track برای ویندوز و مک نسخه 2019.012. 20056 و نسخه‌های قبل‌تر ار آن
• (Acrobat 2017 (Classic 2017 Track برای مک و ویندوز نسخه‌ی2017.011. 30152 و نسخه‌های قبل‌تر ار آن
• Acrobat Reader 2017 (Classic 2017 Track) برای ویندوز و مک نسخه‌ی2017.011. 30152 و نسخه‌های قبل‌تر ار آن
• Acrobat DC (Classic 2015 Track) برای ویندوز و مک نسخه‌های 2015.006.30505 و نسخه‌های قبل‌تر ار آن
• ( Acrobat Reader DC (Classic 2015 Trackبرای ویندوز و مک نسخه‌های 2015.006.30505 و نسخه‌های قبل‌تر ار آن
جزئیات این آسیب‌پذیری‌ها به شرح زیر است:
• آسیب‌پذیری‌های چندگانه خواندن و نوشتن خارج از محدوده، که می‌تواند منجر به افشای اطلاعات شود.
• آسیب‌پذیری‌های چندگانه استفاده پس از آزاد‌سازی، که می‌تواند منجر به اجرای کد دلخواه شود.
• یک آسیب‌پذیری‌ سرریز بافر heap ، که می‌تواند منجر به اجرای کد دلخواه شود.
• یک آسیب‌پذیری‌ خطای بافر که می‌تواند منجر به اجرای کد دلخواه شود.
• آسیب‌پذیری‌های چندگانه اشاره‌‍‌گر غیرقابل اعتماد، که می‌تواند منجر به اجرای کد دلخواه شود.
• یک آسیب‌پذیری پیاده‌‌سازی باینری (افزایش دسترسی پیش فرض پوشه) که می‌تواند باعث افزایش دسترسی شود.
• یک آسیب‌پذیری‌ دور زدن امنیتی، که می‌تواند منجر به اجرای کد دلخواه شود.
توصیه می‌شود که اقدامات زیر انجام شود:
• به کاربران Adobe به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح مجوز پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

منبع:

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-adobe-acrobat-and-reader-could-allo…
adobe:
https://helpx.adobe.com/security/products/acrobat/apsb19-55.html