According to “TechWorld”, security researchers have discovered what appears to be an experimental Linux rootkit designed to infect its highly select victims during a classic drive-by website attack.
Posted anonymously to Full Disclosure on 13 November by an annoyed website owner, the rootkit has since been confirmed by CrowdStrike and Kaspersky Lab as being distributed to would-be victims via an unusual form of iFrame injection attack.
Aimed specifically at users of the latest 64-bit Debian Squeezy kernel (2.6.32-5), the rootkit has been dubbed ‘Rootkit.Linux.Snakso.a’ by Kaspersky Lab.
After trying to hook into important kernel functions and trying to hide its own threads, Snasko sets out to take over the target system. Exactly what purpose lies this general ambition is unclear although the researchers suspect a conventional rather than political or nuisance motive.
As significant as its design is where it might have come from. In the view of the CrowdStrike analyst, Russia is the most likely origin which would put it in the realm of the professional cybercriminals.
“Considering that this rootkit was used to non-selectively inject iframes into nginx webserver responses, it seems likely that this rootkit is part of a generic cybercrime operation and not a targeted attack,” notes CrowdStrike.
“This rootkit, though it's still in the development stage, shows a new approach to the drive-by download schema and we can certainly expect more such malware in the future,” said Marta Janus of Kaspersky Lab.

شماره: IRCNE2012111682
تاريخ: 30/08/91

محققان امنيتي يك روت‌كيت آزمايشي لينوكس را كشف كرده‌اند كه براي اين طراحي شده است كه قربانيان منتخب خود را از طريق يك حمله drive-by هدف قرار دهد.
اين موضوع كه نخستين بار روز سيزدهم نوامبر از طرف صاحب يكي از وب‌سايت‌هاي آسيب ديده مطرح شد، توسط CrowdStrike و آزمايشگاه‌هاي كسپراسكاي تحت عنوان يك شكل نامتعارف از حمله تزريق iFrame تاييد شده است.
اين روت‌كيت كه به‌طور خاص كاربران Debian Squeezy 64 بيتي (2.6.32-5) را هدف قرار داده است، توسط كسپراسكاي با نام Rootkit.Linux.Snakso.a خوانده مي‌شود.
Snasko پس از تلاش براي دستيابي به اعمال مهم هسته و پنهان كردن thread هاي خود، سعي مي‌كند كنترل سيستم هدف را در اختيار بگيرد.
علاوه بر طراحي و ساختار اين بدافزار، چيزي كه اهميت دارد اين است كه اين بدافزار از كجا آمده است. در تحليل‌هاي CrowdStrike اين نكته بيان شده است كه احتمالا روسيه منشأ اين روت‌كيت است.
به گفته CrowdStrike، با توجه به اينكه از اين روت‌كيت براي اين استفاده شده است كه به‌طور غير انتخابي iframe ها را به پاسخ‌هاي وب‌سرور nginx تزريق نمايد، اينطور به نظر مي‌رسد كه اين روت‌كيت بخشي از يك عمليات سايبري عمومي است و نه يك حمله هدفمند.
بنا بر اظهارات يكي از اعضاي آزمايشگاه‌هاي كسپراسكاي، اگرچه اين روت‌كيت هنوز در مرحله توسعه است، ولي نشان دهنده يك رويكرد جديد به دانلود drive-by است و ما قطعا مي‌توانيم در آينده منتظر بدافزارهاي بيشتري از اين نوع باشيم.

