شماره: IRCNE2014062232
تاريخ:08/04/93

بيشتر تروجان ها، اطلاعات مالي افراد را بواسطه تزريق فرم هاي تقلبي به نشست هاي جستجوي وب كاربر به سرقت مي برند اما بدافزاري كه جديدا كشف شده است رويكرد متفاوتي دارد و براي شنود ترافيك خروجي به APIهاي مرورگر نفوذ مي كند.
محققان امنيتي شركت توليدكننده آنتي ويروس ترند ميكرو، اين تهديد را Emotet ناميدند. اين بدافزار از طريق لينكي مخرب در پيام هرزنامه اي توزيع مي شود. اين پيام در قالب هشدارهاي انتقال و صورتحساب هاي بانكي ارسال مي شود.
هنگامي كه اين بدافزار بر روي سيستم اجرا شود، تعدادي مولفه اضافي و يك فايل پيكربندي كه حاوي آدرس هاي URL و رشته هاي ديگر براي جستجو در داخل ترافيك شبكه مي باشد را دانلود مي كند.
شركت ترند ميكرو اعلام كرد كه تجزيه و تحليل فايل هاي پيكربندي نشان مي دهد كه اين بدافزار وب سايت هاي بانكي كشور آلمان را هدف قرار داده است اما اين امكان وجود دارد كه نمونه هاي ديگري از اين بدافزار سايت هاي بانكي كشورهاي ديگر را هدف قرار دهد.
مولفه اصلي Emotet يك فايل DLL را دانلود كرده و آن را به تمامي فرآيندهاي در حال اجرا بر روي سيستم از جمله مرورگرهاي وب تزريق مي كند. اين فايل قادر است تا براي جستجوي رشته هايي كه در فايل پيكربندي مشخص شده است، ترافيك خروجي شبكه را مانيتور كند.
در صورت يافتن رشته مورد نظر، اين بدافزار اطلاعات مربوط به آن را جمع آوري كرده و كل محتوي وب سايت را ذخيره مي كند. اين بدان معناست كه هر نوع داده اي مي تواند به سرقت برود.
هم چنين مولفه DLL مي تواند اطلاعات را از نشست هاي رمز شده مرورگر شنود كند زيرا اين بدافزار به طور مستقيم به APIهاي شبكه كه توسط مرورگر ها استفاده مي شوند نفوذ مي كند.
با توجه به داده هاي جمع آوري شده توسط شركت ترند ميكرو، بيشترين آلودگي به اين بدافزار در اروپا به خصوص در آلمان شناسايي شده است.
محققان امنيتي اظهار داشتند كه آلودگي به اين بدافزار در مناطق ديگري مانند آمريكاي شمالي و آسيا ديده شده است در نتيجه اين بدافزار مختص يك منطقه و كشور خاص نيست.

Number: IRCNE2014072233
Date: 2014-07-01

According to “ld”, Kaspersky Lab has added generic protection for an attack form they say is on the rise: brute force RDP attacks.
RDP stands for Remote Desktop Protocol and is the protocol for Windows Remote Desktop and Terminal Server. It is sometimes used for remote user access to servers, but very commonly used for remote administrator access. RDP "remotes" the Windows UI, allowing a remote user with an RDP client to log into Windows and use it as if local.
A brute force RDP attack would scan IP ranges and TCP port ranges (the default being 3389) for RDP servers, which could be either client or server systems. Once an attacker finds an RDP server, he would attempt to log on, particularly as Administrator. The IDS in Kaspersky products will now detect this type of attack as Bruteforce.Generic.RDP.
As Kaspersky says, a successful RDP attack against a server has the potential to be quite lucrative. But even as they call it a "brute force" attack, the Kaspersky account overstates its sophistication. Very simple and obvious actions on your part can prevent this attack from having any success:

• Use complex passwords, especially for accounts with administrator access
• Consider disabling the Administrator account and using a different account name for that access
• Set the system to lock a user out for a period of time after some number of failed login attempts. Numerous group policies for these rules have been in Windows for a long time
• Require two-factor authentication, especially for administrator access

Number: IRCNE2014062232
Date: 2014-06-30

According to “computerworld”, most Trojan programs steal financial information from users by injecting rogue forms into Web browsing sessions, but a newly discovered malware program takes a different approach and leverages browser network APIs to sniff outgoing traffic.
The new threat has been named Emotet by security researchers from antivirus vendor Trend Micro, who recently analyzed variants targeting the customers of several German banks. The malware is distributed via malicious links in spam email messages that masquerade as bank transfer notifications or invoices.
When it first runs on the system, Emotet downloads some additional components and a configuration file that contains the URLs and other strings it will search for inside network traffic.
The configuration files analyzed so far appeared to primarily target German bank websites, but there might be variants targeting banks from other countries, the Trend Micro researchers said in a blog post Friday.
The main Emotet component downloads a DLL file and injects it into all processes running on the system, including Web browsers. The file has the capability to monitor outgoing network traffic from those processes and look for strings specified in the configuration file.
"If strings match, the malware assembles the information by getting the URL accessed and the data sent," the Trend Micro researchers said. "The malware saves the whole content of the website, meaning that any data can be stolen and saved."
The DLL component can also sniff data from encrypted browsing sessions because it hooks directly into the network APIs (application programming interfaces) used by browsers.
According to Trend Micro's data, the largest number of Emotet infections were detected in Europe, especially in Germany.
However, Emotet infections have also been detected in other regions, like Asia-Pacific and North America, suggesting that the threat is not exclusive to a specific region or country, the Trend Micro researchers said.

شماره: IRCNE2014062231
تاريخ: 09/04/93

دستگاه های اندرويد هدف حمله بدافزاري قرار گرفته اند كه از طريق پيام هاي متني در حال انتشار است. اين بدافزار كه Selfmite نام دارد توسط Denis Maslennikov محقق امنيتي كشف شده است. اين كرم قادر است از طريق پيام متني منتشر شود. قربانيان اين كرم پيام كوتاهي باعنوان : Dear [NAME], Look the Self-time, http://goo.gl/******. شامل يك آدرس URL آلوده به بدافزار Selfmite دريافت مي كنند.
پس از آن كه كاربر بر روي لينك كليك نمايد، به سمت لينك ديگري هدايت مي شود و از آن طريق يك فايل APK با نام "The Self-timer" بر روي دستگاه قرباين دانلود و نصب مي شود.
اگر قرباني اين فايل را راه اندازي كند، اين بدافزار فورا فهرست تماس دستگاه قرباني را مي خواند و به طور خودكار براي 20 نفر از افراد ليست تماس، پيام كوتاهي ارسال مي كند.
در حال حاضر شركت امنيتي AdaptiveMobile، دستگاه هاي آلوده به اين بدافزار را در امريكاي شمالي، جايي كه براي اولين بار اين كرم كشف شده است، شناسايي كردند. اين شركت با گوگل تماس گرفته است و آدرس URL مخرب در حال حاضر غيرفعال شده است.

