Number: IRCNE2014072236
Date: 2014-07-02

According to “techworld”, the OpenSSL Project is planning a number of changes to ensure its security component, used across millions of computers across the Internet, is in tip-top shape.
OpenSSL is an open-source code library that encrypts communications between a computer and a server using SSL/TLS (Secure Sockets Layer/Transport Layer Security). It is a fundamental defense for keeping e-commerce transactions, email and other data unreadable if the traffic is intercepted.
Confidence in OpenSSL was shaken in April after a two-year-old software vulnerability called "Heartbleed" was discovered that could allow an attacker to decrypt intercepted traffic or obtain data such as logins and passwords from servers.
OpenSSL's roadmap is intended to counter the view that it is "slow-moving and insular," according to a post on the project's website.
Among the ongoing problems that the project plans to fix are a lack of code reviews, an inconsistent coding style, poor documentation, no platform strategy and no regular release cycle, according to the roadmap.
The group also plans to look at a large number of issues raised in its bug tracking system, many of which have never been reviewed.Google said it planned to share information on bugs it finds with LibreSSL and the OpenSSL Project.

Number: IRCNE2014072235
Date: 2014-07-02

According to “zdnet”, Microsoft has announced several improvements to the encryption used in their online services.
Both Outlook.com and OneDrive have enabled Perfect Forward Secrecy (PFS), an encryption technique by which parties use a different encryption key for every connection, making it more difficult for attackers to decrypt connections. Google has been the leader in PFS, having enabled it for many of their services since 2011.
Outlook.com is also making more extensive use of Transport Layer Security (TLS) when communicating with other mail systems. Both when sending and receiving mail, Outlook.com will use TLS if the other server supports it.
The company also announced their first "Transparency Center," this one in Redmond, WA. At these centers participating governments can analyze Microsoft source code to confirm that there are no "back doors" by which other parties could monitor communications.

Number: IRCNE2014072234
Date: 2014-07-02

According to “zdnet”, Apple has released new versions of iOS, OS X, Safari and Apple TV, and disclosed the vulnerabilities fixed in those new versions. A total of 60 unique vulnerabilities are addressed in the products. As is common with Apple, some of the vulnerabilities are quite old.
iOS 7.1.2 fixes 44 vulnerabilities in the previous version. These include two lock screen bugs and two which could allow bypass of Find My iPhone and Activation Lock, the new anti-theft measures. The new version also adds encryption of attachments in the Mail app, a problem first reported two months ago. The usual long list of WebKit bugs is fixed and the list of trusted root certificates was updated.
OS X Mavericks v10.9.4 and Security Update 2014-003 fix 19 vulnerabilities in earlier versions. Several privilege escalation bugs are listed here; in combination with an arbitrary code execution bug, which is also readily available, an attacker could take complete control of the system.
Safari 6.1.5 and Safari 7.0.5 fix 12 vulnerabilities in earlier versions. The most interesting is CVE-2014-1345, by which an attacker could spoof the domain name in the address bar, an excellent phishing tool.
Finally, Apple TV 6.1.2 fixes 35 vulnerabilities in earlier versions, many of them the same as those fixed in OS X and iOS.

متخصصان بين المللي تيم تحليل وپژوهش آزمايشگاه كاسپرسكي شواهدي مبني يك حمله هدفمند بر عليه مشتريان يك بانك بزرگ اروپايي را كشف كردند.

براساس فايل لاگ مشاهده شده روي سرور مورد استفاده مهاجمين، ظاهراً تنها در عرض هفته، مجرمان سايبري بيش از نيم ميليون يورو از حسابهاي اين بانك را به سرقت برده اند. اولين نشانه هاي اين حمله در تاريخ 20 ژانويه2014( 30 دي 1392) توسط متخصصان آزمايشگاه كسپرسكي زماني كه يك سرور كنترل و فرمان(C&C) را در شبكه شناسايي كردند، مشاهده گرديد. پنل كنترلي اين سرور شواهدي از وجود يك برنامه بدافزار تروجان جهت سرقت حساب هاي مشتريان بانك را نشان داده است.
زماني كه سرور كنترل و فرمان(C&C) شناسايي شد، از عمر اين حمله سايبري حدود يك هفته مي گذشت، بنابراين آغاز آن ديرتر از 13 ژانويه2014(23 دي 1392) نبوده است. از آن زمان، مهاجمان سايبري موفق به سرقت 500000 يورو شده اند. دو روز بعد از آن كه GReAT (تحليل گر حملات سايبري كسپرسكي) سرور كنترل و فرمان(C&C) اين حمله را شناسايي كرد، مجرمان هرگونه شواهدي را كه امكان رديابي آنها را مي داد، پاك كردند. با اين حال متخصصان فكر ميكنند اين قضيه مربوط به تغييرات در زيرساخت هاي فني مورد استفاده اين حمله بوده است و نه پايان آن.
Vicente Diaz محقق امنيتي آزمايشگاه اصلي كاسپرسكي مي گويد: زماني كه سرور كنترل و فرمان(C&C )شناسايي شد، ما با سرويس امنيتي بانك و سازمان هاي اجراي قانون تماس گرفتيم و تمامي شواهد خود را ارائه داديم.

