فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «گزارشات تحلیلی»
ایجاد‌کننده اطلاع‌رسانی‌ها

یک #‫تروجان با دسترسی از راه دور (RAT) به نام #Parallax به طور گسترده در حال توزیع از طریق کمپین های مخرب اسپم می باشد. هنگامی که یک سیستم ویندوزی به این تروجان آلوده شود مهاجم می تواند کنترل کامل آن سیستم را در دست بگیرد.
مهاجم از این بدافزار برای دسترسی به سیستم قربانی استفاده می کند تا به نام کاربری و رمزهای عبور ذخیره شده در سیستم دسترسی پیدا کند و همچنین بتواند دستورات دلخواه خود را اجرا کند سپس از این اطلاعاتی که جمع آوری کرده است میتواند برای سرقت هویت قربانی، دسترسی به حساب های بانکی و توزیع بیشتر این تروجان استفاده کند.
یک محقق امنیتی MalwareHunterTeam از دسامبر سال 2019 نمونه هایی از تروجان Parallax را ردیابی کرده است.

دانلود گزارش تحلیلی

4 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
حملات فعال به بیش از یک میلیون سایت وردپرسی از طریق آسیب‌پذیری افزونه Duplicator

یک #‫آسیب‌پذیری بحرانی با درجه حساسیت مهم در یکی از معروف‌ترین افزونه‌های وردپرسی به نام Duplicator یافت شده است. بیش از یک میلیون سایت وردپرسی تحت تاثیر این آسیب‌پذیری که به مهاجم اجازه‌ی دانلود فایل دلخواه از وب‌سایت قربانی را می‌دهد، قرار دارند. در این گزارش به بررسی قطعات کد آسیب‌پذیر، اهمیت آن و جزییات حملات در حال انجام توسط این آسیب‌پذیری می‌پردازیم.

دانلود پیوست

4 اسفند 1398 برچسب‌ها: گزارشات تحلیلی, اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

تروجان بانکی Emotet نخستین بار توسط محققان امنیتی در سال 2014 کشف و گزارش شد. Emotet در اصل یک بدافزار بانکی بود که با نفوذ به سیستم قربانی، اطلاعات شخصی و حساس قربانی را به سرقت می‌برد. این بدافزار برای انتشار از طریق ایمیل‌های اسپم عمل می‌کرد و تاثیر خود بر قربانی را با اسکریپت‌های مخرب، فایل‌هایی با قابلیت اجرای macro یا لینک‌های مخرب کامل می‌کرد. همچنین این بدافزار برای دریافت به‌روزرسانی خود از سرورهای C&C استفاده می‌کند.
روش جدید مورد استفاده Emotet به بدافزار اجازه میدهد تا شبکه‌های WiFi آسیب‌پذیر و ناامن محلی و دستگاه‌های متصل به آن را با استفاده از حلقه‌های brute-force آلوده کند.
1 روش جدید مورد استفاده این بدافزار
به گفته محققان، اگر بدافزاری بتواند در این شبکه‌های wifi محلی منتشر شود، تلاش می‌کند دستگاه‌های متصل به آن را نیز آلوده کند – روشی که سرعت انتشار Emotet را افزایش می‌دهد. پیش از این تصور می‌شد این بدافزار فقط از طریق malspam و شبکه‌های آلوده منتشر می‌شود، اما اگر شبکه‌ها از پسوردهای نا امن استفاده کنند، شبکه‌های بی سیم محلی نسبت به این بدافزار آسیب‌پذیر هستند.
1-1 انتشار Emotet
این بدافزار برای آلوده کردن اولین سیستم از یک فایل فشرده که حاوی دو فایل باینری دیگر به نام‌های worm.exe و service.exe است برای انتشار از طریق WiFi استفاده می‌کند. Worm.exe با اجرای خودکار خود اطلاعات شبکه‌های بی‌سیم (نام شبکه، گذرواژه و اطلاعات امنیتی) را ضبط می‌کند؛ و برای این کار از رابط wlanAPI استفاده می‌کند.
کتابخانه wlanAPI، یکی از کتابخانه‌های استفاده شده در رابط برنامه‌نویسی نرم‌افزار wifi محلی است (API) که مشخصات شبکه‌های بی‌سیم و اتصالات آن را مدیریت می‌کند.
زمانی که یک دستگاه wifi هدف گرفته شد، بدافزار از ابزاری به نام WlanEnumInterfaces که تعداد شبکه‌های wifi موجود در سیستم قربانی را شمارش می‌کند، استفاده می‌کند. این ابزار شبکه‌های بی‌سیم شمرده شده را در مجموعه‌ای از ساختارها که شامل اطلاعات مربوط SSID، سیگنال، رمزگذاری، روش تصدیق شبکه می‌باشد، بر‌می‌گرداند.


