فا

‫ اخبار

نتایج جستجو براساس برچسب:"اخبار"
انتشار به روز رسانی های مهم امنیتی سیسکو در July 2018

در روز 18 جولای سال 2018، کمپانی #سیسکو 25 به روز رسانی مهم برای رفع آسیب پذیری های موجود در برخی محصولات خود را منتشر کرد که مهمترین آن، رفع آسیب پذیری گذرواژه پیش فرض برای کاربر rootدر Cisco Policy Suiteبود که دارای درجه بندی Criticalبوده و این آسیب پذیری توسط شماره شناسایی CVE-2018-0375مشخص شده است.

CPSیکی از محصولات نرم افزاری کمپانی سیسکو می باشد که در 3 نسخه Mobile، WiFiو BNGآماده و در اختیار ISPها قرار داده می شود که توسط این ابزار، مدیران شبکه های بزرگ می توانند تمهیدات مدیریتی خود را برای پهنای باند شبکه و یا اینترنت بر روی کاربران یا مشتری های خود اعمال کنند. شایان ذکر است که این نرم افزار دارای یک رویکرد مونیتورینگ افراد در شبکه برای Trackکردن آنها، مشاهده ترافیک مورد استفاده آنها و اعمال قوانین خاص بر روی کاربران هم می باشد.

وجود گذرواژه پیش فرض بر روی کاربر rootاین نرم افزار، این اجازه را به نفوذگران می دهد که بتوانند از راه دور به این برنامه قدرتمند دسترسی با سطح rootداشته باشند و دستورات مخرب خود را بر روی آن اعمال کنند. به همین علت، این آسیب پذیری دارای نمره 8/9 از 10 در معیار CVSSv3می باشد. سیسکو نسخه به روز رسانی شده 18.2.0 این برنامه را منتشر کرده و اعلام نموده است که تمامی نسخه های قبل از این، دارای آسیب پذیری فوق هستند.

در طول 5 ماه گذشته، سیسکو 5 آسیب پذیری مشابه را رفع کرده است که از مهمترین آنها می توان وجود درب پشتی در محصولات  Prime Collaboration Provisioningو Digital Network Architecture CenterوIOS XE operating systemرا نام برد.

در کنار آسیب پذیری فوق، سیسکو 24 آسیب پذیری دیگر با شماره شناسایی های CVE-2018-0374و CVE-2018-0376و CVE-2018-0377را رفع کرده است که بسیاری از آنها بر روی نرم افزارهای خانواده Cisco Policy Suiteبوده که این نوع از آسیب پذیری ها همچون آسیب پذیری فوق، به نفوذگران اجازه ی دسترسی های خاص از راه دور را ممکن می سازد.

11 ساعت قبل برچسب‌ها: اخبار
گزارش آسیب پذیری های منتشر شده مرتبط با محصولات شرکت Oracle

طبق گزارش منتشر شده توسط #شرکت_Oracle، این شرکت تعداد 334 آسیب­ پذیری امنیتی را شناسایی کرده است. شرکت Oracle بیان کرده است در تاریخ 17 جولای (23/04/97) وصله امنیتی برای همه این آسیب پذیری ها منتشر خواهد شد.در فهرست این آسیب ­پذیری­ ها، مواردی با درجه آسیب پذیری 9.8 از نظر cvss3 نیز وجود دارد.این وصله­ ها برای 100محصول شرکت Oracle ارائه خواهد شد و لازم است افراد مسئول و ارائه دهندگان سرویس­هایی که از محصولات این شرکت استفاده می­کنند، نسبت به بروزرسانی محصولات خود اقدام نمایند.یکی از وصله­ ها، مرتبط با محصول پایگاه داده‌ی این شرکت است که تعداد سه آسیب پذیری بحرانی را برطرف می­کند. این آسیب پذیری ها، برای حمله کننده امکان دسترسی و اجرای کد از راه دور را فراهم می کنند. مهم­ترین محصولات آسیب­ پذیرشامل MySQL، JAVA SE، Siebel CRM و محصولات مجازی سازی شرکت Oracle می­ باشد.

