Number: IRCNE2014112372
Date: 2014/11/09

According to “techworld”, a recent piece of malware that aims to steal your online banking credentials revives a decade-old technique to install itself on your PC.
Called Dridex, the malware tries to steal your data when you log into an online bank account by creating HTML fields that ask you to enter additional information like your social security number. Thats not unusual in itself: Dridex is the successor to a similar piece of malware called Cridex which also targets your bank account.
Whats different is how Dridex tries to infect your computer in the first place. Its delivered in the form of a macro, buried in a Microsoft Word document in a spam email message.
Cybercriminals started using macros more than a decade ago but they fell out of favor after Microsoft strengthened its security defenses against them. But some hackers are apparently trying them again.
Most PCs disable macros from running by default. But if the malicious Word file is opened, it advises users to enable macros, and if they do, Dridex starts downloading to the PC, wroteRhena Inocencio, a threat response engineer, on Trend's blog on Wednesday.
Once installed on a computer, the malware is programmed to jump into action when it sees a person visits one of a long list of banks, including Bank of Scotland, Lloyd's Bank, Danske Bank, Barclays, Kasikorn Bank, Santander and Triodos, she wrote.
The spam messages for Dridex came mostly from Vietnam, India, Taiwan, South Korea and China, while the top three countries infected with it are Australia, the U.K. and the U.S.
A Switzerland-based computer security project that has for years tracked command-and-control servers for some of the more infamous banking malware program such as Zeus is now also tracking Dridex's command-and-control servers.

شماره: IRCNE2014112371
تاريخ: 18/08/93

شركت سيسكو اصلاحيه هايي را براي مسيرياب ها و فايروال هاي سري RV منتشر كرد. در اين اصلاحيه ها آسيب پذيري هايي برطرف شده اند كه مي توانند به مهاجمان اجازه دهند تا دستورات دلخواه را اجرا نمايند و فايل هاي روي دستگاه آسيب پذير را بازنويسي كنند.
محصولات آسيب پذيري عبارتند از: فايروال Cisco RV120W Wireless-N VPN ، مسيرياب Cisco RV180 VPN، مسيرياب Cisco RV180W Wireless-N Multifunction VPN و فايروال Cisco RV220W Wireless Network Security. با اين حال، اصلاحيه هاي ميان افزارها تنها براي سه محصول اول منتشر شده است و اصلاحيه هاي مربوط به فايروال Cisco RV220W در روزهاي آتي منتشر خواهد شد.
يكي از آسيب پذيري هاي اصلاح شده به مهاجم اجازه مي دهد تا دستورات دلخواه را با حق دسترسي root اجرا نمايد. سوء استفاده از اين آسيب پذيري نيازمند يك نشست تاييد شده به واسط مسيرياب مي باشد.
آسيب پذيري دوم به مهاجم اجازه مي دهد تا حملات CSRF را عليه كاربراني كه در حال حاضر بر روي دستگاه ها تاييد هويت شده اند اجرا نمايد. هم چنين اين آسيب پذيري راهي را براي سوء استفاده از راه دور از آسيب پذيري اول فراهم مي كند.
سومين آسيب پذيري كه توسط سيسكو اصلاح شده است به يك مهاجم تاييد هويت نشده اجازه مي دهد تا با حق دسترسي root فايل ها را بر روي مكان هاي دلخواه دستگاه آسيب پذير آپلود كند. فايل هايي كه از قبل بر روي دستگاه قرار دارند، بازنويسي مي شوند.
شركت سيسكو ميان افزار نسخه 1.0.4.14 را براي مدل هاي RV180 و RV180W و ميان افزار نسخه 1.0.5.9 را براي مدل RV120W منتشر كرده است.

Number: IRCNE2014112371
Date: 2014/11/09

According to “techworld”, cisco Systems released patches for its small business RV Series routers and firewalls to address vulnerabilities that could allow attackers to execute arbitrary commands and overwrite files on the vulnerable devices.
The affected products are Cisco RV120W Wireless-N VPN Firewall, Cisco RV180 VPN Router, Cisco RV180W Wireless-N Multifunction VPN Router, and Cisco RV220W Wireless Network Security Firewall. However, firmware updates have been released only for the first three models, while the fixes for Cisco RV220W are expected later this month.
One of the patched flaws allows an attacker to execute arbitrary commands as root -- the highest privileged account -- through the network diagnostics page in a device's Web-based administration interface. Its exploitation requires an authenticated session to the router interface.
A second vulnerability allows attackers to execute cross-site request forgery (CSRF) attacks against users who are already authenticated on the devices. This vulnerability also provides a way to remotely exploit the first flaw.
A third security flaw that was patched by Cisco allows an unauthenticated attacker to upload files to arbitrary locations on a vulnerable device using root privileges. Existing files will be overwritten, the Securify researchers said.
Cisco released firmware versions 1.0.4.14 for the RV180 and RV180W models and firmware version 1.0.5.9 for the RV120W.

