• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

اخبار و مقالات

25 سپتامبر 2021

محققان امنیت سایبری تکنیک جدیدی را که عامل تهدید به صورت عمدی برای جلوگیری از تشخیص و شناسایی به کمک امضا‌های نادرست دیجیتالی payload‌های بدافزار خود استفاده کرده است، فاش کرده‌اند.

نیل مهتا از گروه تجزیه و تحلیل تهدیدات گوگل در گزارشی که روز پنجشنبه منتشر شد، اعلام کرد: “مهاجمان امضا‌های کد ناقصی را ایجاد کرده‌اند که توسط ویندوز معتبر تلقی می‌شوند اما نمی‌توانند با کد OpenSSL که در تعدادی از محصولات اسکن امنیتی استفاده می‌شود، رمزگشایی یا بررسی شوند”.

مشخص گردیده است که این مکانیسم جدید توسط گروه بدنامی از نرم‌افزار‌های ناخواسته معروف به OpenSUpdater مورد استفاده قرار می‌گیرد، که برای بارگیری و نصب سایر برنامه‌های مشکوک در سیستم‌های آسیب دیده استفاده می‌شود. بیشتر اهداف این کمپین کاربرانی هستند که در ایالات متحده قرار دارند و مستعد دانلود نسخه‌های کرک شده بازی‌ها و سایر نرم‌افزار‌های نامشخص و نامطمئن هستند.

این یافته‌ها از مجموعه‌ای از نمونه‌های OpenSUpdater نشات می‌گیرد که حداقل از اواسط ماه آگوست در VirusTotal بارگذاری شده‌اند.

در حالی که مهاجمان در گذشته برای جاسوسی از ابزار‌های تبلیغاتی مزاحم و سایر نرم‌افزار‌های ناخواسته در شناسایی ابزار‌های مخرب یا جاسازی کد حمله در اجزای نرم‌افزاری معتبر و دارای امضای دیجیتالی با آلوده کردن زنجیره تأمین نرم‌افزار، به گواهی‌های دیجیتالی غیرقانونی تکیه کرده‌اند، OpenSUpdater به دلیل توانایی استفاده عمدی از امضای ناقص برای عبور از سد دفاعی، برجسته است.
takian.ir google warns of new way hackers can make malware undetectable on windows 2
بدافزار‌ها در ویندوز قابل تشخیص نیستند
بدافزار‌های طراحی شده با یک گواهی نامعتبر X. ۵۰۹ امضا شده و به گونه‌ای ویرایش شده‌اند که المان “parametrs” در زمینه SignatureAlgorithm شامل نشانگر پایان محتوا (EOC) به جای برچسب NULL است. اگرچه اینگونه رمزگذاری‌ها توسط محصولاتی که از OpenSSL برای بازیابی اطلاعات امضا استفاده می‌کنند، نامعتبر است، اما بررسی‌های سیستم‌های ویندوز اجازه می‌دهد فایل بدون هیچگونه هشدار امنیتی اجرا شود.

جلوگیری از نشت اطلاعات
مهتا افزود: “این اولین بار است که TAG مهاجمانی را که از این تکنیک برای فرار از تشخیص و شناسایی استفاده می‌کنند، مشاهده می‌کند و در عین حال امضای دیجیتالی معتبر روی فایل‌های PE را حفظ می‌نماید”.

این محقق همچنین اضافه کرد: “امضا‌های کد بر روی قسمت‌های اجرایی ویندوز، ضمانتهایی را در مورد یکپارچگی یک فایل اجرایی امضا شده و همچنین اطلاعاتی در مورد هویت امضاکننده، ارائه می‌دهد. مهاجمانی که قادرند هویت خود را در امضا کتمان و پنهان کنند، بدون اینکه بر تمامیت و کلیت امضا تأثیر بگذارد، می‌توانند برای مدتی طولانی از امکان تشخیص جلوگیری کرده و طول عمر گواهینامه‌های دارای امضای کد خود را به منظور آلوده کردن سیستم‌های بیشتر، افزایش داده و تمدید نمایند″.

22 سپتامبر 2021

از ماه دسامبر ، Google ” قابلیت بازنشانی خودکار مجوزها” را به دستگاه هایی که از Android 6.0 و بالاتر استفاده می کنند ، گسترش می دهد.

به گزارش گوگل ، تلفن های اندرویدی که از نسخه های قدیمی سیستم عامل استفاده می کنند به زودی دارای ویژگی ای می شوند که مجوز برنامه هایی را که برای مدت طولانی استفاده نشده اند حذف می کند.