شماره: IRCNE2012111681
تاريخ:30/08/91

محققان امنيتي از شركت آنتي ويروس سايمانتك، قطعه بدافزاري را كشف كرده اند. هنگامي كه اين بدافزار با مهاجمان ارتباط برقرار مي كند به منظور پنهان كردن ترافيك مخرب، ازGoogle Docs به عنوان يك پل استفاده مي كند. در حال حاضرGoogle Docs بخشي از Google Drive مي باشد.
اين بدافزار، يك نسخه جديدي از خانواده Backdoor.Makadocs است كه از ويژگي "Viewer" در Google Drive به عنوان يك واسط استفاده مي كند تا دستورالعمل ها را از سرور فرمان و كنترل دريافت نمايد. Google Drive Viewer به گونه اي طراحي شده است كه اجازه مي دهد انواع مختلفي فايل از URL هاي راه دور در Google Docs نمايش داده شوند.
Takashi Katsuki، يك محقق از شركت سايمانتك گفت: با نقض سياست هاي گوگل، Backdoor.Makadocs از اين تابع استفاده مي كند تا به سرور فرمان و كنترل دسترسي يابد. اين امكان وجود دارد كه نويسنده بدافزار از اين رويه استفاده كرده است تا تشخيص ترافيك خرابكار را براي محصولات امنيتي سطح شبكه سخت تر كند. زيرا ارتباطات آن به صورت رمزگذاري شده است زيرا Google Drive به طور پيش فرض از HTTPS استفاده مي كند.
Katsuki گفت: بدافزار Backdoor.Makadocs به كمك اسناد RFT يا DOC توزيع مي شود اما از هيچ آسيب پذيري براي نصب مولفه هاي مخرب سوء استفاده نمي كند. اين بدافزار سعي مي كند تا با عناوين و محتوي جذاب كاربر را ترغيب نمايد تا بر روي اسناد ورد كليك نمايد تا بتواند خود را اجرا كند.
مانند بسياري از برنامه هاي راه نفوذ مخفي، Backdoor.Makadocs مي تواند دستورات دريافت شده از سرور C&C مهاجم را اجرا نمايد و اطلاعات سيستم آلوده شده را به سرقت ببرد.
يكي از جنبه هاي قابل توجه اين بدافزار آن است كه حاوي كدي مي باشد كه مي تواند سيستم عامل نصب شده بر روي ماشين هدف را شناسايي نمايد كه آيا ويندوز سرور 2012 است يا ويندوز 8. در حال حاضر سيمانتك توزيع اين بدافزار را در سطح پايين رده بندي كرده است.

شماره: IRCNE2012111680
تاريخ: 30/08/91

يك محقق امنيتي هندي، يك نقص امنيتي فعال XSS را در سايت eBay.com كشف كرده است.
يك مهاجم بالقوه نياز به يك حساب فروش در eBay دارد كه در آنجا، كد XSS را در HTML وارد مي‌كند. اين آسيب‌پذيري مي‌تواند براي سوء استفاده از اعتماد كاربران به eBay.com و سوء استفاده سمت كلاينت از آنها مورد بهره‌برداري قرار گيرد.
eBay.com يك هدف مورد علاقه مهاجمان خرابكار است كه به دنبال راه‌هايي براي سوء استفاده و سرقت جريان پيوسته ترافيك اين سايت هستند و در طرف مقابل، محققان امنيتي قرار دارند كه سعي مي‌كنند با كشف و گزارش آسيب‌پذيري‌هاي امنيتي به گروه امنيتي eBay، از اين سوء استفاده‌ها جلوگيري نمايند.
افزونه NoScript فايرفاكس اين حملات XSS را تشخيص داده و مسدود مي‌نمايد.
اين نقص امنيتي XSS هنوز ترميم نشده است و به گروه امنيتي eBay در اين مورد اطلاع داده شده است.

شماره: IRCNE2012111679
تاريخ:30/08/91

شركت ادوب جدول زمان بندي به روز رساني هاي امنيتي فلش پلير را تغيير داده است و آن را با جدول زمان بندي سه شنبه اصلاحيه مايكروسافت همزمان كرده است.
Andrew Storms، مدير امنيت در شركت nCircle Security توليد كننده نرم افزار اظهار داشت كه در حال حاضر ادوب و مايكروسافت به طور رسمي با يكديگر كار مي كنند. آن ها زماني كه تصميم گرفتند در برنامه MAPP با يكديگر شريك شوند، با هم شروع به همكاري كردند. هنگامي كه مايكروسافت موافقت كرد تا فلش در اينترنت اكسپلورر نسخه 10 تعبيه شود، شركت ادوب تصميم گرفت تا از برنامه زمان بندي اصلاحيه هاي مايكروسافت پيروي كند.
در جولاي سال 2010، ادوب شروع به استفاده از MAPP كرد. اين برنامه اطلاعات آسيب پذيري درباره محصولات مايكروسافت را به شركت هاي امنيتي ارائه مي دهد. مايكروسافت به روز رساني هاي امنيتي خود را در دومين سه شنبه هر ماه منتشر مي كند. تاكنون، ادوب اصلاحيه مشكلات فلش را در فواصل نامنظم منتشر مي كرده است.
عدم هماهنگي در به روز رساني هاي اين دو شركت پس از آن كه مايكروسافت اعلام كرد كه فلش پلير را در اينترنت اكسپلورر نسخه 10 براي ويندوز 8 و ويندوز RT قرار مي دهد، باعث بروز مشكلاتي شد. اين مشكلات در ماه سپتامبر بروز كرد زماني كه مايكروسافت اعلام كرد اينترنت اكسپلورر نسخه 10 را اصلاح نخواهد كرد مگر آن كه ادوب آسيب پذيري هاي فلش پلير را اصلاح نمايد.
در حال حاضر برخي از متخصصين اين برنامه ادوب را تقدير مي كنند. Wolfgang Kandek از شركت امنيتي Qualys اظهار داشت كه انتشار به روز رساني ها در يك روز براي هر سازماني سودمند و مفيد است.