شماره: IRCNE2014112370
تاريخ: 17/8/93

گوگل يك ابزار جديد متن‌باز براي كمك به متخصصين فناوري اطلاعات براي تست برنامه‌هاي آنها بر روي شبكه عرضه كرد.
Nogotofail براي اين طراحي شده است كه توسعه دهندگان برنامه‌هاي اندرويد، iOS، لينوكس، ويندوز، OS X و كروم بتوانند اطمينان حاصل كنند كه برنامه‌هاي آنها در مقابل نقايص امنيتي شناخته شده امن هستند.
اين ابزار همچنين بايد به متخصصين فناوري اطلاعات كمك كند كه در مقابل تهديدات شناخته شده مانند Heartbleed و Poodle از خود محافظت نمايند.
يك مهندس امنيتي اندرويد به نام چاد بروبيكر در بلاگ خود نوشت كه Nogotofail، راهي ساده براي تأييد امنيت دستگاه‌ها و برنامه‌هاي مورد استفاده شما در برابر آسيب‌پذيري‌ها و پيكربندي‌هاي ناصحيح شناخته شده TLS/SSL است.
به گفته وي، Nogotofail براي سيستم‌هاي اندرويد، iOS، لينوكس، ويندوز، Chrome OS، OS X و در حقيقت هر دستگاهي كه شما براي اتصال به اينترنت استفاده مي‌كنيد قابل استفاده است.
يك كلاينت ساده براي پيكربندي تنظيمات و دريافت هشدارها بر روي اندرويد و لينوكس وجود دارد. همچنين موتور حمله‌اي وجود دارد كه مي‌تواند به عنوان يك مسيرياب، سرور VPN يا پراكسي به كار گرفته شود.
گوگل اين ابزار را به صورت يك پروژه متن باز عرضه كرده است، در نتيجه توسعه دهندگان مي‌توانند برنامه‌هاي خود را تست و امن سازي نمايند و ويژگي‌هاي جديد اضافه كنند.
كد Nogotofail بر روي GitHub عرضه شده است.

شماره: IRCNE2014112369
تاريخ: 14/08/93

شركت امنيتي بيت ديفندر هشدار داد نسخه جديدي از تروجان Rovnix كه امسال از طريق اينترنت گسترش يافت حداقل 130000 رايانه را به منظور سرقت داده هاي كارت اعتباري در انگلستان آلوده ساخته است.
تا اين زمان تروجان Rovnix يك مشكل آزاردهنده براي رايانه هاي ويندوز بوده است. اين تروجان يكسري مشكلات از قبيل خرابي از طريق پاپ آپ هاي تبليغات، فضولي در برنامه ها، سرقت داده و حتي مشكلات صفحه آبي را براي كاربران به وجود آورده است. هم چنين كاربران پيام هاي خطاي جعلي را دريافت مي كنند كه از آن ها درخواست مي كند براي برطرف شدن مشكل وجهي را پرداخت نمايند.
با توجه به يافته هاي بيت ديفندر 87 درصد از آلودگي ها در انگلستان شناسايي شده است و درصد كمتري نيز در كشورهاي آلمان، ايتاليا و امريكا كشف شده است.
مدير امنيت بيت ديفندر اظهار داشت: بانيان كمپيني كه انگلستان را هدف حمله قرار داده است ادعا مي كنند كه بات نت Rovnix هم چنان در حال گسترش مي باشد.
به طور غيرعادي، الگوريتم توليد دامنه C & C تروجان Rovnixبه گونه اي تنظيم شده است كه 5 تا 10 دامنه را در هر 15 دقيقه ايجاد مي كند و نام دامنه ها از 12 تا 23 كاراكتر تشكيل شده است.

