هشدار مرکز ماهر؛ کشف آسیب پذیری در یک داشبورد مدیریتی/دسترسی راه دور مهاجم به سرور

/در , , , , /توسط
 
مرکز ماهر نسبت به شناسایی و کشف آسیب پذیری در داشبورد مدیریتی تحت وب تحلیل های آماری «الاستیک سرچ » هشدار داد. این آسیب پذیری امکان اخذ دسترسی از راه دور را روی سرور فراهم می کند.
 
 یک آسیب‌پذیری حیاتی در داشبورد مدیریتی کیبانا (‫kibana ) شناسایی و گزارش شده است. kibana یک داشبورد تحت وب جهت مدیریت و تصویرسازی و تحلیل های آماری است که معمولا در کنار پایگاه داده‌ elasticsearch استفاده می شود.
 
«الاستیک سرچ » یکی از مهمترین بانکهای اطلاعاتی سندگرا و جزء بهترین کتابخانه های جستجوی متن شناخته می شود.
 
این آسیب پذیری خطرناک با شناسه‌ CVE-۲۰۱۹-۷۶۰۹ با درجه CVSS ۱۰ امکان اخذ دسترسی از راه دور را روی سرور فراهم می کند. ضعف امنیتی مربوطه در سرویس Timelion visualizer بوده و از نوع command Injection است (CWE-۷۷).
 
نسخه های آسیب پذیر این ابزار شامل همه نسخه های قبل از ۵.۶.۱۵ و همچنین نسخه های ۶.۰.۰ تا قبل از ۶.۶.۱ است.
 
مرکز ماهر از کاربران خواست با توجه به انتشار exploit (بهره برداری) سواستفاده از این آسیب پذیری درفضای اینترنت و امکان اخذ دسترسی از راه دور توسط مهاجمین، هرچه سریعتر درخصوص به روز رسانی این ابزار اقدام کنند.

بدافزار جاسوسی سایبری از دیپلمات‌ها کشف شد

/در , , , , /توسط
تیم امنیتی کسپرسکی از کشف بدافزاری که ارتباطات وب رمزگذاری شده را به خطر می اندازد خبر داده که این بدافزار برای جاسوسی سایبری از دیپلمات‌ها به کار گرفته شده است.
 به نقل از مرکز ماهر، بدافزار جدیدی کشف شده که ارتباطات وب رمزگذاری شده (ترافیک HTTPS) را به روشی چشمگیر به خطر می‌اندازد. تجزیه و تحلیل این بدافزار تأیید می کند که اپراتورها یک سری کنترل خاص روی کانال شبکه‌ هدف دارند و می‌توانند نصب کننده‌های قانونی را با موارد آلوده در حال اجرا جایگزین کنند.
 
این نسل جدید از بدافزار کشف شده که Reductor نام دارد اجازه می‌دهد مهاجم ترافیک پروتکل HTTPS را توسط آسیب پذیری موجود در فرآیند تولید اعداد تصادفی یک مرورگر که برای اطمینان از اتصال خصوصی بین مشتری و سرور استفاده می‌شود، دستکاری کند.
 
Reductor پس از یک مسیر .pdb در برخی از نمونه‌ها به جا مانده است. علاوه بر کارکردهای معمول تابع RAT، مانند بارگذاری، بارگیری و اجرای فایل ها، نویسندگان Reductor تلاش زیادی را برای دستکاری در صدور گواهینامه‌های دیجیتال و علامت گذاری برون مرزی ترافیک TLS با شناسه‌های مرتبط با میزبان انجام می‌دهند.
 
تیم جهانی تحقیقاتی و تجزیه و تحلیل (GReAT) در کسپرسکی، این بدافزار را کشف کرده‌اند.
 
طبق گفته‌ آنها هنگامی‌که کسی از طریق این بدافزار آلوده شود، از Reductor برای جاسوسی از فعالیت مرورگر قربانی، استفاده می‌شود.
 
محققان گفتند که از Reductor برای جاسوسی سایبری از دیپلمات ها که عضوی از جمهوری های پس از اتحاد جماهیر شوروی هستند و به عنوان کشورهای مستقل مشترک المنافع شناخته می‌شوند، استفاده می‌شود.
 
این محققان گفتند Reductor ارتباط نزدیکی با تروجان COMpfun دارد.

