شواهد نشان می‌دهد که از ابتدای سال جاری میلادی #‫بات‌_نتی با نام Hide ‘N Seekبا هدف آلوده‌سازی دستگاه‌های اینترنت اشیاء شایع شده است. این بات‌نت که برای انتشار خود رفتاری کرم‌گونه دارد، از آسیب‌پذیری CVE-2016-10401 و چندین آسیب‌پذیری دیگر برای انتشار کد بدخواه خود سوء استفاده می‌کند.
این بات‌نت پس از Hajime دومین بات‌نت است که برای ارتباطات خود از شیوه p2pاستفاده می‌کند. مقابله با بات‌نت‌هایی که از p2pبرای ارتباطات خود استفاده می‌کنند دشوار است و به همین دلیل HNSدر ماه‌های اخیر به طور مداوم در حال به‌روز رسانی بوده است. برخی از تغییراتی که در این به‌روز رسانی‌ها مشاهده شده است عبارتند از:

• افزودن اکسپلویت‌هایی برای دستگاه‌های وب‌کَم AVTECH، روترهای Linksysسیسکو، وب سرور JAWS/1.0و پایگاه داده‌های Apache CouchDBو OrientDB.
• آدرس گره‌های p2p هاردکُد شده به 171 مورد افزایش یافته است.
• افزودن برنامه cpuminerبرای کاوش پول دیجیتال
• با پشتیبانی از سرورهای پایگاه داده‌ای OrientDBو CouchDB، HNSبات‌نتی نه تنها برای اینترنت اشیاء بلکه بات‌نتی چندسکویی به شمار می‌رود.

این بات‌نت برای انتشار در شبکه، با استفاده از کدی مشابه آنچه در بات‌نت mirai استفاده شده پورت‌های TCP شامل (HTTP Web Service)80، (HTTP Web Service) 8080، (OrientDB)2480، (CouchDB) 5984و (Telnet)23 را در شبکه اسکن می‌کند و سپس با سوءاستفاده از اکسپلویت‌های زیر خود را بر روی پورت‌های مذکور مستقر می‌کند:

• TPLink-Routers RCE
• Netgear RCE
• new: AVTECH RCE
• new: CISCO Linksys Router RCE
• new: JAW/1.0 RCE
• new: OrientDB RCE
• new: CouchDB RCE

هر گره HNS با سایر همتاهای p2pخود با استفاده از سه روش زیر ارتباط برقرار می‌کند:

• 171 آدرس هارد کد شده در برنامه (لیست این 171 آدرس در https://blog.netlab.360.com/file/hns_hardcoded_peer_list.txtموجود است. )
• آرگومان خط فرمان
• سایر همتاهای p2p

برای مقابله و جلوگیری از آلودگی به این بات‌نت، به روز رسانی سریع دستگاه‌های اینترنت اشیاء و بستن پورت‌های غیر مود نیاز، تغییر پورت‌های پیش‌فرض و نیز تغییر رمزعبورهای پیش‌فرض ضروری به نظر می‌رسد.

کمپانی #‫ادوبی به تازگی به روز رسانی امنیتی برای 112 آسیب پذیری مختلف در محصولات خود ارائه کرده است که اکثر این آسیب پذیری ها دارای درجه اهمیت بالا بوده و Exploitهایی برای برخی از آنها منتشر شده است. این به روز رسانی ها برای محصولات Adobe Flash Player، Adobe Experience Manager، Adobe Connect، Adobe Acrobatو Reader می باشد.
در میان این به روز رسانی ها، دو به روز رسانی مهم برای آسیب پذیری های موجود در Adobe Flash Playerمنتشر شده است که این به روز رسانی ها، برای نسخه های Desktopsو Browsersها می باشد. یکی از این آسیب پذیری ها که با شماره CVE-2018-5007منتشر شده است، به صورت کامل Exploit شده و این اجازه را به نفوذگر می دهد که کدهای مخرب را بر روی کاربر دارای نسخه ی آسیب پذیر Adobe Flash Playerاجرا کند که این آسیب پذیری توسط شخصی به نام willJ از مرکز Tencent PC Manager به ادوبی گزارش داده شده بود که این مرکز هم با بخش کشف آسیب پذیری های روز صفرم کماپنی TrendMicroبا نام Trend Micro's Zero Dayهمکاری می کند.
در مورد آسیب پذیری مهم دوم بر روی Adobe Flash Player توضیحات جامعی از جانب ادوبی منتشر نشده است، اما ادوبی اعلام کرده که این آسیب پذیری مهم باعث می شود که نفوذگر اطلاعات حساسی از قربانی را بدست بیاورد. نسخه آسیب پذیر و لیست پلتفورم های آسیب پذیر را در زیر مشاهده می فرمایید:

Affected Version:

• Flash Player v30.0.0.113 and earlier versions
• Affected Platforms and Applications:
• Windows
• macOS
• Linux
• Chrome OS
• Google Chrome
• Microsoft IE 11
• Microsoft Edge

کمپانی ادوبی به روز رسانی هایی را برای حدود 104 آسیب پذیری در محصولات Adobe Acrobatو Readerمنتشر کرده است که حدود 51 آسیب پذیری مهم را شامل می شود و بقیه آسیب پذیری ها دارای درجه اهمیت کمتری هستند. بسیاری از این آسیب پذیری ها از نوع heap overflow، use-after-free، out-of-bounds write، type confusion، untrusted pointer dereferenceو buffer errorsبوده است که این اجازه را به نفوذگر می دهد تا کدهای مخرب خود را بر روی سیستم قربانی اجرا کند. این آسیب پذیری ها توسط مراکز تحقیقاتی Palo Alto Networks، Trend Micro Zero Day Initiative، Tencent، Qihoo 360، CheckPoint، Cisco Talos، Kaspersky Lab، Xuanwu Labو Vulcan Teamکشف شده اند. لیست نسخه های آسیب پذیر و پلتفورم های مربوطه را در ادامه برای این آسیب پذیری ها مشاهده می فرمایید:

Affected Version

• Continuous Track—2018.011.20040 and earlier versions
• Classic 2017 Track—2017.011.30080 and earlier versions
• Classic 2015 Track—2015.006.30418 and earlier versions

Affected Platforms

• Microsoft Windows
• Apple macOS

کمپانی ادوبی سه به روز رسانی برای آسیب پذیری از نوع SSRF در محصول Experience Manager خود منتشر کرده است که باعث لو رفتن اطلاعات مهم کاربران می شده است. دو آسیب پذیری با شماره های CVE-2018-5006 و CVE-2018-12809 منتشر شده که این آسیب پذیری ها توسط یک محقق روسی با نام Mikhail Egorov کشف شده است. این آسیب پذیری ها برای محصول Adobe Experience Managerدر تمامی پلتفورم ها می باشد که شماره نسخه های آسیب پذیر را در ادامه مشاهده می فرمایید:

AEM v6.4, 6.3, 6.2, 6.1 and 6.0

همچنین کمپانی ادوبی برای محصول Adobe Connect خود سه آسیب پذیری را رفع کرده است که دو آسیب پذیری دارای درجه اهمیت بالا بوده و به گفته کمپانی ادوبی، نفوذگران توسط این دو آسیب پذیری توانایی دور زدن authenticationها را داشته و می توانستند اطلاعات حساس کاربران را به سرقت ببرند. شایان ذکر است که ادوبی اعلام کرده آسیب پذیری سوم از نوع privilege escalation بوده است. نسخه آسیب پذیر، Adobe Connect v9.7.5 بوده و بر روی تمامی پلتفورم ها این آسیب پذیری ها وجود دارد.

