محققان امنیتی در Google Project Zero جزئیات مربوط به آسیب‌پذیری در مرورگر Edge را افشا کرده‌اند؛ زیرا مایکروسافت با توجه به سیاست افشاگری گوگل، در یک مهلت 90 روزه به آن پاسخ نداده است.
این نقص می‌تواند توسط مهاجمان مورد سوءاستفاده قرار گیرد تا از ACG (Arbitrary Code Guard) که در Update ویندوز 10 به همراه CIG (Code Integrity Guard) به Edge اضافه شدند، عبور کنند.
ACG و CIG ویژگی‌های امنیتی نسبتاً جدیدی هستند که مهاجمان را از بارگذاری و اجرای کد مخرب به حافظه‌ی یک رایانه از راه مرورگر Edge بازمی‌دارد.
شرکت مایکروسافت این دو ویژگی امنیتی جدید را در یک پست وبلاگ در سال گذشته این‌گونه توصیف کرد: «یک برنامه می‌تواند به‌طور مستقیم کدهای مخرب را از راه بارگذاری یک DLL / EXE مخرب از روی دیسک یا با تولید/تغییر کد پویا در حافظه، وارد حافظه کند. CIG از روش اول (بارگذاری یک DLL / EXE مخرب) با فعال‌کردن الزامات امضای DLL برای Microsoft Edge جلوگیری می‌کند. این کار تضمین می‌کند که فقط DLLهای امضا شده می‌توانند توسط یک فرایند بارگذاری شوند.
ایوان فراتریک، محقق Google Project Zero که این آسیب‌پذیری را کشف کرد، راهی برای دورزدن ویژگی ACG نشان داد. این کارشناس این مسئله را در 17 نوامبر به مایکروسافت گزارش داد و به این شرکت مهلت داد تا آن را رفع کند. این غول تکنولوژی در ابتدا برنامه‌ریزی کرد تا این آسیب‌پذیری را که به‌عنوان «شدت متوسط» طبقه‌بندی شده است، در به‌روزرسانی روز سه‌شنبه‌ی ماه فوریه وصله کند؛ اما اعلام کرد که اصلاحات لازم پیچیده‌تر از آن چیزی بود که پیش‌بینی شده بود و ارایه‌ی آن را به سیزدهم ماه مارس موکول کرد.
اگر یک فرایند آسیب‌پذیر باشد و بتواند پیش‌بینی کند که کدام فرآیندJIT (Just-In-Time) آدرس مجازی "VirtualAllocEx()" بعدی را فراخوانی خواهد کرد (یادآوری می‌شود که این کار نسبتاً قابل پیش‌بینی است)، آنگاه فرایند محتوا می‌تواند:
• حافظه‌ی مشترک نگاشت‌شده را با استفاده از "UnmapViewOfFile()" از نگاشت خارج کند.
• منطقه‌ی قابل‌نوشتنی در حافظه را در همان آدرسی که کارگزار JIT قصد نوشتن در آن را دارد، قرار دهد و یک بارگذاری قابل‌اجرا را در آنجا بنویسد.
• هنگامی‌که فرایند JIT، " VirtualAllocEx()" را فراخوانی می‌کند، حتی اگر حافظه قبلاً اختصاص داده شده باشد، این فراخوانی موفق خواهد بود و حفاظت از حافظه به حالت "PAGE_EXECUTE_READ" تنظیم می‌شود.
این اولین باری نیست که فراتریک به‌طور عمومی یک اشکال در Edge را افشا کرده است. در ماه فوریه‌ی سال 2017، وی جزئیات فنی مربوط به آسیب‌پذیری نوع شدیدی را منتشر کرد که به‌عنوان "CVE-2017-0037" ردیابی شده بود و می‌توانست توسط مهاجمان برای حمله به اینترنت اکسپلورر و مرورگر Edge و تحت شرایط خاص برای اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.

در پی هک بیش از ۱۴۰ وبسایت داخلی در روز جمعه مورخ ۱۳۹۶/۱۲/۰۴ مرکز ماهر وزارت ارتباطات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را از همان ابتدای لحظات حادثه مذکور با همکاری شرکت میزبان انجام داد.
سایت‌های مورد حمله همگی بر روی یک میزبان اشتراکی قرار داشته و دسترسی برقرار شده بصورت محدود و تنها شامل بارگزاری یک فایل متنی بوده است.

