‫ اخبار

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از ظهور فعالیت سایبری جدید مهاجمین فارسی زبان در شبکه‌های اجتماعی در زمینه توسعه و انتشار باج‌افزار خبر می‌دهد. طبق آخرین مشاهدات صورت گرفته، این فعالیت در قالب RaaS (باج‌افزار به عنوان یک سرویس) در گروه‌ها و کانال‌های تلگرامی در حال شکل‌گیری و رشد بوده است. با توجه اینکه امروزه کدمنبع اغلب باج‌افزارها در فضای سایبری (از جمله ‌وب تاریک) موجود بوده و قابل سفارشی‌سازی است، معمولاً مهاجمین با دانش متوسط از طریق کلاهبرداری و اخذ مبالغ هنگفت از کاربران ناآگاه و همچنین با تکیه بر روش‌های مهندسی اجتماعی، برای نیل به اهداف خرابکارانه خود از آن‌ها بهره می‌برند. یکی از فعالیت‌های اخیر این افراد در شبکه‌های اجتماعی فارسی‌زبان، تحت عنوان پروژه BlackRouter Dark Ransomware شناخته شده است. فعالیت این پروژه در زمان نگارش این گزارش متوقف گردیده است. لازم به توضیح است که در این گزارش، از ذکر مشخصات و اسامی افراد و گروه‌ها، خودداری گردیده است.

برای دریافت متن کامل کلیک نمایید

گزارش پیوست حاصل بررسی و تحلیل دقیق صورت گرفته توسط تیم CERT #‫همراه_اول (MCI-CERT) بر روی بدافزار اندرویدی منتشر شده تحت عنوان #‫FREEnet است. این گزارش مشروح جهت بهره‌برداری عمومی علاقمندان این حوزه منتشر می‌گردد. مرکز ماهر به عنوان سرت ملی، آمادگی دارد نسبت به انتشار گزارشات خوب سایر مراکز پاسخگویی به رخدادهای سایبری و فعالین حوزه امنیت در کشور اقدام نماید.

دو #‫آسیب‌پذیری بحرانی در سیستم مدیریت محتوای دروپال (Drupal) کشف شده که به‌روزرسانی‌هایی برای حل آنها منتشر شده است. یکی از این دو، آسیب‌پذیری تزریق شیء مربوط به کتابخانه PEAR Archive_Tar است که برخی پیکربندی‌های دروپال را تحت تاثیر قرار می‌دهد. آسیب‌پذیری دوم از نوع اجرای کد راه دور است و از PHP نشات می‌گیرد.
آسیب‌پذیری تزریق شیء
دروپال از کتابخانه Archive_Tar عرضه شده توسط PEAR استفاده می‌کند. به تازگی یک بروزرسانی امنیتی برای یک آسیب‌پذیری این کتابخانه ارائه شده است که برخی پیکربندی‌های دروپال را تحت تاثیر قرار می‌دهد. آسیب‌پذیری مذکور با شناسه CVE-2018-1000888، در کلاس Archive_Tar نهفته است. مهاجم می‌تواند یک فایل مخرب tar بسازد و مسیر آن را به شکل phar://[path_to_malicious_phar_file] به تابع Archive_Tar::extract بدهد. با این کار، unserialization اتفاق می‌افتد. با استفاده از تزریق شیء می‌توان تابع destruct کلاس بارگذاری شده PHP را فراخوانی کرده و حذف فایل دلخواه را سبب شد.
فایل phar نوعی فایل آرشیو است که برای بسته‌بندی اپلیکیشن‌های PHP مورد استفاده قرار می‌گیرد.
اجرای کد راه دور
پیاده‌سازی stream wrapper برای phar که بطور توکار در PHP وجود دارد، دچار یک آسیب‌پذیری کد راه دور است که با استفاده از لینک‌های نامطمئن phar:// فعال می‌شود. برخی از کدهای دروپال (core، contrib و custom) ممکن است تحت تاثیر این آسیب‌پذیری باشند.
در به‌روزرسانی دروپال، .phar به لیست پسوندهای خطرناک اضافه شده است، در نتیجه هر فایلی با این قالب در یک فیلد فایلی بارگذاری شود، به طور خودکار به فایل متنی .txt تبدیل می‌شود. همچنین برای PHP نسخه 5.3.3 به بالا، پیاده‌سازی پیش‌فرض PHP با یک پیاده‌سازی توسط دروپال جایگزین شده و در نسخه‌هایPHP پایین‌تر، به طور پیش‌فرضphar stream wrapper غیرفعال شده است.

