اخبار
Kr00k، یک نقص امنیتی در تراشههای Wi-Fi است که به مهاجمان اجازه میدهد تا ترافیک رمزنگاری شده WPA2 را رمزگشایی کنند. این آسیبپذیری بر روی تراشههای Broadcom و Cypress تأثیر میگذارد که این رایجترین تراشههایی است که توسط چندین شرکت از جمله مارکهای برتر آمازون(اکو ، کیندل)، اپل (آی فون، آی پد، مک بوک)، گوگل (نکسوس)، سامسونگ (گلکسی) و ... استفاده میشود.
این آسیبپذیری نهتنها دستگاههای کاربران بلکه نقاط و روترهای دسترسی Wi-Fi را نیز تحت تأثیر قرار میدهد.
آسیبپذیری Kr00k
محققان امنیتی ESET، آسیبپذیری ملقب به Kr00k را کشف کردند و شناسه CVE-2019-15126 را به آن اختصاص دادند. مهاجم میتواند با استراقسمع ارتباطات یک دستگاه وصلهنشده، از این آسیبپذیری بهرهبرداری کند.
اگر حمله موفقیتآمیز باشد، مهاجمان میتوانند دادههای حساس را از دستگاه مورد نظر سرقت کنند. این حمله از نقص عملکرد و اجرای تراشههای Wi-Fi سوءاستفاده میکند.
به طور کلی بستهها با یک کلید منحصربهفرد بر اساس رمزعبور شبکه Wi-Fi رمزنگاری میشوند. وقتی دستگاهی از شبکه Wi-Fi جدا شود، کلیدهای تراشه آسیبپذیر صفر میشوند و سپس دادههای بافرشده با رمزنگاری صفر ارسال میشوند.
با تحریک مداوم جداسازی دستگاههای متصل، مهاجم میتواند برخی از بستههای شبکهی بیسیم که توسط یک دستگاه آسیبپذیر منتقل میشود را رمزگشایی کند.
این آسیبپذیری هر دو پروتکل WPA2-Personal و WPA2-Enterprise را با رمزگذاری AES-CCMP تحتتأثیر قرار داده است.
Kr00k همچنین به آسیبپذیری KRACK که در سال 2017 پیدا شد، مربوط میشود.
تفاوت بین KRACK و Kr00k در زیر آمدهاست:
ESET تولیدکنندگان تراشه Broadcom و Cypress را در مورد این آسیبپذیری مطلع کرد و آنها مشکل را برطرف کردند، همچنین ESET با ICASI همکاریکرد تا مطمئن شود تمام فروشندگان از Kr00k مطلع هستند.
این آسیبپذیری به هیچوجه به رمزعبور Wi-Fi مربوط نیست، تغییر رمزعبور Wi-Fi در رفع این آسیبپذیری مؤثر نیست.
اگر از تراشههای آسیبدیده استفاده میکنید، توصیه میشود دستگاههای دارای تراشههای Broadcom یا Cypress را به آخرین نسخههای نرم افزاری بهروز کنید.
#سیسکو #بهروزرسانیهایی را برای برخی محصولات خود منتشر کرده است. مهمترین این آسیبپذیریها مربوط به Smart Software Manager On-Perm است که امتیاز CVSS آن برابر با ا9.8 است. هفت آسیبپذیری با درجه اهمیت بالا و نه آسیبپذیری با درجه متوسط نیز وجود دارند. در ادامه به آسیبپذیریهای بحرانی و مهم خواهیم پرداخت.
آسیبپذیری CVE-2020-3158 با درجه حساسیت 9.8
یک آسیبپذیری بحرانی در سرویس دسترسپذیری بالا (High Availability-HA) در Smart Software Manager On-Perm (با اسم سابق Cisco Smart Software Manager satellite) سیسکو وجود دارد. این آسیبپذیری به مهاجم احراز هویت نشده راه دور اجازه میدهد به بخش حساسی از سیستم دسترسی سطح بالا داشته باشد. علت این آسیبپذیری، وجود یک حساب کاربری سیستمی با گذرواژه پیشفرض و ثابت است. مهاجم میتواند با استفاده از این حساب به سیستم متصل شود و دسترسی خواندن و نوشتن دادههای سیستم را کسب کند (از جمله دادههای پیکربندی). مهاجم میتواند به بخش حساسی از سیستم دسترسی یابد اما دسترسی مدیریتی کامل برای کنترل تجهیز را نخواهد داشت.