ابزارهای مخرب استفاده شده
در مورد LUUUK همه متخصصان بر اين باورند كه اطلاعات مالي حساس به يكباره قطع شدند و كاربران در هنگام ورود به حساب بانكي خود ، قرباني تراكنش هاي جعلي در فعاليت هاي آنلاين بانكي خود شدند.

Vicente Diaz افزود، ما روي سرور كنترل و فرمان(C&C) هيچ اطلاعاتي مربوط به بدافزار خاصي كه مورد استفاده اين حمله باشد، نيافتيم. با اين حال بسياري از انواع (Citadel, SpyEye, IceIX,.. ) ZEUS قابليت لازم براي اين حمله را دارند. ما اعتقاد داريم بدافزار مورد استفاده شده در اين حمله مي تواند نوعي Zeus باشد كه از تزريق هاي پيچيده صفحات وب روي قربانيان استفاده مي كند.

اقدامات حفاظتی كاسپرسكی در مقابل uuuk
شواهد كشف شده توسط متخصصين آزمايشگاه كسپرسكي نشان مي دهد كه احتمالاً اين حمله سايبري توسط مجرمان حرفه اي سازمان دهي شده است. با اين حال، ابزارهاي مخربي كه در اين حمله جهت سرقت پول استفاده شده است، مي تواند توسط تكنولوژي هاي امنيتي بطور موثري دفع شود. به عنوان مثال آزمايشگاه كسپرسكي يك پلتفرم چندلايه به نام Kaspersky Fraud Prevention را براي كمك به موسسات مالي جهت حمايت از مشتريانشان در حملات مختلف توسعه داده است. اين پلتفرم شامل اجزاي مختلفي جهت حفاظت از دستگاه هاي مشتري از انواع حملات شامل حملات Man-in-the-Browser، به علاوه ابزارهايي است كه مي تواند به موسسات كمك كند تا تراكنش هاي جعلي را شناسايي و بلوكه كنند، مي باشد.

منبع:

http://www.kaspersky.com/about/news/virus/2014/The-Luuuk-banking-fraud-campaign-half-a-million-euro…

شماره: IRCNE2014072233
تاريخ:10/04/93

آزمايشگاه كسپراسكاي، حفاظت هاي كلي در خصوص حملاتbrute force RDP را به محصولات خود اضافه كرد. بنا به يافته هاي اين شركت حملات brute force RDP در حال افزايش است.
RDP مخفف پروتكل دسكتاپ راه دور مي باشد و پروتكلي است كه در Windows Remote Desktop و Terminal Server استفاده مي شود. در بعضي مواقع از اين پروتكل براي دسترسي كاربر راه دور به سرور استفاده مي شود اما استفاده بيشتر آن براي دسترسي ادمين ها از راه دور مي باشد. RDP اجازه مي دهد تا يك كاربر راه دور با يك كلاينت RDP به يك سيستم ويندوز لاگين كند و از آن سيستم استفاده نمايد.
حمله brute force RDP مي تواند محدوده IP ها و محدوده پورت TCP را براي سرور RDP اسكن كند. زمانيكه مهاجم يك سرور RDP را پيدا كند، مي تواند با روش هايي به سرور با دسترسي ادمين لاگين كند. سيستم تشخيص نفوذ محصولات كسپراسكاي در حال حاضر قادر است تا اين نوع حملات را با عنوان Bruteforce.Generic.RDP تشخيص دهد.
اين شركت اعلام كرد كه با انجام تنظيماتي خاص مي توان از وقوع اين حمله جلوگيري كرد:

• استفاده از رمزهاي عبور پيچيده، مخصوصا حساب هاي كاربري كه براي دسترسي ادمين ايجاد شده است.
• غيرفعال كردن نام كاربري Administrator و استفاده از نام كاربري متفاوت براي دسترسي ادمين شبكه.
• در سيستم تنظيم نماييد كه پس از وارد شدن تعداد محدودي رمز عبور نادرست، كاربر قفل شود.
• الزام تاييد هويت دو مرحله ، به خصوص براي دسترسي ادمين.