راه حل:
Drupal Core را به آخرین نسخه به‌روزرسانی کنید: اگر از دروپال نسخه 7 با PHP 5.2 یا PHP 5.3.0-5.3.2 استفاده می‌کنید و نیاز دارید که phar stream wrapper را فعال کنید، بهتر است نسخه PHP را ارتقاء دهید.

دانلود پیوست

در سال 2016، محققان دانشگاه ایلینوی 297 #‫درایو_فلش (USB) بدون برچسب را در اطراف دانشگاه گذاشتند تا بررسی کنند چه اتفاقی می افتد. 98% از آن ها را کارکنان و دانشجویان برداشتند و حداقل نیمی از آن ها به کامپیوتر متصل شدند تا کاربران از روی کنجکاوی محتوای آن ها را مشاهده کنند. برای یک هکر که تلاش می کند یک شبکه کامپیوتری را آلوده کند، این ها شانس های بسیار خوب و جذابی هستند.
تقریبا حدود بیست سال است که USB ها به وجود آمده اند و کار آن ها ارائه یک راه آسان و ساده برای ذخیره و انتقال فایل های دیجیتال بین کامپیوترهایی است که به طور مستقیم به یکدیگر یا به اینترنت متصل نیستند. این قابلیت توسط عاملین تهدید مجازی مورد سوءاستفاده قرار داده می شود که معروف ترین آن ها کرم استاکسنت در سال 2010 است. استاکسنت از USB برای تزریق نرم افزارهای مخرب به یک شبکه تاسیسات هسته ای ایران استفاده کرد.
امروزه سرویس های ابری مانند دراپ باکس حجم عظیمی از داده ها را ذخیره کرده و انتقال می دهند و همچنین آگاهی بیشتری از خطرات مربوط به USB ها وجود دارد. استفاده از آن ها به عنوان یک ابزار تجاری ضروری در حال کاهش است. با این وجود، همچنان سالانه میلیون ها دستگاه USB برای استفاده در خانه ها، کسب و کارها و کمپین های ارتقاء بازاریابی مانند نمایشگاه های تجاری تولید و توزیع می شوند.
USB ها هدفی برای تهدیدهای مجازی هستند. داده های آزمایشگاه کسپراسکی در سال 2017 نشان داده است که هر 12 ماه یا بیشتر، از هر 4 کاربر یک نفر در سراسر جهان تحت تاثیر یک واقعه سایبری محلی قرار می گیرد. این ها حملاتی هستند که به طور مستقیم روی کامپیوتر کاربر شناسایی می شوند و شامل آلودگی هایی هستند که توسط رسانه های قابل جابجایی مانند دستگاه های USB ایجاد می شوند.
این گزارش، چشم انداز فعلی تهدیدهای مجازی برای رسانه های قابل جابجایی، به ویژه USBرا بررسی می‌کند و توصیه ها و پیشنهاداتی را در مورد حفاظت از این دستگاه های کوچک و داده هایی که جابجا می‌کنند ارائه می دهد. همچنین یکی از معروف ترین بدافزارهایی که روش انتشار خود را منحصرا بر پایه دیسک های قابل حمل USB قرار داده است را مورد تحلیل قرار خواهیم داد. این کرم Dinihou نام دارد.

