شماره: IRCNE201002665
بنا بر اطلاعات ارائه شده توسط وزارت كشور اسپانيا، روساي يك شبكه رايانه هاي خرابكار كه داراي بيش از 12 ميليون زامبي و نام آن Marisopa است، در يك اقدام مشترك بين سيستم قضايي، پليس و شركت هاي امنيتي مستقر در اسپانيا دستگير شدند.
در پي دستگيري يكي از رؤساي Botnet مذكور، پليس اسپانيا اطلاعات 800 هزار كاربر از 190 كشور جهان را كه در اختيار متهم بوده، ضبط كرده است. همچنين پليس شواهدي را مبني بر وجود ميزبان هاي آلوده در 500 شركت موجود در ليست Fortune و بيش از 40 بانك يافته است.
در 23 دسامبر 2009 گروه بين المللي امنيتي كه بر روي پروژه Marisopa كار مي كردند، توانستند كنترل Botnet مذكور را در اختيار بگيرند. در پي اين اقدام رهبر اين شبكه رايانه هاي خرابكار، با نام مستعار Netkairo، تمام تلاشش را كرد تا بتواند دوباره كنترل Botnet خويش را در اختيار بگيرد. خرابكاران پشت صحنه Marisopa براي وصل شدن به سرورهاي Command-and-control از يك شبكه خصوصي مجازي (VPN) استفاده مي كرده اند، اما Netkairo براي به دست آوردن كنترل botnet يك اشتباه مرگبار را مرتكب شد و از رايانه خانگي خود به جاي VPN استفاده كرد. وي بالاخره توانست كنترل دوباره Botnet مذكور را به دست آورد و در اين هنگام يك حمله انكار سرويس را با تمام توان botnet بر عليه وزارت دفاع اسپانيا انجام داد. اين حمله به صورت جدي بر چندين ISP تأثير گذاشت و تعداد زيادي از كاربران از جمله برخي دانشگاه هاي كانادايي و موسسات دولتي براي ساعت ها اينترنت نداشتند.
نام Manisopa به معني پروانه است كه از نام يك ابزار خرابكارانه DIY(Do It Yourself) گرفته شده است كه براي اولين بار به صورت تجاري و با قيمت حدود 1000 يورو به فروش رسيده است. صاحبان Botnet مذكور براي ارتباط با يكديگر از پروتكل مبتني بر UDP كه خودشان تعريف كرده بودند، استفاده مي كرده اند.
از Botnet مذكور در كارهاي خرابكارانه اي همچون ارسال بدافزار و انجام حملات انكار سرويس توزيع شده مبتني بر TCP يا UDP استفاده مي شده است. بردارهاي اصلي انتشار بدافزارهاي اين شبكه، MSN، حافظه هاي قابل حمل و شبكه هاي P2P بوده است. در زير تصويري از پراكندگي زامبي هاي Mariposa در سراسر كره زمين آورده شده است.

شماره: IRCNE201003664
شركت مايكروسافت روز پنجشنبه اعلام كرد كه اين شركت، روز سه شنبه دو بولتن امنيتي براي ترميم هشت آسيب پذيري با درجه اهميت «مهم» در محصولات ويندوز و Office عرضه خواهد كرد.
اين بدان معناست كه سه شنبه اصلاحيه ماه مارس، بر خلاف ماه گذشته، با اصلاحيه هاي سبكي همراه خواهد بود. ماه گذشته اين شركت در 13 بولتن امنيتي، 26 حفره را كه شامل آسيب پذيريهايي با رده امنيتي «بسيار مهم» در ويندوز نيز بودند برطرف كرده بود.
به گفته يكي از مديران امنيتي مايكروسافت، اين شركت به طور همزمان در حال كنترل وضعيت يك آسيب پذيري در VBScript نيز هست. اين آسيب پذيري روز دوشنبه افشا شده بود.
كد سوء استفاده كننده از اين آسيب پذيري كه بر روي سيستم عاملهاي قديمي­تر تاثير مي­گذارد، بر روي اينترنت منتشر شده است. مايكروسافت يك گردش كاري را براي مقابله با اين نقص امنيتي توصيه كرده است.

