فا

‫ اخبار

ایجاد‌کننده اطلاع‌رسانی‌ها

بدافزار موجود در وردپرس از طریق افزونه‌های غیرمجاز ویروس کرونا منتشر شده است. عاملان تهدید در پشت پرده بدافزار WP-VCD وردپرس، نسخه‌اصلاح شده افزونه‌های ویروس کرونا که به وبسایت backdoor تزریق می‌کند را منتشر می‌کنند. خانواده آلودگی‌های WP-VCD به صورت افزونه‌های پوچ یا غیرمجاز وردپرس منتشر می‌شوند که حاوی کد اصلاح شده‌ای است که یک Backdoor را به هر theme نصب شده در وبلاگ و همچنین فایلهای مختلف PHP تزریق می‌کند.
هنگامی که سایت وردپرس توسط WP-VCD در معرض خطر قرار بگیرد، بدافزار تلاش می‌کند سایر سایت‌ها روی host مشترک را به خطر بیندازد و می‌تواند مجدداً به سرور فرمان و کنترل (C2) خود متصل شده تا دستورالعمل‌های جدیدی برای اجرا دریافت کند. هدف نهایی این افزونه مخرب استفاده از سایت وردپرس به خطر افتاده برای نمایش popupها و ایجاد تغییر مسیرهایی که برای عاملان تهدید درآمد ایجاد می‌کند، می‌باشد.


1 افزونه غیرمجاز ویروس کرونا WP-VCD را منتشر می‌کند.
اخیراً گروه MalwareHunter نمونه‌هایی از افزونه‌های وردپرس با BleepingComputer که درVirusTotal با نام Trojan.WordPress.Backdoor.A نام‌گذاری شده‌اند را منتشرکرد.
این افزونه‌های وردپرس، فایل‌های zip هستند که حاوی افزونه‌های تجاری معتبر به نام « COVID-19 Coronavirus – افزونه نقشه زنده وردپرس»، « نمودارهای پیش بینی گسترده Coronavirus » و«covid-19» بودند.


پس از اینکه BleepingComputer آنها را تجزیه و تحلیل کرد، مشخص شد که افزونه‌ها حاوی فایل class.plugin-modules.php هستند. همچنین این فایل حاوی یک کد مخرب و رشته‌های مختلف رمزنگاری شده با پایه 64 است که معمولاً با افزونه‌های WP-VCD همراه هستند.


پس از نصب افزونه، از کد PHP رمزنگاری شده با پایه 64 در متغیر WP_CD_CODE که در بالا نشان داده شد استفاده کرده و آن را در /wp-includes/wp-vcd.php ذخیره می‌کند. سپس کد را به فایل /wp-includes/post.php اضافه می‌کند؛ به طوری که با هر بار بارگذاری صفحه در سایت، به طور خودکار wp-vcd.php بارگیری شود.


همچنین افزونه کلیه themeهای نصب شده را جستجو کرده و به هر فایل theme functions.php کد PHP رمزنگاری شده با پایه 64 دیگر اضافه می‌کند.


با این تغیرات فایل، کد WP-VCD مجدداً به سرور C2 متصل می‌شود تا دستوراتی را برای اجرا در host وردپرس دریافت کند. این دستورات عموماً برای تزریق کدی که تبلیغات مخرب را روی سایت نمایش می‌دهد یا به سایت‌های دیگر تغییر مسیر انجام می‌دهد، استفاده می‌شوند.
2 محافظت از سایت در برابر WP-VCD
همانطور که بد‌افزار WP-VCD توسط افزونه‌های غیرمجاز وردپرس منتشر می‌شود، بهترین راه جلوگیری از آن این است که از سایت‌های غیرمجاز افزونه بارگیری نشود. از آنجا که افزونه‌ها می‌توانند به راحتی توسط هر کسی که دارای دانش کمی PHP است اصلاح ‌شوند، بارگیری و نصب افزونه‌های غیرمجاز همیشه یک فعالیت خطرناک است. اکیداً توصیه می‌شود که افزونه‌های وردپرس فقط از سایت‌های مجاز نصب شود و هیچ افزونه غیرمجاز نصب نشود زیرا به خطر افتادن سایت احتمال بالایی دارد.