بدافزاري كه پيش از اين در حمله به شركت­هاي بخش انرژي بكار رفته بود، در حال حاضر سازمان هايي را كه برنامه­هاي كاربردي صنعتي و ماشين آلات را استفاده مي كند و يا توسعه مي­دهند هدف قرار داده است. بررسي ها نشان مي دهد كه در طي ماه هاي پيش، مهاجمان شروع به توزيع نسخه جديدي از برنامه تروجان دسترسي از راه دوري به نام Havex از طريق هك كردن وب سايت­هاي توليدكنندگان سيستم­هاي كنترل صنعتي (ICS) و نيز آلوده كردن نرم­افزارهاي قانوني قابل دانلود در وب سايت ها، كردند.
همچنين در طي تحقيقات، سه سايت فروشنده اين نرم افزارها كه به اين طريق آلوده شده اند، كشف گرديده است. نصب كننده هاي نرم­افزار موجود در اين سايتها آلوده به تروجان دسترسي از راه دور Havex شده­اند. به نظر مي رسد، احتمالاً موارد مشابهي ديگري نيز موجود باشد كه تاكنون كشف نگرديده است.
F-Secure نام اين فروشنده­هاي آلوده شده را بيان نكرده است اما اظهار داشت كه دو شركت از آنها توسعه­دهنده نرم­افزار مديريت از راه دور ICS بودند و سومي تهيه­كننده دوربين­هاي صنعتي با دقت بالا و نرم­افزارهاي مرتبط با آن مي­باشد. به گفته اين شركت امنيتي، فروشندگان در آلمان، سوئيس و بلژيك هستند.
مهاجمان، برنامه­هاي installer قانوني را براي اضافه و اجرا كردن فايلهاي اضافي در كامپيوتر تغيير مي‌دهند. فايل اضافه شده mbcheck.dll نام دارد و در حقيقت همان بدافزار Havex مي­باشد.
اين روش توزيع جديد به علاوه براي حملات معمولي مانند ايميل هاي اسپم و exploitهاي مبتني بر وب مورد استفاده قرار گرفته اند، و نشان مي دهد كساني كه در پشت اين عمليات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهايي كه از برنامه هاي كاربردي ICS و SCADA استفاده مي كنند، شده اند.
نتيجه اينكه برنامه مخرب Havex جديد با هدف اسكن شبكه هاي محلي براي دستگاه­هايي كه به درخواست OPC (Open Platform Communications) پاسخ مي­دهند به وجود آمده­اند. OPC يك استاندارد ارتباطي است كه اجازه تعامل بين برنامه­هاي كاربردي SCADA مبتني بر ويندوز و فرآيند كنترل سخت­افزار را مي دهد.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC براي جمع آوري اطلاعات در مورد دستگاه هاي كنترل صنعتي نفوذ مي‌كند. بدافزار Havex اطلاعات جمع آوري شده را به سرور C&C خود، جهت تحليل توسط مهاجمان ارسال مي‌كند. در نتيجه به نظر مي­رسد كه بدافزار Havex به عنوان يك ابزار براي جمع آوري اطلاعات استفاده مي­شود. تاكنون نيز هيچ payload ايي كه سعي در كنترل سخت افزارهاي متصل شده داشته باشد، مشاهده نگرديده است.
محققان F-Secure بيان كردند: "اكثر قربانيان در اروپا هستند، هرچند در زمان نوشتن اين گزارش حداقل يك شركت در كاليفرنيا مشاهده شده است كه اطلاعات به سرورهاي C&C ارسال كرده است". از سازمان­هاي اروپايي، دو نهاد آموزشي بزرگ در زمينه پژوهش­هاي مربوط به فناوري در فرانسه، دو توليدكننده برنامه‌­هاي كاربردي يا دستگاه­هاي صنعتي در آلمان، يك توليدكننده ماشين­آلات صنعتي فرانسوي و يك شركت ساخت و ساز متخصص در مهندسي سازه در روسيه به عنوان قربانيان شناخته شده‌­اند.
در گزارشي كه در ماه ژانويه2014 (دي ماه 92) منتشر شد، شركت اطلاعاتي امنيتي CrowdStrike، گزارشي را درباره Havex RAT كه حمله­هاي هدفمند بر عليه سازمان­هاي بخش انرژي در سپتامبر 2013(شهريور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهي از مهاجمان وابسته به دولت روسيه هستند، دانست. شركت امنيتي به اين گروه مهاجم لقب "خرس پر انرژي" داد و احتمال داد كه زمان اين بدافزار مخرب به آوت 2012 برمي گردد.
پس از كشف بدافزار خرابكار صنعتي استاكس نت در سال 2010(1389شمسي)، محققان امنيتي در مورد ناامني سيستم­هاي كنترل صنعتي و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند. با وجود اين نگراني ها تاكنون حملات گسترده بدافزارها عليه ICS ها و سيستم هاي SCADA به وقوع نپيوسته است ولي وجود بدافزاري مانندHavex اتفاقي است كه ممكن است در آينده نيز مشاهده گردد.