در پی انتشار وسیع ادعایی در یک فایل تصویری درخصوص سوءاستفاده اپلیکیشن پیام‌رسان ((بله)) از اطلاعات کاربران که صرفا با استناد به مجوزهای دسترسی اپلیکیشن اندرویدی صورت گرفته است، به اطلاع می‌رساند اینگونه اظهارنظر نسبت به امنیت اپلیکیشن‌ها فاقد هرگونه اعتبار است. مجوزهای برنامه‌های اندرویدی تابع قابلیت‌های پیاده‌سازی شده و تنظیمات برنامه نویس هستند. درواقع برای ارائه هر قابلیتی ممکن است نیاز به فعال سازی مجوز‌هایی در برنامه باشد. یک بررسی ساده در خصوص سایر اپلیکیشن‌های داخلی و خارجی نیز نشان خواهد داد هر یک دارای مجوزهای گوناگون هستند. همچنین لازم به توضیح است که در ویدئوی منتشر شده حتی تعریف و توضیح برخی از مجوزها نیز کاملا اشتباه است. بطور کلی اظهار نظر در خصوص امنیت هر اپلیکیشنی نیازمند بررسی در فضای فنی‌ و تخصصی است.

امروزه برای بسیاری از افراد پیام‌رسان به ابزار اصلی ارتباطات تبدیل شده است. قطعا نفوذگران نیز سعی در سوءاستفاده از این پیام‌رسان‌ها دارند تا از این طریق به دستگاه‌‌های افراد دسترسی یابند. اخیراً تروجان اندرویدی Skygofree، از پیام‌رسان‌های Facebook، Skype، Viberو WhatsAppجاسوسی می‌کرد، حال آلودگی چندمنظوره‌ی جدیدی توسط محققین کسپرسکی کشف شده است که رایانه‌های ثابت را هدف قرار می‌‌دهد و با شیوه‌‌ای بسیار هوشمندانه از طریق تلگرام توزیع می‌شود.
در بسیاری از زبان‌ها، مانند زبان عربی کلمات از راست به چپ نوشته می‌شوند. در استاندارد Unicodeنیز می‌توان جهت نمایش حروف را تغییر داد. کافی است تنها از یک نماد نامرئی خاص استفاده شود، پس از آن تمامی حروف به‌طور خودکار در جهت معکوس نمایش داده می‌شوند. هکرها از این قابلیت سوءاستفاده می‌کنند.
فرض می‌شود مجرمی فایل مخرب cute_kitten.jsرا ایجاد کرده است. این فایل یک فایل جاوااسکریپت با پسوند JS است که قابل اجرا است. نفوذگر می‌تواند نام آن را به صورت زیر تغییر دهد:

cute_kitten*U+202E*gnp.js.

در اینجا U + 202Eهمان کاراکتر Unicodeاست که جهت نمایش را تغییر میدهد. بنابراین نام این فایل در صفحه نمایش به صورت زیر است:

cute_kittensj.png

حال به نظر می‌رسد پسوند فایل PNG و یک فایل تصویری است، در حالیکه عملکردش همان تروجان جاوااسکریپت است (یکی از وظایف اصلی سازندگان تروجان‌ها این است که کاربر را متقاعد سازند خودش یک فایل مخرب را راه‌اندازی نماید. برای انجام این کار یک فایل مخرب را بی‌ضرر جلوه می‌دهند.).

استفاده از Unicode برای تغییر نام یک فایل اتفاق جدیدی نیست. از تقریباً ده سال پیش برای پوشاندن پیوست‌های مخرب در رایانامه‌ها و فایل‌های اینترنتی دانلودشده مورداستفاده ‌بوده است؛ اما اولین باری است که در تلگرام استفاده شده است و معلوم شد که کار هم می‌کند. این آسیب‌پذیری RLO(Right to Left Override) نام دارد.

آسیب‌پذیری RLO تنها در نسخه‌ی ویندوزی تلگرام شناسایی شده است و در برنامه‌های تلفن‌همراه وجود ندارد. محققان کسپرسکی نه تنها به وجود این آسیب‌پذیری پی‌برده‌اند بلکه متوجه شدند مجرمان از آن سوءاستفاده نیز کرده‌اند. قربانی فایل تصویر غیرحقیقی را دریافت و آن را باز می‌کند و رایانه‌‌اش آلوده می‌شود. سیستم‌عامل در زمان اجرا به کاربر هشدار می‌دهد فایل اجرایی از منبعی ناشناس است (در صورتی که در تنظیمات غیرفعال نشده باشد)؛ اما متأسفانه بسیاری از کاربران بدون توجه به این پیام هشدار  بر روی “Run”یا “Start” کلیک می‌کنند.
 

