فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫باج_افزار Angus یکی از باج افزارهای جدید و خانواده Phobos می باشد که در ماه نوامبر 2019 میلادی انتشار یافته است.این باج افزار از طریق فایل های ضمیمه ایمیل های اسپم و آسیب پذیری-های موجود وارد سیستم شده و بعد از نصب و راه اندازی با استفاده از الگوریتم رمزنگاری AES، اقدام به تغییر فایل های سیستم کرده و پسوند .id[ID].[decrypt@files.mn].angus را به انتهای هر فایل اضافه می کنند. همچنین به گفته محققان در برخی موارد مشاهده شده است که مهاجمان با اسکن سیستم هایی که RDP در آن ها فعال می باشد (با اسکن پورت 3389)، این باج افزار را وارد سیستم کاربر قربانی شده، می کنند.

دریافت پیوست

3 دی 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫باج_افزار Kharma یکی از بدافزارهای رمزگذار فایل و از خانواده Dharma/Crysis می باشد که در ماه نوامبر 2019 میلادی از طریق فایل های ضمیمه ایمیل های آلوده، وب سایت های تورنت و تبلیغات مخرب انتشار یافته است که برای اولین بار توسط Raby کشف شده است. با توجه به فایل ایجاد شده توسط باج افزار در سیستم مهاجمان ادعا می کنند که فایل های سیستم با استفاده از الگوریتم RSA2048 رمزشده است. تمام فایل هایی که به صورت رمزشده درآمده اند به انتهای آن ها پسوند .id-ID.[teammarcy10@cock.li].kharma اضافه شده و در داخل هر پوشه دو فایل راهنما با نام-های RETURN FILES.txt و Info.hta ایجاد می گردد.

دریافت پیوست

3 دی 1398 برچسب‌ها: گزارشات تحلیلی
بیش از 100 اپلیکیشن مخرب با 4 میلیون و 600 هزار نصب در گوگل پلی

محققان بیش از 100 برنامه مخرب را از فروشگاه #‫گوگل_پلی کشف کردند که توسط بیش از 4.6 میلیون کاربر اندرویدی در سراسر جهان نصب شده‌اند.
بسیاری از برنامه‌های مخرب کلاهبرداری در تبلیغات هستند که با استفاده از همان کد مشترک موسوم به" Soraka " با نام پکیج (com.android.sorakalibrary. *) استفاده می‌کنند.
"GBHackers on Security" چندین گزارش را درخصوص تبلیغات مخرب در چند ماه گذشته منتشر کرده است که به سرعت در حال رشد هستند که کاربران اندرویدی را به‌طور انحصاری هدف قرار دهند تا میلیون‌ها دلار درآمد کسب کنند.
بدافزارهای مخرب، جاسوس افزارها و تبلیغ‌افزارها می‌توانند با آن‌ دسته همراه شده و سیستم‌های کاربر را آلوده کرده و منجر به اختلال در روند روتین و نشت اطلاعات شخصی دستگاه‌های اندرویدی شوند.
علاوه بر پکیج کد Soraka، محققان همچنین در برخی از برنامه‌ها نوعی کد با عملکرد مشابه را کشف کردند که آن‌ را "soga" با نام پکیج (com.android.sogolibrary) لقب داده‌اند.

برخی از فعالیت‌های اپلیکیشن‌های مخرب:
یک اپلیکیشن به نام "best fortune explorer app" که توسط JavierGentry80 منتشر شده است، اقدام به انواعی از فعالیت‌های مخرب از جمله فریب کاربران برای کلیک بر روی تبلیغات جهت درآمدزایی،کرده‌ است. این برنامه‌ها دارای بیش از 170000 نصب بدون شناسایی توسط VirusTotal بوده است.
قبل از انتشار تبلیغات جعلی، این تبلیغ‌افزارها موارد مختلف کنترلی و چک کردن کد را دور می‌زند، از جمله کد‌های:
• Screen On
• TopActivity
• Interval since installation
• Trigger on/off switches
• Ad Network daily count limit
• Trigger time interval (to space out the ad rendering for each trigger)