دانلود متن کامل مستند

در سال های اخیر بسیاری از شرکت ها و سازمان های دولتی از سیستم های کنترل نظارت و گردآوری داده (SCADA) یا #‫سیستمهای_کنترل_صنعتی (ICS) استفاده کرده اند، اما این فناوری ها با چالش های امنیتی مهمی مواجه هستند. در تحقیقی که توسط Forrester Consulting به سفارش Fortinet انجام شد، تقریبا از هر 10 سازمان مورد بررسی 6 سازمان که از SCADA یا ICS استفاده می کنند در سال گذشته نفوذ به این سیستم ها را تجربه کرده اند و بسیاری از این سازمان ها با اجازه دادن به فناوری ها و شرکای دیگر، سطح بالایی از دسترسی به سیستم های خود را فراهم کرده اند. اکثر سازمان ها همچنین ارتباط بین سیستم های سنتی IT و SCADA / ICS خود را گزارش داده اند، و این پتانسیل موجود برای نفوذ به این سیستم های کنترلی را توسط هکرهای بیرونی نشان می دهد.
با وجود این خطرات، بسیاری از اپراتورها از بسیاری از ابزارهای امنیتی موجود برای محافظت از SCADA / ICS استفاده نمی کنند. تقریبا نیمی از کسانی که مورد بررسی قرار گرفته اند رمزگذاری ترافیک Secure Shell (SSH) یا Transport Layer Security (TLS) را برای SCADA / ICS خود بکار نبرده اند و بسیاری از کنترل دسترسی مبتنی بر وظیفه برای کارمندان استفاده نمی کنند.
در عین حال، بسیاری از سازمان هایی که از SCADA / ICS استفاده می کنند با اجازه دادن به یک میزبان از تکنولوژی های دیگر، از جمله سیستم موقعیت یاب جهانی(GPS)، سامانه شناسایی فرکانس رادیویی (RFID) و دستگاه های Wi-Fi، راه های حمله را باز نموده اند. در عین حال، 97 درصد از کسانی که مورد بررسی قرار گرفتند، چالش های امنیتی را به دلیل همگرایی فن آوری اطلاعات سنتی (IT) و فناوری عملیاتی(OT) تایید کردند.

در حالی که خبر بد این است که SCADA / ICS با چندین تهدید مواجه هستند، خبر خوب این است که اپراتورها می توانند اقدامات بیشتری برای محافظت از سیستم خود با راه اندازی ابزارهای امنیتی اضافی انجام دهند.

2 SCADA / ICS به عنوان اهداف مورد توجه
در سال های اخیر، بسیاری از سازمان ها پس از سازمان های آب و برق، SCADA / ICS را بکاربرده اند، زیرا آنها به دنبال جمع آوری اتوماتیک داده ها و کنترل اتوماتیک تجهیزات خود هستند. این فن آوری اهداف ارزشمندی را برای هکرها که به دنبال مختل نمودن فعالیت های کسب و کار(تجاری)، جمع آوری باج و یا حمله به زیرساخت های مهم کشور های رقیب می باشند، فراهم می کند. در مطالعه Forrester، 56 درصد از سازمان هایی که از SCADA / ICS استفاده می کردند، یک نفوذ را در سال گذشته گزارش داده اند و تنها 11 درصد آنها نفوذی نداشتند.

برای مطالعه کامل مستند کلیک نمایید

سال هاست که کارشناسان آزمایشگاه #‫کسپرسکی نشان داده اند که تهدیدات #‫سایبری انواع مختلفی از سیستم های اطلاعاتی مانند سازمان های تجاری و دولتی، بانک ها، اپراتورهای مخابراتی، شرکت های صنعتی و کاربران فردی را هدف قرار داده است. در این گزارش، تیم واکنش اضطراری سایبری سیستم های کنترل صنعتی آزمایشگاه کسپرسکی یافته های خود را که در نیمه دوم سال در مورد چشم انداز تهدید برای سیستم های اتوماسیون صنعتی 2017 انجام شده، منتشر می کند. هدف اصلی این انتشار، ارائه پشتیبانی اطلاعاتی برای تیم های واکنش به حوادث جهانی و محلی، کارکنان امنیت اطلاعات سازمان ها و محققان در زمینه امنیت تاسیسات صنعتی است.