این آسیبپذیری در Smart Software Manager On-Prem نسخه 7-202001 برطرف شده است. نسخههای ماقبل که ویژگی HA روی آنها فعال است آسیبپذیر هستند. این ویژگی به طور پیشفرض فعال نیست.
آسیبپذیری CVE-2019-16027 با درجه حساسیت 7.7
این آسیبپذیری مربوط به پروتکل مسیریابی IS-IS در نرمافزار Cisco IOS XR است که به مهاجم راه دور احراز هویت شده امکان ایجاد منع سرویس روی فرایند IS-IS را میدهد. ریشه این آسیبپذیری مدیریت نامناسب درخواستهای SNMP توسط فرایند IS-IS است.
تجهیزاتی تحت تأثیر این آسیبپذیری هستند که نرمافزار IOS XR نسخه ماقبل 6.6.3، 7.0.2، 7.1.1 یا 7.2.1 را اجرا میکنند و پروتکل IS-IS و SNMP نسخه 1، 2c یا 3 روی آنها فعال است. این آسیبپذیری در نسخههای جدید رفع شده است، اما برای کاهش تأثیر آسیبپذیری میتوان پروتکل SNMP را غیرفعال کرد یا با استفاده از لیست کنترل دسترسی، امکان استفاده از آن را به کلاینتهای مطمئن محدود کرد.
آسیبپذیری CVE-2019-1888 با درجه حساسیت 7.2
آسیبپذیری نهفته در رابط وب Unified Contact Center Express (Unified CCX) سیسکو به مهاجم احراز هویت شده راه دور اجازه آپلود فایل و اجرای دستور با سطح دسترسی root را میدهد. برای بهرهبرداری از این آسیبپذیری مهاجم باید مشخصات یک کاربر سطح Administrator را داشته باشد. نسخههای ماقبل 12.5(1) آسیبپذیر هستند.
CVE-2019-1736 با درجه حساسیت 6.2
یک آسیبپذیری در ثابتافزار تجهیزات UCS C-Series Rack Servers سیسکو وجود دارد که به مهاجم احراز هویت شده فیزیکی اجازه میدهد تا اعتبارسنجی بوت امن (Secure Bot) را دور بزند و یک نرمافزار آسیبپذیر را روی تجهیز بارگذاری کند.
CVE-2019-1983 با درجه حساسیت 7.5
یک آسیبپذیری در Email Security Appliance (ESA) و Content Security Management Appliance (SMA) وجود دارد که به مهاجم احراز هویت نشده راه دور امکان ایجاد شرایط منع سرویس را میدهد.
CVE-2019-1947 با درجه حساسیت 8.6
یک آسیبپذیری در Email Security Appliance (ESA) وجود دارد که به مهاجم احراز هویت نشده راه دور امکان ایجاد شرایط منع سرویس را میدهد. این آسیبپذیری نسخههای 12.1.0-085 و 11.1.0-131 نرمافزار AsyncOS را در تجهیزات ESA تحت تأثیر قرار میدهد.
CVE-2020-3112 با درجه حساسیت 8.8
یک آسیبپذیری در REST API محصول Data Center Network Manager (DCNM) سیسکو وجود دارد که به مهاجم راه دور احراز هویت شده امکان ارتقاء دسترسی را میدهد. این آسیبپذیری در نسخههای ماقبل 11.3(1) نرمافزار DNCM وجود دارد.
CVE-2020-3114 با درجه حساسیت 8.8
یک آسیبپذیری در رابط مدیریتی وب محصول Data Center Network Manager (DCNM) سیسکو وجود دارد که به مهاجم احراز هویت نشده راه دور امکان اجرای حمله اسکریپت جعلی بین سایتی (CSRF) را میدهد. این آسیبپذیری در نسخههای ماقبل 11.3(1) نرمافزار DNCM وجود دارد.
https://tools.cisco.com/security/center/publicationListing.x
افزونهی دیگری از #WordPress به لیست افزونههایی که دارای نقصهای امنیتی تهدیدآمیز هستند، پیوسته است. این بار، این آسیبپذیری در افزونهی GDPR Cookie Consent ظاهر شده است و یکپارچگی 700000 وب سایت را به خطر انداخته است.