مکانیسم و روش‌های مبهم‌سازی به مهاجمان کمک می‌کند تا از تجزیه و تحلیل خودکار بدافزارشان جلوگیری کنند. در فعالیت‌های مربوط به کلاهبرداری در تبلیغات، با باز کردن قفل دستگاه، در حالی که صفحه تلفن خاموش است کد برنامه‌، سرویس اعلان پس‌زمینه را که تمام فعالیت‌های کلاهبرداری را متوقف می‌کند، حذف می‌کند و اولین آگهی Out-of-Context (OOC) چند ثانیه بعد از باز کردن قفل گوشی ارائه داده می‌شود.
مهاجمان از سازوکارهای ماندگاری مبتنی بر کد جاوا برای حفظ بدافزار در دستگاه آلوده اندرویدی استفاده می‌کنند.
"این مکانیسم همچنین اجازه می‌دهد تا با استفاده از کنترل سیستم‌عامل‌ها ، افرادی که تبلیغات مخرب را دریافت می‌کنند، کنترل کنند و وقتی شرایط این امر مناسب است، برنامه‌ها تبلیغات خارج از زمینه ارائه می‌دهند ".
تیم اطلاعاتی White Ops Threat گفته‌اند که آن‌ها همچنان نظارت بر این پکیج‌ها را دارند و هرگونه پکیج‌های در حال ظهور مبتنی بر موارد قبلی را شناسایی می‌کنند.
در ادامه اسامی پکیج‌های آلوده آمده است که اگر کاربری این پکیج‌ها را نصب کرده است توصیه می‌شود آن را حذف نماید.

دریافت لیست پکیج ها

3 دی 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

یک آسیب­ پذیری به شناسه CVE-2019-5539در دو محصول VMwareاز نوع DLL-hijackingکشف شده است که منجر به افزایش سطح دسترسی می­شود.

مهاجم با بهره­ برداری از این آسیب­ پذیری می­تواند سطح دسترسی خود را از یک کاربر معمولی به کاربر adminارتقا دهد.

محصولات آسیب­ پذیر عبارتند از:

  • VMware Workstation Pro / Player for Linux (Workstation) version 15.x
  • VMware Horizon View Agent (View Agent) version 7.x.x

به مدیران شبکه توصیه می­شود برای رفع این آسیب­ پذیری به ­روزرسانی­ های زیر را انجام دهند.

  • Workstation 15.5.1
  • View agent 7.5.4 , 7.10.1 , 7.11.0

منبع

https://www.vmware.com/security/advisories/VMSA-2019-0023.html

3 دی 1398 برچسب‌ها: اخبار
رمزگشای باج‌افزار Mapo

#‫رمزگشا ی باج‌افزار Mapo توسط پژوهشگران مرکز امداد سایبری لهستان (CERT.PL) ارائه شد.
باج‌افزار Mapo که از خانواده با‌ج‌افزار Outsider می‌باشد، برای اولین بار در اواخر ماه دسامبر ۲۰۱۸ میلادی مشاهده گردید و تاکنون با پسوندهای مختلفی منتشر شده است. این باج‌افزار عملیات رمزگذاری خود را با الگوریتم AES انجام می‌دهد. تصویر زیر پیغام باج‌خواهی این باج‌افزار را نشان می‌دهد

در صورتی که فایل‌های شما توسط این باج‌افزار با پسوند .mapo رمزگذاری شده‌اند، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید.

دستور کار:
پیش از اجرای رمزگشا، این مراحل را انجام دهید:
1. پیغام باج‌خواهی باج‌افزار را در آدرس https://mapo.cert.pl بارگذاری و سپس بر روی دکمه سبز رنگ Get Key کلیک نمایید.

