‫ اخبار

محققان Quick Heal یک #‫تروجان جدید اندروید را کشف کردند که شامل قابلیت‌های تروجان بانکداری، انتقال تماس، ضبط صدا، ثبت ضربات کلید و فعالیت‌های #‫باج‌افزار ی است. این بدافزار، برنامه‌های بانکی محبوب مانند HFC، ICICI، SBI، Axis Bank و دیگر کیف پول‌های الکترونیکی را هدف قرار داده است.
اپراتور این بدافزار برای موفقیت در حمله، نیاز به تعامل بیشتری با کاربر دارد و تا زمان دسترسی به مجوز "AccessibilityService"، صفحه‌ی تنظیمات دسترسی را به کاربر نمایش می‌دهد. داشتن قابلیت "AccessibilityService" به این بدافزار اجازه می‌دهد تا بدون نیاز به اجازه‌ی کاربر، به همه‌ی مجوزها دسترسی پیدا کند.

دانلود گزارش

پیرو رصد انجام شده در سطح کشور،‌ حملات به سمت سرویس دهنده‌های ‫#ایمیل_سازمانی افزایش شدیدی داشته است. این حملات در قالب brute force بر روی رمز عبور از طریق پروتکل‌ #‫SMTP صورت می‌گیرد. حملات فوق الذکر از بلوک IP آدرس‌ 181.214.206.0/24 رصد شده است.
اکیدا توصیه می‌گردد مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران به انتخاب رمزهای عبور مناسب و سخت اقدام کنند. همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد و مدیران سیستم ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت امکان نسبت به مسدودسازی این بلوک IP اقدام نمایند.‬

#‫مایکروسافت به‌روزرسانی‌هایی برای #‫آسیب‌_پذیری در نرم‌افزارهای مایکروسافت را منتشر کرده است. مهاجم از راه دور می تواند از برخی از این آسیب‌پذیری‌ها برای کنترل سیستم آسیب دیده استفاده کند.
مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.
به‌روزرسانی‌ امنیتی در ماه آگوست سال 2018 برای محصولات در درجه حساسیت بحرانی به صورت زیر بوده است:
• Adobe Flash Player
• ChakraCore
• Microsoft Exchange Server
• Microsoft Edge
• Internet Explorer
• Microsoft SQL Server
• Windows

همچنین مایکروسافت در لینک‌های‌ زیر توصیه‌های امنیتی و توضیحاتی بیشتر را داشته است که مطالعات آن بسیار مفید خواهد بود.

https://portal.msrc.microsoft.com/en-us/security-guidance

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/ecb26425-583f-e811-a96f-000d3a33c573

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر میبایست با استفاده از فرمان Ver در CMD نسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.
لیست آسیب پذیری‌های جدید بر اساس محصولات و درجه حساسیت بحرانی در ادامه شرح داده خواهند شد.

