‫ اطلاع‌رسانی‌ها

مشاهدات اخیر در فضای سایبری کشور مخصوصاً در پیام‌رسان تلگرام حاکی از آن است که یک باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت با پیامی به شرح زیر در حال انتشار است:

دانلود مطلب

#‫باج_افزار #Crypton نسخه جدیدی از خود را در ماه مه سال جاری میلادی منتشر کرده که از طریق سرویس‌های آسیب‌پذیر remote desktopخود را به سیستم قربانیان می‌رساند. گزارش‌های ناشی از آلودگی کاربران ایرانی به این باج‌افزار نشان از لزوم آگاهی رسانی و پیشگیری در برابر این با‌ج‌افزار دارد.

بررسی‌های اولیه نشان داد که این بدافزار برای دشوار کردن تحلیل، نام کتابخانه‌ها، توابع و رشته‌های مورد استفاده را مبهم کرده است.

دریافت متن کامل خبر 

تلگرام به خاطر امنیت کافی و امکانات زیادی که در اختیار توسعه‌دهندگان قرار می‌دهد، مورد توجه توسعه‌دهندگان و درنتیجه هکرها نیز هست. اکنون کارشناسان شرکت ESETپرده از سومین تروجان کنترل از راه دور اندرویدی برداشته‌اند که با استفاده از یک ربات تلگرامی کنترل می‌شود. این تروجان تحت نام برنامه‌هایی فریبنده روی دستگاه کاربر نصب شده و کنترل کامل دستگاه را به دست هکرها می‌سپارد.

محققان شرکت امنیتی ESETیک خانواده جدید از تروجان‌های کنترل از راه دور (RAT) اندروید را کشف نموده‌اند که از پروتکل تلگرام برای کنترل و فرمان و استخراج داده سوء استفاده می‌نماید.

در ابتدا کارشناسان بر این باور بوده‌اند که فعالیت‌های جدیدی که مشاهده نموده‌اند نتیجه فعالیت دو تروجان کنترل از راه دور IRRATو TeleRATاست که قبلاً شناسایی شده بوده‌اند. این دو تروجان نیز از پروتکل تلگرام استفاده می‌نمایند. اما پس از بررسی‌های دقیق‌تر، کارشناسان به این نتیجه رسیدند که با یک خانواده جدید بدافزار روبرو هستند که لااقل از آگوست سال 2017 در حال فعالیت است. در ماه مارس 2018 کد منبع این بدافزار توسط کانال‌های تلگرامی هکرها منتشر شد و در نتیجه هزاران نسخه از این بدافزار اکنون به صورت موازی در حال فعالیت است.

در این گزارش، یکی از این توزیع‌ها که با بقیه متفاوت است مورد بررسی قرار گرفته است. جدای از اینکه کد منبع این توزیع به صورت رایگان وجود دارد، روی کانال‌های تلگرامی به صورت فروشی تحت عنوان HeroRatقرار دارد. این بدافزار با سه طرح و قیمت مختلف به همراه ویدیو‌های راهنما ارایه می‌شود. معلوم نیست که کدامیک از این نسخه‌ها از کدی که منتشر شده ساخته شده و یا اگر این نسخه اصلی بدافزار است کد کدامیک از نسخه‌ها منتشر شده است.

مهاجمین با استفاده از نام برنامه‌های مختلف کاربران را ترغیب می‌نمایند که این بدافزار را نصب نمایند (برنامه‌هایی که معمولاً از طریق شبکه‌های اجتماعی و یا بازار‌های ناامن در اختیار کاربران قرار می‌گیرد). این بدافزار در ایران به صورت برنامه‌هایی برای استخراج بیت‌کوین، اتصال رایگان اینترنت و اضافه کردن فالوور در شبکه‌های اجتماعی دیده شده است. هیچ‌کدام از این بدافزار‌ها در گوگل‌پلی مشاهده نشده‌اند.

این بدافزار روی همه نسخه‌های اندروید اجرا می‌شود. اما بدافزار برای اجرای درست نیاز به اجازه‌هایی دارد که از کاربر می‌گیرد. در این مرحله معمولاً با ترفند‌های مهندسی اجتماعی این اجازه‌ها از کاربر گرفته می‌شود.