شماره: IRCNE2014062232
تاريخ:08/04/93

بيشتر تروجان ها، اطلاعات مالي افراد را بواسطه تزريق فرم هاي تقلبي به نشست هاي جستجوي وب كاربر به سرقت مي برند اما بدافزاري كه جديدا كشف شده است رويكرد متفاوتي دارد و براي شنود ترافيك خروجي به APIهاي مرورگر نفوذ مي كند.
محققان امنيتي شركت توليدكننده آنتي ويروس ترند ميكرو، اين تهديد را Emotet ناميدند. اين بدافزار از طريق لينكي مخرب در پيام هرزنامه اي توزيع مي شود. اين پيام در قالب هشدارهاي انتقال و صورتحساب هاي بانكي ارسال مي شود.
هنگامي كه اين بدافزار بر روي سيستم اجرا شود، تعدادي مولفه اضافي و يك فايل پيكربندي كه حاوي آدرس هاي URL و رشته هاي ديگر براي جستجو در داخل ترافيك شبكه مي باشد را دانلود مي كند.
شركت ترند ميكرو اعلام كرد كه تجزيه و تحليل فايل هاي پيكربندي نشان مي دهد كه اين بدافزار وب سايت هاي بانكي كشور آلمان را هدف قرار داده است اما اين امكان وجود دارد كه نمونه هاي ديگري از اين بدافزار سايت هاي بانكي كشورهاي ديگر را هدف قرار دهد.
مولفه اصلي Emotet يك فايل DLL را دانلود كرده و آن را به تمامي فرآيندهاي در حال اجرا بر روي سيستم از جمله مرورگرهاي وب تزريق مي كند. اين فايل قادر است تا براي جستجوي رشته هايي كه در فايل پيكربندي مشخص شده است، ترافيك خروجي شبكه را مانيتور كند.
در صورت يافتن رشته مورد نظر، اين بدافزار اطلاعات مربوط به آن را جمع آوري كرده و كل محتوي وب سايت را ذخيره مي كند. اين بدان معناست كه هر نوع داده اي مي تواند به سرقت برود.
هم چنين مولفه DLL مي تواند اطلاعات را از نشست هاي رمز شده مرورگر شنود كند زيرا اين بدافزار به طور مستقيم به APIهاي شبكه كه توسط مرورگر ها استفاده مي شوند نفوذ مي كند.
با توجه به داده هاي جمع آوري شده توسط شركت ترند ميكرو، بيشترين آلودگي به اين بدافزار در اروپا به خصوص در آلمان شناسايي شده است.
محققان امنيتي اظهار داشتند كه آلودگي به اين بدافزار در مناطق ديگري مانند آمريكاي شمالي و آسيا ديده شده است در نتيجه اين بدافزار مختص يك منطقه و كشور خاص نيست.

Number: IRCNE2014072233
Date: 2014-07-01

According to “ld”, Kaspersky Lab has added generic protection for an attack form they say is on the rise: brute force RDP attacks.
RDP stands for Remote Desktop Protocol and is the protocol for Windows Remote Desktop and Terminal Server. It is sometimes used for remote user access to servers, but very commonly used for remote administrator access. RDP "remotes" the Windows UI, allowing a remote user with an RDP client to log into Windows and use it as if local.
A brute force RDP attack would scan IP ranges and TCP port ranges (the default being 3389) for RDP servers, which could be either client or server systems. Once an attacker finds an RDP server, he would attempt to log on, particularly as Administrator. The IDS in Kaspersky products will now detect this type of attack as Bruteforce.Generic.RDP.
As Kaspersky says, a successful RDP attack against a server has the potential to be quite lucrative. But even as they call it a "brute force" attack, the Kaspersky account overstates its sophistication. Very simple and obvious actions on your part can prevent this attack from having any success:

• Use complex passwords, especially for accounts with administrator access
• Consider disabling the Administrator account and using a different account name for that access
• Set the system to lock a user out for a period of time after some number of failed login attempts. Numerous group policies for these rules have been in Windows for a long time
• Require two-factor authentication, especially for administrator access

Number: IRCNE2014062232
Date: 2014-06-30

According to “computerworld”, most Trojan programs steal financial information from users by injecting rogue forms into Web browsing sessions, but a newly discovered malware program takes a different approach and leverages browser network APIs to sniff outgoing traffic.
The new threat has been named Emotet by security researchers from antivirus vendor Trend Micro, who recently analyzed variants targeting the customers of several German banks. The malware is distributed via malicious links in spam email messages that masquerade as bank transfer notifications or invoices.
When it first runs on the system, Emotet downloads some additional components and a configuration file that contains the URLs and other strings it will search for inside network traffic.
The configuration files analyzed so far appeared to primarily target German bank websites, but there might be variants targeting banks from other countries, the Trend Micro researchers said in a blog post Friday.
The main Emotet component downloads a DLL file and injects it into all processes running on the system, including Web browsers. The file has the capability to monitor outgoing network traffic from those processes and look for strings specified in the configuration file.
"If strings match, the malware assembles the information by getting the URL accessed and the data sent," the Trend Micro researchers said. "The malware saves the whole content of the website, meaning that any data can be stolen and saved."
The DLL component can also sniff data from encrypted browsing sessions because it hooks directly into the network APIs (application programming interfaces) used by browsers.
According to Trend Micro's data, the largest number of Emotet infections were detected in Europe, especially in Germany.
However, Emotet infections have also been detected in other regions, like Asia-Pacific and North America, suggesting that the threat is not exclusive to a specific region or country, the Trend Micro researchers said.

شماره: IRCNE2014062231
تاريخ: 09/04/93

دستگاه های اندرويد هدف حمله بدافزاري قرار گرفته اند كه از طريق پيام هاي متني در حال انتشار است. اين بدافزار كه Selfmite نام دارد توسط Denis Maslennikov محقق امنيتي كشف شده است. اين كرم قادر است از طريق پيام متني منتشر شود. قربانيان اين كرم پيام كوتاهي باعنوان : Dear [NAME], Look the Self-time, http://goo.gl/******. شامل يك آدرس URL آلوده به بدافزار Selfmite دريافت مي كنند.
پس از آن كه كاربر بر روي لينك كليك نمايد، به سمت لينك ديگري هدايت مي شود و از آن طريق يك فايل APK با نام "The Self-timer" بر روي دستگاه قرباين دانلود و نصب مي شود.
اگر قرباني اين فايل را راه اندازي كند، اين بدافزار فورا فهرست تماس دستگاه قرباني را مي خواند و به طور خودكار براي 20 نفر از افراد ليست تماس، پيام كوتاهي ارسال مي كند.
در حال حاضر شركت امنيتي AdaptiveMobile، دستگاه هاي آلوده به اين بدافزار را در امريكاي شمالي، جايي كه براي اولين بار اين كرم كشف شده است، شناسايي كردند. اين شركت با گوگل تماس گرفته است و آدرس URL مخرب در حال حاضر غيرفعال شده است.

