News Feed http://www.itc.ir/ News portlet RSS <![CDATA[ بررسی آسیب¬پذیری رابط مدیریت سیستم¬های VoIP دستگاه Cisco UCM]]>

 بررسی آسیب¬پذیری رابط مدیریت سیستم¬های VoIP دستگاه Cisco UCM

]]>
 

مقدمه

در میان تولیدکنندگان تجهیزات VoIP، شرکت Cisco پرکاربردترین تجهیزات را در سازمان‌ها و وزرات خانه‌ها دارد. Cisco UCM یا Cisco Unified Communication Manager یک رابط تحت وب برای نظارت و مدیریت VoIP است. این آسیب­پذیری می‌تواند از راه دور مورد سوء استفاده قرار گیرد.

آسیب­پذیری ذکر شده به مهاجم از راه دور (remote) و تایید شده اجازه می‌دهد که محتوای فایل‌های دلخواه روی دستگاه­های تحت تاثیر این آسیب­پذیری را به دست آورند. یک مهاجم می‌تواند با تهیه یک مجموعه از کاراکتر‌های directory traversal این آسیب­پذیری را اکسپلویت کند.

تاثیر این آسیب­پذیری بر سازمان­ها به فاکتورهای متعددی که برای هر سازمان منحصر به فرد هستند، بستگی دارد. به سازمان­ها توصیه می‌شود تاثیر این آسیب­پذیری را بر اساس محیط عملیاتی، معماری و پیاده­سازی محصول شان ارزیابی کنند.

دانلود پیوست

]]>
2017/5/24
<![CDATA[لیست مودم های آسیب¬پذیر از طریق حفره امنیتی WPS به همراه مستندات و راهکارها]]>

لیست مودم های آسیب¬پذیر از طریق حفره امنیتی WPS به همراه مستندات و راهکارها

]]>
 

مقدمه

این آسیب‌پذیری یکی از مهمترین نقاط تهدیدکنندگی در شبکه­های وایرلس می‌باشد. تکنولوژی Wifi  Protected Setup  معروف به  WPS  که تحت عناوین Wifi Simple Config و Quick Security Setup نیز شهرت دارد. این تکنولوژی از سال 2007 در رده­بندی یک پروتکل معرفی و شناخته شده است، در سیستم­های بی­سیم یا همان وایرلس کاربرد‌های فراوانی پیدا نموده است. مهاجم، با سوء استفاده از این آسیب­پذیری می­تواند به رمزعبور وایرلس مودم روتر یا اکسس پوینت دسترسی پیدا کرده و اقدام به سرقت ترافیک یا شنود ترافیک گذرنده از مودم نماید.

روش‌های مختلفی برای استفاده از Wi-Fi Protected Setup وجود دارند. روتر یک پین هشت رقمی دارد که برای اتصال، باید آن‌ را وارد نمود اما در عوضِ کنترل تمام هشت‌ رقم پین، روتر به طور جداگانه چهار رقم اول را کنترل می‌کند و سپس به سراغ چهار رقم دوم می‌رود. این مسئله نفوذ به رمزگذاری پین WPS را آسان می‌کند و با حدس ترکیب‌های مختلف، نفوذگران می‌توانند به دستگاه نفوذ پیدا کنند.

دانلود پیوست

]]>
2017/5/24
<![CDATA[ بررسی آسیب پذیری بررسی آسیب پذیری مودم‌هایZyXEL P660HN-T v1 , P660HN-T v2]]>

 بررسی آسیب پذیری بررسی آسیب پذیری مودم‌هایZyXEL P660HN-T v1 , P660HN-T v2

]]>
 

مقدمه

آسیب­پذیری دو مدل از مودم­های شرکتZyXEL  با نام‌های P660HN-T v1 و  P660HN-T v2را مورد بررسی قرار داده شده است که این آسیب­پذیری می‌تواند از راه دور مورد سوء استفاده قرار گیرد.

آسیب­پذیری ذکر شده به مهاجم از راه دور اجازه می‌دهد با تایید مجوز وارد صفحه‌ی کاربری مودم شده و اقدام به دستکاری یا اجرای کدهای مخرب از راه دور نمود. با شناسایی اکانت‌های پیشفرض موجود در مسیریاب‌ها و مودم‌ها توسط مهاجمین، امکان نفوذ و اعمال تغییرات روی مسیریاب و مودم فراهم می‌شود. از حملاتی که بعد از دسترسی کامل قابل اجراست می‌توان به تغییر DNS، ایجاد صفحات phishing و... اشاره کرد.

تاثیر این آسیب­پذیری بر سازمان­ها به فاکتورهای متعددی که برای هر سازمان منحصر به فرد هستند، بستگی دارد. به سازمان­ها توصیه می‌شود تاثیر این آسیب­پذیری را بر اساس محیط عملیاتی، معماری و پیاده­سازی محصول شان ارزیابی کنند.

دانلود پیوست

]]>
2017/5/24
<![CDATA[اطلاعیه شماره 5 مرکز ماهر در خصوص باج افزار Wanna Cry]]>

اطلاعیه شماره 5 مرکز ماهر در خصوص باج افزار Wanna Cry

]]>

باتوجه به آلوده شدن تعدادی از رایانه های کشور به باج افزار Wanna Cry و راهنماها و راه حل های منتشر شده در سایت های مختلف مبنی بر امکان بازیابی داده های رمز شده توسط باج افزار ها، مرکز ماهر ضمن انجام بررسی های فنی و دقیق در این زمینه به پیوست مستند فنی راهنمای امداد برای رایانه های آلوده شده به باج افزار Wanna Cry را ارایه می نماید.

جهت دریافت این مستند بر روی پیوند ذیل کلیک نمایید.

دریافت پیوست

 

 

اطلاعیه شماره 1 مرکز ماهر

اطلاعیه شماره 2 مرکز ماهر

اطلاعیه شماره 3 مرکز ماهر

اطلاعیه شماره 4 مرکز ماهر

]]>
2017/5/23
<![CDATA[هشدار! هکرها می‏توانند گذرواژه کاربران سایت‏هایی که با وردپرس نوشته شده‏اند را تغییر دهند]]>

هشدار! هکرها می‏توانند گذرواژه کاربران سایت‏هایی که با وردپرس نوشته شده‏اند را تغییر دهند

]]>
وردپرس محبوب‌ترین سیستم مدیریت محتوا (CMS) در جهان، با داشتن یک آسیب‌پذیری منطقی به هکر این امکان را می‌دهد که گذرواژه‏ی کاربر را تغییر دهد. خطر این آسیب‏پذیری (CVE-2017-8295) زمانی مشخص می‏شود که بدانید همه نسخه‏های وردپرس حتی آخرین نسخه یعنی نسخه 4.7.4 هنوز این آسیب‏پذیری را دارند. این آسیبپذیری سال گذشته توسط یک محقق لهستانی در زمینه امنیت به نامDavid Golunski کشف شد و همان زمان به تیم امنیت وردپرس گزارش شد، اما تیم امنیتی وردپرس تصمیم گرفتند آن را نادیده بگیرند و میلیون‌ها وب سایت اینترنتی وردپرسی را آسیب‌پذیر نگه دارند!
زمانیکه یک کاربر با استفاده از گزینه‏ی بازیابی گذرواژه، درخواست بازیابی گذرواژه را صادر می‏کند، وردپرس یک کد محرمانه تولید و آن را برای آدرس ایمیل کاربر (که در پایگاه داده ذخیره شده) ارسال می‏کند. هنگام ارسال این ایمیل، وردپرس از یک متغیر به نام  SERVER_NAME استفاده می‌کند تا نام هاست (Hostname) را به دست آورده و در جایی دیگر از آن استفاده کند ( در قست From ایمیل یا همان نام سایت مبدأ ارسال کننده ایمیل).


ادامه مطلب در دانلود پیوست

]]>
2017/5/17
<![CDATA[اطلاعیه شماره 4 مرکز ماهر در خصوص آسیب پذیری های پروتکل SMB]]>

اطلاعیه شماره 4 مرکز ماهر در خصوص آسیب پذیری های پروتکل SMB

]]>
 

باتوجه به شیوع گسترده حملات مختلف سایبری با سوء استفاده از آسیب پذیری های پروتکل SMB نظیر باج افزار WannaCrypt و سایر حملات مشابه مطرح شده در رسانه های کشور، مرکز ماهر اقدام به رصد فضای IP  و شناسایی سیستم های متعدد آسیب پذیر در این خصوص نموده و اطلاعات مربوط به آسیب پذیری های رصد شده مستقیما به اطلاع مالکین IP ها در سطح کشور رسیده است.

 

 

اطلاعیه شماره 1 مرکز ماهر

اطلاعیه شماره 2 مرکز ماهر

اطلاعیه شماره 3 مرکز ماهر

]]>
2017/5/17
<![CDATA[ اطلاعیه مرکز ماهر در خصوص نحوه دریافت ضد باج افزار بومی ]]>

 اطلاعیه مرکز ماهر در خصوص نحوه دریافت ضد باج افزار بومی

]]>
 

با توجه به اتفاقات اخیر و انتشار باج افزار Wanna Crypt، نرم افزار ضدباج افزار بومی محصول شرکت امن پرداز که با مشارکت و سرمایه گذاری وزارت ارتباطات و فناوری اطلاعات توسعه یافته، در دسترس عموم قرارگرفته است.  لازم به ذکر می باشداین ابزار توسط مرکز ماهر مورد ارزیابی امنیتی قرار گرفته و در پیشگیری کامل از آلودگی  به باج افزارها از جمله باج افزار مذکور موثر شناخته شده است. لذا عموم کاربران می توانند با کلیک بر روی "دریافت نرم افزار"  نسبت به  دریافت و استفاده از نرم افزاراقدام نمایند.

دریافت نرم افزار

 

 " دستورالعمل مرکز ماهر درخصوص نحوه مقابله و پیشگیری از باج افزار wanna crypt  را در این  قسمت  میتوانید دریافت نمایید. " 

 

]]>
2017/5/16
<![CDATA[اطلاعیه شماره 2: اقدامات عملی جهت پیشگیری و مقابله با باج‌افزار wannacrypt]]>

اطلاعیه شماره 2: اقدامات عملی جهت پیشگیری و مقابله با باج‌افزار wannacrypt

]]>
در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است.

تا این لحظه بیش از 200 قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدامات لازم جهت جلوگیری از انتشار باج افزار و کاهش خسارت ناشی ازآن، از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در  استان های کشور در دست انجام می باشد.

 

از کلیه سازمانها و شرکت های محترم درخواست می شود در صورت برخورد با آلودگی به باج افزار فوق در اسرع وقت موارد را با شماره تلفن های 22115950 و 4265000 با همکاران مرکز ماهر درمیان بگذارند و یا از طریق آدرس پست الکترونیکی cert@certcc.ir ارسال نمایند.

برای دریافت اطلاعات بیشتر جهت پیشگیری  اینجا را کلیک نمایید.

]]>
2017/5/14
<![CDATA[اطلاعیه شماره 1: شناسایی بیش از 200 قربانی آلوده به باج افزار در فضای سایبر کشور]]>

اطلاعیه شماره 1: شناسایی بیش از 200 قربانی آلوده به باج افزار در فضای سایبر کشور

]]>
تا لحظه مخابره این خبر، بیش از 200 قربانی آلوده به باج افزار در فضای سایبری کشور از سوی مرکز ماهر شناسایی و اقدام های لازم عملیاتی شده است.
به گزارش مرکز ماهر، در روزهای اخیر باج افزاری تحت عنوان wannacrypt با قابلیت خود انتشاری در شبکه کشور ها شیوع یافته است. براساس رصدهای انجام شده توسط مرکز ماهر، این بدافزار در سطح شبکه کشور ما نیز رصد شده است.
تا این لحظه بیش از 200 قربانی این باج افزار در کشور که بیشتر این آلودگی ها در حوزه پزشکی و سلامت شناسایی شده و اقدام جهت جلوگیری از انتشار باج افزار و کاهش خسرات ناشی از آن، از سوی تیم های امداد و نجات مرکز ماهر (مراکز آپا) مستقر در استانهای کشور در دست انجام می باشد.
این گزارش حاکی است، این حمله را می‌توان بزرگترین حمله آلوده نمودن به باج‌افزار تاکنون نامید. این باج‌افزار به نام‌های مختلفی همچون WannaCry، Wana Decrypt0r، WannaCryptor و WCRY شناخته می‌شود. این باج‌افزار همانند دیگر باج‌افزار‌ها دسترسی قربانی به کامپیوتر و فایل‌ها را سلب کرده و برای بازگرداندن دسترسی درخواست باج می کند.
باج‌افزار مذکور برای پخش شدن از یک کد اکسپلویت متعلق به آژانس امنیت ملی آمریکا به نام EternalBlue استفاده می‌کند که مدتی پیش توسط گروه shadowbrokers منتشر شد. این کد اکسپلویت از یک آسیب پذیری در سرویس SMB سیستم‌های عامل ویندوز با شناسه MS17-010 استفاده می‌کند. در حال حاضر این آسیب‌پذیری توسط مایکروسافت مرتفع شده است اما کامپیوتر‌هایی که بروزرسانی مربوطه را دریافت ننموده‌اند نسبت به این حمله و آلودگی به این باج‌افزار آسیب‌پذیر هستند. 
باتوجه به فعالیت این باج افزار در کشور ما، لازم است جهت پیشگیری از آلودگی به آن، مدیران شبکه نسبت به برورزرسانی سیستم‌های عامل ویندوز و تهیه کپی پشتیبان از اطلاعات مهم خود در اسرع وقت اقدام کنند.
لازم به ذکر است بزودی اطلاعات بیشتری در این خصوص از سوی مرکز ماهر منتشر خواهد شد.

]]>
2017/5/13
<![CDATA[گزارش آسیب پذیری در Intel Active Management]]>

گزارش آسیب پذیری در Intel Active Management

]]>
    بررسی اجمالی

تکنولوژی های  بر پایه Intel Active Management ممکن است آسیب‌پذیری دسترسی از راه دور داشته باشند که این موضوع باعث می‌شود تا مهاجم احراز هویت نشده بتواند هر کد دلخواهی را اجرا کند.


    توضیحات


شرکت Intel چند اپلیکیشن مختلف برای مدیریت و نگهداری از راه دور سیستم‌ها برای مشتریان خود فراهم کرده است . از این تکنولوژی می توان Intel® Active Management , Intel® Small Business Technology و Intel Management Engine را نام برد.

این تکنولوژی ها بر روی چندین پورت مختلف به دستورات از راه دور گوش میدهند تا کاربران بتوانند سیستم‌های خود را از راه دور مدیریت کنند .به طور مثال  اینتل پورت های 16992 و 16993 را برای یک اپلیکیشن تحت وب که با AMT در ارتباط است در نظر گرفته است.

Intel Management Engine که این تکنولوژی ها را پشتیبانی میکند ممکن است آسیب‌پذیری دسترسی از راه دور داشته باشند که این موضوع باعث می‌شود تا مهاجم احراز هویت نشده بتواند از ویژگی‌هایی که اینتل برای ساده کردن وظایف کاربران خود فراهم کرده است دسترسی بگیرد.

در حال حاضر مشخص نیست که چند سیستم و کامپیوتر با فعال بودن این ویژگی به طور پیش‌فرض وارد بازار شده اند.

 

    راه حل

firmware خود را به روز رسانی نمایید.

اینتل آپدیتی را برای سخت‌افزار های آسیب‌پذیر منتشر کرده است که شما با نصب آن از میتوانید این آسیب پذیری را برطرف نمایید . برای اطلاعات بیشتر و دریافت به روز رسانی ها لطفاً اینجا را مشاهد کنید.

]]>
2017/5/8
<![CDATA[مقدمه‌ای بر خانه‌های هوشمند و بررسی چالش‌های امنیتی این خانه‌ها]]>

مقدمه‌ای بر خانه‌های هوشمند و بررسی چالش‌های امنیتی این خانه‌ها

]]>
 

اینترنت با فراهم نمودن امکان اتصال در هر زمان، در هر مکان و با هر شخص، زندگی بشر را تغییر داده‌است. به علت پیشرفت‌های متعددی که در فناوری به وقوع پیوسته است، حسگرها، پردازنده‌ها، فرستنده‌ها، گیرنده‌ها و غیره به‌صورت انبوه و با قیمتی بسیار ارزان در اختیار مشتریان قرار گرفته‌اند. این نوع نوین از توسعه‌ی اینترنت، اینترنت اشیا نام دارد.

اینترنت اشیا بستری است که در آن، شبکه‌ی اینترنت موجود از سیستم‌های کامپیوتری به اشیا یا موجودیت‌های دنیای واقعی متصل هستند. اشیا ممکن است شامل موجودیت‌ها، وسایل برقی خانگی، دستگاه‌ها، ابزار و غیره باشند. وقتی این اشیا طبق زیرساخت مشخص و پروتکل‌های استاندارد خاصی به اینترنت متصل می‌شوند، سیستم مجموع اینترنت اشیا نامیده می‌شود.

اشیا در اینترنت هوشمند می‌توانند حقیقی یا مجازی، و ثابت یا متحرک باشند. این در حالی است که اشیا، شرکت‌کنندگان فعال در کل سیستم هستند. اشیا، می‌توانند با یکدیگر و با انسان تعامل داشته باشند که این ارتباطات به‌ترتیب، ارتباط شی به شی و ارتباط شی با انسان نامیده می‌شوند.

همانگونه که در شکل 1 نشان داده می‌شود، اینترنت اشیا شامل هشت حوزه‌ی نقل و انتقال هوشمند، درمان هوشمند، کشاورزی هوشمند، خانه‌ی هوشمند، وسایل نقلیه‌ی هوشمند، مدرسه‌ی هوشمند، بازار هوشمند، و صنعت هوشمند است. در این گزارش سعی بر آن است تا مفاهیم بنیادین خانه‌ی هوشمند و پروتکل‌های مورد استفاده در آن مورد بررسی قرار گیرند.

 

دانلود لینک پیوست

 


 

 

]]>
2017/5/2
<![CDATA[سالانه 3000 واحد صنعتی با بدافزار آلوده می شوند]]>

سالانه 3000 واحد صنعتی با بدافزار آلوده می شوند

]]>
 

بدافزارهای هدف دار مربوط به سامانه های کنترل صنعتی، کمتر رایج بوده و بیشتر ماندگار هستند، از جمله یک نمونه از این بدافزارها می توان به بدافزاری که خود را به جای سفت افزار Siemens PLC نشان داده و از سال 2013 فعال است اشاره کرد. بخشی از این جاسوس افزار که خود را به جای نرم افزار Siemens PLC نشان داده، به مدت چهار سال توسط یک گروه مهاجم ناشناخته در چرخه وجود داشته و در تلاش برای آلوده کردن شبکه های صنعتی (بیشتر در ایالات متحده) بوده است.
این بدافزار پنهان به گونه ای بسته بندی شده تا خود را به صورت فایل نصبی کنترلر منطقی قابل برنامه ریزی Siemens نشان دهد و حدود 10 واحد صنعتی با این کمپین حمله هدف دار مواجه شده اند که براساس تحقیقات جدید توسط Dragos، هفت مورد از آنها در ایلات متحده و چندین مورد در اروپا و چین قرار دارد.
«رابرت م. لی » بنیانگذار و مدیر Dragos  اینگونه عنوان کرده است که، «این بدافزار تلاش می کند اپراتورها را به نصب فایل هایی که انتظار دارند مرتبط به PLCهایشان است، فریب دهد، ولی در واقع یک درب پشتی است».
«لی» و همکارش «بن میلر » رئیس مرکز عملیات در زمینه تهدیدات، موارد بدافزار مرتبط با شبکه های ICS را شناسایی و تحلیل کردند (1500 نمونه بدافزار از محیط های ICS را در یک دوره سه ماهه مطالعه کردند). محققان، بدافزارهای جمع آوری شده از پایگاه داده های عمومی مانند VirusTotal و همچنین جستجوهای گوگل و داده های سرویس نام دامنه (DNS) را مطالعه کردند.
پروژه بدافزار در ICSهای مدرن Dragos ( MIMICS)، به منظور انجام ارزیابی روی نمونه های حقیقی بدافزارهایی که امروزه محیط های ICS را هدف می گیرند، راه اندازی شد. محققان توانستند بدافزارهای روز را شناسایی کنند: هیچگونه حمله هدف دار بدافزار از نوع Stuxnet دیده نشد. حتی بدافزار مخصوص Siemens در حالی که شبکه های ICS را هدف می گیرد، همچنان از قطعه پنهانی جاسوس افزار استفاده
می کند: هیچ گونه مورد مخرب یا سفارشی مانند Stuxnet، Havex یا BlackEnergy2 دیده نشد.
محققان یافتند که نمونه هایی از بدافزارهای تقریباً رایج و به سادگی قابل توزیع، به شبکه های ICS حمله کرده اند: Sivis با اختلاف بسیار زیاد و با 15863 شناسایی، بیشترین تعداد حمله را در اختیار داشته و پس از آن، Lamar (6830)، Ramnit (3716)، Sinwal (2909) و دیگر خانواده های رایج بدافزارها از جمله Virut (1814) و Sality (1225) در رتبه های بعدی قرار گرفتند. محققان محاسبه کردند که سالانه حدود 3000 واحد صنعتی با این نوع بدافزارهای غیرهدف دار و روزمره آلوده می شوند؛ این رقم، به دلیل اینکه لزوماً تمام واحدهای آلوده شده به بدافزار خود را در پایگاه داده های عمومی برای مثال VirusTotal ثبت نمی کنند محافظه کارانه در نظر گرفته شده است.
«لی» عنوان کرده «افراد به جای توجه به وقوع موارد آشکار (آلودگی با بدافزار)، انتظار نسخه دوم Stuxnet را دارند. فرضیه این است که به نسخه دوم Stuxnet برای نفوذ به تأسیسات نیاز نیست. اگر بتوان نشان داد از بدافزار قدیمی برای هدفگیری ICS استفاده شده، تأثیر بیشتری خواهد داشت» .
حملات هدف داری که به غیر از بدافزار Siemens PLC یافت کردند، به اندازه بدافزارهای غیر هدف دار، گسترده نبودند. «لی» عنوان کرده که حدود 10 مورد دیگر از بدافزارهای مخصوص ICS وجود داشت. یکی از حملات که در سال 2011 رخ داد، ایمیل فیشینگ بود که چندین سایت هسته ای در غرب ولی عمدتاً در ایالات متحده را هدف گرفتند.
«لی» عنوان می کند که حضور هر گونه ای از این بدافزار روی سامانه های ICS، به این معنی نیست تأسیسات تولیدی از کار افتاده یا بحران هسته ای رخ داده است. یافته های MIMICS داده های حقیقی درباره نوع بدافزار و حملاتی که روی واحد های ICS رخ داده را نشان می دهد. «لی» اینگونه گفته که «بسیاری از مالکان واحدها می خواهند نمودارهایی برای امنیت ایجاد کنند. امید است که این مسئله، عمومیت را از بین ببرد و نشان دهد که مشکلاتی وجود دارد».
با این وجود، مسئله دلسردکننده، تعداد فایل های معتبر ICS و شناسایی شده توسط MIMICS بود که به اشتباه به عنوان بدافزار در VirusTotal و دیگر سایت های عمومی علامت گذاری شده بودند و این مسئله باعث شد که آن فایل ها در معرض سوءاستفاده توسط مجرمان سایبری یا دیگر تهدیدکنندگانی قرار گیرد که به دنبال اطلاعاتی برای اجرای حمله هدف دار روی واحد صنعتی هستند. آنها صدها برنامه نرم افزاری معتبر ICS را شناسایی کردند از جمله نصب کننده های رابط ماشین انسان و تاریخ نگارهای داده ها و تولیدکننده های شماره سریال برای نرم افزارها که همگی برای استفاده مجرمان قابل دسترسی بودند.
«لی» و «میلر» حدود 120 فایل پروژه یافتند که به عنوان مخرب علامت گذاری شده و در آن پایگاه داده های عمومی ثبت شده بودند، از جمله یک گزارش کمیسیون مقررات هسته ای، خصوصیات طرح و گزارش های پشتیبانی یک شعبه و انواع دیگر اطلاعات حساس که سهواً به طور عمومی منتشر شدند.
انجام حمله هدف دار و مخرب روی سامانه ICS در یک واحد صنعتی خیلی آسان نیست. به آگاهی و درک بسیاری از طرح فیزیکی واحد و همچنین آگاهی از فرآیندهای صنعتی آن واحد نیاز دارد. متخصصان امنیت ICS مانند «رالف لانگنر » از Langner Communications عنوان کرده اند که به منظور اجرای حمله سایبری فیزیکی که به واحد یا فرآیندهای آن آسیب وارد کند، مهاجم به آگاهی از جنبه های فیزیکی و مهندسی واحد مورد هدف، نیاز دارد. با توجه به گفته های «لانگنر» این آگاهی، مهارتی به حساب می آید که فراتر از بدافزار و هک کردن است.
ولی فایل های معتبری که تیم Dragos در اینترنت یافتند، به عنوان بخشی از عملیات اطلاعاتی و شناسایی توسط مهاجمان مخرب قابل استفاده هستند. «لی» عنوان می کند که «آنها می توانستند اطلاعاتی درباره مکان واحد، مالک تجهیزات، پیکربندی و طرح فرآیند، تجهیزات مورد استفاده، نرم افزار موجود در واحد به دست آورند. آنها می توانستند اطلاعات زیادی کسب کنند. لزوماً این فایل ها به آنها مهندسی فیزیکی را ارائه نمی کند ولی اطلاعات قابل توجهی را ارائه خواهد کرد».
یک مهاجم برای هک کردن یک واحد بایستی تحقیقات بسیاری انجام دهد، ولی یافتن این گونه اطلاعات و فایل های معتبر برای مثال در VirusTotal، فرآیند جستجو را برای مهاجم کاهش خواهد داد.
متخصص امنیت ICS «جوزف وایس » در یک پست وبلاگی اشاره کرد که حقیقتاً بدافزار در سامانه های ICS وجود دارد، بنابراین اپراتورهای واحد صنعتی باید روی انعطاف پذیری و بازیابی از حملات سایبری احتمالی، تمرکز کنند. تضمین اینکه سامانه های سیستم کنترل روی اینترنت قابل دسترسی نیستند و همچنین ایجاد بروزرسانی های ایمن نرم افزاری و محدودسازی دسترسی فقط برای کاربران مطمئن، برخی اقدامات محافظتی است که این واحدها باید اعمال کنند.

مرجع
http://www.darkreading.com/threat-intelligence/3000-industrial-plants-per-year-infected-with-malware-/d/d-id/1328444

 

]]>
2017/5/1
<![CDATA[سالانه 3000 واحد صنعتی با بدافزار آلوده می شوند]]>

سالانه 3000 واحد صنعتی با بدافزار آلوده می شوند

]]>
 

بدافزارهای هدف دار مربوط به سامانه های کنترل صنعتی، کمتر رایج بوده و بیشتر ماندگار هستند، از جمله یک نمونه از این بدافزارها می توان به بدافزاری که خود را به جای سفت افزار Siemens PLC نشان داده و از سال 2013 فعال است اشاره کرد. بخشی از این جاسوس افزار که خود را به جای نرم افزار Siemens PLC نشان داده، به مدت چهار سال توسط یک گروه مهاجم ناشناخته در چرخه وجود داشته و در تلاش برای آلوده کردن شبکه های صنعتی (بیشتر در ایالات متحده) بوده است.
این بدافزار پنهان به گونه ای بسته بندی شده تا خود را به صورت فایل نصبی کنترلر منطقی قابل برنامه ریزی Siemens نشان دهد و حدود 10 واحد صنعتی با این کمپین حمله هدف دار مواجه شده اند که براساس تحقیقات جدید توسط Dragos، هفت مورد از آنها در ایلات متحده و چندین مورد در اروپا و چین قرار دارد.
«رابرت م. لی » بنیانگذار و مدیر Dragos  اینگونه عنوان کرده است که، «این بدافزار تلاش می کند اپراتورها را به نصب فایل هایی که انتظار دارند مرتبط به PLCهایشان است، فریب دهد، ولی در واقع یک درب پشتی است».
«لی» و همکارش «بن میلر » رئیس مرکز عملیات در زمینه تهدیدات، موارد بدافزار مرتبط با شبکه های ICS را شناسایی و تحلیل کردند (1500 نمونه بدافزار از محیط های ICS را در یک دوره سه ماهه مطالعه کردند). محققان، بدافزارهای جمع آوری شده از پایگاه داده های عمومی مانند VirusTotal و همچنین جستجوهای گوگل و داده های سرویس نام دامنه (DNS) را مطالعه کردند.
پروژه بدافزار در ICSهای مدرن Dragos ( MIMICS)، به منظور انجام ارزیابی روی نمونه های حقیقی بدافزارهایی که امروزه محیط های ICS را هدف می گیرند، راه اندازی شد. محققان توانستند بدافزارهای روز را شناسایی کنند: هیچگونه حمله هدف دار بدافزار از نوع Stuxnet دیده نشد. حتی بدافزار مخصوص Siemens در حالی که شبکه های ICS را هدف می گیرد، همچنان از قطعه پنهانی جاسوس افزار استفاده
می کند: هیچ گونه مورد مخرب یا سفارشی مانند Stuxnet، Havex یا BlackEnergy2 دیده نشد.
محققان یافتند که نمونه هایی از بدافزارهای تقریباً رایج و به سادگی قابل توزیع، به شبکه های ICS حمله کرده اند: Sivis با اختلاف بسیار زیاد و با 15863 شناسایی، بیشترین تعداد حمله را در اختیار داشته و پس از آن، Lamar (6830)، Ramnit (3716)، Sinwal (2909) و دیگر خانواده های رایج بدافزارها از جمله Virut (1814) و Sality (1225) در رتبه های بعدی قرار گرفتند. محققان محاسبه کردند که سالانه حدود 3000 واحد صنعتی با این نوع بدافزارهای غیرهدف دار و روزمره آلوده می شوند؛ این رقم، به دلیل اینکه لزوماً تمام واحدهای آلوده شده به بدافزار خود را در پایگاه داده های عمومی برای مثال VirusTotal ثبت نمی کنند محافظه کارانه در نظر گرفته شده است.
«لی» عنوان کرده «افراد به جای توجه به وقوع موارد آشکار (آلودگی با بدافزار)، انتظار نسخه دوم Stuxnet را دارند. فرضیه این است که به نسخه دوم Stuxnet برای نفوذ به تأسیسات نیاز نیست. اگر بتوان نشان داد از بدافزار قدیمی برای هدفگیری ICS استفاده شده، تأثیر بیشتری خواهد داشت» .
حملات هدف داری که به غیر از بدافزار Siemens PLC یافت کردند، به اندازه بدافزارهای غیر هدف دار، گسترده نبودند. «لی» عنوان کرده که حدود 10 مورد دیگر از بدافزارهای مخصوص ICS وجود داشت. یکی از حملات که در سال 2011 رخ داد، ایمیل فیشینگ بود که چندین سایت هسته ای در غرب ولی عمدتاً در ایالات متحده را هدف گرفتند.
«لی» عنوان می کند که حضور هر گونه ای از این بدافزار روی سامانه های ICS، به این معنی نیست تأسیسات تولیدی از کار افتاده یا بحران هسته ای رخ داده است. یافته های MIMICS داده های حقیقی درباره نوع بدافزار و حملاتی که روی واحد های ICS رخ داده را نشان می دهد. «لی» اینگونه گفته که «بسیاری از مالکان واحدها می خواهند نمودارهایی برای امنیت ایجاد کنند. امید است که این مسئله، عمومیت را از بین ببرد و نشان دهد که مشکلاتی وجود دارد».
با این وجود، مسئله دلسردکننده، تعداد فایل های معتبر ICS و شناسایی شده توسط MIMICS بود که به اشتباه به عنوان بدافزار در VirusTotal و دیگر سایت های عمومی علامت گذاری شده بودند و این مسئله باعث شد که آن فایل ها در معرض سوءاستفاده توسط مجرمان سایبری یا دیگر تهدیدکنندگانی قرار گیرد که به دنبال اطلاعاتی برای اجرای حمله هدف دار روی واحد صنعتی هستند. آنها صدها برنامه نرم افزاری معتبر ICS را شناسایی کردند از جمله نصب کننده های رابط ماشین انسان و تاریخ نگارهای داده ها و تولیدکننده های شماره سریال برای نرم افزارها که همگی برای استفاده مجرمان قابل دسترسی بودند.
«لی» و «میلر» حدود 120 فایل پروژه یافتند که به عنوان مخرب علامت گذاری شده و در آن پایگاه داده های عمومی ثبت شده بودند، از جمله یک گزارش کمیسیون مقررات هسته ای، خصوصیات طرح و گزارش های پشتیبانی یک شعبه و انواع دیگر اطلاعات حساس که سهواً به طور عمومی منتشر شدند.
انجام حمله هدف دار و مخرب روی سامانه ICS در یک واحد صنعتی خیلی آسان نیست. به آگاهی و درک بسیاری از طرح فیزیکی واحد و همچنین آگاهی از فرآیندهای صنعتی آن واحد نیاز دارد. متخصصان امنیت ICS مانند «رالف لانگنر » از Langner Communications عنوان کرده اند که به منظور اجرای حمله سایبری فیزیکی که به واحد یا فرآیندهای آن آسیب وارد کند، مهاجم به آگاهی از جنبه های فیزیکی و مهندسی واحد مورد هدف، نیاز دارد. با توجه به گفته های «لانگنر» این آگاهی، مهارتی به حساب می آید که فراتر از بدافزار و هک کردن است.
ولی فایل های معتبری که تیم Dragos در اینترنت یافتند، به عنوان بخشی از عملیات اطلاعاتی و شناسایی توسط مهاجمان مخرب قابل استفاده هستند. «لی» عنوان می کند که «آنها می توانستند اطلاعاتی درباره مکان واحد، مالک تجهیزات، پیکربندی و طرح فرآیند، تجهیزات مورد استفاده، نرم افزار موجود در واحد به دست آورند. آنها می توانستند اطلاعات زیادی کسب کنند. لزوماً این فایل ها به آنها مهندسی فیزیکی را ارائه نمی کند ولی اطلاعات قابل توجهی را ارائه خواهد کرد».
یک مهاجم برای هک کردن یک واحد بایستی تحقیقات بسیاری انجام دهد، ولی یافتن این گونه اطلاعات و فایل های معتبر برای مثال در VirusTotal، فرآیند جستجو را برای مهاجم کاهش خواهد داد.
متخصص امنیت ICS «جوزف وایس » در یک پست وبلاگی اشاره کرد که حقیقتاً بدافزار در سامانه های ICS وجود دارد، بنابراین اپراتورهای واحد صنعتی باید روی انعطاف پذیری و بازیابی از حملات سایبری احتمالی، تمرکز کنند. تضمین اینکه سامانه های سیستم کنترل روی اینترنت قابل دسترسی نیستند و همچنین ایجاد بروزرسانی های ایمن نرم افزاری و محدودسازی دسترسی فقط برای کاربران مطمئن، برخی اقدامات محافظتی است که این واحدها باید اعمال کنند.

مرجع
http://www.darkreading.com/threat-intelligence/3000-industrial-plants-per-year-infected-with-malware-/d/d-id/1328444

 

]]>
2017/5/1
<![CDATA[جـدول آخـرین به‌روزرسـانـی‌ها و آسـیب‌پذیـری‌های نـرم‌افـزارهای پـرکـاربرد در کشـور( اردیبهشت 96)]]>

جـدول آخـرین به‌روزرسـانـی‌ها و آسـیب‌پذیـری‌های نـرم‌افـزارهای پـرکـاربرد در کشـور( اردیبهشت 96)

]]>
 

پیوست

]]>
2017/5/1
<![CDATA[بدافزاری که ظاهر خود را به نرم افزار Siemens تغییر داده، 10 کارخانه را آلوده کرده است.]]>

بدافزاری که ظاهر خود را به نرم افزار Siemens تغییر داده، 10 کارخانه را آلوده کرده است.

]]>
 

بدافزاری که خود را به عنوان نرم افزار معتبر برای سیستم کنترل Siemens معرفی کرده بود، طی چهار سال گذشته تجهیزات صنعتی در سرتاسر دنیا را آلوده کرده است. این بدافزار روی PLCهای Siemens نصب می شود. حداقل 10 کارخانه صنعتی که 7 مورد از آنها در ایالات متحده  قرار دارد، این نرم افزار آلوده را اجرا می کردند.
این بدافزار خاص به طور مشخص به تجهیزات کنترل صنعتی نفوذ کرده است. اینکه دقیقاً چه کاری انجام داده یا می دهد مشخص نیست، با این وجود به عنوان «جاسوس افزار » معرفی شده است. مدیر Dragos «رابرت لی» می گوید:
«از سال 2013، ارسالاتی از یک محیط ICS در ایالات متحده برای نرم افزار کنترل Siemens PLC وجود داشت. فروشندگان گوناگون آنتی ویروس اوایل آن را به عنوان مثبت کاذب و سپس بخشی از بدافزار علامت گذاری کردند. طی چهار سال گذشته، در حین بازرسی، نمونه هایی از این فایل مخصوص Siemens یافت شد که جدیدترین علامت گذاری این نرم افزار مخرب مربوط به مارچ 2017 می شود.
به طور خلاصه، آلودگی فعالی برای چهار سال گذشته توسط مهاجمانی که تلاش می کنند محیط های صنعتی را از طریق طراحی بدافزار خود به شکل نرم افزار کنترل Siemens آلوده کنند وجود داشته است.»
بدافزار آنها از تبلیغ افزار معمولی و تروجان های بانکداری که راه خود را به PCها پیدا می کنند مجزا است. Dragos به طور محافظه کارانه تخمین می زند که سالانه 3000 واحد صنعتی با بدافزارهای سایبری قدیمی آلوده می شوند. این آلودگی ها به طور گسترده تروجان های فرصت طلب مانند Sivis، Ramnit و Virut بودند که توسط کارکنان و با استفاده از USBها وارد سیستم شده اند. Dragos یافته های خود را حین سخنرانی در SANS ICS Security Summit در اورلاندو، فلوریدا آشکار کرد.
«ادگار کاپدیویل » رئیس اجرایی در «شرکت متخصصان امنیت کنترل صنعتی Nozomi Networks» بیان کرد: «وجود بدافزار مخصوص ICS مسئله جدیدی نیست، ولی نگران کننده است. واقعیت این است که امروزه شبکه های ICS با تمام چالش های امنیتی مشابه شبکه های IT روبرو می شوند، ولی فاقد گزینه های امنیتی مشابه هستند.
از قدیم ICS به گونه ای کاملاً مجزا طراحی شده و با مرزهای فیزیکی محدود شده است. هرچند هر آدرس IP جدید، حفره دیگری در دیوار فرضی که فناوری اطلاعات (IT) و فناوری عملیاتی (OT) را جدا کرده، ایجاد می کند. با ایجاد اتصال به IT، ایجاد امنیت مجدد مشکل بوده و هر کدام از این راهکارها نقطه ضعف احتمالی است که می تواند به خطر بیفتد (توسط مهاجمانی که نفوذ می کنند یا بدافزارها (مانند باج افزار).»
«اندرو کوک » رئیس شورای سایبری در Airbus Defense and Space CyberSecurity عنوان کرده: «بدافزارها در محدوده گسترده ای از سامانه های صنعتی رایج هستند و غالباً از طریق UBS آلوده یا از طریق دسترسی راه دور غیرمجاز منتشر می شوند. ولی در حالی که اکثریت بدافزارهای یافت شده در این سامانه ها سطح پایین هستند، همچنان می توانند تهدید قابل توجهی برای سازمان های مربوطه باشند. مهاجمان غالباً از این روش ها برای کسب اطلاعات باارزش درباره روشی که سامانه های سازمان ها اداره، پیکربندی و اجرا می‌شوند، استفاده می کنند.»


مرجع
https://www.theregister.co.uk/2017/03/22/malware_siemens_plc_firmware/

 

]]>
2017/5/1
<![CDATA[حمله هوشمندانه «DoubleAgent»، آنتی ویروس را به بدافزار تبدیل می کند.]]>

حمله هوشمندانه «DoubleAgent»، آنتی ویروس را به بدافزار تبدیل می کند.

