اخبار
#باج_افزار Angus یکی از باج افزارهای جدید و خانواده Phobos می باشد که در ماه نوامبر 2019 میلادی انتشار یافته است.این باج افزار از طریق فایل های ضمیمه ایمیل های اسپم و آسیب پذیری-های موجود وارد سیستم شده و بعد از نصب و راه اندازی با استفاده از الگوریتم رمزنگاری AES، اقدام به تغییر فایل های سیستم کرده و پسوند .id[ID].[decrypt@files.mn].angus را به انتهای هر فایل اضافه می کنند. همچنین به گفته محققان در برخی موارد مشاهده شده است که مهاجمان با اسکن سیستم هایی که RDP در آن ها فعال می باشد (با اسکن پورت 3389)، این باج افزار را وارد سیستم کاربر قربانی شده، می کنند.
دریافت پیوست
#باج_افزار Kharma یکی از بدافزارهای رمزگذار فایل و از خانواده Dharma/Crysis می باشد که در ماه نوامبر 2019 میلادی از طریق فایل های ضمیمه ایمیل های آلوده، وب سایت های تورنت و تبلیغات مخرب انتشار یافته است که برای اولین بار توسط Raby کشف شده است. با توجه به فایل ایجاد شده توسط باج افزار در سیستم مهاجمان ادعا می کنند که فایل های سیستم با استفاده از الگوریتم RSA2048 رمزشده است. تمام فایل هایی که به صورت رمزشده درآمده اند به انتهای آن ها پسوند .id-ID.[teammarcy10@cock.li].kharma اضافه شده و در داخل هر پوشه دو فایل راهنما با نام-های RETURN FILES.txt و Info.hta ایجاد می گردد.
دریافت پیوست
محققان بیش از 100 برنامه مخرب را از فروشگاه #گوگل_پلی کشف کردند که توسط بیش از 4.6 میلیون کاربر اندرویدی در سراسر جهان نصب شدهاند.
بسیاری از برنامههای مخرب کلاهبرداری در تبلیغات هستند که با استفاده از همان کد مشترک موسوم به" Soraka " با نام پکیج (com.android.sorakalibrary. *) استفاده میکنند.
"GBHackers on Security" چندین گزارش را درخصوص تبلیغات مخرب در چند ماه گذشته منتشر کرده است که به سرعت در حال رشد هستند که کاربران اندرویدی را بهطور انحصاری هدف قرار دهند تا میلیونها دلار درآمد کسب کنند.
بدافزارهای مخرب، جاسوس افزارها و تبلیغافزارها میتوانند با آن دسته همراه شده و سیستمهای کاربر را آلوده کرده و منجر به اختلال در روند روتین و نشت اطلاعات شخصی دستگاههای اندرویدی شوند.
علاوه بر پکیج کد Soraka، محققان همچنین در برخی از برنامهها نوعی کد با عملکرد مشابه را کشف کردند که آن را "soga" با نام پکیج (com.android.sogolibrary) لقب دادهاند.
برخی از فعالیتهای اپلیکیشنهای مخرب:
یک اپلیکیشن به نام "best fortune explorer app" که توسط JavierGentry80 منتشر شده است، اقدام به انواعی از فعالیتهای مخرب از جمله فریب کاربران برای کلیک بر روی تبلیغات جهت درآمدزایی،کرده است. این برنامهها دارای بیش از 170000 نصب بدون شناسایی توسط VirusTotal بوده است.
قبل از انتشار تبلیغات جعلی، این تبلیغافزارها موارد مختلف کنترلی و چک کردن کد را دور میزند، از جمله کدهای:
• Screen On
• TopActivity
• Interval since installation
• Trigger on/off switches
• Ad Network daily count limit
• Trigger time interval (to space out the ad rendering for each trigger)
مکانیسم و روشهای مبهمسازی به مهاجمان کمک میکند تا از تجزیه و تحلیل خودکار بدافزارشان جلوگیری کنند. در فعالیتهای مربوط به کلاهبرداری در تبلیغات، با باز کردن قفل دستگاه، در حالی که صفحه تلفن خاموش است کد برنامه، سرویس اعلان پسزمینه را که تمام فعالیتهای کلاهبرداری را متوقف میکند، حذف میکند و اولین آگهی Out-of-Context (OOC) چند ثانیه بعد از باز کردن قفل گوشی ارائه داده میشود.
مهاجمان از سازوکارهای ماندگاری مبتنی بر کد جاوا برای حفظ بدافزار در دستگاه آلوده اندرویدی استفاده میکنند.