پس از اجرای فایل مخرب، بدافزار تصویری را به‌منظور جلب‌توجه کاربر نشان می‌دهد. پس از آن بسته به تنظیمات تروجان گزینه‌های مختلفی وجود دارد.
گزینه‌ی کاویدن مخفیانه (hidden mining) سرعت رایانه را بسیار پایین می‌آورد و باعث می‌شود رایانه تمام توان خود را صرف استخراج ارز مجازی برای مهاجمان ‌کند. تمرکز اصلی کلاهبرداران بر استخراج  Monero، Zcashو Fantomcoinاست. گزینه‌ی دوم نصب درب‌پشتی (backdoor) است که به مجرمان اجازه می‌دهد کنترل رایانه را از راه دور به‌دست گیرند و هر کاری می‌خواهند با آن بکنند (مانند نصب و حذف برنامه‌ها و جمع‌آوری اطلاعات شخصی). چنین آلودگی می‌تواند تا مدت‌ها در دستگاه مخفی بماند بدون آنکه کسی به حضور آن پی ببرد.
پس از کشف این آلودگی توسط محققان کسپرسکی و گزارش آن به توسعه‌دهندگان تلگرام، این مشکل را برطرف کردند، یعنی کلاهبرداران دیگر نمی‌توانند از این فریب در پیام‌رسان تلگرام استفاده کنند؛ اما این بدان معنی نیست که هیچ ‌آسیب‌پذیری دیگری در تلگرام یا دیگر پیام‌رسان‌های محبوب وجود ندارد. بنابراین برای حفاظت در برابر حملات جدید توصیه می‌شود قوانین ساده‌ی ایمنی در شبکه‌های اجتماعی، پیا‌م‌رسان‌های فوری یا هرگونه وسایل ارتباطی دیگری رعایت شود:

• عدم دانلود از منابع ناشناس
• توجه به هشدارهای سیستمی زمان بازکردن یک فایل
• نصب یک آنتی‌‌ویروس قابل اعتماد

محققان شرکت امنیت سایبری چینی به نام Netlab360 در گزارشی اعلام کرده‌اند که یک بدافزار اندرویدی جدید دستگاه‌های اندرویدی آسیب‌پذیر را با استخراج ارز رمزپایه آلوده می‌سازد.
طبق گزارش محققان این موسسه، کرم ADB.Miner هر نوع دستگاه اندرویدی شامل گوشی‌های هوشمند، تب‌لت‌ها و تلویزیون‌ها را جستجو می‌کند. این بدافزار دستگاه را به‌منظور استخراج ارز‌ مجازی Monero(XMR) می‌کاود و تمامی پول‌های به‌دست‌آمده را به یک کیف پول منتقل می‌سازد.
کرم ADB.Miner از 5 فوریه آلوده‌سازی دستگاه‌ها را شروع و تاکنون به 7000 دستگاه نفوذ کرده‌ است. سرعت پخش ADM.Minerزیاد است به‌طوری‌که تعداد دستگاه‌های جستجوشده هر 12 ساعت دو برابر می‌شود. همچنین عمده‌ی دستگاه‌های آلوده‌شده در چین و کره‌جنوبی بوده‌اند. این کرم با دسترسی به Android Debug Bridge(ADB)و از طریق پورت 5555 گسترش می‌یابد. این پورت در حالت عادی بسته است. محققان هنوز راجع به اینکه این پورت چگونه و چه زمانی باز شده است نظری ارایه نداده‌اند.
هنوز معلوم نیست دستگاه‌ها دقیقاً چگونه آلوده می‌شوند. محققان Netlabاز ارائه‌ی برخی جزئیات خودداری می‌کنند؛ اما سرنخی که راجع به این موضوع ارایه داده‌اند این است که به گفته‌ی آن‌ها برخی از کدهای آلوده‌سازی به Mirai شباهت دارند. Mirai بدافزاری است که مسیریاب‌ها و دیگر دستگاه‌های اینترنت اشیا را با حدس گذرواژه‌‌های پیش‌فرض مورد نفوذ قرار می­داد.