]]>
 

ممکن است نرم افزارهای آنتی ویروس، باعث آزار و اذیت شوند. می توانند سرعت کامپیوتر را کم کنند یا هشدارهای زیادی نشان دهند که مشخص نیست چه زمانی اتفاقی رخ داده است. ولی محققان جنبه منفی آن را شناسایی کرده اند: ابزار عیب یابی که در بسیاری از نسخه های مایکروسافت ویندوز یافت شده، برای دستیابی به برنامه های آنتی ویروس آسیب پذیر و مجهز کردن آنها قابل استفاده است.
محققان شرکت دفاع امنیت سایبری Cybellum، حمله ای به نام «DoubleAgent» شناسایی کردند که از Microsoft Application Verifier (ابزاری برای تقویت امنیت در برنامه های ثالث ویندوز) به منظور تزریق کد سفارشی در برنامه ها استفاده می کند. این روش به احتمال زیاد می تواند هر برنامه ای را دستکاری کند، ولی برنامه های آنتی ویروس به شدت مورد توجه مهاجمان هستند، به دلیل اینکه دارای امتیازات گسترده سیستمی برای اسکن می باشند.
«اسلاوا برانفمن » مدیر Cybellum می گوید: «آنتی ویروس برای محافظت نصب می شود، ولی در واقع یک روش جدید حمله به کامپیوتر ایجاد می گردد. هکرها معمولاً تلاش می کنند از آنتی ویروس فرار کنند و از آن پنهان شوند، ولی اکنون به جای فرار، می توانند مستقیماً به آنتی ویروس حمله کنند. زمانی که کنترل آنتی ویروس را به دست گرفتند، دیگر نیازی به حذف آن نیست، می توانند به آرامی آن را در حالت اجرا نگه دارند.»
با آشکار شدن حمله، آنتی ویروس به کد مخرب اجازه می دهد پایدار شود، به دلیل اینکه از طریق ابزار معتبر Application Verifier وارد شده است. محققان عنوان کرده اند که حتی معیارهایی مانند راه اندازی مجدد سیستم نیز حمله DoubleAgent را حذف نمی کند. زمانی که هکرها کنترل برنامه آنتی ویروس را به دست می گیرند، می توانند آن را برای اجرای هر نوع حمله ای (از نظارت غیرفعال تا رمزگذاری و باجگیری اطلاعات) و به سبب اطمینان ذاتی سیستم عامل ها به آنتی ویروس ها، دستکاری کنند.
«مایکل انگستلر » رئیس ارشد فناوری Cybellum می گوید: «زمانی که این حمله کشف شد، متخصصان تلاش کردند درک کنند که چه تأثیری و چه محدودیت هایی دارد و مشخص شد که هیچ محدودیتی ندارد. می توان از آن برای تزریق هر فرآیندی استفاده کرد، بنابراین مشخص شد که یک مشکل بسیار جدی در اینجا وجود دارد.»
محققان به سازندگان 14 برنامه آنتی ویروس آسیب پذیر اطلاع رسانی کردند (Avast، AVG، Avira، Bitdefender، Trend Micro، Comodo، ESET، F-Secure، Kaspersky، Malwarebytes، McAfee، Panda، Quick Heal و Norton) و عنوان کردند که قبل از انتشار عمومی این حفره، 90 روز صبر می کنند. تاکنون فقط Malwarebytes، AVG و Trend Micro وصله ای را منتشر کرده اند و شواهد خاصی وجود ندارد که از این آسیب پذیری سوءاستفاده شده، ولی دانستن قطعی آن غیرممکن است، مخصوصاً به دلیل اینکه از زمان ویندوز XP، Application Verifier در ویندوز وجود دارد.
«انگستلر» می گوید: «به نظر نمی رسد که سخت در تلاش برای حل مشکل هستند. می توان مطمئن شد که با تبلیغات، انجام امور سریع تر می شود و این مسئله یکی از دلایل انتشار این حفره است، ولی تاکنون روند حل مشکل از چیزی که تصور می شد، کمی آهسته تر است.»
این آسیب پذیری خطرناک است، ولی صحبت از مسائل بزرگتر درباره نقش آنتی ویروس و ناامنی ضمنی است که می تواند به یک سیستم معرفی کند.
«محمد منان » محقق امنیتی در دانشگاه کلیفرنیا در مونترال (که درباره آسیب پذیری های آنتی ویروس تحقیق کرده) می گوید: «شخصاً استفاده از آنتی ویروس را متوقف کرده و به خاطر ندارد که چه زمانی روی کامپیوترش نصب نبوده است. تمام برنامه ها حفره هایی دارند، ولی اگر مسئله ای در خصوص محصولات آنتی ویروس رخ دهد، عواقب آن مانند این مورد (DoubleAgent) می تواند چشمگیر باشد. محصولات آنتی ویروس به طور کلی با امتیازات زیادی در سیستم اجرا می شوند، بنابراین اگر به خطر بیفتند، اساساً دسترسی کامل در اختیار مهاجم قرار خواهد گرفت.»
مایکروسافت سه سال قبل، یک معماری امنیتی به نام «Protected Processes» برای آنتی ویروس منتشر کرد که به طور موفقیت آمیز از کابران در مقابل DoubleAgent محافظت می کند. محققان، فقط یک برنامه آنتی ویروس یافتند که Protected Processes را پیاده سازی کرده بود.
بروزسانی 23 مارچ 2017: چهار مورد از فروشندگان آنتی ویروس های ذکر شده در خصوص DoubleAgent با وب سایت WIRED تماس حاصل کردند. Kaspersky و Avast این حفره را وصله کردند. Comodo گفته که تنظیمات پیش فرض آنتی ویروس حمله را خنثی کرده است. Symantec گفته که محصولات Norton Security آن آسیب پذیر نبوده، ولی عنوان کرده که اقدامات تشخیص و مسدودسازی اضافی را در زمان حمله به کاربران، توسعه و گسترش داده است.

مرجع
https://www.wired.com/2017/03/clever-doubleagent-attack-turns-antivirus-malware/

 

]]>
2017/5/1
<![CDATA[اتمام پشتیبانی مایکروسافت از ویندوز ویستا]]>

اتمام پشتیبانی مایکروسافت از ویندوز ویستا

]]>
بالاخره پس از 10 سال، مایکروسافت اعلام کرد که پایان پشتیبانی از ویندوز ویستا فرا رسیده است و دیگر برای این نسخه سیستم عامل ویندوز هیچ وصله ای صادر نخواهد شد.

در تاریخ 11 آوریل 2017 مایکروسافت هرگونه به روز رسانی امنیتی جدید، برطرف سازی مشکلات اساسی غیر امنیتی، مشاوره رایگان و پولی را برای ویندوز ویستا تعلیق نموده و دیگر هیچ به روزرسانی در محتوای فنی سایت ماکروسافت برای این نسخه از سیستم عامل انجام نخواهد شد.

داده های مرکز Netmarketshare نشان می دهد که این حرکت تنها 0.72% از همه کاربران کامپیوتر را تحت تاثیر قرار می دهد، اما هنوز هم بخش قابل توجهی از رایانه های محیط کسب کار و سازمان ها از ویندوز ویستا استفاده می کنند.

گزارش ماه نوامبر کمپانی امنیتی Due نشان می دهد که 65% از کاربران ویندوز این شرکت از نسخه ویستا استفاده می کنند. این مقاله نشان می دهد که با توجه به تهدیدات زیادی موجود برای نسخه های قدیمی سیستم عامل ها وجود دارد بسیاری ازشرکت ها در شبکه کسب و کار خود همچنان از آن ها استفاده می کنند، برای مثال ویندوز XP  همچنان 7.44% از بازار سیستم عامل های دسکتاپ را در اختیار دارد، این در حالی است که از از 2014 به بعد هیچ بروز رسانی برای این نسخه دریافت نشده است.

همچنین بسیاری از تولیدکنندگان نرم افزار و سخت افزار اقدام به بهینه سازی نسخه های جدیدتر محصولات خود برای نسخه های جدیدتر ویندوز می کنند و به طبع بسیاری از محصولات جدید قابلیت راه اندازی و اجرا در ویندوز ویستا را نخواهند داشت.

سازندگان اصلی مرورگر ها نیز پایان پشتیبانی خود از پلتفرم XP را اعلام نموده اند. موزیلا در دسامبر 2016 اعلام کرد که دیگر پشتیبانی از ویندوز های ویستا و XP  نخواهد داشت.

مایکروسافت برای ترغیب کاربران خود برای حرکت از ویستا به نسخه ها جدیدتر ویندوز دیگر نرم افزار Microsoft Security Essentials را برای ویستا ارائه و بروزرسانی نخواهد کرد. به روز رسانی دیتابیس امضای بدافزار ها تا زمان محدودی ادامه خواهد داشت و سپس به طور کامل قطع می گردد، پس از آن کاربران به شدت در معرض تهدیدات جدی خواهند بود.

]]>
2017/4/26
<![CDATA[بدافزارهای اینترنت اشیاء برای تشکیل بات‌نت با یکدیگر رقابت می‌کنند]]>

بدافزارهای اینترنت اشیاء برای تشکیل بات‌نت با یکدیگر رقابت می‌کنند

]]>
 

بدافزار Mirai که یکی از منفورترین‌ها در حوزه‌ی اینترنت اشیاء است، با یک بدافزار دیگر وارد عرصه‌ی رقابت شده است. این بدافزار جدید می‌تواند همان دستگاه‌هایی که Mirai به راحتی آلوده می‌کند را به بات تبدیل کند. محققان این بدافزار را که با بدافزار Mirai وارد رقابت شده، Hajime نامگذاری کرده‌اند. این بدافزار 6 ماه قبل شناسایی شده و از آن زمان به‌طور بی‌وقفه به رشد خود ادامه داده و بات‌نت بزرگی از دستگاه‌های آسیب‌پذیر اینترنت اشیاء را به‌وجود آورده است. محققان تخمین می‌زنند این بدافزار نزدیک به 100 هزار دستگاه را در سراسر جهان آلوده کرده باشد.

این بات‌نت‌ها یا بهتر بگوییم دستگاه‌های اجیرشده می‌توانند بسیار مشکل‌ساز باشند. مهاجمان می‌توانند از این بات‌ها برای انجام حملات منع سرویس توزیع‌شده استفاده کنند و با این حملات بخش وسیعی از زیرساخت اینترنت و وب‌گاه‌های مختلف آسیب خواهند دید. به خاطر بیاورید که در اکتبر سال 2016 میلادی، بدافزار Mirai با بات‌نت بزرگی به ارائه‌دهند‌ه‌ی سرویس DNS با نام Dyn حمله کرده و بخش وسیعی از اینترنت آمریکا را با اختلال روبرو کرده بود.

بدافزار Hajime نیز تقریباً در همان روزها در ماه اکتبر کشف شد زمانی که محققان امنیتی فعالیت‌های بدافزار Mirai را تحت نظر داشتند. این بدافزار چیزی شبیه به Mirai بود ولی بسیار سرسخت‌تر. شبیه به بدافزار Mirai، بدافزار Hajime نیز برای کشف دستگاه‌های آسیب‌پذیر اینترنت اشیاء مانند دوربین‌های اینترنتی و مسیریاب‌ها آن‌ها را در سطح اینترنت پویش می‌کند. این بدافزار با امتحان کردن ترکیب‌های مختلفی از نام کاربری و گذرواژه، به دستگاه‌ها دسترسی پیدا کرده و در ادامه برنامه‌های مخربی را بر روی آن‌ها تزریق می‌کند.

با این حال بدافزار Hajime مانند Mirai از یک سرور دستور و کنترل از راه دور دستوراتی را برای اجرا دریافت نمی‌کند. در عوض برای برقراری ارتباط و اجرای دستورات از ارتباطات نظیر به نظیر (P2P) مبتنی بر پروتکل بیت‌تورنت استفاده می‌کند و این باعث می‌شود یک ساختار غیرمتمرکز از بات‌ها بوجود آمده و متوقف کردن آن سخت باشد. محققان می‌گویند Hajime بسیار بسیار پیچیده‌تر از Mirai است چرا که دارای ساختار دستور و کنترل بسیار پیچیده است.

ارائه‌دهندگان پهنای‌باند در اینترنت توانسته‌اند با مسدود کردن ارتباطات بات‌نت Mirai با سرور دستور و کنترل، تاحدودی ترافیک مخرب آن را کنترل کنند. به‌طور همزمان بدافزار Hajime به رشد خود ادامه داده و این رشد به 24.7 درصد رسیده است و توانسته بسیاری از دستگاه‌های آلوده‌شده توسط Mirai را مجدداً آلوده کند. باتوجه به ماهیت نظیر به نظیر در بات‌نت Hajime، یک بات می‌تواند به راحتی دستورات و پرونده‌های مخرب را به سایر قسمت‌های بات‌نت منتقل کند. همچنین فرآیند مسدود کردن ترافیک مخرب نیز در این ساختار غیرمتمرکز بسیار دشوار است.

در تصویر زیر میزان تلاش هر یک از بدافزارهای Hajime و Mirai را برای آلوده کردن دستگاه‌های اینترنت اشیاء مشاهده می‌کنید. خط آبی متعلق به بدافزار Hajime و خط قرمز مربوط به Mirai است.

 

چه کسی عامل بات‌نت Hajime است؟ محققان امنیتی هنوز مطمئن نیستند چه کسی پشت این بدافزار است. به‌طور قطع تاکنون حمله‌ی منع سرویس توزیع‌شده (DDoS) با استفاده از این بات‌نت مشاهده نشده و این خبر خوبی است. هرچند این بات‌نت بسیار بزرگ بوده و قادر است حملاتی مشابه آنچه Mirai انجام داد را راه‌اندازی کند. با این حال هدف نهایی بات‌نت Hajime هنوز ناشناخته باقی مانده است. با این حال احتمالی که وجود دارد این است که در آینده برای اجرای حمله‌ی منع سرویس توزیع‌شده برای یک اخاذی مالی بسیار بزرگ مورد استفاده قرار بگیرد. همچنین امکان دارد بات‌نت Hajime یک پروژه‌ی تحقیقاتی باشد یا یک متخصص امنیت بخواهد با تشکیل آن، بات‌نت Mirai را تحت فشار قرار داده و از صحنه خارج کند.

هرچند تاکنون رشد بات‌نت Hajime بیشتر از Mirai بوده است ولی یک تفاوت عمده بین این دو بات‌نت وجود دارد و آن اینکه بات‌نت Hajime طیف محدودتری از دستگاه‌های اینترنت اشیاء با معماری تراشه‌ی ARM را آلوده می‌کند. باتوجه به آنچه که در کد منبع بدافزار Mirai دیدیم، این مسئله با این بدافزار در تضاد است چرا که Mirai طیف وسیعی از دستگاه‌ها را آلوده می‌کند. به‌عبارتی دیگر می‌توان گفت رقابتی که بین Hajime و Mirai در جریان است، با یکدیگر هم‌پوشانی ندارد. با این‌حال تاکنون Hajime توانسته است Mirai را تحت فشار قرار دهد.

برای متوقف کردن این بدافزارها، محققان امنیتی پیشنهاد می‌کنند که مشکل به‌طور ریشه‌ای حل شده و آسیب‌پذیری‌ها بر روی دستگاه‌های اینترنت اشیاء وصله شود. با این حال این راه‌حل ممکن است زمان زیادی ببرد و در برخی موارد حتی شدنی نباشد. به عبارت دیگر بدافزارهای Hajime و Mirai همچنان در عرصه‌ی تهدیدات اینترنت اشیاء حضور خواهند داشت.

منبع:

http://www.networkworld.com/article/3190178/security/iot-malware-clashes-in-a-botnet-territory-battle.html

 

]]>
2017/4/23
<![CDATA[آسیب­ پذیری پایگاه ­داده MongoDB]]>

آسیب­ پذیری پایگاه ­داده MongoDB

]]>
 

سیستم‌های پایگاه­ داده امروزه به وفور استفاده می­شوند. به عنوان مثال بانک‌ها برای دخیره اطلاعات تراکنشی و موجودی حساب ­ها از آن­ها استفاده می‌کنند، شرکت‌ها اطلاعات مشتریان خود و فروشگاه‌های اینترنتی تمامی محصولات و تراکنش‌های بانکی خود را داخل آن ذخیره می‌کنند. یکی از انواع سیستم‌های پایگاه‌داده که در دنیا و خصوصا در کشور ایران استفاده می‌شود، MongoDB نام دارد. این سیستم یک پایگاه‌داده NoSQL است. پایگاه‌داده­های NoSQL برای ارتباط با برنامه از زبان SQL استفاده نمی‌کنند و به دلیل سهولت کار، توجه افراد زیادی را به خود جلب کرده‌اند. MongoDB معمولا روی پورت 27017 فعال است.

در بررسی‌های انجام شده بر روی سیستم‌های تحت MongoDB، به این نتیجه رسیدیم که اکثر طراحان سیستم‌های مبتنی بر این پایگاه‌داده، نام کاربری و رمز عبور قرار نمی‌دهند. نبود هرگونه رمز عبوری باعث می‌شود افراد در سطح Admin به پایگاه‌داده‌ها دسترسی داشته باشند. این دسترسی به افراد اجازه هرگونه تغییرات دلخواه روی پایگاه‌داده‌ها را می‌دهد. اخیرا اخاذی های زیادی تحت استفاده از این مشکل امنیتی صورت گرفته است. قربانیان زیادی جهت بازگرداندن سیستم خود هزاران دلار به حساب نفوذگران واریز کرده­اند تا پایگاه‌داده سیستم خود را بازیابی کنند.

روش­های کنترل و جلوگیری از این مشکل امنیتی به شرح ذیل است:

  • اختصاص رمز عبور و نام کاربری مجزا مختص هر پایگاه‌داده در سیستم
  • بستن پورت 27107 از طریق دیوارآتش

 

دانلود گزارش کامل

]]>
2017/4/23
<![CDATA[آسیب پذیری موجود در سویچ ها و فایروال ها بر اساس رخنه‌ی امنیتی ICMP flooding (Black Nurse)]]>

آسیب پذیری موجود در سویچ ها و فایروال ها بر اساس رخنه‌ی امنیتی ICMP flooding (Black Nurse)

]]>
 

رخنه‌ی‌ امنیتی ICMP flooding که به اصطلاح باگ معروفBlack Nurse نیز نامیده می شود، باعث از کار انداختن و محرومیت از سرویس مدل‌های زیادی از فایروال‌ها و سویچ روترهایی می شود که به وفور در ایران استفاده می‌شوند. اصول از کار انداختن ادوات بر اساس اتلاف حداکثری از عمکرد پردازنده‌ی مرکزی و افت شدید ترافیک است. این رخنه بر اساس ارسال درخواست های بدون پاسخ Ping عمل می نماید و از آنجایی که پروتکل کنترل پیغام های اینترنتی یا ICMP بر مبنای انتقال پیام‌های خطا و دیگر پیام‌ها  در لایه ی IP کار می کند، می‌توان از این موضوع بهره برداری نمود و اقدام به از کار انداختن سرورها و فایروال‌ها یا اوات دیگر شبکه از طریق حالتDestination Unreachable نمود.

دانلود مستند

]]>
2017/4/23
<![CDATA[بررسی آسیب پذیری های امنيتی سامانه های اسکادا و راهکارهای امن سازی آنها]]>

بررسی آسیب پذیری های امنيتی سامانه های اسکادا و راهکارهای امن سازی آنها

]]>
مقدمه

امروزه سيستم هاي كنترل نظارتي و اکتساب داده، اسکادا (Supervisory Control And Data Acquisition ) تلقي مي گردند. سيستم هاي اسکادا به منزله مغز كنترل و مانيتورينگ زيرساخت هاي حياتي نظير شبكه هاي انتقال و توزيع برق، پالايشگاه ها، شبكه هاي انتقال آب، كنترل ترافيك و... مي باشند.

 با توجه به نقش برجسته سيستم هاي اسكادا در كنترل و مانيتورينگ زيرساخت هاي حياتي و صنايع مهم يك كشور، پرداختن به امن سازي آنها به يك اولويت ملي مهم تبديل شده است چراكه سيستم هاي اسکادا با هدف حداكثر بازدهي و كارآيي مطلوب طراحي شده اند و به امنيت آنها توجه جدي نشده است، اين درحالي است که نياز اساسي امروز با توجه به واقعيت هاي موجود و افزايش آمار حملات و سو استفاده هاي اخير در اين سيستم ها مي باشد.

 متاسفانه در اغلب سيستم هاي اسکادا، به محيط عملياتي بطور كامل اعتماد مي شود و با فرض وجود يك محيط امن، فعاليت ها انجام مي شود. ارتباط تنگاتنگ اين سيستم ها با ساير سيستم هاي موجود در يك سازمان، ضرورت توجه به امنيت آنها را مضاعف كرده است.

سيستم هاي كنترل نظارتي از معماری سیستم مجزا شده به سمت معماري مبتني بر شبكه حركت كرده اند. سخت افزار و نرم افزار استفاده شده در سيستم ها از طراحي و پياده سازي كاملا" سفارشي به سمت استانداردهاي سخت افزاري و پلت فرم هاي نرم افزاري سوق پيدا كرده اند.

مهم ترين قسمت يک زير ساخت حياتي، سیستم شبکه آن مي باشد. کار اين سيستم جمع آوري بلادرنگ اطلاعات وضعيت سيستم و مخابره کردن اطلاعات سيستم هاي موجود در نقشه در قالب يک رابط تصويري قابل فهم به مسئول سيستم مي باشد. نمونه هايي از اين سيستم هاي زير ساخت حياتي را بسته به اندازه ي آن سيستم ها بزرگ مثل شبکه توزيع و انتقال برق هوشمند يا کوچک مثل واحد اندازه گيري فاز در يک شبکه منتقل کننده برق؛ يا يک PLC که کنترل کننده ي يک سيستم بخار يا سرما در نيروگاه برق مي باشد. يکي ديگر از مهم ترين قسمت هاي سيستم هاي حياتي سيستم کنترل مرکزی آن می باشد.

 

دانلود لینک پیوست

]]>
2017/4/23
<![CDATA[جدول آخـرین به‌روزرسـانـی‌ها و آسـیب‌پذیـری‌های نـرم‌افـزارهای پـرکـاربرد در کشـور(فروردین 96)]]>

جدول آخـرین به‌روزرسـانـی‌ها و آسـیب‌پذیـری‌های نـرم‌افـزارهای پـرکـاربرد در کشـور(فروردین 96)

]]>
دانلود لینک پیوست]]> 2017/4/19
<![CDATA[هک بیش از 85 درصد تلویزیون های هوشمند توسط سیگنالهای تلویزیونی]]>

هک بیش از 85 درصد تلویزیون های هوشمند توسط سیگنالهای تلویزیونی

]]>
 

امروزه در دنیا دستگاه­های متصل به اینترنت به شدت در حال رشد هستند و به طبع خطرات امنیتی نیز آن­ها را تهدید می­کند. با توجه به اجرای نا امن، اکثریت این دستگاه­های دارای اینترنت از جمله تلویزیون­های هوشمند، یخچال و فریزر، مارکروویو، دوربین­های امنیتی و پرینتر­ها به طور معمول می­توانند مورد نفوذ قرار گرفته و به عنوان سلاح در حملات سایبری استفاده شوند.

قبلاً مشاهده نموده­اید که بات­نت­های مانند mirai که هدف آن­ها اینترنت اشیاء می­باشد در سال­های اخیر تبدیل به خطرناک ترین تهدید برای افراد و نرم­افزار­های موجود در اینترنت شده اند. با استفاده از این دستگاه­ها، هکرها توانایی پیاده سازی حملات تکذیب سرویس توزیع شده در سطوح پیشرفته و خطرناک را بدست می­آورند، همانگونه که چندی پیش شرکت DynDNS مورد حمله گسترده قرار گرفت.

در حال حاظر یک محقق امنیتی هشدار داده است که یکی دیگر از تهدیدات اینترنت اشیاء شامل تلویزیون­های هوشمند است که می تواند به هکرها اجازه دهد تا کنترل طیف گسترده­ای از تلویزیون­های هوشمند را بدون دسترسی فیزیکی بدست گیرند.

 

::: اثبات نفوذ توسط پژوهشگران

اکسپلویت این حمله برای بهره برداری توسط Rafael Scheel در شرکت امنیتی Oneconsult توسعه یافته است، با استفاده از یک فرستنده کم هزینه سیگنال­های مخرب تعبیه شده به سمت DVB-T ارسال شده است. با پخش سیگنال های گول زننده و دریافت آن­ها توسط تلویزیون های هوشمند، دسترسی ریشه(Root) به هکر داده می­شود.  در نهایت هکر می­تواند با آلوده کردن تعداد زیادی از این دستگاه­ها حملاتی از قبیل DDOS را رو روی یک هدف خاص اجرا نماید و یا با آن­ها اقدام به جاسوسی در سطوح گسترده نماید.

آقای Rafael Scheel در سمینار امنیت اتحادیه پخش اروپا بیان نموده است : حدود 90 درصد تلویزیون­های هوشمنده فروخته شده در سال 2016 می­توانن جزء قربانیان بالقوه این حملات باشند.

آسیب پذیری کشفت شده توسط Scheel بر روی یک فرستنده DVB-T است که استاندارد اتصال تلویزیون به اینترنت را پیاده سازی می­کند.این اکسپلویت دارای دو آسیب­پذیری ناشناخته افزایش سطح دسترسی از طریق مرورگر در حال اجرا و پس زمینه است که مهاجمان با آن کنترل کامل دستگاه متصل به اینترنت را بدست می­گیرند.

 

قابل ذکر است که دسترسی مهاجم به تلویزیون­های آلوده شده را نمی توان از طریق اجرای دوباره(reboot) و بازگشت به تنظیمات کارخانه از بین برد.

نفوذ­های قبلی به تلویزیون­های هوشمند از جمله پروژه "گریه فرشته" که توسط CIA انجام شده است نیازمند دسترسی فیزیکی به تلویزیون بوده و یا باید از طریق تکنیک­های مهندسی اجتماعی انجام می­شده است. با این حال در اکسپلویت Scheel نیاز به دسترسی فیزیکی عملاً حذف شده است و بدین ترتیب می­توان آنرا منحصر به فرد ترین حمله به تلویوزیون­های هوشمند نامید که دارای سبک بهره برداری خاص می­باشد.

هک بار دیگر خطرات اینترنت اشیاء را به دنیا نشان داد. از از آنجا که دستگاه های اینترنت اشیاء به سرعت در حال رشد و تغییر روش استفاده ما از فن آوری هستند سطح حملات نیز با شدت گسترش می­یابد. این موضوع از دیدگاه امنیت اطلاعات می­تواند ترسناک باشد.

 

]]>
2017/4/19
<![CDATA[گسترش تروجان‌های ویندوزی Mirai به دستگاه‌های لینوکسی(Windows Trojan Spreads Mirai to Linux Devices)]]>

گسترش تروجان‌های ویندوزی Mirai به دستگاه‌های لینوکسی(Windows Trojan Spreads Mirai to Linux Devices)

]]>
بدافزار  Mirai که مبتنی بر لینوکس است صدها هزار دستگاه مبتنی بر اینترنت اشیا (IoT ) را جهت اجرای یکی از بزرگ‌ترین حملات توزیع شده DDoS  مورد استفاده قرار داد. این بدافزار، دارای یک نسخه ویندوزی نیز هست.
Mirai در پاییز گذشته، پس از آن که وبلاگ برایان کربس (Brian Krebs’ blog) و ارائه دهنده خدمات زیرساخت DYN را مورد هدف قرار داد و دو تا از بزرگ‌ترین حملات DDoS تاریخ را ثبت کرد، محبوب شد.
پس از آن کد منبع بدافزار به بیرون درز پیدا کرد و مدل‌های جدیدی از تروجان، ساخته شد که از جمله قابلیت‌های جدید آن بسته‌بندی  مانند کرم بود.
اگر چه تا به حال بر روی دستگاه‌های مبتنی بر اینترنت اشیا لینوکسی متمرکز بوده است، همان طور که، محققان امنیتی دکتر وب هشدار می دهند Mirai به تازگی بر روی سیستم‌های ویندوز تمرکز کرده است.
نوع جدیدی از این بدافزار با عنوان Trojan.Mirai.1 شناسایی شده است که با زبان ++C نوشته شده و به نظر می‌رسد قادر به انجام عملیات‌های مختلف خرابکارانه از جمله گسترش بات‌نت  Mirai به دستگاه‌های مبتنی بر لینوکس است.
هنگامی که بر روی دستگاه ویندوز آلوده، راه‌اندازی شود، تروجان مایل به اتصال به سرور فرماندهی و کنترل (C & C ) و پس از آن دانلود یک فایل پیکربندی برای استخراج یک لیست از آدرس‌های IP، از آن است.
در مرحله بعد، بدافزار یک اسکنر جهت جستجوی گره‌های شبکه‌های ذکر شده در فایل پیکربندی، راه‌اندازی می‌کند و جهت لاگین به آنها از یک لیست لاگین‌ها و کلمات عبور ترکیبی موجود در همان فایل استفاده می‌کند.
به گفته محققان امنیتی دکتر وب، نسخه‌های ویندوزی Mirai قادر به اسکن و بررسی کردن چندین پورت TCP به طور همزمان هستند (از جمله 22، 23، 135، 445، 1433، 3306، و 3389).
به محض این که تروجان به یکی از گره‌های هدف حمله (از طریق هر یک از پروتکل های موجود) متصل شد، به اجرای یک سری از دستورات مشخص شده در فایل پیکربندی می‌پردازد.  با این حال، باید اتصال از طریق پروتکل RDP  ساخته شده باشد در غیر این صورت هیچ یک از دستورالعمل‌ها اجرا نمی‌شود.
چه چیزی بیشتر از این‌که اگر این تهدید از طریق پروتکل شبکه راه دور ، موفق به اتصال به یک دستگاه لینوکس شود، از آن برای دانلود یک فایل باینری به آن، تلاش می‌کند. این فایل به این معنی است که بات‌نت Mirai را دانلود و راه‌اندازی کند.
همچنین نسخه‌های ویندوزی Mirai قادرند با استفاده از تکنولوژی ارتباط بین پردازشی (IPC)  ، از ابزار مدیریت ویندوز (WMI)  جهت اجرای دستورات بر روی میزبان راه دور، سوءاستفاده کنند.
این بدافزار جهت راه‌اندازی پردازش‌های جدید با استفاده از روش Win32_Process.Create، و ایجاد فایل‌های مختلف (مانند پکیج‌های فایل‌های ویندوز که حاوی یک مجموعه خاصی از دستورالعمل‌ها هستند) طراحی‌شده بود.
چنانچه SQL سرور مایکروسافت بر روی دستگاه آلوده نصب شده باشد، این بدافزار قدرت نفوذ به یک سری از فایل‌ها و همچنین یک کاربر که دارای دسترسی مدیر سیستم است را دارد.
در مرحله بعد، بدافزار با سوءاستفاده از این کاربر و سرویس رویداد SQL سرور به اجرای وظایف مخرب مختلفی از جمله راه‌اندازی فایل‌های اجرایی با دسترسی مدیر، حذف فایل‌ها و یا ایجاد یک میانبر در پوشه سیستم برای راه‌اندازی خودکار (همچنین این بدافزار لاگ‌های مربوطه را در رجیستری ویندوز ایجاد کند) می‌پردازد.
پس از اتصال از راه دور به یک سرور MySQL ، تروجان در آن یک کاربر با نام کاربریphpminds   و رمز عبور phpgod ، به منظور دستیابی به اهدافی که محققان دکتر وب ذکر کرده‌اند، ایجاد می‌کند. این کاربر امتیازات و دسترسی‌های بعدی از جمله موارد ذیل را دارد:
درج، انتخاب، به‌روزرسانی، حذف، ایجاد، حذف کل ، بارگیری مجدد ، خاموش کردن، پردازش، فایل، اعطا کردن ، منابع، شاخص ، تغییر ، نشان‌دادن db، super ، ایجاد جدول موقت، قفل جداول، اجرا، repl_slave، repl_client، ایجاد دید ، نشان‌دادن دید، ایجاد کار روتین ، alter_routine، ایجاد کاربر، رویداد، trigger و ایجاد جدول tablespace.

 

]]>
2017/4/18
<![CDATA[بدافزار ReadLeaves]]>

بدافزار ReadLeaves

]]>
در این مقاله می خواهیم در مورد بدافزار RedLeaves صحبت کنیم. این بدافزار از سال 2016 که توسط Cert ژاپن کشف شد فعالیت خود را آغاز کرده بود. حال یک به روز رسانی عملکردی در این بدافزار پیدا شده است که در ادامه می خواهیم آن را مورد بررسی قرار دهیم.
    این بدافزار از همان زمان که شروع به حملات بر علیه کاربران اینترنتی کرد، از طریق attachment هایی به ایمیل ها خود را منتشر می کرد. برای اینکه این بدافزار بتواند خود را در پروسه IE تزریق کند، مراحلی را که در تصویر زیر مشاهده می فرمایید طی می کند:

نسخه ای از بدافزار که در اینجا مورد استفاده قرار گرفته است، فایلهای زیر را در شاخه %TEMP% می سازد و به صورت قانونی آنها را پس از اجرای فایل اصلی، اجرا می کند:
•    فایل EXE که sing شده می باشد و یک فایل DLL که در کنار آن می باشد را فراخوانی می کند
•    فایل DLL که وظیفه ی اصلی آن Loader می باشد که توسط فایل EXE فوق اجرا می گردد
•    فایل Data رمزنگاری شده که فایل اجرایی بدافزار RedLeaves می باششد که توسط Loader آماده می شود

هنگامی که فایل اجرایی قانونی اجرا می شود، با استفاده از اجرای Loader شروع به عملیات DLL Hijacking می کند. حال Loader شروع به خواندن فایل رمزنگاری شده RedLeaves می کند و سپس آن را اجرا می کند. حال RedLeaves شروع به اجرای پروسه Internet Explorer می کند و خود را به درون آن تزریق می کند. سپس شروع به اجرای Injecting Proccess می کند. در ادامه به بررسی نحوه ی عملکرد این تزریق خواهیم پرداخت.
    ارتباطاتی که این بدافزار توسط سرور خود دارد بر پایه HTTP و یا یک پروتکل اختصامی می باشد که از راه دور هم دستوراتی برای اجرا بر روی سیستم قربانی ارسال می گردد. در تصویر زیر PE Header مربوط به RedLeaves تزریق شده را مشاهده می کنید که string های PE و MZ با عبارت 0xFF 0xFF جایگزین شده اند.

ارتباط بد افزار با سرور C&C با استفاده از درخواست های HTTP POST می باشد که در تصویر زیر مشاهده می فرمایید:

در ادامه بررسی داده های در حال ارسال از طریق بدافزار به سرور C&C ، می بینیم که داده ها با استفاده از الگوریتم RC4 رمزنگاری شده اند:

برخی از نمونه های کلید RC4 را در زیر مشاهده می فرمایید:

  • Lucky123
  • Problems
  • 20161213
  • John1234
  • minasawa

داده هایی که از سرور C&C به بدافزار میرسد شامل command هایی می باشد که برای بدافزار ارسال می گردد تا بر روی سیستم قربانی اجرا شود و پاسخ آن مجددا به صورت رمزنگاری شده برای سرور ارسال گردد. Command هایی که این بدافزار امکان اجرای آن را بر روی سیستم قربانی خواهد داشت عبارتند از:

  • Operation on Files
  • Execute Arbitary Shell Commands
  • Configure Communication Methods
  • Send Drive Information
  • Send System Information
  • Upload/Download Files
  • Screen Capture
  • Execute Proxy Function

با بررسی هایی که بر روی خود فایل اجرایی RedLeaves صورت گرفته شده است، معلوم شد که این بدافزار به طور قابل توجهی از source های یک RAT عمومی شده به نام Trochilus که بر روی github قرار گرفته است استفاده می کند. در تصویر زیر بخشی از کد مربوط به دریافت داده ها را مشاهده می فرمایید.

در بررسی های بعدی معلوم شد که پروسه این بدافزار در هنگام اجرا، شباهت زیادی به بدافزار PlugX دارد. در تصویر زیر sequence مربوط به ساخت سه فایل مربوطه را که در بالا توضیح دادیم، در هر دو بدافزار به صورت مقایسه ای مشاهده می فرمایید:

در ادامه مشاهده می فرمایید که حتی پس از Decode کردن بخشی از فایل اجرایی هر دو بدافزار، بخش Loader آنها بسیار شبیه هم برنامه نویسی شده است:

 

در ادامه برخی Domain و IP هایی که این بدافزار با آنها ارتباط برقرار می کند را مشاهده می فرمایید:
•    Mailowl.jkub.com
•    Windowsupdates.itemdb.com
•    Microsoftstores.itemdb.com
•    67.205.132.17
•    144.168.45.116

 

]]>
2017/4/18
<![CDATA[آسیب­ پذیری­های CVE-2016-6663 و CVE-2016-6664 در MySQL]]>

آسیب­ پذیری­های CVE-2016-6663 و CVE-2016-6664 در MySQL

]]>

امروزه استفاده از پایگاه­ داده­ها در برنامه­ های تحت وب به امری اجتناب ناپذیر تبدیل شده است. یکی از پایگاه ­داده­های رایگان و پرکاربرد، MySQL نام دارد. این پایگاه­ داده در بسیاری از وب­سایت­ ها استفاده شده­ است. MySQL از دو آسیب­پذیری مهم با شماره CVE-2016-6663 و CVE-2016-6664 رنج می­ برد. در این آسیب­ پذیری­ها فرد مهاجم می­تواند ابتدا سطح دسترسی خود را از کاربر معمولی به کاربر سیستمی پایگاه ­داده افزایش دهد، سپس دسترسی خود را از کاربر سیستمی پایگاه­ داده به کاربر روت تغییر دهد.

این آسیب­پذیری­ها به مهاجم این امکان را می­دهند که فایل شل را بر روی سیستم قربانی اجرا کرده و کنترل سیستم را بر عهده بگیرند.

لیست ورژن­ هایی که از این آسیب­ پذیری­ها رنج می­برند در ذیل آورده شده است:

جدول (1) نسخه­ های آسیب­پذیر

Percona XtraDB Cluster

Percona Server

MariaDB

MySQL

< 5.6.32-25.17

< 5.5.51-38.2

< 5.5.52

<= 5.5.51

< 5.7.14-26.17

< 5.6.32-78-1

< 10.1.18

<= 5.6.32

< 5.5.41-37.0

< 5.7.14-8

< 10.0.28

<= 5.7.14

در صورتی که نسخه پایگاه ­داده سرور شما با آنچه در جدول 1 آورده شده هم­خوانی دارد، حتما در اولین فرصت پایگاه­ داده سرور خود را بروزرسانی نمایید.

دانلود پیوست

]]>
2017/4/12
<![CDATA[آسيب‌پذيري OTV در سوييچ‌هاي Cisco 7000 and 7700]]>

آسيب‌پذيري OTV در سوييچ‌هاي Cisco 7000 and 7700

]]>

شرکت Cisco یکی از شرکت های بزرگ در زمینه تجهیزات شبکه است. این شرکت دارای محصولات فراوانی در
زمینه سوئیچینگ و مسیریابی است. از جمله تجهیزات سوئچینگ شرکت Cisco می توان به سری 7000 و  7700
این شرکت اشاره نمود.
سری 7000 و 7700 شرکت Cisco از آسیب‌پذیری OTV رنج می برند. به کمک این آسیب‌پذیری می توان فایل
هسته Intermediate System-to-Intermediate System (ISIS) را تولید و دوباره بارگذاری کرد.
برای مشاهده فایل هستهISIS ، مدیران  (Admin) می توانند از دستور show core در خط فرمان استفاده کنند.
همچنین مدیران با بررسی فایل هسته ISIS و تماس با قسمت پشتیبانی فنی Cisco ، می توانند مشخص کنند که
دستگاهشان مورد بهره‌برداری از این آسیب پذیری قرار گرفته است یا خیر.
شرکت Cisco آپدیتی برای پچ کردن این آسیب‌پذیری منتشر کرده است که میتوان برای نحوه استفاده و دانلود
پچ از لینک زیر استفاده نمود:

http://www.cisco.com/go/psirt

دانلود پیوست

]]>
2017/4/12
<![CDATA[مستند برنامه نویسی امن در محیط اندروید ]]>

مستند برنامه نویسی امن در محیط اندروید

]]>
تلفن های هوشمند به یکی از ابزارهای زندگی روزمره ی مردم جهان تبدیل شده است. ارتباط با مخاطبان و آشنایان، پرداخت های بانکی، مرور اینترنت، دریافت اخبار و اطلاعات روزانه و غیره تنها بخشی از اموری است که میتوان توسط یک تلفن هوشمند در طول روز انجام داد. رسیدن آمار 2 میلیون تلفن هوشمند در سال 92 به 20 میلیون در سال 93 و گذر از 40 میلیون در سال 95 نشان دهنده ی فراهم شدن ابزار دولت موبایل و محبوبیت فراوان این دستگاه در بین مردم کشور است . بنابراین بسیاری از اطلاعات حساس و مهم افراد در تلفن های هوشمند ذخیره می شود و امنیت تلفن های هوشمند حتی ممکن است از امنیت حساب بانکی یک شخص بیشتر باشد. برای فراهم آوردن امنیت در تلفن های هوشمند که تحت سیستم عامل اندروید هستند ابتدا باید با معماری سیستم عامل اندروید آشنا شد.  یکی از ویژگی‌های منحصربه‌فرد سیستم‌عامل اندروید که موجب رشد سریع آن شده است؛ کدها ی باینری و منبع آن است که به‌صورت متن‌باز ارائه‌ شده‌اند. هرکسی می‌تواند کد منبع آن را دانلود نماید و برای دستگاه موبایل خود سفارشی نماید...