شکل شماره 1: مکانیزم انتشار Emotet

هنگامی که داده‌های هر شبکه به دست آمد، بدافزار اتصال را با استفاده از حلقههای brute-force برقرار می‌کند. مهاجمان برای ایجاد اتصال از یک گذرواژه بدست آمده از «لیستهای رمز عبور داخلی» (اینکه لیست رمز عبور داخلی چگونه بدست آمده است مشخص نیست) استفاده می‌کنند. اگر اتصال نا‌موفق باشد، تابع، گذرواژه بعدی در لیست گذرواژه‌ها را انتخاب می‌کند.
اگر گذرواژه صحیح باشد و اتصال برقرار شود، بدافزار 14 ثانیه قبل از ارسال درخواست HTTP POST به سرور فرمان و کنترل (C2) روی پورت 8080، غیر فعال شده و با شبکه wifi ارتباط برقرار می‌کند. سپس شمارش را آغاز کرده و گذرواژه‌ی همه کاربران (شامل حساب های کاربری admin) را روی شبکه‌های آلوده شده جدید brute-force می‌کند. اگر هر کدام از brute-forceها موفقیت آمیز باشد، worm.exe فایل باینری دیگری به نام service.exe را در دستگاه‌های آلوده نصب می‌کند. برای ایجاد ماندگاری در سیستم فایل باینری مذکور با پوشش سرویس سیستم مدافع ویندوز (WinDefService) قرار می‌گیرد.
طبق گفته محققان، با داشتن بافرهایی که شامل لیستی از همه‌ی نام کاربری‌هایی که گذرواژه آنها با موفقیت brute-force شده‌اند، یا حساب کاربریadmin و گذرواژه آن، worm.exe می‌تواند service.exe را در سایر سیستم‌ها منتشر کند. درواقع Service.exe یک payload آلوده است که توسط worm.exe و از راه دور روی سیستم آلوده نصب می‌شود. این فایل باینری دارای نشانگر PE از تاریخ 01/23/2020 است، یعنی تاریخی که برای اولین بار بدافزار توسط Binary Defense کشف شد. پس از قرارگیری service.exe در سیستم و ارتباط آن با C2، Emotet در سیستم جدید قابل اجرا شده و سعی می‌کند تا حد ممکن دستگاه‌های بیشتری را آلوده کند.
2 راه‌های مقابله
بدافزار Emotet که به عنوان یک تروجان بانکی در سال 2014 کار خود را آغاز کرد، به طور مداوم تکامل یافته و به یک مکانیسم تهدیدآمیز تبدیل شده است و می‌تواند مجموعه‌ای از بدافزارها شامل سارقان اطلاعاتی، جمع‌کنندگان ایمیل، مکانیسم‌های انتشار خودکار و باج افزار را در سیستم قربانی نصب کند.
جهت جلوگیری از انتشار این بدافزار پیشنهاد می‌شود تا از گذرواژه‌های قوی برای ایمن کردن شبکه‌های بی‌سیم استفاده شود.
استراتژی‌های تشخیص این بدافزار:
 نظارت فعال بر نقاط انتهایی سرویس‌های جدید و بررسی خدمات مشکوک هر فرآیند در حال اجرا از پوشههای موقت و پوشههای داده برنامه کاربردی کاربر
 نظارت بر شبکه نیز یکی از راه‌های شناسایی موثر است؛ چراکه اگر ارتباطات بدون رمزگذاری باشند، الگوهای قابل تشخیصی وجود دارند که محتوای پیام بدافزار را شناسایی می‌کنند.