2. سپس کدی که این صفحه نمایش می‌دهد را کپی کنید.
3. رمزگشا را اجرا کنید. زمانی که اجرای برنامه در خط فرمان به عبارت Input the recovered key: رسید کدی که کپی کرده بودید را همانند تصویر زیر بچسبانید.

4. صبر کنید تا عملیات رمزگشایی به اتمام برسد.
5. پس از اتمام عملیات رمزگشایی پیغام Press Enter to exit را خواهید دید. حالا باید یک کپی سالم از فایل‌هایتان در کنار فایل رمزشده داشته باشید.
6. پس از اطمینان از رمزگشایی صحیح فایل‌هایتان می‌توانید فایل‌های رمز شده را پاک کنید.


لینک صفحه رسمی دانلود رمزگشا در سایت CERT.PL
https://nomoreransom.cert.pl/static/mapo_decryptor.exe

1 دی 1398 برچسب‌ها: اخبار
رمزگشای باج‌افزار ChernoLocker

#‫رمزگشا ی #‫باج‌افزار ChernoLocker توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
باج‌افزار ChernoLocker که برای اولین‌بار در اواسط ماه دسامبر ۲۰۱۹ میلادی مشاهده گردید، عملیات رمزگذاری خود را با الگوریتم AES-256 انجام می‌دهد و به زبان پایتون نوشته شده است

در صورتی که فایل‌های شما توسط این باج‌افزار با پسوند .CHERNOLOCKER رمزگذاری شده‌اند، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید.


لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:
https://www.emsisoft.com/ransomware-decryption-tools/chernolocker

1 دی 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

در تاریخ 12 دسامبر سال 2019 میلادی، اخباری مبنی بر مشاهده #‫باج‌افزاری با عنوان DMR در فضای سایبری منتشر شد. طبق شواهد موجود، باج‌افزار DMR از کتابخانه‌ای متفاوت با نام cryptopp در فرآیند رمزنگاری خود بهره برده است. این باج‌افزار پسوند .DMR64 را به انتهای هر فایل رمزشده اضافه می‌کند. با توجه به اینکه مدت زمان زیادی از مشاهده این باج‌افزار نمی‌گذرد، تاکنون اخباری در رابطه با روش انتشار این باج‌افزار و تعداد موارد آلوده شده به آن در سراسر جهان منتشر نشده است. تحلیل پیش رو، مربوط به این باج‌افزار می‌باشد.

دانلود پیوست

1 دی 1398 برچسب‌ها: گزارشات تحلیلی
وصله آسیب پذیری بحرانی در روترهای TP-Link

شرکت TP-Linkیک آسیب پذیری بحرانی با شناسه CVE-2019-7405را در روترهای مدل Archerکشف کرده است که مهاجم با بهره ­برداری از این آسیب­ پذیری می­تواند رمز عبور adminرا به دست آورد و سپس این روتر آسیب ­پذیر را از راه دور و از طریق Telnetکنترل کند.

بهره ­برداری موفق از این آسیب­ پذیری به مهاجم این اجازه را می­دهد تا از راه دور کنترل کامل روتر را از طریق Telnetو در شبکه LANبه دست بگیرد. سپس به FTP serverشبکه متصل شود.

مهاجم یک بسته HTTP requestکه حاوی یک رشته کاراکتر با اندازه بزرگتر از مقدار مجاز است را برای روتر آسیب پذیر ارسال می­کند. با این کار، رمز عبور adminرا با یک مقدار خالی جایگزین می­کند. با اینکه اعتبار سنجی داخلی انجام می­شود اما باز هم روتر فریب می­خورد زیرا فقط هدر بسته HTTPرا بررسی می­کند. بنابراین مهاجمان از این طریق سرویس httpdروتر را فریب می­دهند تا با استفاده از tplinkwifi.netدرخواست را معتبر تشخیص ­دهد.(مطابق شکل زیر)

تنها کاربری که در این نوع روترها وجود دارد کاربر adminاست بنابراین وقتی مهاجم احراز هویت را دور می­زند دسترسی او به طور خودکار همان دسترسی adminمی­شود و از این به بعد adminواقعی روتر هم نمی تواند به روتر loginکند زیرا دیگر صفحه loginهیچ رمز عبوری را نمی ­پذیرد. بنابراین adminواقعی روتر هیچ دسترسی به روتر نخواهد داشت و حتی نمی­تواند رمز عبور جدیدی بسازد تا دسترسی را از مهاجم بگیرد.