 دانلود فایل کامل  مستند

]]>
2017/4/12
<![CDATA[آسیب‌پذیری روز صفرم پروتکل SMB ویندوز]]>

آسیب‌پذیری روز صفرم پروتکل SMB ویندوز

]]>
این آسیب‌پذیری به هکرهای راه دور اجازه میدهد تا شرایط رد سرویس (DoS)  را روی تعدادی از نسخه‌های ویندوز کلاینت راه‌اندازی کند.
سازمان‌های مختلفی از جمله US-CERT در مورد باگ تخریب حافظه روز صفرم در چندین نسخه از ویندوزهای مایکروسافت هشدار دادند که میتواند به هکرهای راه دور این امکان را بدهد که, یک سیستم آسیب‌پذیر ایجاد نمایند تا این سیستم کرش کرده و یا راه‌اندازی مجدد شود.
کد اثبات مفهوم  جهت بهره‌برداری از این آسیب‌پذیری, هم‌اکنون در سایت Github قرار گرفته و در دسترس عموم افرادی که بخواهند از آن استفاده کنند، قرار گرفته است. تاکنون  هیچ وصله‌ای جهت این آسیب‌پذیری که تهدیدی جهت کسب‌وکارهای کوچک و کاربران خانگی محسوب می‌شود, وجود ندارد.
واحد Cert دانشگاه کارنگی ملون در یک هشدار (http://www.kb.cert.org/vuls/id/867968) بیان کرد که: "این مشکل به دلیل روش خاصی هست که تعدادی از نسخه‌های ویندوز، به ترافیک Server Message Block (SMB) رسیدگی می‌کنند". هکرها میتوانند با  ارسال پیام دستکاری شده خاصی از طرف سرورهای مخرب, شرایط سرریز بافر را روی سیستم‌های آسیب‌پذیر بوجود آورده و باعث شوند که این سیستم‌ها، کراش کنند. آنها اضافه کردند که چندین روش در اختیار هکرها میباشد تا به سیستم مشتری ویندوز به‌منظور اتصال آن به یک سرور SMB مخرب, دسترسی پیدا کنند. بعضی اوقات ممکن است این اتفاق بدون هیچ تعاملی با کاربر صورت گیرد.
پروتکل اشتراک فایل SMB  مایکروسافت (https://technet.microsoft.com/en-us/library/hh831795.aspx) به کلاینت‌های ویندوز این اجازه را میدهد که درخواست سرویس بدهند و فایل‌ها را از ویندوز سرور از طریق شبکه، بخوانند و یا بنویسند. این موضوع در طول سال‌ها، منبع مشکلات امنیتی متعددی بوده است.
سخنگوی مایکروسافت شدت این مشکل را کم اهمیت جلوه داده و طی بیانیه‌ای می‌گوید که: "ویندوز فقط یک پلت‌فرمی هست که با همکاری مشتریان همراه میباشد تا گزارش مشکلات امنیتی را بررسی کرده و در اسرع وقت، دستگاهای تحت تاثیر را به‌روزرسانی کند". وی در ادامه میگوید: "سیاست استاندارد ما در مورد مسائل کم خطر این است که با استفاده از به‌روزرسانی حاضر برنامه سوم  خود، این خطر را رفع کنیم".
یوهانس یولریچ  رئیس Internet Storm Center در موسسه SANS میگوید او به‌طور کامل تست کرده هست که سیستم‌های وصله‌دار ویندوز 10 که مفهوم اثبات کد، استفاده میکنند، سریعا یک صفحه آبی مرگ (blue screen of death) برای آنها ظاهر میشود. وی می‌گوید به نظر می‌رسد تمامی ویندوزهای کلاینت که SMBv3 را حمایت میکنند مانند Windows 2012 and 2016, برای سوءاستفاده، آسیب‌پذیر میباشند.
یولریچ به سایت DarkReading  می‌گوید: "این باگ, باگ رد سرویس هست. اگر سیستمی مورد سوءاستفاده قرار گیرد, سیستم راه‌اندازی مجدد می‌شود". این باگ به نظر نمی‌رسد که راهی برای هکرها ایجاد کند که به‌وسیله آن کدی را اجرا نمایند یا شرایط رد سرویس را راه‌اندازی نمایند.
یولریچ میگوید: "بهره‌برداری از آسیب‌پذیری آسان است. هکر میتواند با استفاده از این بهره‌برداری, یک سرور SMBv3 راه‌اندازی نماید سپس قربانی را تحریک کند تا به آن متصل شود". او میگوید: "راحت‌ترین راه برای تحقق این راهکار, قرار دادن لینک URL سروری در صفحه‌وب است".
URL ممکن است مشابه ipc$\192.0.2.1\\ باشد که 192.0.2.1 آدرس IP سرور می‌باشد. تگ تصویر مشابه <img src=”[malicious url]”> هست و باعث این سوءاستفاده می‌شود.
یولریچ میگوید: "آسیب‌پذیری دلیل دیگری است که لازم است اتصالات SMB خروجی از طریق بلاک‌کردن پورت‌های 445 135, و 139 ، مسدود شود". بسیاری از شبکه‌ها، این پورت‌های خروجی را نمیبندند که علاوه بر این حمله, امکان حملات دیگر را نیز فراهم میکنند.
وی اشاره میکند که کاربران کسب وکارهای کوچک و خانگی در مقایسه با سازمان‌ها، بیشتر تحت تاثیر این موضوع قرار می‌گیرند چون فایروال‌های کسب‌وکارهای کوچک و خانگی, معمولا به‌صورت پیش‌فرض این اتصالات را مسدود نمیکنند.
CERT در راهنمای امنیتی خود میگوید که در حال حاضر از "راه‌حلی عملی" جهت رفع این مشکل بی‌اطلاع هست و از سازمان‌ها خواسته است که اتصالات خروجی SMB از شبکه‌های محلی به شبکه‌های گسترده در پورت‌های TCP، 139 و 445 و در پورت‌های UDP، 137 و 138  مسدود کنند.
موضوعات مرتبط:
1.    New SMB Relay Attack Steals User Credentials Over Internet
2.    Google Warns Of Windows Zero-Day Under Attack
3.    Microsoft Fires Back At Google For Windows 0-Day Disclosure

]]>
2017/4/12
<![CDATA[حمله‌ی بدافزار BrickerBot به دستگاه‌های اینترنت اشیاء و تخریب پرونده‌های موجود]]>

حمله‌ی بدافزار BrickerBot به دستگاه‌های اینترنت اشیاء و تخریب پرونده‌های موجود

]]>
محققان از شرکت امنیتی Radware با دو نوع بدافزار مربوط به حملات منع سرویس مواجه شده‌اند که به دلایل ناشناخته، دستگاه‌های اینترنت اشیاء (IoT) را درهم می‌شکند. اولین موج از این حملات با مشاهده‌ی بدافزارهای BrickBot نسخه‌ی 1.0 و 2.0 در تاریخ 30 اسفند ماه آغاز شده است. این بدافزارها سامانه‌ی تله عسل شرکت Radware را پینگ می‌کردند.

این بدافزار بر روی دستگاه‌های اینترنت اشیاء به دنبال درگاه‌های باز telnet می‌گردد و تلاش می‌کند مانند بدافزار Mirai بر روی این درگاه، حمله‌ی جستجوی فراگیر (Brute force) انجام داده و به آن دسترسی پیدا کند. در ادامه بدافزار سعی می‌کند بخش ذخیره‌سازی در دستگاه IoT را به کل تخریب کند که این حمله به همین دلیل، منع سرویس دائمی (PDoS) نامیده شده است.

این شرکت امنیتی می‌گوید: «پس از دسترسی موفق به دستگاه IoT، بر روی باتِ آلوده، برخی دستورات لینوکس اجرا شده که در نهایت منجر به تخریب منابع ذخیره‌سازی می‌شود. همچنین در ادامه دستوراتی برای قطع اتصال به اینترنت و حذف تمامی پرونده‌های موجود بر روی دستگاه اجرا می‌شود.»

نسخه‌ی 1.0 بدافزار BrickerBot چند روز پس از راه‌اندازی از دور خارج شده است ولی نسخه‌ی 2.0 هرچند در حال حاضر فعالیتی ندارد ولی عملیات خطرناک‌تری داشته و با استفاده از شبکه‌ی گمنامی TOR تلاش می‌کند تا مبدأ انجام حمله را مخفی کند.

محققان امنیتی معتقدند هنوز سؤالات زیادی در مورد بدافزار BrickerBot وجود دارد که هنوز بی‌جواب باقی مانده است. یکی از مهم‌ترین سؤالات این است که چرا مهاجمان بجای اهداف مالی و کسب سود، علاقه‌مند هستند تا پرونده‌های موجود بر روی دستگاه IoT را حذف کنند؟

دانلود پیوست

]]>
2017/4/12
<![CDATA[گزارشی تفصیلی باج افزار Ransomware پلیس اروپا ]]>

گزارشی تفصیلی باج افزار Ransomware پلیس اروپا

]]>
1 ) معرفی
Ransomware(باجگیر) بد افزار هایی هستند که برای اخاذی پول از کاربرانی طراحی شده است که کامپیوتر های آن ها به این بد افزار آلوده شده اند . روش های خلاقانه اخیر برای آلوده کردن ، پول درآوردن و هدف گیری پرسود نشان میدهد که مسیر این حمله در حال پیشرفت ماهرانه از مبتدی های آن تا نسخه های پیشرفته و مؤثر آن است.
در سال های اخیر، جریان رشد Ransomware سرعت زیادی داشته است . که در همه ی وبلاگ های با امنیت بالا ، وبسایت های فنی و حتی در اخبار هم این حمله ها گزارش شده است .  در حقیقت به نظر نمیرسد که این روند متوقف شود بلکه روز به روز بدتر می شود و Ransomware هم در توسعه (گسترش) و هم در مهارت پیشرفت میکند .
CryptoLocker اولین Ransomware مشهور است که در سال 2013 مشاهده شد . از سال 2013 تا پایان سال 2015 تنها تعداد کمی از گونه های فعال Ransomware وجود داشتند . تعدادی از این گونه ها به حدی ضعیف بودند که کاربران بدون نیاز به تسلیم در برابر تقاضای باج آن ها میتوانستد فایل های رمز شده را رمز گشایی کنند به همین خاطر این روش های آلوده کننده محدود شدند .
با وجود این که گونه های زیادی از آن پس در همه جا به وجود می آمدند اما  تعداد زیادی از آن ها یا اصرار به آلوده کردن  کامپیوتر های کاربران داشتند و یا یک نقشه ی کوتاه را اجرا می کردند . یک نمونه خوب Teslacrypt است ، یک Ransomware بد نام که نویسنده های آن یک شاه کلید برای هر کاربر عرضه میکردند .
در موارد دیگر گونه های جدید Ransomware ، حتی آن هایی که به طور گسترده ای منتشر و مشهور شدند به سرعت اشکالات و نقاط ضعف آن ها کشف شد وقتی که آن ها خودشان را رمز دار میکردند ابزار های رمزگشایی نیز برای آن ها منتشر میشد مثل بد افزار  Jigsaw که به تازگی ابزار رمز گشایی آن منتشر شده است . این نواقص و باگ ها یا در نسخه های جدید بد افزار اصلاح شدند و یا بد افزار از طرف تیم طراحی کنار گذاشته میشد.

) مؤسس
با وجود این که اولین Ransomware به صورت طبیعی مشاهده نشده است اما نسل آنها همچنان ادامه دارد .
CryptoLocker
CryptoLocker اولین رهبر برای Ransomware ها بود و به سرعت یک تهدید بزرگ برای اجرای قانون شد . در می سال 2014 ، اجرای قانون چند ملیتی که موجب درگیری صنایع امنیت با افراد دانشگاهی شد به بازداشت به وجود آورندگان بد افزار ها و پایان آلودگی CryptoLocker منتهی شد . رایج ترین Ransomware الگوی CryptoLocker را دنبال میکند که شامل رمز کردن و چیزی که موضوع را پیچیده تر میکند این است که در رسانه ها و اجرای قانون زمانی که اتفاقات مربوط به Ransomware ضبظ و گزارش میشود به طور معمول کلمه CryptoLocker را به عنوان هم معنی برای هر Ransomware جدید یا ناشناخته که از رمز گذاری استفاده میکرد ، به کار می بردند که این موضوع ارزیابی تهدید و خطر را مشکل میکند .
Cryptowall
Cryptowall کار خود را به عنوان همزاد CryptoLocker آغاز کرد اما بعد از شکست حریف خودش (CryptoLocker) یکی از  
برجسته ترین گونه های به روز Ransomware شد . بعد از آن Cryptowall یکی از پیشگامان Ransomware که تهدیدی برای EU (اتحادیه اروپا) می باشد باقی ماند . نیمی از افراد ایالت مواردی از Cryptowall را گزارش می دادند به طور مثال Cryptowall همراه یک بسته ی سؤاستفاده گر یا ضمیمه ی یک ایمیل روی سیستم ها نصب میشد .
Teslacrypt
تا می سال 2016 ، Teslacrypt یکی از برجسته ترین گونه های Ransomware بود . Teslacrypt به طور عمده با بسته سؤاستفاده گر مشترک به عنوان Angler (ماهی گیر) منتشر میشد ولی در حال حاضر از بین رفته است . نویسنده های آن عملیات جنگی بد افزار را متوقف کرده اند و بازیافت کلید عمومی آن را رها کرده اند .
CTB-Locker
در اواسط سال 2014 مشاهده شد . CTB-Locker (علاوه بر این به عنوان Critroni هم شناخته شده است) یکی از اولین گونه های Ransomware است که از Tor برای مخفی کردن زیر بنای C&C خود استفاده میکرد. با وجود این که CTB-Locker در سال 2015 بسیار فعال بود اما فعالیت آن در سال 2016کم رنگ تر شد . گونه آخر این نوع  Ransomware ، وب سرور ها را هدف قرار داده بوده و از Bitcoin blockchain برای رساندن کلید های رمز گشایی شده به هدف ها استفاده میکردند. به طور چشم گیری در  EU (اتحادیه اروپا) رسیدگی به اجرای قانون در مورد Cryptowall کم شد . CTB-Locker یکی از بدافزارهای عالی بود که صنعت خدمات مالی را تهدید میکرد .

3) رده بالاهای شایع
بدافزار های این خانواده که به تازگی منتشر شده اند بسیار حرفه ای عمل کرده و در آلودگی سریع عمل میکنند .
Locky
میزان آلودگی Locky که در ماه اول گزارش شد ، بین یک تا پنج کامپیوتر در هر ثانیه بود و در سه روز اول فعالیت خود حدود 250000 کامپیوتر را آلوده کرد . Locky بعد از این که یک بیمارستان در USA را وارد شرایط اضطراری کرد مشهور شد با این حال باج گیر  Locky  تنها در آغاز سال 2016 در اتحادیه اروپا پیگیری شد .
با توجه به یافته های  Intsights که ارائه دهنده ی امنیت و متخصص در جاسوسی سایبری میباشد ، بد افزارهایی که اغلب بر اساس ویژگی های Locky طراحی می شدند و بازار آن ها را به عنوان بدافزار های مربوط به Locky میشناخت ، بازیگران را مورد تهدید قرار میدادند . با این وجود Locky با یک مهاجم بسته ی نفوذی و اسپم در سراسر جهان اجرا میشود و اهداف مشخصی ندارد.
روش کار بدافزار ها ارسال یک فایل .doc با ماکرو های مخرب در آن فایل می باشد و از کاربر میخواهد که ماکرو ها را در Microsoft Word فعال کند . وقتی که فعال شد Ransomware فایل ها را رمزگذاری میکند و پسوند .Locky را به آن ها اضافه میکند . آخرین ورژن Locky پسوند .Osiris را به فایل های رمزگذاری شده اضافه میکند و نام آن ها را تغییر میدهد برای مثال فایل test.jpg را به
 4f594feb4104a2e1_wpxan7ix--dzy9--jah6--67d63cb8--15140b74ba3a.osiris
تغییر نام میدهد . بعد از رمزگذاری به قربانی یادداشتی حاوی اطلاعاتی درباره نحوه پرداخت باج ارائه میشود . پرداخت باج به طور معمول بین 0.5 تا 1 Bitcoin (BTC) متفاوت است . نام یادداشت های این نوع باج ها به Osiris Locky تغییر کرده است و در حال حاضر نیز desktopOSIRIS.html یا desktopOSIRIS.bmp نامیده می شود . در مبارزه ی دیگری که اخیراً مشاهده شده است ، Locky از طریق پیغام دهنده فیسبوک که به عنوان بخشی از یک حمله دو مرحله ای است ، پخش می شود .
متأسفانه اخیراً هیچ ابزار رایگان قابل دسترس برای رمزگشایی فایل هایی که به وسیله ی Locky Ransomware رمزگذاری شده اند وجود ندارد . تنها راهی که میتوان به وسیله آن فایل های رمزگذاری شده را دوباره به دست آورد ، Backup می باشد یا اگر به طور باور نکردنی خوش شانس باشید ، از طریق Volume shadow copies (نسخه های موقت دیسک) نیز میتوانید رمز نگاری را انجام دهید .اگرچه Locky تلاش میکند که Volume shadow copies را پاک کند اما به ندرت ransomware موفق به انجام این کار نمیشود.

دریافت کامل مستند

]]>
2017/3/14
<![CDATA[بررسی آسیب پذیری افشاء کلمه عبور Netwave IP Camera]]>

بررسی آسیب پذیری افشاء کلمه عبور Netwave IP Camera

]]>
مقدمه

زندگی پر مشغله امروزی، نیازهایی از قبیل مدیریت اماکن و نظارت بر آن­ها از راه دور را به همراه دارد. دوربین­های مداربسته، پاسخی مناسب برای این نیاز بشر امروزی است که با رواج اینترنت و تسهیل وصول به این شبکه ارزشمند، قابلیت­های به مراتب بیشتری را ارزانی می­دارد. اما به مانند بسیاری از فناوری­های ساخته شده دیگر، دوربین­های مداربسته نیز خالی از ایراد نیستند و گاه این ایرادات ممکن است بسیار خطرناک جلوه ­نمایند. اگر کسی درخواست بازدید از منزل یک فرد را از سر کنجکاوی بکند، یقینا با پاسخ منفی صاحب خانه روبرو می­شود. چرا که حریم خصوصی افراد اجازه این کار را نمی­دهد ولی گاه دوربین­های مداربسته، به دلیل امنیت پایین و نقص‏های امنیتی، این اجازه را به راحتی صادر می­کنند. این بار نه تنها برای یک نفر بلکه برای همه افرادی که به اینترنت دسترسی دارند و از طرفی نه تنها برای منزل که برای تمامی اماکنی که این دوربین­ها نصب گشته­اند.

دوربین­های شرکت Netwave دارای آسیب­پذیری هستند که در آن­ها امکان افشای اطلاعات کلمه­عبور مهیا هست. دلیل این آسیب­پذیری عدم تامین امنیت قسمت­های مهم دوربین است. این آسیب­پذیری باعث می­شود اطلاعاتی نظیر کلمه­عبور WiFi و در صورت وجود آسیب­پذیری نشت حافظه، نام­کاربری و رمزعبور وب لاگین نیز به دست آید.

دانلود پیوست

]]>
2017/3/7
<![CDATA[تحلیل بدافزار Dyzap]]>

تحلیل بدافزار Dyzap

]]>
اصولا یکی از مبناهای اصلی طراحی بدافزار ها با هدف سرقت اطلاعات محرمانه از برنامه‌های کاربردی و سازمانی است و امرزه بدافزار های مدعددی با این رویکرد طراحی ‌شده و دنیای سایبری را با مشکل مواجه میکنند. بدافزار Dyzap متعلق به این خانواده است و این کار را بوسیله‌ی عملیاتی نمودن یک حمله‌ی مرد میانی (به اختصار MITB) در مرورگرهای رایج انجام می‌دهد. بخش تحقیقات مرکز FortiGuard به تازگی گونه‌ی جدیدی از تروجان Dyzap را کشف کرده‌اند. اطلاعات به سرقت رفته می‌تواند شامل اطلاعات سیستمی و مدارک مربوط به برنامه‌ها که در سیستم آلوده ذخیره شده‌اند باشد، اما تنها به این موارد محدود نمی‌شود. در ادامه توضیح خواهیم داد که این بدافزار چگونه حساب‌های کاربری را به سرقت می‌برد  و مانند یک کی‌لاگر (کلید دزد) عمل نموده و چگونه با سرور فرمان و کنترل (به اختصار C&C) خودش  ارتباط برقرار می‌کند.

آشنایی با نحوه‌ی سرقت اطلاعات توسط بدافزار Dyzap

Dyzap برای عمل سرقت اطلاعات، بیش از یک‌صد برنامه را هدف قرار می‌دهد، از جمله مرورگرها، برنامه‌های پروتکل انتقال فایل (FTP)، و غیره.

شکل 1. روال  ساده عملیات سرقت.

به منظور سرقت اطلاعات از انواع مختلف برنامه‌ها، Dyzap برای هریک به روش مختلفی عمل می‌کند. این توانایی سرقت اطلاعات از پایگاه‌های داده، رجیستری‌ها، و همچنین از فایل‌های برنامه‌هایی که روی سیستم آلوده نصب شده‌اند را به بدافزار ذکر شده می‌دهد. تعدادی از برنامه‌های مورد هدف این بدافزار، مانند Fossamail، Postbox است که در شکل 2 نشان داده شده است.

شکل 2. بخشی از برنامه‌های مورد هدف بدافزار برای سرقت.

برای درک بهتر روش های مختلفی که Dyzap می‌تواند اعمال کند، چهار برنامه را انتخاب کرده‌ایم و نحوه‌ی دستیابی این بدافزار به اطلاعات ورود حساب آنها را بررسی کردیم. تحلیل‌هایی که در ادامه خواهند آمد، روی نسخه 32بیتی ویندوز 7 انجام شده‌اند. مسیرهای اشاره شده ممکن است در سیستم‌عامل‌های دیگر، متفاوت باشند.

خانواده‌ی Chrome.

یکی از روش‌های اصلی Dyzap، سرقت اطلاعات ورود حساب از فایل پایگاه داده‌ی sqlite3 است. بعنوان مثال، کرومیوم (پروژه‌ای برای ساخت مرورگر وب متن باز) اطلاعات ورود را در فایلی به اسم "Login Data" یا "Web Data" ذخیره می‌کند. این بدافزار با استفاده از قطعه کدها و مسیرهای فایل که بصورت کدسخت (کدی که بجای استفاده از متغیرها، داده‌ها ثابت قرار داده می‌شوند) نوشته شده‌اند، به دنبال مسیرهایی خواهد گشت که شامل فایل‌های ذکر شده باشند. اگر این فایل موجود باشد، بدافزار محتوای آن را داخل یک فایل موقت کپی می‌کند تا در عملیات بعدی مورد استفاده قرار دهد.

برای بدست آوردن اطلاعات ورود، ابتدا باید تایید کند که هدف یک فایل SQlite3 است. سپس یک الگوی رشته‌ای "منحصر به فرد" را جستجو می‌کند تا اطلاعات ورود را از جدول "logins" استخراج کند. در نهایت حساب کاربری را با استفاده از الگوهای رشته‌ای "password_value" ، "username_value" ، و "original_url" استخراج میکند.

شکل 3. جستجوی Dyzap برای فایل مربوطه در مسیرهای نوشته شده بصورت کدسخت.

دریافت کامل مستند

]]>
2017/3/5
<![CDATA[یک اکسپلویت ساده جاوااسکریپتی، سیستم حفاظتی ASLR در 22 معماری مختلف cpu را دور می زند!]]>

یک اکسپلویت ساده جاوااسکریپتی، سیستم حفاظتی ASLR در 22 معماری مختلف cpu را دور می زند!

]]>
محققین امنیتی یکی از مکانیزم‏های امنیتی را مستقل از نوع سیستم عامل یا نرم‏افزارهای در حال اجرا دور زدند. علاوه بر آن، این نقص نمی‌تواند به طور کامل توسط به روز رسانی های نرم افزاری رفع شود! این آسیب‌پذیری در «واحد مدیریت حافظه» (MMU) قرار دارد که یکی از اجزاء اصلی cpu است و برای جلوگیری از دور زدن سیستم «چیدمان تصادفی لایه ی فضای آدرس» (ASLR) به کار می‏رود.

مکانیزم امنیتی ASLRl توسط همه سیستم‌ عامل‏های مدرن پشتیبانی می‏شود. از جمله این آنها می‏توان ویندوز، مک، لینوکس، اندروید، iOS و  BSDرا نام برد. مکانیزم امنیتی ASLR جای برنامه‌های در حال اجرا را در حافظه به صورت تصادفی چینش می‏کند که باعث می‏شود اجرای کدهای مخرب در حمله سرریز بافر (Buffer Overflow) یا حملات مشابه برای هکر سخت شود.
این حمله، که ASLR Cache یا AnC نام گرفته، کاملا جدی است چون از یک کد ساده جاوااسکریپت (JavaScript) برای شناسایی آدرس پایه برنامه‏های در حال اجرا در حافظه استفاده می‏کند. بنابراین، فقط مشاهده یک سایت مخرب می‌تواند اجرای این حمله را امکان‏پذیر کند، حمله‏ای که به مهاجم اجازه می‌دهد تا حملات بیشتری را به همان قسمت از حافظه برای سرقت اطلاعات حساس ذخیره شده در حافظه کامپیوتر هدایت کند.

واحد MMU  در سیستم‏های شخصی، موبایل و سرورها وجود دارد و کارش آدرس‏دهی به مکان‏هایی از حافظه است که داده ذخیره می‏شود. این واحد به طور مداوم دایرکتوری که جدول صفحه (Page Table) را صدا می‌زند را بررسی می‌کند تا آدرس‌های آن دایرکتوری را پیگیری و دنبال کند. برنامه‏ها معمولاً جدول صفحه را در کش پردازنده ذخیره می‌کنند که این کار تراشه را سریع‌تر و کارآمد تر می‌کند. اما مشکل از آنجایی شروع می‏شود که این مولفه بعضی از اطلاعات کش را با نرم‏افزارهای نامطمئنی مانند مرورگرها به اشتراک می‏گذارد. بنابراین، یک کد کوچک جاوااسکریپت که در حال اجرا روی یک وب سایت مخرب است هم می‌تواند در آن کش داده بنویسد و مهاجم را قادر سازد  تا محل اجرای نرم‌افزارها را کشف کند، مانند کتابخانه‌ها و فایل‌های داخل RAM که در حافظه مجازی قرار دارند. مهاجم با دسترسی به این داده‌های مکانی می‌تواند بخش‌هایی از حافظه کامپیوتر را بخواند و بعداً برای اجرای حملات پیچیده‌تر و کامل‌تر استفاده کند.

قابل توجه است که محققین توانستند تنها در 90 ثانیه! با موفقیت حملات جاوااسکریپت AnC را با نسخه های به روز مرورگر Chrome و Firefox بر روی 22  معماری مختلف CPU اجرا کنند. در حمله‏ی آنها، حمله‏ی جاوااسکریپت با یک کد حمله که آسیب‌پذیری CVE-2013-0753 را اکسپلویت می‌کند، ترکیب شده است.

بر اساس گزارش‏های منتشر شده از این محققین، تنهای راهی که شما می‌توانید خودتان را علیه حملات AnC محافظت کنید، فعال کردن پلاگین‏هایی مانند NoScript برای Firefox یا ScriptSafe برای Chroem است تا کد های جاوااسکریپت نامطمئن را روی صفحات وب بلاک کند و اجازه اجرا ندهد

]]>
2017/3/5
<![CDATA[باج افزار PrincessLocker]]>

باج افزار PrincessLocker

]]>
مقدمه

باج افزار PrincessLocker چندی پیش ظهور کرد و به سبب استفاده از الگوی مشابه سایت قربانی با الگوی Cerber، توجهات بسیاری را به خود جلب کرده است. PrincessLocker یک باج افزار گسترده نیست، به همین دلیل مدتی طول کشید تا نمونه ای از آن یافت شود.

این باج افزار به درایوهای جداشدنی، ثابت و راه دور حمله می کند و به رمزنگاری فایل های کاربر می پردازد.

دانلود پیوست

]]>
2017/3/4
<![CDATA[مروری بر کیت های بهره بردار (ExploitKits) در سال 2016]]>

مروری بر کیت های بهره بردار (ExploitKits) در سال 2016

]]>
مقدمه

بسته‌ی سوء‌استفاده از آسیب‌پذیری یا اکسپلویت‌ کیت (Exploit Kit) به مجموعه‌ای گفته می‌شود که تمام رایانه را پویش می‌کند تا آسیب‌پذیری‌هایی را کشف کند و برای انتشار بدافزار از آن‌ها بهره ببرد. هر بسته‌می‌تواند از تعدادی آسیب‌پذیری استفاده کند که اخیراً کشف شده‌اند یا حتی قدیمی هستند. به کمک این بسته‌ها شانس نفوذ به یک سامانه بیش‌تر می‌شود؛ در واقع بدافزار برای این‌که در سامانه نصب شود فقط متکی به یک آسیب‌پذیری نیست. موارد زیر از جمله این اکسپلویت‌ کیت ها می باشند:

  • کیت بهره برداری Sundown
  • کیت بهره برداری RIG
  • کیت بهره برداری Neutrino

دانلود پیوست

]]>
2017/3/4
<![CDATA[انتشار بدافزار توسط به روزرسانی قلم ها در مرورگر گوگل کروم]]>

انتشار بدافزار توسط به روزرسانی قلم ها در مرورگر گوگل کروم

]]>
در بررسی سایت ها برای کشف بدافزارهای جدید، در هنگام مرور یک سایت Wordpress به صورت ناگهانی یک پیغام JavaScript برای ما نمایش داده شد که برای به روزرسانی font های ازدست رفته بر روی این مرورگر، اجازه ی دانلود یک برنامه جهت رفع این مشکل را از کاربر می خواست. برای این کار از یک پیغام به روز رسانی استفاده می کرد که در تصویر زیر آن پیغام را مشاهده می فرمایید:

در تصویر زیر مشاهده می فرمایید که چگونه با استفاده از پیغام هایی شبه به پیغام های به روز رسانی گوگل کروم، سعی در اجرای عملیات تخریبی خود را دارد:

در این پیغام، برخی مسایل ذکر شده صحیح و برخی اشتباه می باشد. Text در مرورگر Render نمی شود، پس احتیاجی به یک Pack جدید برای به روز رسانی جهت نمایش بخشی از سایت نمی باشد. اما نام فونت HoeflerText صحیح می باشد و ما فونتی به این نام را داریم که پیغام اصلی برای دانلود و نصب این فونت می باشد.
    
    نوع متن نوشته شده، لوگوی گوگل کروم، دکمه آبی رنگ در پایین پیغام، نمایش ورژن ها و در کل شمای کلی پیغام نمایش داده شده، بسیار دقیق و صحیح آماده سازی شده است که کاربر به احتمال بالا، این پیغام را با یک پیغام اصلی خود مرورگر اشتباه بگیرد و اجازه ی انجام عملیات را برای نفوذگر فراهم آورد.
    اشتباهات جالبی هم رخ داده است. می توان گفت که به راحتی با استفاده از تابع windows.navigator.useragent می توان نسخه دقیق مرورگر نصب شده را بدست آورد، در حالی که در تصویر پیغام فوق، به صورت Hard Coded شده یک شماره از یکی از نسخه های مرورگر نمایش داده می شود که در اینجا صحیح نمی باشد. چراکه نسخه مرورگر ما 56.0.2924.87 می باشد در حالی که در تصویر فوق، 53.0.2785.89 نمایش داده شده است.
    پس از کلیک بر روی دکمه ی Update می بینیم که یک فایل به نام Chrome Font v7.5.1.exe دانلود می شود. این همان بدافزاری می باشد که توسط این پیغام برای کاربر ارسال می شود و در صورت نصب آن توسط کاربر، بدافزار بر روی سیستم عامل ویندوز نصب می گرددک هدر تصویر زیر مشاهده می فرمایید:

پس از دانلود فایل مخرب، برای اجرای آن پیغامی مبنی بر صدور مجوز جهت اجرای برنامه دانلود شده از شما پرسیده خواهد شد. بازهم این بدافزار توسط پیغامی که در زیر مشاهده می فرمایید کاربر را به انجام این عمل و اجرای برنامه ترغیب می کند:

    همانطور که مشاهده می فرمایید پیغام سیستم امنیتی UAC ویندوز برای اجرای این فایل دانلود شده نمایش داده شده است. اما نامی که در صفحه راهنما به نام Chrome_Font.exe برای کاربر نمایش داده شده بود، با نام فایلی که هم اکنون بر روی سیستم قربانی دانلود شده است تفاوت دارد که نام فایل دانود شده همان Chrome Font v7.5.1.exe می باشد. حال اگر این فایل را در سایت Virus Total برای بررسی آن توسط آنتی ویروسها قرار دهیم، می بینیم که به تعداد 9 عدد از نرم افزارهای ویروس یاب آن را به عنوان یک فایل مخرب گزارش می دهدن که تصویر آن را در زیر مشاهده می فرمایید:

]]>
2017/2/27
<![CDATA[تروجان جدید لینوکس Linux Proxy 10 ]]>

تروجان جدید لینوکس Linux Proxy 10

]]>
شرکت امنیتی Dr.Web چندین هزار دستگاه لینوکس آلوده را تشخیص داد

Doctor Web detects several thousand infected Linux devices

مورخ: 24 ژانویه 2017

منبع: https://news.drweb.com/show/?i=11115&c=5&lng=en&p=0

در اواخر سال قبل، محققان امنیتی Dr. Web تعداد زیادی از برنامه‌های مخرب برای لینوکس را مشاهده کردند و در پایان ماه ژانویه امسال، چندین هزار دستگاه لینوکس آلوده به یک تروجان جدید را کشف کردند.

این تروجان که توسط مجرمان سایبری، به منظور آلوده‌کردن تعداد زیادی از تجهیزات شبکه لینوکس استفاده شده، Linux.Proxy.10 نام دارد. همانطور که نام این برنامه مخرب نشان می‌دهد، برای اجرای یک سرور پراکسی SOCKS5 ، بر روی تجهیزات آلوده و براساس کد منبع نرم‌افزار رایگان سرورهای Satanic Socks، طراحی شده است. مجرمان سایبری از این تروجان برای مطمئن بودن از آن که به طور ناشناس آنلاین، باقی می‌‌مانند، استفاده می‌کنند.

برای توزیع Linux.Proxy.10، مجرمان سایبری به تجهیزات‌ آسیب‌پذیر از طریق پروتکل SSH لاگین می‌کنند و در همان زمان لیست تجهیزات و همچنین لاگین‌ها و رمز عبورها را بر روی سرور خود، ذخیره می‌کنند.

لیست مشابه «آدرس IP : لاگین به سیستم : رمز عبور» است. قابل ذکر است که کاربران با چنین جزئیات حساب کاربری معمولا توسط دیگر تروجان‌های لینوکس، ایجاد شده‌اند. به عبارت دیگر، Linux.Proxy.10 به کامپیوتر و تجهیزاتی نفوذ می‌کند که یا دارای تنظیمات استاندارد باشند و یا در حال حاضر با نرم‌افزارهای مخرب دیگر لینوکس، آلوده باشند.

یک اسکریپت با کمک این لیست تولید می‌شود و بر روی تجهیزات آلوده با استفاده از sshpass اجرا می‌شود. این سیستم هک شده را با کمک Linux.Proxy.10، آلوده می‌کند.

علاوه بر این، سرور متعلق به مجرمان سایبری که Linux.Proxy.10 را توزیع می‌کنند نه تنها شامل لیستی از تجهیزات آسیب‌پذیر است، بلکه محققان امنیتی Dr. Web  پنل مدیریت عامل جاسوس[1] و ساخت نرم‌‌افزارهای مخرب ویندوز از یک خانواده شناخته شده از نرم‌افزارهای جاسوسی تروجان BackDoor.TeamViewer ، را نیز شناسایی کردند.

برای اتصال به یک پروکسی سرور که با استفاده از Linux.Proxy.10 راه‌اندازی شده است، مجرمان سایبری فقط به دانستن آدرس IP تجهیزات آلوده و شماره پورت که در تروجان در زمان کامپایل آن، ذخیره شده است نیاز دارند. محققان امنیتی Dr. Web در 24 ژانویه 2017 موفق شدند تعداد تجهیزات آلوده به Linux.Proxy.10 را بشمارند که تعداد آن به چندین هزار می‌رسید.

به‌منظور حافظت تجهیزات مشکوک به آلوده بودن به Linux.Proxy.10، توصیه می شود که آنها را، از راه دور و از طریق پروتکل SSH، با کمک Dr. Web Anti-virus 11.0 for Linux اسکن کنید.

 

[1] Spy-Agent

]]>
2017/2/26
<![CDATA[حمله باج افزار CRYSIS از طریق پروتکل Remote Deskto]]>

حمله باج افزار CRYSIS از طریق پروتکل Remote Deskto

]]>
محققان کمپانی TrendMicro کشف کردند که باج افزار CRYSIS با حمله Brute Force به پروتکل RDP در حال پخش کردن خود می باشد. این بدافزار با روش های مشابه در سپتامبر 2016 پخش شد، زمانی که کلاهبرداران اینترنتی، کسب و کار در استرالیا و نیوزیلند را هدف قرار دادند. در حال حاضر نیز هدف آن “سازمان ها در سراسر جهان” است.
در واقع حجم حملات در ژانویه 2017 از یک دوره در اواخر سال 2016 بیشتر است. هدف این حملات بخش بهداشت و درمان در ایالات متحده بوده است.


محققان بر این باورند که گردانندگان این حملات در هدایت و ساخت دیگر باج افزارها نیز نقش دارند.
نام فایل بدافزار منتشر شده سازگار با منطقه مورد نظر است.
مهاجمان با استفاده از یک پوشه به اشتراک گذاشته شده بر روی سیستم از راه دور برای انتقال نرم افزار مخرب از دستگاه خود استفاده کنند. همچنین گذاشتن فایل در clipboard نیز یکی دیگر از روشهای آنها برای گسترش بدافزار است.
محققان می گویند که مهاجمان با استفاده از حملات brute force اقدام به کشف اطلاعات ورود می کنند و سپس در چند مرحله اقدام به تلاش برای آلوده سازی دیگر کاربران سطح شبکه مینمایند.
برای مقابله با این بدافزار سازمانها باید سیاسیتهای امنیتی خود را بروزرسانی نموده و کنترل بیشتری بر روی پروتکل RDP اعمال نمایند. همچنین وجود درایوهای به اشتراک گذاشته شده در شبکه اینترنت ممکن است سازمان را به هدف این مهاجمان تبدیل کند

]]>
2017/2/26
<![CDATA[بررسی و تحلیل بد افزار TrickBot]]>

بررسی و تحلیل بد افزار TrickBot

]]>
مقدمه

در سپتامبر 2016، تحلیلگری به نام «جروم سگورا » بدافزار قابل توجهی در اینترنت یافته است. مشخص شد که این بدافزار، یک بات جدید است. با توجه به رشته های یافت شده در کد، سازندگان آن را TrickBot  یا .نامیده اند ( TrickLoader) لینک های بسیاری نشان می دهند که این بات، محصول دیگری از افراد توسعه دهنده بات قدیمی تر Dyreza است. به نظر می رسد که این بات از ابتدا دوباره نوشته شده است؛ با این وجود، حاوی خصوصیات و راهکارهای مشابه و زیادی با آنهایی است که در زمان تحلیل Dyreza مشخص گردید.

کار اصلی این بدافزار سرقت اطلاعات بانکی قربانیان است. بانک های اصلی مورد هدف در این باج افزار متعلق به کشور های استرالیا، نیوزلند، آلمان، انگلستان، کانادا، آمریکا و ایرلند هستند.

این بات از روش های مختلفی برای جلوگیری از تحلیل و دیباگ استفاده می کند. همچنین به دلیل اینکه تقریبا تمامی ارتباط های خود با سرور های C&C اش را رمز می کند تحلیل بسته های مبادله شده توسط این بات برای تحلیل گران و دیوارهای آتش مشکل شده است.

دانلود پیوست

]]>
2017/2/25
<![CDATA[بررسی و تحلیل بات نت “Floki”]]>

بررسی و تحلیل بات نت “Floki”

]]>
مقدمه

بات نت Floki، نمونه جدیدی از بدافزارهای بانکداری است که اخیراً در بازارهای Dark Net برای فروش گذاشته شده است. این بات نت از طریق پست الکترونیکی گسترش پیدا می کند و برای سرقت اطلاعات کارت های اعتباری قربانیان استفاده می شود. این بدافزار، مبتنی بر کد مبنای مشابهی است که توسط بات نت مشهور Zeus مورد استفاده گرفت، کدی که در سال 2011 منتشر شد. به جای کپی ساده خصوصیاتی که در بات نت Zeus وجود داشتند، باتFloki  قابلیت های جدید اضافه نمود که آن را به ابزار جالبی برای مجرمان تبدیل کرد. به گفته شرکت Talos، اصلاحاتی در مکانیزم ارسال موجود در کد منبع Zeus ایجاد شده است، به طوری که شناسایی بات Floki را مشکل تر می میسازد.

بات Floki توسط توسعه‌دهندگان به قیمت ۱۰۰۰ دلار به ارزش بیت‌کوین به فروش می‌رسد و مبتنی بر بات‌نت زئوس است. هرچند محققان اخیراً متوجه شدند که بات Floki دارای قابلیت‌های جدیدی از جمله ضد تشخیص است. شرکت Talos کد نسخه‌ی جدید بدافزار را نیز مورد بررسی قرار داده و متوجه شده که قابلیتِ عملیات بر روی شبکه‌ی Tor نیز در این بدافزار موجود است ولی هنوز عملکرد فعالی از آن مشاهده نشده است.

 محققان شرکت flashpoint معتقدند نام مورد استفاده توسط این بدافزار یک نام برزیلی است. همچنین محققان مشخص کردند که ارتباطات عوامل این بات در پرتغال است و آدرس‌های IP و دامنه‌های برزیلی را هدف قرار داده‌اند و در حالت کلی به دستگاه‌هایی که زبان پیش‌فرض آن‌ها بر روی پرتغالی تنظیم شده است، علاقه‌مند هستندشرکت flashpoint عوامل این بات را «اتصال‌دهنده(رابط)» نامید چرا که در تعداد زیادی از انجمن‌های خارج از برزیل از جمله انجمن‌های زیرزمینی Dark Web در روسیه و انگلستان حضور دارند. محققان متعتقدند با حضور در وب‌گاه‌های خارجی، این مهاجمان دانش و ابزارهای مختلفی را وارد انجمن‌های برزیل می‌کنند.

 علاوه بر قابلیت‌هایی که این بدافزار از بات‌نت زئوس گرفته است، دارای قابلیت قلاب کردن نیز هست که از این طریق می‌تواند اطلاعات کارت‌های پرداخت را از حافظه بدست آورد. در یک پویش بات‌نت Floki که توسط flashpoint مشاهده شده بود، ۲۲۵ بات، اطلاعات نزدیک به ۱۳۷۵ کارت اعتباری را به سرقت بردند.