در روز 18 جولای سال 2018، کمپانی #‫سیسکو 25 به روز رسانی مهم برای رفع آسیب پذیری های موجود در برخی محصولات خود را منتشر کرد که مهمترین آن، رفع آسیب پذیری گذرواژه پیش فرض برای کاربر rootدر Cisco Policy Suiteبود که دارای درجه بندی Critical بوده و این آسیب پذیری توسط شماره شناسایی CVE-2018-0375 مشخص شده است.
CPS یکی از محصولات نرم افزاری کمپانی سیسکو می باشد که در 3 نسخه Mobile، WiFi و BNG آماده و در اختیار ISPها قرار داده می شود که توسط این ابزار، مدیران شبکه های بزرگ می توانند تمهیدات مدیریتی خود را برای پهنای باند شبکه و یا اینترنت بر روی کاربران یا مشتری های خود اعمال کنند. شایان ذکر است که این نرم افزار دارای یک رویکرد مونیتورینگ افراد در شبکه برای Trackکردن آنها، مشاهده ترافیک مورد استفاده آنها و اعمال قوانین خاص بر روی کاربران هم می باشد.
وجود گذرواژه پیش فرض بر روی کاربر rootاین نرم افزار، این اجازه را به نفوذگران می دهد که بتوانند از راه دور به این برنامه قدرتمند دسترسی با سطح root داشته باشند و دستورات مخرب خود را بر روی آن اعمال کنند. به همین علت، این آسیب پذیری دارای نمره 8/9 از 10 در معیار CVSSv3 می باشد. سیسکو نسخه به روز رسانی شده 18.2.0 این برنامه را منتشر کرده و اعلام نموده است که تمامی نسخه های قبل از این، دارای آسیب پذیری فوق هستند.
در طول 5 ماه گذشته، سیسکو 5 آسیب پذیری مشابه را رفع کرده است که از مهمترین آنها می توان وجود درب پشتی در محصولات Prime Collaboration Provisioning و Digital Network Architecture Center وIOS XE operating system را نام برد.
در کنار آسیب پذیری فوق، سیسکو 24 آسیب پذیری دیگر با شماره شناسایی های CVE-2018-0374و CVE-2018-0376 و CVE-2018-0377 را رفع کرده است که بسیاری از آنها بر روی نرم افزارهای خانواده Cisco Policy Suiteبوده که این نوع از آسیب پذیری ها همچون آسیب پذیری فوق، به نفوذگران اجازه ی دسترسی های خاص از راه دور را ممکن می سازد.

طبق گزارش منتشر شده توسط #‫شرکت_Oracle، این شرکت تعداد 334 آسیب­ پذیری امنیتی را شناسایی کرده است. شرکت Oracle بیان کرده است در تاریخ 17 جولای (23/04/97) وصله امنیتی برای همه این آسیب پذیری ها منتشر خواهد شد.در فهرست این آسیب ­پذیری­ ها، مواردی با درجه آسیب پذیری 9.8 از نظر cvss3 نیز وجود دارد.این وصله­ ها برای 100محصول شرکت Oracle ارائه خواهد شد و لازم است افراد مسئول و ارائه دهندگان سرویس­هایی که از محصولات این شرکت استفاده می­کنند، نسبت به بروزرسانی محصولات خود اقدام نمایند.یکی از وصله­ ها، مرتبط با محصول پایگاه داده‌ی این شرکت است که تعداد سه آسیب پذیری بحرانی را برطرف می­کند. این آسیب پذیری ها، برای حمله کننده امکان دسترسی و اجرای کد از راه دور را فراهم می کنند. مهم­ترین محصولات آسیب­ پذیرشامل MySQL، JAVA SE، Siebel CRM و محصولات مجازی سازی شرکت Oracle می­ باشد.

دریافت گزارش

محققان اخیراً یک تروجان بانکداری جدید کشف کردند که نسخه‌های 7 و 8 اندروید را هدف قرار می‌دهد و از کارگزار فرمان و کنترل (C & C) مشابه با #‫تروجان‌های_LokiBotو Threat Fabricاستفاده می‌کند.

طبق نظریه‌ی محققان، این تروجان جدید که MysteryBot نامیده می‌شود، یا یک به‌روزرسانی از تروجان LokiBot و یا یک خانواده‌ی جدید بدافزار از همان فعالان تهدید است. این تهدید جدید سایبری، چندین تفاوت نسبت به LokiBot دارد. این تفاوت‌ها شامل نام، دستورات بهبودیافته و ارتباطات شبکه‌ی اصلاح‌شده است.

این بدافزار جدید علاوه‌بر ویژگی‌های عمومی تروجان‌های اندرویدی، دارای قابلیت‌های تماس با شماره‌ی تلفن داده‌شده، دریافت لیست اطلاعات تماس، تماس‌های انتقال‌یافته، کپی تمام پیامک‌ها، وارد‌کردن ضربات کلید، رمزگذاری فایل‌ها در ذخیره‌سازی خارجی، حذف همه‌ی مخاطبین، ارسال پیامک به تمام مخاطبین، تغییر برنامه‌ی پیش‌فرض پیامک، تماس با یک شماره‌ی USSD، حذف تمام پیامک‌ها و ارسال پیامک است.