اخبار مرتبط:
نقص امنيتي جديد در ويندوز XP

شماره: IRCNE201002663
مايكروسافت از امروز دوباره ارسال اصلاحيه MS10-015 را در به روز رساني اتوماتيك ويندوز آغاز كرده است. اصلاحيه مذكور اولين بار ماه گذشته ارائه شده بود، اما بعد از دو روز ارائه آن متوقف شد زيرا كاربران شكايت هاي زيادي را مبني بر اينكه بعد از نصب اصلاحيه، ويندوز آنها از كار افتاده است، مطرح كردند. در اول كار به نظر مي رسيد كه نصب اصلاحيه منجر به خطاي صفحه آبي مي شود، اما مايكروسافت اعلام كرد كه مشكل مذكور تنها در مورد رايانه هايي كه داراي روتكيت Alureon هستند اتفاق مي افتد و اصلاحيه مايكروسافت داراي نقص امنيتي نيست.
امروز مايكروسافت براي بار دوم انتشار اصلاحيه مذكور را آغاز كرده است با اين تفاوت كه يك ابزار را براي شناسايي روتكيت Alueron به آن اضافه كرده است. در صورتي كه روتكيت مذكور بر روي رايانه يك كاربر موجود باشد، نصب اصلاحيه متوقف شده و به كاربر يك پيغام خطا نشان داده مي شود و يك مسير ديگر براي نصب اصلاحيه به او معرفي مي شود.
مايكروسافت همچنين يك ابزار جداگانه را براي تشخيص وجود روتكيت بر روي رايانه كاربر ارائه داده است كه مي توان از آن قبل از دريافت و نصب اصلاحيه استفاده كرد. البته اين ابزار تنها براي تشخيص است و روتكيت را از بين نمي برد. مايكروسافت هنوز به قول خود مبني بر ارائه ابزاري كه هم روتكيت را تشخيص داده و هم آن را نابود كند، عمل نكرده است.

اخبار مرتبط:
مايكروسافت بي تقصير است
به روز رساني ماه فوريه مايكروسافت

تاريخ: 11/12/88
شماره: IRCNE201002662

شركت امنيتي Qualys از ديروز دوشنبه 10 اسفند ماه يك سرويس جديد رايگان را براي اسكن وب سايت ها ارائه داده است كه صاحبان وب سايت ها با استفاده از آن مي توانند از عدم وجود بدافزار بر روي وب سايت خود اطمينان حاصل كنند.
در اين سرويس QualysGuard Malware Detection تمام صفحات وب سايت را براي يافتن iFrame هاي نهان، كدهاي جاوااسكريپت خطرناك و ديگر علائم تهديدهاي پنهان براي بازديدكنندگان جستجو كرده و سپس يك سري هشدار و گزارش را در اين مورد در اختيار صاحبان وب سايت مي گذارد.
اين كمپاني براي انجام تست هاي خود شرايط نورمالي را ايجاد كرده است تا بتواند به سرعت تغييراتي را كه در اثر وجود يك بدافزار رخ مي دهند تشخيص دهد. براي مثال شركت مزبور از IE6 ، Adobe Reader و Flash Player براي انجام تست ها استفاده مي كند.
گوگل نيز يك سرويس رايگان را به اين منظور ارائه مي دهد اما سرويس كامل آن رايگان نيست.

