‫ اخبار

جدیدترین آمارها نشان می‌دهد که #‫بدافزارهایی که در ماه جولای شناسایی شده‌اند با لیست 10 بدافزار مخرب ماه قبل همخوانی دارند، البته مقداری افزایش در فعالیت بدافزار‌های #‫WannaCry و #‫Tinba هم مشاهده شده است.
افزایش فعالیت بدافزار #‫Trickbot باعث مقداری افزایش در خانواده بدافزاری Multiple شده است و کاهش قابل توجه فعالیت‌های بدافزار Qakbot هم موجب کاهش در خانواده dropped شده است.
خانواده‌های مخربی که در این ماه بسیار مطرح بوده‌اند به صورت زیر می‌باشد:
Dropped: این خانواده شامل بدافزارهای موجود بر روی سیستم، کیت‌های اکسپلویت و نرم‌افزارهای آلوده شخص ثالث می‌شود. بدافزارهای Gh0st و Pushdo در این خانواده قرار دارند.
Malspam: ایمیل‌های ناخواسته که کاربر را ترغیب به دانلود بدافزار از سایت‌های مخرب و یا باز کردن پیوست‌های مخرب موجود در ایمیل‌ها می‌کند. بدافزارهای NanoCore، Dridex، Tinba و Kovter در این خانواده قرار دارند.
Malvertising: بدافزارهایی که به منظور تبلیغات مخرب استفاده می‌شوند.
Network: بدافزارهایی که از پروتکل‌های قانونی شبکه یا ابزارهای آن مانند پروتکل SMB یا PowerShell از راه دور، بهره‌برداری می‌کنند.
Multiple: بدافزارهایی که در حال حاضر در حداقل دو خانواده بدافزاری فعالیت دارند. بدافزارهای ZeuS، CoinMiner و Trickbot حداقل در دو خانواده بدافزاری فعالیت دارند.
لیست ده بدافزار مخرب این ماه به صورت زیر است:

Trickbot
Dridex
WannaCry
ZeuS
NanoCore
CoinMiner
Kovter
Pushdo
Tinba (Tiny Banker)
Gh0st

شرکت #‫اپل به‌روزرسانی امنیتی مجموعه‌ای از محصولات خود شامل iOS، tvOS، Safari، macOS Mojave و watchOS را منتشر کرد تا برخی از آسیب‌پذیری‌های موجود در این محصولات را رفع کند.
سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها به شرح زیر می‌باشد:
• watchOS: نسخه‌های قبل از 5.3
• Safari: نسخه‌های قبل از 12.1.2
• tvOS: نسخه‌های قبل از 12.4
• iOS: نسخه‌های قبل از 12.4
• macOS Mojave: نسخه 10.14.6 و به‌روزرسانی امنیتی 2019-004 برای High Sierra و Sierra
بهره‌برداری موفق از این آسیب‌پذیری‌ها توسط مهاجمان می‌تواند موجب اجرای کد دلخواه در محتوای سیستم آسیب‌پذیر شود و مهاجم می‌تواند مجوزهایی مشابه مجوزهای یک کاربر لاگین شده را بدست آورد و محدودیت‌های امنیتی را دور بزند.
تابحال هیچ گزارشی از بهره‌برداری فعالانه از این آسیب‌پذیری‌ها توسط مهاجمان ارائه نشده است و همچنین ریسک و مخاطره این آسیب‌پذیری‌ها برای سازمان‌های دولتی و کسب‌و‌کارهای تجاری، در سطح بالا و برای کاربران عادی، در سطح پایین در نظر گرفته شده است.
توصیه می‌شود که وصله منتشر شده توسط اپل، سریعاً برای همه محصولات ذکر شده اعمال شود.

منابع:

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-apple-products-could-allow-for-arbitrary-code-execution_2019-074/

https://gbhackers.com/apple-released-security-updates-4/

#‫آسیب‌پذیری شناسایی شده در ماژول mod_copy سرویس دهنده #‫ProFTPd به شناسه CVE-2019-12815 به مهاجمین اجازه بارگزاری فایل بدون داشتن اختیارات کافی (write permission) را می دهد. این آسیب‌پذیری تحت شرایطی می تواند منجر به اجرای کد از راه دور بر روی سرور گردد. با توجه به اینکه آخرین نسخه این نرم‌افزار (۱.۳.۶ – کامپایل شده قبل از 7/17/2019) نیز آسیب‌پذیر است، لذا اکیدا توصیه می‌گردد اقدامات زیر صورت گیرد:
• بروزرسانی به آخرین نسخه
• غیرفعال سازی ماژول mod_copy در فایل کانفیگ
• حصول اطمینان از غیرفعال بودن دسترسی anonymous
طبق بررسی اولیه،‌ شمار زیادی از سرورهای متعلق به شرکت‌های میزبانی دارای سرورهای ProFTPd بروزنشده و آسیب‌پذیر هستند.