شماره: IRCNE2014112368
تاريخ: 17/8/93

مايكروسافت اقدام به عرضه ضدبدافزار براي سرويس‌هاي ابري Azure و ماشين‌هاي مجازي براي مشتريان Azure كرده است.
اين افزونه امنيتي رايگان در ويندوزهاي Server 2008 R2، Server 2012 و Server 2012 R2 به شكل پيش‌فرض نصب مي‌گردد، اما در وضعيت غيرفعال قرار دارد. اما در پلتفورم ماشين‌هاي مجازي Azure به صورت پيش‌فرض نصب نمي‌شود.
اين سرويس ضد بدافزار از موتور و امضاهاي Forefront مايكروسافت استفاده مي‌كند. اين سرويس داراي به‌روز رساني‌ها و اسكن‌هاي مبتني بر نياز و بلادرنگ است. اگرچه اين نرم افزار رايگان است، اما اجراي آن ممكن است منجر به نياز به منابع داده‌اي، شبكه‌اي يا كامپيوتري اضافه گردد كه هزينه‌هايي مانند لايسنس يا ثبت نام را به همراه داشته باشد.
اين سرويس از طريق API ها، PowerShell و با استفاده از پيكربندي ماشين‌هاي مجازي Visual Studio در Server Explorer قابل برنامه ريزي است. اين مسأله به شركت‌ها اجازه مي‌دهد كه پيكربندي سرويس ضد بدافزار را تا حد زيادي كنترل نمايند. اين سرويس پس از نصب و اجرا، درصورتي كه با Azure Diagnostics پيكربندي گردد، رويدادها را در حساب Azure Storage ثبت مي‌كند. اين رويدادها سپس مي‌توانند به HDInsight يا يك سيستم SIEM ارسال گردند.
مايكروسافت در مقاله‌اي اين سرويس را با جزئيات و به همراه اسكريپت‌هاي نمونه PowerShell براي پيكربندي سرويس و استخراج رويدادها از آن توضيح داده است.

شماره: IRCNE2014112367
تاريخ: 14/08/93

شركت مايكروسافت در سه شنبه اصلاحيه ماه نوامبر 16 اصلاحيه امنيتي را منتشر خواهد كرد. پنج اصلاحيه در رده امنيتي بحراني قرار دارند.
تقريبا تمامي اصلاحيه ها ويندوز را تحت تاثير قرار مي دهند. يكي از اين اصلاحيه مربوط به آفيس، يك اصلاحيه مربوط به Exchange و يك اصلاحيه براي Microsoft SharePoint Foundation 2010 Service Pack 2 منتشر خواهد شد. برخي از اين اصلاحيه ها نيز IE و چارجوب كاري .NET را تحت تاثير قرار مي دهند.
دو آسيب پذيري آفيس، برنامه هاي ورد 2007، Word Viewer، Office Compatibility Pack و Office 2007 IME (ژاپني) را تحت تاثير قرار مي دهند. اصلاحيه ها از طريق فرآيند به روز رساني ويندوز در دسترس قرار دارند و شركت مايكروسافت كاربران را تشويق مي كند تا اين اصلاحيه ها را اعمال نمايند.
يكي از آسيب پذيري هاي بحراني مربوط به مشكل افزايش حق دسترسي مي باشد. اين مشكل در تمامي نسخه هاي ويندوز اصلاح شده است اما برخي نسخه ها مانند ويندوز 7 تحت تاثير اين آسيب پذيري قرار ندارند. در نتيجه شركت مايكروسافت براي اين موارد اعلام كرده است كه اعمال اين اصلاحيه دفاع عميق تر و اضافه تري را فراهم مي كند كه هيچ آسيب پذيري را برطرف نمي كند.
هم چنين شركت مايكروسافت نسخه جديد ابزار Windows Malicious Software Removal و تعدادي اصلاحيه غيرامنيتي را براي نسخه هاي مختلف ويندوز منتشر خواهد كرد.