“بازنشانی خودکار مجوزها” یک ویژگی حریم خصوصی است که گوگل سال گذشته به اندروید ۱۱ معرفی کرد. هدف آن محافظت از حریم خصوصی کاربران با بازنشانی خودکار مجوزهای زمان اجرای یک برنامه است – در صورتی که برنامه در حال اجرا باشد در صورت نیاز – در صورتی که آن برنامه چند ماه استفاده نشده باشد.

از ماه دسامبر ، Google این ویژگی را به “میلیاردها دستگاه دیگر” می آورد زیرا به طور خودکار در افرادی که دارای سرویس Google Play هستند که Android 6.0  سطح API 23  یا بالاتر را اجرا می کنند فعال است. کاربران قادر خواهند بود به صفحه تنظیمات بازنشانی خودکار دسترسی پیدا کرده و تنظیم مجدد خودکار را برای برنامه های خاص فعال یا غیرفعال کنند. به گفته مقامات اندروید ، سیستم چند هفته پس از راه اندازی این ویژگی بر روی دستگاه ، به طور خودکار مجوز برنامه های بلااستفاده را بازنشانی می کند.

آنها توجه دارند که برخی از برنامه ها و مجوزها به طور خودکار از ابطال معاف هستند. اینها شامل برنامه های فعال دستگاه مدیر مورد استفاده توسط شرکت ها ، و همچنین مجوزهای تعیین شده توسط خط مشی شرکت است.

22 سپتامبر 2021

موجی از حملات بدافزار که به تازگی کشف شده است با استفاده از تاکتیک‌های مختلف برای به بردگی درآوردن دستگاه‌های حساس و مشخصاً با سطح اعتبار ادمین برای بهره کشی از آن‌ها در یک شبکه با هدف استخراج غیرقانونی رمزارز، مشاهده شده است.

لری کشدالر، محقق امنیتی Akamai، در مقاله‌ای که روز یکشنبه منتشر شد، گفت: “تاکتیک اصلی این بدافزار گسترش با استفاده از سیستم‌های آسیب‌پذیر و اعتبارنامه‌های ضعیف ادمین است. پس از آلوده شدن، این سیستم‌ها برای استخراج رمزارز استفاده می‌شوند”.

این بدافزار مبتنی PHP، با اسم رمز “Capoae” (مخفف “Сканирование”، کلمه روسی “اسکن”)، گفته می‌شود که از طریق یک افزونه backdoor به افزونه وردپرس به نام “download-monitor” که پس از تحمیل موفقیت‌آمیز اعتبارنامه ادمین به وردپرس نصب می‌گردد، در دستگاه میزبان مستقر می‌شود. این حملات همچنین شامل استقرار یک فایل باینری مبتنی بر زبان برنامه‌نویسی Go با قابلیت رمزگشایی است که payload‌ های مبهم با استفاده از افزونه حاوی تروجان برای درخواست GET از یک دامنه تحت کنترل مهاجم بازیابی می‌شوند.

به نقل از هکرنیوز، همچنین یک ویژگی دیگر نیز برای رمزگشایی و اجرای payload‌ های اضافی وجود دارد و از طریق فایل باینری Golang که از چندین نقص اجرای کد از راه دور در Oracle WebLogic Server (CVE-۲۰۲۰-۱۴۸۸۲) ،NoneCms (CVE-۲۰۱۸-۲۰۰۶۲) و Jenkins ( CVE-۲۰۱۹-۱۰۰۳۰۲۹ و CVE-۲۰۱۹-۱۰۰۳۰۳۰) رنج می‌برد، بهره گرفته تا بتواند راه خود را به سیستم‌هایی که SSH را اجرا می‌کنند پیدا کرده و در نهایت نرم‌افزار استخراج XMRig را نصب و راه‌اندازی نماید.

جلوگیری از حملات باج‌افزار
علاوه بر این، زنجیره حمله به دلیل ترفند‌های خاص خود برای ماندگاری در دستگاه‌ها، که شامل انتخاب یک مسیر سیستمی با ظاهر قانونی در دیسک است که احتمالاً باینری سیستم در آن یافت می‌شود و همچنین ایجاد یک نام فایل تصادفی شش کاراکتری که بعداً برای کپی کردن باج‌افزار در محلی جدید در سیستم و قبل از حذف بدافزار و هنگام اجرا استفاده می‌گردد، شناخته می‌شود.