جهت مطالعه کامل مستند کلیک نمایید

امروزه تمرکز اکثر عرضه‌کنندگان فناوری اطلاعات، غول‌های فن‌آوری و محققان امنیت سایبری سراسر جهان، رفع و حل نقص‌های امنیتی در فن‌آوری‌های جدید مانند دستگاه‌های تلفن همراه، سیستم‌عامل‌ها و مرورگرها است و فن‌آوری‌های قدیمی‌تر ممکن است عمداً نادیده گرفته شوند (راهکاری برای راه‌‌اندازی حملات سایبری).
#‫آسیب‌_پذیری‌های جدیدی در پروتکلهای ارتباطاتی فکس کشف شده‌ است که می‌توانند هر دوی شبکه‌های سازمانی و مصرف‌کننده‌ها را در معرض خطر قرار دهند. این نقص‌های امنیتی در چاپگر فکس در محدوده‌ی HP Office Project All-In-One، به‌ویژه، چاپگر HP Officejet Pro 6830 all-in-one و OfficeJet Pro 8720 وجود دارد.
برای سوءاستفاده از این آسیب‌پذیری‌ها، تنها شماره‌‌ی فکس مورد نیاز است. شماره‌های فکس را می‌توان به‌آسانی با مرور وب‌سایت یک شرکت به‌دست آورد. پس از به‌دست آوردن این شماره، مهاجمان می‌توانند یک فایل تصویر مخرب ساختگی را از طریق فکس به قربانی بالقوه ارسال کنند.
آسیب‌پذیری‌های پروتکل‌های ارتباطاتی ماشین‌های فکس، شامل یک نقص امنیتی سرریز بافر (CVE-2018-5925)، سرریز بافر مبتنی بر پشته (CVE-2018-5924) و آسیب‌پذیری “Devil’s lvy” (CVE-2017-9765) هستند. سوءاستفاده از Devil’s lvy منجر به اجرا کد راه‌دور از طریق خطاهای مدیریتی پایگاه‌داده می‌شود.
در حمله‌ی سوءاستفاده از این آسیب‌پذیری‌ها، یک فایل تصویری می‌تواند با بدافزار‌هایی مانند باج‌افزار، کاونده‌های رمزمبنا یا ابزارهای نظارتی کدگذاری شود. آسیب‌پذیری‌های موجود در پروتکل‌های ارتباطاتی ماشین‌های فکس سپس می‌توانند برای رمزگشایی و بارگذاری خرابکاری‌های بدافزار به حافظه مورد سوءاستفاده قرار گیرند. درصورت بارگذاری بدافزار به حافظه و اتصال ماشین‌های فکس به شبکه‌ها، کدهای مخرب می‌توانند گسترش یابند و هر چیز متصل به شبکه را از بخشی از شبکه به بخشی دیگر طی چند ثانیه در معرض خطر قرار دهند و به‌طور بالقوه منجر به جاسوسی، اختلال سرویس یا افشای اطلاعات شوند.
HP پس از اطلاع از وجود این آسیب‌پذیری‌ها، سفت‌افزار خود را وصله کرد.
این پروتکل‌های آسیب‌پذیر، علاوه بر HP، توسط دیگر عرضه‌کنندگان فکس و چاپگرهای چندکاره و در سرویس‌های فکس برخط مانند fax2email نیز استفاده می‌شود. بنابراین ممکن است آن‌ها نیز به همان روش، آسیب‌پذیر به حمله باشند.

این مسئله می‌تواند خطری جدی برای سازمان‌هایی باشد که از میزان در دسترس بودن کل شبکه‌ی خود و اینکه چگونه اطلاعات حساس آن‌ها می‌تواند از طریق یک قطعه از تجهیزات افشا شود، آگاهی ندارند.
برای حفاظت در برابر چنین حملاتی، توصیه می‌شود شبکه‌ها بخش‌بندی شوند، سطح دسترسی به اطلاعات حساس برای برنامه‌هایی کاربردی، کارگزارها و افرادی که به آن‌ها احتیاجی ندارند به حداقل برسد و دستگاه‌های فکس دایماً وصله شوند.

محقق امنیت سایبری مرکز Secarma ، به تازگی یک #‫آسیب_پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوا Wordpress را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذی که از نوع Code Execution بوده در تاریخ 28 فوریه 2017 به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است.
این آسیب پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی Application های PHP-based را تحت تأثیر خود قرار خواهد داد. این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها می باشد. از سال 2009 که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده است که باعث حملات مختلف بر علیه سرورها و PHP Application ها شده است.
آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را بر روی سرور قربانی Upload کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده بر روی سرور قابل انجام خواهد بود. این آسیب پذیری بر روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت Upload فایلهای عکس آلوده بر روی سرور مد نظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می گردد. در تحقیقات اولیه علاوه بر Wordpress، سیستم مدیریت محتوا Typo3 و Contao هم دارای این آسیب پذیری هستند. شایان ذکر است که برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ؛ یکی برای نسخه 4.9 و دیگری برای نسخه های پایین تر باید آماده گردد. بر خلاف وردپرس که تا این لحظه (آماده سازی این مطلب) به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo3 در آخرین به روز رسانی خود این آسیب پذیری را رفع نموده است.
این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین بر روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP می باشد. برای جلوگیری از حمله بر علیه این CMS ها و کتابخانه های مشابه، به روز رسانی هایی که در چند روز آینده ارائه خواهند شد را حتما بر روی سامانه های خود اعمال نمائید.

در روزهای اخیر #‫آسیب‌پذیری سرریز بافر بر روی #‫SQL_SERVER توسط شرکت مایکروسافت گزارش گردیده است. آسیب پذیری (CVE-2018-8273) درServer SQLاین اجازه را به حمله کننده می‌دهد تا بر روی سیستم قربانی با سطح دسترسی حساب Database Engine، به اجرای کد بپردازد. برای بهره‌برداری از این آسیب‌پذیری، حمله کننده می‌بایست یک درخواست SQLخاص را به سرویس‌دهنده ارسال کند.