2 نیمه اول سال 2018- رویدادهای کلیدی
2-1 آسیب پذیری Spectre و Meltdown در راه حل های صنعتی
در اوایل سال 2018، آسیب پذیری هایی که اجازه دسترسی غیرمجاز به محتوای حافظه مجازی را می دهند، در پردازنده های Intel، ARM64 و AMD کشف شدند. حملاتی که از این آسیب پذیری ها سوءاستفاده کردند Meltdown و Spectre نامیده شدند.
این مسئله مربوط به سه آسیب پذیری است:
• (bounds check bypass) (CVE-2017-5753 / Spectre)؛
• (branch target injection) (CVE-2017-5715 / Spectre)؛
• (rogue data cache load) (CVE-2017-5754 / Meltdown).
در حالی که هر دو حمله Spectre و Meltdown به برنامه های کاربر اجازه می دهند که داده های دیگر برنامه ها را بدست آورند، حملات Meltdown اجازه می دهند که حافظه کرنل هم خوانده شود.

جهت دریافت متن کامل مستند کلیک نمایید

شرکت #‫سیسکو در این به‌روزرسانی 19 آسیب‌پذیری جدید اشاره کرده‌است. از این تعداد یک #‫آسیب‌پذیری دارای درجه حساسیت بحرانی (Critical) و یک آسیب‌پذیری دارای درجه حساسیت خطرناک (High) و 17 آسیب‌پذیری دارای درجه حسایت متوسط (Medium) می‌باشد. دو آسیب‌پذیری با درجه حساسیت بحرانی و خطرناک مربوط به سرویس امنیتی ایمیل سیسکو می‌باشد که به مدیران شبکه که از این سرویس و نرم‌افزار Cisco AsyncOS استفاده می‌کنند به شدت توصیه می‌شود که به توصیه‌های امنیتی این گزارش توجه کنند و آنها را بر روی دستگاه‌های آسیب‌پذیر خود اعمال کنند.

برای دریافت گزارش کلیک نمایید

مطابق بررسی های بعمل آمده #‫آسیب‌پذیری‌ هایی در نسخه‌های پشتیبان‌شده‌ی Microsoft Windows و Winows Server وجودداشته که یک مهاجم راه‌دور می‌تواند از این آسیب‌پذیری‌ها سوءاستفاده کند تا کنترل سیستم هدف را به‌دست گیرد. #‫مایکروسافت اطلاعات مربوط به این آسیب‌پذیری‌ها با شناسه‌ی CVE-2018-8611 و CVE-2018-8626 را ارایه داده است.
آسیب‌پذیری CVE-2018-8611، یک آسیب‌پذیری ارتقا سطح دسترسی هسته ویندوز است که تمامی نسخه‌های کارگزار و مشتری ویندوز، از جمله Windows 10 و Windows Server 2019 را تحت‌تأثیر قرار می‌دهد. این آسیب‌پذیری زمانی وجود دارد که هسته‌ی ویندوز نتواند به‌درستی اشیا را در حافظه مدیریت (handle) کند. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در حالت هسته اجرا کند. سپس مهاجم می‌تواند برنامه نصب کند، داده‌ها را مشاهده کند؛ تغییر دهد یا حذف نماید یا حساب‌های جدید با دسترسی کامل ایجاد کند. یک حمله‌ی موفق نیاز به یک عامل مخرب دارد تا وارد سیستم شود و برنامه‌ی ساختگی که کنترل کامل بر روی ماشین هدف را فراهم می‌آورد، اجرا نماید. به گفته‌ی مایکروسافت، این نقص اخیراً مورد سوءاستفاده قرار گرفته است؛ اما با توجه به اینکه به صورت عمومی افشا نشده است، تأثیر آن به میزان قابل توجهی کاهش یافته است.
آسیب‌پذیری CVE-2018-8626 یک آسیب‌پذیری برای کارگزارهای سیستم نام دامنه (DNS) ویندوز است. یک نقص اجرا کد راه‌دور است که در کارگزارهای سیستم نام دامنه (DNS) ویندوز، زمانی که نتوانند درخواست‌ها را به درستی مدیریت کنند، وجود دارد. این آسیب پذیری تنها در Windows 10، Windows Server 2012 R2، Winows Server 2016 و Windows Server 2019 وجود دارد. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در قالب حساب کاربری سیستم داخلی (Local System Account) اجرا نماید. کارگزارهایی که به عنوان کارگزار DNS پیکربندی شده‌اند، در معرض خطر این آسیب‌پذیری قرار دارند. این حمله بستگی به درخواست‌های مخربی دارد که حتی بدون احرازهویت به کارگزار DNS ویندوز ارسال شده‌اند.
هر دو آسیب‌پذیری فوق در چرخه‌ی به‌روزرسانی ماه دسامبر سال 2018 مایکروسافت وصله شده‌اند و وصله‌های آن‌ها از Windows Update تمامی نسخه‌های پشتیبان‌شده‌ وبندوز قابل دانلود است.