علاوه‌بر این قابلیت‌ها، این تروجان می‌تواند صفحات ماحیگری را در بالای برنامه‌های مشروع قرار دهد و برای انجام این‌کار، از یک تکنولوژی جدید به‌منظور اطمینان از موفقیت در دستگاه‌های اندروید 7 و 8 استفاده می‌کند.

محدودیت‌های امنیتی پیشرفته‌ی لینوکس (SELinux) و سایر کنترل‌های امنیتی در نسخه‌های جدید اندروید، به معنای جلوگیری از نمایش بدافزارها بر روی برنامه‌های مشروع است. تکنیک جدیدی که MysteryBot از آن استفاده می‌کند، مجوز "Android PACKAGE_USAGE_STATS" (مجوز استفاده‌ی مجدد) را برای ازبین‌بردن محدودیت‌ها دستکاری می‌کند و همچنین از "Accessibility Service" برای دریافت مجوزها سوءاستفاده می‌کند.

این بدافزار، خود را به‌عنوان یک برنامه‌ی Adobe Flash Playerتحمیل می‌کند و از قربانی می‌خواهد تا «مجوز دسترسی استفاده» که قابلیت‌های نامطلوبی را فراهم می‌کند، به آن اعطا کند. پس از آن تلاش می‌کند تا نام بسته‌های برنامه‌ها را در پیش‌زمینه نظارت کند. MysteryBot با استفاده از هم‌پوشانی، بیش از 100 برنامه از جمله بانکداری تلفن همراه و برنامه‌های اجتماعی را هدف قرار می‌دهد.

MysteryBot همچنین از روش جدیدی برای واردکردن ضربات کلید استفاده می‌کند. این بدافزار، محل کلیدهای روی صفحه را محاسبه می‌کند (درنظر می‌گیرد که هر کلید، دارای یک موقعیت مکانی روی صفحه است) و مختصات دیگری را بر روی هر یک از آن‌ها قرار می‌دهد (عرض و ارتفاع صفر پیکسل) که به او اجازه می‌دهد تا کلید فشار داده‌شده را ثبت کند.

به‌نظر می‌رسد که کد این بدافزار همچنان در حال توسعه است، زیرا هنوز قابلیت ارسال ضربات کلید واردشده به کارگزار C & Cرا ندارد.

MysteryBot همچنین شامل قابلیت‌های قفل‌کننده/باج‌افزاری است که توسط داشبورد جداگانه‌ای از این تروجان مدیریت می‌شوند. این تروجان می‌تواند هر فایل را به‌طور جداگانه در پوشه‌ی ذخیره‌سازی خارجی رمزگذاری کند و سپس فایل های اصلی را حذف کند.

این بدافزار هر فایل را در بایگانی ZIPمحافظت‌شده با گذرواژه قرار می‌دهد، اما از گذرواژه‌ی مشابه برای همه‌ی بایگانی‌ها استفاده می‌کند (این کلید در طول زمان اجرا تولید می‌شود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتگو را نمایش می‌دهد که ادعا می‌کند قربانی، موارد خطرناکی را مشاهده کرده است و از او می‌خواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.

محققان امنیتی دریافتند که گذرواژه‌ی این بدافزار فقط 8 کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده می‌کند. علاوه‌براین، شناسه‌ی اختصاص داده‌شده به هر قربانی، تنها می‌تواند یک عدد بین 0 و 9999 باشد؛ به این معنی که همان شناسه می‌تواند در واقع به چندین قربانی اختصاص داده شود.

متخصصان فن‌آوری اطلاعات هنگام تجزیه و تحلیل ویژگی‌های باج‌افزاری MysteryBot، چندین خطا را شناسایی کردند. از آنجایی که گذرواژه‌ی این بدافزار فقط 8 کاراکتر طول دارد به‌راحتی می‌توان آن‌را با حمله‌ی جستجوی فراگیر به‌دست آورد. همچنین، این احتمال وجود دارد که شناسه‌ی منحصربه‌فرد داده‌شده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد. بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.