منبع:

http://www.pcworld.com/article/2367240/new-havex-malware-variants-target-industrial-control-system-…

Number: IRCNE2014062231
Date: 2014-06-30

According to “itpro”, Android devices are being targetted by a strain of malware spreading through text messages.
Dubbed Selfmite, it was detected by IT security researcher Denis Maslennikov. The worm is able to propagate via SMS. Potential victims receive the following SMS message containing a URL pointing to the Selfmite worm: Dear [NAME], Look the Self-time, http://goo.gl/******.
On clicking the link, the user is redirected to another link where they are then prompted to download and install an APK file called "The Self-timer" which then appears on a user's device.
If the victim launches it, the malware immediately reads the device’s contact book, looking for 20 contacts to send the same message to automatically.
IT security firm AdaptiveMobile has already detected infected devices on operator networks in North America, where the worm was first discovered.
The firm has contacted Google and the malicious URL has now been put out of action.

شماره: IRCNE2014062231
تاريخ:08/04/93

محققان امنيتي دريافتند كه رمزگذاري SSL در اعتبارسنجي iOS داراي يك خطاي كدنويسي است كه يك مرحله از اعتبارسنجي كليد در پروتكل وب را براي ارتباطات امن دور مي زند. در نتيجه ارتباطات ارسال شده بر روي نقاط متحرك واي فاي مي توانند ردگيري شوند و در حاليكه رمز نشده مي باشند خوانده شوند. هم چنين به طور بالقوه رمز عبور كاربر، بانك اطلاعاتي كاربر و ساير اطلاعات حساس مي توانند توسط هكرها از طريق حملات MitM در معرض خطر افشاء قرار گيرند. شبكه هاي واي فاي رمز شده مانند شبكه هاي خانگي و كاري كه رمزگذاري در آن ها فعال است تحت تاثير اين آسيب پذيري قرار ندارند.
شركت اپل روز جمعه يك اصلاحيه را براي تمايم كاربران iOS منتشر كرد. كابران iOS بايد يك هشدار در رابطه با وجود يك به روز رساني را دريافت كرده باشند يا اين اصلاحيه با توجه به نسخه iOS دستگاه و تنظيمات به روز رساني به طور خودكار بر روي سيستم هاي آن ها نصب شده است.
روز شنبه چندين محقق گزارش دادند كه اين حفره سيستم عامل OS X 10.9 Mavericks و شايد نسخه هاي ديگر OS X را تحت تاثير قرار دهد. شركت اپل اعلام كرد كه يك اصلاحيه براي OS X آماده كرده است كه به زودي آن را منتشر مي كند. اين به روز رساني از طريق ابزار OS X's Software Update در دسترس خواهد بود.

Number: IRCNE2014092322
Date: 2014-09-20

According to “zdnet”, with the release of iOS 8 Apple has disclosed 53 vulnerabilities that are fixed in the new version.
The most serious vulnerabilities would allow an attacker to execute code on the device with root privileges. Several others allow execution of code with kernel or system privileges. These vulnerabilities require the ability to execute code on the device, but that could be accomplished with one of the many remote code execution vulnerabilities also disclosed. Many of these are in the Webkit browser engine, meaning that such an attack could be launched if the user visited a malicious web page.
These issues, many of them severe, remain in earlier versions of iOS. It is Apple's usual practice not to fix them on earlier versions, so users who remain on iOS 7.x remain vulnerable to these issues.
Less shocking, but still severe is the ability for a rogue access point to steal iOS Wi-Fi credentials using an old and broken authentication protocol which was on by default in iOS. The protocol (LEAP) is disabled by default in iOS 8.
Other vulnerabilities are serious, if not so serious as those already described. They could allow attackers to access sensitive information such as logs or the user's Apple ID. Several allow attackers to determine kernel memory characteristics and bypass protections such as ASLR (Address Space Layout Randomization).