10 فروردین 1399 برچسب‌ها: اخبار
بدافزار TrickMo

بدافزار TrickBot احراز هویت دو مرحله‌ای را در خدمات بانکی اینترنتی از طریق موبایل دور می‌زند. نویسندگان بدافزار در پشت پرده تروجان بانکی TrickBot یک نرم‌افزار اندرویدی ایجاد کرده‌اند که می‌تواند کد احراز هویت یک بار مصرف ارسال شده توسط پیامک یا ارسال اعلان‌ (ایمن‌تر) به مشتریان بانکی اینترنتی را قطع کرده و عملیات کلاهبرداری خود را تکمیل کند.
این برنامه اندرویدی که توسط محققان IBM X-Force، TrickMo نامیده شده، در حال توسعه است و منحصراً کاربران آلمانی که سیستم آنها قبلاً به بدافزار TrickBot آلوده شده‌اند را هدف گرفته است. به گفته محققان IBM، هنگامی که TrickBot اولین بار در سال 2016 پدیدار شد، آلمان یکی از اولین موارد حمله بود. در سال 2020، به نظر می‌رسد که کلاهبرداری گسترده بانکی TrickBot یک پروژه در حال انجام است که به مهاجمان کمک می‌کند تا از حساب‌های در معرض خطر، درآمد کسب کنند.
نام TrickMo اشاره مستقیمی به یک نوع مشابه بدافزار بانکی اندروید به نام ZitMo دارد که در سال 2011 توسط گروه مجرمان سایبری Zeus برای از کار انداختن سیستم احراز هویت دو مرحله‌ای از طریق پیامک توسعه یافته بود.
روش‌های تکامل یا رشد قابلیت‌های تروجان بانکی برای ارائه انواع دیگر بدافزارها اصلاح شده است؛ از جمله سرقت اطلاعات توسط باج افزار Ryuk، سرقت کیف پول‌های بیت‌کوین و دریافت ایمیل‌ها و اعتبارنامه‌ها.

1 سواءستفاده از قابلیت دسترسی اندروید برای Hijack کردن کدهای OTP
این مسئله ابتدا در سپتامبر گذشته توسط گروه CERT-Bund مشاهده شد. بدافزار TrickMo پس از نصب نرم‌افزار در دستگاه اندرویدی قربانی، طیف گسترده‌ای از اعداد احراز هویت معاملات بانکی (TAN)، شامل گذرواژه یکبار مصرف (OTP)، TAN موبایلی (mTAN) و کدهای احراز هویت pushTAN را قطع می‌کند.
مشاور گروه CERT-Bund در ادامه اظهار داشت كه سیستم‌های ویندوز آلوده شده توسط TrickBot از حملات man-in-the-browser برای یافتن شماره تلفن همراه و انواع دستگاه‌های آنلاین بانکی، به منظور واداشتن آنها برای نصب یک برنامه امنیتی جعلی (که TrickMo نام دارد) استفاده می‌کند

یافتن اطلاعات دستگاه‌های آنلاین بانکی
اما با توجه به تهدیدات امنیتی ناشی از احراز هویت مبتنی بر پیام کوتاه (پیام‌ها می‌توانند توسط برنامه‌های شخص ثالث سرکش به راحتی hijack شوند و همچنین نسبت به حملات SIM-swapping آسیب‌پذیر هستند)، از این پس بانک‌ها به طور فزاینده از ارسال اعلان برای کاربران که حاوی جزییات عملیات و شماره TAN هستند استفاده خواهند کرد.
بدافزار TrickMo برای رفع مشکل نگهداری اعلان‌های برنامه، از قابلیت دسترسی اندروید سوءاستفاده کرده و می‌تواند از صفحه برنامه ‌فیلم ضبط کند، داده‌های نمایش داده شده روی صفحه را پاک کند، بر برنامه‌های در
حال اجرا نظارت کرده و حتی خود را به عنوان نرم‌افزار دریافت پیامک پیش‌فرض تنظیم کند، همچنین می‌تواند از حذف برنامه توسط کاربران دستگاه‌های آلوده جلوگیری کند.
1 طیف گسترده‌ ویژگی‌ها
پس از نصب، TrickMo قادر است با ایجاد تعامل با دستگاه یا دریافت پیامک جدید پایدار شود. علاوه بر این، با ایجاد یک مکانیسم تنظیمات دقیق به یک مهاجم از راه دور اجازه می‌دهد با صدور دستوراتی با استفاده از سرور C2 یا یک پیامک، ویژگی‌های خاص را روشن یا خاموش کند (به طور مثال مجوزهای دسترسی، وضعیت ضبط، وضعیت نرم‌افزار دریافت پیامک).
هنگامی که بدافزار در حال اجراست، طیف گسترده‌ای از اطلاعات را بدست می‌آورد، شامل:

  • اطلاعات شخصی دستگاه
  • پیامک‌ها
  • ضبط برنامه‌های هدف برای رمزعبور یک بار مصرف (TAN)
  • تصاویر

این بدافزار برای جلوگیری از بدگمانی هنگام سرقت کدهای TAN، قفل صفحه را فعال کرده و از این طریق از دسترسی کاربران به دستگاه‌های هدف خود جلوگیری میکند؛ در واقع، از یک صفحه به‌روزرسانی اندرویدی جعلی برای پنهان کردن عملیات سرقت OTP استفاده می‌کند. در نهایت این کار با عملکردهای خود تخریبی و حذف انجام می‌شود و به گروه مجرمان سایبری اجازه می‌دهد تا با استفاده از TrickMo، پس از یک عملیات موفقیت‌آمیز ردپای حضور خود را از یک دستگاه پاک کنند.
گزینه kill نیز می‌تواند توسط پیامک فعال شود، اما محققان IBM دریافتند که امکان رمزگشایی دستورات پیامکی رمزشده با استفاده از یک کلید خصوصی RSA کدنویسی شده و تعبیه شده در کد منبع وجود دارد، بدین ترتیب امکان تولید کلید عمومی و ایجاد پیامک می‌تواند ویژگی خود تخریبی را ایجاد کند. همچنین این مسئله به این معناست که بدافزار می‌تواند از طریق پیامک از راه دور حذف شود. فرض می‌شود که نسخه بعدی برنامه می‌تواند استفاده از رشته‌های کلید رمزگذاری شده برای رمزگشایی را اصلاح کند.
محققان IBM به این نتیجه رسیدند که تروجان TrickBot یکی از فعال‌ترین انواع بدافزار بانکی در عرصه فضای مجازی در سال 2019 بود. طبق تحقیقات، TrickMo به منظور کمک به TrickBot در تخریب جدیدترین روش‌های احراز هویت مبتنی بر TAN طراحی شده است. یکی از مهمترین ویژگی‌هایTrickMo قدرت ضبط برنامه است؛ این همان چیزی است که به TrickBot توانایی غلبه بر اعتبار سنجی‌های جدید برنامه pushTAN که توسط بانک‌ها گسترش یافته را می‌دهد.

10 فروردین 1399 برچسب‌ها: اخبار, گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

مایکروسافت یک به‌روزرسانی نرم افزاری برای وصله کردن آسیب‌پذیری بسیار خطرناک در پروتکل SMBv3 که امکان اجرای بدافزارهای کرم‌مانند توسط مهاجمان را فراهم می‌کرد، منتشر کرده است. این بدافزارها به صورت خودکار از یک سیستم آسیب‌پذیر به سیستم دیگر منتشر می‌شوند. آسیب‌پذیری بحرانی با شناسه CVE-2020-0796 به مهاجمی که با موفقیت از آسیب‌پذیری بهره‌برداری کرده است امکان اجرای کد را در سرور یا سیستم کاربر هدف می‌دهد.
مهاجم بدون نیاز به احراز هویت می‌تواند با ارسال بسته‌ی آلوده به سرور SMBv3 از آسیب‌پذیری بهره‌برداری کند؛ برای بهره‌برداری از آن در سیستم کاربر نیز مهاجم می‌تواند یک سرور SMBv2 مخرب را پیکربندی و تنطیم کرده و کاربر را متقاعد کند تا به سرور مخرب متصل شود.
در این به‌روز‌رسانی امنیتی (به آدرس زیر) چگونگی مدیریت این درخواست‌های مخرب توسط پروتکل SMBv3 اصلاح شده است.
https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4551762
در صورت استفاده از هر کدام از محصولات زیر نسبت به نصب وصله امنیتی فوق اقدام کنید.