https://www.bleepingcomputer.com/news/security/proftpd-vulnerability-lets-users-copy-files-without-permission/
https://www.tenable.com/blog/cve-2019-12815-improper-access-control-vulnerability-in-proftpd-disclosed

در روزهای گذشته سوءاستفاده مهاجمین از ضعف ذاتی پروتکل CLDAP#(پورت 389/UDP) جهت ایجاد حملات DDoS‌ از نوع بازتابی/تقویتی (Amplification/Reflection) شدت گرفته است. این موضوع در گزارشات واصله مراکز CERTسایر کشورها نیز مشاهده شده است. به منظور پیشگیری از سوءاستفاده از سرورها و منابع شبکه خود لازم است نسبت به مسدودسازی دسترسی به سرویس­های LDAPو CLDAP(389 UCP/TCP) از طریق اینترنت اقدام فرمایید. این نقص امنیتی در کشور، در سرویس­ دهنده های Active Directoryسیستم عامل ویندوز بیشتر رایج است.

توضیحات بیشتر در گزارش پیوست جهت بهره برداری در دسترس است.

#‫مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. به‌روزرسانی‌ امنیتی در ماه Julyسال 2019 برای محصولات در درجه حساسیت بحرانی به صورت زیر بوده است:

• ChakraCore
• Microsoft Edge
• Internet Explorer
• Windows

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر می‌بایست با استفاده از فرمان winverدر CMDنسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.

شرکت #‫اینتل در یک به‌روزرسانی امنیتی، یک آسیب‌پذیری در محصولاتش را رفع کرد.

طبق این گزارش یک آسیب‌پذیری خطرناک در Intel Processor Diagnostic کشف شده است که این آسیب‌پذیری امکان ارتقای سطح دسترسی را از طریق نرم‌افزار می‌دهد و دارای شناسه CVE-2019-11133می‌باشد. این آسیب‌پذیری بر روی نسخه‌های قبل از 4.1.2.24این ابزار وجود دارد و با توجه به کنترل دسترسی نامناسب در این محصول، به مهاجم اجازه اجرای حملات منع سرویس و سرقت اطلاعات حساس را می‌دهد.

به کاربرانی که ابزار Intel Processor Diagnosticرا بر روی سیستم عامل خود کشف نموده‌اند توصیه می‌شود که این ابزار را به نسخه‌های 4.1.2.24یا بالاتر به‌روزرسانی نمایند.

شرکت #‫گوگل وصله‌هایی برای سیستم‌عامل اندروید منتشر کرد تا به‌طور کلی، 33 آسیب‌پذیری که شامل 9 آسیب‌پذیری بحرانی است، رفع کند.

این آسیب‌پذیری‌ها بر روی اجزای مختلف اندروید ازجمله سیستم‌عامل اندروید، چارچوب، کتابخانه، چارچوب رسانه‌ای و همچنین مؤلفه‌های کوالکام تأثیر می‌گذارند.

سه مورد از آسیب‌پذیری‌های بحرانی این ماه، در چارچوب رسانه‌ی اندروید قرار دارند که به یک مهاجم اجازه می‌دهند تا از راه دور و با استفاده از یک فایل خاص طراحی‌شده، کد دلخواه را در چارچوب یک فرایند خاص، اجرا کند.

از میان شش آسیب‌پذیری بحرانی دیگر، یکی از آن‌ها بر روی سیستم اندروید تأثیرمی‌گذارد.

دو آسیب‌پذیری بحرانی دیگر در مؤلفه‌های "DSP-Services" و "Kernel" و سه مورد در مؤلفه‌ی متن بسته‌‌ی کوالکام وجود دارند.

یک خطای دارای شدت بالا نیز در کتابخانه‌ی اندروید وجود دارد که می‌تواند به مهاجم، اجازه‌ی اجرای کد از راه دور دهد.

علاوه‌براین، یک خطای شدید در چارچوب اندروید وجود دارد که می‌تواند به یک برنامه‌ی مخرب نصب‌شده، اجازه‌ی دورزدن الزامات تعامل کاربر را بدهد تا بتواند به مجوز‌های اضافی دسترسی پیدا کند.

برای دریافت کلیک نمایید

#‫Adobeبه‌روزرسانی‌های امنیتی ماه جولای سال 2019 خود را جهت رفع آسیب‌پذیری‌های نرم‌افزارهای Bridge CC، Experience Managerو Dreamweaverمنتشر ساخته است.