"این مکانیسم همچنین اجازه میدهد تا با استفاده از کنترل سیستمعاملها ، افرادی که تبلیغات مخرب را دریافت میکنند، کنترل کنند و وقتی شرایط این امر مناسب است، برنامهها تبلیغات خارج از زمینه ارائه میدهند ".
تیم اطلاعاتی White Ops Threat گفتهاند که آنها همچنان نظارت بر این پکیجها را دارند و هرگونه پکیجهای در حال ظهور مبتنی بر موارد قبلی را شناسایی میکنند.
در ادامه اسامی پکیجهای آلوده آمده است که اگر کاربری این پکیجها را نصب کرده است توصیه میشود آن را حذف نماید.
دریافت لیست پکیج ها
یک آسیب پذیری به شناسه CVE-2019-5539در دو محصول VMwareاز نوع DLL-hijackingکشف شده است که منجر به افزایش سطح دسترسی میشود.
مهاجم با بهره برداری از این آسیب پذیری میتواند سطح دسترسی خود را از یک کاربر معمولی به کاربر adminارتقا دهد.
محصولات آسیب پذیر عبارتند از:
- VMware Workstation Pro / Player for Linux (Workstation) version 15.x
- VMware Horizon View Agent (View Agent) version 7.x.x
به مدیران شبکه توصیه میشود برای رفع این آسیب پذیری به روزرسانی های زیر را انجام دهند.
- Workstation 15.5.1
- View agent 7.5.4 , 7.10.1 , 7.11.0
منبع
https://www.vmware.com/security/advisories/VMSA-2019-0023.html
#رمزگشا ی باجافزار Mapo توسط پژوهشگران مرکز امداد سایبری لهستان (CERT.PL) ارائه شد.
باجافزار Mapo که از خانواده باجافزار Outsider میباشد، برای اولین بار در اواخر ماه دسامبر ۲۰۱۸ میلادی مشاهده گردید و تاکنون با پسوندهای مختلفی منتشر شده است. این باجافزار عملیات رمزگذاری خود را با الگوریتم AES انجام میدهد. تصویر زیر پیغام باجخواهی این باجافزار را نشان میدهد
در صورتی که فایلهای شما توسط این باجافزار با پسوند .mapo رمزگذاری شدهاند، میتوانید از طریق این رمزگشا فایلهای خود را رمزگشایی کنید.
دستور کار:
پیش از اجرای رمزگشا، این مراحل را انجام دهید:
1. پیغام باجخواهی باجافزار را در آدرس https://mapo.cert.pl بارگذاری و سپس بر روی دکمه سبز رنگ Get Key کلیک نمایید.
2. سپس کدی که این صفحه نمایش میدهد را کپی کنید.
3. رمزگشا را اجرا کنید. زمانی که اجرای برنامه در خط فرمان به عبارت Input the recovered key: رسید کدی که کپی کرده بودید را همانند تصویر زیر بچسبانید.
4. صبر کنید تا عملیات رمزگشایی به اتمام برسد.
5. پس از اتمام عملیات رمزگشایی پیغام Press Enter to exit را خواهید دید. حالا باید یک کپی سالم از فایلهایتان در کنار فایل رمزشده داشته باشید.
6. پس از اطمینان از رمزگشایی صحیح فایلهایتان میتوانید فایلهای رمز شده را پاک کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت CERT.PL
https://nomoreransom.cert.pl/static/mapo_decryptor.exe
#رمزگشا ی #باجافزار ChernoLocker توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
باجافزار ChernoLocker که برای اولینبار در اواسط ماه دسامبر ۲۰۱۹ میلادی مشاهده گردید، عملیات رمزگذاری خود را با الگوریتم AES-256 انجام میدهد و به زبان پایتون نوشته شده است
در صورتی که فایلهای شما توسط این باجافزار با پسوند .CHERNOLOCKER رمزگذاری شدهاند، میتوانید از طریق این رمزگشا فایلهای خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:
https://www.emsisoft.com/ransomware-decryption-tools/chernolocker
در تاریخ 12 دسامبر سال 2019 میلادی، اخباری مبنی بر مشاهده #باجافزاری با عنوان DMR در فضای سایبری منتشر شد. طبق شواهد موجود، باجافزار DMR از کتابخانهای متفاوت با نام cryptopp در فرآیند رمزنگاری خود بهره برده است. این باجافزار پسوند .DMR64 را به انتهای هر فایل رمزشده اضافه میکند. با توجه به اینکه مدت زمان زیادی از مشاهده این باجافزار نمیگذرد، تاکنون اخباری در رابطه با روش انتشار این باجافزار و تعداد موارد آلوده شده به آن در سراسر جهان منتشر نشده است. تحلیل پیش رو، مربوط به این باجافزار میباشد.