اوایل بهمن ماه ۱۳۹۶، نسخه ای از نرم افزار اندرویدی تلگرام از طریق پیام های تلگرامی ناخواسته در همین نرم افزار در مقیاس گسترده در کشور انتشار یافت. در پیام های دریافت شده، لینکی به یک وب سایت فیشینگ با دامنه‌ و ظاهری شبیه دامنه و وب سایت تلگرام قرار داده شده بود و کاربر را تشویق به دریافت و نصب نسخه ای جدید از نرم افزار با قابلیت های بیشتر می نمود. با توجه به انتشار وسیع این اپلیکیشن، بررسی فنی دقیقی بر روی آن صورت گرفت و جزییات فعالیت آن مشخص شد. برمبنای این گزارش می توان دریافت خوشبختانه این بدافزار اقدامات مخرب محدودی انجام داده و قابلیت های سرقت و یا از بین بردن اطلاعات در آن پیاده سازی نشده است. با این وجود گستردگی انتشار آن نشان می دهد کاربران تا چه حد در برابر حملات مشابه آسیب پذیر هستند و لازم است به هیچ عنوان از منابع غیر از بازارهای رسمی اپلیکیشن، نرم‌ افزاری دانلود نکنند. در این مستند نتایج فنی تحلیل صورت گرفته ارایه شده است.

دانلود کامل مطلب

پیرو گزارش منتشر شده از نتایج بررسی‌های فنی این‌ مرکز درخصوص حمله سایبری به وب سایت ها و پورتال های خبری کشور، نکات زیر را به اطلاع می‌رساند:

• ضعف امنیتی مورد سوءاستفاده قرار گرفته توسط مهاجم به این سایت ها در لایه کاربردی وب و سامانه مدیریت محتوا (CMS) بوده و هیچ‌گونه آسیب‌پذیری و نقص امنیتی در مراکز داده‌ی میزبان سایت‌های آسیب‌دیده مشاهده نشده است. همچنین مورد ذکر شده درخصوص عدم همکاری مرکز داده تبیان، ناشی از ضعف در هماهنگی و تعامل بموقع طرفین برای حل مشکل بوده که خوشبختانه با برقراری ارتباط مناسب، این نقیصه نیز مرتفع شده است.
• در گزارش منتشر شده، یکی از پنج آدرس IP‌ مهاجم متعلق به کشور بلغارستان بوده که به اشتباه به نام انگلستان ذکر شده است. این مورد در نسخه جدید گزارش نیز اصلاح شده است.
• در گزارش این مرکز صرفا به آدرس‌های IP مهاجم و کشورهای مالک آنها اشاره شده و هیچ‌گونه اظهارنظری نسبت به هویت و ملیت فرد یا افراد بهره بردار از این آدرس‌ها جهت نفوذ به وب‌سایت‌ها صورت نگرفته است.
• در برخی از رسانه‌ها نام برخی از شرکت‌های تولید کننده CMS داخلی مطرح شده که فاقد صحت می باشد. با بررسی‌های انجام شده آسیب‌پذیری مورد سوءاستفاده شناسایی و مرتفع گردیده است.
• ذکر این نکته ضروری است که وجود آسیب‌پذیری و نقص امنیتی در محصولات نرم‌افزاری و سخت‌افزاری امری اجتناب ناپذیر است. اما لازم است که تولید‌کنندگان نرم‌افزار و مدیران راهبر سیستم‌ها حساسیت و سرمایه‌گذاری مناسبی در مقوله امنیت سایبری در نظر گیرند.
• متاسفانه برخی ادعا های مطرح شده در خصوص آلوذگی فایلpdf گزارش مرکز ماهر به بدافزار از اساس کذب بوده و با توجه به انتشار عمومی این فایل، بررسی و صحت سنجی این ادعای بی اساس توسط کارشناسان داخلی و خارجی به سادگی قابل انجام می باشد.

گزارش مرکز ماهر از حمله سایبری به وب سایت ها و پورتال های خبری

در آستانه‌ی برگزاری راهپیمایی باشکوه 22 بهمن‌ماه در روز شنبه مورخ 21 بهمن‌ماه حدود ساعت 20 الی 22 اخباری در خصوص حمله به تعدادی از پورتال‌ها و وب‌سایت‌های خبری منتشر و باعث ایجاد نگرانی‌هایی در سطح جامعه شد. مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص بعمل آورد. جهت اطلاع و رعایت نکات مهم مطرح در این زمینه، توضیح اجمالی حمله فوق در گزارش حاضر آمده است.