هیچ یک از آسیب‌پذیری هایی که در این ماه توسط Adobeبرطرف شده‌اند، از نظر شدت، بحرانی نیست.

عمده‌ی آسیب‌پذیری‌های رفع‌شده در این به‌روزرسانی نسبتاً کوچک، به Adobe Experience Managerمربوط می‌شوند. این به‌روزرسانی، برای یک آسیب‌پذیری اسکریپت‌نویسی متقابل منعکس (Reflected Cross-Site Scripting)با شناسه‌ی ردیابی CVE-2019-7955و از نظر شدت «متوسط»، یک آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stores Cross-Site Scripting)با شناسه‌ی ردیابی CVE-2019-7954و از نظر شدت «مهم» و یک آسیب‌پذیری درخواست جعلی متقابل (Cross-Site Forgery Request) با شناسه‌ی ردیابی CVE-2019-7953و از نظر شدت «مهم» را که سوءاستفاده از همه‌ی آن‌ها می‌تواند منجر به افشای اطلاعات حساس شود، وصله منتشر کرده است.

این آسیب‌پذیری‌ها، نسخه‌های 6.0، 6.1، 6.2، 6.3از نرم‌افزار Adobe Experience Managerدر تمامی بسترها را تحت‌تأثیر قرار می‌دهند.

همچنین Adobeبرای یک آسیب‌پذیری با شدت «متوسط» موجود در Direct Download Installerنرم‌افزار Adobe DreamWeaver، وصله منتشر کرده است. این آسیب‌پذیری با شناسه‌ی CVE-2019-7956، یک نقص امنیتی افزایش امتیاز است که به بارگذاری ناامن کتابخانه مربوط می‌شود و می‌تواند برای انجام عملیات ربودن DLLمورد استفاده قرار گیرد. این آسیب‌پذیری تمامی نسخه‌های منتشرشده در سال 2018 و 2019 در بستر ویندوز را تحت‌تأثیر قرار می‌دهد.

علاوه‌براین، یک نقص امنیتی مهم خواندن خارج از محدوده (read out of bounds)با شناسه‌ی CVE-2019-7963در نرم‌افزار Adobe Bridge CCنیز در به‌روزرسانی امنیتی ماه جولای سال 2019 Adobeوصله شده است. این آسیب‌پذیری با شناسه‌ی ردیابی CVE-2019-7963، نسخه‌های 9.0.2و پیش از آن را در هر دو بستر ویندوز و macOSتحت‌تأثیر قرار می‌دهد و سوءاستفاده از آن می‌تواند منجر به افشای اطلاعات شود.

به کاربران توصیه می‌شود به منظور حفظ خود در برابر سوءاستفاده‌های بالقوه از این آسیب‌پذیری‌ها، مجوز به‌روزرسانی خودکار نرم‌افزارهای خود را فعال نمایند و آن‌ها را به آخرین نسخه‌ی موجود به‌روزرسانی کنند.