ID: IRCNE2012111681
Date: 2012-11-20

According to "computerworld", Security researchers from antivirus vendor Symantec have uncovered a piece of malware that uses Google Docs, which is now part of Google Drive, as a bridge when communicating with attackers in order to hide the malicious traffic.
The malware -- a new version from the Backdoor.Makadocs family -- uses the Google Drive "Viewer" feature as a proxy for receiving instructions from the real command and control server. The Google Drive Viewer was designed to allow displaying a variety of file types from remote URLs directly in Google Docs.
"In violation of Google's policies, Backdoor.Makadocs uses this function to access its C&C [command in control] server," said Symantec researcher Takashi Katsuki, Friday in a blog post.
It's possible that the malware author used this approach in order to make it harder for network-level security products to detect the malicious traffic, since it will appear as encrypted connections -- Google Drive uses HTTPS by default -- with a generally trusted service, Katsuki said.
Backdoor.Makadocs is distributed with the help of Rich Text Format (RTF) or Microsoft Word (DOC) documents, but does not exploit any vulnerability to install its malicious components, Katsuki said. "It attempts to pique the user's interest with the title and content of the document and trick them into clicking on it and executing it."
Like most backdoor programs, Backdoor.Makadocs can execute commands received from the attacker's C&C server and can steal information from the infected computers.
However, one particularly interesting aspect of the version analyzed by Symantec researchers is that it contains code to detect if the operating system installed on the target machine is Windows Server 2012 or Windows 8, which were released by Microsoft in September and October respectively. Symantec currently rates the distribution level of the malware as low.

ID: IRCNE2012111680
Date: 2012-11-20

According to “ZDNet”, Indian security researcher Shubham Upadhyay has discovered an active XSS flaw affecting Ebay.com.
The potential attacker would need an Ebay seller account, where he would put XSS code into the HTML. The vulnerability could be used to trick users into trusting Ebay.com's reputable Web position in an attempt to serve client-side exploits to them. And that's just for starters.
Ebay.com is a popular target for malicious attackers, looking for ways to abuse and hijack the steady inflow of traffic hitting the site on a daily basis, and security researchers who on the other hand attempt to prevent abuse of the site by discovering and reporting security vulnerabilities to Ebay's Security Team.
Mozilla Firefox's NoScript proactively detects the XSS attempt, and blocks it.
The XSS flaw remains unfixed for the time being. eBay's Security Team has been notified.

ID: IRCNE2012111679
Date: 2012-11-20

According to "computerworld", Adobe has changed its schedule for releasing Flash Player security updates to coincide with Microsoft's Patch Tuesday schedule.
"Microsoft and Adobe are now officially married," joked Andrew Storms, director of security operations at nCircle Security, a software vendor, in an email. "They started dating when they decided to share the MAPP program," and once Microsoft agreed to embed Flash into Internet Explorer 10, it was "inevitable" that Adobe would begin following Microsoft's patch schedule, he said.
In July 2010, Adobe began using MAPP to deliver vulnerability information about its own products to security firms. Microsoft issues its security updates on the second Tuesday of each month. Until now, Adobe has released Flash bug fixes at irregular intervals.
The lack of synchronization became an issue after Microsoft announced it would bake Flash Player into IE10 for Windows 8 and its tablet spin-off, Windows RT. Problems surfaced in September when Microsoft said it would not patch IE10 for at least six weeks, even though Adobe had issued updates the previous month that addressed at least one vulnerability that hackers were already exploiting.
Now, however, some security professionals are praising Adobe's change. "Concentrating updates on a single day is a benefit for any organization," said Wolfgang Kandek, CTO of security vendor Qualys, in an email.