4 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

در این گزارش، به بررسی برنامه #‫فیلترشکن، از دسته بدافزارهای #‫پوشفا پرداخته شده که به تازگی مجددا اقدام به تولید و انتشار بدافزار کرده است. این بدافزار با داشتن مجوزهای دریافت، خواندن و ارسال پیامک قادر است قربانی را عضو سرویس‌های ارزش‌افزوده نماید. مرکز کنترل و فرمان بدافزار نیز در آدرس https://pushfa.app/ قرار دارد که از طریق آن می‌تواند اقدامات مختلفی از جمله دانلود و نصب برنامه دیگر، باز کردن لینک در مرورگر و تلگرام، ارسال پیامک و ... روی دستگاه قربانی انجام دهد. این بدافزار در تلگرام توسط گسترده‌های تبلیغاتی در چندین کانال منتشر شده و ممکن است قربانیان زیادی داشته باشد. در ادامه به بررسی بیشتر بدافزار فیلترشکن پرداخته شده است.

بررسی برنامه فیلترشکن

نام

نام بسته

حجم فایل

نام توسعه‌دهنده

SHA 256

فیلترشکن

com.apppush.vpnapp

3.27 MB

androiddev

e19b9360644c706ae95b623d677b342101a19ecf219a2a5e5571630acfc1f3d2

دانلود گزارش تکمیلی

23 بهمن 1398 برچسب‌ها: گزارشات تحلیلی, اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

در تاریخ 17 ژانویه سال 2020 میلادی، نسخه جدیدی از باج‌افزار #MegaCortex در فضای سایبری مشاهده شد. نسخه اولیه این باج‌افزار که به عنوان Ragnarok شناخته می‌شود، پسوند .ragnarok_cry را به انتهای فایل‌های رمزشده اضافه می‌کند. براساس تحقیقات صورت گرفته و شواهد موجود، این باج‌افزار Windows Defender و Firewall ویندوز را پیش از اجرا، غیرفعال می‌کند. همچنین درصورتی که زبان نصب شده و فعال سیستم قربانی شامل زبان یکی از کشورهای روسیه، بلاروس، بخش تاتار روسیه، ترکمنستان، اوکراین، لیتوانی، قزاقستان، آذربایجان و چین باشد، فایل باج‌افزار بر روی آن سیستم اجرا نخواهد شد. تحلیل پیش رو، مربوط به نسخه به روزرسانی شده باج‌افزار Ragnarok در تاریخ 23 ژانویه 2020 می‌باشد. این نسخه پسوند .ragnarok را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند.

دانلود پیوست

23 بهمن 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

تروجان قدرتمند بانکی به نام #DanaBot که نخستین بار در ماه می سال 2018 کشف شد با تمرکز بر سرویس‌های موسسات مالی فعالیت خود را در اروپا و استرالیا ادامه می‌دهد. DanaBot از زمان ظهور تاکنون رشد قابل توجهی داشته است و مشابه تروجان بانکی Zeus به واسطه‌ی ماژول‌های plug-and-play (که می‌تواند سریعاً تاکیک و اولویت‌ها را تغییر دهد) شهرت یافته است.
مشابه بسیاری دیگر از تروجان‌های بانکی، DanaBot نیز مرتباً تاکتیک‌های خود را تغییر می‌دهد. این تغییرات ابتدا در سپتامبر سال 2019 مشاهده شد:
DanaBot در سپتامبر 2019 حوزه فعالیت خود را از موسسات مالی به پلتفرم‌های ecommerce و شبکه‌های اجتماعی تغییر داد؛ این بدافزار ریشه‌های تروجان بانکی خود را ترک نکرده بود بلکه حوزه فعالیت خود را به اهداف جدید توسعه داده بود.
در ادامه‌ی افزودن اهداف جدید، DanaBot از یک ماژول باج افزار استفاده کرد که نشان از تغییر اولویت‌های این بدافزار دارد.