پس از نصب بدافزار و اجرای آن روی دستگاه قربانی، یک پیام به نمایش در آمده و اعلام می‌کند که این برنامه امکان اجرا روی دستگاه را نداشته و بنابراین حذف خواهد شد. در نسخه‌های بررسی شده یک پیام به زبان فارسی یا انگلیسی، بسته به زبان پیش‌فرض دستگاه، به کاربر نشان داده می‌شود.

پس از اینکه به نظر می‌رسد فرایند حذف برنامه تمام شده است، آیکون برنامه هم حذف می‌شود؛ اما مهاجم همچنان کنترل کامل روی دستگاه قربانی دارد.

با ایجاد دسترسی روی دستگاه قربانی، مهاجم با استفاده از بات تلگرام، می‌تواند کنترل دستگاه را به دست گیرد. هر دستگاه تسخیر شده توسط یک بات کنترل می‌شود که توسط مهاجم روی برنامه تلگرام ایجاد می‌شود.

بدافزار قابلیت‌های جاسوسی و استخراج داده زیاد و قدرت‌مندی دارد. سرقت لیست پیام‌ها و مخاطبین، ارسال و دریافت تماس و پیام کوتاه، ضبط صدا و تصویر صفحه نمایش، پیدا کردن محل تلفن همراه و کنترل تنظیمات دستگاه از قابلیت‌های این بدافزار است.

قابلیت‌های بدافزار HeroRatدر سه سطح دسته‌بندی شده و برای فروش ارایه شده است. سطح برنزی، نقره‌ای و طلایی این بدافزار به ترتیب 25، 50 و 100 دلار قیمت دارند. همچنین کد منبع این بدافزار با قیمت 650 دلار به فروش می‌رسد.

قابلیت‌های بدافزار به صورت دکمه‌هایی در بات تلگرام قابل دسترسی هستند. مهاجم می‌تواند به سادگی و با استفاده از این دکمه‌ها، دستگاه قربانی را کنترل کند.

بر خلاف تروجان‌های قبلی که از پروتکل تلگرام سو استفاده می‌نمودند و با جاوا توسعه یافته بودند، این بدافزار با زبان C#و فریم‌ورک Xamarinکه یک ابزار کم کاربرد برای توسعه برنامه‌های اندرویدی است توسعه یافته است.

نحوه استفاده بدافزار از پروتکل تلگرام با زبان توسعه بدافزار وفق داده شده و این بدافزار از کتابخانه Telesharpبرای ایجاد بات در زبان C#استفاده می‌نماید. همچنین علاوه بر ارتباط برای دستور به بدافزار، برای استخراج اطلاعات نیز از پروتکل تلگرام استفاده می‌شود.

با توجه به اینکه کد منبع این بدافزار به صورت رایگان در دسترس قرار دارد، امکان دارد با نام‌های مختلفی توزیع شده و دستگاه‌های زیادی را آلوده نماید. این تنوع کار را برای تشخیص بدافزار سخت می‌کند.

برای جلوگیری از آلودگی توسط این بدافزار و بدافزار‌های مشابه، توصیه می‌شود تا هیچ گاه برنامه‌ای از منبعی غیر از بازار‌های رسمی برنامه‌های اندرویدی و ترجیحاً گوگل پلی نصب نشود. همچنین بایستی از نصب برنامه‌هایی با نام شرکت سازنده ناشناس خودداری نمود. در زمان نصب برنامه نیز باید به اجازه‌هایی که برنامه از کاربر می‌گیرد دقت نمود.

#باج_افزار Cryptonنسخه جدیدی از خود را در ماه مه سال جاری میلادی منتشر کرده که از طریق سرویس‌های آسیب‌پذیر remote desktopخود را به سیستم قربانیان می‌رساند. گزارش‌های ناشی از آلودگی کاربران ایرانی به این باج‌افزار نشان از لزوم آگاهی رسانی و پیشگیری در برابر این با‌ج‌افزار دارد.