دانلود پیوست
شرکت TP-Linkیک آسیب پذیری بحرانی با شناسه CVE-2019-7405را در روترهای مدل Archerکشف کرده است که مهاجم با بهره برداری از این آسیب پذیری میتواند رمز عبور adminرا به دست آورد و سپس این روتر آسیب پذیر را از راه دور و از طریق Telnetکنترل کند.
بهره برداری موفق از این آسیب پذیری به مهاجم این اجازه را میدهد تا از راه دور کنترل کامل روتر را از طریق Telnetو در شبکه LANبه دست بگیرد. سپس به FTP serverشبکه متصل شود.
مهاجم یک بسته HTTP requestکه حاوی یک رشته کاراکتر با اندازه بزرگتر از مقدار مجاز است را برای روتر آسیب پذیر ارسال میکند. با این کار، رمز عبور adminرا با یک مقدار خالی جایگزین میکند. با اینکه اعتبار سنجی داخلی انجام میشود اما باز هم روتر فریب میخورد زیرا فقط هدر بسته HTTPرا بررسی میکند. بنابراین مهاجمان از این طریق سرویس httpdروتر را فریب میدهند تا با استفاده از tplinkwifi.netدرخواست را معتبر تشخیص دهد.(مطابق شکل زیر)
تنها کاربری که در این نوع روترها وجود دارد کاربر adminاست بنابراین وقتی مهاجم احراز هویت را دور میزند دسترسی او به طور خودکار همان دسترسی adminمیشود و از این به بعد adminواقعی روتر هم نمی تواند به روتر loginکند زیرا دیگر صفحه loginهیچ رمز عبوری را نمی پذیرد. بنابراین adminواقعی روتر هیچ دسترسی به روتر نخواهد داشت و حتی نمیتواند رمز عبور جدیدی بسازد تا دسترسی را از مهاجم بگیرد.
حتی اگر adminواقعی روتر بتواند رمز عبور را تغییر دهد مهاجم میتواند دوباره آن را با درخواست LAN/WAN/CGIاز بین ببرد و به روتر loginکند.
این آسیبپذیری بحرانی در مدلهای زیر وجود دارد:
- Archer C5 V4
- Archer MR200v4
- Archer MR6400v4
- Archer MR400v3
وصله این آسیب پذیری بحرانی برای هرکدام از مدل های آسیب پذیر در جدول زیر آمده است:
Security patch |
Vulnerable TP-Link router |
https://static.tp-link.com/2019/201909/20190917/Archer_C5v4190815.rar |
Archer C5 V4 |
https://static.tp-link.com/2019/201909/20190903/Archer%20MR200(EU)_V4_20190730.zip |
Archer MR200v4 |
https://static.tp-link.com/2019/201908/20190826/Archer%20MR6400(EU)_V4_20190730.zip |
Archer MR6400v4 |
https://static.tp-link.com/2019/201908/20190826/Archer%20MR400(EU)_V3_20190730.zip |
Archer MR400v3 |
#آسیب_پذیری درافزونه های Ultimate Addons for Beaver Builder و Ultimate Addons for Elementor در تاریخ 13 دسامبر 2019 انتشار یافت، که به نفوذگر این امکان را میدهد که به سادگی مکانیزم احراز هویت را در این دو افزونه پراستفاده دور بزند و امکان دسترسی administrative به وب سایت را بدون نیاز به گذرواژه داشته باشد. تاکنون اطلاعاتی درمورد شماره CVE این آسیب پذیری منتشر نشده است. نکته نگران کننده اینجا است که نفوذگران از دو روز قبل از انتشار آسیب پذیری اقدام به بهره برداری از این آسیب پذیری نموده و به منظور داشتن دسترسی بعدی از backdoor استفاده کردند. هر دو افزونه ساخته شرکت توسعه نرم افزار Brainstorm Force هستند که به مدیران وب سایت ها و طراحان با ابزار ها، ماژول ها و قالب های بیشتر کمک به توسعه وب سایت خود میکنند. این آسیب پذیری به شکلی عمل می کند که به دارندگان حساب wordpress هردو افزونه، این امکان را میدهد که از طریق مکانیزم ورود فیس بوک و گوگل خود را تایید اعتبار نمایند. به دلیل عدم بررسی روش احراز هویت در هنگام ورود کاربر از طریق فیس بوک یا گوگل ، افزونه های آسیب پذیر می توانند به کاربران مخرب اجازه دهند مانند هر کاربر دیگر حتی administratorsبدون نیاز به گذرواژه وارد سیستم شوند.
