‫ اخبار

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Outsider خبر می دهد. فعالیت این باج‌‍‌افزار نخستین بار در تاریخ 8 دسامبر 2018 میلادی گزارش شده است. براساس نتایج بدست آمده از تحلیل‌ها، سیستم‌هایی که زبان صفحه کلید روسی، بلاروسی یا تاتاری فعال دارند، از رمزگذاری توسط این باج‌افزار در امان هستند

دانلود پیوست

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Delphimorix خبر می دهد. بر اساس گزارش وبسایت Id-ransomware.blogspot.ru این باج‌افزار با استفاده از کد باج‌افزار InducVirus توسعه یافته است و نخستین بار در تاریخ 21نوامبر 2018 میلادی مشاهده شده است. به فاصله دو روز بعد از این تاریخ، دوبار به روز رسانی شده است و تحلیل پیش رو مربوط به به‌روزرسانی در تاریخ 23نوامبر می‌باشد.

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام win_defender_patch خبر می‌دهد. بررسی ها نشان می دهد فعالیت این باج افزار در نیمه‌ی دوم ماه دسامبر سال 2018 میلادی شروع شده است. این باج‌افزار از الگوریتم رمزنگاری DES برای رمزگذاری فایل‌ها استفاده می‌کند و تنها فایل‌های موجود در دایرکتوری‌هایی خاص را که در ادامه به آن‌ها اشاره خواهیم نمود، رمزگذاری می‌کند.

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ی جدیدی از خانواده‌ی STOP به نام SaveFiles خبر می‌دهد. که پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به.SAVEfiles تغییر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 10 سپتامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد.

دانلود پیوست

اشکال جدیدی در مرورگر Google Chrome کشف و گزارش شده است که می‌تواند به‌طور بالقوه دستگاه‌های #‫ویندوز 10 را به‌طور کامل فریز سازد. این نقص با معرفی خود به عنوان پشتیبان فنی قلابی، سبب فریزشدن کامل Windows 10 می‌شود و سپس به کاربر می‌گوید دستگاهش آلوده به ویروس شده است.
این نقص جدید بااستفاده از یک کد #‫جاوااسکریپت و ایجاد حلقه، مانع از بستن سربرگ یا مرورگر می‌شود. همچنین یک پنجره‌ی pop-up نمایش داده می‌شود که ادعا می‌کند از سوی وب‌سایت رسمی پشتیبانی مایکروسافت است و رایانه آلوده به ویروسی شده است که می‌تواند گذرواژه‌ها، تاریخچه‌ی مرورگر، اطلاعات کارت اعتباری و سایر داده‌ها را به مخاطره بیندازد. از آنجایی که این یک حلقه است، هر بار که کاربر تلاش می‌کند این pop-up را ببندد، تقریباً بلافاصله دوباره باز می‌شود و این امر منجر به استفاده‌ی 100% از منابع خواهد شد و در نهایت رایانه را ناگهان فریز خواهد کرد.
این مشکل، مسئله‌ی جدیدی در مرورگر کروم نیست و این نوع گروگان‌گیری اینترنتی، یکی از رایج‌ترین کلاهبرداری‌های اینترنتی است؛ اما با اجرای گام‌های زیر به راحتی می‌توان این مشکل رایانه را رفع کرد:
• بازکردن Task Manager از نوار وظیفه
• رفتن به سربرگ Processes
• کلیک‌کردن بر روی Google Chrome (یا GoogleChrome.exe)
• کلیک‌کردن بر روی دکمه‌ی End Task در گوشه‌ی پایین سمت راست
همچنین باید مطمئن شد که Google Chrome به گونه‌ای تنظیم نشده است که دفعه بعد که این مرورگر باز می‌شود، سربرگ‌های قدیمی دوباره بازگردند. برای این کار بهتر است تاریخچه‌‌ی کوکی از مرورگر پاک شود.
یک راه‌حل خوب برای مقابله با گروگان‌گیری‌های اینترنتی این است که کاربر پیش از اجازه‌ی دسترسی به اطلاعات و پرداخت هرگونه وجهی برای رفع مشکل دستگاه، از واقعی‌بودن اطلاعات و پیشینه‌ی آن‌ها مطمئن شود. این اولین گروگان‌گیری اینترنتی نیست که Google Chrome را هدف قرار داده است. طبق گزارشی، در اوایل سال جاری، حمله‌ی Download Bomb مرورگرهای بزرگ را هدف قرار داده بود و تنها مرورگر Microsoft Edge در برابر این حمله ایمن بود.
در پایان باید به این نکته توجه داشته باشد که شرکتهای بزرگی همچون مایکروسافت معمولاً برای رفع نقص از کاربران خود درخواست پول نمی‌کنند، مگر اینکه دستگاه را به‌طور کامل بررسی و مشکل را شناسایی کرده باشند.

