محققان Quick Heal یک #تروجان جدید اندروید را کشف کردند که شامل قابلیتهای تروجان بانکداری، انتقال تماس، ضبط صدا، ثبت ضربات کلید و فعالیتهای #باج_افزاری است. این بدافزار، برنامههای بانکی محبوب مانند HFC، ICICI، SBI، Axis Bank و دیگر کیف پولهای الکترونیکی را هدف قرار داده است.
اپراتور این بدافزار برای موفقیت در حمله، نیاز به تعامل بیشتری با کاربر دارد و تا زمان دسترسی به مجوز "AccessibilityService"، صفحهی تنظیمات دسترسی را به کاربر نمایش میدهد. داشتن قابلیت "AccessibilityService" به این بدافزار اجازه میدهد تا بدون نیاز به اجازهی کاربر، به همهی مجوزها دسترسی پیدا کند.
پیرو رصد انجام شده در سطح کشور، حملات به سمت سرویس دهندههای #ایمیل_سازمانی افزایش شدیدی داشته است. این حملات در قالب brute force بر روی رمز عبور از طریق پروتکل #SMTP صورت میگیرد. حملات فوق الذکر از بلوک IP آدرس 181.214.206.0/24 رصد شده است.
اکیدا توصیه میگردد مدیران سیستم نسبت به بررسی وضعیت امنیتی سرورهای ایمیل خود و اجبار کاربران به انتخاب رمزهای عبور مناسب و سخت اقدام کنند. همچنین لازم است سیاست مسدودسازی حساب کاربری در صورت چندین بار تلاش با رمز عبور ناموفق (account lockout) فعال باشد و مدیران سیستم ضمن نظارت بر رویدادنماهای ثبت شده در سرور ایمیل، در صورت امکان نسبت به مسدودسازی این بلوک IP اقدام نمایند.
#مایکروسافت بهروزرسانیهایی برای #آسیب_پذیری در نرمافزارهای مایکروسافت را منتشر کرده است. مهاجم از راه دور می تواند از برخی از این آسیبپذیریها برای کنترل سیستم آسیب دیده استفاده کند.
مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارشهای آسیبپذیریهای امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی میکند و اطلاعات را به عنوان بخشی از تلاشهای مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستمهای کاربران فراهم مینماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت میکند.
بهروزرسانی امنیتی در ماه آگوست سال 2018 برای محصولات در درجه حساسیت بحرانی به صورت زیر بوده است:
• Adobe Flash Player
• ChakraCore
• Microsoft Exchange Server
• Microsoft Edge
• Internet Explorer
• Microsoft SQL Server
• Windows
همچنین مایکروسافت در لینکهای زیر توصیههای امنیتی و توضیحاتی بیشتر را داشته است که مطالعات آن بسیار مفید خواهد بود.
https://portal.msrc.microsoft.com/en-us/security-guidance
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/ecb26425-583f-e811-a96f-000d3a33c573
وصله امنیتی هر کدام از آسیبپذیریها بر اساس نسخه خاصی از سیستمعامل نوشته شده است. کاربر میبایست با استفاده از فرمان Ver در CMD نسخه سیستمعامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.
لیست آسیب پذیریهای جدید بر اساس محصولات و درجه حساسیت بحرانی در ادامه شرح داده خواهند شد.
جهت مطالعه کامل مستند کلیک نمایید
امروزه تمرکز اکثر عرضهکنندگان فناوری اطلاعات، غولهای فنآوری و محققان امنیت سایبری سراسر جهان، رفع و حل نقصهای امنیتی در فنآوریهای جدید مانند دستگاههای تلفن همراه، سیستمعاملها و مرورگرها است و فنآوریهای قدیمیتر ممکن است عمداً نادیده گرفته شوند (راهکاری برای راهاندازی حملات سایبری).