به‌نظر می‌رسد Mysterybotیک گام جدید در توسعه‌ی نرم‌افزارهای مخرب بانکداری برای اندروید باشد که هم ویژگی‌های مخرب Lokibotو هم ویژگی‌های باج‌افزاری و دریافت ضربات کلید را دارد.

#‫مایکروسافت در به‌روزرسانی امنیتی ماه ژوئن سال 2018 خود در مجموع 51 آسیب‌پذیری را در محصولاتی همچون سیستم‌عامل‌های ویندوز، مرورگرهای Microsoft Edgeو Internet Explorerو مجموعه محصولات Microsoft Office برطرف ساخته است.

شایان ذکر است که چرخه‌ی امنیتی ماه جاری نسبتاً خوب بوده است، زیرا هیچ آسیب‌پذیری روز صفرمی کشف نشده است؛ اما این بدان معنی نیست که وصله‌کردن سیستم‌ها به تأخیر بیفتد.

مهم‌تر از همه، مایکروسافت در این به‌روزرسانی مقابله‌ی بیشتری در برابر نسخه‌ی 4 آسیب‌پذیری Spectre ارایه داده است وحال انتظار می‌رود Intelنیز به‌روزرسانی‌های ریزکد جدیدی را برای رفع این نقص ارسال نماید.

مایکروسافت در این وصله، آسیب‌پذیری CVE-2018-8225را برطرف می‌سازد. این آسیب‌پذیری یک نقص اجرای کد راه دور DNSAPI ویندوز است که به مهاجم اجازه می‌دهد کد دلخواه را در متن حساب سیستمی محلی اجرا نماید. برای سوءاستفاده از این آسیب‌پذیری، مهاجم از کارگزار DNS مخربی برای ارسال پاسخ‌های DNS خراب به هدف استفاده خواهد کرد. مایکروسافت ادعا می‌کند احتمال سوءاستفاده از این آسیب‌پذیری کم است و در حال حاضر هیچ سوءاستفاده‌ی شناخته‌‌شده‌ای وجود ندارد. تمامی نسخه‌های ویندوز، از جمله Windows 10تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند.

در به‌روزرسانی امنیتی ماه جاری، مایکروسافت آسیب‌پذیری بحرانی CVE-2018-8231که اجازه اجرای کد راه دور را می‌دهد نیز رفع کرده است. آسیب‌پذیری اجرای کد راه دور زمانی وجود دارد که پشته‌ی پروتکل HTTP(HTTP.sys) اشیا را در حافظه به‌درستی به‌کار نگیرد. مهاجمی که از این آسیب‌پذیری سوءاستفاده کرده باشد می‌تواند کد دلخواه را اجرا و کنترل سیستم هدف را در دست گیرد. مایکروسافت ادعا می‌کند، احتمال سوءاستفاده از این آسیب‌پذیری نیز اندک است. برای سوءاستفاده از این آسیب‌پذیری لازم است مهاجم یک فایل ساختگی را به یک کارگزار HTTP.sys ارسال کند. این به‌روزرسانی جدید، روشی که پشته‌ی پروتکل HTTPاشیا را در حافظه به‌کار می‌گیرد تصحیح کرده است. تنها Windows 10تحت‌تأثیر این آسیب‌پذیری قرار گرفته است و به کاربران توصیه می‌شود هر چه سریعتر این آسیب‌پذیری را وصله کنند.

تمامی به‌روزرسانی‌های ماه ژوئن حال از طریق Windows Update در دسترس هستند و در حال حاضر هیچ اشکال شناخته‌شده‌ای وجود ندارد.

یک تیم از محققان امنیتی، تغییر جدیدی در روش حمله‌ی #Rowhammer کشف کردند که به مهاجم اجازه می‌دهد تا یک سوءاستفاده را برای کنترل گوشی‌های هوشمند و تبلت‌های اندروید ایجاد کند. این نقص (CVE-2018-944)، بر دستگاه‌های اندرویدی که در سال 2012 تولید شده‌اند، تأثیر می‌گذارد.

به گفته‌ی محققان، نقص Rowhammerطی دو سال گذشته، از یک خطای اختلال DRAMکه به‌سختی قابل سوءاستفاده بود، به یک بردار حمله‌ی قدرتمند تبدیل شده است. این روش حمله‌ی جدید که RAMpageنامیده می‌شود، مجموعه‌ای از حملات Rowhammerمبتنی بر DMA در برابر آخرین نسخه از سیستم‌عامل اندروید است که شامل یک سوء‌استفاده‌ی ریشه و یک مجموعه‌ از سناریوهای سوءاستفاده‌ی برنامه به برنامه است که تمام سیستم‌های دفاعی را دور می‌زند.