در حوزه جرائم سایبری مالی، پیشرفت ادامه دار بدافزار شناخته شده «Floki Bot» مشاهده می شود که توسط فعالی به نام «flokibot» از سپتامبر 2016 عرضه شده است.

دانلود پیوست

]]>
2017/2/22
<![CDATA[افزایش حمله باج افزارها به سرورهای ویندوزی از طریق سرویس Remote Desktop]]>

افزایش حمله باج افزارها به سرورهای ویندوزی از طریق سرویس Remote Desktop

]]>
   

به اطلاع می‌رساند در هفته‌های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی در کشور واصل شده است. بررسی‌های فنی نشان داده که در این حملات مهاجمین با سواستفاده از دسترسی‌های حفاطت نشده به سرویس Remote Desktop ‌ ویندوز (پروتکل RDP)، وارد شده و با انتقال فایل باج افزار اقدام به رمزگزاری فایل‌های سرور می‌نماید.

در این حملات مهاجم با سواستفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌ و یا رمز عبور ضعیف وارد سرور می‌گردد.

بمنظور جلوگیری از وقوع این حملات لازم است ضمن مسدود نمودن سرویس ‌های غیر ضروری remote desktop بر روی شبکه اینترنت، نسبت به انتخاب رمزهای عبور مناسب و بروز رسانی سیستم‌های عامل اقدام گردد.

 
]]>
2017/2/22
<![CDATA[بررسی و تحلیل بد افزار Hancitor]]>

بررسی و تحلیل بد افزار Hancitor

]]>
 Hancitor با دیگر نام های Chanitor یا( TorDal) یک بدافزار از نوع دانلودر می باشد که تقریبا از سال 2014 پدیدار شده است. دانلودرها پس از استقرار در سیستم قربانی، با سرورهای C2 خود تماس برقرار می کنند و تروجان ها، بات ها و دیگرا انواع بدافزار را دانلود و نصب می کنند. در ماه می، محققان Proofpoint، اعلام کردند که آن ها ظهور مجدد Hancitor را مشاهده کردند.

این دانلودر خاص سه قابلیت اساسی دارد:

  • دانلود فایل exe از یک url و اجرای آن
  • دانلود یک DLL از یک url و اجرای آن بدون نوشتن آن روی دیسک و در عوض نوشتن آن مستقیما روی فضای حافظه دانلودر
  • حذف خودش

هر یک از دستورات فوق ممکن است پس ارسال یک درخواست http post به سرور C2 از طرف دانلودر، دریافت شوند. این درخواست شامل اطلاعات شناسایی منحصربفرد قربانی است و مهاجم را قادر می سازد تا بسادگی قربانیان را کنترل کند.

دانلود پیوست

]]>
2017/2/20
<![CDATA[بررسی امنیتی 76 برنامه مخصوص گوشی های آیفون]]>

بررسی امنیتی 76 برنامه مخصوص گوشی های آیفون

]]>

::: مقدمه

   امروزه نرم افزار تحت موبایل در دنیا بسیار رشد نموده و به جزء جدا ناپذیری از زندگی ما تبدیل شده اند، اما نبود امنیت در این اپلیکیشن ها مانند سرطان در حال رشد است. بسیاری از این نرم افزار ها از TLS استفاده نمی کنند یا فعالیت آن ها در حالت روشن نیز قابل رهگیری است. اسکن باینری کد در apple app store به متخصصان امنیتی این اجازه را می دهد تا اطلاعات بیشتر در مورد امنیت نرم افزار ها جمع آوری کنند.

::: شرح آسیب پذیری

در این مقاله به بررسی 76 اپلیکیشین محبوب IOS در Apple App Store میپردازیم که مستعد حملات MITM  هستند. با توجه به تایید apptopia تا اکنون در مجموع بیش از 18 میلیون دانلود از این نرم افزار های آسیب پذیر صورت گرفته است.

درصد ریسک این آسیب پذیری برای نرم افزار ها به شرح زیر است:

  • 33  نرم افزار با درجه ریسک پایین
  • 24  نرم افزار با درجه ریسک متوسط
  • 19  نرم افزار با درجه بالا

::: برنامه ها با درجه خطر پایین و بخش آسیب پذیر 

  1.  ooVoo : قسمت ورود شامل نام کاربری و رمز عبور
  2. جو نسخه سیستم عامل، مدل دستگاه و بخش جست  : VivaVideo
  3. Snap Upload For Snapchat :  نام کاربری و رمز عبور
  4. Uconnect Access :  تمامی نام کابری و رمز عبور نرم افزارهای Pandora وSlacker
  5. Volify :  نسخه سیستم عامل، مدل دستگاه ، نام نقطه اتصال به شبکه و اطلاعات باطری
  6. Uploader Free For Snapchat :  اطلاعات ارسالی از نرم افزار
  7. Epic :  کلید های رمزنگاری
  8. Mico : آدرس ایمیل و نسخه سیستم عامل
  9. Safe Up For Snapchat : نام کاربری و رمز عبورSnap Chat
  10. Tencent Cloud : اطلاعات تجزیه و تحلیلی
  11. Uploader For Snap Chat : اطلاعات ارسالی از نرم افزار
  12. Huawei HiLink : نسخه سیستم عامل ، مدل دستگاه
  13. Vice News : نسخه سیستم عامل ، مدل دستگاه، First Party API Calls
  14. Trading 212 Forex & Stocks : نام کاربری
  15. 途牛旅游-订机票酒店火车票汽车票特价旅行 : نسخه سیستم عامل، مدل دستگاه، نام شبکه وایفای متصل شده
  16. Cash app: نسخه سیستم عامل  و نام نقطه اتصال شبکه
  17. Clone of Legitimate Service : نسخه سیستم عامل، نسخه دستگاه ، کد شبکه موبایل و کد کشور
  18. 1000 Friends For Snap Chat : اطلاعات ارسالی از نرم افزار
  19. YeeCall Messenger : آدرس ایمیل و شماره تلفن
  20. Insta Repost : اطلاعات تجزیه و تحلیلی
  21. Loops Live : کد شبکه موبایل کد کشور
  22. Privat24 : نسخه سیستم عامل ، مدل دستگاه
  23. Private Browser :  اطلاعات تجزیه و تحلیلی فیسبوک ، First Party API Calls
  24. Cheetah Browser : نسخه سیستم عامل ، مدل دستگاه ، موقعیت مکانی  ، کلید تکمیل خودکار
  25. Aman Bank : Generic API Calls
  26. FirstBank PR Mobile Banking : بررسی API نسخه
  27. VPN Free : لیست سرور ها ، اطلاعات سرور هایVPN
  28. Gift Saga : نسخه سیستم عامل ، مدل دستگاه ، کد شبکه موبایل ، کد کشور
  29. Vpn One Click Professional : لیست سرور های VPN ، اطلاعات سرور هایVPN
  30. Music Tube : لیست ویدئو ها و بخش جست جو
  31. Auto Lotto : API Calls
  32. Foscam IP camera viewer : API Calls
  33. Code Scanner : نسخه سیستم عامل ، مدل دستگاه ، کد شبکه موبایل ، کد کشور 

::: برنامه ها با درجه خطر متوسط و بالا

تعداد زیادی از برنامه های که دارای ریسک متوسط و بالا هستند متعلق به بانک ها ، مراکز پزشکی و توسعه دهندگان برنامه های کاربردی حساس می باشند. نگارنده با توجه به اهمیت این اپلیکیشن ها و جلوگیری از عدم سوء استفاده از آن ها ، آسیب پذیری های موجود را برای mitre ارسال نموده است تا از این طریق توسعه دهندگان به رفع آن ها بپردازند. در لیست ذیل نرم افزار های که اقدام به رفع آسیب پذیری نموده اند بروزرسانی می گردد.

ShoreTel Mobility Client for iOS

ThreatMetrix SDK for iOS

Experian

myFICO

Trend Micro Mobile Security for iOS

U by BB&T

Citrix iOS Receiver

Kaspersky Safe Browser

Dell SecureWorks

Duo Mobile

14 iOS applications documented by Nick Arnott

Cisco WebEx

PayPal

!::: روش حل مشکل

این دسته از آسیب پذیری ها در گروه پیچیده قرار می گیرند و تنها توسعه دهندگان قادر به رفع کامل آن ها هستند، هیچ کاری از کاربر ساخته نیست. ضعف امنیتی بررسی شده مربوط به کد های شبکه در برنامه و پیکربندی اشتباه آن ها می باشد. با توجه به ساختار کلی ، سیستم App Transport Security در سیستم عامل IOS ارتباط را به عنوان یک اتصال معتبر TLS می بیند و به نرم افزار اجازه می دهد که از گواهینامه تایید اعتبار آن استفاده کند. هیچ راه حلی برای این مشکل از سمت اپل وجود ندارد زیرا اگر در نرم افزار از این حالت استفاده نکنند به خودی خود باعث کاهش امنیت می شوند. عدم استفاده از یک گواهی PKI امن و تایید شده در شبکه اینترنت مشکل ساز خواهد بود و برنامه قابلیت ارتباط با دیگر سرویس دهنده ها رو از دست می دهد.

::: کاهش خطر برای کاربران

در صورتی که از نرم افزار های فوق استفاده می کند به نکاتی که در ادامه ذکر می گردد توجه داشته باشید. آسیب پذیری ذکر شده معمولاً بر روی شبکه های Wi-Fi عمومی و رایگان انجام می گیرید ، به همین دلیل اگر در مکان های عمومی مجبور به استفاده از نرم افزار های مهم مانند اپلیکیشن بانک هستید Wi-Fi را خاموش کنید. در صورت نیاز به استفاده از اینترنت ، از شبکه تلفن همراه استفاده نمایید.

::: کاهش خطر برای شرکت ها و سازمان ها

در صورتی که به یک سازمان یا شرکت اپلیکیشن خاصی را پیشنهاد می کنید اول با استفاده از سرویس هایی مانند verify.ly  آسیب پذیر بودن آن را بررسی نمایید. این عمل به منظور جلوگیری از بروز مشکلات در آینده بسیار کار ساز می باشد.

::: کاهش خطر برای توسعه دهندگان

در هنگام نوشتن کد های شبکه در برنامه باید مراقب رفتار نرم افزار خود باشید. بسیاری از آسیب پذیری ها به علت عدم آشنایی کامل توسعه دهندگان با کد و کپی کردن آن از وب می باشد.

]]>
2017/2/18
<![CDATA[پوشش ضعف های امنیتی در WordPress v4.7.2]]>

پوشش ضعف های امنیتی در WordPress v4.7.2

]]>

::: مقدمه

  تیم توسعه وردپرس اعلام کرده است که در بروزرسانی 4.7.2 سه آسیب پذیری از جمله SQL Injection و XSS  را رفع نموده است.

بروزرسانی جدید تنها پس از دو هفته بعد از نسخه 4.7.1 منتشر گردید. دو هفته پیش نسخه 4.7.1 برای رفع 62 bug و هشت ضعف امنیتی منتشر گردید. هم اکنون نسخه 4.7.2 در دسترس است. این یک نسخه امنیتی برای تمامی نسخه های قبلی است و تمامی استفاده کنندگان باید به سرعت بروزرسانی مربوطه را انجام دهند.

::: شرح آسیب پذیری

آسیب­پذیری sql injection در کلاس WP_Query موجود است و به منظور دسترسی به متغیر ها، چک ها، و توابع مرتبط با هسته استفاده میگردد. کارشناسی به نام Mohammad jangda  این آسیب پذیری را هنگام بررسی عبور داده ها در سیستم وردپرس کشف نموده است. ضعف فوق به طور مستقیم هسته وردپرس را تحت تاثیر قرار نمی­دهد اما ریسک اصلی متوجه پلاگین ها و Theme های سامانه است و به طور ترکیبی می­تواند آن­ها را درگیر نماید.

آسیب پذیری XSS رفع شده در این نسخه، کلاس مدیریت جداول لیست پست های وردپرس را تحت تاثیر قرار می­دهد. این آسیب پذیری نیز توسط Ian Dunn از تیم امنیتی وردپرس کشف و گزارش شده است.

آسیب پذیری دیگری که به تازگی کشف شده است به کاربران سایت اجازه می­دهد تا با استفاده از bookmarklet موجود در مرورگر،­ اقدام به انتشار پست در وردپرس نماید.همچنین قابل ذکر است که به گزارش تیم وردپرس نسخه 4.7 این سیستم مدیریت محتوا بیش از 10 بار از تاریخ 6 دسامبر 2016 تا کنون دانلود شده است.

برای مشاهده توضیحات بیشتر درباره این انتشار می­توانید لینک زیر را مشاهده نمایید:

https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

]]>
2017/2/18
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(بهمن ماه 1395) ]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(بهمن ماه 1395)

]]>
دانلود پیوست

]]>
2017/2/12
<![CDATA[راه اندازی سامانه ویروس کاو مرکز ماهر ]]>

راه اندازی سامانه ویروس کاو مرکز ماهر

]]>
مرکز ماهر در ادامه توسعه راهکارها و ابزارهای امنیت سنجی رایگان خود، اقدام به راه اندازی سامانه ویروس‌کاو نموده است. این سامانه یک پویشگر بدافزار چند موتوره مجهز به ۱۰ آنتی ویروس به‌روز است.

کاربران می توانند در هنگام مواجه با هرگونه فایل مشکوک اقدام به بارگزاری آن در سامانه نموده و از نتایج پویش آن توسط آنتی ویروس‌های مختلف مطلع گردند. برای استفاده از این ابزار کافی است به آدرس https://scanner.certcc.ir مراجعه کنید.

درصورت ممانعت آنتی ویروس شما برای ارسال یک فایل مشکوک، می توانید فایل مشکوک را بصورت زیپ شده و با رمز 123456 نیز بارگزاری نمایید.

لازم به ذکر است در این سامانه امنیت و محرمانگی فایل‌های بارگزاری شده مورد نظر قرار داشته و آنتی‌ویروس‌ها بصورت کاملا آفلاین می باشند.

]]>
2017/2/6
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(دی ماه 1395) ]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(دی ماه 1395)

]]>

دانلود پیوست

]]>
2017/1/4
<![CDATA[بررسی و تحلیل باج افزار Fantom]]>

بررسی و تحلیل باج افزار Fantom

]]>
 

یک باج افزار جدید به نام Fantom که بر پایه ی پروژه ی باج افزار متن باز EDA2 می باشد، توسطJakub Kroustek ، محقق بدافزار AVG کشف شده است. این باج افزار از یک قابلیت جالب که یک صفحه ی به روز رسانی تقلبی ویندوز تحت عنوان اینکه ویندوز در حال نصب به روز رسانی های حیاتی می باشد استفاده می‌کند. این باج افزار صفحه ی به روز رسانی تقلبی ویندوز را به کاربر نشان می دهد ولی در پشت زمینه در حال رمزنگاری فایل های قربانی می باشد. لازم به ذکر است که این باج افزار فقط در سیستم عامل های ویندوز 8 به بعد عملکرد واقعی خود را نشان می دهد

 

دانلود پیوست

]]>
2016/12/26
<![CDATA[تنظیم وای‌فای به IMSI Catcher برای ردیابی تلفن همراه کاربران در هر کجا ]]>

تنظیم وای‌فای به IMSI Catcher برای ردیابی تلفن همراه کاربران در هر کجا

]]>

یک خطر جدید. برای امنیت گوشی شما وجو دارد: گوشی شما هک و ردگیری می‌شود، بدون آنکه شما با خبر باشید.

بیاد دارید Stingrays (http://thehackernews.com/2015/04/police-spying-cell-phones.html

ابزار جاسوسی تلفن همراه بحث‌برانگیز IMSI catchers، مدتی مدیدی هست که بوسیله مجریان قانون، جهت ردیابی و نظارت کاربران موبایل از طریق شبیه‌سازی یک دکل تلفن همراه و فریب دادن دستگاه‌ها که به آن متصل شوند، استفاده می‌شود. بعضی موارد حتی تماس‌ها و ترافیک اینترنت را دنبال می‌کند، متون جعلی ارسال کرده و نرم‌افزارهای جاسوسی بر روی تلفن یک قربانی نیز نصب می‌کند.

تنظیم کردن چنین دستگاه‌های نظارتی، پرهزینه هست و به یک مجموعه‌ای از اعمال نیاز دارد ولی امروزه محققان راه جدید و کم‌هزینه‌ای را پیدا کرده‌اند که همان کار را با کمک یک وای‌فای هاتاسپات (Wi-Fi hotspot) انجام دهند.

دانلود پیوست

]]>
2016/12/26
<![CDATA[راهنمای امنیتی Nodejs]]>

راهنمای امنیتی Nodejs

]]>

Node.js پلتفرمی. بر مبنای موتور جاوا اسکریپت مرورگر Google Chrome که به منظور ایجاد برنامه های سریع و گسترش پذیر به وجود آمده است می باشد. Node.js از مدل رویدادگرا و non-blocking برای انجام عملیات I/O بهره می برد. از این‌رو Node.js یک پلتفرم سبک و کارا برای پیاده سازی برنامه های Real-time و مبتنی بر داده است که می توانند به راحتی در سرورهای نامتمرکز اجرا شوند.

امروزه تقریباً هر هفته رخنه های امنیتی جدی مشاهده می شود، مانند موارد LinkedIn یا MySpace. حین این حملات، میزان زیادی از اطلاعات کاربری افشا شد و به اعتبار سازمانی آنها نیز لطمه وارد گردید. بایستی این مسئله برطرف شود. اگر فردی برنامه ای توسعه می دهد، امنیت بخشی از وظیفه وی خواهد بود.

لینک پیوست

]]>
2016/12/26
<![CDATA[تحلیل یک حمله تروجان موبایلی]]>

تحلیل یک حمله تروجان موبایلی

]]>
در ماه اوت چند مورد از یک تروجان بانکی که به طور خودکار در هنگام مشاهده سایت‌های خبری خاصی، بر روی دستگاه موبایل‌شان دانلود شده بود، پیدا داده شده بود. بعدا مشخص شد که این می‌تواند از طریق پیام‌های تبلیغاتی شبکه گوگلAdSense، نیز باشد و محدود به آن سایت‌های خبری نمی‌شود. در حقیقت هر سایتی که گوگل AdSense را جهت نمایش تبلیغات بکار می‌گیرد، می‌تواند تبلیغاتی را نمایش دهد که Trojan-Banker.AndroidOS.Svpeng خطرناک را دانلود کرده و به‌طور اتوماتیک آن را در کارت SD دستگاه ذخیره کند. این نوع رفتار ما را غافل‌گیر کرد: معمولا مرورگر به کاربر اخطار می‌دهد که یک فایل خطرناک در حل دانلودشدن هست و از او می‌خواهد که در مورد ذخیره‌کردن آن فایل اعلام نظر کند. ما ترافیک ورودی دستگاه مورد حمله را در هنگام نمایش این نوع تبلیغات بررسی کردیم  و تشخیص دادیم که چگونه کد مخرب دانلود و به‌طورخودکار ذخیره می‌شود.

دانلود پیوست

]]>
2016/12/26
<![CDATA[تروجان اندرویدی: Android Xiny]]>

تروجان اندرویدی: Android Xiny

]]>
 

بدافزار خانواده Android.Xiny یک تروجان جدید است که برای دانلود و حذف برنامه های مختلف بر روی گوشی موبایل قربانی طراحی شده است. این بدافزار برای سیستم عامل اندروید که محبوب ترین سیستم عامل موبایل در دنیا است توسعه داده شده است. این تروجان این قابلیت را دارد که پروسه های در حال اجرای سیستم را مورد هدف قرار دهد و پلاگین های مخربی را دانلود و به درون برنامه ها تزریق کند. این پلاگین ها برای سرقت اطلاعات کاربران استفاده می شود.

اولین بار تیم امنیتی Dr.Web این تروجان را مشاهده نمود. این تروجان از طریق برنامه هایی که از وبسایت های گوناگون قابل دانلود هستند انتقال می یابد. حتی جدیدا از طریق فروشگاه اصلی گوگل پلی نیز این تروجان به گوشی کاربران انتقال خواهد یافت. گزارش شده است که حدود 60 برنامه از فروشگاه اصلی گوگل پلی آلوده به این تروجان هستند.

]]>
2016/12/24
<![CDATA[بررسی و تحلیل باج افزار MarsJoke]]>

بررسی و تحلیل باج افزار MarsJoke

]]>
 

MarsJoke  که با نام های JokeFromMars یا Polyglot نیز شناخته می شود، نوعی باج افزار است که برای اولین بار در اواخر سبتامبر 2016 (22 سبتامبر) توسط ProofPoint شناسایی شد که از طریق پست الکترونیکی منتشر می شود و تمرکز آن بر بخش های دولتی و آموزش k-12 (دوره های تحصیل ابتدایی و متوسطه) می باشد.

این باج‌افزار در یک کمپین رایانامه‌ای گسترده که بات‌نت Kelihos هدایت آن را بر عهده دارد کشف شده است.

این پست های الکترونیکی حاوی URLهایی هستند که به یک فایل اجرایی به نام File_6.exe  منتج می‌شوند، این فایل در وب‌گاه‌های مختلفی میزبانی می‌شود که به تازگی دامنه‌ی آن‌ها به ثبت رسیده و ظاهراً هدف از ثبت آن‌ها پشتیبانی از این کمپین بوده است.

این شیوه با حملات مبتنی بر ماکرو که با گونه‌های مخربی همچون Locky عملی می‌شوند، متفاوت است. مشخصه‌ی کمپین MarsJoke در هرزنامه‌های متقاعدکننده‌ای است که از القاب تجاری شرکت‌های محبوب حمل و نقل و هوایی سوءاستفاده می‌کنند.

لینک پیوست

]]>
2016/12/20
<![CDATA[آسیب پذیری بهره برداری محلی از محصولات صنعتی زیمنس]]>

آسیب پذیری بهره برداری محلی از محصولات صنعتی زیمنس

]]>
 

در پیکربندی های غیر پیش فرض، چندین محصول صنعتی، به وسیله یک آسیب پذیری تحت تأثیر قرار گرفته اند که این آسیب پذیری می تواند به کاربران محلی سیستم عامل مایکروسافت ویندوز اجازه دهد امتیازات خود را تحت شرایط خاص افزایش دهد.

این آسیب پذیری می تواند به کاربران محلی اجازه دهد امتیازات خود را ارتقا دهند، در صورتی که محصولات تحت تأثیر، در مسیر پیش فرض نصب نشده باشند.

اگر محصولات تحت تأثیر، در مسیر پیش فرض خود نصب شده باشند («C:\Program Files\*» یا مسیری مشابه) و مجوزهای پیش فرض دسترسی به سیستم فایل برای درایو «C:\» تغییر نکرده باشد، این آسیب پذیری امنیتی قابل بهره برداری نیست. در غیر این صورت احتمال بهره برداری از این آسیب پذیری امنیتی وجود دارد.

 

لینک پیوست

]]>
2016/12/20
<![CDATA[آسیب پذیری انکار سرویس در محصولات SICAM RTU شرکت زیمنس]]>

آسیب پذیری انکار سرویس در محصولات SICAM RTU شرکت زیمنس

]]>
 

واحد ترمینال راه دور (RTU)، یک دستگاه الکترونیکی تحت کنترل ریزپردازنده است که از طریق انتقال اطلاعات دورسنجی به یک سیستم مرکزی و با استفاده از پیام های سیستم نظارت مرکزی برای کنترل اشیای به هم متصل، رابط بین اشیا در دنیای فیزیکی و یک سیستم کنترلی توزیع شده یا سیستم SCADA می باشد.

RTU بر پارامترهای میدانی دیجیتال و آنالوگ نظارت کرده و داده ها را به ایستگاه نظارت مرکزی ارسال
می کند. RTU حاوی نرم افزار راه اندازی برای اتصال جریان های ورودی اطلاعات به جریان های خروجی اطلاعات، برای تعریف پروتکل های ارتباطی و عیب یابی مشکلات راه اندازی می باشد.

بسته های طراحی شده و خاص که به درگاه 2404/TCP ارسال شده، می تواند باعث شود فعالیت دستگاه تحت تأثیر، دچار نقص گردد. ممکن است راه اندازی در دمای محیط برای بازیابی سیستم مورد نیاز باشد.

آخرین سفت افزار ETA4 برای ماژول ارتباطی SM-2558 IEC 60870-5-140، یک آسیب پذیری را برطرف می سازد که می توانست به مهاجمان راه دور اجازه دهد حمله انکار سرویس را تحت شرایط خاصی اجرا کنند.

 

لینک پیوست

]]>
2016/12/20
<![CDATA[ارزیابی امنیتی سرویس دهنده های پست الکترونیک]]>

ارزیابی امنیتی سرویس دهنده های پست الکترونیک

]]>
 

بسیاری از سازمان ها از سرویس پست الکترونیک سازمانی مخصوص به خودشان استفاده می کنند. تامین امنیت سرویس های پست الکترونیکی سازمانی یکی از چالش های امنیتی مهم در کسب و کار آن سازمان به حساب می آید. اگر امنیت یک سرویس پست الکترونیکی به خوبی برقرار نشود مورد سوء استفاده بسیاری از هکر ها قرار می گیرد. یکی از این سوء استفاده های که می توان انجام داد، این است که از یک برنامه نامه بر برای ارسال هرزنامه استفاده کرد. یکی دیگر از سوء استفاده های که می توان انجام داد این است که یک فرد خود را به جای یک فرد دیگری قرار دهد و اقدام به ارسال نامه های الکترونیکی از طرف آن فرد کند. این سوء استفاده ها به خاطر این است که اگر برنامه نامه بر به خوبی پیکره بندی نشده باشد، می توان بدون احراز هویت اقدام به ارسال نامه های الکترونیکی نمود.

از دیگر خطراتی که برای میل سرور یک سازمان وجود دارد این است که اگر میل سرور به درستی پیکره بندی نشده باشد، می توان پیام های میان پروتوکل های مختلف یک میل سرور برای مثال بین پروتکل SMTP و پروتکل POP3 را شنود کرد. و با استفاده از شنود این نوع از اطلاعات می توان داده های حساس کاربران میل سرور را شنود کرد. بنابراین باعث می شود که محرمانگی اطلاعات که یکی از مهمترین ویژگی های سیستم های امنیت اطلاعات می باشد به مخاطره افتد

 

جهت مطالعه کامل این مستند به پیوست های زیر مراجعه نمایید:

پیوست 1

پیوست 2

پیوست 3

]]>
2016/12/18
<![CDATA[بررسی بدافزار SpyEye]]>

بررسی بدافزار SpyEye

]]>
 

SpyEye یک نوع  Botnet نسل جدید محسوب می‌شود که از اواخر دسامبر 2009 در کشور روسیه فروش نسخه‌ای از آن به نام  SpyEye V1.0 در فروم های غیرقانونی آغاز شد. این toolkit شامل یک ماژول سازنده برای تولید Bot تروجان به همراه فایل پیکربندی آن و همچنین تولید یک کنترل پنل تحت وب برای کنترل و دستور (C & C) برای Botnet می‌باشد. هدف اصلی و اولیه این نوع Botnet سرقت اطلاعات بانکی افراد قرار داده شد ولی با مرور زمان امکانات بیشتری نیز به آن اضافه گردید.اگرچه قابلیت­های اصلی SpyEye مشابه رقیب خود، یعنی زئوس است، SpyEye ترفندهای بسیار پیشرفته­ای را به‌منظور پنهان‌سازی حضور خود بر روی سیستم­های محلی، استفاده می‌کند. یکی از مشکلات مهم درباره خانواده تروجان­های از نوع SpyEye پایین بودن نرخ تشخیص آن توسط آنتی‌ویروس‌ها هست. به همین دلیل نیاز به تحلیل دقیق آن برای ارائه راهکار تشخیص این بدافزار در سیستم حس می‌شود. این سند شامل تجزیه‌وتحلیل فنی عمیق از مکانیزم­های پیشرفته اتصال و تزریق و همچنین قابلیت­های اصلی آن است که به‌منظور سرقت اطلاعات کاربر بکار گرفته می­شود.

جهت مطالعه کامل دانلود نمایید

]]>
2016/12/18
<![CDATA[بررسی بدافزار بانکی زئوس ]]>

بررسی بدافزار بانکی زئوس

]]>
 

Zeus یک تروجان بانکی است که روی نسخه‌های ویندوز اجرا می‌شود. درحالی‌که می‌توان آن را برای انجام بسیاری از وظایف مخرب مورداستفاده قرار داد، اغلب برای دزدیدن اطلاعات بانکی استفاده می‌شود. زئوس یک کیت بدافزار چند ریخت (پلی مورفیک) است که توانایی اجتناب از تشخیص داده شدن توسط آنتی‌ویروس‌های پیشرفته را نیز دارد. زئوس و بسیاری از بات نت های مالی مقیم در مرورگر بوده و قادر به دست‌کاری نمایش HTML از مرورگر هستند. این تروجان برای نخستین بار در سال 2007 شناسایی شد .در این گزارش به بررسی مکانیزم های تزریق و اتصال انجام‌شده و برخی دیگر از ویژگی‌های این بدافزار می‌پردازیم.

زئوس رمزنگاری سفارشی قابل‌حمل اجرایی که شامل لایه‌های رمزنگاری چندگانه است را پیاده‌سازی می‌کند که هریک از لایه‌ها بخش بعدی را رمزگشایی می‌کند. زئوس با استفاده از VirtualAlloc حافظه در Heap تخصیص می‌دهد ، لایه رمزگشایی‌شده جاری را به Heap  کپی می‌کند و سپس اجرا می‌کند. هر لایه یک روش اندکی متفاوت از مبهم سازی را پیاده‌سازی می‌کند که می‌تواند شامل طرح‌های مبتنی بر XOR و ROR باشد.

 

دانلود پیوست

]]>
2016/12/18
<![CDATA[هشدار! هنگام ارتقاء یا بروزرسانی ویندوز 10 کامپیوتر خود را رها نکنید]]>

هشدار! هنگام ارتقاء یا بروزرسانی ویندوز 10 کامپیوتر خود را رها نکنید

]]>

بیشتر کاربران یک عادت بد دارند که هنگام ارتقاء سیستم عامل ویندوز، آن را رها می‏کنند. البته این مسأله به این مربوط است که فرایند ارتقاء ویندوز 10 طولانی و خسته‌ کننده است. چرا این مسأله نگران کننده است؟

هنگام ارتقاء ویندوز 10، یک شخص نزدیک به قربانی (یا حتی کسی که قربانی او را نمی‏شناسد) می‌تواند بدون نیاز به نرم‌افزار اضافی و با وجود اینکه BitLocker نصب است رابط خط فرمان را با دسترسی کامل باز کند و کارهای خرابکارانه انجام دهد. این مسأله به مایکروسافت گزارش شده است و این کمپانی در حال رفع این مشکل است.

هنگام ارتقاء ویندوز 10، کلید های Shift + F10 را فشار دهید تا رابط خط فرمان با دسترسی root  برایتان باز شود تا بتوانید BitLocker را دور بزنید!

اگر برای امنیت سیستم خود به نرم‌افزار کدگذاری Windows Bitlocker  اعتماد کرده‌اید، پس آگاه باشید! چون کسی که به سیستم شما دسترسی فیزیکی دارد می‌تواند به اطلاعات شما دسترسی داشته باشد!

کل کاری که لازم است هکر انجام دهد، فشار دادن همزمان کلید‏های Shift+F10 هنگام ارتقاء ویندوز 10 است. محقق امنیتی Sami Laiho این روش دور زدن Bitlocker را کشف کرده است. وقتی شما در ویندوز 10 در حال نصب یک سیستم عامل جدید هستید هکر می‌تواند با فشار دادن Shift+F10 رابط خط فرمان (Command Line Interface) را با دسترسی‏های سیستمی  باز کند. سپس با وجود فعال بودن BitLocker در سیستم قربانی، رابط خط فرمان دسترسی کامل هارد دیسک را به هکر می‌دهد. زیرا در زمان ارتقاء سیستم عامل، Windows PE (Pre-installation Environment) برای نصب ایمیج جدید ویندوز مجبور است BitLocker را غیرفعال کند.

توجه شود که یکی از ویژگی‌های رفع مشکل ویندوز این است که به شما اجازه می‌دهد کلیدهای Shift+F10 را فشار دهید تا رابط خط فرمان برایتان باز شود. متاسفانه این ویژگی با غیرفعال کردن BitLocker، دسترسی به تمام  اطلاعات هارد دیسک را در حین ارتقاء ویندوز ممکن می‌سازد .

بنابراین هکر برای سوء‌استفاده نیاز به دسترسی فیزیکی کوتاه مدت به کامپیوتر هدف دارد، پس از آن به راحتی می‌تواند BitLocker را دور زده و دسترسی مدیر (Administrator) پیدا کند. مسئله‏ای که می‌تواند روی ابزارهایی که در حوزه اینترنت اشیاء از ویندوز 10 استفاده می‌کنند تأثیر بگذارد.

چگونه ریسک این خطر را کاهش دهیم؟

به عنوان اقدام‌ متقابل، به کاربران توصیه می‏شود که در حین ارتقاء ویندوز خود آن را رها نکنند. همچنین می‏تواند به کاربران توصیه کرد از ویندوز 10 نسخه LTSB استفاده کنند چون این نسخه از ویندوز 10 به طور خودکار ارتقاء یا بروزرسانی انجام نمی‏دهد.

کاربران ویندوز 10 می‌توانند با استفاده از SCCM (System Center Configuration Manager)  دسترسی به رابط خط فرمان در حین ارتقاء ویندوز را مسدود نمایند. برای این کار در پوشه‏ی Setup\Scripts سیستم عامل، یک فایل با نام DisableCMDRequest.tag ایجاد کنند.

]]>
2016/12/11
<![CDATA[تروجان سرقت اطلاعات بانکی اندروید]]>

تروجان سرقت اطلاعات بانکی اندروید

]]>
 

در سیستم عامل اندروید دسترسی مولفه ها و برنامه های عادی به منابع سیستمی محدود شده است و برای دسترسی به اینگونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روش های خاصی امکان پذیر است ولی در صورتی که برنامه ای قابلیت دسترسی به این سطح را پیدا کند به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود. همچنین به دلیل اینکه در سیستم عامل اندروید برنامه ها را می توان از منابع مختلفی بارگذاری نمود، امکان بارگذاری برنامه های آلوده ای که در فروشگاه های غیر معتبر وجود دارند زیاد است. این نرم افزار ها در نگاه اول نرم افزار های سالمی هستند که پس از نصب سعی در بدست آوردن سطح دسترسی بالا و ایجاد آلودگی و یا سرقت اطلاعات دارند.

درگذشته شاهد استفاده از سطح دسترسی SuperUser در تبلیغات درون برنامه هایی مانند Leech ، Guerilla،  Ztogبوده ایم. این نوع استفاده از سطح دسترسی root، عادی نیست. با این حال برای حملات بدافزار های بانکداری، به دلیل اینکه پول را می توان به روش های دیگری که نیاز به سطح دسترسی خاصی ندارد، دزدید از این روش ها استفاده نمی شد.

در آغاز فوریه سال 2016، آزمایشگاه Kaspersky، یک تروجان بانکداری روی سیستم های اندروید تحت عنوان توردو Trojan banker (android os.tordow) پیدا کرد. نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید می دانستند. به همین دلیل قابلیت های توردو بسیار بیشتر از سایر بدافزار های بانکداری می باشد و این موضوع می تواند باعث ایجاد حملات جدیدی از طرف مهاجمین شود.

 

دانلود پیوست

]]>
2016/12/5
<![CDATA[تاریخچه و تکامل باج افزار Locky]]>

تاریخچه و تکامل باج افزار Locky

]]>
 

با وجود اینکه کلمه «Locky» جالب به نظر می رسد، در واقع یکی از متداول ترین گروه های باج افزار را نشان می دهد. با شناسایی شدن این باج افزار در اواسط فوریه 2016، همه گیر شدن رمزگذاری فایل، به اندازه ای پیچیده است که از رادار برخی ضد بدافزارها مخفی می ماند. به علاوه، سازندگان این باج افزار، در پیاده سازی رمزنگاری و استفاده از مکانیزم قفل اطلاعات که متخصصان امنیتی همچنان به دنبال راهکار دائمی برای آن هستند، بسیار تبحر دارند. درنهایت، این باج افزار نه تنها کاربران منحصر به فرد بلکه مؤسسات بهداشتی، شرکت های مخابراتی، دانشگاه ها و حتی دولت ها را مورد هدف قرار می دهد.

کمپین Locky به جای یک روند ایستا، یک فرآیند است. در طول فعالیت هشت ماهه خود، پنج شاخه مجزا از آن حاصل شده و احتمالاً چندین شاخه دیگر نیز در حال آماده سازی است. هر به روزرسانی جدید،

باج افزار را به دقت تنظیم می کند، به طوری که می تواند تلاش های رمزگشایی را مؤثرتر پاسخ دهد و فعالیت خود را برای گریز از شناسایی، مبهم کند. اکنون بررسی می گردد که چگونه این آسیب، طی زمان تکامل یافته است.

 

دانلود پیوست

]]>
2016/12/5
<![CDATA[مکانیزم Device Guard ویندو10]]>

مکانیزم Device Guard ویندو10

]]>
 

با هزاران فایل جدید مخربی که هر روزه تولید می شوند، استفاده از راه های قدیمی مانند استفاده از آنتی ویروس ها راه دفاعی کافی در برابر حملات جدید محسوب نخواهد شد. Device Guard در ویندوز 10 نسخه سازمانی ، رویه سیستم عامل را از حالتی که در آن برنامه ها قابل اعتماد هستند (مگر اینکه توسط یک آنتی ویروس یا برنامه ی امنیتی دیگر جلوی کار آنها گرفته شود)، به حالتی که در آن سیستم عامل فقط به برنامه هایی اعتماد می کند که توسط خود شرکت مجاز شده باشند تغییر داده است. این برنامه ها با ایجاد سیاست های درستی کد، به عنوان برنامه های قابل اعتماد مشخص می شوند.

مکانیزم صحت کد دو قسمت دارد:‌ حالت درستی کد در مد هسته و حالت درستی کد در مد کاربر. حالت هسته ی درستی کد در نسخه های قبلی ویندوز وجود داشته و هسته ی سیستم عامل را در برابر اجرا شدن درایور های شناخته نشده محافظت می کرد. در ویندوز ۱۰ و ویندوز سرور ۲۰۱۶ علاوه بر حالت هسته، حالت کاربر درستی کد هم برای محافظت در برابر ویروس ها  و بد افزار ها اضافه شده است.

برای بیشتر کردن میزان امنیتی که سیاست های درستی کد ایجاد می کند، Device guard می تواند از قابلیت های پیشرفته ی سخت افزار ها برای محافظت بیشتر آنها استفاده کند. این قابلیت ها شامل شبیه سازی CPU (Intel VT و AMD-V) و ترجمه سطح دوم آدرس (SLAT) می شود. علاوه بر این سخت افزار هایی که دارای واحد های مدیریت ورودی و خروجی حافظه هستند، محافظت بیشتری را شامل می شوند. وقتی که قابلیت های پیشرفته سخت افزار را فعال سازی می کنید، سرویس درستی کد می تواند در کنار هسته ی ویندوز در یک حالت محافظتی اجرا شود.

دانلود پیوست

]]>
2016/12/5
<![CDATA[بهبود امنیت سایبری سیستم کنترل صنعتی از طریق استراتژی های دفاع در عمق]]>

بهبود امنیت سایبری سیستم کنترل صنعتی از طریق استراتژی های دفاع در عمق

]]>
 

سیستم های کنترل صنعتی (ها ICS)، بخش اصلی زیرساخت های حیاتی هستند و به تسهیل فعالیت های صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولیدات و تولیدات شیمیایی کمک می کنند. موضوع در حال گسترش امنیت سایبری و تأثیر آن بر ICS، خطرات اساسی برای زیرساخت حیاتی کشور را نشان

می دهد. مدیریت مؤثر مسائل امنیت سایبری ICS، نیازمند درک صریح چالش های کنونی امنیت و اقدامات متقابل دفاعی خاص است. یک راهکار جامع (راهکاری که از اقدامات متقابل خاص پیاده سازی شده در لایه ها جهت ایجاد وضعیت امنیتی جامع و مبتنی بر خطر استفاده می‌کند) به دفاع در مقابل تهدیدات و آسیب پذیری های امنیت سایبری که می تواند بر این سیستم ها تأثیر بگذارد، کمک می کند. این راهکار که غالبا به عنوان «دفاع در عمق » به آن اشاره می شود، چارچوب انعطاف پذیر و قابل استفاده ای را برای بهبود امنیت سایبری در زمان پیاده سازی در سیستم های کنترل، ارائه می کند.

 

دانلود پیوست

]]>
2016/12/5
<![CDATA[ محققین بیان داشتند: بدون نوشتن کد نیز می‏توان راهکارهای امنیتی رایج لینوکس را دور زد!]]>

 محققین بیان داشتند: بدون نوشتن کد نیز می‏توان راهکارهای امنیتی رایج لینوکس را دور زد!

]]>

به عنوان مدیر یک سیستم مبتنی بر لینوکس باید در نظر داشت که حتی نصب جدیدترین پچ ‏های امنیتی روی توزیع مورد استفاده شما نیز نمی‏تواند مصونیت در برابر آسیب‏ پذیری ‏های موجود را تضمین نماید. لینوکس از مولفه ‏های متعددی تشکیل شده است که هرکدام از آنها می‏توانند مورد حمله قرار گیرند.

اخیرا «کریس ایوانز» محقق امنیتی معروف، نوعی اکسپلویت (کد مخرب) عرضه کرده که بسیار حرفه ‏ای نوشته شده و از روشی غیرمعمول برای سوء‏استفاده از آسیب‏ پذیری حافظه در GStreamer بهره می‏گیرد، اما به هر حال از اهمیت فوق العاده‏ای برخوردار است.