دریافت گزارش

25 تیر 1397 برچسب‌ها: هشدارها و راهنمایی امنیتی, اخبار
هشدار : افزایش حجم حملات Brute Force به سرویس‌دهنده‌های SSH در سطح کشور

 

مشاهدات میدانی مرکز ماهر در روزهای اخیر نشان دهنده افزایش حجم حملات Brute Force به سرویس‌دهنده‌های #SSH در سطح  کشور می باشد. از این‌رو در مستند حاضر تعدادی از مهمترین روش‌های مقاوم‌سازی این سرویس‌دهنده در برابر این‌گونه از حملات بیان شده است. 

 

 

دانلود مستند

17 تیر 1397 برچسب‌ها: اخبار, مستندات مرجع
ظهور بدافزار جديد بانکداری اندرويد مرتبط با بدافزار Lokibot

محققان اخیراً یک تروجان بانکداری جدید کشف کردند که نسخه‌های 7 و 8 اندروید را هدف قرار می‌دهد و از کارگزار فرمان و کنترل (C & C) مشابه با #تروجان‌های_LokiBotو Threat Fabricاستفاده می‌کند.

طبق نظریه‌ی محققان، این تروجان جدید که MysteryBotنامیده می‌شود، یا یک به‌روزرسانی از تروجان LokiBotو یا یک خانواده‌ی جدید بدافزار از همان فعالان تهدید است. این تهدید جدید سایبری، چندین تفاوت نسبت به LokiBotدارد. این تفاوت‌ها شامل نام، دستورات بهبودیافته و ارتباطات شبکه‌ی اصلاح‌شده است.

این بدافزار جدید علاوه‌بر ویژگی‌های عمومی تروجان‌های اندرویدی، دارای قابلیت‌های تماس با شماره‌ی تلفن داده‌شده، دریافت لیست اطلاعات تماس، تماس‌های انتقال‌یافته، کپی تمام پیامک‌ها، وارد‌کردن ضربات کلید، رمزگذاری فایل‌ها در ذخیره‌سازی خارجی، حذف همه‌ی مخاطبین، ارسال پیامک به تمام مخاطبین، تغییر برنامه‌ی پیش‌فرض پیامک، تماس با یک شماره‌ی USSD، حذف تمام پیامک‌ها و ارسال پیامک است.

علاوه‌بر این قابلیت‌ها، این تروجان می‌تواند صفحات ماحیگری را در بالای برنامه‌های مشروع قرار دهد و برای انجام این‌کار، از یک تکنولوژی جدید به‌منظور اطمینان از موفقیت در دستگاه‌های اندروید 7 و 8 استفاده می‌کند.

محدودیت‌های امنیتی پیشرفته‌ی لینوکس (SELinux) و سایر کنترل‌های امنیتی در نسخه‌های جدید اندروید، به معنای جلوگیری از نمایش بدافزارها بر روی برنامه‌های مشروع است. تکنیک جدیدی که MysteryBotاز آن استفاده می‌کند، مجوز "Android PACKAGE_USAGE_STATS" (مجوز استفاده‌ی مجدد) را برای ازبین‌بردن محدودیت‌ها دستکاری می‌کند و همچنین از "Accessibility Service" برای دریافت مجوزها سوءاستفاده می‌کند.

این بدافزار، خود را به‌عنوان یک برنامه‌ی Adobe Flash Playerتحمیل می‌کند و از قربانی می‌خواهد تا «مجوز دسترسی استفاده» که قابلیت‌های نامطلوبی را فراهم می‌کند، به آن اعطا کند. پس از آن تلاش می‌کند تا نام بسته‌های برنامه‌ها را در پیش‌زمینه نظارت کند. MysteryBotبا استفاده از هم‌پوشانی، بیش از 100 برنامه از جمله بانکداری تلفن همراه و برنامه‌های اجتماعی را هدف قرار می‌دهد.