بدافزاري كه پيش از اين در حمله به شركت­هاي بخش انرژي بكار رفته بود، در حال حاضر سازمان هايي را كه برنامه­هاي كاربردي صنعتي و ماشين آلات را استفاده مي كند و يا توسعه مي­دهند هدف قرار داده است. بررسي ها نشان مي دهد كه در طي ماه هاي پيش، مهاجمان شروع به توزيع نسخه جديدي از برنامه تروجان دسترسي از راه دوري به نام Havex از طريق هك كردن وب سايت­هاي توليدكنندگان سيستم­هاي كنترل صنعتي (ICS) و نيز آلوده كردن نرم­افزارهاي قانوني قابل دانلود در وب سايت ها، كردند.
همچنين در طي تحقيقات، سه سايت فروشنده اين نرم افزارها كه به اين طريق آلوده شده اند، كشف گرديده است. نصب كننده هاي نرم­افزار موجود در اين سايتها آلوده به تروجان دسترسي از راه دور Havex شده­اند. به نظر مي رسد، احتمالاً موارد مشابهي ديگري نيز موجود باشد كه تاكنون كشف نگرديده است.
F-Secure نام اين فروشنده­هاي آلوده شده را بيان نكرده است اما اظهار داشت كه دو شركت از آنها توسعه­دهنده نرم­افزار مديريت از راه دور ICS بودند و سومي تهيه­كننده دوربين­هاي صنعتي با دقت بالا و نرم­افزارهاي مرتبط با آن مي­باشد. به گفته اين شركت امنيتي، فروشندگان در آلمان، سوئيس و بلژيك هستند.
مهاجمان، برنامه­هاي installer قانوني را براي اضافه و اجرا كردن فايلهاي اضافي در كامپيوتر تغيير مي‌دهند. فايل اضافه شده mbcheck.dll نام دارد و در حقيقت همان بدافزار Havex مي­باشد.
اين روش توزيع جديد به علاوه براي حملات معمولي مانند ايميل هاي اسپم و exploitهاي مبتني بر وب مورد استفاده قرار گرفته اند، و نشان مي دهد كساني كه در پشت اين عمليات هستند به طور خاص علاقمند به هدف قرار دادن سازمانهايي كه از برنامه هاي كاربردي ICS و SCADA استفاده مي كنند، شده اند.
نتيجه اينكه برنامه مخرب Havex جديد با هدف اسكن شبكه هاي محلي براي دستگاه­هايي كه به درخواست OPC (Open Platform Communications) پاسخ مي­دهند به وجود آمده­اند. OPC يك استاندارد ارتباطي است كه اجازه تعامل بين برنامه­هاي كاربردي SCADA مبتني بر ويندوز و فرآيند كنترل سخت­افزار را مي دهد.
به گفته محققان F-Secure، بدافزار Havex به استاندارد OPC براي جمع آوري اطلاعات در مورد دستگاه هاي كنترل صنعتي نفوذ مي‌كند. بدافزار Havex اطلاعات جمع آوري شده را به سرور C&C خود، جهت تحليل توسط مهاجمان ارسال مي‌كند. در نتيجه به نظر مي­رسد كه بدافزار Havex به عنوان يك ابزار براي جمع آوري اطلاعات استفاده مي­شود. تاكنون نيز هيچ payload ايي كه سعي در كنترل سخت افزارهاي متصل شده داشته باشد، مشاهده نگرديده است.
محققان F-Secure بيان كردند: "اكثر قربانيان در اروپا هستند، هرچند در زمان نوشتن اين گزارش حداقل يك شركت در كاليفرنيا مشاهده شده است كه اطلاعات به سرورهاي C&C ارسال كرده است". از سازمان­هاي اروپايي، دو نهاد آموزشي بزرگ در زمينه پژوهش­هاي مربوط به فناوري در فرانسه، دو توليدكننده برنامه‌­هاي كاربردي يا دستگاه­هاي صنعتي در آلمان، يك توليدكننده ماشين­آلات صنعتي فرانسوي و يك شركت ساخت و ساز متخصص در مهندسي سازه در روسيه به عنوان قربانيان شناخته شده‌­اند.
در گزارشي كه در ماه ژانويه2014 (دي ماه 92) منتشر شد، شركت اطلاعاتي امنيتي CrowdStrike، گزارشي را درباره Havex RAT كه حمله­هاي هدفمند بر عليه سازمان­هاي بخش انرژي در سپتامبر 2013(شهريور92) انجام داده بود، منتشر كرد و آن را مرتبط با گروهي از مهاجمان وابسته به دولت روسيه هستند، دانست. شركت امنيتي به اين گروه مهاجم لقب "خرس پر انرژي" داد و احتمال داد كه زمان اين بدافزار مخرب به آوت 2012 برمي گردد.
پس از كشف بدافزار خرابكار صنعتي استاكس نت در سال 2010(1389شمسي)، محققان امنيتي در مورد ناامني سيستم­هاي كنترل صنعتي و سهولت مورد هدف قرار گرفتن آنها توسط مهاجمان هشدار دادند. با وجود اين نگراني ها تاكنون حملات گسترده بدافزارها عليه ICS ها و سيستم هاي SCADA به وقوع نپيوسته است ولي وجود بدافزاري مانندHavex اتفاقي است كه ممكن است در آينده نيز مشاهده گردد.

منبع:

http://www.pcworld.com/article/2367240/new-havex-malware-variants-target-industrial-control-system-…