شماره: IRCNE2013122033
تاريخ:13/09/92

دو ميليون حساب كاربري و رمز عبور از سرويس هايي مانند فيس بوك، گوگل و توييتر بر روي سروري در هلند پيدا شده است. اين سرور به عنوان بخشي از يك بات نت بزرگ است كه از نرم افزار كنترلي پاني استفاده مي كند.
دنيل چيچيك، محقق امنيتي آزمايشگاه Trustwave's SpiderLabs در وب سايت خود نوشت: شركت ديگري كه اعتبارنامه هاي ورودي كاربران آن بر روي اين سرور وجود دارد، شركت ADP بوده كه ارائه دهنده نرم افزارهاي منابع انساني است.
بيشترين تعداد اعتبارنامه هاي ورودي سرقت شده مربوط به فيس بوك با 318121 اعتبارنامه مي باشد، پس از آن ياهو با 59549 اعتبارنامه و گوگل با 54437 اعتبارنامه قرار دارند. ساير شركت هايي كه اطلاعات وروردي كاربران آن ها بر روي اين سرور كنترل و فرمان وجود دارد، شركت هاي LinkedIn و دو شركت ارائه دهنده خدمات شبكه اي روسي VKontakte و Odnoklassniki مي باشند. اين بات نت نيز هزاران FTP، remote desktop و جزئيات حساب پوسته امن را به سرقت برده است.
هنوز مشخص نيست كه كدام بدافزار رايانه قربانيان را آلوده ساخته و اين اطلاعات را به سرور كنترل و فرمان ارسال كرده است.
شركت Trustwave پس از بدست آوردن دسترسي مديريتي به پنل كنترلي اين بات نت، اعتبارنامه هاي به سرقت رفته را پيدا كرد. كد منبع پنل كنترلي اين بات نت مربوط به نرم افزار پاني مي باشد.
اطلاعات روي سرور نشان مي دهد كه تصوير اعتبارنامه هاي ورودي مربوط به 102 كشور مي باشد و اين نشان مي دهد كه حمله صورت گرفته جهاني بوده است.

ID: IRCNE2013122034
Date: 2013-12-04

According to “InternetNews”, Bruno Goncalves de Oliveira, senior security consultant at Trustwave, explained that he conducted research into a number of Apple iOS file sharing apps that are commonly used by Apple iPhone and iPad users as an easy way to share pictures, documents and other types of content.
With a file sharing app, the user is essentially opening up the iOS device to accept inbound connections from other users, enabling access to content. The problem, according to Oliveria, is that many of the file sharing apps include a Web server component, which typically is not properly secured.
"So the user starts the file sharing application, which then starts a Web server on the device," Oliveira said. "Anyone can then upload and share files."
Oliveira added that the apps he surveyed lacked basic security features such as encryption and user authentication, which either were not present at all or not enabled by default. All modern Web transactions can and should be secured by Secure Sockets Layer (SSL) encryption, which is what the mobile file sharing apps that Oliveira analyzed were missing.
Going a step further, many of the surveyed apps did not require any form of user authentication by default. As such, anyone who can find the device on the network can get access to the file sharing app.

ID: IRCNE2013122033
Date: 2013-12-04

According to "techworld", two million logins and passwords from services such as Facebook, Google and Twitter have been found on a Netherlands-based server, part of a large botnet using controller software nicknamed "Pony."
Another company whose users' login credentials showed up on the server was ADP, which specializes in payroll and human resources software, wrote Daniel Chechik, a security researcher with Trustwave's SpiderLabs.
Facebook had the most stolen credentials, at 318,121, followed by Yahoo at 59,549 and Google at 54,437. Other companies whose login credentials showed up on the command-and-control server included LinkedIn and two Russian social networking services, VKontakte and Odnoklassniki. The botnet also stole thousands of FTP, remote desktop and secure shell account details.
It wasn't clear what kind of malware infected victims' computers and sent the information to the command-and-control server.
Trustwave found the credentials after gaining access to an administrator control panel for the botnet. The source code for the control panel software, called "Pony," was leaked at some point, Chechik wrote.
Information on the server indicated the captured login credentials may have come from as many as 102 countries, "indicating that the attack is fairly global," he wrote.