Number: IRCNE2014062232
Date: 2014-06-29

According to “techworld”, security researchers revealed late Friday that iOS's validation of SSL encryption had a coding error that bypassed a key validation step in the Web protocol for secure communications. As a result, communications sent over unsecured Wi-Fi hot spots could be intercepted and read while unencrypted, potentially exposing user password, bank data, and other sensitive data to hackers via man-in-the-middle attacks. Secured Wi-Fi networks, such as home and business networks with encryption enabled, are not affected.
Apple released a patch Friday evening, available to al iOS users. iOS users should have already received a notification of the update's availability or have had it automatically installed, depending on their device's iOS version, update settings, and available space for downloading the update.
But on Saturday, several researchers reported that the flaw also affected OS X 10.9 Mavericks and perhaps other OS X versions. Late Saturday, Apple said it had a fix ready for OS X and would release it "very soon."
The update will be available through OS X's Software Update utility, which is set to download security updates automatically by default in recent OS X versions.

شماره: IRCNE2014062229
تاريخ :07/04/93

به گزارش شركت مك آفي پس از يك روند رو به كاهش در طول دو سال گذشته، تعداد نمونه هاي rootkit هاي جديد در سه ماهه اول سال جاري افزايش قابل توجهي داشته است و به آمار سال 2011 نزديك گرديده است. افزايش ناگهاني روت كيت ها مربوط به روت كيت هايي بوده كه سيستم هاي ويندوز 32 بيتي را هدف قرارداده بود با اين حال، روت كيت هاي جديد طراحي شده براي سيستم هاي 64 بيتي به احتمال زياد به افزايش اين نوع از حمله در آينده منجر مي شوند.
روت كيت ها برنامه هاي مخربي هستند كه براي پنهان كردن ساير برنامه هاي مخرب و فعاليت آنها از ديد كابران طراحي شده اند. آنها به طور معمول در داخل هسته سيستم عامل با بالاترين حق دسترسي سيستم اجرا مي شوند و حذف و تشخيص آنها به سختي براي محصولات امنيتي امكان پذيراست.
محققان مك آفي بر اين باورند كه كاهش در تعداد نمونه روت كيت هاي جديد مشاهده شده در طول 2012 و 2013 را مي توان به رشد به روزرساني روتكيت ها به نسخه هاي 64 بيتي براي مقابله با تدابير امنيتي از جمله PatchGuard و اجراي امضاي ديجيتالي درايورها مرتبط دانست كه موجب افزايش هزينه توليد روتكيت براي سيستم عامل هاي 64 بيتي ميگردد. با اين حال با رشد استفاده از سيستم هاي 64 بيتي انگيزه جهت سرمايه گذاري بيشتر براي دور زدن ابزارهاي دفاعي آنها بيشتر شده است. قابليت هاي امنيتي قرارداده شده در سيستم هاي 64 بيتي براي مهاجمان سازمان يافته تنها حكم سرعت گير را دارد كه به زودي از آن عبور خواهند نمود.