#آسیب_پذیریهای جدیدی در پروتکلهای ارتباطاتی فکس کشف شده است که میتوانند هر دوی شبکههای سازمانی و مصرفکنندهها را در معرض خطر قرار دهند. این نقصهای امنیتی در چاپگر فکس در محدودهی HP Office Project All-In-One، بهویژه، چاپگر HP Officejet Pro 6830 all-in-one و OfficeJet Pro 8720 وجود دارد.
برای سوءاستفاده از این آسیبپذیریها، تنها شمارهی فکس مورد نیاز است. شمارههای فکس را میتوان بهآسانی با مرور وبسایت یک شرکت بهدست آورد. پس از بهدست آوردن این شماره، مهاجمان میتوانند یک فایل تصویر مخرب ساختگی را از طریق فکس به قربانی بالقوه ارسال کنند.
آسیبپذیریهای پروتکلهای ارتباطاتی ماشینهای فکس، شامل یک نقص امنیتی سرریز بافر (CVE-2018-5925)، سرریز بافر مبتنی بر پشته (CVE-2018-5924) و آسیبپذیری “Devil’s lvy” (CVE-2017-9765) هستند. سوءاستفاده از Devil’s lvy منجر به اجرا کد راهدور از طریق خطاهای مدیریتی پایگاهداده میشود.
در حملهی سوءاستفاده از این آسیبپذیریها، یک فایل تصویری میتواند با بدافزارهایی مانند باجافزار، کاوندههای رمزمبنا یا ابزارهای نظارتی کدگذاری شود. آسیبپذیریهای موجود در پروتکلهای ارتباطاتی ماشینهای فکس سپس میتوانند برای رمزگشایی و بارگذاری خرابکاریهای بدافزار به حافظه مورد سوءاستفاده قرار گیرند. درصورت بارگذاری بدافزار به حافظه و اتصال ماشینهای فکس به شبکهها، کدهای مخرب میتوانند گسترش یابند و هر چیز متصل به شبکه را از بخشی از شبکه به بخشی دیگر طی چند ثانیه در معرض خطر قرار دهند و بهطور بالقوه منجر به جاسوسی، اختلال سرویس یا افشای اطلاعات شوند.
HP پس از اطلاع از وجود این آسیبپذیریها، سفتافزار خود را وصله کرد.
این پروتکلهای آسیبپذیر، علاوه بر HP، توسط دیگر عرضهکنندگان فکس و چاپگرهای چندکاره و در سرویسهای فکس برخط مانند fax2email نیز استفاده میشود. بنابراین ممکن است آنها نیز به همان روش، آسیبپذیر به حمله باشند.
این مسئله میتواند خطری جدی برای سازمانهایی باشد که از میزان در دسترس بودن کل شبکهی خود و اینکه چگونه اطلاعات حساس آنها میتواند از طریق یک قطعه از تجهیزات افشا شود، آگاهی ندارند.
برای حفاظت در برابر چنین حملاتی، توصیه میشود شبکهها بخشبندی شوند، سطح دسترسی به اطلاعات حساس برای برنامههایی کاربردی، کارگزارها و افرادی که به آنها احتیاجی ندارند به حداقل برسد و دستگاههای فکس دایماً وصله شوند.
محقق امنیت سایبری مرکز Secarma ، به تازگی یک #آسیب_پذیری بر روی زبان PHP منتشر کرده که بخش Installations سیستم مدیریت محتوا Wordpress را آسیب پذیر خواهد کرد. بر اساس گزارش منتشره، این آسیب پذی که از نوع Code Execution بوده در تاریخ 28 فوریه 2017 به تیم امنیتی وردپرس گزارش شده، اما تا به امروز این آسیب پذیری رفع نشده است.
این آسیب پذیری تنها سیستم مدیریت محتوا Wordpress را هدف نمی گیرد، چراکه آسیب پذیری در زبان برنامه نویسی PHP بوده و تمامی Application های PHP-based را تحت تأثیر خود قرار خواهد داد. این آسیب پذیری در ساختار Deserialization زبان برنامه نویسی PHP وجود دارد که همان عملکرد بازگرداندن String ها به PHP Object ها می باشد. از سال 2009 که اولین بار محقق امنیت سایبری آلمانی به نام Stefan Esser حمله موفقیت آمیز به ساختار Deserialization را منتشر کرد، بارها آسیب پذیری های مشابه و Exploit های آنها توسط روش های مختلف منتشر شده است که باعث حملات مختلف بر علیه سرورها و PHP Application ها شده است.