طبق گزارشات، محققی به نام Jerome Bruandet، یک آسیبپذیری جدی در افزونهی GDPR Cookie Consent کشف کرده است. GDPR Cookie Consent به کاربران در ساخت سایت مطابق با GDPR کمک میکند. با در نظر گرفتن 700000 نصب از این افزونه، این نقص میتواند هزاران وبسایت را در معرض خطر قرار دهد.
این آسیبپذیری، یک نقص بحرانی تزریق اسکریپت مخرب در افزونهی GDPR Cookie Consent است که ناشی از کنترل نامناسب دسترسی در نقطهپایانی (endpoint) استفادهشده در افزونهی AJAX API (یک روش توسعهی وب برای ساخت برنامههای کاربردی تحت وب) وردپرس است. نقطهپایانی، یک روش “-construct” درون افزونه است که برای کد مقداردهی اولیهی اشیایی که به تازگی ایجاد شدهاند، مورد استفاده قرار میگیرد. پس از آنکه فعالیتها ایجاد شدند، از طریق AJAX به روش “-construct” ارسال میشود. این فرایند در پیادهسازی بررسیها شکست میخورد. به همین دلیل، نقطهپایانی AJAX که به گونهای در نظر گرفته شده است که تنها برای مدیران قابل دسترسی باشد، به کاربران سطح مشترک (یک نقش کاربر در وردپرس با قابلیتهای بسیار محدود) نیز اجازه دهد تعدادی فعالیت که امنیت سایت را به مخاطره میاندازد، انجام دهند. روش “-construct”، سه مقدار متفاوت از AJAX API را میپذیرد. دو مقدار از آنها، autosave_contant_data و save_contentdata هستند که میتوانند توسط مهاجم از طریق این آسیبپذیری مورد سوءاستفاده قرار گیرند. روش save_contentdata به مدیران اجازه میدهد اعلانهای کوکی را به عنوان یک نوع پست صفحه در پایگاه داده ذخیره سازد. اما از آنجاییکه این روش مورد بررسی قرار نگرفته است، یک کاربر یا مشترک احرازهویتشده میتواند هر صفحه یا پست موجود (یا کل وبسایت) را تغییر دهد و با تغییر وضعیت آنها از «منتشرشده» به «پیشنویس»، آنها را آفلاین کند. روش دیگر ، autosave_contant_data ، برای ذخیرهی صفحهی اطلاعات کوکی GDPR در پس زمینه، در حالی که مدیر در حال ویرایش آن است، با ذخیره کردن دادهها در فیلد cli_pg_content_data پایگاهداده، بدون اعتبارسنجی استفاده میشود. عدم بررسی در این روش به کاربر معتبر احرازهویتشده اجازه میدهد کد جاوااسکریپت را به صفحه وب تزریق نماید. سپس این کد هر بار که شخصی به صفحه «http://example.com/cli-policy-preview/» مراجعه میکند، بارگیری و اجرا میشود.
این نقص از نظر شدت، بحرانی رتبهبندی شده است و دارای امتیاز CVSS 9.0 از 10 است.
تیم تحقیقاتی WordFence نیز وجود این نقص را پس از آنکه تیم توسعهی این افزونه، آن را برطرف ساخت، تأیید کرده است.
Bruandet در تاریخ 28 ژانویه سال 2020، توسعهدهندگان این افزونه را از وجود آسیبپذیری در آن مطلع ساخت. نسخههای 1.8.2 و پیش از آن افزونهی GDPR Cookie Consent، تحتتأثیر این آسیبپذیری قرار گرفتهاند. توسعهدهندگان این افزونه، با انتشار نسخهی 1.8.3، یک هفته پس از افشای این نقص، آن را وصله کردهاند. کاربران باید با بهروزرسانی این افزونه به آخرین نسخه، مانع از سوءاستفادههای بالقوه شوند.