هشدار مرکز افتا؛ ویندوزهای جدید هدف اصلی تروجان های جاسوسی

/در , , , , , /توسط
 
مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به فعالیت تروجان های جاسوسی که به کاربران ویندوزهای جدید حمله می کند هشدار داد و از کاربران خواست ایمیل های ناشناس را باز نکنند.
 
 به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، تروجان‌های Ave Maria و Negasteal از طریق ایمیل‌های اسپمی مخرب، با محتوای اسناد مالی جعلی یا اسناد جعلی مربوط به شرکت‌های حمل و نقل ارسال می‌شوند.
 
این تروجان‌ها دارای قابلیت‌های ثبت صفحه کلید (keylogging)، تهیه اسکرین‌شات و ثبت تصاویر وب‌کم و همچنین دریافت اطلاعات ذخیره شده در کلیپ‌برد و مرورگرها، هستند.
 
در صورت اجرای موفق بدافزارها در سیستم آلوده، اطلاعات مورد هدف مانند نام‌کاربری و گذرواژه‌ها از طریق پروتکل‌های HTTP، IMAP، POP۳ و SMTP سرقت می‌شوند.
 
برنامه‌های مورد هدف نیز Microsoft Outlook، Windows Messaging، Internet Explorer، Google Chrome، Foxmail، Thunderbird و Firefox هستند.
 
 علاوه بر این Ave Maria می‌تواند فایل دلخواه را در سیستم هدف ایجاد و ویرایش، لیست پوشه‌ها، فایل‌ها و فرایندهای پردازشی را دریافت و فرایندهای پردازشی در حال اجرا را متوقف کند.
 
پژوهشگران TrendMicro می‌گویند: نسخه RAT استفاده شده در این عملیات دارای قابلیت‌های بیشتری نسبت به یک جاسوس‌افزار است. این بدافزار می‌تواند کنترل‌های UAC را دور بزند و سطح دسترسی خود را افزایش دهد.
 
تروجان‌های استفاده شده در عملیات اسپم مخرب، از یک تروجان جاسوسی معمولی به بدافزارهای RAT خطرناک ارتقا یافته‌اند که این امر نشان‌ می‌دهد، مجرمین سایبری در حال حرکت به سمت انتقال payloadهای مخرب‌تر و سودآورتر مانند باج‌افزارها هستند.
 
در این عملیات از فایل‌های ISO مبهم‌سازی شده با AutoIT و همچنین پیوست‌های RAR و LZH استفاده شده است تا از شناسایی بدافزار جلوگیری شود. فایل‌های ISO می‌توانند برای دور زدن فیلترهای اسپم به کار گرفته شوند. از طرفی این فایل‌ها در نسخه‌های جدیدتر ویندوز به راحتی اجرا می‌شوند.
 
اسناد مخرب پس از دانلود، بدافزارهای Negasteal و Ave Maria مبهم‌سازی شده توسط AutoIT را استخراج می‌کنند.
 
کارشناسان معاونت بررسی مرکز افتا از همه کاربران سیستم های رایانه ای می‌خواهند تا برای در امان ماندن سیستم‌هایشان از اینگونه تروجان‎‌ها از باز کردن ایمیل‌های ناشناخته خودداری کنند .

سلام! اسم من Dtrack است: یک بدافزار بانکی!