محصول

نوع و تاثیر

میزان حساسیت

Windows 10 Version 1903 for 32-bit Systems

اجرای کد از راه دور

بحرانی

Windows 10 Version 1903 for ARM64-based Systems

اجرای کد از راه دور

بحرانی

Windows 10 Version 1903 for x64-based Systems

اجرای کد از راه دور

بحرانی

Windows 10 Version 1909 for 32-bit Systems

اجرای کد از راه دور

بحرانی

Windows 10 Version 1909 for ARM64-based Systems

اجرای کد از راه دور

بحرانی

Windows 10 Version 1909 for x64-based Systems

اجرای کد از راه دور

بحرانی

Windows Server, version 1903 (Server Core installation)

اجرای کد از راه دور

بحرانی

Windows Server, version 1909 (Server Core installation)

اجرای کد از راه دور

بحرانی

10 فروردین 1399 برچسب‌ها: اخبار
آسیب‌پذیری بحرانی اجرای کد از راه دور در سیستم‌عامل مبتنی بر لینوکس OpenWrt

محققان امنیتی از یک آسیب‌پذیری بحرانی اجرای کد از راه دور (remote code execution) در سیستم عامل مبتنی بر لینوکس OpenWrt پرده برداشتند که به مهاجمان اجازه می‌دهد تا پی‌لود[ payload] مخرب را در سیستم‌عامل‌های آسیب‌پذیر تزریق کنند.
OpenWrt یک سیستم‌عامل مبتنی بر لینوکس است که عمدتا در دستگاه‌ها و روترهای شبکه برای مسیریابی ترافیک شبکه مورد استفاده قرار می‌گیرد و بر روی میلیون‌ها دستگاه در سراسر جهان نصب شده است.
این آسیب‌پذیری در تجزیه لیست پکیج‌های opkg سیستم‌عامل OpenWrt (Opkg Package Manager) به مدیر بسته اجازه می‌دهد تا SHA-256 checksums تعبیه شده در شاخص repository امضا شده را نادیده بگیرد و به دنبال آن، مهاجم می‌تواند بررسی صحت و درستی .ipk artifacts دانلود شده را دور بزند.
محققی به نام GuidoVranken توضیح داد که هنگام آماده‌سازی یک تسک Mayhem برای opkg، این آسیب‌پذیری را به طور اتفاقی کشف کرده است. Mayhem می‌تواند داده‌ها را از طریق یک فایل یا از طریق یک سوکت شبکه ارائه دهد.
فرآیند اکسپلویت آسیب‌پذیری RCE در OpenWRT
برای اکسپلویت آسیب‌پذیری ذکر شده، مهاجم به ارائه پکیج‌های ناقص از وب سرور نیاز دارد. او همچنین به رهگیری ارتباط بین دستگاه و downloads.openwrt.org و یا کنترل سرور DNS ای که توسط دستگاه برای ساخت downloads.openwrt.org برای یک وب سرور کنترل شده توسط مهاجم استفاده می‌شود، نیاز دارد.
در حقیقت، opkg در OpenWrt به صورت root اجرا می‌شود که امکان نوشتن در تمام سیستم‌فایل‌ها و تزریق از راه دور کد دلخواه با پکیج‌های .ipk ساختگی با یک پی‌لود مخرب را به مهاجمان می‌دهد.
به آسیب‌پذیری مذکور شناسه " CVE-2020-7982 " اختصاص داده شده است و در حال حاضر در آخرین نسخه OpenWrt وصله شده و در اختیار کاربران قرار گرفته است.