بررسی‌های اولیه نشان داد که این بدافزار برای دشوار کردن تحلیل، نام کتابخانه‌ها، توابع و رشته‌های مورد استفاده را مبهم کرده است. برای این کار بدافزار از روش جانشانی ساده‌ای استفاده کرده است. این امر باعث می‌شود در زمان اجرای بدافزار، این رشته‌ها کدگشایی و کتابخانه‌های مورد استفاده بارگذاری شوند. بدافزار پس از اجرا شدن، در اولین گام، زبان مورد استفاده سیستم را بررسی می‌کند و در صورتی که یکی از زبان‌های روسی، اوکراینی و قرافستانی باشد به فعالیت خود خاتمه می‌دهد. همچنین‌ بدافزار اجرا شدن در دیباگر و ماشین های مجازی را تشخیص می‌دهد و در صورت تشخیص دادن اجرا در چنین محیط‌هایی به فعالیت خود خاتمه می‌دهد

دانلود گزارش تحلیلی

دانلود گزارش فنی

به تازگی گونه ای از #باج_افزار با نام فایل smsss.exe که نام مشخصی برای آن در نظر گرفته نشده است، توسط تیم های تحقیقاتی کشف شده است. این باج ­افزار به زبان سی­ شارپ و تحت پلتفرم دات­ نت توسعه داده شده است و از جهت نحوه دور زدن آنتی­ ویروس­ها یکی از جالب­ترین و بروزترین باج ­افزارهاست که از امکانات بی­ نظیر ماشین مجازی دات­ نت برای این کار استفاده کرده است. این باج ­افزار کد مخرب خود را به صورت کد سی شارپ توسعه الگوریتم متقارن AES رمزنگاری کرده و به صورت رشته ­های هگزادسیمال درون فایل اصلی جای داده است. سپس با کمک کامپایلر سی ­شارپ که در زمان اجرا قابل دسترسی است، کد را کامپایل کرده و تابع اصلی کد مخرب را فراخوانی می­کند. سپس کد مخرب اقدام به رمزنگاری فایل­ها توسط الگوریتم متقارن AES می­کند. این روش باعث شده تا تحلیل و ردیابی آن برای آنتی ­ویروس­ها و تیم­ های تحقیقاتی سخت­ تر شود. نکته جالب توجه آن است که باج ­افزار کلید رمزنگاری را درون یک فایل ذخیره می­کند و کاربر می‌تواند با دانستن نحوه کار الگوریتم، فایل­ها را رمزگشایی کند. احتمالا این قضیه نشان می­دهد این باج ­افزار هنوز در مرحله توسعه قرار دارد.

دانلود گزارش کامل باج افزار

با وجود اینکه امنیت در حوزه های فناوری اطلاعات و ارتباطات عمومی یک امر متداول است، در گذشته حفاظت از برنامه‌های کنترل صنعتی در مقابل دسترسی غیرمجاز یا حتی حملات شدید مورد توجه نبوده است. ولی از زمان حمله معروف بدافزار Stuxnet، این وضعیت تغییر کرده است. مؤسسات دولتی مانند ICS-CERT یا دفتر فدرال آلمان برای امنیت اطلاعات (BSI، مخفف نام آلمانی آن) افزایش چشمگیری در حوادث امنیتی را در کارخانه‌ها، نیروگاه‌ها و دیگر برنامه‌های اتوماسیون صنعتی گزارش کردند.
امروزه، حفاظت در مقابل انواع حوادث برای تجهیزات اتوماسیون ماشین‌های صنعتی، کارخانه‌ها و نیروگاه ها به منظور حفاظت از موارد زیر اجتناب ناپذیر است:
•    دسترس پذیری عملکرد کنترلر
•    عملکرد برنامه
•    محرمانگی برنامه  و کد منبع برنامه
•    یکپارچگی عملکرد برنامه، عملکرد سیستم توسعه و اجزای بکار گرفته شده
•    کنترل کل عملکرد
•    صحت کنترلرها و اطلاعات آنها
علاوه بر بهبود عملکرد، بهبود امنیت باید به طور دائمی رو به افزایش باشد. اما دستیابی به امنیت 100 درصدی امکان پذیر نیست، طوری که اگر سیستمی با جدیدترین عناصر امنیتی نیز طراحی شده باشد، ممکن است از طریق اتصالات به شبکه‌های تأمین کنندگان، پیمانکاران و شرکا آسیب‌پذیر باشد.
1-2    نحوه بکارگیری و هدف این گزارش
این گزارش سازندگان دستگاه‌های اتوماسیون هوشمند، «یکپارچه سازان سیستمی » و اپراتورهای برنامه‌های کنترل صنعتی را قادر خواهد ساخت تا با استفاده از معیارهای یکپارچه امنیتی در CODESYS (نرم افزار اتوماسیون سازگار با استاندارد IEC 61131-3) از تأسیسات خود محافظت کنند. این گزارش مقدمه‌ای درباره موضوعات امنیتی در اتوماسیون و سیستم‌های کنترل صنعتی ارائه کرده، مسئولیت نهادهای مشارکت کننده را مشخص کرده و نشان می‌دهد کدام معیارهای کنونی و آتی CODESYS در ایجاد سطح مطلوب امنیت کمک رسانی خواهند کرد. به علاوه، نحوه مدیریت آسیب‌پذیری‌های شناسایی شده CODESYS را نیز نشان می‌دهد.