شماره: IRCNE2013122032
تاريخ:12/09/92

انجمن محبوب بحث Bitcoin روز دوشنبه هشدار داد كه پس از نشت اطلاعات ثبت كننده DNS سايت، رمز عبور برخي از كاربران ممكن است رهگيري شده باشد.
دستكاري سرورهاي DNS يكي از حملات قدرتمند مي باشد. با اين روش مهاجم مي تواند ترافيك كاربران را به سمت وب سايت هايي كه در كنترل خودش مي باشد، هدايت كند حتي زماني كه فرد نام دامنه صحيح را در نوار آدرس مرورگر خود وارد مي كند.
يك شركت مستقر در ژاپن با نام Anonymous Speech در اين انجمن با نام مستعار Theymos نوشت: مهاجمي يك رخنه در ثبت كننده نام دامنه Bitcointalk.org پيدا كرده و سپس يك حمله man-in-the-middle بر روي Bitcointalk.org اجرا كرده است و در نتيجه توانسته است رمزهاي عبور كاربران، كوكي هاي احراز هويت شده، پيام هاي خصوصي و اطلاعات ديگري را رهگيري نمايد.
اين حمله بين ساعات 6 صبح روز يكشنبه تا 8 شب روز دوشنبه به وقوع پيوسته است. كاربراني كه در اين بازه زماني از اين انجمن استفاه كرده اند مي بايست رمزهاي عبور خود را تغيير دهند.
Theymos نوشت: افرادي كه قابليت به خاطر سپردن رمز عبور را فعال كرده اند نبايد در معرض خطر قرار داشته باشند.
كاربراني كه مي خواهند اطمينان حاصل نمايند كه به سرور درستي متصل شده اند مي توانند آدرس IP، "109.201.133.195 bitcointalk.org" را در فايل هاي ميزبان خود وارد نمايند و پس از برطرف شدن اين رخنه و اصلاح DNS اين آدرس را حذف نمايند. هم چنين گواهينامه TLS اين وب سايت، "29:0E:CC:82:2B:3C:CE:0A:73:94:35:A0:26:15:EC:D3:EB:1F:46:6B," مي باشد.

شماره: IRCNE2013122031
تاريخ:12/09/92

روز دوشنبه شركت D-Link اصلاحيه هايي را براي برطرف نمودن رخنه موجود در ميان افزار خود منتشر كرد. اين رخنه به مهاجمان اجازه مي دهد تا از راه دور تنظيمات مسيرياب هاي اين شركت را تغيير دهند.
Craig Heffner، محقق آسيب پذيري كه متخصص سيستم هاي بي سيم و تعبيه شده است روز 12 اكتبر نوشت: رابط هاي وب برخي از مسير ياب هاي D-Link مي توانند با تنظيم رشته عامل كاربر مرورگر به "xmlset_roodkcableoj28840ybtide" از راه دور در دسترس قرار گيرند.
اين رشته راه نفوذ مخفي را پيشنهاد مي دهد كه در ميان افزار قرار گرفته است. اگر اين رشته به صورت برعكس خوانده شود، در بخشي از آن رشته "edit by 04882 joel backdoor" را داريم.
اين اصلاحيه براي مسيرياب هاي D-Link مدل DIR-100، DIR-120، DI-524، DI-524UP، DI-604UP، DI-604+، DI-624S و TM-G5240 منتشر شده است. برخي از دستگاه هايي كه توسط شبكه Planex and Alpha ساخته شده است نيز ممكن است آسيب پذير باشند زيرا از ميان افزار يكسان با D-Link استفاده مي كنند.
شركت D-Link در راهنمايي امنيتي خود آورده است كه اگر ويژگي مديريت از راه دور در مسيرياب ها فعال باشد، اين رخنه مي تواند مورد سوء استفاده قرار بگيرد. البته اين ويژگي به طور پيش فرض در مسيرياب ها غيرفعال مي باشد.
اين آسيب پذيري مي تواند براي تغيير تنظيمات و سرقت اطلاعات مورد سوء استفاده قرار گيرد.