شماره: IRCNE201003661
يك محقق امنيتي برجسته، يك كد سوء استفاده كنند عرضه كرده است كه با استفاده از يك تكنيك جديد، سيستم دفاعي ASLR+DEP را بر روي سيستم عامل ويندوز مايكروسافت مغلوب مي­كند.
اين كد سوء استفاده كننده كه توسط يكي از محققان امنيتي شركت گوگل ارائه شده است، از تكنيك return-into-libc براي رد كردن DEP (Data Execution Prevention) و انجام حملات اجراي كد از راه دور بر روي پلتفورمهاي x86 استفاده مي­كند. DEP روشي براي جلوگيري از اجراي داده هاي غير مجاز است. تكنيك return-into-lib، معمولا با يك سرريز بافر آغاز مي­شود كه آدرس بازگشت را در پشته، با يك آدرس ديگر جايگزين مي­كند و يك بخش ديگر از پشته براي ارائه آرگومانها به اين تابع، بازنويسي مي­گردد. اين كار به مهاجم اجازه مي­دهد كه توابع قبلي را بدون نياز به تزريق كد خرابكار به يك برنامه، فراخواني نمايد.
اين محقق امنيتي اظهار داشت كه به اين دليل اين كد سوء استفاده كننده را منتشر كرده است كه نشان دهد كه ASLR+DEP، چندان در جلوگيري از اجراي كدهاي خطرناك به خصوص در پلتفورم­هاي x86 موفق عمل نمي­كند.
كد سوء استفاده كننده Internet Exploiter 2، به صورت آنلاين و در قالب يك فايل zip منتشر شده است.
مايكروسافت، ASLR+DEP را در ويندوز ويستا معرفي كرده و از آنها به عنوان مكانيزمهاي ضد سوء استفاده نام برد، اما متخصصان امنيتي بخش عمده اي از سال گذشته را به پيدا كردن راههايي براي شكست دادن اين مكانيزمها گذراندند.
در كنفرانس Black Hat سال 2008 نيز دو هكر، روشهاي جديدي را براي مغلوب كردن ASLR (Address Space Layout Randomization) و DEP با استفاده از جاوا، كنترلهاي ActiveX و اشياي .NET نشان دادند كه محتواي دلخواه آنها بر روي مرورگرهاي وب قرار مي­داد.

شماره: IRCNE201003659
مايكروسافت در نظر دارد چندين Botnet ديگر را به شيوه Waledac و با استفاده از دستور قضايي از كار بيندازد. مايكروسافت هفته گذشته توانست با از كار انداختن مراكز Command-and-control شبكه رايانه هاي خرابكار Waledac تا حد زيادي جلوي فعاليت هاي آن را بگيرد.
اما كمپاني مذكور پذيرفته كه هنوز نتوانسته است تمام ارتباطات Waledac با هزاران رايانه داراي سيستم عامل ويندوز تحت فرمان آن را قطع كند. رايانه هاي مذكور توسط هكرها براي نصب نرم افزارهاي امنيتي جعلي و ارسال هرزنامه استفاده مي شوند.
هفته گذشته مايكروسافت با گرفتن يك حكم قضايي ارتباط 300 وب سايت را با اينترنت قطع كرده بود. وب سايت هاي مذكور بنا بر ادعاي مايكروسافت لينك هاي اصلي بين هكرها و زامبي هاي تشكيل دهنده Waledac بودند.
وكيل حقوقي مايكروسافت مي گويد اقدام مذكور نشان دهنده امكان كاهش خطرات Botnet ها بود و درست است كه Botnet هاي مختلف روش هاي متفاوتي دارند ولي روشي كه مايكروسافت براي مقابله با آنها به كار برده است شروع يك راه جديد است.
بنا بر اطلاعات ارائه شده توسط منابع موثق در جلسه اي كه متخصصان امنيتي ارشد مايكروسافت در مورد برخورد با Botnet ها در ماه ژانويه داشته اند، با ليستي از 6 Botnet شروع كرده و سپس آن را به سه عدد كاهش داده اند و از بين سه شبكه رايانه هاي خرابكار مذكور Waledac را برگزيده اند. در حال حاضر پنج Botnet افشا نشده ي ديگر باقي مانده اند كه مايكروسافت قصد مقابله با آنها را دارد.