/در , , , , /توسط
تحقیقات ما روی Dtrack RAT در واقع طی اقدامی متفاوت کلید خورد. اواخر تابستان سال 2018 ATMDtrack را کشف کردیم؛ یک بدافزار بانکی که بانک‌های هندی را مورد هدف قرار می‌داد. 
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ با تحلیل‌های بیشتر پی بردیم این بدافزار بدین منظور طراحی شده بود که روی دستگاه خودپرداز قربانی ایمپلنت شود؛ جایی که می‌تواند اطلاعات کارت‌های واردشده به دستگاه را خوانده و آن‌ها را ذخیره نماید. ما به طور خاص سعی داشتیم اطلاعات بیشتری در خصوص این بدافزار ATM در اختیار داشته باشیم و از همین رو از YARA و Kaspersky Attribution Engine برای کشف مطالب جالبتر استفاده کردیم: بیش از 180 نمونه بدافزار جدید از یک ابزار جاسوسی که بدان Dtrack می‌گویند.
تمامی نمونه‌های Dtrack که آن اوایل پیدا کرده بودیم، نمونه‌های دراپ‌شده بودند؛ زیرا پی‌لود واقعی با دراپرهای مختلف رمزگذاری شده بود- موفقیت ما در پیدا کردن آن‌ها به دلیل توالی خاصی بود که توسط ATMDtrack و انباشته‌های مموری Dtrack به اشتراک گذاشته شده بود. و بعد بسیار جالب شد زیرا وقتی آخرین پی‌لود را کدگشایی نموده و باری دیگر از Kaspersky Attribution Engine استفاده کردیم، متوجه شباهت‌هایش با کمپین DarkSeoul (که به سال 2013 برمی‌گردد) منسوب به گروه لازاروس شدیم. به نظر می‌رسد که آن‌ها مجدداً بخشی از کد قدیمی خود را برای حمله به بخش مالی و مراکز تحقیقاتیِ هند استفاده کردند. بر طبق تله‌متری ما، آخرین فعالیت DTrack اوایل سپتامبر 2019 شناسایی شد.
جزئیات فنی
این دراپر، پی‌لودِ رمزگذاری‌شده‌ی خود را در قالب اُورلیِ فایل PE (بعنوان اطلاعات بیشتر) که هرگز در مراحل عادیِ اجرا استفاده نخواهند شد جاگذاری می‌کند. روتینِ رمزگشایی‌اش –که بخشی از پچ فیزیکیِ قابل‌اجراست- جایی بین دو قابلیت start() و WinMain() آغاز می‌گردد. جالب اینجاست که نویسندگان این بدافزار، کد مخرب خود را در یک باینری جاگذاری کردند که یک قابل‌اجرای بی‌ضرر بود. در برخی موارد، پروژه‌ی پیش‌فرض Visual Studio MFC بود اما می‌توانست هر برنامه‌ی دیگر نیز باشد.
اطلاعات اُورلیِ رمزگشایی‌شده شامل موارد زیر است:
قابل‌اجرای افزوده
شِل‌کُدِ پروسه‌ی خالی‌سازی
فهرستی از اسامی قابل‌اجرای از پیش‌تعریف‌شده که بدافزار از آن به عنوان اسمِ آتیِ فرآیند استفاده می‌کند.
این نام از فهرستی از پیش‌تعریف‌شده می‌آید که در اُورلیِ رمزگشایی‌شده پیدا شده بود. همانطور که در فهرست فایل رمزگشایی زیر مشاهده می‌کنید، تمام اسامی از فولدر %SYSTEM32% می‌آیند.
fontview.exe
dwwin.exe
wextract.exe
runonce.exe
grpconv.exe
msiexec.exe
rasautou.exe
rasphone.exe
extrac32.exe
mobsync.exe
verclsid.exe
ctfmon.exe
charmap.exe
write.exe
sethc.exe
control.exe
presentationhost.exe
napstat.exe
systray.exe
mstsc.exe
cleanmgr.exe
داخل دراپر چیست؟
بعد از اجرا، هدفِ پروسه‌ی خالی‌سازی به حالت تعلیق درمی‌آید تا مموری‌اش با پی‌لود قابل‌اجرای رمزگشایی‌شده از سوی اورلیِ دراپر جانویسی شود. سپس، روند هدف از سر گرفته می‌شود.
دراپرها حاوی انواع مختلفی از قابل‌اجراها هستند که هدف همه‌شان جاسوسی کردنِ قربانیست. در زیر، فهرست تکمیل‌نشده‌ی کارکردهای انواع گوناگون قابل‌اجراهای پی‌لود Dtrack کشف‌شده را مشاهده می‌کنید:
کی‌لاگینگ
بازیابی تاریخچه مرورگر
جمع‌‌آوری آدرس‌های  IP میزبان، اطلاعاتی در خصوص شبکه‌های موجود و کانکشن‌های فعال
فهرست‌بندیِ همه‌ی فرآیندهای در حال اجرا
فهرست‌بندیِ همه‌ی فایل‌های روی تمامی حجم‌های موجود دیسک
درست در همین نقطه، فلسفه‌ی طراحی فریم‌ورک کمی گنگ می‌شود. برخی از قابل‌اجراها، داده‌های جمع‌آوری‌شده را در آرشیو حفاظت‌شده با رمزعبور بسته‌بندی می‌کنند و این درحالیست که بقیه‌شان اطلاعات را مستقماً برای سرور C&C ارسال می‌کنند.
جدا از قابل‌اجراهایی که در فوق بدان‌ها اشاره شده، دراپرها همچنین حاوی تروجان‌های دسترسی ریموت (RAT) بودند. قابل‌اجرای  RAT به مجرمان اجازه می‌دهد تا عملیات‌های مختلف را روی میزبان اجرا کند؛ می‌توان از بین آن‌ها به آپلود/دانلود، اجرای فایل‌ها اشاره نمود. برای دریافت فهرست کامل عملیات‌ها، به جدول زیر مراجعه نمایید.
شناسه فرمان شرح
1003 آپلود فایل در کامپیوتر قربانی
1005 ثابت کردن فایل هدف با اجرای خودکار روی میزبانی قربانی
1006 دانلود فایل از کامپیوتر قربانی
1007 خالی کردنکل حجم اطلاعات دیسک و آپلود آن در میزبانی که مجرمان کنترلش می‌کنند
1008 خالی کردن حجم دیسک انتخاب‌شده و آپلودش در میزبانی که مجرمان کنترلش می‌کنند
1011 خالی کردن فولدر انتخاب‌شده و آپلودش در میزبانی که مجرمان کنترلش می‌کنند
1018 تنظیم عدد جدیدی برای تعیین فاصله زمانی بین چک‌ کردن فرمان‌های جدید
1023 خروج و از بین بردن دوام و خودِ باینتری
پیش‌فرض اجرای فرآیند روی میزبانی قربانی
 