آسیب پذیری جدید منتشر شده باعث می شود که نفوذگر بتواند داده های مد نظر خود را بر روی سرور قربانی Upload کند. این خود باعث می شود که راهی برای فراخوانی phar:// را برای نفوذگر فراهم کند در نهایت امکان اجرای کدهای آلوده بر روی سرور قابل انجام خواهد بود. این آسیب پذیری بر روی پروسه عملکرد توابع thumbnail در سیستم مدیریت محتوا Wordpress اثر می گذارد و در صورت Upload فایلهای عکس آلوده بر روی سرور مد نظر، امکان Exploit کردن این آسیب پذیری برای نفوذگر فراهم می گردد. در تحقیقات اولیه علاوه بر Wordpress، سیستم مدیریت محتوا Typo3 و Contao هم دارای این آسیب پذیری هستند. شایان ذکر است که برای انجام این حمله به وردپرس، دو فایل متفاوت Payload ؛ یکی برای نسخه 4.9 و دیگری برای نسخه های پایین تر باید آماده گردد. بر خلاف وردپرس که تا این لحظه (آماده سازی این مطلب) به روز رسانی برای رفع آسیب پذری فوق ارائه نکرده است، تیم پشتیبانی Typo3 در آخرین به روز رسانی خود این آسیب پذیری را رفع نموده است.
این آسیب پذیری در هفته گذشته در دو کنفرانس BlackHat و BSides معرفی شده است. همچنین بر روی کتابخانه TCPDF هم وجود دارد که برای کار کردن با فایلهای PDF در زبان PHP می باشد. برای جلوگیری از حمله بر علیه این CMS ها و کتابخانه های مشابه، به روز رسانی هایی که در چند روز آینده ارائه خواهند شد را حتما بر روی سامانه های خود اعمال نمائید.
در روزهای اخیر #آسیبپذیری سرریز بافر بر روی #SQL_SERVER توسط شرکت مایکروسافت گزارش گردیده است. آسیب پذیری (CVE-2018-8273) درServer SQLاین اجازه را به حمله کننده میدهد تا بر روی سیستم قربانی با سطح دسترسی حساب Database Engine، به اجرای کد بپردازد. برای بهرهبرداری از این آسیبپذیری، حمله کننده میبایست یک درخواست SQLخاص را به سرویسدهنده ارسال کند.
مایکروسافت تنها روش جلوگیری از حمله توسط این آسیبپذیری را بروزرسانی محصول اعلام کرده است. نکته بسیار مهم این آسیبپذیری، وجود آن بر روی سرویسدهنده SQL Server 2017 لینوکس است. لذا لازم است اگر بر روی کانتینرهای داکر خود از این سرویس استفاده کرده اید، آن را نیز بهروز رسانی کنید.
وصلههای امنیتی زیر توسط مایکروسافت به شرح ذیل برای این محصولات ارائه شده است.
نام محصول |
لینک وصله امنیتی |
Microsoft SQL Server 2016 for x64-based Systems Service Pack 1(KB44293801) | |
Microsoft SQL Server 2016 for x64-based Systems Service Pack 1 (CU)(KB4293808) |
|
Microsoft SQL Server 2016 for x64-based Systems Service Pack 2(KB4293802) |
|
Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (CU)(KB4293807) |
|
Microsoft SQL Server 2017 for x64-based Systems RTM(KB4293803) |
|
Microsoft SQL Server 2017 for x64-based Systems RTM (CU)(KB4293805) |
|
کمپانی #سیسکو به روز رسانی امنیتی مهمی را در تاریخ 13 آگوست 2018 منتشر کرده که این به روز رسانی برای سیستم عامل IOS و IOS XE خود می باشد و در بسیاری از محصولات سیسکو به کار می رود. این آسیب پذیری که با شماره شناسایی CVE-2018-0131 معرفی شده، یکی از حملات جدید cryptographic بر علیه پروتکل IKE می باشد که در IPSec مورد استفاده قرار می گیرد. معرفی این حمله جدید که به تازگی در مقاله ای با نام The Dangers of Key Reuse: Practical Attacks on IPsec IKE منتشر شده است، هفته ی آینده در بیست و هفتمین نشست امنیتی USENIX در شهر بالتیمور ایالت مریلند آمریکا صورت خواهد گرفت.