اخبار مرتبط:
از كار افتادن يكي از بزرگترين Botnetها

شماره: IRCNE201003658
مايكروسافت تأييد كرد در حال بررسي يك حفره امنيتي جديد و اصلاح نشده در VBScript است كه به هكرها اجازه مي دهد بر روي سيستم هاي داراي ويندوز XP كه از IE استفاده مي كنند، بدافزار نصب كنند.
يكي از متخصصان امنيتي مي گويد، اين نقص امنيتي مي تواند براي تزريق كد خرابكار به رايانه قربانيان به كار برده شود. طبق گفته اين متخصص كاربران IE7 و IE8 در معرض خطر آسيب پذيري مذكور هستند.
مايكروسافت اعلام كرده است در حال تحقيق در مورد ادعاهاي انجام شده درباره وجود آسيب پذيري در VBScript و فايلهاي Help ويندوز در IE است. يكي از مديران MSRC مركز پاسخگويي امنيتي مايكروسافت گفت كه تحقيقات فعلي نشان مي دهند كه ويندوز ويستا، ويندوز 7، ويندوز سرور 2008 و 2008 RE تحت تأثير آسيب پذيري مذكور نيستند. وي همچنين اضافه كرد تا كنون گزارشي مبني بر حمله توسط آسيب پذيري مذكور را دريافت نكرده است.
متخصص امنيتي كه كاشف حفره امنيتي مذكور بوده است، مي گويد:
" آسيب پذيري مذكور يك "نقص امنيتي منطقي" است و هكرها با سوءاستفاده از آن مي توانند كدهاي خرابكار را به عنوان فايل هاي Help مايكروسافت با پسوند .hlp جا زده و كاربر را قانع كنند تا كليد F1 را بعد از بالا آمدن Pop-up فشار دهد."
وي اين آسيب پذيري را با درجه اهميت متوسط معرفي كرده است زيرا نياز به تعامل با كاربر دارد.

شماره: IRCNE201002657
شركت امنيتي Isec Partners مي گويد، هكرهايي كه دو ماه گذشته گوگل را مورد حمله قرار داده بودند، به حدود 100 شركت ديگر نيز حمله كرده اند.
متخصصان امنيتي كم كم به خرابكاران اينترنتي ناشناسي كه مسئول بسياري از حملات عليه شركت هاي معروف و از جمله گوگل در ماه هاي اخير هستند، نزديك مي شوند. آنها توانسته اند در طي تحقيقات خود، 68 سرور command-and-control كه براي كنترل و هك كردن رايانه ها مورد استفاده قرار مي گرفت را شناسايي كنند. محققان در بررسي يكي از سرورهاي مذكور، 34 كمپاني هك شده را شناسايي كرده اند. به همين دليل تخمين جديد كارشناسان امنيتي از تعداد كمپاني هاي تحت حمله، بسيار بيشتر از ميزاني است كه در وهله اول تصور مي شد. يكي از متخصصان امنيتي Isec Partners مي گويد، قطعاً بيش از صد كمپاني مورد حملات مذكور قرار گرفته اند.
كد مورد استفاده در حملات مذكور به عنوان Aurora شناخته مي شود و از حدود 18 ماه پيش مورد استفاده بوده، اما صنعت امنيت تا زمان كشف حملات گوگل در دسامبر گذشته از آن بي خبر بوده است. به همين علت هكرها توانسته اند بدون اينكه تشخيص داده شوند به شبكه كمپاني هاي زيادي نفوذ پيدا كنند. برخي از اين كمپاني ها همچون گوگل، اينتل، سايمانتك و Adobe بسيار معروف هستند.
طبق گفته متخصصان امنيتي براي پيشگيري از چنين حملاتي تنها استفاده از آنتي ويروس و سيستم هاي تشحيص نفوذ (IDS) كفايت نمي كند و يكي از عوامل بسيار مهم آموزش كاربران است به گونه اي كه كمتر قرباني حملات مهندسي اجتماعي شوند.