این اکسپلویت می‏تواند دو سیستم حفاظتی رایج در لینوکس را هدف قرار می دهد؛ یکی «تصادفی ‏سازی چیدمان فضای آدرس» یا ASLR و دیگری «محافظت از اجرای داده ‏ها» یا DEP است. همانطور که می‏دانید سیستم ASLR محل بارگذاری کدها درون حافظه را به صورت تصادفی تعیین می‏کند، و همچنین DEP نیز از بارگذاری اکسپلویت روی حافظه جلوگیری می‏نماید. شکل زیر نشان می‏دهد که fedora چطور مجبور می‏شود که از اکسپلویت استفاده بکند.

با این حال اکسپلویت مورد بحث که فقط روی توزیع fedora عمل می‏کند، از کدنویسی خاصی برای تعامل نرم ‏افزاری با مجموعه هدف یعنی چارچوب GStreamer استفاده نکرده و صرفاً با کدهای حرفه ‏ای، این دو سرویس امنیتی را از کار می‏ اندازد. «ایوانز» در این رابطه می‏گوید:

این کار نشان داد تهیه اکسپلویت ‏های بدون اسکریپت هم ممکن است، حتی با وجود اینکه سیستم 64 بیتی ASLR به حفاظت از سیستم بپردازد. با این روش می‏توان عملیات خواندن و نوشتن حافظه را کنترل نموده و حتی مواردی را در وارد حلقه decoder نمود تا به آرامی، اکسپلویت را پیش برده و کنترل کامل را به دست آورد.

گفتنی است ایوانز این اکسپلویت را به شکل فایل FLAC منتشر کرده که روی نسخه fedora 24 کار می‏کند و آسیب‏پذیری GStreamer را اکسپلویت می‏کند و همچنین می‏تواند به مدیا پلیرهای Rhythmbox و Totem نیز حمله کند. البته او می‏گوید نوشتن همین اکسپلویت برای Ubuntu بسیار ساده ‏تر است، همچنین از طریق بازنویسی کامل می‏توان تمامی توزیع های دیگر علاوه بر fedora را نیز هدف قرار داد.

محققانی نظیر ایوانز برای بهبود امنیت لینوکس چنین اکسپلویت‏ هایی را ایجاد می‏کنند.  با منتشر کردن چنین اکسپولیت‏ هایی که می‏توانند آسیب‏پذیری‏ های ناشناخته لینوکس را نشان دهند، این امید وجود دارد که عرضه کنندگان لینوکس بجای اینکه برای هر تهدید جدید یک راهکار ارائه دهند بتوانند امنیت لینوکس را به صورت پایه‏ ای بهبود دهند.

]]>
2016/12/1
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(آذرماه 1395) ]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(آذرماه 1395)

]]>
 

دانلود پیوست 

]]>
2016/11/29
<![CDATA[امنیت مجازی سازی]]>

امنیت مجازی سازی

]]>
 

اجرای چندین ماشین مجازی روی یک کامپیوتر بجای سرورهای اختصاصی که هر کدام نیازمند نگهداری های دمایی و مراقبت های توان مصرفی است، مبحث متقاعدکننده ای است.  گره های مجازی سازی شده که توسط یک سرور فیزیکی واحد تغذیه می شوند، صرفه اقتصادی مناسبی دارد. تأثیرات اقتصادی مجازی سازی می تواند به طرز جذابی قوی باشد. به استناد نظر سنجی انجام شده توسط Forrester در سال 2011، پیاده سازی زیرساخت های ماشین های مجازی 255% از ریسک تنظیم شده در مدل  ROI  در یک بازه ی 4 ساله را به همراه داشته است که حتی با یک بازدهی 17 ماهه بعد از گسترش نیز برابر است.

اکنون سؤال این است که چه تعداد از ماشین های مجازی را می توان با آن مشخصات سخت افزاری بدون تأثیر قابل توجه در کارایی آنها پیاده سازی کرد؟ این به عنوان نرخ تثبیت شناخته می شود و این در حقیقت بخش ماهرانه کار است. با بسیاری از فاکتورهای که باید در نظر گرفته شود. به عنوان مثال باید دید ماشین مجازی مورد نظر چه نوع کارهایی را باید بتواند انجام دهد؟ از چه نرم افزاری برای ساخت استفاده می شود؟ ریسک های موجود برای سرمایه گذاری تمام عیار روی این کار چیست؟ و چگونه مطمئنانه زیرساخت مجازی خود را باید امن نمود و بدون کاهش بسیار زیاد سرعت در کار، از عدم آسیب پذیری در مقابل مجرمان مجازی اطمینان حاصل کرد؟ برای انتخاب تصمیم درست، به فهمیدن چندین مقوله و چگونگی ارتباط کاری بین آنها نیاز است.

لینک پیوست

]]>
2016/11/26
<![CDATA[همایش افتتاحیه چهارمین جشنواره ملی امنیت فضای تبادل اطلاعات]]>

همایش افتتاحیه چهارمین جشنواره ملی امنیت فضای تبادل اطلاعات

]]>
 

چکیده خبر

همایش افتتاحیه چهارمین جشنواره ملی امنیت فضای تبادل اطلاعات با حمایت مرکز ماهر، چهارشنبه 12 آبان 95 با محوریت مرکز تخصصی آپا  در دانشگاه صنعتی اصفهان برگزار شد. در این همایش که با حضور اساتید، دانشجویان، مدیران، کارشناسان، متخصصین و صاحبان کسب و کار افتا برگزار شد، چندین سخنرانی‌ با موضوعات امنیت سایبری، فرصت‌های کسب و کار افتا و ایده‌پردازی در افتا توسط اساتید و متخصصین ارائه گردید. گروه مسابقات فتح‌پرچم آپا دانشگاه صنعتی اصفهان به تشریح محورهای مسابقات پرداخت و مسابقه ایده نو افتا در همایش برگزار گردید.

 

چهارمین جشنواره ملی امنیت فضای تبادل اطلاعات با هدف ارتقاء سطح آگاهی عمومی در زمینه امنیت فضای تبادل اطلاعات وهمچنین رشد و توسعه ایده‌های نوین در عرصه امنیت فناوری اطلاعات و ارتباطات  با حمایت مرکز ماهر در پاییز و زمستان 95 در دانشگاه صنعتی اصفهان برگزار می‌گردد.

این جشنواره، رویدادی ترویجی در حوزه امنیت فضای تبادل اطلاعات  است و شامل بخش‌های متنوعی از جمله مسابقه CTF، رویدادSecurity Startup، کارگاه‌ها و سمینارهای تخصصی و نمایشگاه ترویجی امنیت فضای تبادل اطلاعات می‌باشد.

همایش افتتاحیه این رویداد با حمایت مرکز ماهر، چهارشنبه 12 آبان 95 با محوریت مرکز تخصصی آپا  در دانشگاه صنعتی اصفهان برگزار شد. در این همایش، آقای دکتر بهروز ترک‌لادانی با موضوع دفاع از عمارت شیشه‌ای (تهدیدات و فرصت‌های امنیت فضای سایبری)، دکتر فانیان با موضوع فرصت‌های کسب و کار افتا و مهندس امینی با موضوع ایده‌پردازی سخنرانی داشتند. همچنین گروه مسابقات فتح‌پرچم مرکز تخصصی آپا  به تشریح محورهای مختلف این مسابقات پرداختند. در ادامه مهندس امیر وهوشی به  عنوان کارآفرین موفق فناوری اطلاعات، به بیان تجربیات، پیروزی‌ها و شکست‌های خود پرداخت. در پایان مسابقه ایده نو افتا برگزار گردید و سه نفر از شرکت‌کنندگان در همایش در مدت سه دقیقه به بیان ایده خود پرداختند و در پایان ایده برتر با نظر کمیته فنی جشنواره (شامل اساتید و متخصصین فنی) انتخاب و یک ربع سکه اهدا شد.

 

مرحله نهایی این جشنواره، هفته اول اسفند 95 (دوم الی چهارم اسفند 95) در دانشگاه صنعتی اصفهان برگزار خواهد شد.

 

]]>
2016/11/19
<![CDATA[آسیب پذیری های محصولات siprotec4 و siprotec compact شرکت زیمنس]]>

آسیب پذیری های محصولات siprotec4 و siprotec compact شرکت زیمنس

]]>
 

آسیب‌پذیری دور زدن احراز هویت و پایان یافتن منابع بر روی محصولات siprotec4 و siprotec compact شرکت زیمنس

شرکت زیمنس از انتشار نسخه‌ی بروز رسانی سفت افزار برای دو محصول siprotec 4  و siprotec compact خبر داده است که به منظور کاهش آسیب پذیری های دور زدن احراز هویت و پایان یافتن منابع می باشد. این  آسیب پذیری ها می توانند از راه دور مورد سوء استفاده قرار گیرند.

محصولات تحت­تأثیر

طبق گزارش شرکت زیمنس، محصول زیر تحت تاثیر این آسیب پذیری قرار دارد:

  • ماژول اترنت EN100 (بطور اختیاری روی siprotec4 و siprotec compact قرار میگرد): تمام نسخه های قبل از v4.29

تأثیرات آسیب پذیری

مهاجم، با سوء استفاده از این آسیب پذیری میتواند به قسمت مربوط به مدیر اپلیکیشن تحت وب وصل شود. مهاجمانی که به شبکه از طریق رابط وب (port80/tcp) متصل اند، میتوانند احراز هویت را دور بزنند و عملیاتی در سطح مدیر انجام دهند.

تاثیر این آسیب پذیری بر سازمان ها به فاکتورهای متعددی که برای هر سازمان منحصر به فرد هستند، بستگی دارد. NCCIC/ICS-CERT به سازمان ها توصیه می کند تاثیر این آسیب پذیری را بر اساس محیط عملیاتی، معماری و پیاده سازی محصول شان ارزیابی کنند.

 

 

 

 

 

اقدامات جهت کاهش شدت آسیب­پذیری

شرکت زیمنس سفت افزار نسخه v4.29  را برای بروز رسانی ماژول EN100  در این دو محصول ارایه کرده است. همچنین برروز رسانی به اخرین نسخه را نیز توصیه کرده است.

ادرس محل دانلود نسخه های بروز برای این دو محصول در زیر امده است:

http://www.siemens.com/downloads/siprotec-4

http://www.siemens.com/downloads/siprotec-compact(link is external)

 

به عنوان یک اقدام امنیتی عمومی، شرکت زیمنس به حفظ شبکه از دسترسی دستگاه های خارجی و غیر محیطی به آن با مکانیزم های مناسب توصیه می کند.

مرکز ماهر جهت به حداقل رساندن خطر بهره برداری از این آسیب‌پذیری ها، به کاربران توصیه می کند تدابیر امنیتی در نظر گیرند. به طور خاص، کاربران باید:

  • در معرض شبکه قرار گرفتن تمام دستگاه های سیستم و/یا سیستم های کنترل را به حداقل برسانند، و مطمئن شوند که آنها از طریق اینترنت قابل دسترسی نیستند.
  • شبکه های سیستم کنترل و دستگاه های راه دور را در پشت دیوارآتش مستقر سازند، و آن ها را از شبکه تجاری جدا سازند.
  • هنگامی که دسترسی از راه دور مورد نیاز است، از روش های امن، مانند شبکه های خصوصی مجازی (VPNs) استفاده کنند، در نظر داشته باشند که VPNها نیز ممکن است آسیب پذیری هایی داشته باشند و باید به جدیدترین نسخه موجود به روز رسانی شوند. همچنین VPN تنها امنیت دستگاه های متصل را تأمین می کند.

مرکز ماهر یادآور می شود که سازمان ها قبل از اعمال تدابیر امنیتی، آنالیز مناسبی از تأثیر و ارزیابی خطر انجام دهند.

]]>
2016/11/14
<![CDATA[ابزار‌های اینترنت اشیاء، سربازان جدید سنگین‌‌ترین حملات اینترنتی]]>

ابزار‌های اینترنت اشیاء، سربازان جدید سنگین‌‌ترین حملات اینترنتی

]]>
حملات اینترنتی اخیری که قالباً به صورت حملات منع دسترسی توزیع‌شده (DDOS) در سطح اینترنت انجام شده و رکورد بزرگترین حملات اینترنتی از نوع DDOS را به اسم خود ثبت کرده، یک بازیکن اصلی دارد. پشت همه حمله‌های اخیر، یک بات‌نت به اسم میرای (Mirai) قرار دارد که ابزار‌های اینترنت اشیاء (Internet Of Things) را هدف گرفته است. میرای با تحت دسترسی گرفتن ابزار‌های اینترنت اشیاء، از آن‌ها به عنوان سربازانی برای انجام حملات منع دسترسی توزیع شده با حجم بالا استفاده می‌کند.

شرح خبر

حمله به سرور‌های شرکت Dyn که یک ارائه‌دهنده خدمات DNS معتبر است و بسیاری از وب‌سایت‌های مهم نظیر Twitter، Spotify، Reddit، Box، Github، PayPal و Pinterest از این سرویس‌دهنده استفاده می‌کنند، بسیاری از کارشناسان و متخصصان را بیش از پیش متوجه پتانسیل انجام این حملات و خرابکاری‌های این چنینی کرد. این حمله که بعضی از کارشناسان از آن به عنوان قطع شدن نیمی از اینترنت یاد می‌کنند، بزرگترین حمله‌ای بود که اینترنت تا به حال به خود دیده است. رد پای بات‌نت‌های Mirai در این حمله پر رنگ بود و سهم عظیمی از این حمله به عهده ابزار‌های  تسخیر شده توسط این بات‌نت انجام شد. این حملات بیش از پیش کارشناسان را متوجه مسائل امنیتی ابزار‌های اینترنت اشیاء کرد.

 

کارشناسان معتقدند که بات‌نت‌های میرای توانایی انجام حمله منع دسترسی توزیع‌شده تا حجم 10 ترابیت بر ثانیه (10 Tbps) را دارند. این چنین حملاتی توانایی آن را دارند که اینترنت یک کشور را به طور کامل از دسترس خارج کنند. حمله‌ای که هفته پیش بر علیه کشور لیبریا رخ داد و کل اینترنت این کشور افریقایی را مختل نمود، یکی دیگر از این نمونه حمله‌ها با استفاده از ابزار‌های اینترنت اشیاء بود.  البته حجم این حمله (500 Gbps) به اندازه حجم حمله به سیستم DNS دو هفته گذشته (1 Tbps) نبود.

 

تعداد بدافزار‌هایی که ابزار‌های اینترنت اشیاء را هدف قرار می‌دهند رو به افزایش است و طی چند سال گذشته چند برابر شده است. سال 2015 با ظهور هشت خانواده جدید بدافزار، یک رکورد برای حملات علیه اینترنت اشیاء بود. بیش از نیمی از حملات علیه این ابزار‌ها از چین و امریکا انجام می‌شود؛ روسیه، آلمان، هلند، اوکراین و ویتنام هم جزء کشور‌هایی هستند که حملات زیادی علیه اینترنت اشیا از آن‌ها سرچشمه می‌گیرد. این آمار توسط تست‌های شرکت سیمانتک و آمار حمله‌ها به هانی‌پات‌های این شرکت به دست آمده است.

امنیت پایین ابزار‌های اینترنت اشیاء آن‌ها را به هدف‌های ساده‌ و قربانیانی مطلوب برای بد‌افزار‌ها تبدیل کرده است. حتی این ابزار‌ها گاهی متوجه آن نمی‌شوند که مورد حمله واقع شده و تسخیر شده‌اند. هکر‌ها اکنون از امنیت بسیار پایین ابزار‌های اینترنت اشیاء  و تنظیمات امنیتی ضعیف آن‌ها آگاهند (که غالباً همان تنظیمات پیش‌فرض کارخانه هستند) و از آن‌ها در راستای رسیدن به اهداف خود استفاده می‌کنند. به عنوان مثال با یک جدول شامل نام کاربری و کلمه عبور‌های تعیین شده به صورت پیش‌فرض برای ابزار‌های اینترنت اشیاء سعی در نفوذ به این ابزار‌ها دارند.

 

در ابتدا تصور می‌شد که حملات علیه ابزار‌های اینترنت اشیاء با هدف به دست گرفتن سیستم‌های اتوماسیون خانه‌ها و اختلال در امنیت خانه‌ها  باشد؛ ولی حملات اخیر نشان داده که حمله‌کنندگان کمتر به این مورد تمایل دارند. حمله‌کنندگان بیشتر تمایل به تسخیر ابزار‌های اینترنت اشیاء برای اضافه کردن آن‌ها به یک بات‌نت برای انجام حملات بزرگ منع دسترسی توزیع‌شده دارند.

 

تنها در ماه گذشته چند حمله گسترده منع دسترسی توزیع شده (DDoS) با مشارکت ابزار‌های تسخیر شده اینترنت اشیاء انجام شده است؛ این حملات بر خلاف معمول، از چند پلتفرم مختلف انجام شده و نشان می‌دهد که در آینده شاهد حملات بیشتری با مشارکت پلتفرم‌های مختلف خواهیم ‌بود.

بیشتر بد‌افزار‌ها سیستم‌های ساده را هدف قرار می‌دهند. این سیستم‌ها به اینترنت متصل هستند ولی به دلیل محدودیت انرژی و قدرت پردازش، امنیت بالایی ندارند.

 

اکثراً سیستم‌های ساده فوق تنها نصب شده و بلافاصله شروع به کار می‌کنند و تنظیمات امنیتی روی آن‌ها انجام نمی‌پذیرد؛ بسیاری ار آن‌ها آپدیتی دریافت نمی‌کنند و یا اگر برای آن‌ها آپدیتی ارائه شود، توسط صاحبان آن‌ها روی آن‌ها نصب نمی‌گردد و معمولاً با ابزار‌های جدید جایگزین می‌شوند. در نتیجه هرگونه آلودگی یا تسخیر این ابزار‌ها مورد توجه قرار نمی‌گیرد.  به همین دلیل این ابزار‌ها یک طعمه مورد علاقه برای هکر‌ها  هستند.

 

بدافزار‌ها می‌توانند به صورت دستی روی سیستم‌ها نصب شوند ولی معمولاً با پویش تصادفی IP ها با پورت‌های باز telnet یا SSH تلاش می‌کنند که سیستم مورد نظر را تحت کنترل خود در آورند. با توجه به اینکه معماری پردازنده این ابزار‌ها ممکن است متفاوت باشد، با توجه به نوع معماری پردازنده، کد قابل اجرا را روی آن اجرا نموده و آن را تسخیر می‌کنند.

 

برای در امان ماندن از حمله این نوع بد‌افزار‌ها، نیاز است که تنظیمات امنیتی ابزار‌ها چک شده و از حالت تنظیمات پیش‌فرض کارخانه خارج شود. همچنین امکانات و پورت‌هایی که استفاده نمی‌شوند غیر فعال شوند. همچنین در صورت امکان از پروتکل‌هایی که امنیت کافی دارند استفاده شود. دستگاه‌هایی که به این بد‌‌افزار‌ها آلوده شده‌اند، با یک بار راه‌اندازی مجدد پاک می‌شوند ولی اگر تنظیمات امنیتی رعایت نشود، خیلی سریع دوباره آلوده می‌شوند. آمار نشان داده است که به طور متوسط هر دو دقیقه یک بار این بد‌افزار به قربانی‌ها حمله می‌کنند.

]]>
2016/11/9
<![CDATA[تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید]]>

تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

]]>
 

امروزه با توجه به تولید انبوه برنامه‌های کاربردی اندرویدی و ارائه آن‌ها در بازارهای ایرانی و خارجی و همچنین دانش اندک بیشتر کاربران سیستم‌عامل اندروید، باید در مورد خطرات احتمالی آن دست از برنامه‌هایی که تهدیداتی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند اطلاع‌رسانی شود. بسیاری از برنامه‌های کاربردی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید پرسیده شود این است که آیا تابه‌حال مجوزهای درخواستی برنامه کاربردی اندرویدی شما قبل از نصب را مطالعه کرده‌اید؟ تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. از عدم آگاهی و نیز بی‌توجهی بیشتر کاربران، توسعه‌دهندگان برنامه‌های کاربردی مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. هدف از این گزارش آگاه‌سازی کاربران در مورد مجوزهایی است که برنامه‌های کاربردی اندرویدی درخواست می‌کنند.

در ابتدا باید عنوان کرد که مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.

شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده برنامه کاربردی را درک نمود.

بیشتر شرکت‌های اینترنتی از متدهای عمومی مشابهی برای آگاه‌سازی کاربران در خصوص داده‌هایی که قرار است مورداستفاده قرار گیرند بهره می‌برند. در سیستم‌عامل اندروید یک ارتباط سه سویه بین کاربر، گوگل (طراح و ارائه‌دهنده سیستم‌عامل اندروید) و توسعه‌دهندگان برنامه کاربردی شخص سوم وجود دارد. گوگل درواقع ارتباط بین کاربر و توسعه‌دهندگان شخص سوم را با استفاده از مجموعه‌ای از مجوزها برای هر برنامه کاربردی دانلود شده توسط کاربر، مدیریت می‌کند. مجوزها درواقع نیازمندی‌های توسعه‌دهندگان را برای چگونگی تعامل برنامه کاربردی تولیدشده با دستگاه کاربر مشخص کرده و دسترسی به نوع اطلاعات درخواستی برنامه کاربردی را نیز تعیین خواهد کرد.

در اکوسیستم اندروید بیشترین فشار بر روی توسعه‌دهندگان است تا مجوزهایی که به کاربر نشان داده می‌شوند، نحوه کار برنامه کاربردی را به‌درستی انتخاب و به نمایش بگذارند. پس‌ازاینکه توسعه‌دهنده برنامه کاربردی یک برنامه را ایجاد کرد، مجوزهای صحیح را به‌درستی انتخاب نمود و لیستی از کاربران هدفی که درنهایت با این مجوزها موافقت نموده‌اند را تهیه کرد، گوگل برنامه کاربردی تولیدی را به‌منظور شناسایی بدافزار و تشخیص کدهای مخرب مورد ارزیابی قرار خواهد داد. محدوده مجوزها برای تعامل برنامه کاربردی از اجازه دسترسی به بخش ویژه‌ای از سخت‌افزار دستگاه (به‌عنوان‌مثال فلش دوربین عکاسی) آغاز می‌شود و تا دسترسی به لیست مخاطبان کاربر ادامه می‌یابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت نماید.

اصول مجوزهای برنامه‌های کاربردی گوگل

مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است. در این بخش گزارشی از بررسی‌ مجوزهای برنامه‌های موجود در فروشگاه Google Play با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری و یا به اشتراک بگذارند ارائه شده است.

درمجموع با بررسی 1041336 برنامه کاربردی در این آزمایش باید عنوان کرد که تنها 235 مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد 127 مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است. برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها 5 مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که 100000 برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد برنامه‌های کاربردی

% از برنامه‌های کاربردی

مجوز سخت‌افزاری یا اطلاعات کاربر

دسترسی کامل به شبکه

(Full network access)

... یک درگاه شبکه ایجاد کرده و از پروتکل‌های معمول شبکه استفاده می‌کند. مرورگر و دیگر برنامه‌های کاربردی داده را از طریق اینترنت ارسال می‌کنند که این بدان معنا است که مجوز نیازی به ارسال داده از طریق اینترنت را نباید داشته باشد.

855873

83%

سخت‌افزار

مشاهده ارتباطات شبکه

(View network connections)

... مشاهده اطلاعات درباره ارتباطات شبکه، به‌عنوان‌مثال تشخیص اینکه کدام شبکه وجود دارد و متصل است.

714607

69%

سخت‌افزار

آزمون دسترسی به حافظه حفاظت‌شده

(Test access to protected storage)

... آزمون مجوز مربوط به حافظه USB که بر روی دستگاه‌های آینده قابل‌دسترس خواهند بود. به برنامه کاربردی اجازه می‌دهد تا مجوز را برای SD card آزمایش نماید.

562442

54%

سخت‌افزار

تنظیم یا حذف محتوای موجود بر روی حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن بر روی حافظه USB. به برنامه کاربردی اجازه نوشتن بر روی SD card را می‌دهد.

559941

54%

اطلاعات کاربر

خواندن وضعیت تلفن و هویت

(Read phone status and identity)

... دسترسی به ویژگی‌های تلفن. این مجوز به برنامه کاربردی اجازه می‌دهد تا شماره‌های تلفن و ID را به هنگام برقراری تماس تشخیص دهد.

361616

35%

اطلاعات کاربر

جلوگیری از به خواب رفتن گوشی

(Prevent device from sleeping)

... ممانعت از به خواب رفتن گوشی. به برنامه کاربردی اجازه می‌دهد تا مانع به خواب رفتن گوشی شود.

279775

27%

سخت‌افزار

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location(GPS and network-based)

... دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز دارند و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

اطلاعات کاربر

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌های Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

اطلاعات کاربر

کنترل لرزاننده

(Control vibration)

... کنترل‌کننده لرزاننده

220594

21%

سخت‌افزار

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based)

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

اطلاعات کاربر

 

از مجموع 235 مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها 10 مجوز توسط 20% برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد 1000 برنامه از مجموع 1041336 که 0.09% از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار 147 مجوز از مجموع 235 مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند. البته باید این نکته را نیز اضافه نمود که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت! تحلیل ذکرشده به بررسی عمیق‌تر بر روی برنامه کاربردی به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد.

به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند:

  • مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند.
  • مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند.

توجه

تعریف "اطلاعات کاربر" یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت "اطلاعات کاربر" صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.

مجوزهایی که سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند

از 235 مجوز انحصاری جمع‌آوری‌شده در این تحلیل، 165 نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و به برنامه اجازه دسترسی دیگری ازجمله اطلاعات کاربر را نخواهد داد.

به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به برنامه کاربردی اجازه اتصال به اینترنت را می‌دهند. مجوز "دسترسی کامل به شبکه" (که توسط 83% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار نماید. درحالی‌که مجوز "مشاهده ارتباطات شبکه" (که توسط 69% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا هر شبکه‌ای که دستگاه به آن دسترسی دارد را ببیند. هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز "اطلاعات کاربر" و "مجوز سخت‌افزار" نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به برنامه کاربردی نمی‌دهند.

 

دانلود متن کامل در  پیوست

]]>
2016/11/7
<![CDATA[بررسی بدافزار مخصوص NAS سرورها Bitcoin Mining Malware(Cryptomining)]]>

بررسی بدافزار مخصوص NAS سرورها Bitcoin Mining Malware(Cryptomining)

]]>
::: مقدمه

    در طول چند سال گذشته، هکرها با استفاده از بدافزارهایی که با روشهای خاص، به صورت گسترده بر روی کامپیوترهای شخصی افراد در نقاط مختلف دنیا پخش و آلوده می کردند، می توانستند کارهایی همچون Bitcoin Mining را بر روی کامپیوترهای قربانی انجام دهند. این کار به صورت کاملا مخفیانه و بدور از چشم کاربر سیستم قربانی انجام میشد. اما مشکل در اینجا بود که سیستم های خانکی و دفاتر کاری، دارای پردازنده های بالایی نبودند و این کار Bitcoin Mining به صورت بسیار کند انجام می گرفت. اینجا بود که هکرها به این فکر افتادند که بدافزارهای خاصی را برای سیستم های کامپیوتری با پردازشگرها و سخت افزارهای قوی تر آماده کنند. به همین دلیل به دنبال NAS Server ها رفتند!

 

 

::: شرح کارکرد بدافزار

    ::: Mal/Miner-C

            این تهدید تنها برای انتشار خود و آلوده کردن سیستم های تازه برای انجام محاسبات Hash جهت Mining کردن آماده نشده است، بلکه همواره تلاش می کند که خود را در پوشه FTP Floder کپی کند تا بتواند از این طریق هم سیستم های جدید را برای انتشار خود پیدا کند.

    ما نسخه های مختلفی را از این تهدید مشاهده کرده ایم. مشخص است که توسعه دهندگان این تهدید، همواره در حال بروزرسانی آن هستند. اما همیشه دارای یک مشخصه خاص بوده است؛ اینکه همواره از سیستم نصب خودکار NSIS استفاده می کند...

 

دانلود پیوست

]]>
2016/11/7
<![CDATA[بررسی تروجان جدید بانکی در اندروید همراه با عکس سلفی! Android Banking Trojan Asks for Selfie With Your ID]]>

بررسی تروجان جدید بانکی در اندروید همراه با عکس سلفی! Android Banking Trojan Asks for Selfie With Your ID

]]>
 

در نیمه اول سال 2016 گزارش هایی مبنی بر اینکه تروجان های اندرویدی به سمت بدست آوردن اطلاعات حساب های بانکی قربانیان می روند منتشر شد. این گونه بدافزارها در جستجوی پاسخ سوال هایی همچون: "نام مادر بزرگ"، "نام اولین خودرو سواری که خریده اید؟" و غیره... جهت پاسخ به سوالات امنیتی حساب های بانکی افراد می روند تا بتوانند به آن گونه حساب های بانکی قربانیان دسترسی پیدا کنند.

        ..

::: شرح عملکرد بدافزار

          همچون دیگر بدافزارها، این بدافزار هم از راه هایی همچون نصب برنامه های خاص جهت دریافت فیلم ها و عکس های غیر اخلاقی و یا نصب برنامه های Codec جهت دیدن این گونه فیلم ها، کاربران را ترغیب به نصب برخی app ها بر روی گوشی می کند که نمونه هایی از آنها را در ادامه مشاهده می فرمایید:

دانلود پیوست

]]>
2016/11/5
<![CDATA[Click Me؛ باج‌افزاری ایرانی]]>

Click Me؛ باج‌افزاری ایرانی

]]>

Click Me نام باج‌افزار جدید ایرانی است که تحت عنوان یک بازی رایگان روی سیستم نصب شده و به‌صورت پنهان فایل‌ها را رمز می‌کند و پس از آن برای دسترسی به فایل‌ها تقاضای باج می‌کند. البته این باج‌افزار در مراحل اولیه توسعه خود قرار دارد و هم اکنون خطر زیادی را ایجاد نخواهد کرد؛ اما ممکن است در آینده خطر‌های جدی‌تری را برای قربانیان ایجاد کند.

شرح خبر

بازی ClickMe یک باج‌افزار ایرانی بوده که به تازگی شناخته شده است. این باج‌افزار در قالب یک بازی کامپیوتری سبک ارائه شده و هنگامی که کاربر مشغول بازی است، در پس زمینه به رمز کردن فایل‌های سیستم قربانی می‌پردازد.

صفحه بازی یک صفحه ساده با پس زمینه عکس است و کاربر باید روی دکمه click me کلیک کند. با هر بار کلیک روی این دکمه، پس زمینه صفحه تغییر کرده و درخواست کلیک تکرار می‌شود. پس از چند بار تکرار این عمل، صفحه درخواست هکر از فرد قربانی نشان داده می‌شود. این صفحه از کاربر تقاضای پرداخت پول می‌کند تا پسورد فایل‌های رمز شده سیستم قربانی را در اختیار وی قرار دهد.  البته هنوز اطلاعات دقیقی در این صفحه وجود نداشته و مبلغ درخواستی و یا اطلاعاتی برای واریز پول وجود ندارد. اما ممکن است با پیشرفت این باج‌افزار این صفحه تکمیل شود

این باج‌افزار به فایل‌هایی که رمز می‌کند، پسوند “hacked” را اضافه می‌کند. الگوریتم رمز مورد استفاده این باج‌افزار AES با طول کلید 256 بیت است. این برنامه توانایی آسیب رساندن به فایل‌های متنی، چند‌رسانه‌ای و آفیس را دارد. فایل‌های دارای پسوند زیر در معرض آسیب از طرف این باج‌افزار هستند.

.3GP, .APK, .AVI, .BMP, .CDR, .CER, .CHM, CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .JAVA, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DXF, .DWG, .DRW, .CASB, .CCP.

بررسی بدافزار فوق نشان داده که این باج‌افزار در حال توسعه است و در حال حاضر تنها یک فایل به نام “ransom-flag.png” که در درایو "D:\" ایجاد می‌کند را رمز کرده و بقیه فایل‌ها را دست نخورده باقی می‌گذارد.  به همین دلیل اکنون این باج‌افزار خطر جدی ایجاد نمی‌کند. اما این امکان وجود دارد که با توسعه آن، خطرات جدی را متوجه سیستم قربانی کند.

این گونه بدافزارها تقریباً یک استراتژی مشخص برای تکثیر خود دارند. آن‌ها برای نفوذ از روش‌های دانلود نرم‌افزار از سایت‌های غیر معتبر، آپدیت برنامه‌ها از منابع غیر رسمی، فایل‌های پیوست شده به ایمیل‌های آلوده و تروجان‌ها استفاده می‌کنند. پس لازم است برای جلوگیری از آلوده شدن به این گونه برنامه‌های مخرب، از منابع و سایت‌های غیر معتبر دانلود انجام نشود و از باز کردن ایمیل‌های مشکوک خودداری شود؛ همچنین استفاده از یک آنتی‌ویروس قوی و به روز احتمال آلوده شدن به این گونه برنامه‌های مخرب را کاهش می‌دهد.

روش‌های مقابله با این باج‌افزار

وجود فایل‌ها و DLL های زیر می‌تواند نشانه آلودگی سیستم باشد:

  • Ransom_CLICKMEG.A
  • TR/Agent.jjjkr
  • Trojan.GenericKD.3611661
  • Trojan.GenericKD.3611661 (B)
  • Trojan.MSIL.TrojanClicker
  • W32.Troj.Ransom.Filecoder!c

برای پاک کردن این باج‌افزار از روی سیستم، دو راه حل ارائه شده که در ادامه تشریح شده است.

الف) پاک کردن باج‌افزار در محیط Safe Mode

در این روش باید وارد حالت Safe Mode With Networking شده و پس از ورود به حساب کاربری که به باج‌افزار Click Me آلوده شده است، برنامه پاک‌سازی تهیه شده برای این بدافزار را اجرا کرده و اجازه داد تا کل سیستم وارسی شود (برای دریافت ابزار پاک‌سازی، اینجا کلیک شود).

ب) پاک کردن باج‌افزار از طریق بازگردانی سیستم (System Restore)

اگر امکان قرار دادن کامپیوتر در حالت Safe Mode With Networking وجود نداشت، می‌توان این کار را با System Restore انجام داد. برای این کار بایستی پس از راه‌اندازی دوباره، سیستم را در حالت Safe Mode With Command Prompt راه‌اندازی نمود. پس از آماده به کار شدن سیستم در این حالت، بایستی در خط فرمان (Command Prompt) دستور "cd restore" را وارد کرده و پس از آن دستور "rstrui.exe" را وارد نمود. با این دستور، حالت بازگردانی سیستم فعال شده و می‌توان سیستم را به حالت قبل از آلوده شدن سیستم بازگردانید. پس از بازگشت سیستم به حالت قبلی، بهتر است نرم‌افزار ضد بد‌افزار معتبری را دانلود  و اجرا کرده تا همه فایل‌های مربوط به باج‌افزار ClickMe را پاک کند.

]]>
2016/11/2
<![CDATA[گاو کثیف بلای جان پنگوئن دوست‌داشتنی!]]>

گاو کثیف بلای جان پنگوئن دوست‌داشتنی!

]]>

آسیب‌پذیری که به مدت حداقل 9 سال روی همه نسخه‌های لینوکس وجود داشته، این روز‌ها به داغ‌ترین بحث در حوزه امنیت این سیستم‌عامل محبوب تبدیل شده است. این آسیب‌پذیری که تحت شناسه جهانی CVE-2016-5195 شناخته می‌شود، با نام Dirty COW مشهور شده است. این آسیب‌پذیری به کاربران احراز هویت نشده این امکان را می‌دهد تا سطح دسترسی خود را به بیشترین مقدار ارتقاء داده و اعمال مورد نظر خود را انجام دهند. از دیدگاه کارشناسان، این آسیب‌پذیری جدی‌ترین مشکل امنیتی سیستم‌عامل لینوکس در سال‌های اخیر بوده است.

شرح خبر

یک آسیب‌پذیری حیاتی در سیستم‌عامل لینوکس به تازگی کشف شده است که قدمتی نزدیک به 9 سال دارد. این آسیب‌پذیری که از آن به اسم گاو کثیف (Dirty COW) نیز یاد می‌شود، تحت شناسه بین‌المللی CVE-2016-5195 ثبت شده است. این آسیب‌پذیری تنها یک آسیب‌پذیری ارتقاء سطح دسترسی است؛ اما کارشناسان از آن به عنوان مهم‌ترین آسیب‌پذیری اخیر این سیستم‌عامل محبوب یاد می‌کنند.

این آسیب‌پذیری از سال 2007 روی هسته لینوکس قرار داشته است (نسخه 2.6.22). این آسیب‌پذیری به دلایل مختلفی حساسیت‌های زیادی را برانگیخته است؛ اول آن‌که برای این آسیب‌پذیری، کد بهره‌بردار به‌صورت عمومی منتشر شده است و با کمک آن می‌توان به سادگی از آسیب‌پذیری سوء‌استفاده نمود. دلیل دیگر اهمیت این آسیب‌پذیری آن است که این کد بهره‌بردار در قسمتی از هسته لینوکس قرار دارد که در همه توزیع‌های لینوکس استفاده شده است؛ در واقع این آسیب‌پذیری برای مدت طولانی روی همه سیستم‌های بر پایه سیستم‌عامل لینوکس (که شامل تلفن‌های همراهی است که از سیستم‌عامل آندروید استفاده می‌کنند) وجود داشته است. دلیل دیگر اهمیت این آسیب‌پذیری آن است که کارشناسان دریافته‌‌اند که در بعضی از کد‌هایی که برای حمله به سیستم‌ها استفاده می‌شود، از این آسیب‌پذیری استفاده سده است.

آسیب‌پذیری گاو کثیف به یک کاربر با دسترسی محلی اجازه می‌دهد که به بالاترین سطح دسترسی رسیده و کنترل کامل بر سیستم‌عامل داشته باشد. کد‌های بهره‌بردار می‌توانند با حمله به یک ارائه‌دهنده خدمات میزبانی وب که دسترسی شِل ارائه می‌کند، به همه استفاده‌کنندگان از آن سرویس و یا حتی ارائه‌دهنده سرویس آسیب بزند.

این آسیب‌پذیری می‌تواند با دیگر حمله‌ها ترکیب شده و آسیب‌های سنگین‌تری به قربانیان وارد کند. برای مثال، معمولاً آسیب‌پذیری تزریق کد روی پایگاه داده به مهاجم این اجازه را می‌دهد که کد مخربی را در سطح یک کاربر احراز هویت نشده اجرا کند.  ترکیب این حمله با آسیب‌پذیری گاو کثیف به مهاجم این اجازه را می‌دهد که کد‌های مخرب را در بالاترین سطح دسترسی اجرا کرده و تخریب بیشتری را انجام دهد.

Phil Oester، کارشناس امنیتی است که این آسیب‌پذیری را با ضبط و بررسی بسته‌های http در ‌‌چند‌سال گذشته روی سرور خود تشخیص داده است. او اعلام کرده که با استفاده از این آسیب‌پذیری یک کاربر با سطح دسترسی محلی می‌تواند در کمتر از 5 ثانیه به بالاترین سطح دسترسی برسد.

این آسیب‌پذیری نام خود را از مکانیزم Copy-On-Write یا COW گرفته است. با استفاده از این مکانیزم، کاربران از دسترسی محلی به سطح دسترسی روت می‌رسند.

برای برطرف شدن این آسیب‌پذیری، برای توزیع‌های مختلف لینوکس آپدیت ارائه شده و تلاش می‌شود که این آسیب‌پذیری به صورت کامل رفع شود. برای برطرف شدن این آسیب‌پذیری لازم است که حتماً سیستم‌عامل لینوکس آپدیت شود.

]]>
2016/10/31
<![CDATA[ Extensionجدید برای باج افزار Locky]]>

 Extensionجدید برای باج افزار Locky

]]>
 

باتوجه به شیوع گسترده باج افزار معروف locky،  اخیرا  این باج افزار شناخته شده،  بر روی فایلهای رمزنگاری شده، پسوندی با نام  shit را قرار می دهد. در نمونه های قبلی، نحوه ی install این باج افزار بر روی سیستم قربانی توسط یک DLL آلوده بود که توسط برنامه قانونی Rundll32.exe بر روی سیستم عامل ویندوز قربانی نصب می شد. در این نسخه جدید هم روال کار به همین منوال می باشد و پس از اجرای باج افزار، شروع به جستجوی فایلهای خاص بر روی سیستم قربانی کرده و آنها را رمزنگاری می کند و با پسوند .shit نمایان می سازد. 

 

به گفته ی MalwareHunterTeam این باج افزار از طریق هرزنامه ها خود را گسترش می دهد. روش کار بدین صورت است که ایمیل هایی همراه با فایل های پیوستی با پسوند های اسکریپتی همچون HTA-JS و WFS برای قربانیان ارسال می گردد که پس از اجرای آن فایلها توسط قربانیان، یک فایل رمزنگاری شده DLL بر روی سیستم قربانی دانلود می شود و توسط همان اسکریپت ها رمزگشایی شده و توسط برنامه قانونی در خورد ویندوز به نام Rundll32.exe اجرا می گردد که در نهایت باج افزار را بر روی سیستم قربانی نصب می کند.

            پس از نصب و اجرای باج افزار، باج افزار به صورت خودکار به دنبال حدود 380 نوع پسوند فایل های مختلف بر روی سیستم قربانی می گردد و آنها را با استفاده از الگوریتم AES رمزنگاری می کند و پسوند .shit را بر روی نام نهایی فایل رمزنگاری شده قرار می دهد.