يكي از تكنيك هاي سواستفاده از آسيب پذيري هاي سيستم هاي 64 بيتي ميتواند نصب يك سخت افزار يا نرم افزار با درايور داراي امضاي ديجيتال و سپس سعي در دسترسي به كرنل باشد. يكي از اين نوع روتكيت ها Uroburos نام دارد كه يك روتكيت پيچيده است كه در ماه فوريه سال جاري كشف شده كه در حملات جاسوسي اطلاعات با نصب نسخه هاي قديمي درايور VirtualBox داراي امضاي ديجيتال استفاده شده است. در اين نوع حمله پس از سوء استفاده از آسيب پذيري، افزايش سطح دسترسي صورت مي گيرد.
يكي ديگر از روش معمول براي حمله به سيستم هاي 64 بيتي، سرقت گواهينامه هاي امضاي ديجيتال از شركت هاي معتبر و استفاده از آنها در كد هاي مخرب جهت عدم شناسايي ميباشد. از ژانويه 2012 حداقل در 21 نمونه روتكيت 64 بيتي منحصر به فرد گواهي هاي به سرقت رفته استفاده شده است. نرم افزار مخرب W64/Winnti حداقل پنج كليد خصوصي از فروشندگان قانوني به سرقت برده و در نصب روتكيت هاي خود بر روي سيستم هاي 64 بيتي از سال 2012 استفاده نموده است. از اين پنج كليد حداقل دو كليد ابطال نشده و ممكن است براي اهداف نا مشروع و مخرب درحال استفاده باشد.
طي سال جاري تعداد برنامه هاي مخرب داراي امضا ديجيتالي به طور كلي رو به افزايش بوده است. در حال حاضر بيش از 25 ميليون نمونه شناخته شده از نرم افزارهاي مخرب ديجيتالي امضا شده، كه بيش از 2.5 ميليون از اين نرم افزارها در سه ماهه اول سال جاري كشف شده اند.
راه ديگر براي دور زدن تدابير دفاعي سيستم هاي 64 بيتي توسط روتكيت ها، بهره برداري از آسيب پذيري افزايش سطح دسترسي كشف شده در هسته ويندوز بوده كه تعداد اين نقص ها در چند سال گذشته رو به افزايش مي باشد. پژوهشگران در حال توسعه ابزار هدفمند بررسي شرايط رقابتي مانند “Double Fetch” براي پيدا كردن نقص در كد هسته مي باشند. به گفته آنها، موج جديدي از حملات روتكيت ها در برابر سيستم هاي 64 بيتي با استفاده از تعداد فزاينده اي از آسيب پذيري ها درراه است.
يك كلاس خاص از روتكيت ها به نام bootkits مي باشد كه كدهاي مخرب را در مستر بوت ركورد سيستم در اولين بخش 512 بايت از هارد ديسك كپي ميكند كه به طور معمول شامل كد هاي بوت لودر سيستم عامل ميباشد. اجراي كد MBR قبل از هسته سيستم عامل آغاز مي گردد، بنابراين كد هاي مخرب ذخيره شده مي توانند پيش از اجراي هر برنامه امنيتي نصب شده در سيستم عامل اجرا شوند.
در طول سه ماهه اول سال جاري نسبت به سه ماهه اول دو سال گذشته بيش از 900.000 از انواع نرم افزارهاي مخرب جديد را با MBR Payload كشف و شناسايي شده است . از نظر شركت مك آفي تعداد نرم افزار هاي مخرب آلوده ساز MBR بيش از 6 ميليون مي باشد.
يكي از راهكارهاي مقابله با اين نوع حملات استفاده از قابليت بوت امن با جايگزيني UEFI، Unified Extensible Firmware Interface ، با Bios در كامپيوتر هاي جديد جهت جلوگيري از نصب و راه اندازي Bootkit مي باشد. UEFI كدهاي بوت را با يك ليست سفيد از كدهاي تاييد شده و داراي امضاي ديجيتال چك مي كند و در صورت عدم مغايرت اجازه بوت شدن سيستم عامل را مي دهد. اگر چه در سال گذشته محققان امنيتي آسيب پذيري هاي متعدد در پياده سازي UEFI يافته اند كه مي توان از طريق آنها نسبت به غير فعال كردن بوت امن اقدام نمود.

منبع خبر:

http://www.cso.com.au/article/548445/researchers_expect_large_wave_rootkits_targeting_64-bit_system…