مایکروسافت تنها روش جلوگیری از حمله توسط این آسیب‌پذیری را بروزرسانی محصول اعلام کرده است. نکته بسیار مهم این آسیب‌پذیری، وجود آن بر روی سرویس‌دهنده SQL Server 2017 لینوکس است. لذا لازم است اگر بر روی کانتینر‌های داکر خود از این سرویس استفاده کرده اید، آن را نیز به‌روز رسانی کنید.

وصله‌های امنیتی زیر توسط مایکروسافت به شرح ذیل برای این محصولات ارائه شده است.

کمپانی #‫سیسکو به روز رسانی امنیتی مهمی را در تاریخ 13 آگوست 2018 منتشر کرده که این به روز رسانی برای سیستم عامل IOS و IOS XE خود می باشد و در بسیاری از محصولات سیسکو به کار می رود. این آسیب پذیری که با شماره شناسایی CVE-2018-0131 معرفی شده، یکی از حملات جدید cryptographic بر علیه پروتکل IKE می باشد که در IPSec مورد استفاده قرار می گیرد. معرفی این حمله جدید که به تازگی در مقاله ای با نام The Dan­gers of Key Reuse: Prac­tical At­tacks on IPsec IKE منتشر شده است، هفته ی آینده در بیست و هفتمین نشست امنیتی USENIX در شهر بالتیمور ایالت مریلند آمریکا صورت خواهد گرفت.
محققین اعلام کردند که پیاده سازی این حمله بر علیه پروتکل IKEv1 در Cisco با شماره شناسایی CVE-2018-0131، در Huawei با شماره شناسایی CVE-2017-17305 ، در Clavister با شماره شناسایی CVE-2018-8753 و در ZyXEL با شماره شناسایی CVE-2018-9129 معرفی خواهند شد. یکی نفز از این محققین که از دانشگاه Ruhr-University بوخوم آلمان و دو نفر دیگر از دانشگاه Opole لهستان هستند اعلام کردند که این آسیب پذیری ها را به سازندگان محصولات اطلاع داده اند که پاسخ سازندگان دستگاه های آسیب پذیر این بوده است که به روز رسانی هایی برای رفع این آسیب پذیری ها منتشر کرده اند.
در این میان که سیسکو بیشترین محصولات آسیب پذیر را دارا بوده است، مشخص شده که سیستم عامل IOS و IOS XE آسیب پذیر هستند که با شماره شناسایی CVE-2018-0131 معرفی شده است ، اما سیستم عامل نسخه IOS XR که به طور عمده تر در محصولات روترهای سیسکو مورد استفاده قرار می گیرد، به علت تفاوت در نوع کُدنویسی آن، آسیب پذیر نمی باشد. امروز سیسکو به روز رسانی برای هر دو سیستم عامل خود منتشر کرد و اعلام کرد که دستگاه های دارای دو سیستم عامل فوق که دارای تنظیمات احراز هویت rsa-encr هستند آسیب پذیر می باشند.
بر اساس توضیحات سیسکو، این آسیب پذیری از راه دور به نفوذگران احراز هویت نشده این اجازه را می دهد که Encrypted Nonces از یک نشست کاری رمزنگاری شده با استفاده از پروتکل IKEv1 را با موفقیت بدست بیاورند. علت وجود این آسیب پذیری، اشتباه در عملیات Decryption در نرم افزار پاسخ دهنده می باشد. نفوذگر می تواند با استفاده از یک متن رمزنگاری شده خاص که برای فرستادن به دستگاه دارای پروتکل IKEv1 طراحی شده است، اطلاعات مربوط به رمزنگاری RSA استفاده شده در آن پروتکل را بدست بیاورد. همچنین نفوذگر می تواند با بازآوری IKEv1 Nonces ها، دیتاهای رمزنگاری رد و بدل شده توسط پروتکل IPSec را که در اغلب ساختارهای VPN مورد استفاده قرار می گیرد را رمزگشایی کنند.
توصیه اکید به مدیران شبکه در سازمانها و شرکت ها می شود که سریعاً دستگاه های خود را که شامل این آسیب پذیری می شود به روز رسانی کنند.