محققین اعلام کردند که پیاده سازی این حمله بر علیه پروتکل IKEv1 در Cisco با شماره شناسایی CVE-2018-0131، در Huawei با شماره شناسایی CVE-2017-17305 ، در Clavister با شماره شناسایی CVE-2018-8753 و در ZyXEL با شماره شناسایی CVE-2018-9129 معرفی خواهند شد. یکی نفز از این محققین که از دانشگاه Ruhr-University بوخوم آلمان و دو نفر دیگر از دانشگاه Opole لهستان هستند اعلام کردند که این آسیب پذیری ها را به سازندگان محصولات اطلاع داده اند که پاسخ سازندگان دستگاه های آسیب پذیر این بوده است که به روز رسانی هایی برای رفع این آسیب پذیری ها منتشر کرده اند.
در این میان که سیسکو بیشترین محصولات آسیب پذیر را دارا بوده است، مشخص شده که سیستم عامل IOS و IOS XE آسیب پذیر هستند که با شماره شناسایی CVE-2018-0131 معرفی شده است ، اما سیستم عامل نسخه IOS XR که به طور عمده تر در محصولات روترهای سیسکو مورد استفاده قرار می گیرد، به علت تفاوت در نوع کُدنویسی آن، آسیب پذیر نمی باشد. امروز سیسکو به روز رسانی برای هر دو سیستم عامل خود منتشر کرد و اعلام کرد که دستگاه های دارای دو سیستم عامل فوق که دارای تنظیمات احراز هویت rsa-encr هستند آسیب پذیر می باشند.
بر اساس توضیحات سیسکو، این آسیب پذیری از راه دور به نفوذگران احراز هویت نشده این اجازه را می دهد که Encrypted Nonces از یک نشست کاری رمزنگاری شده با استفاده از پروتکل IKEv1 را با موفقیت بدست بیاورند. علت وجود این آسیب پذیری، اشتباه در عملیات Decryption در نرم افزار پاسخ دهنده می باشد. نفوذگر می تواند با استفاده از یک متن رمزنگاری شده خاص که برای فرستادن به دستگاه دارای پروتکل IKEv1 طراحی شده است، اطلاعات مربوط به رمزنگاری RSA استفاده شده در آن پروتکل را بدست بیاورد. همچنین نفوذگر می تواند با بازآوری IKEv1 Nonces ها، دیتاهای رمزنگاری رد و بدل شده توسط پروتکل IPSec را که در اغلب ساختارهای VPN مورد استفاده قرار می گیرد را رمزگشایی کنند.
توصیه اکید به مدیران شبکه در سازمانها و شرکت ها می شود که سریعاً دستگاه های خود را که شامل این آسیب پذیری می شود به روز رسانی کنند.
به تازگی نسخه جدیدی از #باج_افزار GandCrab مشاهده شده است. نسخه 4.1.2 باجافزار معروف GandCrab با تغییراتی قابل توجه منتشر شده است. از جمله این تغییرات میتوان به استفاده از الگوریتم متفاوت رمزگذاری، الصاق پسوند KRAB به فایلهای رمزگذاری شده، تغییر نام فایل اطلاعیه باجگیری و در دسترس قرار گرفتن یک سایت پرداخت جدید در شبکه ناشناس TOR اشاره کرد. در نسخه جدید از الگوریتم رمزگذاری Salsa20 استفاده میشوند. در بخشی از کدهای این نسخه نیز به دنیل برنشتاین خالق این الگوریتم اشاره شده و به نوعی از او تقدیر بهعمل آمده است.