 

    در زیر لیست تمامی extension فایل هایی که این باج افزار به دنبال آنها می گردد را مشاهده می فرمایید:

 

در پایان عملیات رمزنگاری فایلها، یک پیغام همراه با روش پرداخت پول برای قربانی ظاهر می گردد. نام های جدید فایلهای پیغام که برای قربانی نمایش داده می شود به ترتیب زیر می باشد:

  • _WHAT_is.html
  • _[2_digit_number]_WHAT_is.html
  • _WHAT_is.bmp

 

            در ادامه مشخصات تنظیمات اصلی این باج افزار را که توسط LockyDump در اختیار عموم قرار گرفته است را مشاهده می فرمایید:

 

]]>
2016/10/26
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(مهر ماه 1395)]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور(مهر ماه 1395)

]]>
 

دانلود پیوست 

]]>
2016/10/17
<![CDATA[قابليت‌ها و پيكربندي سياست‌هاي گروهي (Group Policy) در شبكه‌ها و ساختار دامنه‌هاي سازماني]]>

قابليت‌ها و پيكربندي سياست‌هاي گروهي (Group Policy) در شبكه‌ها و ساختار دامنه‌هاي سازماني

]]>
 

1. مقدمه

سیاست‌های گروهی شاهکاری فنی و امنیتی در استقرار امنیت در شبکه‌های سازمانی است. سیاست‌های گروهی یا با نام تخصصی Group Policy، ساختاری است که برای اعمال مجموعه‌ای از پیکربندی‌ها یا سیاست‌های امنیتی به مجموعه‌ای از کاربران و رایانه‌ها در یک ساختار شبکه‌ی سازمانی بکار می‌رود. با استفاده از سیاست‌های گروهی یا به اختصار GP می‌توانید یک سری پیکربندی‌های امنیتی و کاربردی را عملیاتی نمایید. در واقع استفاده از GP ابزار اعمال سیاست‌های امنیت فناوری اطلاعات در شبکه‌های سازمانی به صورت متمرکز و یکپارچه است. این سیاست‌های گروهی می‌توانند در سیستم‌های محلی و یا شبکه‌های مبتنی بر کنترل کننده‌ی دامنه به صورت متمرکز و سراسری اعمال شوند که استفاده از آن در شبکه‌هایی با ابعاد متوسط و بزرگ به صورت متمرکز از طریق سرویس‌دهنده‌ی کنترل‌کننده‌ی دامنه خواهد بود. در این مستند ضمن معرفی ساختار و قابلیت‌های فنی سیاست‌های گروهی، برخی از مهمترین سیاست‌های امنیتی موثر نیز معرفی و نحوه‌ی پیکربندی آن در شبکه‌های سازمانی آموزش داده خواهد شد.

2معرفی

سیاست گروهی ساختاری است که برای اعمال مجموعه‌ای از پیکربندی‌ها یا سیاستهای امنیتی یا مرتبط با امنیت به مجموعه‌ای از کاربران و رایانهها یک ساختار Active Directory به کار می‌رود. از طریق سیاست گروهی یا به اختصار GP می‌توان مجموعه‌ای از تنظیمات امنیتی و کاربردی را در سیستمهای رایانه‌ای متصل به شبکه و زیرساخت سازمانی انجام داد. در سیستم‌های محلی یا سیستم‌های که به عنوان سرویس‌دهنده استفاده می‌شوند و دارای کنترل کنندهی دامنه و Active Directory نیستند، می‌توان یک GP را به مجموعه‌ای از کاربران اعمال کرد. ولی در شبکه‌هایی که شامل کنترل‌کنندهی دامنه و Active Directory هستند، می‌توان GP را به رایانه‌ها، کاربران و واحدهای سازمانی اعمال کرد.

سیاست گروهی در شبکه‌ها، به منزله یک شئ[1] است و می‌توان به ازای هرکدام از اشیاء در دامنه، یک GP داشت؛ از این رو به آن Group Policy Object یا به اختصار GPO گویند. نکته‌ی دیگری که باید دقت کرد، این است که به یک کاربر یا سیستم بیشتر از 999 شئ GP نمی‌توان اعمال کرد.

در محیط Active Directory، سیاست گروهی ابزاری است که امکان مدیریت متمرکز پیکربندی را فراهم می‌آورد. کوچکترین عنصر در سیاست گروهی، که یک پیکربندی را مشخص می‌کند، Policy Setting است که به اختصار به آن Policy یا سیاست گفته می‌شود. هزاران سیاست در سیاست گروهی وجود دارند که هر یک، معرف پیکربندی روی کاربران یا محدودهای از سیستم‌هایی که روی آن اعمال می‌گردند. جهت ویرایش سیاست‌ها، ابزارهای Group Policy Management Editor (GPME) و PowerShell در دسترس‌اند، که در ادامه مستند به آن پرداخته میشود.

1-1سیاست

سیاست‌ها به صورت عمومی به دو دسته با عناوین زیر تقسیم می‌شوند:

  • پیکربندی کاربران[1]: سیاست‌هایی هستند که بدون در نظر گرفتن آنکه کاربر روی چه سیستمی به شبکه دسترسی دارد، در محدوده خود بر روی کاربران اعمال می‌شوند. پیکربندی سیاستهای گروهی، زمانی که کاربران وارد سیستم می‌شوند و در بازه‌های زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازه‌سازی می‌شود.
  • پیکربندی کامپیوترها[2]: سیاست‌هایی هستند که بدون در نظر گرفتن آنکه چه کاربری از سیستم رایانهای استفاده می‌کند، در محدوده خود روی کامپیوترها اعمال می‌شود. پیکربندی کامپیوترها در زمانی که کامپیوتر اجرا و راهاندازی می‌شود و در بازه‌های زمانی ۹۰ تا ۱۲۰ دقیقه پس از آن تازه‌سازی می‌شود.

هر دو مجموعهی فوق شامل Policy و Preferenceهایی یا سیاستها و اولویتهایی هستند که مجموعا شامل حدود ۶۰۰۰ شئ است.

 

 دانلود مستند


[1] User Configuration

[2] Computer Configuration


[1] Object

]]>
2016/10/10
<![CDATA[ابزارهای رمزگشایی و بازیابی اطلاعات برای برخی از باج افزارها ]]>

ابزارهای رمزگشایی و بازیابی اطلاعات برای برخی از باج افزارها

]]>
 

باج‌افزار یکی از بدافزارهایی است که می‌تواند رایانه‌ها را آلوده کند. این نوع بدافزار، فایل‌های رایانه را رمزگذاری و قفل می‌کند و تنها راه دسترسی به آن‌ها پرداخت باج به هکر است. خوش‌بختانه،‌ امروزه لیستی از ابزارهای رمزگشایی باج‌افزار برای ویندوز 10 وجود دارد که به قربانی کمک می‌کند تا این مشکل را رفع کند. در ادامه، ابزارهای رمزگشای باج‌افزار برای ویندوز 10 شرح داده خواهد شد.

پیوست

]]>
2016/10/9
<![CDATA[اخرین اخبار حوزه ی باج افزار ]]>

اخرین اخبار حوزه ی باج افزار

]]>
 

باجافزارها گونه‌ای از بدافزارها به شمار می‌آیند که قادرند به روش‌های مختلف از جمله رمزنگاری، دسترسی قربانی به فایل‌ها یا کل سیستم را محدود کرده و در ازای دریافت باج، محدودیت را برطرف سازند. سیر رشد باجافزارها در سال اخیر بسیار زیاد بوده و روزانه چندین رخداد در این حوزه گزارش می‌شود. در گزارش ارایه‌شده آخرین رویدادها گزارش شده است.

پیوست

]]>
2016/10/9
<![CDATA[باج افزار wildfire با همکاری کسپرسکی و پلیس هلند خاموش شد]]>

باج افزار wildfire با همکاری کسپرسکی و پلیس هلند خاموش شد

]]>
 

در هفته اخیر باج افزار wildfire با همکاری شرکت کسپرسکی و پلیس هلند خاموش شد. این باج افزار از رمزنگاری AES-256 غیرمتقارن برای رمزکردن فایل های قربانیان خود استفاده کرده و اکثر قربانیان آن در کشورهای بلژیک و هلند بوده اند.

 بدافزار wildfire از طریق پیوست های آلوده ایمیل هایی گسترش یافته است که به نظر می رسد، از یک شرکت جهت تحویل کالا ارسال شده است. این فرم های پیوست حاوی اسکریپت های ماکرو آلوده است که از کاربر می خواهد تا با فعال کردن ماکروها محتوای آن را مشاهده کند. به محض فعال شدن، بدافزار دانلود شده و روی سیستم قربانی اجرا می شود.


 

همان طور که مشاهده می کنید، این بدافزار حتی برای تاخیر در پرداخت نیز پول اضافی درخواست می کند.

با کشف سرورهای C&C این بدافزار توسط پلیس هلند که شامل ۵۷۰۰ کلید رمزگشایی است، شرکت امنیتی کسپرسکی ابزار رمزگشایی برای این بدافزار ایجاد کرده است که می توانید آن را در وب سایت nomoreransom.org یا noransome.kaspersky.com پیدا کرده و استفاده نمایید.

]]>
2016/10/8
<![CDATA[به روز رسانی امنیتی اندروید در ماه سپتامبر]]>

به روز رسانی امنیتی اندروید در ماه سپتامبر

]]>
 

شرکت گوگل از سال 2015 اقدام به عرضه اصلاحات امنیتی برای سیستم‌عامل اندروید نموده است که هر ماه بروز می‌شوند. به همین منظور برخی از شرکت‌های تولیدکننده دستگاه‌های مبتنی بر این سیستم‌عامل نیز اقدام به عرضه وصله‌های (Patches) امنیتی به‌صورت ماهانه می‌کنند. اخیراً گوگل اصلاحیه جدیدی برای آسیب‌پذیری موجود در Quadrooter عرضه داشته است.

Quadrooter (یک آسیب‌پذیری جدید، مربوط به چیپ‌های Qualcomm است و در بیشتر دستگاه‌های اندرویدی مورد استفاده قرار گرفته است.) شامل 4 آسیب‌پذیری است. این آسیب‌پذیری‌ها عمدتاً در بیشتر نسخه‌های اندروید مشکلاتی را ایجاد کرده‌اند که به‌صورت تقریبی 900 میلیون دستگاه را تحت تأثیر خود قرار داده است. گوگل تعهد داده است تا ماه سپتامبر به رفع این ایرادات امنیتی بپردازد. دستگاه‌های آلوده به این نقض‌های امنیتی مربوط به کمپانی نکسوس (Nexus) بود، همچنین کمپانی سامسونگ هم در برخی نسخه‌های گوشی همچون Galaxy S7  و Galaxy S7 Edge به این مشکلات دچار شده است

یک هکر به‌صورت بالقوه می‌تواند با سو استفاده از Quadrooter کنترل کامل هر دستگاهی را در دست بگیرد. به همین منظور گوگل بالاترین اولویت را نسبت به اصلاح این آسیب‌پذیری‌ها قرار داده است. در واقع شرکت گوگل اصلاحیه‌های اندروید را مطابق با یک زمان‌بندی ماهانه عرضه می‌دارد. گوگل ابتدا اصلاحیه‌های جدید را با سازندگان دستگاه‌های همراه به اشتراک گذاشته و سپس اقدام به عرضه بروز رسانی برای دستگاه‌های نکسوس خود به همراه یک اطلاعیه امنیتی می‌کند.

در جدول زیر تاریخ دریافت بروز رسانی اندروید با توجه به مدل دستگاه نکسوس قابل مشاهده است:

دریافت وصله امنیتی بروز رسانی برای گوشی نکسوس

برای دریافت وصله امنیتی پس از رفع ایرادات امنیتی در گوشی‌های نکسوس مراحل زیر را ادامه دهید:

  • به قسمت تنظیمات گوشی، Settings بروید.
  • گزینه About tablet یا About phone را انتخاب کنید.
  • آخرین نسخه وصله امنیتی را در این قسمت مشاهده می‌کنید.
  • برای دانلود و نصب آخرین نسخه وصله امنیتی اقدام کنید.

 

اصلاحیه‌های ماه سپتامبر

اصلاحیه ۰۱/۰۹/۲۰۱۶، ۲۵ آسیب‌پذیری را در بخش‌های مختلف سیستم‌عامل اندروید ترمیم می‌کند. دو مورد از آن‌ها که مربوط به بخش‌های LibUtils و Mediaserver می‌شوند بسیار مهم عنوان شده‌اند. فرد مهاجم می‌تواند با استفاده از فایل‌های دست‌کاری شده از این دو ضعف امنیتی بهره‌برداری کرده و اقدام به اجرای کد از راه دور نماید.

 

خلاصه آسیب پذیری

موضوع

CVE

شدت

آسیب پذیری اجرای کد از راه دور در LibUtils

CVE-2016-3861

بحرانی

آسیب پذیری اجرای کد از راه دور در Mediaserver

CVE-2016-3862

بحرانی

آسیب پذیری اجرای کد از راه دور در MediaMuxer

CVE-2016-3863

بالا

آسیب‌پذیری دسترسی زیاد در Mediaserver

CVE-2016-3870

CVE-2016-3871

 CVE-2016-3872

بالا

آسیب‌پذیری دسترسی زیاد در device boot

CVE-2016-3875

بالا

آسیب‌پذیری دسترسی زیاد در Settings

CVE-2016-3876

بالا

آسیب‌پذیری انکار سرویس در Mediaserver

CVE-2016-3899

CVE-2016-3878

CVE-2016-3879

CVE-2016-3880

CVE-2016-3881

بالا

آسیب‌پذیری دسترسی زیاد در Telephony

CVE-2016-3883

متوسط

آسیب‌پذیری دسترسی زیاد در Notification Manager Service

CVE-2016-3884

متوسط

آسیب‌پذیری دسترسی زیاد در Debuggerd

CVE-2016-3885

متوسط

آسیب‌پذیری دسترسی زیاد در  System UI Tuner

CVE-2016-3886

متوسط

آسیب‌پذیری دسترسی زیاد در  Settings

CVE-2016-3887

متوسط

آسیب‌پذیری دسترسی زیاد در  SMS

CVE-2016-3888

متوسط

آسیب‌پذیری دسترسی زیاد در  Settings

CVE-2016-3889

متوسط

آسیب‌پذیری دسترسی زیاد در  Java Debug Wire Protocol

CVE-2016-3890

متوسط

آسیب‌پذیری افشای اطلاعات در Mediaserver

CVE-2016-3895

متوسط

آسیب‌پذیری افشای اطلاعات در AOSP Mail

CVE-2016-3896

متوسط

آسیب‌پذیری افشای اطلاعات در Wi-Fi

CVE-2016-3897

متوسط

آسیب‌پذیری انکار سرویس در Telephony

CVE-2016-3898

متوسط

 

 

اصلاحیه ۰۵/۰۹/۲۰۱۶، ۲۸ آسیب‌پذیری را در راه‌اندازهایی همچون Qualcomm، Synaptics، Broadcom و Nvidia ترمیم می‌کند. تعداد ۵ آسیب‌پذیری از این ضعف‌های امنیتی بسیار مهم عنوان شده‌اند و ممکن است منجر به آلوده شدن دستگاه شوند که تنها از طریق Reflash کردن دستگاه می‌توان آن را به حالت اولیه بازگرداند.

خلاصه آسیب پذیری

 

موضوع

CVE

شدت

آسیب‌پذیری دسترسی زیاد در kernel security subsystem

CVE-2014-9529 CVE-2016-4470

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel networking subsystem

CVE-2013-7446

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel netfilter subsystem

CVE-2016-3134

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel USB driver

CVE-2016-3951

بحرانی

آسیب‌پذیری دسترسی زیاد در kernel sound subsystem

CVE-2014-4655

بالا

آسیب‌پذیری دسترسی زیاد در kernel ASN.1 decoder

CVE-2016-2053

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm radio interface layer         

CVE-2016-3864

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm subsystem driver         

CVE-2016-3858

بالا

آسیب‌پذیری دسترسی زیاد در kernel networking subsystem

CVE-2016-4805

بالا

آسیب‌پذیری دسترسی زیاد در Synaptics touchscreen driver

CVE-2016-3865

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm camera driver

CVE-2016-3859

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm IPA driver

CVE-2016-3867

بالا

آسیب‌پذیری دسترسی زیاد در Qualcomm power driver

CVE-2016-3868

بالا

آسیب‌پذیری دسترسی زیاد در Broadcom Wi-Fi driver

CVE-2016-3869

بالا

آسیب‌پذیری دسترسی زیاد در  kernel eCryptfs filesystem

CVE-2016-1583

بالا

آسیب‌پذیری دسترسی زیاد در  NVIDIA kernel

CVE-2016-3873

بالا

آسیب‌پذیری دسترسی زیاد در  Qualcomm Wi-Fi driver

CVE-2016-3874

بالا

آسیب‌پذیری انکار سرویس در kernel networking subsystem

CVE-2015-1465

 CVE-2015-5364

بالا

آسیب‌پذیری انکار سرویس در kernel ext4 file system

CVE-2015-8839

بالا

آسیب‌پذیری افشای اطلاعات در Qualcomm SPMI driver         

CVE-2016-3892

متوسط

آسیب‌پذیری افشای اطلاعات در Qualcomm sound code         

CVE-2016-3893

متوسط

آسیب‌پذیری افشای اطلاعات در Qualcomm DMA component

CVE-2016-3894

متوسط

آسیب‌پذیری افشای اطلاعات در kernel networking subsystem

CVE-2016-4998

متوسط

آسیب‌پذیری انکار سرویس در kernel networking subsystem

CVE-2015-2922

متوسط

آسیب‌پذیری در Qualcomm components

CVE-2016-2469

بالا

 

اصلاحیه ۰۶/۰۹/۲۰۱۶، دو آسیب‌پذیری که یکی از آن‌ها بسیار مهم و مربوط به بخش Kernel Shared Memory Subsystem است و دیگری یک ضعف با اهمیت در بخش Qualcomm Networking است را برطرف می‌کند.

 

خلاصه آسیب پذیری

موضوع

CVE

شدت

آسیب‌پذیری دسترسی زیاد در kernel shared memory subsystem

CVE-2016-5340

بحرانی

آسیب‌پذیری دسترسی زیاد در Qualcomm networking component

CVE-2016-2059

بالا

 
 

]]>
2016/10/5
<![CDATA[مخاطبان موتوشاپ]]>

مخاطبان موتوشاپ

]]>
]]> 2016/10/3
<![CDATA[آشنایی با پروتکل SMBو روش های امن سازی آن]]>

آشنایی با پروتکل SMBو روش های امن سازی آن

]]>
پروتکل SMB مخفف عبارت Server Message Block میباشد که توسط IBM در اواسط دهه هشتاد میلادی ابداع گردید و در ادامه شرکت مایکروسافت آن را توسعه داده است. این پروتکل در لایه کاربردی کار میکند و فعالیتهایی از قبیل ایجاد یک مکانیزم ارتباط مبتنی بر احراز هویت در شبکه، اشتراک‌گذاری فایل، مدیریت راهدور و به اشتراکگذاری چاپگر را فراهم مینماید.

SMB یک پروتکل سطح بالا بوده که میتواند بر روی TCP/IP ، NetBEUI و IPX/SPX  مورد استفاده قرار گیرد. در صورتیکه TCP/IP و یا NETBEUI بر روی سیستم در حال استفاده باشند، NETBIOS API مورد استفاده قرار می‌گیرد.

در واقع SMB پروتکلی جهت به اشتراکگذاری فایلها، چاپگرها، پورت‌های سریال،  mailslotها، named pipeها، APIها و در کل ارتباطات مختلف بین گرههای موجود در یک شبکه میباشد. mailslot و named pipe روشهایی برای پیادهسازی IPC میباشند. IPC  یا InterProcess Communication (ارتباط-درون-پردازشی) روی سیستمعاملهای دیگری غیر از ویندوز نیز یافت میشود. در حقیقت IPC یک اشتراک‌گذاری مجازی شبکه است که برای آسانتر نمودن ارتباط بین فرآیندهای تجهیزات موجود در شبکه استفاده میشود. IPC از پروتکل SMB استفاده میکند و برای شروع یک نشست ارتباطی استفاده میشود (نامکاربری و کلمه عبور را قبل از اتصال به اشتراک، احراز اصالت میکند). همچنین IPC برای نرمافزارهایServer/Client  ای نیز استفاده می‌شود. برای نرمافزارهای کوچکی که روی کامپیوتر اجرا می‌شوند، IPC میتواند بدون آن‌که هر کاربر نیاز به وارد نمودن نام کاربری و پسورد بر روی سرویسدهنده داشته باشد، به سرویسدهنده متصل شود. در حقیقت IPC برای راحتی ارتباطات بین پردازشها و کامپیوترهایی استفاده میشود که اغلب برای رد و بدل کردن اطلاعات مربوط به احراز هویت(Authentication)  بین کامپیوترها بهکار گرفته میشوند.

 SMB روشی استاندارد برای دسترسی به فایل از راهدور برای استفاده میلیون‌ها رایانه در یک زمان پدید آورده است. بنابراین با استفاده از پروتکلSMB  یک کاربر برنامهکاربردی میتواند به فایلهای یک سرویسدهنده راهدور و دیگر منابع آن از جمله چاپگر دسترسی داشته باشد. بهعبارتدیگر یک برنامهکاربردی میتواند فایلهایی را از روی سرویسدهنده راهدور بخواند، ایجاد کند و یا به‌روزرسانی نماید. همچنین میتواند با هر برنامه سرویس دهنده که برای دریافت درخواستهای مشتری SMB راهاندازی شده است ارتباط برقرار نماید.

دانلود گزارش کامل مستند

]]>
2016/10/3
<![CDATA[تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید]]>

تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

]]>
تحلیلی در زمینه مجوزهای برنامه‌های کاربردی سیستم‌عامل اندروید

امروزه با توجه به تولید انبوه برنامه‌های کاربردی اندرویدی و ارائه آن‌ها در بازارهای ایرانی و خارجی و همچنین دانش اندک بیشتر کاربران سیستم‌عامل اندروید، باید در مورد خطرات احتمالی آن دست از برنامه‌هایی که تهدیداتی را برای کاربران دستگاه‌های اندرویدی ایجاد می‌کنند اطلاع‌رسانی شود. بسیاری از برنامه‌های کاربردی چه ایرانی و چه خارجی با دریافت یکسری مجوزهای حساس با استفاده از مهندسی اجتماعی و یا عدم آگاهی کافی کاربران اقدام به سرقت اطلاعات کاربران می‌کنند. ولی سؤالی که باید پرسیده شود این است که آیا تابه‌حال مجوزهای درخواستی برنامه کاربردی اندرویدی شما قبل از نصب را مطالعه کرده‌اید؟ تعداد افرادی که این مجوزها را مطالعه می‌کنند انگشت‌شمار هستند و بیشتر افراد برخوردی عادی و بی‌تفاوت به این مجوزها دارند. از عدم آگاهی و نیز بی‌توجهی بیشتر کاربران، توسعه‌دهندگان برنامه‌های کاربردی مجوزهایی را از کاربران می‌خواهند که راه را برای نفوذ به دستگاه‌های اندرویدی باز می‌کند. هدف از این گزارش آگاه‌سازی کاربران در مورد مجوزهایی است که برنامه‌های کاربردی اندرویدی درخواست می‌کنند.

در ابتدا باید عنوان کرد که مجوزهای اندروید درخواست نیستند بلکه یک اعلان یا اطلاع‌رسانی را به کاربران اعلام می‌دارند. هنگامی‌که یک برنامه کاربردی را از Play Store دریافت و نصب می‌کنیم یک پنجره پاپ آپ ظاهر می‌شود که تمام مجوزهای درخواستی برنامه کاربردی موردنظر را به نمایش می‌گذارد که این مجوزها می‌توانند دسترسی به حافظه گوشی موردنظر، تماس‌های تلفنی، ارتباطات شبکه و غیره را داشته باشند.

 

شاید رد کردن یا تفویض مجوزهای درخواستی برنامه کاربردی در حال نصب ساده‌ترین کاری باشد که یک کاربر می‌تواند انجام دهد اما نکته مهم این است که تا چه اندازه می‌توان تفاوت بین حفاظت و تأمین امنیت داده کاربر و نیز در اختیار قرار دادن تمام دارایی‌های شخص در دست توسعه‌دهنده برنامه کاربردی را درک نمود.

بیشتر شرکت‌های اینترنتی از متدهای عمومی مشابهی برای آگاه‌سازی کاربران در خصوص داده‌هایی که قرار است مورداستفاده قرار گیرند بهره می‌برند. در سیستم‌عامل اندروید یک ارتباط سه سویه بین کاربر، گوگل (طراح و ارائه‌دهنده سیستم‌عامل اندروید) و توسعه‌دهندگان برنامه کاربردی شخص سوم وجود دارد. گوگل درواقع ارتباط بین کاربر و توسعه‌دهندگان شخص سوم را با استفاده از مجموعه‌ای از مجوزها برای هر برنامه کاربردی دانلود شده توسط کاربر، مدیریت می‌کند. مجوزها درواقع نیازمندی‌های توسعه‌دهندگان را برای چگونگی تعامل برنامه کاربردی تولیدشده با دستگاه کاربر مشخص کرده و دسترسی به نوع اطلاعات درخواستی برنامه کاربردی را نیز تعیین خواهد کرد.

در اکوسیستم اندروید بیشترین فشار بر روی توسعه‌دهندگان است تا مجوزهایی که به کاربر نشان داده می‌شوند، نحوه کار برنامه کاربردی را به‌درستی انتخاب و به نمایش بگذارند. پس‌ازاینکه توسعه‌دهنده برنامه کاربردی یک برنامه را ایجاد کرد، مجوزهای صحیح را به‌درستی انتخاب نمود و لیستی از کاربران هدفی که درنهایت با این مجوزها موافقت نموده‌اند را تهیه کرد، گوگل برنامه کاربردی تولیدی را به‌منظور شناسایی بدافزار و تشخیص کدهای مخرب مورد ارزیابی قرار خواهد داد. محدوده مجوزها برای تعامل برنامه کاربردی از اجازه دسترسی به بخش ویژه‌ای از سخت‌افزار دستگاه (به‌عنوان‌مثال فلش دوربین عکاسی) آغاز می‌شود و تا دسترسی به لیست مخاطبان کاربر ادامه می‌یابد. کاربر نیز باید با تمام مجوزهای لیست شده قبل از نصب برنامه کاربردی موافقت نماید.

اصول مجوزهای برنامه‌های کاربردی گوگل

مستندسازی مجوزها آن‌هم با وجود تنوع زیاد مجوزها و نیازمندی‌های متفاوت برنامه‌های کاربردی از کاربران بسیار سخت است. در این بخش گزارشی از بررسی‌ مجوزهای برنامه‌های موجود در فروشگاه Google Play با تمرکز ویژه روی مجوزهایی که به‌صورت بالقوه به برنامه کاربردی این اجازه را می‌دهند تا اطلاعات شخصی کاربر را جمع‌آوری و یا به اشتراک بگذارند ارائه شده است.

درمجموع با بررسی 1041336 برنامه کاربردی در این آزمایش باید عنوان کرد که تنها 235 مجوز انحصاری و خاص وجود داشته است. بیشتر برنامه‌های کاربردی مجوزهای زیادی را طلب می‌کنند و بیشترین تعداد مجوزهای درخواستی از برنامه‌های کاربردی این آزمون تعداد 127 مجوز بوده است که برای یک برنامه کاربردی مقدار بسیار زیادی است. برنامه‌های کاربردی دیگری هم هستند که تعداد انگشت‌شماری مجوز درخواست می‌کنند که میانگین مجوزهای درخواستی از یک برنامه کاربردی تنها 5 مجوز بوده است. در این گزارش تحلیلی باید اشاره کرد که 100000 برنامه نیز مجوزی را درخواست نکرده‌اند.

بیشترین مجوزهای برنامه‌های کاربردی در فروشگاه Google Play

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد برنامه‌های کاربردی

% از برنامه‌های کاربردی

مجوز سخت‌افزاری یا اطلاعات کاربر

دسترسی کامل به شبکه

(Full network access)

... یک درگاه شبکه ایجاد کرده و از پروتکل‌های معمول شبکه استفاده می‌کند. مرورگر و دیگر برنامه‌های کاربردی داده را از طریق اینترنت ارسال می‌کنند که این بدان معنا است که مجوز نیازی به ارسال داده از طریق اینترنت را نباید داشته باشد.

855873

83%

سخت‌افزار

مشاهده ارتباطات شبکه

(View network connections)

... مشاهده اطلاعات درباره ارتباطات شبکه، به‌عنوان‌مثال تشخیص اینکه کدام شبکه وجود دارد و متصل است.

714607

69%

سخت‌افزار

آزمون دسترسی به حافظه حفاظت‌شده

(Test access to protected storage)

... آزمون مجوز مربوط به حافظه USB که بر روی دستگاه‌های آینده قابل‌دسترس خواهند بود. به برنامه کاربردی اجازه می‌دهد تا مجوز را برای SD card آزمایش نماید.

562442

54%

سخت‌افزار

تنظیم یا حذف محتوای موجود بر روی حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن بر روی حافظه USB. به برنامه کاربردی اجازه نوشتن بر روی SD card را می‌دهد.

559941

54%

اطلاعات کاربر

خواندن وضعیت تلفن و هویت

(Read phone status and identity)

... دسترسی به ویژگی‌های تلفن. این مجوز به برنامه کاربردی اجازه می‌دهد تا شماره‌های تلفن و ID را به هنگام برقراری تماس تشخیص دهد.

361616

35%

اطلاعات کاربر

جلوگیری از به خواب رفتن گوشی

(Prevent device from sleeping)

... ممانعت از به خواب رفتن گوشی. به برنامه کاربردی اجازه می‌دهد تا مانع به خواب رفتن گوشی شود.

279775

27%

سخت‌افزار

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location(GPS and network-based)

... دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز دارند و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

اطلاعات کاربر

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌های Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

اطلاعات کاربر

کنترل لرزاننده

(Control vibration)

... کنترل‌کننده لرزاننده

220594

21%

سخت‌افزار

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based)

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

اطلاعات کاربر

 

از مجموع 235 مجوز که در این گزارش تحلیلی شناسایی شده‌اند تنها 10 مجوز توسط 20% برنامه‌های کاربردی موجود در Google Play مورداستفاده قرارگرفته است و تعداد زیادی از مجوزها تنها توسط بخش اندکی از برنامه‌های کاربردی درخواست شده‌اند. اگر بخواهیم به‌صورت آماری نگاه کنیم تعداد 1000 برنامه از مجموع 1041336 که 0.09% از تعداد کل برنامه‌های کاربردی مورد تحلیل را شامل می‌شوند، مقدار 147 مجوز از مجموع 235 مجوز را درخواست کرده‌اند که با توجه به کل برنامه‌های مورد ارزیابی، مقدار زیادی از مجوزها را پوشش می‌دهند. البته باید این نکته را نیز اضافه نمود که مجموع مجوزهای درخواستی از یک برنامه کاربردی به‌صراحت نمی‌تواند مشخص کند برنامه مورد نظر توانایی دسترسی به چه مقدار از اطلاعات کاربر را خواهد داشت. تناقضی که وجود دارد این است که یک برنامه کاربردی تنها با یک مجوز توانایی دسترسی به‌تمامی اطلاعات کاربر را می‌تواند داشته باشد درحالی‌که یک برنامه کاربردی با تعداد مجوزهای درخواستی فراوان تنها قابلیت تعامل با اجزای سخت‌افزاری دستگاه موردنظر را خواهد داشت! تحلیل ذکرشده به بررسی عمیق‌تر بر روی برنامه کاربردی به‌ویژه نوع مجوزهای درخواستی آن‌ها در فروشگاه Google Play می‌پردازد.

به‌طور ویژه مجوزهایی که نسبت به سایر مجوزها شایع‌تر هستند به دو دسته تقسیم می‌شوند:

  • مجوزهایی که به برنامه کاربردی این اجازه را می‌دهند تا به اطلاعات کاربر دسترسی داشته باشند.
  • مجوزهایی که به برنامه کاربردی اجازه می‌دهند تا به‌صورت مستقیم با دستگاه تعامل داشته باشند.

توجه

تعریف "اطلاعات کاربر" یک تعریف عام از اطلاعات کاربر است. مجوزهایی که جهت دریافت "اطلاعات کاربر" صادر می‌شوند، فرض شده‌اند که هر نوع اطلاعات مربوط به کاربر را پوشش خواهند داد. به همین ترتیب مجوزهای صادرشده مبتنی بر دسترسی به سخت‌افزار دستگاه نیز الزاماً بخش مشخصی از سخت‌افزار نخواهد بود.

مجوزهایی که سخت‌افزار دستگاه را تحت کنترل قرار می‌دهند

از 235 مجوز انحصاری جمع‌آوری‌شده در این تحلیل، 165 نوع از آن‌ها به برنامه کاربردی اجازه می‌دهند تا با اجزای سخت‌افزاری یک دستگاه تعامل داشته باشند و به برنامه اجازه دسترسی دیگری ازجمله اطلاعات کاربر را نخواهد داد.

به‌عنوان‌مثال دو نمونه از عمومی‌ترین مجوزها به برنامه کاربردی اجازه اتصال به اینترنت را می‌دهند. مجوز "دسترسی کامل به شبکه" (که توسط 83% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا با هر شبکه‌ای که دستگاه به آن متصل است ارتباط برقرار نماید. درحالی‌که مجوز "مشاهده ارتباطات شبکه" (که توسط 69% برنامه‌های کاربردی مورداستفاده قرار می‌گیرند.) به برنامه کاربردی این اجازه را می‌دهد تا هر شبکه‌ای که دستگاه به آن دسترسی دارد را ببیند. هر برنامه کاربردی که درخواست دسترسی به اینترنت را داشته باشد، به‌منظور افزایش قابلیت‌های خود ممکن است به هردو مجوز "اطلاعات کاربر" و "مجوز سخت‌افزار" نیاز داشته باشد. درحالی‌که این دو مجوز به‌شدت فراگیر هستند اما اجازه دسترسی مستقیم به اطلاعات کاربر را به برنامه کاربردی نمی‌دهند.

نمونه‌هایی از کارکردهای این دست از مجوزها:

کنترل چراغ‌قوه – این مجوز به برنامه کاربردی این اجازه را می‌دهد تا با چراغ(فلش) موجود در گوشی هوشمند و یا رایانک مالشی تعامل داشته باشد. عموماً این چراغ مربوط به دوربین عکاسی است اما یک برنامه کاربردی توانایی استفاده از چراغ دوربین با قابلیت روشن و یا خاموش نگاه‌داشتن ممتد برای ایجاد یک "چراغ‌قوه" را خواهد داشت.

تنظیمات تصاویر زمینه – این مجوز به یک برنامه کاربردی این اجازه را خواهد داد تا یک تصویر را در پس‌زمینه صفحه‌نمایش خانگی یک دستگاه تنظیم نماید (معمولاً در دستگاه‌های مبتنی بر سیستم‌عامل اندروید آن را "تصویر زمینه" نیز می‌نامند).

کنترل لرزاننده – این مجوز به یک برنامه کاربردی اجازه کنترل لرزاننده که در بیشتر گوشی‌های هوشمند وجود دارند را خواهد داد.

این نوع از مجوزها خیلی هم ساده و سطحی نیستند. اگر از این نوع از مجوزها به‌درستی استفاده نشوند (و یا به‌صورت مخرب استفاده شوند) یک برنامه کاربردی با یکی از این مجوزها می‌تواند به‌صورت بالقوه برای دستگاه کاربر خرابی و تهدید ایجاد نماید؛ اما این نوع از مجوزها به‌خودی‌خود به یک برنامه کاربردی اجازه دسترسی به اطلاعات کاربر را نمی‌دهند و باید کاربر مهر تائید را به آن برنامه کاربردی داده باشد.

مجوزهایی که دسترسی به اطلاعات کاربر را می‌دهند

دومین دسته‌بندی از مجوزها به برنامه کاربردی این اجازه را خواهند داد تا به انواع اطلاعات کاربر دسترسی داشته باشد. این دسته از مجوزها عموماً نسبت به دسته قبلی کمتر تفویض می‌شوند. درواقع از مجموع 235 مجوز مشخص‌شده در این آزمون، 70 مجوز به‌صورت بالقوه دسترسی به اطلاعات کاربر را ممکن خواهند ساخت.

نمونه‌هایی از این نوع مجوزها می‌تواند مجوزهایی باشند که به برنامه کاربردی اجازه می‌دهند تا تصاویر موجود در کتابخانه تصاویر کاربر را تغییر و یا حذف نماید. نمونه دیگر از این نوع مجوزها می‌تواند خواندن لیست مخاطبان کاربر نیز باشد.

بیشترین مجوزهای برنامه‌های کاربردی که توانایی دسترسی به اطلاعات کاربر را دارند

مجوز

کاری که مجوز انجام می‌دهد "به برنامه کاربردی اجازه می‌دهد تا ..."

تعداد از برنامه‌های کاربردی

% از برنامه‌های کاربردی

تغییر یا حذف محتوا از حافظه USB

(Modify or delete the contents of your USB storage)

... نوشتن روی حافظه USB. به برنامه کاربردی اجازه نوشتن روی SD card را می‌دهد.

559941

54%

خواندن وضعیت و هویت تلفن

(Read phone status and identity)

... دسترسی به قابلیت‌های تلفن دستگاه. این مجوز به برنامه کاربردی اجازه تشخیص شماره تلفن و ID دستگاه را به هنگام برقراری تماس خواهد داد.

361616

35%

موقعیت مکانی دقیق(مبتنی بر GPS و شبکه)

(Precise location (GPS and network-based))

دریافت موقعیت مکانی دقیق با استفاده از سیستم موقعیت‌یاب جهانی (GPS) یا موقعیت مکانی دکل‌های مخابراتی و Wi-Fi. این سرویس‌های موقعیت مکانی باید برای دستگاه موردنظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص موقعیت مکانی شما را با استفاده از این مجوز خواهند یافت و به سبب آن مصرف انرژی بیشتری را برای دستگاه به همراه خواهند داشت.

246750

24%

مشاهده ارتباطات بی‌سیم Wi-Fi

(View Wi-Fi connections)

... مشاهده اطلاعاتی درباره شبکه‌ها Wi-Fi، ازجمله تشخیص فعال بودن Wi-Fi و اسامی دستگاه‌های Wi-Fi متصل شده.

235093

23%

موقعیت تقریبی(مبتنی بر شبکه)

(Approximate location (network-based))

... دریافت موقعیت مکانی تقریبی. این موقعیت مکانی از طریق سرویس‌های موقعیت مکانی به‌ویژه دکل‌های سلولی و Wi-Fi به‌دست می‌آیند. این سرویس‌های موقعیت مکانی باید برای دستگاه مورد نظر فعال و قابل‌دسترس باشند تا برنامه کاربردی قابلیت استفاده از آن را داشته باشد. برنامه‌های کاربردی توانایی تشخیص تقریبی موقعیت مکانی شما را با استفاده از این مجوز خواهند داشت.

216770

21%

پیدا کردن حساب‌های کاربری روی دستگاه

(Find accounts on the device)

... دریافت لیست حساب‌های کاربری شناخته‌شده برای دستگاه که می‌تواند شامل هر حساب کاربری ایجادشده توسط برنامه کاربردی نصب‌شده روی دستگاه را پوشش دهد. به برنامه کاربردی اجازه می‌دهد تا لیست حساب‌های کاربری شناخته‌شده در دستگاه را دریافت نماید.

162925

16%

گرفتن عکس و فیلم

(Take pictures and videos)

... گرفتن عکس و فیلم از طریق دوربین دستگاه. این مجوز به برنامه کاربردی اجازه خواهد داد تا با استفاده از دوربین تعبیه‌شده در دستگاه بدون گرفتن تائید از کاربر اقدام به گرفتن عکس و فیلم نماید.

124733

12%

برقراری تماس مستقیم با شماره‌های تلفن موجود در دستگاه

(Directly call phone numbers)

... برقراری تماس با شماره‌های تلفن دستگاه، ازجمله شماره‌های ضروری، بدون مداخله کاربر. برنامه‌های کاربردی مخرب می‌توانند تماس‌های غیرضروری و غیرقانونی را با سرویس‌های اورژانس برقرار نمایند.

84290

8%

خواندن لیست مخاطبان

(Read your contacts)

... خواندن داده‌های مربوط به لیست مخاطبان ذخیره‌شده در رایانک مالشی شما که می‌تواند شامل مخاطبانی که دفعات زیادی اقدام به برقراری تماس، ارسال ایمیل کرده‌اید. این مجوز به برنامه‌های کاربردی اجازه خواهند داد تا داده‌های لیست مخاطبان شما را ذخیره کنند، یک برنامه مخرب می‌تواند بدون آگاهی شما لیست مخاطبان را به اشتراک بگذارد.

64377

6%

خواندن لاگ‌های تماس

(Read call log)

... خواندن لاگ تماس که می‌تواند درباره داده‌های تماس ورودی و خروجی باشد. این مجوز به برنامه‌های کاربردی اجازه خواهند داد تا داده‌های لاگ تماس را ذخیره کنند و برنامه‌های کاربردی مخرب می‌توانند این داده‌ها را به اشتراک بگذارند.

42797

4%

 

اگر بخواهیم به‌صورت موردی بررسی کنیم، مجوزی مثل مشاهده ارتباطات بی‌سیم ممکن است اطلاعات بسیار کمی را برای برنامه کاربردی افشا نماید اما یک برنامه کاربردی می‌تواند شبکه‌های بی‌سیم در دسترس را مشاهده نموده و اطلاعات‌پایه در مورد آن‌ها را جمع‌آوری نماید. در مورد نوع اطلاعات جمع‌آوری‌شده و منظور و هدف جمع‌آوری این دست از اطلاعات باید مشخص نمود که برنامه موردنظر به چه منظوری و با چه نیتی این اطلاعات را جمع‌آوری نموده است تا مشخص شود چه نوع اطلاعاتی ازنظر کاربر حساس و ضروری هستند؛ بنابراین هرگونه اطلاعات از کاربر می‌تواند به‌صورت بالقوه حساس باشد و مورد تحلیل قرار گیرد.