MysteryBotهمچنین از روش جدیدی برای واردکردن ضربات کلید استفاده می‌کند. این بدافزار، محل کلیدهای روی صفحه را محاسبه می‌کند (درنظر می‌گیرد که هر کلید، دارای یک موقعیت مکانی روی صفحه است) و مختصات دیگری را بر روی هر یک از آن‌ها قرار می‌دهد (عرض و ارتفاع صفر پیکسل) که به او اجازه می‌دهد تا کلید فشار داده‌شده را ثبت کند.

به‌نظر می‌رسد که کد این بدافزار همچنان در حال توسعه است، زیرا هنوز قابلیت ارسال ضربات کلید واردشده به کارگزار C & Cرا ندارد.

MysteryBotهمچنین شامل قابلیت‌های قفل‌کننده/باج‌افزاری است که توسط داشبورد جداگانه‌ای از این تروجان مدیریت می‌شوند. این تروجان می‌تواند هر فایل را به‌طور جداگانه در پوشه‌ی ذخیره‌سازی خارجی رمزگذاری کند و سپس فایل های اصلی را حذف کند.

این بدافزار هر فایل را در بایگانی ZIPمحافظت‌شده با گذرواژه قرار می‌دهد، اما از گذرواژه‌ی مشابه برای همه‌ی بایگانی‌ها استفاده می‌کند (این کلید در طول زمان اجرا تولید می‌شود). هنگام تکمیل رمزگذاری، این بدافزار، یک گفتگو را نمایش می‌دهد که ادعا می‌کند قربانی، موارد خطرناکی را مشاهده کرده است و از او می‌خواهد تا از طریق پست الکترونیکی، با مهاجم تماس بگیرد.

محققان امنیتی دریافتند که گذرواژه‌ی این بدافزار فقط 8 کاراکتر طول دارد و از حروف الفبای لاتین (حروف بزرگ و کوچک) همراه با عدد استفاده می‌کند. علاوه‌براین، شناسه‌ی اختصاص داده‌شده به هر قربانی، تنها می‌تواند یک عدد بین 0 و 9999 باشد؛ به این معنی که همان شناسه می‌تواند در واقع به چندین قربانی اختصاص داده شود.

متخصصان فن‌آوری اطلاعات هنگام تجزیه و تحلیل ویژگی‌های باج‌افزاری MysteryBot، چندین خطا را شناسایی کردند. از آنجایی که گذرواژه‌ی این بدافزار فقط 8 کاراکتر طول دارد به‌راحتی می‌توان آن‌را با حمله‌ی جستجوی فراگیر به‌دست آورد. همچنین، این احتمال وجود دارد که شناسه‌ی منحصربه‌فرد داده‌شده به قربانی را بتوان با قربانی جدید با همان شناسه رونویسی کرد. بنابراین، قربانیان قدیم قادر نخواهند بود اطلاعات خود را بازیابی کنند.

به‌نظر می‌رسد Mysterybotیک گام جدید در توسعه‌ی نرم‌افزارهای مخرب بانکداری برای اندروید باشد که هم ویژگی‌های مخرب Lokibotو هم ویژگی‌های باج‌افزاری و دریافت ضربات کلید را دارد.

12 تیر 1397 برچسب‌ها: اخبار
انتشار به‌روزرسانی امنيتی ماه ژوئن سال 2018 مايکروسافت

#مایکروسافت در به‌روزرسانی امنیتی ماه ژوئن سال 2018 خود در مجموع 51 آسیب‌پذیری را در محصولاتی همچون سیستم‌عامل‌های ویندوز، مرورگرهای Microsoft Edgeو Internet Explorerو مجموعه محصولات Microsoft Officeبرطرف ساخته است.

شایان ذکر است که چرخه‌ی امنیتی ماه جاری نسبتاً خوب بوده است، زیرا هیچ آسیب‌پذیری روز صفرمی کشف نشده است؛ اما این بدان معنی نیست که وصله‌کردن سیستم‌ها به تأخیر بیفتد.