DMA‌ به یک دستگاه ورودی/خروجی (I/O) اجازه می‌دهد تا اطلاعات را به‌طور مستقیم از حافظه‌ی اصلی دریافت یا به آن ارسال کند و CPUرا برای سرعت‌بخشیدن به عملیات حافظه دور بزند. این فرایند، توسط یک تراشه‌ که به‌عنوان یک کنترل‌کننده‌ی DMA(DMAC) شناخته شده است، مدیریت می‌شود.

نقص اصلیRowhammer که در سال 2015 کشف شد، روشی برای بارگیری ردیف سلول‌های حافظه در دستگاه‌های DRAMبرای تغییر حالت سلول‌ها از یک حالت به حالت دیگر است. این نوع تغییر بیت، به‌عنوان تداخل الکتریکی یا نشت ترانزیستور نیز توصیف شده است. اولین‌بار، پروژه‌ی Zeroاز گوگل، آسیب‌پذیری Rowhammerرا کشف کرد و نشان داد که چگونه یک برنامه‌ی مخرب می‌تواند این بیت‌ها را در سلول‌ها تولید کند و امتیازات سطح هسته را در لپ‌تاپ‌ها و رایانه‌های شخصی به‌دست آورد.

در سال 2016، محققان متوجه شدند که چگونه روش حمله‌ی Rowhammerمی‌تواند به دستگاه‌های اندروید اعمال شود و دسترسی ریشه به میلیون‌ها گوشی اندروید ازجمله Nexus، سامسونگ، ال‌جی و موتورولا را به‌دست آورد.

این نوع حمله‌، کمی از حمله‌ی Rowhammerکه متکی به تکنیک Flip Feng Shuiاست، متفاوت است. یک روش سوءاستفاده‌ی Flip Feng Shui، اندازه‌ی بخشی از حافظه‌ که در آن، حافظه‌ی اختصاص داده شده به‌صورت پویا (heap) مستقر است را به‌دقت انتخاب می‌کند. سپس حمله‌ی Rowhammer، آن بخشی از حافظه که می‌تواند حالت بیت‌های حافظه‌ی مجاور را تغییر دهد، هدف قرار می‌دهد و شرایط لازم برای دستکاری حافظه را ایجاد می‌کند. طبق گفته‌ی محققان، این تغییرات بیتی می‌تواند به سادگی تغییردادن 0 به1 یا 1 به 0 باشد.

آخرین نسخه‌ی Rowhammer(RAMpage)، به روش‌ مشابه عمل می‌کند. RAMpage، یک سیستم مدیریت جهانی حافظه‌ی عمومی اندروید را که "ION" نامیده می‌شود و در سال 2011 به‌عنوان بخشی از اندروید 4.0 توسط گوگل معرفی شده است، هدف قرار می‌دهد. این بخش، بخشی از زیرسیستم مورد استفاده برای مدیریت و تخصیص حافظه است. حمله‌ی RAMpage، شامل یک درخواست نوشتن و بازخوانی در حافظه‌ی دستگاه است (تا زمانی که یک بیت را در ردیف مجاور تغییر دهد) تا راهی برای دستکاری دستگاه باز ‌کند. پیش‌نیاز یک حمله‌ی احتمالی این است که کاربر، یک برنامه‌ی غیرمجاز را که قادر به انجام حمله است، نصب کند.

خوشبختانه، محققان ابزاری به‌نام "GuardION" منتشر کردند که یک کاهش نرم‌افزاری بر علیه حملات RAMpageاست. به گفته‌ی آنان، این ابزار با اجرای دقیق یک سیاست انزوای جدید، مانع از حمله‌ی مهاجم برای تغییر ساختار‌ داده‌های حیاتی می‌شود. GuardIONاز دستگاه در برابر همه‌ی بردارهای حمله‌ی شناخته‌شده‌ی Rowhammerمحافظت می‌کند و هیچ تکنیک موجودی نمی‌تواند آن‌را از دور بزند. اگرچه GuardIONهنوز در سیستم‌عامل مستقر نشده است، اما تلاش‌های زیادی برای تحقق این امر وجود دارد. کد منبع GuardIONبه‌صورت وصله، از نوع وصله‌ی هسته در دسترس است. در حال حاضر این وصله به‌طور گسترده در دسترس نیست و فقط برای Google Pixelکه اندروید 7.1.1 را اجرا می‌کند، مورد آزمایش قرار گرفته است.