به تازگی #‫باج‌_افزار جدیدی به نام #‫SodinoKibi (همچنین معروف به Sodin یا REvil) کشف شده است که از آسیب‌پذیری روزصفرم ویندوز با شناسه‌ی CVE-2018-8453 به‌منظور افرایش امتیاز سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.
این آسیب‌‌پذیری که توسط محققان آزمایشگاه کسپرسکی کشف شده است، در به‌روزرسانی‌های امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. این آسیب‌پذیری پیش از وصله‌شدن، در ماه اوت سال 2018، توسط یک گروه هک دولتی به نام FruityArmor که هدف اصلی آن کاربران خاورمیانه بود، مورد سوءاستفاده قرار گرفته بود. حال محققان کسپرسکی همان آسیب‌پذیری را در باج‌افزار sodin کشف کرده‌اند که به گفته‌ی آنها، به ندرت چنین آسیب‌پذیری در باج‌افزار استفاده می‌شود.
در حال حاضر این باج‌افزار در سراسر جهان در حال گسترش است و عمده‌ی آلودگی‌های آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگ‌کنگ و کره‌جنوبی (8.78%). کشورهای دیگری که Sodinokibi در آن‌ها شناسایی شده‌ است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالات‌متحده امریکا (2.44%) و مالزی (2.2%).
با آمدن باج‌افزار Sodin، باج‌افزار GandCrab تمامی فعالیت‌های اداری خود را در ماه گذشته متوقف ساخته است. GandCrab فعال‌ترین باج‌افزار تاکنون بوده است (نه تنها در سال جاری، بلکه در سال گذشته). برخی از اعضای جامعه‌ی امنیت اطلاعات، Sodin را وارث GandCrab و عده‌ای آن را مکمل GandCrab می‌دانند که به احتمال زیاد توسط همان گروه از توسعه‌دهندگان ایجاد شده است.
محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه می‌دهد به امتیاز سیستمی دست یابد را منتشر ساخته‌اند. Sodin به‌منظور افزایش امتیاز از یک آسیب‌پذیری روزصفرم در win32k.sys سوءاستفاده می‌کند. بدنه‌ی هر نمونه Sodin شامل یک قطعه‌ پیکربندی رمزنگاری‌‌شده است که تنظیمات و داده‌‌های استفاده‌شده توسط بدافزار را ذخیره می‌سازد. پس از راه‌اندازی، Sodin قطعه‌ی پیکربندی را بررسی می‌کند که آیا گزینه‌ای که سوءاستفاده را به کار می‌گیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازنده‌ای که اجرا می‌کند را بررسی می‌کند و سپس یکی از دو shellcode گنجانده‌شده در بدنه‌ی این تروجان را بسته به معماری پردازنده، اجرا می‌کند. این shellcode تلاش می‌کند یک سری خاص از توابع WinAPI با آرگومان‌های ساختگی مخرب را به‌منظور راه‌اندازی آسیب‌پذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست می‌یابد. در اینجا هدف این است که راه‌حل‌های امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری داده‌ها پیاده‌سازی می‌کند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایل‌ها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده می‌کند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار کد سخت (hardcoded) شده است رمزگذاری و نتیجه در رجیستری ذخیره می‌شود.
پس از رمزگذاری فایل‌ها، sodinokibi یک افزونه‌ی تصادفی که برای هر رایانه‌ای که آلوده کرده است متفاوت است را ضمیمه می‌کند.
کد مخرب Sodin فایل‌های با پوسته‌های صفحه‌کلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد.
پیکربندی Sodin شامل فیلدهای کلید عمومی، شماره ID برای کمپین و توزیع‌کننده و برای بازنویسی داده‌‌ها، نام مسیرها و فایل‌ها، لیست افزونه‌هایی که رمزگشایی نشده‌اند، نام فرایندهایی که باید به آن‌ها خاتمه دهد، آدرس‌های کارگزار C2، قالب نوشته‌ی باج و یک فیلد برای استفاده از سوءاستفاده‌ به‌منظور دستیابی به امتیاز بالاتر در ماشین است.
آنچه مهاجمان Sodin را پیچیده‌تر می‌سازد، استفاده‌ی آن‌ها از تکنیک Heaven’s Gate است. Heaven’s Gate تکنیکی است که به یک فرایند 32 بیتی تروجان اجازه می‌دهد تکه کدهای 64 بیتی را اجرا کند. بسیاری از debuggerها از چنین معماری پشتیبانی نمی‌کنند؛ در نتیجه استفاده از این تکنیک، تجزیه و تحلیل بدافزار را برای محققان دشوار می‌سازد. همچنین تکنیک قدیمی Heaven’s Gate ممکن است به‌منظور دورزدن راه‌حل‌های امنیتی مانند دیواره‌های آتش و برنامه‌های آنتی‌ویروس نیز مورد استفاده قرار گیرد.
Heaven’s Gate در انواع مختلف بدافزارها از جمله کاونده‌های سکه مشاهده شده است؛ اما این اولین باری است که محققان کسپرسکی استفاده‌ی این تکنیک را در یک کمپین باج‌افزاری مشاهده کرده‌اند.
Sodin به عنوان یک باج‌افزار-به عنوان-یک-سرویس (RaaS) طراحی شده است؛ بدین معنی که اپراتورها می‌توانند روش گسترش را انتخاب کنند و به گفته‌ی محققان، این طرح به مهاجمان اجازه می‌دهد به توزیع باج‌افزار از طریق کانال‌ها ادامه دهند. این باج‌افزار در حال حاضر از طریق نرم‌افزار کارگزار آسیب‌پذیر به کارگزار آسیب‌پذیر و همچنین از طریق malvertising و ابزارگان سوءاستفاده به نقطه پایانی‌ها (endpoints) در حال گسترش است.

#‫دژفا مجموعه از سامانه ها است که برای رصد وضعیت تهدیدات و افزایش توان مقابله با آسیب ها در فضای سایبری کشور توسط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌‌ای کشور که نقش certملی ایران را بر عهده دارد در دست توسعه می باشد. اجزای این سامانه عبارتند از:

سامانه ملی تله افزار

سامانه بومی کاوشگر

سامانه بومی سمات

سامانه بومی بینا

سامانه بومی چکاپ

سامانه بومی سایمان

سامانه بومی دانا

سامانه عمومی سینا (PTAAS)

سامانه بومی سویه (IDS)

سامانه چتر امن