مهم‌تر از همه، مایکروسافت در این به‌روزرسانی مقابله‌ی بیشتری در برابر نسخه‌ی 4 آسیب‌پذیری Spectreارایه داده است وحال انتظار می‌رود Intelنیز به‌روزرسانی‌های ریزکد جدیدی را برای رفع این نقص ارسال نماید.

مایکروسافت در این وصله، آسیب‌پذیری CVE-2018-8225را برطرف می‌سازد. این آسیب‌پذیری یک نقص اجرای کد راه دور DNSAPIویندوز است که به مهاجم اجازه می‌دهد کد دلخواه را در متن حساب سیستمی محلی اجرا نماید.  برای سوءاستفاده از این آسیب‌پذیری، مهاجم از کارگزار DNSمخربی برای ارسال پاسخ‌های DNSخراب به هدف استفاده خواهد کرد. مایکروسافت ادعا می‌کند احتمال سوءاستفاده از این آسیب‌پذیری کم است و در حال حاضر هیچ سوءاستفاده‌ی شناخته‌‌شده‌ای وجود ندارد. تمامی نسخه‌های ویندوز، از جمله Windows 10تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند.

در به‌روزرسانی امنیتی ماه جاری، مایکروسافت آسیب‌پذیری بحرانی CVE-2018-8231که اجازه اجرای کد راه دور را می‌دهد نیز رفع کرده است. آسیب‌پذیری اجرای کد راه دور زمانی وجود دارد که پشته‌ی پروتکل HTTP(HTTP.sys) اشیا را در حافظه به‌درستی به‌کار نگیرد. مهاجمی که از این آسیب‌پذیری سوءاستفاده کرده باشد می‌تواند کد دلخواه را اجرا و کنترل سیستم هدف را در دست گیرد. مایکروسافت ادعا می‌کند، احتمال سوءاستفاده از این آسیب‌پذیری نیز اندک است. برای سوءاستفاده از این آسیب‌پذیری لازم است مهاجم یک فایل ساختگی را به یک کارگزار HTTP.sysارسال کند. این به‌روزرسانی جدید، روشی که پشته‌ی پروتکل HTTPاشیا را در حافظه به‌کار می‌گیرد تصحیح کرده است. تنها Windows 10تحت‌تأثیر این آسیب‌پذیری قرار گرفته است و به کاربران توصیه می‌شود هر چه سریعتر این آسیب‌پذیری را وصله کنند.

تمامی به‌روزرسانی‌های ماه ژوئن حال از طریق Windows Updateدر دسترس هستند و در حال حاضر هیچ اشکال شناخته‌شده‌ای وجود ندارد.

12 تیر 1397 برچسب‌ها: اخبار
هدف قرار گرفتن دستگاه‌های اندروید توسط نوع جدیدی از حمله‌ی Rowhammer به‌نام RAMpage

یک تیم از محققان امنیتی، تغییر جدیدی در روش حمله‌ی #Rowhammer کشف کردند که به مهاجم اجازه می‌دهد تا یک سوءاستفاده را برای کنترل گوشی‌های هوشمند و تبلت‌های اندروید ایجاد کند. این نقص (CVE-2018-944)، بر دستگاه‌های اندرویدی که در سال 2012 تولید شده‌اند، تأثیر می‌گذارد.

به گفته‌ی محققان، نقص Rowhammerطی دو سال گذشته، از یک خطای اختلال DRAMکه به‌سختی قابل سوءاستفاده بود، به یک بردار حمله‌ی قدرتمند تبدیل شده است. این روش حمله‌ی جدید که RAMpageنامیده می‌شود، مجموعه‌ای از حملات Rowhammerمبتنی بر DMA  در برابر آخرین نسخه از سیستم‌عامل اندروید است که شامل یک سوء‌استفاده‌ی ریشه و یک مجموعه‌ از سناریوهای سوءاستفاده‌ی برنامه به برنامه است که تمام سیستم‌های دفاعی را دور می‌زند.