همانطور که گفته شد، این حمله تمامی دستگاه‌های اندرویدی که در سال 2012 تولید شده‌اند را هدف قرار می‌دهد، اما در صورتی که کاربران، برنامه‌های کاربردی را از منابع مورد اعتماد مانند Google Playدانلود کنند، می‌توانند از دستگاه‌های خود در برابر این حمله محافظت نمایند.

مشاهدات اخیر در فضای سایبری کشور مخصوصاً در پیام‌رسان تلگرام حاکی از آن است که یک باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت با پیامی به شرح زیر در حال انتشار است:

دانلود مطلب

#‫باج_افزار #Crypton نسخه جدیدی از خود را در ماه مه سال جاری میلادی منتشر کرده که از طریق سرویس‌های آسیب‌پذیر remote desktopخود را به سیستم قربانیان می‌رساند. گزارش‌های ناشی از آلودگی کاربران ایرانی به این باج‌افزار نشان از لزوم آگاهی رسانی و پیشگیری در برابر این با‌ج‌افزار دارد.

بررسی‌های اولیه نشان داد که این بدافزار برای دشوار کردن تحلیل، نام کتابخانه‌ها، توابع و رشته‌های مورد استفاده را مبهم کرده است.

دریافت متن کامل خبر

تلگرام به خاطر امنیت کافی و امکانات زیادی که در اختیار توسعه‌دهندگان قرار می‌دهد، مورد توجه توسعه‌دهندگان و درنتیجه هکرها نیز هست. اکنون کارشناسان شرکت ESETپرده از سومین تروجان کنترل از راه دور اندرویدی برداشته‌اند که با استفاده از یک ربات تلگرامی کنترل می‌شود. این تروجان تحت نام برنامه‌هایی فریبنده روی دستگاه کاربر نصب شده و کنترل کامل دستگاه را به دست هکرها می‌سپارد.

محققان شرکت امنیتی ESETیک خانواده جدید از تروجان‌های کنترل از راه دور (RAT) اندروید را کشف نموده‌اند که از پروتکل تلگرام برای کنترل و فرمان و استخراج داده سوء استفاده می‌نماید.

در ابتدا کارشناسان بر این باور بوده‌اند که فعالیت‌های جدیدی که مشاهده نموده‌اند نتیجه فعالیت دو تروجان کنترل از راه دور IRRATو TeleRATاست که قبلاً شناسایی شده بوده‌اند. این دو تروجان نیز از پروتکل تلگرام استفاده می‌نمایند. اما پس از بررسی‌های دقیق‌تر، کارشناسان به این نتیجه رسیدند که با یک خانواده جدید بدافزار روبرو هستند که لااقل از آگوست سال 2017 در حال فعالیت است. در ماه مارس 2018 کد منبع این بدافزار توسط کانال‌های تلگرامی هکرها منتشر شد و در نتیجه هزاران نسخه از این بدافزار اکنون به صورت موازی در حال فعالیت است.

در این گزارش، یکی از این توزیع‌ها که با بقیه متفاوت است مورد بررسی قرار گرفته است. جدای از اینکه کد منبع این توزیع به صورت رایگان وجود دارد، روی کانال‌های تلگرامی به صورت فروشی تحت عنوان HeroRatقرار دارد. این بدافزار با سه طرح و قیمت مختلف به همراه ویدیو‌های راهنما ارایه می‌شود. معلوم نیست که کدامیک از این نسخه‌ها از کدی که منتشر شده ساخته شده و یا اگر این نسخه اصلی بدافزار است کد کدامیک از نسخه‌ها منتشر شده است.