#‫اسکایپ یکی از قدیمی‌ترین و بهترین برنامه‌های کاربردی برای برقراری تماس صوتی و تصویری است. با ارائه‌ی امکان تماس صوتی در #‫تلگرام و از طرف دیگر فیلترشدن آن در ایران، بحث تماس صوتی و تصویری رایگان و استفاده از نرم‌افزارهایی همچون اسکایپ که این قابلیت را فراهم می‌کنند، دوباره بر سر زبان‌ها افتاده است. اما یک آسیب‌پذیری جدید در اسکایپ تحت اندروید کشف شده است که به یک مهاجم ناشناس اجازه می‌دهد تا گالری و مخاطبین کاربر را مشاهده کند و حتی لینک‌های بازشده در مرورگر را رصد کند.
مهاجم برای سوءاستفاده از این آسیب‌پذیری، نیاز به دسترسی مؤثر به دستگاه هدف دارد. سپس، باید یک تماس اسکایپ را دریافت کند و به آن پاسخ دهد. به‌طور معمول، با دستگاه قفل‌شده، مهاجم نباید دسترسی به داده‌هایی مانند عکس‌ها و مخاطبین را بدون تأیید اعتبار با یک رمز عبور، یک PIN، یک الگوی قفل صفحه یا یک اثر انگشت داشته باشد، اما با وجود این آسیب‌پذیری، مهاجم می‌تواند پس از پاسخ به تماس، اجازه‌ی دسترسی به داده‌های کاربر، حتی اگر دستگاه قفل شده باشد را پیدا کند.
به‌نظر می‌رسد یک خطای کد در اسکایپ برای اندروید، به مهاجم امکان دسترسی به عکس‌ها، مشاهده مخاطبین و حتی ارسال پیام بدون نیاز به احراز هویت را می‌دهد. مهاجم همچنین می‌توان مرورگر دستگاه را به‌طور مستقیم از اسکایپ راه‌اندازی کند. برای این کار، فقط باید یک لینک را در یک پیام جدید تایپ کند، پیام را ارسال کند و سپس روی لینک کلیک کند.
این آسیب‌پذیری که میلیون‌ها تلفن همراه اندرویدی دارای اسکایپ را تحت تأثیر قرار می‌دهد، در ماه اکتبر کشف و بلافاصله به مایکروسافت گزارش شد. این شرکت به سرعت پاسخ داد و موضوع را در نسخه‌ی جدید اسکایپ رفع کرد.
باتوجه به افزایش میزان تماس تصویری و محبوبیت بسیار اسکایپ در میان کاربران ایرانی، توصیه می‌شود تا هرچه سریع‌تر نسبت به دریافت آخرین نسخه از این نرم‌افزار اقدام کنند.