DMA‌ به یک دستگاه ورودی/خروجی (I/O) اجازه می‌دهد تا اطلاعات را به‌طور مستقیم از حافظه‌ی اصلی دریافت یا به آن ارسال کند و CPUرا برای سرعت‌بخشیدن به عملیات حافظه دور بزند. این فرایند، توسط یک تراشه‌ که به‌عنوان یک کنترل‌کننده‌ی DMA(DMAC) شناخته شده است، مدیریت می‌شود.

نقص اصلیRowhammer  که در سال 2015 کشف شد، روشی برای بارگیری ردیف سلول‌های حافظه در دستگاه‌های DRAMبرای تغییر حالت سلول‌ها از یک حالت به حالت دیگر است. این نوع تغییر بیت، به‌عنوان تداخل الکتریکی یا نشت ترانزیستور نیز توصیف شده است. اولین‌بار، پروژه‌ی Zeroاز گوگل، آسیب‌پذیری Rowhammerرا کشف کرد و نشان داد که چگونه یک برنامه‌ی مخرب می‌تواند این بیت‌ها را در سلول‌ها تولید کند و امتیازات سطح هسته را در لپ‌تاپ‌ها و رایانه‌های شخصی به‌دست آورد.

در سال 2016، محققان متوجه شدند که چگونه روش حمله‌ی Rowhammerمی‌تواند به دستگاه‌های اندروید اعمال شود و دسترسی ریشه به میلیون‌ها گوشی اندروید ازجمله Nexus، سامسونگ، ال‌جی و موتورولا را به‌دست آورد.

این نوع حمله‌، کمی از حمله‌ی Rowhammerکه متکی به تکنیک Flip Feng Shuiاست، متفاوت است. یک روش سوءاستفاده‌ی Flip Feng Shui، اندازه‌ی بخشی از حافظه‌ که در آن، حافظه‌ی اختصاص داده شده به‌صورت پویا (heap) مستقر است را به‌دقت انتخاب می‌کند. سپس حمله‌ی Rowhammer، آن بخشی از حافظه که می‌تواند حالت بیت‌های حافظه‌ی مجاور را تغییر دهد، هدف قرار می‌دهد و شرایط لازم برای دستکاری حافظه را ایجاد می‌کند. طبق گفته‌ی محققان، این تغییرات بیتی می‌تواند به سادگی تغییردادن 0 به1 یا 1 به 0 باشد.

آخرین نسخه‌ی Rowhammer(RAMpage)، به روش‌ مشابه عمل می‌کند. RAMpage، یک سیستم مدیریت جهانی حافظه‌ی عمومی اندروید را که "ION" نامیده می‌شود و در سال 2011 به‌عنوان بخشی از اندروید 4.0 توسط گوگل معرفی شده است، هدف قرار می‌دهد. این بخش، بخشی از زیرسیستم مورد استفاده برای مدیریت و تخصیص حافظه است. حمله‌ی RAMpage، شامل یک درخواست نوشتن و بازخوانی در حافظه‌ی دستگاه است (تا زمانی که یک بیت را در ردیف مجاور تغییر دهد) تا راهی برای دستکاری دستگاه باز ‌کند. پیش‌نیاز یک حمله‌ی احتمالی این است که کاربر، یک برنامه‌ی غیرمجاز را که قادر به انجام حمله است، نصب کند.

خوشبختانه، محققان ابزاری به‌نام "GuardION" منتشر کردند که یک کاهش نرم‌افزاری بر علیه حملات RAMpageاست. به گفته‌ی آنان، این ابزار با اجرای دقیق یک سیاست انزوای جدید، مانع از حمله‌ی مهاجم برای تغییر ساختار‌ داده‌های حیاتی می‌شود. GuardIONاز دستگاه در برابر همه‌ی بردارهای حمله‌ی شناخته‌شده‌ی Rowhammerمحافظت می‌کند و هیچ تکنیک موجودی نمی‌تواند آن‌را از دور بزند. اگرچه GuardIONهنوز در سیستم‌عامل مستقر نشده است، اما تلاش‌های زیادی برای تحقق این امر وجود دارد. کد منبع GuardIONبه‌صورت وصله، از نوع وصله‌ی هسته در دسترس است. در حال حاضر این وصله به‌طور گسترده در دسترس نیست و فقط برای Google Pixelکه اندروید 7.1.1 را اجرا می‌کند، مورد آزمایش قرار گرفته است.