دانلود پیوست

بانک‌های اطلاعاتی به طور معمول توسط یک سازمان نگهداری و کنترل می‌شوند. در نتیجه امکان  مداخله و یا سانسور اطلاعات توسط این سازمان وجود دارد و بانک اطلاعاتی در برابر دستکاری و تغییرات خرابکارانه داده‌ها آسیب پذیر است. یک راه برای اینکه مطمئن شویم که یک موجودیت بانک اطلاعاتی را دستکاری نکرده است این است که بانک اطلاعاتی، عمومی باشد و هر کس بتواند یک نسخه از ان را برای خود نگهداری کند. در نتیجه هر کس برای اینکه بفهمد نسخه کپی او دست نخورده و سالم است، می‌تواند آنرا با نسخه دیگران مقایسه کند. این شیوه تا زمانی که داده‌ها استاتیک باشد مناسب است اما اگر امکان تغییر و افزوده شدن اطلاعات جدید وجود داشته باشد، مشکل سازگاری نسخه‌های توزیع شده پیش می‌آید. در نتیجه موجودیت‌هایی که یک نسخه کپی از بانک اطلاعاتی را در اختیار دارند باید تصمیم بگیرند که چه تغییراتی مجاز است و این تغییرات به چه ترتیبی باید اعمال شوند. فناوری #زنجیره_بلوکی  این مشکل را با ایجاد شبکه از کامپیوترها (گره‌ها) که هر یک یک کپی از #بانک_اطلاعاتی را در اختیار دارد و همچنین مجموعه قوانینی که مشخص‌کننده ترتیب اعمال تغییرات جدید است بر طرف می‌کند. 

دانلود کامل مستند

اخیراً کاربران شبکه اینترنت درگیر #باج‌_افزاری به نام Gandcrabبودند که از طریق ایمیل منتشر می‌شد. این باج‌افزار و بسیاری از بدافزارهای دیگر از خانواده‌ای بدافزاری به نام Phorpiex  (یا Trick) برای انتشار خود استفاده می‌کنند. Phorpiexیک بات‌نت است که چندین سال است با استفاده از پروتکل IRCبا سرور فرماندهی و کنترل خود ارتباط برقرار می‌کند و فرمان‌های بدخواهانه شامل دانلود سایر بدافزارها، ارسال ایمیل و کرک میل سرور را روی سیستم قربانیان اجرا می‌کند. Phorpiexبدافزار پیشرفته و پیچیده‌‌ای محسوب نمی‌شود اما به مدت ده سال است که فعال بوده و برای انتشار بسیاری از خانواده‌های بدافزاری مورد استفاده قرار گرفته است.

تحلیل برخی از بدافزارهای این خانواده نشان دهنده آن است که مشخصات فایل pdbاین بدافزار که در زمان کمپایل تولید شده در رشته‌های برنامه موجود است. این رشته (C:\Users\x\Desktop\Home\Code\Trik v6.0 - WORK - doc\Release\Trik.pdb) در بسیاری از بدافزارها که مربوط به سال‌های اخیر بوده‌اند قابل مشاهده است و به نظر می‌رسد این بدافزارها نیز توسط توسعه دهنده این خانواده بدافزاری توسعه داده شده‌اند. نکته قابل توجه این است که اخیراً بدافزارهای دارای رشته مذکور با تکرار بالایی در سایت  virustotalبارگذاری شده‌اند که نشان دهنده آن است که احتمالاً این بدافزار به تازگی در کمپین‌های فعال بدافزاری در حال استفاده شدن است.