اخبار مرتبط:
آيا چين منشأ حملات بر عليه گوگل بوده است؟
حملات پيشرفته و هدفمند چين عليه گوگل
تأييد Adobe در مورد وقوع حملات پيشرفته و هدايت شده بر عليه اين شركت
سرويس ايميل گوگل امن مي شود
خطر IE 6 جدي است
تغيير روند امنيت سايبر
سوء استفاده از نقص Adobe Reader
آسيب پذيري در IE علت حمله موفقيت آميز اخير هكرهاي چيني

شماره: IRCNE201002656
سايت شبكه اجتماعي فيس بوك روز پنجشنبه اعلام كرد كه تعداد نامشخصي از كاربران اين سايت، روز چهارشنبه با اين مشكل مواجه شدند كه پيغامهاي ارسالي آنها براي دوستانشان، براي افراد ديگري ارسال مي­شد.
به گفته سخنگوي فيس بوك، در زمان ايجاد تغييرات روزانه در اين سايت، وقوع يك نقص در كد باعث اين مشكل شده و در مسيريابي پيغامهاي كاربران خطا ايجاد كرده است. وي تاكيد كرد كه مهندسان اين شركت مشكل را چند لحظه پس از وقوع آن شناسايي كرده و بلافاصله در جهت تصحيح آن اقدام نمودند. در مدت زمان تصحيح اين خطا نيز كاربراني كه تحت تاثير اين مشكل قرار داشتند، امكان دسترسي به حساب كاربري خود را نداشتند.
اين سخنگو در مورد تعداد كاربراني كه تحت تاثير اين مشكل قرار گرفته بودند و نيز مدت زماني كه اين مشكل وجود داشت اظهار نظري نكرد.

شماره: IRCNE201002655
مايكروسافت يكي از گسترده ترين botnet هاي جهان را تقريباً از كار انداخته است. بخش Digital Crime مايكروسافت با جلوگيري از دسترسي مجرمان اينترنتي به صدها هزار رايانه آلوده (زامبي) توانسته است به طرز قابل توجهي جلوي فعاليت هاي خرابكارانه اين شبكه رايانه هاي خرابكار را بگيرد. مايكروسافت با همكاري برخي شركت هاي امنيتي يك سري دامنه هاي آلوده را شناسايي كرده و سپس با استفاده از دستور قضايي 277 دامنه .com آلوده‌‌‌ي مورد سوءاستفاده صاحبان Waledoc، را بسته است. اين پروژه مايكروسافت به عنوان عمليات b49 نامگذاري شده است.
بنا بر اطلاعات ارائه شده توسط يكي از مشاوران مايكروسافت اين عمليات به سرعت و به طرز مؤثري ترافيك وب سايت هاي .com را كه به عنوان رابطي براي مراكز فرمان ( command and control ) Waledac و هزاران رايانه آلوده در سراسر جهان به كار مي رفته اند، كاهش داده است.
اين كمپاني مي گويد علاوه بر متوقف كردن برخي دامنه هاي آلوده، عكس العمل هاي فني ديگري نيز براي كاهش ارتباطات كنترلي P2P موجود در شبكه رايانه هاي خرابكار Waledac انجام داده است.
شبكه رايانه هاي خرابكار Waledac يكي از ده botnet بزرگ موجود در ايالات متحده و مسئول ارسال ميلياردها هرزنامه در سراسر كره زمين است. مايكروسافت مي گويد اين شبكه رايانه هاي خرابكار صدها هزار رايانه را در سراسر جهان آلوده ساخته است و توانايي ارسال 1.5 ميليارد هرزنامه در روز را دارد. مايكروسافت در تحقيق اخير خود دريافته است كه در فاصله سوم تا بيست و يكم سال 2009، تقريباً 651 ميليون هرزنامه توسط Waledac تنها براي حساب هاي ايميل hotmail اين شركت ارسال شده است.
البته تجربه هاي قبلي در مورد از كارانداختن شبكه هاي خرابكار نشان داده است كه اين توقف مقطعي است و خرابكاران دوباره كار خود را از جاي ديگري آغاز خواهند كرد. در تصوير زير آلودگي هاي 24 ساعت گذشته Waledac را مشاهده مي كنيد.