همانطور که گفته شد، این حمله تمامی دستگاه‌های اندرویدی که در سال 2012 تولید شده‌اند را هدف قرار می‌دهد، اما در صورتی که کاربران، برنامه‌های کاربردی را از منابع مورد اعتماد مانند Google Playدانلود کنند، می‌توانند از دستگاه‌های خود در برابر این حمله محافظت نمایند.

12 تیر 1397 برچسب‌ها: اخبار
هشدار در خصوص انتشار باج افزار Cybersccp در کانال های تلگرامی فارسی زبان

مشاهدات اخیر در فضای سایبری کشور مخصوصاً در پیام‌رسان تلگرام حاکی از آن است که یک باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت با پیامی به شرح زیر در حال انتشار است:

 

 

 

دانلود مطلب

4 تیر 1397 برچسب‌ها: اخبار
باج افزار Crypton

#‫باج_افزار #Crypton نسخه جدیدی از خود را در ماه مه سال جاری میلادی منتشر کرده که از طریق سرویس‌های آسیب‌پذیر remote desktopخود را به سیستم قربانیان می‌رساند. گزارش‌های ناشی از آلودگی کاربران ایرانی به این باج‌افزار نشان از لزوم آگاهی رسانی و پیشگیری در برابر این با‌ج‌افزار دارد.

بررسی‌های اولیه نشان داد که این بدافزار برای دشوار کردن تحلیل، نام کتابخانه‌ها، توابع و رشته‌های مورد استفاده را مبهم کرده است.

دریافت متن کامل خبر 

4 تیر 1397 برچسب‌ها: اخبار
HeroRat؛ تروجان کنترل از راه دور جدید اندرویدی مبتنی بر تلگرام

تلگرام به خاطر امنیت کافی و امکانات زیادی که در اختیار توسعه‌دهندگان قرار می‌دهد، مورد توجه توسعه‌دهندگان و درنتیجه هکرها نیز هست. اکنون کارشناسان شرکت ESETپرده از سومین تروجان کنترل از راه دور اندرویدی برداشته‌اند که با استفاده از یک ربات تلگرامی کنترل می‌شود. این تروجان تحت نام برنامه‌هایی فریبنده روی دستگاه کاربر نصب شده و کنترل کامل دستگاه را به دست هکرها می‌سپارد.

محققان شرکت امنیتی ESETیک خانواده جدید از تروجان‌های کنترل از راه دور (RAT) اندروید را کشف نموده‌اند که از پروتکل تلگرام برای کنترل و فرمان و استخراج داده سوء استفاده می‌نماید.

در ابتدا کارشناسان بر این باور بوده‌اند که فعالیت‌های جدیدی که مشاهده نموده‌اند نتیجه فعالیت دو تروجان کنترل از راه دور IRRATو TeleRATاست که قبلاً شناسایی شده بوده‌اند. این دو تروجان نیز از پروتکل تلگرام استفاده می‌نمایند. اما پس از بررسی‌های دقیق‌تر، کارشناسان به این نتیجه رسیدند که با یک خانواده جدید بدافزار روبرو هستند که لااقل از آگوست سال 2017 در حال فعالیت است. در ماه مارس 2018 کد منبع این بدافزار توسط کانال‌های تلگرامی هکرها منتشر شد و در نتیجه هزاران نسخه از این بدافزار اکنون به صورت موازی در حال فعالیت است.