گزارش تحلیل

بررسی این بدافزار نشان دهنده آن است که بدافزار کد خود را مبهم‌سازی نکرده است. در اولین مرحله پس از اجرا شدن، بدافزار نسخه‌ای از خود را با یکی از نام‌های winsvc.exe، Winsrvc.exe، winmgr.exe، Winsam.exeیا Windsrcn.exeدر یکی از سه دایرکتوری زیر کپی می‌کند:

• C:\Windows
• C:\Users\$USERNAME\%TEMP%
• C:\Users\$USERNAME\

بدافزار از روش‌‌های ساده‌ای برای گریز از تشخیص داده شدن و تحلیل استفاده کرده است

دریافت کامل گزارش تحلیلی 

سیسکو در روز ۳۰ خرداد، اطلاعات چندین آسیب‌پذیری حیاتی را در محصولات خود منتشر نمود. این آسیب‌پذیری ها عموما در محصولات Nexsus و Firepower و سیستم‌های عامل مربوط به آن‌ها ( NX-OS و FXOS ) شناسایی شده اند. این آسیب‌پذیری‌ها عبارتند از:

• اجرای کد از راه دور در قسمت NX-API سیستم عامل NX-OS

• اجرای کد از راه دور در سرویس دهنده Fabric در سیستم عامل‌های FXOS و NX-OS

• اجرای کد از راه دور به صورت تزریق دستور در سیستم‌عامل NX-OS

• منع خدمت در پروتکل SNMP سیستم‌عامل NX-OS

• افزایش سطح دسترسی از طریق ACL در سیستم‌عامل NX-OS

• منع خدمت و یا اجرای کد از راه دور در سرویس دهنده IGMP سیستم‌عامل NX-OS

• منع خدمت در BGP سیستم‌عامل NX-OS

• آسیب‌پذیری در حساب مدیر سیستم در سیستم‌عامل NX-OS و  FXOS

• افزایش دسترسی در قسمت NX-API سیستم عامل NX-OS

• منع خدمت در سرویس‌دهنده CDP سیستم عامل‌های FXOS و NX-OS و UCS

• منع خدمت در سرویس دهنده Fabric در سیستم عامل‌های FXOS و NX-OS

• اجرای کد از راه دور به صورت مستقیم در سیستم‌عامل NX-OS

• مسیرپیمایی در محصولات Firewall نسل بعد

در بسیاری از موارد بالا، آسیب‌پذیری ها از موارد عنوان شده گسترده تر بوده و از درجه اهمیت بحرانی (۱۰ از ۱۰) برخوردار هستند. در صورت استفاده از این سرویس‌دهنده ها و محصولات سیسکو مخصوصا محصولات درج شده در لیست زیر، سیستم‌عامل مسیریاب و یا سو‌ئیچ خود را بروز نمایید:

• Cisco Nexus 3000 and 9000 Series

• Cisco Nexus 4000 Series

• Cisco FXOS Software and UCS Fabric Interconnect

• Cisco Firepower 4100 Series Next-Generation Firewall and Firepower 9300 Security Appliance

منابع:

https://tools.cisco.com/security/center/publicationListing.x

https://www.us-cert.gov/ncas/current-activity/2018/06/20/Cisco-Releases-Security-Updates-Multiple-Products

مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ باج‌افزار ShinoLockerخبر می‌دهد.بررسی­ ها نشان  می­ دهد فعالیت این باج­ افزار در اوایل ماه می سال 2018 میلادی شروع شده است. به نظر می رسد خانواده‌ باج‌افزار ShinoLockerبرای اهداف آموزشی توسعه داده شده است و تنها فایل‌هایی که بر روی Desktopوجود دارند را رمزگذاری می‌کند. در نسخه‌های قدیمی باج‌افزار ShinoLockerقربانیان به راحتی می‌توانستند با برقراری ارتباط با سرور کنترل و فرمان (C&C) کلید رمزگشایی فایل‌ها را دریافت نمایند، اما در نسخه‌ی جدید به دلایل مختلف امکان دریافت کلید رمزگشایی پس از برقراری ارتباط با سرور C&Cوجود ندارد.

دانلود پیوست