شماره: IRCNE2014112366
تاريخ: 14/08/93

در جديدترين نسخه از سيستم عامل OpenBSD نسخه 5.6، كتابخانه معروف OpenSSL با LibreSSL جايگزين شده است. LibreSSL يك كتابخانه ايجاد شده توسط تيم OpenBSD مي باشد.
كتابخانه OpenSSL يك مرجع براي ارتباطات امن SSl/TLS مي باشد كه تنها با CryptoAPI مايكروسافت رقابت مي كند. اما اوايل امسال يك آسيب پذيري جدي در اين كتابخانه با نام آسيب پذيري Heartbleed كشف شد و باعث شد تا از اعتبار اين كتابخانه كاسته شود.
براي اصلاح اين مشكل در سيستم عامل OpenBSD و پوسته امن OpenSSH يك كتابخانه جايگزين براي OpenSSL با نام LibreSSL ايجاد شد. LibreSSL چندين هدف دارد از جمله سازگاري API با OpenSSL و ساده سازي از طريق حذف ويژگي هايي كه off-mission محسوب مي شوند.
OpenBSDدر لينوكس و پياده سازي هاي تجاري يونيكس استفاده مي شود اما پروژه LibreSSL مي تواند بر روي سيستم هاي لينوكس مورد استفاده قرار گيرد و در صورتيكه سازگاري خوبي را به نمايش بگذارد و به خوبي كار كند مي تواند مشهور شود.

ID: IRCNE2014112370
Date: 2014-11-08

According to “ITPro”, a new open source tool to help IT professionals test the security of their applications on networks has been unveiled by Google.
Nogotofail is designed to help assure Android, iOS, Linux, Windows, OS X and Chrome app developers that their offerings are secured against known flaws.
The tool should also help IT professionals guard against known threats such as Heartbleed and Poodle.
In a blog post, Android security engineer Chad Brubaker said Nogotofail would provide an “easy way to confirm that the devices or applications you are using are safe against known TLS/SSL vulnerabilities and misconfigurations”.
"Nogotofail works for Android, iOS, Linux, Windows, Chrome OS, OSX, in fact any device you use to connect to the internet,” he said.
"There's an easy-to-use client to configure the settings and get notifications on Android and Linux, as well as the attack engine itself which can be deployed as a router, VPN server or proxy."
Google has released the tool as an open source project so developers can test and secure their applications and add new features.
To this end, the Nogotofail code has been released on GitHub.

شماره: IRCNE2014112365
تاريخ: 14/08/93

يك گروه جاسوسي سايبري كه عمليات خود را از طريق يك بدافزار با نام BlackEnergy انجام مي دهند، مسيرياب ها و سيستم هاي لينوكس مبتني بر معماري ARM و MIPS به علاوه سيستم هاي ويندوز را هدف حملات خود قرار داده اند.
محققان امنيتي شركت كسپراسكي روز دوشنبه گزارشي را منتشر كردند و در آن جزئيات برخي از ماژول هايي كه اين گروه جاسوسي براي بدافزار BlackEnergy طراحي كرده اند تا براي راه اندازي حملات انكار سرويس توزيع شده از آن استفاده نمايند را توضيح دادند.
پلاگين هاي مختلف BlackEnergy كه توسط گروه جاسوسي سايبري طراحي شده است براي هر دو سيستم ويندوز و لينوكس كشف شده است. اين گروه قابليت هايي مانند اسكن كردن پورت ها، سرقت رمز عبور، جمع آوري اطلاعات سيستم، سرقت گواهينامه هاي ديجيتالي، اتصال به دسكتاپ از راه دور و حتي پاك كردن اطلاعات هارد ديسك را به اين بدافزار افزوده اند.
محققان كسپراسكي اظهار داشتند كه انتخاب هاي متفاوت از پلاگين ها از طريق يك سرور كنترل و فرمان براي هر قرباني و بنا به هدف گروه جاسوسي و سيستم قرباني انجام مي گيرد.
در يك مورد، مهاجمان يك پلاگين BlackEnergy با نام dstr را دانلود و اجرا كردند و داده هاي روي رايانه هاي ويندوزي يك سازمان را خراب كردند.
در حادثه ديگري، سازماني كه تعدادي از داده هاي ماشين هاي ويندوز آن خراب شده بود دريافت كه نمي تواند از طريق telnet به مسيرياب هاي سيسكو خود متصل شود. پس از بررسي دريافتند كه چندين اسكريپت"farewell" توسط گروه BlackEnergy بر روي مسيرياب ها قرار گرفته است.
به نظر مي رسد كه اين گروه علاقمندند تا سازماني هايي كه در حال اجراي سيستم هاي كنترل صنعتي هستند را مورد هدف قرار دهند. قربانيان شناسايي شده توسط آزمايشگاه كسپراسكي عبارتند از: اپراتورهاي توليد انرژي، شركت هاي توليدكننده ابزارهاي انرژي و سرمايه گذاران بخش انرژي.