طبق آخرین گزارشات CIS Security #آسیبپذیریهای چندگانه جدید در گوگل کروم کشف شده است که شدیدترین آنها میتوانند باعث اجرای کد دلخواه بر روی سیستم هدف شوند. سوءاستفاده موفقیتآمیز از شدیدترین این آسیبپذیریها میتواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسیهای داده شده به برنامه، مهاجم میتواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حسابهای کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیبپذیریها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیشفرض خواهد داشت.
نسخه آسیبپذیر این برنامه مربوط به نسخههای قبل از 80.0.3987.116 گوگل کروم میشود. این آسیبپذیریها میتوانند در صورت مراجعه یا تغییر مسیر دادن کاربر به یک صفحه وب ساختگی خاص، مورد بهرهبرداری قرار گیرند. جزئیات آسیبپذیریها به شرح زیر است:
• استفاده پس از آزادسازی در WebAudio (CVE-2020-6384)
• استفاده پس از آزادسازی در speech (CVE-2020-6386)
• ابهام در نوع استفاده در V8 (CVE-2020-6383)
بهرهبرداری موفقیتآمیز از شدیدترین این آسیبپذیریها میتواند به مهاجمان اجازه دهد کد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را بدست آورد، محدودیتهای امنیتی را دور بزنند و کارهایی غیرمجاز انجام دهند، یا باعث منع از سرویس شوند.
توصیه میشود اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائهشده توسط گوگل به سیستمهای آسیبپذیر اعمال شود.
• برای کاهش اثر حملات موفقیتآمیز، همهی نرمافزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن وبسایتهای با منبع نامعتبر و همچنین دنبال نکردن لینکهای ناشناس.
• اطلاعرسانی و آموزش کاربران در مورد تهدیدات ناشی از لینکهای ابرمتن موجود در ایمیلها یا ضمیمهها مخصوصا از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستمها و سرویسها اعمال کنید.
منبع :
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbitrary-code-execution_2020-024/
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_18.html
CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6383
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6384
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6386
شرکت #گوگل پس از اطلاع از تبلیغات مخرب و تزریق دادههای مرور کاربر به سرورهای تحت کنترل مهاجمان توسط پانصد افزونه در کروم، آنها را از فروشگاه وب خود حذف کرد.
این افزونهها بخشی از یک پویش تبلیغاتی و کلاهبرداری بودند که حداقل از ماه ژانویهی سال 2019 شروع به کار کردهاند و از آن زمان تاکنون توسط بیش از 7/1 میلیون کاربر نصب شدهاند.
کد مخرب تزریقشده توسط افزونهها، تحت شرایط خاص فعال شده و کاربران را به سایتهای خاص هدایت میکند. در برخی موارد، مقصد میتواند یک لینک وابسته به سایتهای قانونی مانند Macys ، Dell یا BestBuy باشد، اما در 60 تا 70 درصد موارد، لینک مقصد چیزی مخرب مانند سایت بارگیری بدافزار یا صفحهی فیشینگ است.
محققان با استفاده از ابزار ارزیابی امنیت افزونهی کروم موسوم به "CRXcavator"، در حال بررسی این افزونههای کروم بودند که دریافتند مشتریهای این مرورگر به یک سرور کنترل و فرمان (C2) کنترلشده توسط مهاجمان متصل میشوند و این امکان را برای مهاجمان فراهم میآورد تا دادههای مرور را بدون اطلاع کاربران، دریافت کنند.
این افزونهها که تحت پوشش تبلیغات و خدمات تبلیغاتی عمل میکردند، دارای کد منبع تقریباً یکسان اما نام توابع متفاوت بودند و از این طریق، مانع از تشخیص مکانیسمهای شناسایی فروشگاه وب کروم میشدند.
افزونههای مخرب موجود در کروم علاوه بر درخواست مجوزهای گسترده که امکان دسترسی آنها به کلیپبورد و کلیه کوکیهایی را که بهصورت محلی در مرورگر ذخیره میشوند را میدهد، بهصورت دورهای نیز به یک دامنه متصل میشوند. این دامنه دارای همان نام افزونه است و به آنها دستور حذف از مرورگر را میدهد.