در این گزارش، یکی از این توزیع‌ها که با بقیه متفاوت است مورد بررسی قرار گرفته است. جدای از اینکه کد منبع این توزیع به صورت رایگان وجود دارد، روی کانال‌های تلگرامی به صورت فروشی تحت عنوان HeroRatقرار دارد. این بدافزار با سه طرح و قیمت مختلف به همراه ویدیو‌های راهنما ارایه می‌شود. معلوم نیست که کدامیک از این نسخه‌ها از کدی که منتشر شده ساخته شده و یا اگر این نسخه اصلی بدافزار است کد کدامیک از نسخه‌ها منتشر شده است.

مهاجمین با استفاده از نام برنامه‌های مختلف کاربران را ترغیب می‌نمایند که این بدافزار را نصب نمایند (برنامه‌هایی که معمولاً از طریق شبکه‌های اجتماعی و یا بازار‌های ناامن در اختیار کاربران قرار می‌گیرد). این بدافزار در ایران به صورت برنامه‌هایی برای استخراج بیت‌کوین، اتصال رایگان اینترنت و اضافه کردن فالوور در شبکه‌های اجتماعی دیده شده است. هیچ‌کدام از این بدافزار‌ها در گوگل‌پلی مشاهده نشده‌اند.

این بدافزار روی همه نسخه‌های اندروید اجرا می‌شود. اما بدافزار برای اجرای درست نیاز به اجازه‌هایی دارد که از کاربر می‌گیرد. در این مرحله معمولاً با ترفند‌های مهندسی اجتماعی این اجازه‌ها از کاربر گرفته می‌شود.

پس از نصب بدافزار و اجرای آن روی دستگاه قربانی، یک پیام به نمایش در آمده و اعلام می‌کند که این برنامه امکان اجرا روی دستگاه را نداشته و بنابراین حذف خواهد شد. در نسخه‌های بررسی شده یک پیام به زبان فارسی یا انگلیسی، بسته به زبان پیش‌فرض دستگاه، به کاربر نشان داده می‌شود.

پس از اینکه به نظر می‌رسد فرایند حذف برنامه تمام شده است، آیکون برنامه هم حذف می‌شود؛ اما مهاجم همچنان کنترل کامل روی دستگاه قربانی دارد.

با ایجاد دسترسی روی دستگاه قربانی، مهاجم با استفاده از بات تلگرام، می‌تواند کنترل دستگاه را به دست گیرد. هر دستگاه تسخیر شده توسط یک بات کنترل می‌شود که توسط مهاجم روی برنامه تلگرام ایجاد می‌شود.

بدافزار قابلیت‌های جاسوسی و استخراج داده زیاد و قدرت‌مندی دارد. سرقت لیست پیام‌ها و مخاطبین، ارسال و دریافت تماس و پیام کوتاه، ضبط صدا و تصویر صفحه نمایش، پیدا کردن محل تلفن همراه و کنترل تنظیمات دستگاه از قابلیت‌های این بدافزار است.

قابلیت‌های بدافزار HeroRatدر سه سطح دسته‌بندی شده و برای فروش ارایه شده است. سطح برنزی، نقره‌ای و طلایی این بدافزار به ترتیب 25، 50 و 100 دلار قیمت دارند. همچنین کد منبع این بدافزار با قیمت 650 دلار به فروش می‌رسد.

قابلیت‌های بدافزار به صورت دکمه‌هایی در بات تلگرام قابل دسترسی هستند. مهاجم می‌تواند به سادگی و با استفاده از این دکمه‌ها، دستگاه قربانی را کنترل کند.

بر خلاف تروجان‌های قبلی که از پروتکل تلگرام سو استفاده می‌نمودند و با جاوا توسعه یافته بودند، این بدافزار با زبان C#و فریم‌ورک Xamarinکه یک ابزار کم کاربرد برای توسعه برنامه‌های اندرویدی است توسعه یافته است.