مطالب مرتبط:
كشف رخنه هاي امنيتي در مسيرياب D-Link

ID: IRCNE2013122032
Date: 2013-12-03

According to "computerworld", a popular Bitcoin discussion forum warned on Monday some user passwords may have been intercepted after the site's DNS (Domain Name System) registrar was breached.
An attacker found a flaw in Bitcointalk.org's domain name registrar, a company based in Japan called Anonymous Speech, wrote an administrator for the forum who goes by the nickname "Theymos." Anonymous Speech could not immediately be reached for comment.
Tampering with a DNS server is a powerful attack. A hacker can direct traffic destined for one website to one that he or she controls, even if a person types in the correct domain name in the URL address bar of a browser.
The attacker could then execute a man-in-the-middle attack on Bitcointalk.org, intercepting encrypted forum submissions, passwords sent during login sessions, authentication cookies, private messages and more, Theymos wrote.
The attack occurred between 06:00 UTC on Sunday and 20:00 UTC Monday. People who logged into the site during this period should change their passwords, Theymos wrote.
People who had the "Remember me" login feature enabled should not be at risk, Theymos wrote. Security codes used to let people login without entering their passwords again have now been invalidated.
In the meantime, Theymos wrote that users want to make sure they're communicating with the right server. Users can add this IP address to their hosts file: "109.201.133.195 bitcointalk.org" and remove it later when the updated settings have been distributed through the DNS.
Bitcointalk.org's TLS certificate -- which allows users to cryptographically verify they're talking to the correct server -- has a SHA1 fingerprint of
"29:0E:CC:82:2B:3C:CE:0A:73:94:35:A0:26:15:EC:D3:EB:1F:46:6B," Theymos wrote.

ID: IRCNE2013122031
Date: 2013-12-03

According to "techworld", D-Link published patches on Monday for a firmware coding goof that could allow attackers to remotely change the settings of several of its router models.
Craig Heffner, a vulnerability researcher who specializes in wireless and embedded systems, wrote on Oct. 12 that the web interface for some D-Link routers could be accessed remotely by setting a browser's user agent string to "xmlset_roodkcableoj28840ybtide."
The string suggests a backdoor was intentionally inserted into the firmware. Read in reverse, the value reads in part "edit by 04882 joel backdoor."
The patches are for D-Link router models DIR-100, DIR-120, DI-524, DI-524UP, DI-604UP, DI-604+, DI-624S and the TM-G5240. Some devices made by Planex and Alpha Networks may also be vulnerable, D-Link said, presumably because they use the same firmware.
The flaw can be exploited if the routers have a remote management feature enabled. Remote management is disabled by default on all routers, D-Link said, but is included for "customer care troubleshooting."
The vulnerability, contained in the firmware shipped with the routers, could be used to change settings and steal information.

Related Link:
New security holes found in D-Link router

شماره: IRCNE2013112030
تاريخ:09/09/92

محققان امنيتي هشدار مي دهند يك تروجان جديد كه كاربران خدمات مالي آنلاين را هدف قرار داده است، اين پتانسل را دارد كه تا چند ماه آينده به سرعت گسترش يابد.
بدافزار Neverquest بسياري از قابليت هاي بدافزارهاي مالي ديگر را دارا مي باشد. اين بدافزار مي تواند محتوي وب سايت هايي كه توسط IE يا فايرفاكس باز شده اند را تغيير داده و فرم هاي جعلي را به آن ها تزريق نمايد. سپس مي تواند نام هاي كاربري و رمز عبوري كه در اين وب سايت ها توسط قرباني وارد مي شود را به سرقت برده و به مهاجمان اجازه دهد تا از راه دور و با استفاده از VNC كنترل سيستم هاي آلوده را در اختيار بگيرند.
در پيكربندي پيش فرض اين تروجان، 28 وب سايت هدفمند كه متعلق به بانك هاي بين المللي بزرگ و خدمات عمومي پرداخت آنلاين مي باشند، تعريف شده است. با اين حال، علاوه بر اين وب سايت ها، اين بدافزار قادر است تا صفحات وبي كه كاربر مشاهده مي كند و حاوي كلمات خاص مانند balance، checking account و account summary مي باشد را شناسايي نموده و محتوي آن را براي مهاجم ارسال نمايد. اين روش به مهاجمان كمك مي كند تا وب سايت هاي مالي جديد را شناسايي نمايند.
پس از آنكه مهاجم اطلاعات لازم در خصوص حساب كاربري كاربر بر روي يك وب سايت را در اختيار گرفت، براي اتصال به كامپيوتر كاربر از طريق VNC از يك سرور پروكسي استفاده مي كند و به طور مستقيم به حساب كاربري دسترسي مي يابد. در اين مسير مهاجم بايد مكانيزم هاي حفاظتي حساب كاربري را دور بزند زيرا عمليات انتقال پول از طريق مرورگر قرباني انجام مي شود.
روش هايي كه براي توزيع Neverquest استفاده مي شود شبيه به روش هايي است كه براي توزيع كلاينت بات نت Bredolab به كار برده مي شود. بات نت Bredolab معروفترين و گسترده ترين بدافزار سال 2010 مي باشد.
بدافزار Neverquest اعتبارنامه هاي ورود به حساب را از روي كلاينت FTP برنامه هاي نصب شده بر روي رايانه هاي آلوده به سرقت مي برد. سپس مهاجمان براي آلوده كردن وب سايت ها به بسته كد سوء استفاده Neutrino از اين اعتبارنامه هاي FTP استفاده مي كنند و بدين وسيله از آسيب پذيري موجود در پلاگين مرورگر سوء استفاده كرده تا بدافزار Neverquest را بر روي رايانه هدف نصب نمايند.
هم چنين اين برنامه تروجان مي تواند اعتبارنامه هاي SMTP و POP را از كلاينت هاي ايميل به سرقت ببرد و براي مهاجمان ارسال كند. بنابراين مهاجمان مي توانند با استفاده از اين اعتبارنامه ها، ايميل هاي هرزنامه اي حاوي الصاقات مخرب را براي كاربر ارسال نمايند. اين ايميل ها بسيار شبيه اطلاعيه هاي رسمي از برخي ارائه دهندگان خدمات طراحي شده است.
انتظار مي رود تا پايان سال حملات گسترده اين بدافزار مشاهده شود به گونه اي كه بسياري از كاربران خدمات مالي آنلاين، قرباني اين تروجان شوند.