5 مجوزی که باید نسبت به آن‌ها محتاط‌تر باشید

تعداد اندکی از مجوزها هستند که باید در خصوص آن‌ها احتیاط لازم را مبذول نمایید. البته نه به خاطر اینکه این نوع از مجوزها خطرناک هستند، بلکه به این دلیل که تفویض این نوع مجوزها ممکن است پیامدهای وسیعی را برای کاربر به همراه خواهد داشت، البته این پیامد زمانی حاصل خواهد شد که داده‌های کاربر در دست شخص نادرستی قرار گیرند.

  1. موقعیت مکانی

دو نمونه از مجوزهای موقعیت مکانی وجود دارند که برنامه‌های کاربردی اندرویدی به آن نیازمند هستند.

  • موقعیت مکانی تقریبی (مبتنی بر شبکه)
  • موقعیت مکانی دقیق (مبتنی بر GPS و شبکه)

سؤالی که وجود دارد این است که برنامه کاربردی برای چه منظوری نیازمند موقعیت مکانی دقیق شما است؟ به‌عنوان‌مثال برنامه کاربردی موقعیت‌یاب Waze برای اجرا نیازمند چنین اطلاعاتی خواهد بود. مهم‌تر این‌که برخی از برنامه‌های کاربردی هدفشان ارسال آگهی‌های بازرگانی بر اساس موقعیت مکانی کاربران است که این دست از برنامه‌ها نیز خواهان دسترسی به اطلاعات مکانی کاربر خواهند بود. البته این دست از برنامه‌های کاربردی عموماً رایگان هستند که در زمان اجرا آگهی‌های بازرگانی را نیز بر اساس موقعیت مکانی کاربر به نمایش می‌گذارند.

  1. وضعیت گوشی و هویت آن

این نوع مجوز مشکل‌ساز خواهد بود زیرا تمامی اطلاعات مربوط به نیازمندی‌های یک تماس ورودی به گوشی همراه ازجمله شماره IMEI دستگاه موردنظر را به برنامه کاربردی خواهد داد.

 

این نوع مجوز ممکن است به‌صورت بالقوه برای مقاصد خرابکارانه مورداستفاده قرار بگیرد بنابراین به هنگام درخواست برنامه کاربردی برای دریافت این مجوز محتاط‌تر عمل کنید. اگر برنامه‌ای بدون دلیل منطقی درخواست چنین مجوزی را نمود به بررسی مجوز با توجه به کارایی آن برنامه اقدام نمایید.

  1. خواندن و تنظیم لیست مخاطبان شما

این نوع از مجوزهایی که برنامه کاربردی نیازمند دسترسی به خواندن و تنظیم مخاطبان کاربر هستند می‌تواند مشکل‌ساز شود، درواقع مجوز تنظیم مخاطبان زمانی خطرناک خواهد بود که برنامه کاربردی مجوز خواندن تمامی اطلاعات موجود روی گوشی شما را دریافت نماید.

برنامه‌های کاربردی مدیریت SMS، برنامه‌های کاربردی مدیریت مخاطبان، برنامه کاربردی که جایگزین شماره‌گیر گوشی می‌شوند و حتی برخی از برنامه‌های کاربردی اجتماعی نیز نیازمند چنین مجوزهایی خواهند بود ولی نکته‌ای که وجود دارد این است که برنامه‌های کاربردی که جنبه‌های اجتماعی ندارند لزومی به تفویض چنین مجوزهایی را نخواهند داشت.

  1. مجوزهای مربوط به SMS و MMS

این نوع از مجوزها می‌توانند به‌صورت بالقوه هزینه‌هایی را برای کاربر ایجاد نمایند، اگر برنامه کاربردی مخربی ازاین‌گونه مجوزها استفاده کند هزینه‌هایی را به‌وسیله SMS های قانونی و یا اعمال یکسری هزینه‌های اضافی به ازای هر SMS و MMS ارسالی برای کاربر ایجاد خواهد کرد.

مجوزهای خواندن پیام‌های متنی و دریافت پیام‌های متنی توانایی نفوذ به حریم خصوصی شما را خواهند داشت اگر دلیل خاصی برای تفویض این نوع از مجوزها به برنامه کاربردی خود ندیدید از دادن این مجوزها جدا خودداری کنید.

  1. مجوزهای مربوط به حساب‌های کاربری

پیدا کردن حساب‌های کاربری بر روی دستگاه به برنامه کاربردی این امکان را می‌دهد تا از طریق مدیریت حساب‌های کاربری که سیستم‌عامل اندروید در خود جای‌داده است به بررسی حساب‌های کاربری ازجمله سرویس‌های google، Facebook و غیره نماید.

استفاده از حساب‌های کاربری روی دستگاه اندرویدی به برنامه کاربردی اجازه می‌دهد تا برای استفاده از حساب کاربری درخواست مجوز نماید. هنگامی‌که مجوز موردنیاز داده شد برنامه کاربردی موردنظر دیگر درخواست مجدد مجوز نخواهد کرد. نگرانی زمانی وجود خواهد داشت که برنامه کاربردی مخرب بدون هیچ‌گونه نشان و رد پایی به کار خود ادامه می‌دهد و به‌صورت مخفیانه از حساب کاربری شما استفاده خواهد کرد.

راهکارهای ایمنی

  • بهترین راه برای ایمن ماندن رد درخواست برنامه کاربردی متقاضی مجوز مشکل ساز نیست، در عوض باید به نوع کارکرد برنامه کاربردی نگاه کرد و علت درخواست مجوز با توجه به کاری که آن برنامه انجام می‌دهد را بررسی نمود تا در صورت صحیح بودن علت درخواست مجوز موردنیاز به آن داده شود.
  • شما می‌توانید با ارسال یک ایمیل به توسعه‌دهنده برنامه کاربردی موردنظر درباره مجوزهای درخواستی سؤال کنید. اگر پاسخ توسعه‌دهنده راضی‌کننده نبود یا پاسخی را در کل از توسعه‌دهنده دریافت نکردید باید به برنامه کاربردی مجوز موردنیاز را ندهید.
  • اگر در مورد امنیت برنامه موردنظر اطمینان لازم را ندارید، شما باید از نقطه نظرات کاربران در خصوص استفاده از برنامه کاربردی استفاده کنید. (با بررسی فروم‌ها و فروشگاه‌های برنامه‌های کاربردی به نظرات کاربران توجه ویژه داشته باشید.)

مدیریت مجوزهای برنامه کاربردی

اگر شما به برنامه کاربردی اجازه دسترسی به حساب‌های کاربری خود را داده‌اید بهتر است مجوزهای حساب‌های کاربری خود را مدیریت کنید که این کار با رفتن به تنظیمات حساب کاربری و مشخص کردن مجوزها برای برنامه کاربردی موردنظر قابل‌حل خواهد بود.

شما همچنین می‌توانید با رفتن به Settings>Apps، مجوزهای اصلی برنامه‌های کاربردی را بررسی کنید. کافی است برنامه کاربردی موردنظر را انتخاب کنید و مجوزهای آن را مشاهده نمایید.

برنامه‌های کاربردی مدیریت مجوزها

شما همچنین می‌توانید از برنامه‌های کاربردی، همچون Permission Explorer برای مدیریت مجوزها استفاده کنید. این نوع از برنامه‌ها به شما این امکان را می‌دهند تا با اعمال یکسری فیلترها بر اساس دسته‌بندی، برنامه کاربردی و مجوزها شما را در مدیریت بهتر مجوزهای تفویض شده به برنامه کاربردی با جزئیات بیشتر آگاه سازد. از دیگر برنامه‌های مشابه می‌توان به Permissions Observatory و App Permissions اشاره نمود.

 

اندکی زمان را برای بررسی مجوزهای درخواستی برنامه کاربردی نصب‌شده بر روی دستگاه اندرویدی خود صرف نمایید، این کار باعث می‌شود تا برنامه‌هایی را که از مجوزهای مشکل‌ساز استفاده می‌کنند، شناسایی کرده و در مورد حذف و یا صحت کارکرد آن‌ها اقدامات لازم را انجام دهید.

لغو مجوزهای برنامه کاربردی

هنگامی‌که شما برنامه کاربردی متخلف را شناسایی کردید اکنون زمان اتخاذ تصمیم مناسب است. به‌صورت پیش‌فرض روشی برای مدیریت مجوزهای برنامه کاربردی در نسخه‌های اندروید لحاظ نشده است و از نسخه 4.4.2 اندروید، گوگل ویژگی AppOps را در سیستم‌عامل خود قرار داده است.

اگر شما همچنان از نسخه غیر روت شده 4.4.2 و یا نسخه 4.3 اندروید استفاده می‌کنید شما توانایی حذف کامل برنامه‌های کاربردی که مجوزهای غیرمتعارف را دریافت کرده‌اند را خواهید داشت. البته اگر سیستم شما روت شده هم باشد باید گفت که گزینه‌های بیشتری برای شما وجود خواهد داشت تا با این دست مشکلات برخورد کنید.

برنامه‌های کاربردی مدیریت مجوزها (دستگاه‌های روت شده)

شما می‌توانید برنامه Xposed Framework یا برنامه XPrivacy را روی دستگاه خود نصب کنید. XPrivacy یکی از بهترین برنامه‌های کاربردی مدیریت مجوزهای برنامه کاربردی است که به‌راحتی قابل‌دسترسی بوده و به شما این اجازه را می‌دهد تا تمام مجوزهایی را که یک برنامه کاربردی ممکن است نیاز داشته باشد را لغو و یا ببندد. شما می‌توانید با استفاده از XPrivacy Installer هر دو برنامه Xposed Framework و XPrivacy به‌راحتی نصب کنید.

نتیجه‌گیری

درمجموع باوجود تعبیه شدن تنظیمات حریم خصوصی و امنیتی پیش‌فرض در دستگاه‌های مبتنی بر سیستم‌عامل اندروید، اندکی ضعف در این نوع تنظیمات دیده می‌شود. توسعه‌دهندگان برای افزایش قابلیت‌های کلیدی برنامه‌های کاربردی خود نیاز به دریافت تائید مجوز برای دسترسی به اطلاعات کاربر را دارند و متأسفانه به‌طور کامل نمی‌توان به توسعه‌دهندگان اطمینان داشت. راهکاری که می‌تواند کارساز باشد این است که کاربر مجوزهای موردنیاز برنامه‌های خود را به هنگام نصب بررسی کرده و به آن‌ها توجه ویژه‌ای داشته باشد به‌خصوص آن دسته از کاربرانی که برنامه‌های کاربردی خود را از فروشگاه‌های غیر معتبر دریافت می‌کنند.

 

]]>
2016/9/25
<![CDATA[جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور (شهریور ماه 1395)]]>

جدول آخرین بروزرسانی ها و آسیب پذیری ها ی نرم افزارهای پرکاربرد کشور (شهریور ماه 1395)

]]>
 

 

دریافت فایل

]]>
2016/9/22
<![CDATA[امکان حمله درب پشتی در بازی Pokemon GO]]>

امکان حمله درب پشتی در بازی Pokemon GO

]]>
بازی «پوکِمون گو» یک بازی ویدئویی در سبک واقعیت افزوده است که توسط شرکت Niantic با همکاری Nintendo در سال 2016 برای پلتفرم‌های اندروید و iOS منتشر شده است. ایده اصلی این بازی از کودکی کارگردان این سری بازی‌ها که علاقه خاصی به جمع کردن حشرات داشته گرفته شد. در این بازی هیولاهایی به اسم پوکِمون نقش اصلی را ایفا می‌کنند. این بازی با استقبال فراوانی از جانب کاربران گوشی‌های هوشمند همراه مواجه شده و توانسته رکورد سریع‌ترین آمار دانلود را در Google Play کسب کند و به رقیبی جدی برای بازی Clash of Clans که برای مدت‌ها در صدر بود تبدیل شود.

از آن جایی که نسخه اندرویدی «پوکِمون گو» برای تمامی نقاط جهان منتشر نشده است بسیاری از کاربران علاقه‌مند قبل از این که بازی در منطقه جغرافیایی آنها منتشر شود اقدام به دانلود و نصب فایل APK آن از فروشگاه‌های برنامه کاربردی شخص سوم نموده‌اند. متأسفانه این کار راه را برای آلوده شدن دستگاه کاربر به برنامه کاربردی مخرب باز می‌کند. در واقع دانلود APK از فروشگاه‌های برنامه کاربردی شخص سوم منجر به آلوده شدن دستگاه کاربر و سو استفاده‌های احتمالی خواهد شد. یکی از راه‌کارهای تشخیص آلوده بودن برنامه کاربردی دانلود شده چک کردن هش SHA256 برنامه مورد نظر است. برای مورد خاص که بازی «پوکِمون گو» است هش

 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67

مورد تائید است. البته ممکن است نسخه‌های بروز شده‌ای از این بازی منتشر شده باشند. بازی آلوده «پوکِمون گو» با هش

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

آلوده ارزیابی ‌شده است.

روش دیگر برای آزمون آلوده بودن دستگاه هوشمند چک کردن مجوزهایی است که برنامه کاربردی به هنگام نصب از شما درخواست می‌کند. برای این کار کافی است به Settings -> Apps -> Pokemon GO رفته و با اسکرول کردن به سمت پایین به بخش PERMISSIONS وارد شوید.

 

 

شکل بالا لیست مجوزهای داده شده به بازی آلوده نشده را نشان می‌دهد. این مجوزها متناسب با قابلیت‌های گوشی هوشمند متفاوت خواهد بود.

در تصاویر زیر مجوزهای مشخص شده توسط DroidJack به بازی Pokemon GO اضافه شده است.

 

با تفویض این مجوزها به برنامه Pokemon GO دستگاه کاربر آلوده خواهد شد، هرچند ممکن است در آینده این مجوزها تغییر کنند.

نکته قابل توجه در مورد بازی آلوده Pokemon GO این است که به هنگام اجرا، کاربر قربانی هیچ‌گونه نشانه‌ای از مخرب بودن برنامه نصب شده را دریافت نمی‌کند. در واقع بازی آلوده‌شده به‌گونه‌ای هوشمندانه تغییر یافته و همان‌طور که در شکل زیر مشاهده می‌شود صفحه ‌نمایش آغاز بازی Pokemon GO آلوده‌شده مانند نمونه رسمی عمل می‌کند.

 

پس از بررسی‌های صورت گرفته برروی بازی آلوده‌شده، مشخص شد سه کلاس از جانب مهاجمین به بازی رسمی اضافه شده است. همان‌طور که در شکل زیر مشاهده می‌شود این سه کلاس مشخص شده‌اند.

 

همان‌طور که در شکل زیر مشاهده می‌شود، DroidJack RAT به‌گونه‌ای بسته net.droidjack.server را پیکربندی نموده است تا از طریق پورت 1337 و دامنه "pokemon.no-ip.org" با سرورهای C&C ارتباط برقرار کند.

نتیجه‌گیری

نصب برنامه‌های کاربردی از بازارهای شخص سوم به‌جای بازارهای رسمی هرگز توصیه نمی‌شود. فروشگاه‌های رسمی برنامه‌های کاربردی با استفاده از الگوریتم‌ها و فرایندهای امنیتی، اقدام به بررسی امنیت موجود در برنامه‌های کاربردی موبایل می‌نمایند. درحالی‌که سایر فروشگاه‌های غیررسمی با انتشار برنامه‌های آلوده و آزمون نشده اقدام به نشر بدافزار می‌کنند. به این ترتیب مهاجمین با توجه به باز بودن راه برای انتشار برنامه‌های خود در بازارهای شخص سوم با سو استفاده از برنامه‌های پرطرفداری چون Pokemon GO کاربران را فریب داده و بدافزار را روی دستگاه قربانی نصب می‌نماید تا از این طریق به اهداف خود برسند؛ بنابراین بهترین شیوه برای جلوگیری از نصب این دست از برنامه‌ها، دریافت برنامه کاربردی از بازارهای قانونی و رسمی است.

همچنین به هنگام نصب برنامه‌های کاربردی روی دستگاه خود مجوزهای درخواستی را بررسی نمایید به‌خصوص تطبیق مجوز با نوع کارکرد برنامه کاربردی را مد نظر قرار دهید.

]]>
2016/9/17
<![CDATA[نقص امنیتی در پیاده‌سازی پروتکل TCP در سیستم‌های لینوکس و امکان سرقت ترافیک اینترنتی کاربران]]>

نقص امنیتی در پیاده‌سازی پروتکل TCP در سیستم‌های لینوکس و امکان سرقت ترافیک اینترنتی کاربران

]]>
یک آسیبپذیری جدی و مهم در پیادهسازی TCP در سیستمهای لینوکس کشف شده که در واقع از سال 2012 گسترش یافته است (از نسخه کرنل لینوکس 3.6 به بعد). این آسیبپذیری میتواند توسط مهاجمان برای شناسایی میزبانهایی به‌کار گرفته شود که روی این پروتکل ارتباط برقرار میکنند. در نهایت این حمله میتواند منجر به بهرهبرداری از ترافیک میزبان گردد.

 

این اشکال که در پروتکل TCP/IP مشاهده میشود، به نفوذگران این امکان را میدهد تا ارتباطات میان دو مدخل را شناسایی کرده و اقدام به شنود ترافیک نمایند. این مشکل از آن جهت نگران‌کننده است که سیستم‌عامل لینوکس به‌صورت گسترده‌ در سرویسدهندههای وب، موبایل‌های با سیستم‌عامل آندروید، تبلتها و تلویزیون‌ها مورد استفاده قرار میگیرد.

 

پژوهشگران دانشگاه ریورساید ایالت کالیفرنیا و آزمایشگاه تحقیقاتی ارتش آمریکا در مقالهای تحت عنوان “Off-Path TCP Exploits: Global Rate Limit Considered Dangerous” به شرح این آسیبپذیری پرداخته‌اند و در همایش امنیتی USENIX نشان دادند که چگونه میتوان به دو میزبان که از طریق پروتکل TCP با یکدیگر در ارتباط میباشند، حمله نمود و در آخر توصیههایی را برای چگونگی کاهش اثرات آن ارائه دادهاند.

 

Zhiyun Qian استادیار علوم کامیپیوتر در دانشگاه کالیفرنیا و یکی از نویسندگان مقاله مذکور در این خصوص میگوید: "وصلههایی برای این آسیبپذیری در کرنل لینوکس جاری توسعه یافته‌اند. Qian و محققان همکار وی از جمله Yue Cao Zhongjie Wang ، Tuan Dao ، Srikanth V.Krishnamurthy و Lisa M.Marvel وصلهای را برای سرویسگیرندگان و میزبانهای سرویسدهنده توسعه داده‌اند که چالش محدودیت نرخ ACK را برای مقادیر بزرگ ایجاد مینماید که باعث میشود بهرهبرداری از آن دشوارتر گردد".

 

برای بهرهبرداری از آسیبپذیری، مهاجمان نیازی به بودن در مسیر ترافیک (یعنی اجرای حملات فردی در میان) ندارند و Qian میگوید هیچگونه تعامل کاربری از سوی قربانی مورد نیاز نمیباشد.

 

Qian در یک بیانیهای که توسط دانشگاه منتشر گردیده، گفته است: "جنبهی منحصربه فرد این حمله در قابلیت بسیار پایین لازم برای انجام آن است. اصولاً این حمله به راحتی توسط هر فردی در هر جایی از دنیا که ماشینی در یک شبکه داشته باشد و قابلیت Spoofing IP را دارا باشد، قابل انجام است. فقط بخشی از اطلاعات مورد نیاز، جفت آدرسهای IP (برای سرویسگیرنده و سرویسدهنده) میباشد که آن‌ها نیز به آسانی به‌دست خواهند آمد".

 

آسیبپذیری پیادهسازیTCP  (CVE-2016-5696) میتواند تعداد زیادی از تجهیزاتی که از سیستم‌عامل لینوکس استفاده می‌کنند (از قبیل کامپیوترهای شخصی، گوشیهای موبایل و موارد دیگر) را تحت تأثیر قرار دهد.

 

محققان اعلام نمودهاند که این حمله میتواند در کمتر از یک دقیقه انجام پذیرد و بنا به تجربه آنها افراد متخصص در حوزه امنیت و یا دانشگاهیان در حدود 88 الی 97 درصد موفق بودهاند.

 

محققان در مقاله خود نوشتند: "به‌طور خلاصه، این آسیبپذیری امکانی را برای یک مهاجم خارج از مسیر فراهم میآورد تا پی ببرد که آیا هر دو میزبان مورد نظر در اینترنت با استفاده از یک اتصال TCP ارتباط برقرار نمودهاند یا خیر. علاوهبراین در صورتیکه اتصال وجود داشته باشد، این مهاجم خارج از مسیر می‌تواند Sequence Number مورد استفاده در TCP را برای هر دو طرف ارتباط استنباط نماید. این مورد به نوبه خود به مهاجم اجازه میدهد تا ارتباط را خاتمه داده و حملات تزریق داده را انجام دهد".

 

لازم به ذکر است که معمولاً پروتکل TCP پیام‌ها را به تعدادی بسته با شماره‌های ترتیب خاص تبدیل می‌کند و به سمت گیرنده ارسال می‌نماید. پس از آن در سمت گیرنده بسته‌ها با توجه به شماره‌ها به یکدیگر متصل شده و پیام اصلی بازیابی می‌شود. محققان دریافته‌اند که با استفاده از حملاتside channel می‌توان شماره بسته‌های TCP را در۱۰ ثانیه اول ارتباط فقط با داشتن آدرس IP طرفین ارتباط حدس زد. این کار بدین معنی است که بدون اجرای حمله مردی در میان می‌توان بسته‌های TCP را شنود و یا تزریق کرد. از این جهت حملات احتمالی ناشی از این اشکال از سوی پژوهشگران یک حمله مردی در میان محسوب نمیشود، چرا که نفوذگر در آن تنها باید بخشهای مخربی را به دوسوی ارتباط ارسال نماید و این امر به راحتی با دانستن نشانی آدرس IP آنها و پورت مقصد به آسانی امکانپذیر است.

محققان در ادامه نوشتهاند که این حملات میتوانند ترافیک به ظاهر رمزگذاری شده از جمله ارتباط میان شبکه Tor را نیز مختل نماید و یا حتی از بین ببرد.

 

پژوهش جدید انجام شده فرضیات قبلی را زیر سوال برده است، چرا که فرضیات قبلی در این زمینه اذعان   میکردند که یک مهاجم بدون قرار گرفتن در یک موقعیت فردی در میان (Man-in-the-Middle) بهراحتی نمیتواند مشخص نماید که آیا هر دو انتهای یک نشست از طریق یک اتصال TCP ارتباط برقرار نمودهاند و بنابراین وی نمیتواند ترافیک را سرقت یا دستکاری نماید.

 

“off-path attack” یا حمله خارج از مسیر میتواند تعیین نمایند که آیا میزبانها در حال استفاده از اتصالات TCP هستند و سپس شماره پورتهای این اتصالات را نیز مشخص مینماید. این حمله به شخص خارج از مسیر اجازه میدهد تا شماره ترتیب TCP یا (TCP Sequences number)  را استنباط نماید و سپس اکسپلویتهایی را تزریق کند و یا جریان ترافیک را خاتمه دهد.

 

محققان نوشتند: "ما تأکید مینماییم که این حمله صرفاً توسط مهاجم خارج از مسیر که به اصطلاح به آن off the path گفته میشود، بدون اجرای کد بدخواه بر روی ارتباط سرویسگیرنده یا سرویسدهنده قابل انجام است. این حملات در مقیاس وسیع میتواند آثار جدی برامنیت و محرمانگی اینترنت داشته باشد".

 

محققان اظهار داشتهاند که این مشکل مربوط به پاسخهای چالش آفرین ACK و تحمیل محدودیت نرخ سراسری بر بستههای کنترل TCP است. "در سطح بسیار بالا، این آسیبپذیری به مهاجم اجازه میدهد، رقابتی را بر سر یک منبع مشترک ایجاد نماید؛ یعنی نرخ سراسری شمارنده را در سیستم هدف از طریق ارسال بستههای دستکاری شده محدود مینماید. سپس مهاجم میتواند اثر ایجاد شده بر تغییر شمارنده را که از طریق ردیابی بستهها قابل اندازهگیری است، مشاهده کند".

 

"از طریق آزمایشهای وسیع نشان داده میشود که این حمله بینهایت مؤثر و قابل اطمینان است. در این شرایط تعیین اینکه آیا دو میزبان در حال برقراری ارتباط هستند، تنها 10 ثانیه طول میکشد. اگر اتصالی وجود داشته باشد، متعاقباً فقط چندتا ده ثانیه طول میکشد تا شماره ترتیبهای TCP به‌کار رفته در اتصال تعیین شود".

راه حل

همان‌طورکه گفته شد، برای خنثی سازی این حملات میبایست حد مربوط به نرخ ACK را در سیستم‌های لینوکسی به مقدار بالایی تغییر داد. برای این‌کار کافی است که در فایل Sysctl.conf که در شاخه etc میباشد، مقدار رشته زیر اضافه گردد:

net.ipv4.tcp_challenge_ack_limit = 999999999

 

پس از تغییرات انجام شده، باید قانون جدید ایجاد شده را با دستور زیر فعال نمود:

sysctl -p

 

یا به‌طور کلی از دستور زیر استفاده نمود:

echo 'net.ipv4.tcp_challenge_ack_limit = 999999999' >>/etc/sysctl.conf;sysctl -p

 

]]>
2016/8/30
<![CDATA[برگزاری کارگاه تخصصی ارتقای دانش امنیت برای متولیان فاوای دستگاه های اجرایی آذربایجان غربی]]>

برگزاری کارگاه تخصصی ارتقای دانش امنیت برای متولیان فاوای دستگاه های اجرایی آذربایجان غربی

]]>
 

کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان آذربایجان غربی با شرکت بیش از 180 نفر در روز سه شنبه مورخ 26/05/95، با همکاری مرکز ماهر  سازمان فناوری اطلاعات ایران و اداره کل فناوری اطلاعات استان آذربایجان غربی توسط مرکز اپا دانشگاه فردوسی در قالب عناوین ذیل برگزار گردید:


•    ضرورت ها و روند ها
•    تهدیدات امنیتی ، معماری و طراحی ایمن شبکه ها و زیرساخت سازمانی
•    پیکربندی امن و زیرساخت بارویکرد دفاع در عمق
•    مدیریت رخدادهای امنیت رایانه ای و تشکیل تیم های CERT سازمانی

]]>
2016/8/30
<![CDATA[بررسی سه آسیب پذیری مهم در سیستم مدیریت محتوا Drupal]]>

بررسی سه آسیب پذیری مهم در سیستم مدیریت محتوا Drupal

]]>
1    ماژول Webform Multiple File Upload

::: معرفی
    ::: پروژه: Webform Multiple File Upload (ماژول/ افزونه)
    ::: آسیب‌پذیری: اجرای کد PHP دلخواه (Remote Code Execution)
    ::: شماره گزارش آسیب پذیری: SA-CONTRIB-2016-040

::: توضیحات
    ماژولِ Webform Multiple File Upload به کاربر اجازه می‌دهد تا چندین فایل را در یک فرم تحت وب آپلود کند. این ماژول یک آسیب‌پذیریِ اجرای کد از راه دور(RCE)  دارد؛ آن‌جا که محتوای فرم از حالت serialized  خارج می‌شود و در نتیجه ورودی‌های خاصی که ممکن است ارسال شوند، می‌توانند به اجرای کد PHP با توجه به libraryهای در دسترس روی سایت منجر شوند.
    این آسیب‌پذیری با این واقعیت پیوند خورده است که نفوذگر می‌بایستی امکان این را داشته باشد تا فرمی که حاویِ ورودیِ Multiple File Upload است را ارسال کند. همین‌طور، سایت باید یک Object با روشی روی wake یا destroy کدِ include شده که می‌تواند برای مقاصد نامناسب استفاده شود، تعریف داشته باشد. هسته‌ی دروپال7 یک کلاس به این شکل داراست که می‌تواند برای حذفِ فایل‌های دلخواه استفاده گردد، اما کلاس‌های شخصی‌سازی شده، ممکن است حاوی متدهایی باشند که می‌توانند برای باگ RCE مورد استفاده قرار گیرند.

نکته: این آسیب‌پذیری در ماژولِ Webform Multiple File Upload(webform_multifile) وجود دارد. یک ماژول با نام مشابهی نیز وجود دارد Webform Multiple File(webform_multiple_file) که این مشکل را دارا نیست.

::: نسخه های تحت تأثیر
    هسته‌ی دروپال تحت تاثیر این آسیب‌پذیری نیست. اگر شما از ماژول  Webform Multiple File Upload استفاده نمی‌کنید، نیازی به انجام کاری نیست. اما نسخه آسیب پذیر این ماژول عبارتند از:
•    Webform Multifile 7.x-1.x versions prior to 7.x-1.4

::: راه حل
    آخرین نسخه را نصب کنید. اگر از ماژول Webform Multifile برای دروپال نسخه 7.x استفاده می‌کنید، به Webform Multiple File Upload  نسخه‌ ی 7.x-1.4 آپدیت کنید.

    گزارش شده توسط Ben Dougherty
    حل شده توسطJelle Sebreghts  و Peter Droogmans  از پشتیبانی ماژول دروپال
    یافتن باگ در کد توسطBen Dougherty  و Greg Knaddison از تیم امنیتی دروپال


2    ماژول Coder

::: معرفی
    ::: پروژه:  Coder(ماژولِ افزودنی)
    ::: آسیب‌پذیری: اجرای کد PHP دلخواه (Remote Code Execution)
    ::: شماره گزارش آسیب پذیری: SA-CONTRIB-2016-040

::: توضیحات
    ماژول Coder کدِ دروپالِ شما را برای استانداردها و دیگر بهینه‌سازی‌ها چک می‌کند. همانطور می‌تواند اشتباهات استانداردهای کدنویسی را نیز تصحیح کند و روی ماژول‌ها، یک‌سری بهینه‌سازی اساسی انجام دهد.
    این ماژول به صورتِ صحیح، ورودی‌های کاربر را در فایل اسکریپتی که پسوندِ PHP دارد بررسی نمی‌کند. یک کاربرِ Login نکرده و یا نفوذگر می‌تواند به صورت مستقیم به این فایل درخواست فرستاده و کد PHP دلخواه اجرا کند.
    هیچ فاکتورِ محدودکننده‌ای وجود ندارد. ماژول حتی نیاز به فعال بودن برای اکسپلویت‌شدن ندارد! وجود فایل روی سرور و این‌که از روی وب قابل دسترسی باشد کافیست.

::: نسخه های تحت تأثیر
•    Coder module 7.x-1.x versions prior to 7.x-1.3
•    Coder module 7.x-2.x versions prior to 7.x-2.6
    هسته‌ی دروپال تحت تاثیر این آسیب‌پذیری نیست. اگر شما از ماژول Coder استفاده نمی‌کنید، نیازی به انجام کاری نیست.

::: راه حل
    دو راه موجود است.
راه اول این‌است که ماژول را از همه‌ی سایت‌هایی که در دسترس عموم هستند پاک کنید:
•    ماژول Coder برای استفاده در محیط توسعه ساخته شده است و قرار نیست روی سرورهایی با دسترسی عمومی قرار داشته باشد. در نتیجه، یک راه ساده این است که کل دایرکتوری ماژولِ Coder را از روی همه‌ی وب‌سایت‌های با دسترسی عمومی پاک کنید.
انتخاب دوم این است که آخرین نسخه را نصب کنید:
•    اگر از ماژول Coder برای دروپال 7.x استفاده می‌کنید، به Coder نسخه‌ی 7.x-1.3 یا 7.x-2.6 آپدیت کنید.

    گزارش شده توسط Nicky Bloor
    حل شده توسطDavid Rothstein و Jim Berry از پشتیبانی ماژول دروپال
    یافتن باگ در کد توسط Michael Hess و Greg Knaddison وKlaus Purer از تیم امنیتی دروپال

 

 


3    ماژول RESTful Web Services

::: معرفی
    ::: پروژه:  RESTful Web Services(ماژولِ افزودنی)
    ::: آسیب‌پذیری: اجرای کد PHP دلخواه (Remote Code Execution)
    ::: شماره گزارش آسیب پذیری: SA-CONTRIB-2016-040

::: توضیحات
    این ماژول به شما این امکان را می‌دهد تا نهادهای دروپال را به صورت وب‌سرویسِ RESTful نمایش دهید. RESTWS صفحه‌ی پاسخِ پیش‌فرضِ نهادها را تغییر می‌دهد تا امکاناتی را به آن بیافزاید. یک آسیب‌پذیری در این رویکرد به نفوذگر اجازه می‌دهد تا با ارسالِ درخواست‌هایی با محتوایی خاص، به اجرای کد دلخواه PHP برسد. هیچ فاکتورِ محدودکننده‌ای وجود ندارد. این آسیب‌پذیری می‌تواند تحت سطح‌دسترسیِ کاربرِ معمولی سایت (بازدید‌کننده) اکسپلویت شود.

::: نسخه های تحت تأثیر
•    RESTful Web Services 7.x-2.x versions prior to 7.x-2.6.
•    RESTful Web Services 7.x-1.x versions prior to 7.x-1.7.
    هسته‌ی دروپال تحت تاثیر این آسیب‌پذیری نیست. اگر شما از ماژول  RESTful Web Services استفاده نمی‌کنید، نیازی به انجام کاری نیست.


::: راه حل
    آخرین نسخه را نصب کنید.
•    اگر از ماژول RESTful Web Services برای دروپال7.x  استفاده می‌کنید، به RESTful Web Services نسخه‌ی  7.x-2.6آپدیت کنید.
•    اگر از ماژول RESTful Web Services برای دروپال7.x  استفاده می‌کنید، به RESTful Web Services نسخه‌ی  7.x-1.7آپدیت کنید.

    گزارش شده توسط Devin Zuczek
    حل شده توسط Klaus Purer و Wolfgang Ziegler از پشتیبانی ماژول دروپال
    یافتن باگ در کد توسط  Greg KnaddisonوKlaus Purer از تیم امنیتی دروپال

 

]]>
2016/8/21
<![CDATA[بررسی تحلیلی جدیدترین بدافزار Android با سیستم پخش SMS Phishing]]>

بررسی تحلیلی جدیدترین بدافزار Android با سیستم پخش SMS Phishing

]]>
 

در آوریل 2016، هنگام بررسیِ یک کمپین فیشینگِ پیامکی به نام RuMMS که هدف‌هایی از اروپا با سیستم عامل اندروید را هدف قرار می‌داد، متوجه سه کمپینِ فیشینگِ پیامکی دیگر شدیم که بنا به گزارش‌ها در دانمارک(فوریه ۲۰۱۶)، در ایتالیا(فوریه ۲۰۱۶) و در ایتالیا و دانمارک(آوریل ۲۰۱۶) پخش می‌شدند.

    برخلاف کمپین RuMMS، این سه کمپین در اروپا از تکنیک‌های view overlay،همان تکنیک‌هایی که در بدافزار SlemBunk استفاده شده بود، استفاده کردند تا ورودی‌هایی مشابه با برنامه‌های گوشی برای اطلاعات ورود به نمایش بگذارند، و در ادامه کاربرانی که در جریان نبودند را گول بزنند تا اطلاعات بانکی خود را در اختیارشان قرار دهند.شکل۱ روند این‌که چطور این بدافزارهای پوششی توسط فیشینگِ پیامکی پخش می‌شدند و کاربران اندروید را آلوده می‌کردند را نشان می‌دهد.

عاملان تهدید معمولاً ابتدا سرورهای دستور و کنترل(C2)  و سایت‌های میزبانیِ بدافزار را پیکربندی می‌کنند، سپس بدافزارها را بر روی سایت‌های میزبانی قرار می‌دهند و لینکی که به بدافزار هدایت می‌کند را از طریق SMS برای قربانی می‌فرستند. پس از نصب‌شدن روی دستگاه، بدافزار یک پروسه را برای مانیتور کردن این‌که کدام برنامه در حال اجرا روی صفحه‌ی کاربر(foreground)  است، راه‌اندازی می‌کند. وقتی کاربر یک برنامه‌ی آشنا را روی صفحه اجرا می‌کند که بدافزار برای هدف‌قرار دادنِ آن برنامه طراحی شده است(مثلاً اپلیکیشن بانک)، بدافزار یک view برای فیشینگ در روی آن برنامه به صورت overlay(پوششی) به نمایش در می‌آورد. کاربری که در جریان این حمله نیست، با فرض این‌که از برنامه‌ی معتبری استفاده می‌کند، ورودی‌های مورد نیاز(اطلاعات کارت بانکی) را وارد می‌کند؛ که این اطلاعات به سرور C2 که توسط گردانندگان این ویروس کنترل می‌شود ارسال می‌شوند.

دریافت کامل این گزارش

]]>
2016/8/21
<![CDATA[راه‌کارهای کاهش اثرات مخرب پست‌های الکترونیکی]]>

راه‌کارهای کاهش اثرات مخرب پست‌های الکترونیکی

]]>
1.    مقدمه
امروزه پست‌های الکترونیکی زیادی در بین کاربران اینترنت ردوبدل می‌شود. این پست‌های الکترونیکی می‌توانند حاوی فایل‌های پیوست  نیز باشند. از آن‌جا که تعداد پست‌های الکترونیکی زیاد است، توجه بدخواهان اینترنتی را به خود جلب کرده‌اند. در طی تحقیقاتی که توسط متخصصین حوزه‌ی امنیت انجام شده است، تعداد زیادی پست‌های الکترونیکی حاوی فایل‌های پیوست و یا لینک‌های مخرب جاسازیشده را شناسایی کرده است که در اغلب موارد هدفمند و برعلیه سازمان‌ها بوده‌اند.
این گزارش توسط سازمان ASD و به منظور فراهم کردن راهکاری برای کاهش خطرهای امنیتی که توسط پست‌های الکترونیکی مخرب ایجاد شده‌اند، گردآوری شده است. در این گزارش تعدادی راهکار برای کاهش چنین خطراتی ارایه شده است. قابل توجه است که هر راهکار ارایه‌شده در این گزارش، لزوما برای تمامی سازمان‌ها مناسب نیست و سازمان‌ها باید با در نظر گرفتن نیازمندی‌های کاری و محیط ریسک خود، راه‌حل کاهشی مناسبی را برای خود انتخاب کنند.
2.    فیلتر کردن پیوست‌ها
پیوست‌ها در پست‌های الکترونیکی یکی از ریسک‌های امنیتی قابل توجه‌اند. فیلتر کردن پیوست‌ها، احتمال دریافت محتویات مخرب بر روی سیستم کاربر را تا حد خوبی کاهش می‌دهد. راهکارهای کاهش در مورد پیوست‌های مخرب در ادامه آورده شده‌اند. این راه‌کارها براساس تاثیری که بر روی امنیت دارند، دسته‌بندی می‌شوند.
2-1    اثربخشی امنیتی عالی
1.    تبدیل قالب  پیوست‌ها
تبدیل قالب پیوست‌ها به قالبی دیگر تاثیر به‌سزایی در حذف محتویات مخرب دارد. برای نمونه یکی از این تبدیلات، تبدیل فایل‌های آفیس مایکروسافت به قالب پی‌دی‌اف است.
2.    لیست سفید  پیوست‌ها براساس نوع فایل
در این لیست برای تعیین نوع فایل، به جای در نظر گرفتن پسوند فایل، محتویات فایل بررسی می‌شود. انواعی از فایل که اهداف کسب‌وکار مجاز و مشخصات خطر قابل قبولی برای سازمان دارند، می‌توانند در لیست سفید قرار گیرند. توصیه به لیست سفید بیشتر از لیست سیاه  است، زیرا در این لیست همه‌ی انواع قابل قبول که می‌توانند از طریق پست الکترونیکی دریافت شوند، مشخص می‌شوند.
در صورتی که نوع فایل تشخیص داده شده براساس محتویات آن، با پسوند آن مغایرت داشته باشد، این مورد به عنوان یک مورد مشکوک باید مورد توجه قرار گیرد.
3.    مسدود کردن  پیوست‌های غیرقابل شناسایی و یا رمزگذاری‌شده
پیوست‌های غیرقابل شناسایی و یا رمزگذاری‌شده قابل اعتماد نیستند چون که محتویات پست الکترونیکی نمی‌توانند رمزگشایی و بررسی شوند. هر پیوست رمزنگاری‌شده تا زمانی که بی‌خطر تلقی نشده است، باید مسدود شود.
4.    انجام تحلیل پویای خودکار برای پیوست‌ها با اجرای آن‌ها در یک جعبه‌ی شنی
تحلیل پویا، قابلیت شناسایی ویژگی‌های رفتاری را دارد. بنابراین انجام یک تحلیل پویای خودکار در یک جعبه‌ی شنی می‌تواند رفتارهای مشکوک در ترافیک شبکه، فایل‌های جدید یا تغییریافته و یا تغییرات در رجیستری ویندوز را شناسایی کند.
5.    حذف پیوست‌هایی با محتویات فعال  یا به طور بالقوه خطرناک
محتویات فعال مانند ماکروها در فایل‌های آفیس مایکروسافت و جاوا اسکریپت‌ها باید قبل از تحویل پیوست‌ها به کاربر، از پست‌های الکترونیکی حذف شوند. ابزارهای حذف محتویات فایل باید پیوست‌ها را برای پیدا کردن محتویات فعال نامطلوب براساس کلمات کلیدی یا به صورت اکتشافی  بررسی و با بازنویسی آن‌ها اثر نامطلوبشان را خنثی کنند. هر چند که عملیات بررسی و حذف محتویات فعال در پیوست‌ها، پردازشی دشوار است.
6.    کنترل یا غیرفعال کردن ماکروها در فایل‌های آفیس مایکروسافت
استفاده از ماکروها در فایل‌های آفیس مایکروسافت به شدت افزایش یافته است. از این‌رو بهتر است سازمان‌ها برنامه‌های خود را برای غیرفعال کردن همه‌ی ماکروها به صورت پیش‌فرض پیکربندی کنند و فقط ماکروهای قابل اعتماد که معمولا توسط افراد با سطح دسترسی بالا نوشته می‌شوند را بررسی کنند.