نحوه استفاده بدافزار از پروتکل تلگرام با زبان توسعه بدافزار وفق داده شده و این بدافزار از کتابخانه Telesharpبرای ایجاد بات در زبان C#استفاده می‌نماید. همچنین علاوه بر ارتباط برای دستور به بدافزار، برای استخراج اطلاعات نیز از پروتکل تلگرام استفاده می‌شود.

با توجه به اینکه کد منبع این بدافزار به صورت رایگان در دسترس قرار دارد، امکان دارد با نام‌های مختلفی توزیع شده و دستگاه‌های زیادی را آلوده نماید. این تنوع کار را برای تشخیص بدافزار سخت می‌کند.

برای جلوگیری از آلودگی توسط این بدافزار و بدافزار‌های مشابه، توصیه می‌شود تا هیچ گاه برنامه‌ای از منبعی غیر از بازار‌های رسمی برنامه‌های اندرویدی و ترجیحاً گوگل پلی نصب نشود. همچنین بایستی از نصب برنامه‌هایی با نام شرکت سازنده ناشناس خودداری نمود. در زمان نصب برنامه نیز باید به اجازه‌هایی که برنامه از کاربر می‌گیرد دقت نمود.

4 تیر 1397 برچسب‌ها: اخبار
آسیب‌پذیری‌ سیستم‌های عامل NX-OS و FX-OS در تجهیزات سیسکو

سیسکو در روز ۳۰ خرداد، اطلاعات چندین آسیب‌پذیری حیاتی را در محصولات خود منتشر نمود. این آسیب‌پذیری ها عموما در محصولات Nexsus و Firepower و سیستم‌های عامل مربوط به آن‌ها ( NX-OS و FXOS ) شناسایی شده اند. این آسیب‌پذیری‌ها عبارتند از:

  • اجرای کد از راه دور در قسمت NX-API سیستم عامل NX-OS

  • اجرای کد از راه دور در سرویس دهنده Fabric در سیستم عامل‌های FXOS و NX-OS

  • اجرای کد از راه دور به صورت تزریق دستور در سیستم‌عامل NX-OS

  • منع خدمت در پروتکل SNMP سیستم‌عامل NX-OS

  • افزایش سطح دسترسی از طریق ACL در سیستم‌عامل NX-OS

  • منع خدمت و یا اجرای کد از راه دور در سرویس دهنده IGMP سیستم‌عامل NX-OS

  • منع خدمت در BGP سیستم‌عامل NX-OS

  • آسیب‌پذیری در حساب مدیر سیستم در سیستم‌عامل NX-OS و  FXOS

  • افزایش دسترسی در قسمت NX-API سیستم عامل NX-OS

  • منع خدمت در سرویس‌دهنده CDP سیستم عامل‌های FXOS و NX-OS و UCS

  • منع خدمت در سرویس دهنده Fabric در سیستم عامل‌های FXOS و NX-OS

  • اجرای کد از راه دور به صورت مستقیم در سیستم‌عامل NX-OS

  • مسیرپیمایی در محصولات Firewall نسل بعد

 

در بسیاری از موارد بالا، آسیب‌پذیری ها از موارد عنوان شده گسترده تر بوده و از درجه اهمیت بحرانی (۱۰ از ۱۰) برخوردار هستند. در صورت استفاده از این سرویس‌دهنده ها و محصولات سیسکو مخصوصا محصولات درج شده در لیست زیر، سیستم‌عامل مسیریاب و یا سو‌ئیچ خود را بروز نمایید:

 

  • Cisco Nexus 3000 and 9000 Series

  • Cisco Nexus 4000 Series

  • Cisco FXOS Software and UCS Fabric Interconnect

  • Cisco Firepower 4100 Series Next-Generation Firewall and Firepower 9300 Security Appliance

منابع:

https://tools.cisco.com/security/center/publicationListing.x

https://www.us-cert.gov/ncas/current-activity/2018/06/20/Cisco-Releases-Security-Updates-Multiple-Products

1 تیر 1397 برچسب‌ها: اخبار
صفحات: 1 2 3 4 5 ... » »»