دانلود گزارش کامل

هشتمین دوره مسابقه بین‌المللی فتح پرچم شریف (SharifCTF) از مجموعه رقابت‌های نفوذ و دفاع در فضای مجازی با حمایت مرکز ماهر سازمان فناوری اطلاعات ایران در روزهای ۱۳ و ۱۴ بهمن توسط مرکز آپا دانشگاه صنعتی شریف برگزار گردید. تیم‌های شرکت‌کننده در این مسابقه، در طی ۴۰ ساعت با حل ۳۲ چالش امنیتی در زمینه‌های نفوذگری در وب، رمزنگاری، مهندسی معکوس، فارنزیک، اکسپلویت و مسائل ترکیبی به محک‌زنی توانمندی‌های خود در زمینه نفوذگری و تحلیل مسائل و آسیب‌پذیری‌های امنیتی پرداختند.
در این دوره از رقابتها، ۱۲۶۶ تیم از بیش از 120 کشور در مسابقه فتح پرچم شرکت نمودند که در این میان ایران با 228تیم، آمریکا با 135تیم، هند با 97 تیم و چین با 85 تیم، بیشترین تیم‌های شرکت کننده در این دوره را به خود اختصاص داده بودند. تیم‌های برتر این دوره از مسابقات فتح پرچم به ترتیب از کشور لهستان، اسپانیا و اوکراین بوده‌اند و برترین تیم ایرانی نیز توانست رتبه چهارم را در این دوره به خود اختصاص دهد.
 

مراسم اختتامیه این دوره از رقابتها به منظور معرفی و تقدیر از برترین‌های محورهای مختلف مسابقات از جمله مسابقه فتح پرچم، در روز چهارشنبه ۱۸ بهمن از ساعت ۱۱ الی ۱۲ در دانشکده مهندسی کامپیوتر دانشگاه صنعتی شریف برگزار خواهد شد.

محققان امنیتی یک جاسوس‌افزار اندرویدی بسیار پیشرفته و قدرتمند را کشف کرده‌اند که به هکرها امکان کنترل کامل دستگاه آلوده را از راه دور می‌دهد. این ابزار که Skygofree نام دارد، یک جاسوس‌افزار اندرویدی است که برای نظارت هدفمند طراحی شده است. برخی ویژگی‌های قابل توجه آن شامل ضبط صوت مبتنی بر مکان با استفاده از میکروفون دستگاه، استفاده از سرویس‌های دسترسی‌پذیری اندروید(Android Accessibility Services) برای دزدیدن پیام‌های WhatsApp و قابلیت متصل کردن دستگاه‌های آلوده شده به شبکه‌های وای‌فای مخرب کنترل شده توسط مهاجمان می‌باشد. Skygofree از طریق صفحات وب تقلبی توزیع می‌شود. پس از نصب، Skygofree آیکون خود را پنهان می کند و سرویس‌های پس‌زمینه را برای پنهان کردن فعالیت‌هایش از کاربر، راه‌اندازی می کند. این جاسوس‌افزار همچنین شامل یک ویژگی محافظتی است که از کشتن (killing) سرویس‌ها جلوگیری می کند.
Skygofree یک ابزار جاسوسی پیشرفته‌ی چندسکویی است که به مهاجمان امکان کنترل از راه دور کامل دستگاه‌های آلوده با استفاده از payload reverse shell و یک معماری سرور کنترل و فرمان (C&C) را می دهد. با توجه به جزئیات فنی منتشر شده توسط محققان، Skygofree شامل چندین اکسپلویت برای افزایش امتیاز برای دسترسی root است، و این مورد قابلیت اجرای payload‌های پیشرفته‌تر بر روی دستگاه‌های اندرویدی آلوده را فراهم می کند. یکی از این payloadها، امکان اجرای shellcode و دزدیدن داده‌های متعلق به برنامه‌های دیگر مانند فیسبوک، لاین و وایبر را ارائه می‌کند.
سرور کنترل و فرمان (C&C) Skygofree همچنین مهاجمان را قادر به گرفتن عکس و فیلم از راه دور، ضبط تماس‌ها و SMS و همچنین نظارت بر موقعیت جغرافیایی کاربر، رخدادهای تقویم و هر اطلاعات ذخیره شده در حافظه‌ی دستگاه را می‌دهد. بهترین راه برای جلوگیری از اینکه قربانی این جاسوس‌افزار شوید این است که از دانلود برنامه‌ها از طریق وب‌سایت‌ها ولینک‌هایی که از طریق پیام یا ایمیل برایتان ارسال می‌شود، حذر کنید.