دانلود پیوست

23 بهمن 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

SaveTheQueenیکی از #‫بدافزارهای رمزگذار فایل ­های سیستم می­ باشد که در اواخر نوامبر 2019 میلادی طراحی شده و در دسامبر 2019 میلادی انتشار یافته است. این بدافزار برخلاف #‫باج_افزار ها هیچگونه فایل راهنما جهت تماس با مهاجمان ایجاد نکرده و تنها به رمز کردن فایل­های سیستم اکتفا می­کند. براساس گفته ­های محققان، الگوریتم مورد استفاده شده در این بدافزار AES-256می ­باشد و از طریق فایل­ های مخرب ایمیل­ های اسپم، وب­سایت­های مخرب و موجود در تورنت و تبلیغات مخرب وارد سیستم می­شود. همچنین براساس یافته­ ها، باج­ افزاری نیز قبل از این با این نام انتشار یافته­ است که عملکرد مشابهی را در سیستم داشته ولی از تفاوت­های آن می­توان به وجود فایل راهنما اشاره کرد. این بدافزار توانایی رمزگذاری فایل­ های با متن فارسی را داشته و آن­ها را بدون استفاده می­کند.

دانلود پیوست

10 دی 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

#Gafgyt که با نام #Bashlite نیز شناخته می‌شود یکی از معمول‌ترین انواع بدافزار است که از سال 2014 در حال آلوده کردن دستگاه‌های اینترنت اشیا می‌باشد. گونه‌ی جدیدی از این بدافزار روترهای SOHO (روترهای کوچک اداری و خانگی) با برندهای معروف مانند Huawei و Asus را مورد هدف قرار داده است. در گونه‌ی جدید، عملکرد اصلی بدافزار Gafgyt یعنی حمله به دستگاههای اینترنت اشیا و تحت کنترل گرفتن آنها با بهره‌برداری از آسب‌پذیری‌های شناخته شده جهت استفاده از توانشان در حملات DDoS به قوت خود باقی است. در این گونه جدید موارد زیر مشاهده می‌شود:
• در این گونه جدید، بدافزار برای فعال نگه داشتن بات‌نت خود، 48 نوع بات‌نت رقیب دیگر را متوقف می‌کند، که در این بین 56 درصد از بات‌نت‌ها، بات‌نت‌هایی شناخته شده‌ی حوزه اینترنت اشیا هستند.
• روترهای Huawei HG532 و Asus را از طریق آسیب‌پذیری‌های شناخته شده CVE-2017-17215 و CVE-2018-15887 هدف قرار می‌دهد.
• هدف حملات DDoS سرورهای game خصوصاً سرورهای Valve Source Engine است.

دانلود پیوست

9 دی 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫باج_افزار Angus یکی از باج افزارهای جدید و خانواده Phobos می باشد که در ماه نوامبر 2019 میلادی انتشار یافته است.این باج افزار از طریق فایل های ضمیمه ایمیل های اسپم و آسیب پذیری-های موجود وارد سیستم شده و بعد از نصب و راه اندازی با استفاده از الگوریتم رمزنگاری AES، اقدام به تغییر فایل های سیستم کرده و پسوند .id[ID].[decrypt@files.mn].angus را به انتهای هر فایل اضافه می کنند. همچنین به گفته محققان در برخی موارد مشاهده شده است که مهاجمان با اسکن سیستم هایی که RDP در آن ها فعال می باشد (با اسکن پورت 3389)، این باج افزار را وارد سیستم کاربر قربانی شده، می کنند.

دریافت پیوست

3 دی 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫باج_افزار Kharma یکی از بدافزارهای رمزگذار فایل و از خانواده Dharma/Crysis می باشد که در ماه نوامبر 2019 میلادی از طریق فایل های ضمیمه ایمیل های آلوده، وب سایت های تورنت و تبلیغات مخرب انتشار یافته است که برای اولین بار توسط Raby کشف شده است. با توجه به فایل ایجاد شده توسط باج افزار در سیستم مهاجمان ادعا می کنند که فایل های سیستم با استفاده از الگوریتم RSA2048 رمزشده است. تمام فایل هایی که به صورت رمزشده درآمده اند به انتهای آن ها پسوند .id-ID.[teammarcy10@cock.li].kharma اضافه شده و در داخل هر پوشه دو فایل راهنما با نام-های RETURN FILES.txt و Info.hta ایجاد می گردد.

دریافت پیوست

3 دی 1398 برچسب‌ها: گزارشات تحلیلی
صفحات: 1 2 3 4 5 ... » »»