شماره: IRCNE2012111678
تاريخ:28/08/91

شركت ادوب وب سايتConnectusers.com را به دليل افشاي پايگاه داده آن، غير فعال ساخت. اين وب سايت يك فروم اجتماعي براي كاربران ادوب مي باشد.
اوايل اين هفته، هكري با نام "ViruS_HimA" ادعا كرد كه يكي از سرورهاي ادوب را هك كرده است و اطلاعاتي از قبيل آدرس هاي پست الكترونيكي، رمزهاي عبور درهم سازي شده و ساير اطلاعات مربوط به 150000 مشتري، همكار و كارمند شركت ادوب را به سرقت برده است. براي اثبات اين ادعا، هكر مذكور ركوردهاي مربوط به كاربراني كه پست الكترونيكي آن ها به adobe.com، .mil و .gov ختم مي شود را منتشر كرده است.
Wiebke Lips، مدير ارشد ارتباطات شركت ادوب گفت: به محض اطلاع از اين موضوع، تحقيقاتي را در اين زمينه شروع كرديم. او اظهار داشت كه تنها 644 ركورد افشاء شده است اما هكر مدعي است كه به كل اطلاعات اين پايگاه داده دسترسي دارد.
Lips گفت: در حال حاضر شركت در نظر دارد تمامي رمزهاي عبور را دوباره تنظيم نمايد و دستورالعملي را منتشر خواهد كرد تا كاربران براي تنظيم رمز عبور جديد از آن استفاده نمايند.
Privat توصيه مي كند كه كاربران بايد از بهترين شيوه هاي انتخاب رمز عبور استفاده نمايند و براي خدمات مختلف از رمزهاي عبور مختلف استفاده نمايند.
Tal Beery، يك محقق امنيتي در شركت امنيتي Imperva اظهار داشت: بر اساس تجزيه و تحليل هاي صورت گرفته بر روي داده هاي افشاء شده مشخص شد كه رمزهاي عبور hash شده كه در پايگاه داده ادوب ذخيره شده است با روش MD5 توليد شده اند كه يك تابع رمزگذاري ناامن است.

شماره: IRCNE2012111677
تاريخ:28/08/91

اين هفته شركت گوگل اعلام كرد كه يك sandbox قوي براي فلش پلير براي نسخه OS X كروم منتشر كرده است.
كروم نسخه 23 كه روز ششم نوامبر راه اندازي شد، تلاش هاي گوگل براي تبديل پلاگين فلش از NPAPI به استاندارد PPAPI خود گوگل را محقق كرده است.
با انتقال فلش پلير به استاندارد PPAPI، مهندسان گوگل قادر خواهند بود تا پلاگين هاي ادوب را در sandbox قرار دهند و بدين ترتيب از كروم محافظت نمايند.
Sandbox يك فناوري براي مقابله با كدهاي سوء استفاده است كه فرآيند را بر روي يك رايانه قرنطينه مي كند و در نهايت جلوي بدافزارها را مي گيرد تا نتوانند از آسيب پذيري هاي اصلاح نشده سوء استفاده نمايند.
Scott Hess، مهندس نرم افزار در شركت گوگل اظهار داشت: با انتشار كروم نسخه 23، در حال حاضر فلش پلير در كروم بر روي تمامي پلت فرم ها از جمله ويندوز، مكينتاش، لينوكس و كروم OS به طور كامل sandbox شده است.
با توجه به معيارهاي شركت Net Application، در ماه اكتبر 18.6 درصد از كاربران از اين مرورگر استفاده مي كردند و بعد از اينترنت اكسپلورر و فايرفاكس در رتبه سوم قرار داشته است. اما ماه گذشته اين مقدار به 34.8 درصد رسيد و گوگل جزء پركاربردترين مرورگرهاي جهان قرار گرفت.
گوگل دو سال پيش، فلش را در مرورگر كروم خود قرار داد تا بتواند حملات عليه آسيب پذيري هاي اين نرم افزار را كاهش دهد.
هم چنين در كروم نسخه 23 ويژگي حريم خصوصي "Do Not Track" معرفي شد. گوگل آخرين مرورگر بزرگي است كه پشتيباني DNT را اضافه كرده است.