هنگامی که باج افزار GandCrab اجرا می شود، تمام شبکه را اسکن می کند تا تمام فایل هایی که میتواند رمزگذاری کند را آلوده کند.
هنگامی که فایلی را آلوده می کند پسوند KRAB. را به نام فایل رمزگذاری شده اضافه می کند.
به منظور بررسی اینکه آیا سیستم از قبل آلوده شده است یا نه و جلوگیری از اجرای دوباره ی فایل اجرایی باج افزار و از بین بردن دائمی باج افزار، یک فایل .lock با یک mutex ایجاد می کند.
فناوری امنیت سایبری #EDR (پاسخگویی و تشخیص نقاط پایانی)، نیاز به نظارت و پاسخگویی مستمر به تهدیدهای امنیتی پیشرفته را برآورده میکند. در اینجا فهرستی از مهمترین فناوریهای EDR قابل توجه، آمده است.
EDR یک فناوری امنیت سایبری است که نیاز به نظارت و پاسخ مستمر به تهدیدهای امنیتی را برآورده میکند. این فناوری زیرمجموعهای از فناوری امنیت نقاط پایانی و بخش حساسی از وضعیت مطلوب امنیتی است. EDR با سایر بسترهای حافظت نقاط پایانی (EPP) مانند آنتیویروس و ضدتروجان متفاوت است. آنها تمرکز عمده خود را بر توقف خودکار تهدیدها در مرحله پیش از اجرا نگذاشتهاند ولی EDR یک مشاهده و بینش درستی از نقاط پایانی را فراهم میکند تا به تحلیلگرها در جهت کشف، بررسی و پاسخگویی به تهدیدات بسیار پیشرفته و حملات گستردهتر که در نقاط پایانی متعدد گسترش مییابند، مساعدت کند. با این وجود بسیاری از ابزارهای تشخیص و پاسخگویی نقاط پایانی، EDR را با EPP ترکیب میکنند.
2 گستردگی EDR
بازار EDR با دلیلی منطقی، به سرعت در حال رشد است. نقضهای (breaches) امنیتی بیش از زمانهای دیگر در حال افزایش است و اغلب از طریق نقاط پایانی، به شبکه راه مییابند. تنها چیزی که جهت رخنه و ورود مخفیانه موردنیاز است یک کاربر با اطلاعات کم در زمینههای امنیتی و افرادی که از آنها سوءاستفاده کنند، است.
شرکت Sophos دریکی از جدیدترین فعالیتهای خود یک آنالیز دقیقی از گروه بسیار خطرناک #باج_افزار، که تحت عنوان SamSam نامگذاری شده، ارائه کرده است. آزمایشگاه FortiGuard بهعنوان عضوی از Fortinet با اتحادیه تهدید سایبری (CTA), کلیه شاخصهای مرتبط با این تسخیر (IoCs ) را قبل از انتشار، برای اطمینان از اینکه مشتریان FortiGuard از آخرین افشا، محافظت میشوند, دریافت کرده است. باجافزار SamSam، برای اولین بار در اواخر سال 2015 بهعنوان یک خطر با مشخصه ریسک پایین، ظاهر شد. ولی از آن موقع بهشدت گسترشیافته است و طیف وسیعی از سازمانها، مؤسسات بهداشت و درمان و آموزشوپرورش و دولتهای محلی را مورد هدف قرار داده است. Sophos برآورد کرده است که تا به امروز، گروه مسئول SamSam تقریباً شش میلیون دلار از قربانیان خود اخاذی کرده است. SamSam با کمک یک استراتژی متمرکز جهت بهرهبرداری از آسیبپذیریها و سپس بهصورت انتقال جانبی در طول شبکه بهسمت هدف شناساییشده، ماشینهای قفلشده را مورد هدف قرار میدهد. جهت جلوگیری از تشخیص، این حملات معمولاً در زمان حسابشده، بعد از ساعات کاری، انجام میشود.