گزارش کامل بررسی اپليکيشن­های اينستاگرامی منتشر شده در مارکت‌های ایرانی

یکی از شبکه­های اجتماعی محبوب در ایران اینستاگرام است. برنامه­های زیادی با نام­های «فالوئریاب»، «لایک بگیر»، «آنفالویاب» و عناوین مشابه برای ارائه خدمات جانبی به کاربران اینستاگرامی در مارکت­های داخلی منتشر شده­است. همانطور که نام برنامه­ها نشان می­دهد، هدف برنامه­ها عمدتا گرفتن فالوئر و لایک و... برای کاربران اینستاگرام است. پیشتر در مهرماه ۱۳۹۷، هشداری توسط مرکز ماهر با عنوان ‫((هشدار مرکز ماهر در خصوص برنامه های مرتبط با اینستاگرام)) منتشر گردید. در این گزارش جزییات بیشتر این بررسی ارائه می‌گردد. با توجه به زمان سپری شده از آغاز بررسی‌های فنی،‌ ممکن است تغییراتی در اپلیکیشن‌های مطرح شده و اطلاعات انتشار یافته صورت پذیرفته باشد.

در بررسی انجام شده بیش از 200 برنامه اندرویدی که خدمات مرتبط با اینستاگرام ارائه می­دهند از مارکت­های داخلی جمع­آوری و بررسی شد. از این میان حدود 100 برنامه برای ارائه خدمات نیاز به ورود به حساب اینستاگرام کاربر داشتند.در بین این برنامه­ها بیش از 50 برنامه سارق اطلاعات کاربران شناسایی شد. این برنامه­ها نام کاربری و رمز عبور اینستاگرامی کاربر را به روش­های مختلف استخراج کرده و به سرور توسعه‌دهندگان ارسال می­کردند. با توجه به آمار نصب­های این برنامه­ها به‌صورت تخمینی اطلاعات بیش از یک میلیون کاربر اینستاگرام در ایران در اختیار تولیدکنندگان این برنامه‌ها قرار گرفته است.

بسیاری از برنامه­های دیگر (از بین 100 برنامه) نیز باوجود اینکه به کاربران اطمینان می­دادند که به رمز عبور آن‌ها دسترسی ندارند ولی با استفاده از روش­هایی، رمز عبور را استخراج می­کردند. برای این دسته از برنامه­ها شواهدی از ارسال رمز عبور به سرور خود برنامه­ها مشاهده نشد و به همین دلیل این برنامه­ها در لیست برنامه­های سارق ذکر نشده­اند. نتایج بررسی این برنامه­ها در گزارش دوم ارائه شده است. متاسفانه از بین حدود 100 برنامه بررسی شده تقریبا نیمی از آن­ها سارق بودند و اکثر برنامه­های باقیمانده نیز حداقل رمز عبور اینستاگرام کاربر را استخراج می­کردند (هرچند شواهدی مبنی بر سرقت کامل یافت نشد) و از این نظر این برنامه­ها در کل خطر بالایی دارند و بهتر است که فروشگاه­های اندرویدی پیش از انتشار چنین برنامه­هایی (که نیاز به ورود به حساب کاربری اینستاگرام دارند) بررسی دقیق‌تری داشته باشند.

لازم به ذکر است که در این تحقیق تمام برنامه­های اندرویدی مارکت­های داخلی از این نوع بررسی نشدند و فقط یک مجموعه دویست تایی از برنامه­ها برای نمونه جمع­آوری و تحلیل شدند. در نتیجه احتمالا برنامه­های سارق دیگری نیز در مارکت­ها حضور دارند.

با همکاری صورت گرفته از سوی مارکت‌های توزیع کننده، شماری از این اپلیکیشن‌ها حذف شده اند که در مستند بصورت highlight‌ شده نشان داده شده اند. برخی از صفحات فیشینگ مورد اشاره در مستند نیز با همکاری میزبانان داخلی و خارجی حذف گردیدند اما متاسفانه برخی از دامنه‌های فیشینگ صفحه ورود اینستاگرام به دلیل عدم همکاری میزبانان خارجی همچنان فعال هستند.

#‫Rsync نام یک پروتکل شبکه و همچنین نام یک ابزار متن باز است که قابلیت انتقال کارآمد و همگام‌سازی فایل‌ها در سیستم‌های کامپیوتری مختلف را با بررسی مهر زمانی و اندازه فایل‌ها فراهم می‌کند. با استفاده از این قابلیت حتی مي‌توان فقط تغييراتي که بر روي يک فايل انجام شده است را منتقل کرد. از این قابلیت در موارد مختلف به منظور صرفه‌جویی در مصرف پهنای باند و ترافیک شبکه استفاده می‌شود. در کشور ایران نیز سازمان‌های بسیاری از این سرویس استفاده می‌کنند. در صورتی که این سرویس از امنیت کافی برخوردار نباشد، امکان دسترسی بدون مجوز به فایل‌های موجود در سیستم فراهم می‌شود که مشکلات امنیتی فراوانی به بار خواهد آورد.