شماره: IRCNE2013112029
تاريخ:09/09/92

با توجه به بررسي هاي شركت امنيتي سايمانتك، مجرمان سايبري به طور فزاينده اي در حال استفاده از بدافزار "Blackshades" مي باشند كه كد منبع آن سه سال پيش افشاء شد.
Santiago Cortes، مهندس امنيت در سايمانتك اظهار داشت: بدافزار"Blackshades" كه شركت سايمانتك آن را به عنوان "W32.Shadesrat" شناسايي مي كند، بسياري از كامپيوترهاي ويندوز مايكروسافت را آلوده كرده است و كنترل بسياري از اين سيستم ها در اختيار صدها سرور كنترل و فرمان در سراسر جهان قرار گرفته است.
بدافزار Blackshades يك ابزار دسترسي راه دور است كه مي تواند نام هاي كاربري و رمزهاي عبور پست هاي الكترونيكي، خدمات وب، برنامه هاي پيام رساني فوري و كلاينت هاي FTP را جمع آوري نمايد. اين بدافزار از سال 2010 تاكنون در فروم هاي زيرزميني فروخته مي شود.
استفاده از ابزارهاي دسترسي راه دور در بين هكرها بسيار متداول است زيرا مي توانند از اين طريق بدافزارهاي دلخواه را بر روي كامپيوترها آپلود نمايند و فايل ها را دستكاري كنند. اين گونه بدافزارها براي فرار از آنتي ويروس نيز به طور متناوب تغيير مي كنند.

شماره: IRCNE2013112028
تاريخ:09/09/92

كرم جديدي كامپيوترهاي 32 بيتي در حال اجراي لينوكس و PHP را مورد هدف قرار داده است و برخي از گونه هاي اين كرم مي تواند تهديدي براي مسيرياب هاي خانگي محسوب شود.
با توجه به يافته هاي محققان سايمانتك، اين بدافزار توسط سوء استفاده از يك آسيب پذيري در php-cgi گسترده شده است. php-cgi مولفه اي است كه اجازه مي دهد تا PHP در پيكربندي CGI اجرا شود. اين آسيب پذيري با عنوان CVE-2012-1823 شناخته مي شود و درPHP 5.4.3 و PHP 5.3.13 در ماه مي سال 2012 اصلاح شده است.
اين كرم جديد كه Linux.Darlloz نامگذاري شده است، بر اساس كدي كه اكتبر گذشته منتشر شده است كار مي كند.
محققان سايمانتك توضيح دادند كه اين كرم پس از اجرا، يك آدرس IP تصادفي را توليد مي كند و با استفاده از ID و رمز عبور شناخته شده، دسترسي يك مسير خاص بر روي ماشين را بدست مي آورد و با سوء استفاده از آسيب پذيري، درخواست هاي HTTP POST ارسال مي كند. اگر ماشين هدف به روز نباشد، اين كرو از طريق يك سرور خرابكار دانلود شده و به دنبال هدف بعدي خود مي گردد.
به كاربران توصيه مي شود براي حفاظت دستگاه هاي خود، ابتدا بررسي نمايند كه آيا آخرين نسخه ميان افزار بر روي دستگاه هاي آن ها اجرا مي شود، درصورت نياز اصلاحيه ها را نصب نمايند و هم چنين يك رمز عبور مديريتي قوي تنظيم شود و درخواست هاي HTTP POST به -/cgi-bin/php، -/cgi-bin/php5، -/cgi-bin/php-cgi ، -/cgi-bin/php.cgi و -/cgi-bin/php4 مسدود شوند.