پس از برقراری تماس اولیه با سایت، افزونهها با یک دامنهی C2 که به صورت سختافزاری کدگذاریشده است، ارتباط برقرار میکنند. سپس در انتظار دستورات بعدی، مکانهایی برای بارگذاری دادههای کاربر و دریافت لیستهای بهروزشده از تبلیغات مخرب و دامنههای هدایتشونده که جلسات مرور کاربران را به ترکیبی از سایتهای قانونی و فیشینگ هدایت میکنند، میمانند.
گوگل برای رفع این موضوع، از 15 اکتبر سال 2019، محدودیتهایی را برای افزونهها اعمال کرد. از آن زمان تاکنون، افزونهها به درخواست دسترسی به «حداقل مقدار داده» نیاز دارند و هر افزونهای که خط مشی رازداری را نداشته باشد و دادههای مرور کاربران را جمعآوری کند، ممنوع میشود.
به کاربران توصیه میشود افزونههایی را که بهندرت از آنها استفاده میکنند، حذف کرده یا به سایر گزینههای نرمافزاری که نیازی به دسترسی تهاجمی به فعالیت مرورگر ندارند، روی آورند.
یک #آسیب پذیری به شناسه CVE-2020-1600 در پروتکل مسیریابی Daemon (RPD) سیستم عامل Junos OS کشف شده است که به یک درخواست مخرب SNMP اجازه می دهد تا با ایجاد یک حلقه (loop) نامحدود منجر به افزایش مصرف CPU و در نتیجه حمله DoS و از کار افتادن دستگاه شود.
بهره برداری از این آسیب پذیری با هر دو نسخه IPv4 و IPv6 بسته درخواست SNMP قابل اجراست.
نسخه های آسیب پذیر Juniper Networks Junos OS:
• 12.3X48 versions prior to 12.3X48-D90;
• 15.1 versions prior to 15.1R7-S6;
• 15.1X49 versions prior to 15.1X49-D200;
• 15.1X53 versions prior to 15.1X53-D238, 15.1X53-D592;
• 16.1 versions prior to 16.1R7-S5;
• 16.2 versions prior to 16.2R2-S11;
• 17.1 versions prior to 17.1R3-S1;
• 17.2 versions prior to 17.2R3-S2;
• 17.3 versions prior to 17.3R3-S7;
• 17.4 versions prior to 17.4R2-S4, 17.4R3;
• 18.1 versions prior to 18.1R3-S5;
• 18.2 versions prior to 18.2R3;
• 18.2X75 versions prior to 18.2X75-D50;
• 18.3 versions prior to 18.3R2;
• 18.4 versions prior to 18.4R1-S6, 18.4R2;
• 19.1 versions prior to 19.1R2
شرکت Juniper به روز رسانی نسخه های آسیب پذیر را منتشر کرده است بنابراین به مدیران شبکه توصیه می شود این به روز رسانی را هرچه سریعتر انجام دهند.
منبع
https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10979&cat=SIRT_1&actp=LIST
شرکت #ادوبی برای رفع دو آسیبپذیری بحرانی در برنامههای After Effects و Media Encoder، بروزرسانیهای نرمافزاری را منتشر کرد.
این دو آسیبپذیری، ناشی از نقص بحرانی نوشتن در حافظه است که با اجرای کد دلخواه بر روی سیستم قربانی و فریب وی از طریق باز کردن یک فایل مخرب با استفاده از نرمافزارهای مذکور، میتوانند مورد اکسپلویت قرار گیرند.
Adobe After Effects، نرمافزاری جهت ایجاد جلوههای ویژهی گرافیکی در ویدیوها میباشد که این نقص با شناسهی "CVE-2020-3765" توسط یک محقق امنیتی به نام Matt Powell کشف و از طریق پروژهی مقدماتی Trend Micro Zero Day به شرکت ادوبی گزارش داده شد.
Adobe Media Encoder نیز نرمافزاری جهت رمزگذاری و فشردهسازی فایلهای صوتی یا تصویری میباشد که این نقص با شناسهی "CVE-2020-3764" توسط یک محقق امنیتی کانادایی به نامFrancis Provencher کشف شد.
هیچ یک از این آسیبپذیریهای امنیتی، به طور علنی افشا و یا به طور گسترده اکسپلویت نشدهاند، چرا که این شرکت هنوز مدرکی مبنی بر این موضوع پیدا نکرده است.