10 فروردین 1399 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

دو آسیب پذیری روز صفر در کتابخانه پردازش فونت در سیستم‌های عامل ویندوز در تاریخ 23 مارچ 2020 توسط Microsoft انتشار پیدا کرده است، که در صورت سوءاستفاده موفقیت آمیز به نفوذگر راه دور این امکان را می دهد تا کنترل کامل سیستم قربانی را بدست آورد. هر دو آسیب پذیری درWindows Adobe Type Manager library شناسایی شده اند. این کتابخانه که وظیفه پردازش فونت را برعهده دارد، حتی توسط Windows Explorer برای نمایش محتوای یک فایل در "Preview Pane" یا "Details Pane" بدون باز کردن آن توسط کاربر اجرا می شود. این آسیب پذیری زمانی رخ می دهد که قربانی به واسطه Windows Adobe Type Manager Library فونتی را که توسط نفوذگر دستکاری شده و با فرمت (Adobe Type 1 PostScript) ذخیره شده را باز نموده و یا توسط Windows Preview Pane آن را مشاهده کند.

دانلود

7 فروردین 1399 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

با توجه به شرایط کنونی کشور و افزایش استفاده از سامانه های آموزش مجازی و جلسات آنلاین، ضروری است که برقراری امنیت این سامانه ها و زیر ساخت مورد استفاده مورد توجه مدیران و کارشناسان امر قرار گیرد. یکی از رایج ترین نرم افزارهای کاربردی در این حوزه Adobe Connect می باشد. متاسفانه در اغلب سامانه های تحت رصد، مشاهده شده است که سامانه بدون تعریف کاربر و اخذ گذرواژه در درسترس است به گونه ای که هر کسی می تواند صرفا با وارد کردن URL سرور و با ورود شماره اتاق جلسه مجازی یا کلاس مجازی وارد شود که منجر به افشا اطلاعات خواهد شد. بنابراین توجه به نکات زیر جهت حفظ امنیت سامانه های مبتنی بر این نرم افزار توصیه می گردد:

- پرهیز جدی از در دسترس قرار دادن سامانه بدون استفاده از اطلاعات نام کاربری و رمز عبور و تعیین سیاست های استفاده از پسورد قوی جهت ورود به سامانه. مدیر سامانه می تواند سیاست های امنیتی لازم را برای شیوه ورود و گذرواژه کاربران در Adobe Connect Central تعیین کند. همچنین ضروری است که تعداد دفعات تلاش ورود ناموفق حتما محدود گردد.

- عدم استفاده از کاربر guest.

- استفاده از SSL جهت حفظ امنیت ترافیک شبکه و همچنین پرهیز از اجبار کاربران به پایین آوردن تنظیمات امنتی یا نسخه مرورگر برای پرهیز از نیاز به SSL.

- عدم راه اندازی سایر سرویس ها بر روی سرور Adobe Connect: توصیه می گردد سرور Adobe Connect به صورت مجزا راه اندازی شود و سرویس های دیگر نظیر domain controller، سرویس دهنده web و یا سرور FTP بر روی ماشین سرور میزبان Adobe Connect اجرا نشوند.

- بروزرسانی و نصب وصله های امنیتی برنامه و سیستم عامل میزبان.

- امن سازی سیستم عامل و استفاده از firewall بر روی سرور میزبان و بستن پورت های بدون استفاده همچنین محدود کردن دسترسی به آدرس های داخل کشور.

- تهیه پشتیبان از اطلاعات و پایگاه داده به صورت اصولی. باید توجه داشت که ویدیوهای تهیه شده از جلسات می توانند حاوی اطلاعاتی ارزشمند باشند و برای مخاطبینی که به هر دلیل موفق به حضور آنلاین نمی شوند مورد استفاده قرار گیرند. البته این کار باید با تمهیدات امنیتی مناسب انجام شود.

- بررسی دوره ای امنیت سیستم و فایلهای لاگ جهت اطمینان از برقراری سیاست های امنیتی و تشخیص هرگونه ناهنجاری یا تلاش برای نفوذ.

دانلود گزارش کامل

2 فروردین 1399 برچسب‌ها: اخبار