کشدالر گفت: “استفاده کمپین Capoae از آسیب‌پذیری‌ها و تاکتیک‌های متعدد نشان می‌دهد که این اپراتور‌ها به چه میزان قصد دارند تا جایی که ممکن است بر روی بسیاری از دستگاه‌ها برای رسیدن له مقصود خود تکیه کنند. خبر خوب این است که همان تکنیک‌هایی که ما به اکثر سازمان‌ها توصیه می‌کنیم تا سیستم‌ها و شبکه‌ها را ایمن نگه دارند، هنوز در این مورد قابل اعمال است”.

کشدالر افزود: “از اعتبارنامه‌های ضعیف یا پیش فرض برای سرور‌ها یا برنامه‌های کاربردی استفاده نکنید. همچنین اطمینان حاصل کنید که برنامه‌های کاربردیتان را با جدیدترین پچ‌های امنیتی به روز نگه می‌دارید و هر از گاهی آن‌ها را بررسی می‌کنید. به علاوه مراقب مصرف بیش از حد معمول منابع سیستم، فرایند‌های عجیب و غریب غیرمنتظره، فرایند‌های ساختگی مشکوک و لاگ‌های ورودی دسترسی مشکوک باشید. دقت، شناسایی و توجه به این موارد، به شما کمک می‌کند تا به طور بالقوه دستگاه‌های آسیب دیده را شناسایی کنید″.

21 سپتامبر 2021

محققان گفتند این دهمین سوء استفاده روز صفر بود که گوگل در روز دوشنبه ، گوگل رفع ۱۱ اشکال مختلف در Chrome را اعلام کرد ، از جمله دو روز صفر که در حال حاضر مورد سوء استفاده قرار می گیرند را وصله کرده بود.

گوگل همه ۱۱ مورد از اصلاحات و همچنین محققانی که آنها را کشف کرده اند و امتیازات اهدا شده را ذکر کرده است. اما دو مورد که بیشترین سروصداها را ایجاد کردند CVE-2021-30632 و CVE-2021-30633 بودند.

“گوگل آگاه است که سوء استفاده برای CVE-2021-30632 و CVE-2021-30633 وجود دارد.” این دو آسیب پذیری تنها مواردی بودند که در ۸ سپتامبر به صورت ناشناس ارائه شده بودند.

به عنوان بخشی از به روزرسانی کانال پایدار به ۹۳٫۰٫۴۵۷۷٫۸۲ برای ویندوز ، مک و لینوکس ، گوگل گفت ، همه به روز رسانی ها در روزها و هفته های آینده منتشر می شود.

Kevin Dunne، رئیس Pathlock ، گفت که این دهمین سوء استفاده روز صفر بود که گوگل در سال جاری وصله کرده بود.

Dunne  می گوید: “این نقطه عطف تأکید میکند که بازیگران بد از مرورگر سوء استفاده می کنند

و Chrome به عنوان یکی از محبوب ترین گزینه ها شناخته می شود و به شما این امکان را می دهد تا بدون در نظر گرفتن سیستم عامل ، به میلیون ها دستگاه دسترسی پیدا کنید.”

“تعهد گوگل برای وصله سریع این سوءاستفاده ها قابل ستایش است ، زیرا آنها Google Chrome را به عنوان نرم افزار رایگان کار می کنند و بنابراین تنها نهادی هستند که می توانند این به روز رسانی ها را ارائه دهند. ما انتظار داریم که ادامه بهره برداری های صفر روزه را ادامه دهیم ، اما اطمینان داریم که Google به تلاش برای امنیت و ارائه وصله های به موقع به این سوء استفاده ها ادامه می دهد. “

John Bambenek ، شکارچی اصلی تهدید در Netenrich ، افزود: اشکالات مرورگر که از بهره برداری در ذات سیستم کشف شده اند از مهمترین تهدیدهای امنیتی هستند.

او گفت: اکنون که آنها وصله شده اند ، بهره برداری افزایش می یابد.

همه می خواهند نحوه هک کردن را بیاموزند ؛ تعداد کمی از افراد در زمینه دفاع کار می کنند.