با این حال به کاربران ویندوز و مک توصیه میشود هر چه سریعتر آخرین نسخهی این نرمافزارها را جهت محافظت از سیستمشان، بر روی آن نصب کنند.
در هفته سوم ماه فوریه 2020، شرکت ادوبی در Patch Tuesday، وصلهی 42 آسیبپذیری را که به تازگی کشف شده بود، منتشر کرد که 35 مورد از آنها به شدت بحرانی بودند.
گفتنی است که affecting Adobe Framemaker, Acrobat and Reader, Flash Player, Digital Edition و Adobe Experience Manager از جمله نرمافزارهای تحت تأثیر این آسیبپذیریها میباشند.
منبع خبر:
https://thehackernews.com/2020/02/adobe-software-updates.html
یک #تروجان با دسترسی از راه دور (RAT) به نام #Parallax به طور گسترده در حال توزیع از طریق کمپین های مخرب اسپم می باشد. هنگامی که یک سیستم ویندوزی به این تروجان آلوده شود مهاجم می تواند کنترل کامل آن سیستم را در دست بگیرد.
مهاجم از این بدافزار برای دسترسی به سیستم قربانی استفاده می کند تا به نام کاربری و رمزهای عبور ذخیره شده در سیستم دسترسی پیدا کند و همچنین بتواند دستورات دلخواه خود را اجرا کند سپس از این اطلاعاتی که جمع آوری کرده است میتواند برای سرقت هویت قربانی، دسترسی به حساب های بانکی و توزیع بیشتر این تروجان استفاده کند.
یک محقق امنیتی MalwareHunterTeam از دسامبر سال 2019 نمونه هایی از تروجان Parallax را ردیابی کرده است.
یک #آسیبپذیری بحرانی با درجه حساسیت مهم در یکی از معروفترین افزونههای وردپرسی به نام Duplicator یافت شده است. بیش از یک میلیون سایت وردپرسی تحت تاثیر این آسیبپذیری که به مهاجم اجازهی دانلود فایل دلخواه از وبسایت قربانی را میدهد، قرار دارند. در این گزارش به بررسی قطعات کد آسیبپذیر، اهمیت آن و جزییات حملات در حال انجام توسط این آسیبپذیری میپردازیم.
تروجان بانکی Emotet نخستین بار توسط محققان امنیتی در سال 2014 کشف و گزارش شد. Emotet در اصل یک بدافزار بانکی بود که با نفوذ به سیستم قربانی، اطلاعات شخصی و حساس قربانی را به سرقت میبرد. این بدافزار برای انتشار از طریق ایمیلهای اسپم عمل میکرد و تاثیر خود بر قربانی را با اسکریپتهای مخرب، فایلهایی با قابلیت اجرای macro یا لینکهای مخرب کامل میکرد. همچنین این بدافزار برای دریافت بهروزرسانی خود از سرورهای C&C استفاده میکند.
روش جدید مورد استفاده Emotet به بدافزار اجازه میدهد تا شبکههای WiFi آسیبپذیر و ناامن محلی و دستگاههای متصل به آن را با استفاده از حلقههای brute-force آلوده کند.
1 روش جدید مورد استفاده این بدافزار
به گفته محققان، اگر بدافزاری بتواند در این شبکههای wifi محلی منتشر شود، تلاش میکند دستگاههای متصل به آن را نیز آلوده کند – روشی که سرعت انتشار Emotet را افزایش میدهد. پیش از این تصور میشد این بدافزار فقط از طریق malspam و شبکههای آلوده منتشر میشود، اما اگر شبکهها از پسوردهای نا امن استفاده کنند، شبکههای بی سیم محلی نسبت به این بدافزار آسیبپذیر هستند.
1-1 انتشار Emotet
این بدافزار برای آلوده کردن اولین سیستم از یک فایل فشرده که حاوی دو فایل باینری دیگر به نامهای worm.exe و service.exe است برای انتشار از طریق WiFi استفاده میکند. Worm.exe با اجرای خودکار خود اطلاعات شبکههای بیسیم (نام شبکه، گذرواژه و اطلاعات امنیتی) را ضبط میکند؛ و برای این کار از رابط wlanAPI استفاده میکند.