حتی اگر adminواقعی روتر بتواند رمز عبور را تغییر دهد مهاجم می­تواند دوباره آن را با درخواست LAN/WAN/CGIاز بین ببرد و به روتر loginکند.

این آسیب­پذیری بحرانی در مدل­های زیر وجود دارد:

  • Archer C5 V4
  • Archer MR200v4
  • Archer MR6400v4
  • Archer MR400v3

وصله این آسیب­ پذیری بحرانی برای هرکدام از مدل­ های آسیب­ پذیر در جدول زیر آمده است:

Security patch

Vulnerable TP-Link router

https://static.tp-link.com/2019/201909/20190917/Archer_C5v4190815.rar

Archer C5 V4

https://static.tp-link.com/2019/201909/20190903/Archer%20MR200(EU)_V4_20190730.zip

Archer MR200v4

https://static.tp-link.com/2019/201908/20190826/Archer%20MR6400(EU)_V4_20190730.zip

Archer MR6400v4

https://static.tp-link.com/2019/201908/20190826/Archer%20MR400(EU)_V3_20190730.zip

Archer MR400v3

1 دی 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫آسیب_پذیری درافزونه های Ultimate Addons for Beaver Builder و Ultimate Addons for Elementor در تاریخ 13 دسامبر 2019 انتشار یافت، که به نفوذگر این امکان را میدهد که به سادگی مکانیزم احراز هویت را در این دو افزونه پراستفاده دور بزند و امکان دسترسی administrative به وب سایت را بدون نیاز به گذرواژه داشته باشد. تاکنون اطلاعاتی درمورد شماره CVE این آسیب پذیری منتشر نشده است. نکته نگران کننده اینجا است که نفوذگران از دو روز قبل از انتشار آسیب پذیری اقدام به بهره برداری از این آسیب پذیری نموده و به منظور داشتن دسترسی بعدی از backdoor استفاده کردند. هر دو افزونه ساخته شرکت توسعه نرم افزار Brainstorm Force هستند که به مدیران وب سایت ها و طراحان با ابزار ها، ماژول ها و قالب های بیشتر کمک به توسعه وب سایت خود میکنند. این آسیب پذیری به شکلی عمل می کند که به دارندگان حساب wordpress هردو افزونه، این امکان را میدهد که از طریق مکانیزم ورود فیس بوک و گوگل خود را تایید اعتبار نمایند. به دلیل عدم بررسی روش احراز هویت در هنگام ورود کاربر از طریق فیس بوک یا گوگل ، افزونه های آسیب پذیر می توانند به کاربران مخرب اجازه دهند مانند هر کاربر دیگر حتی administratorsبدون نیاز به گذرواژه وارد سیستم شوند.

نسخه های آسیب پذیر :
Ultimate Addons for Elementor <= 1.20.0
Ultimate Addons for Beaver Builder <= 1.24.0
راه حل :
شرکت توسعه دهنده، وصله های امنیتی برای این آسیب پذیری را به صورت زیر در دسترس قرار داده است. توصیه میشود این وصله ها در اسرع وقت نصب شوند.
Ultimate Addons for Elementor version 1.20.1
Ultimate Addons for Beaver Builder version 1.24.1