19 سپتامبر 2021
اصلاحیه‌های ماه سپتامبر مایکروسافت، بیش از ۶۰ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت مایکروسافت (Microsoft Corp)، هفته گذشته مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی سپتامبر منتشر کرد. اصلاحیه‌های مذکور بیش از ۶۰ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

درجه اهمیت ۳ مورد از آسیب‌پذیری‌های ترمیم شده این ماه حیاتی (Critical) و تقریباً تمامی موارد دیگر مهم (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم می‌کنند:
“افزایش سطح دسترسی” (Elevation of Privilege)
“عبور از سد امکانات امنیتی” (Security Feature Bypass)
“اجرای کد از راه دور” (Remote Code Execution)
“افشای اطلاعات” (Information Disclosure)
“منع سرویس” (Denial of Service – به‌اختصار DoS)
“جعل” (Spoofing)

۲ مورد از آسیب‌پذیری‌های ترمیم شده این ماه، از نوع روز – صفر هستند. اولین ضعف امنیتی “روز – صفر” که در این ماه ترمیم شده، آسیب‌پذیری موجود در MSHTML است که سوءاستفاده از آن اجرای کد از راه دور را در نسخه‌های مختلف سیستم‌عامل Windows برای مهاجم فراهم می‌کند. این آسیب‌پذیری دارای شناسه CVE-۲۰۲۱-۴۰۴۴۴ بوده و به طور فعال مورد سوءاستفاده قرار گرفته است. سه‌شنبه ۱۶ شهریور مایکروسافت نسبت به سوءاستفاده مهاجمان از این ضعف امنیتی هشدار و راهکارهای موقتی برای مقابله با آن ارائه داد.

مهاجم در این روش معمولاً یک سند Office برای کاربر ارسال کرده و کاربر را متقاعد می‌کند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیب‌پذیری موجود در MSHTML ، سوءاستفاده می‌کند.

جزئیات کامل این آسیب‌پذیری در لینک زیر قابل‌مطالعه است:
https://newsroom.shabakeh.net/۲۲۵۷۵/microsoft-mshtml-mitigations-workarounds-windows-vulnerability.html

لازم به ذکر است نحوه سوءاستفاده از آسیب‌پذیری مذکور، بر روی اینترنت در دسترس عموم قرار گرفته است.
دیگر ضعف امنیتی از نوع روز – صفر این ماه، آسیب‌پذیری با شناسه CVE-۲۰۲۱-۳۶۹۶۸ است که مربوط به Windows DNS و از نوع “افزایش سطح دسترسی” است. جزئیات این ضعف امنیتی به‌صورت عمومی افشا شده؛ اگرچه موردی در خصوص بهره‌جویی از آن گزارش نشده است.

از جدی‌ترین آسیب‌پذیری‌های ترمیم شده در این ماه می‌توان به ضعف امنیتی با شناسه CVE-۲۰۲۱-۳۶۹۶۵ اشاره کرد که از نوع اجرای کد از راه دور در Windows WLAN است. این ضعف امنیتی همانند آسیب‌پذیری موجود در MSHTML دارای درجه شدت ۸/۸ از ۱۰ است.

یکی دیگر از آسیب‌پذیری‌هایی که در این ماه ترمیم شده ضعفی با شناسه CVE-۲۰۲۱-۳۶۹۵۸ مرتبط با PrintNightmare است.

PrintNightmare به مجموعه‌ای از آسیب‌پذیری‌های امنیتی (با شناسه‌های CVE-۲۰۲۱-۱۶۷۵،CVE-۲۰۲۱-۳۴۵۲۷ و CVE-۲۰۲۱-۶۹۵۸) اطلاق می‌شود که سرویس Windows Print Spooler، راه‌اندازهای چاپ در Windows و قابلیت Point & Print Windows از آن متأثر می‌شوند. مایکروسافت به‌روز‌رسانی‌های امنیتی را برای آسیب‌پذیری‌ها با شناسه‌های CVE-۲۰۲۱-۱۶۷۵ و CVE-۲۰۲۱-۳۴۵۲۷ در ماه‌های ژوئن، ژوئیه و آگوست منتشر کرد. این شرکت پیش‌تر با انتشار توصیه‌نامه‌‌ای، راهکاری موقت برای ترمیم آسیب‌پذیری CVE-۲۰۲۱-۳۶۹۵۸ نیز ارائه کرده بود که اکنون اصلاحیه آن در دسترس قرار گرفته است.