به تازگی نسخه جدیدی از #‫باج_افزار GandCrab مشاهده شده است. نسخه 4.1.2 باج‌افزار معروف GandCrab با تغییراتی قابل توجه منتشر شده است. از جمله این تغییرات می‌توان به استفاده از الگوریتم متفاوت رمزگذاری، الصاق پسوند KRAB به فایل‌های رمزگذاری شده، تغییر نام فایل اطلاعیه باج‌گیری و در دسترس قرار گرفتن یک سایت پرداخت جدید در شبکه ناشناس TOR اشاره کرد. در نسخه جدید از الگوریتم رمزگذاری Salsa20 استفاده می‌شوند. در بخشی از کدهای این نسخه نیز به دنیل برنشتاین خالق این الگوریتم اشاره شده و به نوعی از او تقدیر به‌عمل آمده است.
هنگامی که باج افزار GandCrab اجرا می شود، تمام شبکه را اسکن می کند تا تمام فایل هایی که می‌تواند رمزگذاری کند را آلوده کند.
هنگامی که فایلی را آلوده می کند پسوند KRAB. را به نام فایل رمزگذاری شده اضافه می کند.
به منظور بررسی اینکه آیا سیستم از قبل آلوده شده است یا نه و جلوگیری از اجرای دوباره ی فایل اجرایی باج افزار و از بین بردن دائمی باج افزار، یک فایل .lock با یک mutex ایجاد می کند.

دانلود پیوست

فناوری امنیت سایبری #‫EDR (پاسخ‌گویی و تشخیص نقاط پایانی)، نیاز به نظارت و پاسخ‌گویی مستمر به تهدیدهای امنیتی پیشرفته را برآورده می‌کند. در اینجا فهرستی از مهم‌ترین فناوری‌های EDR قابل توجه، آمده است.
EDR یک فناوری امنیت سایبری است که نیاز به نظارت و پاسخ مستمر به تهدیدهای امنیتی را برآورده می‌کند. این فناوری زیرمجموعه‌ای از فناوری امنیت نقاط پایانی و بخش حساسی از وضعیت مطلوب امنیتی است. EDR با سایر بسترهای حافظت نقاط پایانی (EPP) مانند آنتی‌ویروس و ضدتروجان متفاوت است. آن‌ها تمرکز عمده خود را بر توقف خودکار تهدیدها در مرحله پیش از اجرا نگذاشته‌اند ولی EDR یک مشاهده و بینش درستی از نقاط پایانی را فراهم می‌کند تا به تحلیل‌گرها در جهت کشف، بررسی و پاسخ‌گویی به تهدیدات بسیار پیشرفته و حملات گسترده‌تر که در نقاط پایانی متعدد گسترش می‌یابند، مساعدت کند. با این وجود بسیاری از ابزارهای تشخیص و پاسخ‌گویی نقاط پایانی، EDR را با EPP ترکیب می‌کنند.
2 گستردگی EDR
بازار EDR با دلیلی منطقی، به سرعت در حال رشد است. نقض‌های (breaches) امنیتی بیش از زمان‌های دیگر در حال افزایش است و اغلب از طریق نقاط پایانی، به شبکه راه می‌یابند. تنها چیزی که جهت رخنه و ورود مخفیانه موردنیاز است یک کاربر با اطلاعات کم در زمینه‌های امنیتی و افرادی که از آن‌ها سوءاستفاده کنند، است.

دانلود پیوست

شرکت Sophos دریکی از جدیدترین فعالیت‌های خود یک آنالیز دقیقی از گروه بسیار خطرناک #‫باج_افزار، که تحت عنوان SamSam نام‌گذاری شده، ارائه کرده است. آزمایشگاه FortiGuard به‌عنوان عضوی از Fortinet با اتحادیه تهدید سایبری (CTA), کلیه شاخص‌های مرتبط با این تسخیر (IoCs ) را قبل از انتشار، برای اطمینان از اینکه مشتریان FortiGuard از آخرین افشا، محافظت می‌شوند, دریافت کرده است. باج‌افزار SamSam، برای اولین بار در اواخر سال 2015 به‌عنوان یک خطر با مشخصه ریسک پایین، ظاهر شد. ولی از آن موقع به‌شدت گسترش‌یافته است و طیف وسیعی از سازمان‌ها، مؤسسات بهداشت و درمان و آموزش‌وپرورش و دولت‌های محلی را مورد هدف قرار داده است. Sophos برآورد کرده است که تا به امروز، گروه مسئول SamSam تقریباً شش میلیون دلار از قربانیان خود اخاذی کرده است. SamSam با کمک یک استراتژی متمرکز جهت بهره‌برداری از آسیب‌پذیری‌ها و سپس به‌صورت انتقال جانبی در طول شبکه به‌سمت هدف شناسایی‌شده، ماشین‌های قفل‌شده را مورد هدف قرار می‌دهد. جهت جلوگیری از تشخیص، این حملات معمولاً در زمان حساب‌شده، بعد از ساعات کاری، انجام می‌شود.

دانلود پیوست