منبع :
https://thehackernews.com/2019/12/wordpress-elementor-beaver.html

1 دی 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

تجهیزات صنعتی #‫زیمنس که معمولاً در نیروگاه های سوخت های فسیلی و در مقیاس بزرگ یافت می شوند با آسیب پذیری های امنیتی متعددی همراه هستند ، که شدیدترین آنها نواقصی اساسی است که امکان اجرای کد از راه دور را دارند.
محصول SPPA-T3000 تحت تأثیر این نواقص می باشد. این سیستم کنترلی توزیع شده برای کنترل و نظارت بر تولید برق در نیروگاه های اصلی آمریكا ، آلمان ، روسیه و سایر كشورها استفاده می شود.
با بهره برداری از برخی از این آسیب پذیری ها ، یک مهاجم می تواند کد دلخواه خود را روی یک سرور برنامه اجرا کرده و از این طریق کنترل عملیات و مختل کردن آنها را بر عهده بگیرد. این حمله به صورت بالقوه می تواند تولید برق را متوقف کند و باعث ایجاد نقص در نیروگاه هایی شود که سیستم های آسیب پذیر در آنها نصب شده اند.
این آسیب پذیری ها در دو مؤلفه خاص این سیستم عامل کشف شده است:
• 7 آسیب پذیری در application server
• 10 آسیب پذیری در migration server
شدیدترین آسیب پذیری امکان کد از راه دور را برروی application server برای حمله کننده فراهم می سازد. به عنوان مثال آسیب پذیری CVE-2019-18283 ، به مهاجمان این امکان را می دهد تا با ارسال آبجکت های دستکاری شده خاص به یکی از توابع ، شرایط اجرای کد از راه دور را بدست آورند.
دو آسیب پذیری مهم دیگر یعنی CVE-2019-18315 و CVE-2019-18316 ، به یک مهاجم با دسترسی شبکه ای به application server ، اجازه می دهد تا با ارسال بسته های دستکاری شده به TCP/8888 و TCP/1099 سرور تحت کنترل خود بگیرد.
همچنین آسیب پذیری با شناسه CVE-2019-18314 به عنوان یکی دیگر از نقص های مهم در تأیید هویت نادرست ، به چنین مهاجمی اجازه می دهد تا با ارسال اشیاء خاص دستکاری شده از طریق فراخوانی از راه دور (RMI) ، امکان اجرای کد از راه دور را بدست آورد.
همچنین 10 آسیب پذیری اضافی دیگر در سرور (migration server) MS-3000 یافت شده است که از این میان، دو مورد از آن ها امکان خواندن و نوشتن فایل های دلخواه را از راه دور فراهم میکنند. به عنوان مثال، یک مهاجم می تواند محتویات آدرس /etc/shadow را که حاوی hash هایی است که در حمله brute-forcing گذرواژه های کاربران استفاده می شوند، را بخواند. همینطور چندین سرریز پشته نیزمشخص شده است که می توانند به عنوان بخشی از DoS(علیه migration server) یا حملات دیگر مورد سوء استفاده قرار بگیرند.

یک آسیب پذیری قابل توجه دیگر CVE-2019-18313 می باشد که یک نقص مهم در بارگذاری نامحدود به شمار می آید. این نقص سرویس RPC که از پیش برای مدیریت ادمین تعیین شده است را بدون نیاز به احراز هویت تحت تاثیر قرار می دهد. این ضعف امنیتی به یک مهاجم با دسترسی شبکه ای به سرور MS-3000 این امکان را می دهد تا اجرای کد از راه دور را با ارسال ابجکت های خاص ساخته شده به سرویس RPC برقرار کند.
زیمنس اعلام کرده است كه بهره‌برداری از هركدام از آسیب‌پذیری ها نیاز به دسترسی به برنامه كاربرد زیمنس یا اتوماسیون (شبكه‌هایی كه اجزاء را به هم وصل كنند) دارد. هرچند زیمنس در حال به روزرسانی است با این حال ، نیروگاه ها باید دسترسی به برنامه (اتوماسیون) را با استفاده از فایروال SPPA-T3000 محدود کنند.

منبع :
https://threatpost.com/critical-remote-code-execution-global-power-plants/151087/

صفحات: « 1 2 3 4 5 ... » »»