از دیگر آسیب‌پذیری‌های بااهمیت این ماه ضعف امنیتی با شناسه CVE-۲۰۲۱-۲۶۴۳۵ است که Windows Scripting Engine از آن تأثیر می‌پذیرد. مهاجم می‌تواند با فریب کاربر درباز کردن یک فایل خاص یا بازدید از سایت حاوی فایل مخرب، اقدام به سوءاستفاده از این ضعف امنیتی کرده و حافظه دستگاه قربانی را مورد دست‌درازی قرار دهد.
آسیب‌پذیری حیاتی دیگر مربوط است به یک ضعف امنیتی با شناسه CVE-۲۰۲۱-۳۸۶۴۷ که از نوع اجرای کد از راه دور در Open Management Infrastructure است.

از دیگر آسیب‌پذیری‌های ترمیم شده در این ماه، می‌توان به ضعف امنیتی با شناسه CVE-۲۰۲۱-۳۶۹۵۵ اشاره کرد که از نوع افزایش سطح دسترسی در Windows Common Log File System است. مایکروسافت هشدار داده که پیچیدگی سوءاستفاده از این آسیب‌پذیری «کم» بوده و احتمال سوءاستفاده از آن «زیاد» است.

19 سپتامبر 2021
هدفگیری ساب سیستم ویندوز برای لینوکس توسط بدافزاری جدید با توانایی مصون ماندن شناسایی

تعدادی از نمونه‌های مخرب برای ساب سیستم ویندوز برای لینوکس (WSL) با هدف به خطر انداختن دستگاه‌های ویندوزی ایجاد شده است و روش زیرکانه‌ای را نشان می‌دهد که برای اپراتور‌ها این امکان را فراهم می‌کند تا از شناسایی مصون بمانند و حتی با وجود تجهیزات ضد بدافزار محبوب و شناخته شده، امکان تشخیص را خنثی کنند.

به مثال “Distinct tradecraft” اولین نمونه‌ای است که نشان می‌دهد یک عامل تهدید‌کننده از WSL برای نصب payload‌ های بعدی سواستفاده کرده است.

به نقل از هکر نیوز، محققان Lumen Black Lotus Labs در گزارشی که روز پنجشنبه منتشر کردند، گفتند: “این فایل‌ها به عنوان لودر‌هایی که payload ‍ی را که در نمونه جاسازی شده یا از سرور راه دور بازیابی شده بود و سپس با استفاده از تماس‌های API ویندوز به یک فرآیند در حال اجرا تزریق می‌شد، عمل می‌کنند”.

ساب سیستم ویندوز برای لینوکس، که در آگوست ۲۰۱۶ راه‌اندازی شد، یک لایه سازگاری است که برای اجرای اجزای دوتایی لینوکس (در قالب ELF) بطور بومی بر روی پلتفرم ویندوز بدون‌ آورهِد ماشین مجازی سنتی یا راه‌اندازی دوال بوت طراحی شده است.

قدیمی‌ترین موارد طراحی شده به ۳ ماه می‌سال ۲۰۲۱ برمی گردد که مجموعه‌ای از فایل‌های باینری لینوکس، هر دو تا سه هفته یکبار تا ۲۲ آگوست ۲۰۲۱ بارگذاری شده‌اند. نه تنها این نمونه‌ها در پایتون ۳ نوشته شده و با PyInstaller به ELF اجرایی تبدیل می‌شوند، بلکه فایل‌ها همچنین برای بارگیری کد shell را از یک سرور command-and-control از راه دور و با استفاده از PowerShell برای انجام فعالیت‌های بعدی در میزبان آلوده استفاده می‌شوند.

این payload ثانویه “shellcode” به یک فرآیند در حال اجرا ویندوز با استفاده از API Windows تزریق می‌شود که Lumen آن را “اجرای فایل باینری ELF در Windows” توصیف می‌کند، اما قبل از آن نمونه در راستی خاتمه دادن به فعالیت محصولات مشکوک آنتی ویروس و ابزار‌های تجزیه و تحلیل در دستگاه تلاش می‌نماید. علاوه بر این، با استفاده از لایبرری‌های استاندارد پایتون، برخی از گونه‌های دیگر را در ویندوز و لینوکس قابل پیوند و ارتباط می‌کند.

محققان می‌گویند: “تا کنون ما تعداد محدودی از نمونه‌ها را تنها با یک آدرس IP قابل رویت عمومی شناسایی کرده‌ایم، که نشان می‌دهد این فعالیت از نظر دامنه و گستره بسیار محدود است و یا به طور بالقوه هنوز در حال توسعه است. همچنان که مرز‌های مجزای بین سیستم عامل‌ها همچنان مبهم‌تر و کمتر می‌شوند، عاملان تهدید از سطوح حمله‌های جدید استفاده خواهند کرد″.

takian