نسخه های آسیب پذیر :
Ultimate Addons for Elementor <= 1.20.0
Ultimate Addons for Beaver Builder <= 1.24.0
راه حل :
شرکت توسعه دهنده، وصله های امنیتی برای این آسیب پذیری را به صورت زیر در دسترس قرار داده است. توصیه میشود این وصله ها در اسرع وقت نصب شوند.
Ultimate Addons for Elementor version 1.20.1
Ultimate Addons for Beaver Builder version 1.24.1
منبع :
https://thehackernews.com/2019/12/wordpress-elementor-beaver.html
تجهیزات صنعتی #زیمنس که معمولاً در نیروگاه های سوخت های فسیلی و در مقیاس بزرگ یافت می شوند با آسیب پذیری های امنیتی متعددی همراه هستند ، که شدیدترین آنها نواقصی اساسی است که امکان اجرای کد از راه دور را دارند.
محصول SPPA-T3000 تحت تأثیر این نواقص می باشد. این سیستم کنترلی توزیع شده برای کنترل و نظارت بر تولید برق در نیروگاه های اصلی آمریكا ، آلمان ، روسیه و سایر كشورها استفاده می شود.
با بهره برداری از برخی از این آسیب پذیری ها ، یک مهاجم می تواند کد دلخواه خود را روی یک سرور برنامه اجرا کرده و از این طریق کنترل عملیات و مختل کردن آنها را بر عهده بگیرد. این حمله به صورت بالقوه می تواند تولید برق را متوقف کند و باعث ایجاد نقص در نیروگاه هایی شود که سیستم های آسیب پذیر در آنها نصب شده اند.
این آسیب پذیری ها در دو مؤلفه خاص این سیستم عامل کشف شده است:
• 7 آسیب پذیری در application server
• 10 آسیب پذیری در migration server
شدیدترین آسیب پذیری امکان کد از راه دور را برروی application server برای حمله کننده فراهم می سازد. به عنوان مثال آسیب پذیری CVE-2019-18283 ، به مهاجمان این امکان را می دهد تا با ارسال آبجکت های دستکاری شده خاص به یکی از توابع ، شرایط اجرای کد از راه دور را بدست آورند.
دو آسیب پذیری مهم دیگر یعنی CVE-2019-18315 و CVE-2019-18316 ، به یک مهاجم با دسترسی شبکه ای به application server ، اجازه می دهد تا با ارسال بسته های دستکاری شده به TCP/8888 و TCP/1099 سرور تحت کنترل خود بگیرد.
همچنین آسیب پذیری با شناسه CVE-2019-18314 به عنوان یکی دیگر از نقص های مهم در تأیید هویت نادرست ، به چنین مهاجمی اجازه می دهد تا با ارسال اشیاء خاص دستکاری شده از طریق فراخوانی از راه دور (RMI) ، امکان اجرای کد از راه دور را بدست آورد.
همچنین 10 آسیب پذیری اضافی دیگر در سرور (migration server) MS-3000 یافت شده است که از این میان، دو مورد از آن ها امکان خواندن و نوشتن فایل های دلخواه را از راه دور فراهم میکنند. به عنوان مثال، یک مهاجم می تواند محتویات آدرس /etc/shadow را که حاوی hash هایی است که در حمله brute-forcing گذرواژه های کاربران استفاده می شوند، را بخواند. همینطور چندین سرریز پشته نیزمشخص شده است که می توانند به عنوان بخشی از DoS(علیه migration server) یا حملات دیگر مورد سوء استفاده قرار بگیرند.
یک آسیب پذیری قابل توجه دیگر CVE-2019-18313 می باشد که یک نقص مهم در بارگذاری نامحدود به شمار می آید. این نقص سرویس RPC که از پیش برای مدیریت ادمین تعیین شده است را بدون نیاز به احراز هویت تحت تاثیر قرار می دهد. این ضعف امنیتی به یک مهاجم با دسترسی شبکه ای به سرور MS-3000 این امکان را می دهد تا اجرای کد از راه دور را با ارسال ابجکت های خاص ساخته شده به سرویس RPC برقرار کند.
زیمنس اعلام کرده است كه بهرهبرداری از هركدام از آسیبپذیری ها نیاز به دسترسی به برنامه كاربرد زیمنس یا اتوماسیون (شبكههایی كه اجزاء را به هم وصل كنند) دارد. هرچند زیمنس در حال به روزرسانی است با این حال ، نیروگاه ها باید دسترسی به برنامه (اتوماسیون) را با استفاده از فایروال SPPA-T3000 محدود کنند.
منبع :
https://threatpost.com/critical-remote-code-execution-global-power-plants/151087/