شرح آسیب‌پذیری
آسیب‌پذیری Accessible-rsync ناشی از پیکربندی غیر ایمن سرویس Rsync است؛ در صورتی که افراد مجاز برای دسترسی به این سرویس محدود نشده باشند و سیاست‌های امنیتی خاصی اعمال نشده باشد، مهاجمین می‌توانند از هر نقطه دنیا بدون نیاز به رمز عبور خاصی، فایل‌های به اشتراک گذاری شده در سیستم آسیب‌پذیر را مشاهده و تغییرات دلخواه خود را در آن‌ها اعمال کنند.
امن‌سازی Rsync
روش‌های امن‌سازی سرویس Rsync عبارتند از:
• مخفی کردن اطلاعات ماژول‌ها: برای جلوگیری از نمایش اطلاعات ماژول‌ها، می‌بایست با مقداردهی list = false در فایل پیکربندی، مجوز نمایش اطلاعات ماژول‌ها را لغو نمود. در صورتی که این کار انجام نشود می‌توان لیست ماژول‌های Rsync را استخراج کرد.

• فعال کردن مجوزهای کنترل: برای جلوگیری از ایجاد فایل‌های جدید و تغییر در فایل‌های موجود، می‌بایست با مقداردهی read only = true در فایل پیکربندی، مجوز نوشتن در فایل‌ها را لغو کرد.

• محدودسازی دسترسی‌های شبکه: بایستی فقط به میزبان‌های خاص و قابل اعتماد اجازه دسترسی از طریق شبکه داد. به این منظور می‌توان فایل پیکربندی را با افزودن دستور hosts allow = تغییر داد.

• فعال کردن احراز هویت برای کاربران: بایستی فقط کاربران مجاز و قابل اعتماد بتوانند به فایل‌ها دسترسی داشته باشند. از این‌رو کاربران باید رمز عبوری مشخص داشته باشند. برای این کار می‌توان در سمت سرور پیکربندی‌های زیر را انجام داد:
auth users = ottocho
secrets file = /etc/rsyncd.secrets

بدین منظور بایستی رمز عبور را در فایل /etc/rsyncd.secrets وارد کرد. فرمت قرارگیری اطلاعات کاربری در این فایل به صورت username:password در هر خط است. برای وارد کردن رمز عبور در فایل /etc/rsyncd.secrets از سمت کلاینت، کاربران می‌توانند از دستور زیر استفاده کنند. نام کاربری کاربر باید با مقدار auth users در فایل پیکربندی سمت سرور یکسان باشد و مجوز 600 برای آن‌ها تنظیم شده باشد.
Rsync -av --password-file=/etc/rsyncd.secrets test.host.com::files /des/path

• فعال کردن رمزگذاری در هنگام انتقال اطلاعات: Rsync به طور پیش فرض از انتقال رمزگذاری شده داده‌ها پشتیبانی نمی‌کند و برای فعال کردن این قابلیت در هنگام انتقال داده‌های با اهمیت از پروتکل SSh استفاده می‌شود. Rsync از دو روش TCP و SHH برای همگام سازی فایل‌ها استفاده می‌کند.

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی HiddenTear به نام Qinynore خبر می‌دهد. بررسی ها نشان می دهد فعالیت این باج افزار در نیمه‌ی دوم ماه سپتامبر سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باج‌افزار از الگوریتم رمزنگاری AES در حالت CBC - 256 بیتی برای رمزگذاری فایل‌ها استفاده می‌کند و تنها فایل‌های موجود در دایرکتوری‌هایی خاص و با پسوندهایی مشخص را که در ادامه به آن‌ها اشاره خواهیم نمود، رمزگذاری می‌کند

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت باج افزار PrincessLocker خبر می‌دهد. طبق بررسی های صورت گرفته، باج افزار PrincessLocker در اواسط آگوست سال 2018 شروع به فعالیت کرده که این باج‌افزار نسخه سوم آن می‌باشد .

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام LockCryptV2خبر می‌دهد. طبق مشاهدات صورت گرفته، به نظر می‌رسد که این باج‌افزار از خانواده ی باج افزار Satan می‌باشد و پس از رمزگذاری فایل‌ها پسوند .BDKRرا به انتهای فایل‌های رمزگذاری شده اضافه می‌کند و نام فایل را نیز طبق الگوی خاص تغییر می‌دهد. بررسی ها نشان می دهد که این باج افزار در 23 سپتامبر سال 2018 میلادی به روز رسانی شده است. این باج‌افزار از الگوریتم رمزنگاری AES-256 + RSA-2048 استفاده می‌کند.

دانلود پیوست