2-2    اثربخشی امنیتی خوب
1.    بررسی کنترل‌شده فایل‌های آرشیو
یک فایل مخرب می‌تواند در کنار فایل‌های مجاز دیگر تشکیل یک فایل آرشیو داده و برای مقصدی ارسال شود. برای تشخیص این فایل مخرب، گیرنده باید فایل‌های آرشیو را از حالت فشرده خارج کرده و تمامی فایل‌های درون آن را از نظر مخرب و یا مجاز بودن بررسی کند.
بررسی فایل‌های آرشیو باید به صورت کنترل‌شده انجام شود تا بررسی‌کننده دچار پیمایش‌های تو در تو یا حالت منع سرویس نشود. برای نمونه بررسی محتویات پست الکترونیکی که حاوی یک فایل متنی یک گیگابایتی آرشیوشده است و این فایل فقط از فضای خالی  تشکیل شده است، منابع پردازشی قابل توجهی را اشغال می‌کند. نمونه‌ی دیگر، فایل‌های آرشیو تو در تو هستند. اگر فایل آرشیوی از 16 فایل آرشیو دیگر تشکیل شده باشد و هم‌چنین هر کدام از فایل‌های آرشیو جدید نیز از 16 فایل آرشیو دیگر تشکیل شده باشند و این کار تا 6 سطح ادامه داشته باشد، بررسی‌کننده‌ی محتویات پست الکترونیکی باید در حدود یک میلیون فایل را بررسی کند. در این مواقع تنظیم کردن زمان منقضی شدن برای پردازنده، حافظه و دیسک باعث می‌شود تا اگر کاری بیشتر از زمان تعیین‌شده ادامه پیدا کرد، آن کار لغو شده و منابع به سیستم بازگردند.
از حالت فشرده درآوردن فایل‌ها از انتهای فایل آرشیو شروع شده و تا زمانی که همه‌ی فایل‌ها ایجاد شوند، ادامه پیدا می‌کند. یک فایل آرشیو مخرب می‌تواند به‌راحتی به انتهای یک فایل عکس مجاز اضافه شود و در سمت گیرنده با اسکن فایل مجاز عکس، دریافت شود. بنابراین نیاز است تمامی پیوست‌ها از حالت فشرده خارج شده و فایل‌های ایجاد شده از آن‌ها با دقت بررسی شود...

 

دانلود پیوست

 

]]>
2016/8/16
<![CDATA[بررسی وضعیت باج افزارهای رایانه ای در سال های 2014 الی 2016 میلادی]]>

بررسی وضعیت باج افزارهای رایانه ای در سال های 2014 الی 2016 میلادی

]]>
Ransomware یا باج‌افزار نوعی از بدافزار است که به محض اینکه دستگاهی را آلوده کند، مانع دسترسی به آن دستگاه یا اطلاعات ذخیره شده آن می‌گردد. زمانی‌که یک باج‌افزار وارد سیستم کاربر شود، دیگر شانسی برای باز پس گیری اطلاعات شخصی وجود ندارد. همچنین تقاضای پرداخت باج از طریق پول‌های مجازی (Bitcoins) باعث می‌شود تا ردیابی مجرم امکان‌پذیر نباشد و فرآیند پرداخت مجهول باقی بماند. این عملکرد برای کلاهبرداران اینترنتی بسیار جذاب است. این گزارش در اصل توسط شرکت کسپرسکی تهیه شده و مروری بر تهدیدات باج‌افزاری طی دو سال گذشته دارد.

فایل پیوست

]]>
2016/8/16
<![CDATA[جدول آخرين به روزرساني ها و آسيب پذيري هاي نرم افزارهاي پركاربرد در كشور ]]>

جدول آخرين به روزرساني ها و آسيب پذيري هاي نرم افزارهاي پركاربرد در كشور

]]>
 

دریافت پیوست

]]>
2016/8/13
<![CDATA[کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان ایلام]]>

کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان ایلام

]]>
 

 کارگاه تخصصی یکروزه ارتقای دانش امنیت متولیان فاوای کلیه دستگاه های اجرایی و حاکمیتی استان ایلام با شرکت بیش از 110 نفر در روز دو شنبه مورخ 18/05/95، با همکاری مرکز ماهر  سازمان فناوری اطلاعات ایران و اداره کل فناوری اطلاعات استان ایلام توسط مرکز اپا دانشگاه فردوسی در قالب عناوین ذیل برگزار گردید:


•    تهدیدات امنیتی و آزمون نفوذپذیری شبکه های سازمانی
•    پیکربندی امن تجهیزات و زیرساخت با رویکرد دفاع در عمق
•    معماری و طراحي ایمن شبکه ها و زیرساخت سازمانی
•    جرم یابي و پاسخگویي به حوادث امنیتی در شبکه هاي سازمانی

 

]]>
2016/8/13
<![CDATA[تسخیر هزاران وب‌سایت با هدف انتشار باج‌افزار CryptXXX]]>

تسخیر هزاران وب‌سایت با هدف انتشار باج‌افزار CryptXXX

]]>
بنابر ادعای محققین شرکت Sucuri، در دو ماه گذشته هزاران وب‌سایتِ مبتنی بر سیستم مدیریت محتوای WordPress و Jamoola تسخیر شده‌اند تا کاربران را به سمت باج‌افزار CryptXXX هدایت کنند.

ظاهراً این کمپین آلوده‌سازی از 20 خرداد آغاز شده است. تخمین زده می‌شود که حداقل دو هزار وب‌سایت با این هدف آلوده شده‌اند؛ اما احتمالاً آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمع‌آوری شده از طریق اسکنرِ SiteCheck بوده که اطلاعاتی محدود در اختیار دارد.

مشخصه‌ی اصلی این حمله آن است که از دامنه‌های realstatistics[.]info و realstatistics[.]pro استفاده می‌کند تا کاربران را به صفحه‌ی فرودِ[1] مربوط به کیتِ اکسپلویتِ Neutrino هدایت کند. Neutrino که اکنون پیشروترین تهدید در میان کیت‌های اکسپلویت به حساب می‌آید، تلاش می‌کند تا از آسیب‌پذیری‌های Flash یا PDF در سیستم‌های هدف استفاده کرده و باج‌افزار CryptXXX را نصب نماید.

چند روز پیش محققین Forcepoint اعلام کردند که دامنه‌های ذکرشده، به عنوان سیستم‌های هدایت ترافیک (TDS[2]) در حمله‌های توزیع Neutrino و RIG استفاده شده‌اند. محققین نهایتاً موفق به کشف رابطه‌ی دامنه‌ها با Blackhat‑TDS شدند. این نشان می‌دهد که آن‌ها تنها کاربران معمولی را به صفحه‌ی فرود هدایت می‌کردند، در حالی که برای رنج‌های IP مربوط به بلک‌لیست خود، صفحه‌ای پاک تحویل می‌دادند (این لیست عمدتاً مربوط به IP مربوط به فروشنده‌ها، موتورهای جستجو و سرویس‌های اسکنِ وب می‌شود).

با این حال، محققین Forcepoint مشخص نکرده‌اند که شدت این حمله و روش تسخیر وب‌سایت‌ها چگونه بوده است. Sucuri عنوان کرده که شصت درصد سایت‌های آلوده از نسخه‌های قدیمی Wordpress و Jamoola استفاده نموده و هم‌چنین حمله‌گران احتمالاً از مؤلفه‌های آسیب‌پذیری همچون پلاگین‌ها و اکستنشن‌ها استفاده کرده‌اند. محققین این شرکت معتقدند که استفاده از CMS از رده خارج‌شده، معمولاً نشان‌دهنده‌ی آن است که گردانندگان وب‌سایت احتمالاً سایر مؤلفه‌های امنیتی را نیز به‌روزرسانی نکرده‌اند.

با استفاده از هزاران وب‌سایت آلوده (که برخی سایت‌های مرتبط با امنیت همچون PCI Policy Portal را نیز شامل می‌شود)، حمله‌گران می‌توانند ده‌ها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باج‌افزار CryptXXX می‌شود. چند هفته پیش محققین SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفته‌ای، مبلغ پنجاه هزار دلار در تنها یک آدرسِ بیت‌کوین دست یافته‌اند.

واضح است که گردانندگان حمله همواره از کیت‌های اکسپلویت حاوی بیشترین امکانات‌ترین استفاده می‌کنند. ماه پیش بلافاصله پس از اینکه Angler (که سال‌ها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حمله‌کنندگان شروع به استفاده از Neutrino کردند.

CryptXXX اکنون به مهمترینِ باج‌افزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمال‌شده در CryptXXX عبارت است از

  • تغییر متن درخواست باج
  • استفاده از یک سایت پرداخت جدید به نام Microsoft Decryptor
 

[1] Landig Page

[2] Traffic Direction Systems

]]>
2016/8/10
<![CDATA[آشنایی کامل با پروتکل NFS (Network File System)و روش های امن سازی پروتکل]]>

آشنایی کامل با پروتکل NFS (Network File System)و روش های امن سازی پروتکل

]]>
مقدمهای بر NFS

NFS پروتکلی است که از طریق آن یک کاربر مشتری میتواند به فایل­‌ها، دایرکتوریها و سایر منابع پایدار شبکه که در سرویسدهنده به اشتراک گذاشته ­شده است، دسترسی حاصل نماید. این پروتکل، برای اولین بار در سال 1984 توسط شرکت Sun Microsystems ارائه شده و تا بهحال تغییرات زیادی نموده است. این پروتکل اساساً برای سیستم­‌عاملهای خانواده یونیکس کاربرد داشته و گسترش یافته است ولی اکنون به عنوان یک استاندارد برای سیستمهای ناهمگون(heterogeneous)  تبدیل شده است. با استفاده از این پروتکل مشتریان میتوانند با فایلهای موجود در شبکه رفتاری مشابه با فایلهای ذخیره شده در دیسکهای ذخیرهسازی محلی داشته باشند. به عبارت دیگر این سرویس امکانی را فراهم میآورد که با استفاده از آن میتوان به فایلهای موجود در شبکه همانند فایلهای ذخیره شده در هارد دیسک معمولی دسترسی داشت و از آنها استفاده نمود.

 

در NFS عملیات دسترسی به فایل مشترک با رد و بدل نمودن یک­ سری پیغام در هر دو سوی سرویس‌دهنده و سرویس­‌گیرنده صورت می­‌گیرد. همان‌طورکه بیان شد، NFS از مدل Client/Server در تعریف سیستمها استفاده مینماید و باعث تحولات اساسی در سیستمهای مبتنی بر یونیکس شده است چرا که هر سیستم میتواند بهعنوان یک سرویسدهنده امکان دسترسی به فایلهای خود را به سیستم‌های دیگر بدهد.

 

با توجه به آنچه که ذکر گردید، NFS بهعنوان یک سیستم‌فایل توزیعشده برای بهاشتراکگذاشتن فایلها و دایرکتوریها بین سیستمعاملهای مختلف ایجاد گردیده است. این سیستم به کاربر اجازه میدهد تا به فایل‌های روی شبکه همانند فایل‌های محلی دسترسی پیدا نمایند (درخواست mount را در سطح یک دایرکتوری و تمام زیردایرکتوریهای مربوطه به سرویسدهنده می‌دهد). بنابراین امکان mount شدن یک فایلسیستم محلی روی یک شبکه و میزبانهای دوردست وجود دارد (به‌طوریکه گویا بهصورت محلی در سیستم یکسان mount شدهاند). بنابراین به کمک این سیستم، اشتراک فایل بین سیستمعاملهای مختلف یونیکس به لینوکس و برعکس به راحتی امکانپذیر میباشد. البته این اشتراک فایل برای سیستم‌عاملهای دیگر نیز قابل انجام است که در فایل پیوست چگونگی آن تشریح گردیده است.

فایل پیوست

]]>
2016/8/7
<![CDATA[بررسی حملات DLL Hijacking، تشخیص و پیشگیری ]]>

بررسی حملات DLL Hijacking، تشخیص و پیشگیری

]]>
DLL مخفف کتابخانه پیوند پویا و بخش های خارجی از برنامه های کاربردی است که بر روی ویندوز یا هر سیستم عامل دیگری اجرا می شود. بسیاری از برنامه های کاربردی خودشان کامل نیستند و کد را در فایل های مختلف ذخیره می کنند. در صورتی که نیاز به کد پیدا شود فایل مرتبط در حافظه بارگذاری و استفاده می شود. این کار موجب کاهش اندازه فایل برنامه کاربردی به همراه بهینه سازی استفاده ازRAM می شود. در ارتباط با DLLها حملاتی تحت عنوانDLL Hijacking   مطرح است. مسیر فایل های DLL توسط سیستم عامل ویندوز تعیین شده است. به طور پیش فرض اگر برنامه ای یک فایل DLL درخواست کند، سیستم عامل در همان پوشه که در آن برنامه ذخیره شده است، جستجو می کند. اگر آنجا پیدا نشد، به دنبال پوشه دیگر می رود. اولویت هایی که برای مسیرها تعیین شده است، به ویندوز کمک می کند که در چه فولدرهایی به دنبال فایل های DLL بگردد. این دقیقا نقطه ای است که حملات DLL Hijacking  وارد عمل می شود. در این گزارش به معرفی این نوع حملات و تکنیک های مورد استفاده برای کاهش و رفع آنها خواهیم پرداخت.

1- فایل DLL یا کتابخانه پیوند پویا (Dynamic Link Library)

کتابخانه پیوند پویا یک مولفه پایه در سیستم عامل ویندوز است. زمانی که برنامه کاربردی ویندوز شروع می شود، در صورت نیاز DLL های خاصی به آن بارگذاری می شود. DLL کتابخانه ای است که شامل کد و داده است که می تواند به طور همزمان توسط بیش از یک برنامه استفاده شود. برای مثال در سیستم عامل های ویندوز، کتابخانه Comdlg32 توابع مرتبط با کادر محاوره ای رایج را انجام می دهد. بنابراین هر برنامه می تواند از قابلیتی که درون این DLL است برای اجرای یک کادر محاوره ای باز استفاده کند. این به ترویج استفاده مجدد از کد و استفاده کارآمد از حافظه کمک می کند.

با استفاده از DLL، برنامه می تواند از اجزای جداگانه تشکیل شود (ماژولار شود). برای مثال یک برنامه حسابداری می تواند به صورت ماژول به فروش برسد. هر ماژول می تواند در صورتی که نصب شده باشد، در زمان اجرا به برنامه اصلی بارگذاری شود. به دلیل این که ماژول ها جدا هستند، زمان بارگذاری برنامه سریع تر است و ماژول تنها زمانی بارگذاری می شود که قابلیتی خاص مورد نیاز است. به علاوه به روزرسانی برای اعمال بر هریک از ماژول ها آسان تر است بدون این که بر قسمت های دیگر برنامه تاثیر گذارد. برای مثال ممکن است یک برنامه حقوق داشته باشیم و نرخ مالیات در هر سال تغییر کند. زمانی که این تغییرات مربوط به یک DLL است، می توان به روزرسانی را بدون نیاز به ساخت و یا نصب دوباره برنامه اعمال کرد.

2- مزایای DLL

لیست زیر برخی از مزایای استفاده برنامه ها از DLL را نشان می دهد:

  • استفاده از منابع کمتر: زمانی که چندین برنامه کتابخانه یکسانی از توابع را استفاده می کنند، DLL میتواند کدهای تکراری که به دیسک و حافظه بارگذاری می شود را کاهش دهد .
  • ترویج معماری ماژولار: DLL به ترویج برنامه های ماژولار در حال توسعه کمک می کند. همچنین کمک می کند که برنامه های بزرگ که به چندین نسخه زبان مختلف نیاز دارند یا برنامه هایی که نیاز به معماری ماژولار دارند توسعه داده شوند. مثالی از برنامه ماژولار برنامه حسابداری است که چندین ماژول دارد که می تواند به صورت دینامیک در زمان اجرا بارگذاری شود.
  • سهولت گسترش و نصب: هنگامی که تابع درون DLL نیاز به به روزرسانی یا تعمیر دارد، برای استقرار و نصب و راه اندازی DLL نیازی نیست که برنامه مجدد به DLL لینک شود. به علاوه اگر چندین برنامه DLL مشابهی را استفاده کنند، همه برنامه ها از به روزرسانی DLL بهره مند می شوند. این موضوع هنگام استفاده از DLL طرف سوم که به طور منظم به روزرسانی یا تعمیر می شود، بسیار موثر است.

DLL Hijacking -3 چیست؟

 DLL Hijacking که عموماً تحت عنوان Load Order Hijacking یا Search Order Hijacking شناخته می شود یک تکنیک دوام بدافزار برای گریز از تشخیص بوده و همچنین به عنوان یک چالش مهم برای محققان مطرح است. برطبق مقاله ای از مایکروسافت DLL Hijacking  به صورت زیر تعریف می شود:

زمانی که برنامه ای به صورت پویا و بدون مشخص کردن نام مسیر کامل کتابخانه ای را بارگذاری می کند، ویندوز برای تعیین محل DLL با جستجوی مجموعه تعریف شده ای از دایرکتوری ها با ترتیب خاصی تلاش می کند. اگر حمله کننده بتواند هنگام جستجوی DLL کنترل یکی از دایرکتوری ها را به دست بگیرد، می تواند یک کپی مخرب از DLL در آن دایرکتوری قرار دهد، این اغلب با عنوان Preloading attack یا Binary planting attack شناخته می شود. اگر سیستم قبل از جستجوی دایرکتوری دستکاری شده کپی مجاز از DLL را پیدا نکند، کپی مخرب را پیدا خواهد کرد.

از آنجا که DLL ها به عنوان یک افزونه هستند و اغلب در اکثر برنامه های کاربردی در سیستم ضروری هستند، در پوشه های مختلفی در سیستم قرار گرفته اند. اگر فایل DLL اصلی با یک فایل DLLقلابی که دارای کد مخرب است، جایگزین شود به عنوان DLL Hijacking شناخته می شود. این آسیب پذیری ها در نرم افزارهایی همچون Windows Movie Maker  و Windows Address Book دیده می شود. به منظور درک DLL Hijacking ابتدا بایستی نحوه بارگذاری فایل های DLL توسط ویندوز هنگامی که آدرس کامل کتابخانه داده نشده است را دانست. ویندوز نیازی ندارد که برنامه های کاربردی یک مسیر کامل برای DLL های بارگذای شونده در زمان اجرا مشخص کند. به همین علت برنامه نویسان اغلب مسیر کامل به فایل های DLLای که می خواهند استفاده کنند، مشخص نمی کنند. این می تواند منجر به این مشکل شود که DLLها را نتوان پیدا کرده و استفاده کرد. هنگامی که یک مسیرکامل ارایه نمی شود ویندوز تلاش می کند که DLL ها را در مکان هایی از پیش تعیین شده قرار دهد.

به طور پیش فرض اولین موردی که یافت می شود، اولین آیتمی است که استفاده می شود. بنابراین این امکان برای مهاجم وجود دارد که این ترتیب را با اضافه کردن یک DLL  مخرب با همان نام نسخه مجاز در مکانی قبل از آن عوض کند که این باعث می شود سیستم عامل به طور ناخواسته DLL  مخرب را بارگذاری کند. اگر برنامه کاربردی DLL را تنها با نام آن بارگذاری می کند (به طور مثال ntshrui.dll) ویندوز ترتیب تعریف شده از قبل را برای شناسایی و بارگذاری دنبال می کند و اولین کتابخانه پیدا شده با نام ntshrui.dll را بارگذاری می کند.

دایرکتوری برنامه

دایرکتوری جاری

دایرکتوری سیستم

دایرکتوری سیستم 16 بیتی

دایرکتوری ویندوز

دایرکتوری های ذخیره شده در متغیر PATH

برای مثال اگر برنامه ای (مثلاً Test.exe) DLL ای را تنها توسط نام بارگذاری کند(مثلا foo.dll ) ویندوز ترتیب جستجویی را بسته به این که SafeDllSearchMode فعال یا غیرفعال است، برای تعیین محل DLL مجاز دنبال می کند. اگر حمله کننده دانشی درباره این برنامه داشته باشد، می تواند DLL مخربی در مسیر جستجوی آن با همان نام قرار دهد و برنامه را مجبور کند که DLL مخرب را بارگذاری کند.

برنامه هایی که از مکان های ناامن اجرا می شوند برای مثال پوشه های قابل نوشتن توسط کاربر همانند پوشه Downloads یا TempDirectory تقریبا همیشه در معرض این آسیب پذیری هستند.

4- جزئیات حمله

بسته به پیکربندی سیستم، برنامه می تواند تصمیم بگیرد که ترتیب مسیرهایی که باید برای بارگذاری DLL جستجو کند، چگونه باشد. به طور پیش فرض ترتیب این جستجو به صورت زیر است :

  • مسیری که از آن برنامه کاربردی بارگذاری می شود.
  • دایرکتوری جاری
  • دایرکتوری سیستم، معمولاً C:\Windows\System32\ (تابع GetSystemDirectory برای دستیابی به این دایرکتوری فراخوانی می شود)
  • دایرکتوری سیستم 16 بیتی – هیچ تابع اختصاص داده شده برای بازیابی مسیر این دایرکتوری وجود ندارد، اما این دایرکتوری نیز جستجو می شود.
  • دایرکتوری ویندوز، تابعGetWindowsDirectorبرای دستیابی به این دایرکتوری فراخوانی می شود.
  • دایرکتوری های لیست شده در متغیر محیطی PATH

در جستجوی این مسیرها برنامه اولین DLL ای را که با آن نام پیدا کرد، استفاده می کند.

در این مورد دایرکتوری جاری مشکل است. زمانی که یک برنامه تصمیم به بارگذاری DLL از دایرکتوری جاری می گیرد می تواند به DLL Hijacking  منجر شود. برای مثال اگر کاربر یک سند Microsoft word را باز می کند، Microsoft office سعی خواهد کرد که مولفه DLL آن را از مکان فایل داکیومنت بارگذاری کند. حمله کننده سپس می تواند یک DLL بدخواه در مکان سند جایگذاری کند و در نتیجه Microsoft office   کد بدخواهانه را بارگذاری می کند.

با فرض این که  SafeDllSearchMode فعال شده است (که به صورت پیش فرض فعال است) برای حمله استفاده از این تکنیک بسیار سخت تر است. در این صورت  سیستم عامل اول بررسی می کند که آیا یک DLL با همین نام در حال حاضر در حافظه بارگذاری شده است یا آیا DLL  در کلید رجیستری (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs) تعریف شده است(KnownDLLs). اگر هیچ یک از شرایط برقرار نبود ویندوز با استفاده از ترتیب زیر کتابخانه ها را بارگذاری می کند:

  • دایرکتوری که از آن برنامه بارگذاری می شود.
  • دایرکتوری سیستم (C:\Windows\System32)
  • دایرکتوری سیستم 16 بیتی (C:\Windows\System)
  • دایرکتوری ویندوز (C:\Windows)
  • دایرکتوری کار جاری ([1]CWD)
  • دایرکتوری های لیست شده در متغیرهای محیطی PATH(System  و بعد از آن user)

با این وجود دایرکتوری جاری هنوز در لیست دایرکتوری ها برای جستجو است. تفاوت در اینجا در این است که برنامه در ابتدا دایرکتوری های سیستم را برای مولفه های DLL جستجو می کند، اگر پیدا نشد، سپس دایرکتوری جاری را جستجو می کند.

به عنوان یک قاعده کلی برنامه های اجرا شونده خارج از “C:\Windows\System32”  که کتابخانه ای را بدون ارایه مسیر کامل بارگذاری می کنند، اهداف بالقوه هستند. توجه داشته باشید که کتابخانه درخواست شده نباید قبلاً در حافظه وجود داشته باشد یا در مقدار رجیستری KnownDlls قرار گرفته باشد.

5- پیداکردن آسیب پذیری های  DLL Hijacking

پیداکردن آسیب پذیری در برنامه ها اولین قدم برای سواستفاده از آن است. روش صحیح برای این کار استفاده از Process Monitor  برای دیدن این که چه زمانی برنامه جستجویی را برای فایل DLL اجرا می کند. هنگامی که Process Monitor بارگذاری می شود می توان سعی کرد که یک تابع از DLL دیگری را به کار انداخت یا این که منتظر باشید تا این که یکی به کار انداخته شود. بعد از انجام این کار، تمام آن چه که نیاز است این است که به منوی Filter  رفته و فیلترهای خود را اعمال کنید.

اگر شما چیزی شبیه این ها پیدا کردید بسیار محتمل است که یک آسیب پذیری DLL Hijacking پیدا کرده باشید.

6- پیداکردن نام توابع ازDLL

برای ایجاد کردن یک DLL جدید با کد مخرب ، ابتدا بایستی نام توابعی که در آن به کار رفته است را بدانیم . در ویندوز این می تواند توسط ابزار DUMPWIN انجام شود. با DUMPWIN ما می توانیم از گزینه  /EXPORTS  استفاده کنیم. در زیر مثالی از خروجی dll نمونه آمده است:

Dump of file C:\example.dll

File Type: DLL

 Section contains the following exports for example

  00000000 characteristics

  4FC31DEF time date stamp Mon Jun 05 18:32:49 2013

    0.00 version

        1 ordinal base

        3 number of functions

        3 number of names

    ordinal hint RVA name

1000007BA0 output_data 

       2 1 00007C40 show_integer

       3 2 00008940 add_integers

      Summary

     1000 .CRT

     1000 .bss

     1000 .data

     1000 .edata

     1000 .idata

     1000 .rdata

     1000 .reloc

     9000 .text

     1000 .tls

 

گزینه دیگر استفاده از یک اشکال زدا است. اشکال زداها می توانند متن آشکاری که در برنامه ها ذخیره شده است را به شما نشان دهند. ما می توانیم نام هر فایل DLL ارجاع شده و ذخیره شده، را نیز به صورت متن آشکار ببینیم.

7- دفاع در برابر DLL Hijacking

مهم ترین بخش از تعریف یک آسیب پذیری، توضیح چگونگی مقابله با آن است. مسئولیت حفاظت از کاربران به عهده خود توسعه دهندگان نرم افزار می افتد. در مورد DLL Hijacking  برای اجتناب از این مشکل مسیر کامل به کتابخانه بایستی مشخص شود.

گزینه دیگر انتقال فایل های DLL به جایی است که در ترتیب جستجو زودتر چک می شود. گزینه دیگر ایجاد یک هش Checksum از فایل DLL و ذخیره آن درون خود برنامه است، بنابراین در زمان اجرا زمانی که DLL پیدا شد هش Checksum آن بایستی با هش ذخیره شده  درون برنامه مطابقت کند. این روش می تواند توسط استفاده از یک روش هشینگ قوی به همراه Salt  یا توسط استفاده از کلیدهای عمومی و خصوصی داخل برنامه برای رمز کردن checksum خارج از برنامه و رمزگشایی آن بهبود داده شود.

کاربران همچنین توانایی محافظت از خود با درنظر گرفتن اقدامات احتیاطی خاصی را دارند. کاربر می تواند اطمینان حاصل کند که فایل هایی که دارد باز می کند در همان دایرکتوری DLL هایی نیست که مشکوک به نظر می رسد. برای مثال اگر DLL ای به همراه عکسی که شما دانلود کرده اید بیاید، بهتر است که قبل از بازکردن عکس DLL را حذف کنید. کاربران همچنین توان تغییر کلید رجیستری CWDIllegalInDllSearch را دارند.در ضمن کاربران می توانند دو کلید رجیستری مختلف خودشان ست کنند.

 

[1] current working directory

]]>
2016/8/6
<![CDATA[آسیب‌پذیریِ BIOS در لپ‌تاپ‌های Lenovo ]]>

آسیب‌پذیریِ BIOS در لپ‌تاپ‌های Lenovo

]]>
کارخانه‌ی چینیِ Lenovo بار دیگر به خاطر آسیب‌پذیری در BIOS لپ‌تاپ‌های خود زیر ذره‌بین قرار گرفته است. یک محقق امنیتی به نام Dmytro Oleksiuk با نام مستعار Cr4sh اخیراً به کدی دست یافته که آسیب‌پذیریِ دسترسی‌های روزِصفر در BIOSهای Lenovo را تشدید می‌کند.

 

باگ UEFI، کامپیوترهای Lenovo را در معرض اجرای کدهای اجراییِ دلخواه در حالت مدیریت سیستم یا SMM[1] قرار می‌دهد. این موضوع باعث می‌شود پروتکل‌های امنیتیِ ویندوز بی‌اثر شوند. این باگ از آسیب‌پذیری حفاظت نوشتن در حافظه flash استفاده می‌کند و لذا به کاربر اجازه می‌دهد قابلیت‌هایی مثل UEFI Secure Boot و Virtual Secure Mode و Credential Guard را در کامپیوترهای Lenovo مبتنی بر ویندوز غیرفعال کند. بایستی توجه داشت که این موارد تنها خطرات کشف شده هستند و امکان اضافه شدن به این لیست در روزهای آینده وجود دارد.

 

لپ‌تاپ‌های سری ThinkPad به دلیل باگ‌های موجود در مدل‌های قدیمی‌ترِ X220s، به عنوان لپ‌تاپ‌هایی بسیار آسیب‌پذیر شناخته می‌شوند. مشابه این آسیب‌پذیری در BIOS قبلاً نیز در سال 2010 در برخی لپ‌تاپ‌های HP یافت شده بود لذا به نظر می‌رسد Lenovo آن آپدیتِ آسیب‌پذیرِ میان‌افزار را تنها کپی-پیست کرده است. با این حال، بنا بر ادعای Cr4sh، شرکت اینتل وجود آسیب‌پذیری در میان‌افزار را در سال 2014 شناسایی کرده و برطرف نموده است. اما این موجب برانگیخته شدن سوال دیگری می‌شود که چگونه این آسیب‌پذیری دوباره در کامپیوترهای Lenovo بروز کرده است. برخی گمانه‌زنی‌ها حکایت از این دارد که این آسیب‌پذیری بدین منظور گنجانده شده تا FBI بتواند از این طریق به جاسوسی بپردازد.

 

Lenovo در پاسخ به این موضوع در وب‌لاگ خود عنوان کرده که به امنیت محصولات خود پایبند است و با همکاری اینتل و IBVهای خود در حال تصحیح این آسیب‌پذیری در کوتاه‌ترین زمان ممکن هستند. از مطلب وبلاگ اینطور به نظر می‌رسد که Lenovo قصد دارد قصور در این امر را متوجه اینتل (تولیدکننده‌ی اصلی کدهای چیپ) کند و در عین حال نویسنده‌ی اصلی کد را پیدا کرده و هدف پشت این خطای مرموز در BIOS در سری‌های ThinkPad را متوجه شود.

Cr4sh جزئیاتی را برای تشخیص آسیب‌پذیریِ سیستم در برابر این موضوع در Github ارائه کرده است.

 

[1] System Management Mode

]]>
2016/7/26
<![CDATA[ بدافزار Godless]]>

 بدافزار Godless

]]>
 

بدافزارGodless،توسط گروه ترند میکرو[1]

در قالب ANDROIDOS_GODLESS.HRXشناسایی‌شده است.تاکنون، این بدافزار حدود ۸۵۰۰۰۰ گوشی (در میان 1.4 میلیارد گوشی اندروید) را آلوده کرده است.این بدافزار از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید و نسخ 5.1 به قبل سوءاستفاده می‌کند.

کد مخرب این بدافزار، در برنامه‌های کاربردی متعددی – که برخی از آن‌ها نیز توسط Google Play به کاربران ارائه می‌شوند- افزوده‌شده است. با نصب این برنامه‌ها، کد مخرب اجرا گردیده وآسیب‌پذیر بودن سیستم‌عامل گوشی بررسی می‌شود. در صورت وجود آسیب‌پذیری، بدافزار با سوءاستفاده از آسیب‌پذیری‌های سطح ریشه - که در سیستم‌عامل اندورید کدهای سوءاستفاده از این آسیب‌پذیری‌ها در گیت‌هاب[2] قرار داده‌شده است [4]- سطح دسترسی برنامه را ارتقا می‌دهند و کنترل گوشی را در دست می‌گیرند. این بدافزار، هنگامی‌که صفحه گوشی خاموش است، عملیات خود را انجام می‌دهد.

در نسخه‌های اولیه این بدافزار، پس از نصب در گوشی، لیستی از برنامه‌های موجود در Google Play‌ را که در یک رشته رمز شده قرار داشت، نصب می‌کرد و با سوءاستفاده از حساب کاربری گوگل صاحب گوشی، اطلاعات کاربران را به سرقت می‌برد؛ اما در نسخه جدید آن، بدافزار می‌تواند با سرور C&C خود در ارتباط باشد و دستورات را از سرور دریافت و اجرا کند.

1-سیستم‌های آسیب‌پذیر

بدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، 90 درصد گوشی‌ها دارای سیستم‌عامل اندروید 5.1 و یا قبل از آن هستند. طبق نمودار 1،  بیشترین تعداد گوشی آلوده‌شده به این بدافزار، به ترتیب در کشورهای هند و اندونزی مشاهده‌شده است.این بدافزار، برای یافتن دسترسی سطح ریشه، از برخی آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید 5.1 و یا قبل آن و کدهای ارائه‌شده برای سوءاستفاده از آن‌ها که در [۴] وجود دارند، استفاده می‌کند. دو آسیب‌پذیری که بیشتر استفاده می‌شود،CVE-2015-3636 و CVE-2014-3153 هستند.

 

نمودار 1-  نمودار توزیع تعداد گوشی‌هایآلوده‌شده به بدافزار Godless

این بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی– که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.

برنامه‌های کاربردی که حاوی کد مخرب بدافزار Godless‌ هستند در دو گروه ابزارهای  اندرویدی مانند چراغ‌قوه و یا Wifi و یا برنامه‌های سرگرمی ارائه‌شده توسط توسعه‌دهندگان چون بازی‌های مشهور قرار دارند. برای مثال، برنامه کاربردی چراغ قوه‌ای چون Summer Flashlightحاوی کد مخرب این بدافزار است. این برنامه کاربردی هم‌اکنون از لیست برنامه‌های موجود در Google Playحذف‌شده است.

در جدول 1، لیستی از این برنامه‌های کاربردی که در قالب ابزار در سیستم‌عامل اندورید وجود دارند نام‌برده شده است.

 

نام برنامه ‌کاربردی مخرب

چکیدهSHA1

نام بسته[3]

Geometry Dash

01b3e575791642278b7decf70f5783ecd638564d

com.robtopx.geometryjump.admobpl

uginMoboWiFi

7ebdd80761813da708bad3325b098dac9fa6e4f5

com.foresight.wifiseeker

WiFi Anywhere

34b7b38ce1ccdd899ae14b15dd83241584cee32b

com.foresight.wifianywhere

MoboWiFi

84c444a742b616bc95c58a85c5c483412e327c50

com.foresight.wififast

MoboWiFi

50450ea11268c09350aab57d3de43a4d5004b3a1

com.foresight.wififast

MoboWiFi

aed8828dc00e79a468e7e28dca923ce69f0dfb84

com.foresight.wififast

MoboWiFi

44e81be6f7242be77582671d6a11de7e33d19aca

com.foresight.wififast

MoboWiFi

d57d17eb738b23023af8a6ddafd5cd3de42fc705

com.foresight.wififast

Geometry Dash

17e5be80a4ed583923937e41ea7c1f4963748d1f

com.robtopx.geometryjump.tw

Geometry Dash

9f586480fbc745ee6b28bfce3f1abe4ff00d01b1

com.robtopx.geometryjump.tw

Minecraft - Pocket Edition

888f10677b65bf0a86cf4447a1ebc418df8a37e8

com.mojang.minecraftpe.admobplug in

AndroidDaemon Frame

74a55e9ea67d5baf90c1ad231e02f6183195e564

com.android.google.plugin.dameon

Minecraft - Pocket Edition

5900fabbe36e71933b3c739ec62ba89ac15f5453

com.mojang.minecraftpe.admobplug in

 

جدول 1- نام و چکیده برنامه‌های حاوی کد مخرب بدافزارGodless

 

هم‌چنین، در جدول 2، لیستی از برنامه‌های کاربردی در دسته سرگرمی که توسط توسعه‌دهندگان برنامه‌های اندروید ارائه‌شده‌اند و حاوی کد مخرب بدافزار هستند، نشان داده‌شده است.

 

نام برنامه ‌کاربردی مخرب

چکیده SHA1

نام بسته

Live Launcher

e70b1084e02d4697f962be4cc5a54fdb19ce780a

homescreen.boost.launcher.free.small.theme

Lock Screen

a3e84c4b770ef7626e71c9388a4741804dc32c15

com.iodkols.onekeylockscreen

多多每日壁

671fa9291bf465580ec1ea1e55ce8a5ce2d848c7

com.dotools.dtbingwallpaper

多多每日壁

e10efdecab3998cba5236645b5966af6ff4162f1

com.dotools.dtbingwallpaper

4 iDO Calculators

57795c32f75a02a68b9a8acb5820eb039c083a16

com.ibox.calculators

Live Launcher

c74eb5fa1234620297330874bd23605158a890d2

homescreen.boost.launcher.free.small.theme

FlashLight

5d2a08d7c1f665ea3affa7f9607601ffae387e8b

com.foresight.free.flashlight

Easy Softkey

416b1fe39eaaa4d83c7785d97e390d129dbea248

com.oeiskd.easysoftkey

iDO Alarm Clock

7809e1b6f85ee0fa7f0c2a3f1bfdc7fa668742bb

com.dotools.clock

 

جدول 2- نام وچکیده برنامه‌های حاوی کد مخرب بدافزارGodless

2- چگونگی رفع آسیب‌پذیری

یافتن دسترسی ریشه در سیستم‌عامل اندروید، عامل اصلی رخداد حمله توسط این بدافزار است. برنامه حاوی کد مخرب بدافزار، با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، سطح دسترسی خود را به ریشه ارتقا می‌دهد. تغییر سطح دسترسی در اندروید، امکانات متنوعی را در اختیار برنامه‌ها قرار می‌دهد که بسته به کاربرد، می‌تواند مزیت تلقی شود؛ اما اگر این سطح از دسترسی در اختیار بدافزار قرار گیرد، خطرناک است. لذا، رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشد. در حال حاضر، آسیب‌پذیری‌های مرتبط با یافتن سطح دسترسی ریشه، در نسخه 5.1 سیستم‌عامل اندروید رفع شده است و دستگاه‌های حاوی این نسخه باید به‌روزرسانی شوند.

هم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند؛ بنابراین پیشنهاد می‌شود از بازارهای معتبری چون Google Play‌ و Amazonبرنامه‌ها را خریداری و نصب کنند.

3- شیوه حمله

این بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی – که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.

برنامه‌ کاربردی که حاوی کد مخرب بدافزار Godless‌ است، از یک آسیب‌پذیری کتابخانه‌ای به اسم libgodlikelib.so استفاده می‌کند. این کتابخانه، خود از کدهای ارائه‌شده در [4] برای سوءاستفاده از آسیب‌پذیری‌هایی که توسط ابزارهای تغییر سطح دسترسی به ریشه هستند استفاده می‌کند. بدافزار، پس از یافتن کتابخانه مربوطه و یافتن سطح دسترسی ریشه در قالب یک برنامه کاربردی سیستمی به فعالیت خود ادامه می‌دهد.

 

شکل 1- بخشی از عملیات بدافزار Godless در یافتن کتابخانه آسیب‌پذیر

این برنامه مخرب، پس از نصب بر روی گوشی قربانی صبر می‌کند تا صفحه گوشی تلفن همراه خاموش شود و سپس،  عملیات مخرب خود را اجرا کرده و با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، دسترسی سطح ریشه را می‌يابد. رشته‌ رمز شدهAES با نام __image‌در این برنامه‌ها حاوی کد مخرب اجرایی بدافزار استکه پس از تغییر سطح دسترسی برنامه مخرب به سطح دسترسی ریشه اجرای می‌شود.

 

شکل 2- کد بررسی خاموش بودن صفحه گوشی همراه

اخیراً، نوع جدیدی از بدافزار Godlessشناسایی‌شده است که رشته مخرب در برنامه کاربردی مخرب قرار نمی‌گیرد، بلکه، از طریق سرور C&C، دستورات لازم به برنامه کاربردی مخرب ارسال می‌شود. این سرور، در آدرس hxxp://market[.]moboplay[.]com/softs[.]ashx قرار دارد.

4- جمع‌بندی

بدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، 90 درصد گوشی‌ها دارای سیستم‌عامل اندروید 5.1 و یا قبل از آن هستند.این بدافزار، از آسیب‌پذیری‌های موجود در هسته سیستم‌عامل اندروید سوءاستفاده کرده و سطح دسترسی برنامه مخرب را از کاربر به ریشه تغییر می‌دهد. پس از یافتن سطح دسترسی ریشه، بدافزار به اطلاعات شخصی و داده‌های سطح ریشه در سیستم‌عامل اندروید دسترسی می‌یابد و کنترل گوشی را به عهده می‌گیرد. رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشدهم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند.

 

[1]Trendmicro

[2]Github

[3]Package

]]>
2016/7/25