کتابخانه wlanAPI، یکی از کتابخانههای استفاده شده در رابط برنامهنویسی نرمافزار wifi محلی است (API) که مشخصات شبکههای بیسیم و اتصالات آن را مدیریت میکند.
زمانی که یک دستگاه wifi هدف گرفته شد، بدافزار از ابزاری به نام WlanEnumInterfaces که تعداد شبکههای wifi موجود در سیستم قربانی را شمارش میکند، استفاده میکند. این ابزار شبکههای بیسیم شمرده شده را در مجموعهای از ساختارها که شامل اطلاعات مربوط SSID، سیگنال، رمزگذاری، روش تصدیق شبکه میباشد، برمیگرداند.
شکل شماره 1: مکانیزم انتشار Emotet
هنگامی که دادههای هر شبکه به دست آمد، بدافزار اتصال را با استفاده از حلقههای brute-force برقرار میکند. مهاجمان برای ایجاد اتصال از یک گذرواژه بدست آمده از «لیستهای رمز عبور داخلی» (اینکه لیست رمز عبور داخلی چگونه بدست آمده است مشخص نیست) استفاده میکنند. اگر اتصال ناموفق باشد، تابع، گذرواژه بعدی در لیست گذرواژهها را انتخاب میکند.
اگر گذرواژه صحیح باشد و اتصال برقرار شود، بدافزار 14 ثانیه قبل از ارسال درخواست HTTP POST به سرور فرمان و کنترل (C2) روی پورت 8080، غیر فعال شده و با شبکه wifi ارتباط برقرار میکند. سپس شمارش را آغاز کرده و گذرواژهی همه کاربران (شامل حساب های کاربری admin) را روی شبکههای آلوده شده جدید brute-force میکند. اگر هر کدام از brute-forceها موفقیت آمیز باشد، worm.exe فایل باینری دیگری به نام service.exe را در دستگاههای آلوده نصب میکند. برای ایجاد ماندگاری در سیستم فایل باینری مذکور با پوشش سرویس سیستم مدافع ویندوز (WinDefService) قرار میگیرد.
طبق گفته محققان، با داشتن بافرهایی که شامل لیستی از همهی نام کاربریهایی که گذرواژه آنها با موفقیت brute-force شدهاند، یا حساب کاربریadmin و گذرواژه آن، worm.exe میتواند service.exe را در سایر سیستمها منتشر کند. درواقع Service.exe یک payload آلوده است که توسط worm.exe و از راه دور روی سیستم آلوده نصب میشود. این فایل باینری دارای نشانگر PE از تاریخ 01/23/2020 است، یعنی تاریخی که برای اولین بار بدافزار توسط Binary Defense کشف شد. پس از قرارگیری service.exe در سیستم و ارتباط آن با C2، Emotet در سیستم جدید قابل اجرا شده و سعی میکند تا حد ممکن دستگاههای بیشتری را آلوده کند.
2 راههای مقابله
بدافزار Emotet که به عنوان یک تروجان بانکی در سال 2014 کار خود را آغاز کرد، به طور مداوم تکامل یافته و به یک مکانیسم تهدیدآمیز تبدیل شده است و میتواند مجموعهای از بدافزارها شامل سارقان اطلاعاتی، جمعکنندگان ایمیل، مکانیسمهای انتشار خودکار و باج افزار را در سیستم قربانی نصب کند.
جهت جلوگیری از انتشار این بدافزار پیشنهاد میشود تا از گذرواژههای قوی برای ایمن کردن شبکههای بیسیم استفاده شود.
استراتژیهای تشخیص این بدافزار:
نظارت فعال بر نقاط انتهایی سرویسهای جدید و بررسی خدمات مشکوک هر فرآیند در حال اجرا از پوشههای موقت و پوشههای داده برنامه کاربردی کاربر
نظارت بر شبکه نیز یکی از راههای شناسایی موثر است؛ چراکه اگر ارتباطات بدون رمزگذاری باشند، الگوهای قابل تشخیصی وجود دارند که محتوای پیام بدافزار را شناسایی میکنند.