مهاجمین با استفاده از نام برنامه‌های مختلف کاربران را ترغیب می‌نمایند که این بدافزار را نصب نمایند (برنامه‌هایی که معمولاً از طریق شبکه‌های اجتماعی و یا بازار‌های ناامن در اختیار کاربران قرار می‌گیرد). این بدافزار در ایران به صورت برنامه‌هایی برای استخراج بیت‌کوین، اتصال رایگان اینترنت و اضافه کردن فالوور در شبکه‌های اجتماعی دیده شده است. هیچ‌کدام از این بدافزار‌ها در گوگل‌پلی مشاهده نشده‌اند.

این بدافزار روی همه نسخه‌های اندروید اجرا می‌شود. اما بدافزار برای اجرای درست نیاز به اجازه‌هایی دارد که از کاربر می‌گیرد. در این مرحله معمولاً با ترفند‌های مهندسی اجتماعی این اجازه‌ها از کاربر گرفته می‌شود.

پس از نصب بدافزار و اجرای آن روی دستگاه قربانی، یک پیام به نمایش در آمده و اعلام می‌کند که این برنامه امکان اجرا روی دستگاه را نداشته و بنابراین حذف خواهد شد. در نسخه‌های بررسی شده یک پیام به زبان فارسی یا انگلیسی، بسته به زبان پیش‌فرض دستگاه، به کاربر نشان داده می‌شود.

پس از اینکه به نظر می‌رسد فرایند حذف برنامه تمام شده است، آیکون برنامه هم حذف می‌شود؛ اما مهاجم همچنان کنترل کامل روی دستگاه قربانی دارد.

با ایجاد دسترسی روی دستگاه قربانی، مهاجم با استفاده از بات تلگرام، می‌تواند کنترل دستگاه را به دست گیرد. هر دستگاه تسخیر شده توسط یک بات کنترل می‌شود که توسط مهاجم روی برنامه تلگرام ایجاد می‌شود.

بدافزار قابلیت‌های جاسوسی و استخراج داده زیاد و قدرت‌مندی دارد. سرقت لیست پیام‌ها و مخاطبین، ارسال و دریافت تماس و پیام کوتاه، ضبط صدا و تصویر صفحه نمایش، پیدا کردن محل تلفن همراه و کنترل تنظیمات دستگاه از قابلیت‌های این بدافزار است.

قابلیت‌های بدافزار HeroRatدر سه سطح دسته‌بندی شده و برای فروش ارایه شده است. سطح برنزی، نقره‌ای و طلایی این بدافزار به ترتیب 25، 50 و 100 دلار قیمت دارند. همچنین کد منبع این بدافزار با قیمت 650 دلار به فروش می‌رسد.

قابلیت‌های بدافزار به صورت دکمه‌هایی در بات تلگرام قابل دسترسی هستند. مهاجم می‌تواند به سادگی و با استفاده از این دکمه‌ها، دستگاه قربانی را کنترل کند.

بر خلاف تروجان‌های قبلی که از پروتکل تلگرام سو استفاده می‌نمودند و با جاوا توسعه یافته بودند، این بدافزار با زبان C#و فریم‌ورک Xamarinکه یک ابزار کم کاربرد برای توسعه برنامه‌های اندرویدی است توسعه یافته است.

نحوه استفاده بدافزار از پروتکل تلگرام با زبان توسعه بدافزار وفق داده شده و این بدافزار از کتابخانه Telesharpبرای ایجاد بات در زبان C#استفاده می‌نماید. همچنین علاوه بر ارتباط برای دستور به بدافزار، برای استخراج اطلاعات نیز از پروتکل تلگرام استفاده می‌شود.

با توجه به اینکه کد منبع این بدافزار به صورت رایگان در دسترس قرار دارد، امکان دارد با نام‌های مختلفی توزیع شده و دستگاه‌های زیادی را آلوده نماید. این تنوع کار را برای تشخیص بدافزار سخت می‌کند.

برای جلوگیری از آلودگی توسط این بدافزار و بدافزار‌های مشابه، توصیه می‌شود تا هیچ گاه برنامه‌ای از منبعی غیر از بازار‌های رسمی برنامه‌های اندرویدی و ترجیحاً گوگل پلی نصب نشود. همچنین بایستی از نصب برنامه‌هایی با نام شرکت سازنده ناشناس خودداری نمود. در زمان نصب برنامه نیز باید به اجازه‌هایی که برنامه از کاربر می‌گیرد دقت نمود.