شباهت‌های بین دو بدافزار Dtrack و ATMDTrack
ATMDTrack زیرمجموعه‌ی خانواده‌ی DTrack است. این دو بدافزار علیرغم شباهت‌هایشان به صورت طبیعی ظاهری متفاوت از هم دارند. برای مثال، برخلاف نمونه‌های ATMDTrack که اصلاً رمزگذاری نمی‌شوند، پی‌لودِ Dtrack در دراپر رمزگذاری می‌شود. اما بعد از رمزگشایی پی‌لود Dtrack، روشن می‌شود که توسعه‌دهندگان همان گروه افرادند: هر دو همان سبک را دارند و هر دو از همان کارکردهای اجرایی استفاده می‌کنند. واضح‌ترین کارکرد مشترک‌شان، دستکاری رشته‌هاست. کارش چک کردن این است که آیا در آغاز رشته‌ی پارامتر، زیررشته‌ی CCS_ وجود دارد یا خیر. سپس اگر وجود داشته باشد آن را قطع می‌کند و رشته‌ی اصلاح‌شده‌اش را برمی‌گرداند. در غیر این صورت از اولین بایت به عنوان XOR استفاده کرده و رشته‌ی رمزگشایی‌شده را بازمی‌گرداند.
 
 
نتیجه‌گیری
وقتی برای اولین بار ATMDtrack را کشف کردیم، فکر کردیم بار دیگر با خانواده‌ای از بدافزارهای ATM طرف هستیم چون شاهد ظهور خانواده‌های جدیدی از بدافزار ATM هستیم (طبق روالی خاص). با این حال، این مورد باری دیگر ثابت کرد که نوشتن قوانین درستِ YARA تا چه میزان اهمیت دارد؛ زیرا بدین‌ترتیب می‌توانید به ارتباطات بین خانواده‌های بدافزار در گذشته پی ببرید. یکی از نمونه‌های فراموش‌نشدنی، پرونده‌ی WannaCry بود. اکنون می‌توانیم به انبار مهمات گروه لازاروس، ATMDtrack و Dtrack را نیز اضافه کنیم.
تعداد زیاد نمونه‌های Dtrack که پیدا کردیم نشان می‌دهد گروه لازاروس یکی از فعال‌ترین گروه‌های APT از حیث ساخت بدافزار است. این گروه همچنان دارد با سرعتی بالا اقدام به ساخت بدافزار می‌کند و دامنه‌ی عملیات‌های خود را نیز توسعه می‌دهد. ما ابتدا نمونه‌های اولیه‌ی این خانواده‌ی بدافزارها را سال 2013 دیدیم (وقتی به سئول رسید). اکنون شش سال از آن زمان می‌گذرد و هنوز شاهد آن در هند هستیم که دارد همچنان مؤسسات مالی و مراکز تحقیقاتی را مورد حمله قرار می‌دهد. می‌بینیم که این گروه از ابزارهای مشابهی برای اجرای هر دو حملات جاسوسی و حملاتی با انگیزه‌ی مالی استفاده می‌کند. مجرمان برای موفقیت در بخش جاسوسی باید قادر باشند دست‌کم روی شبکه‌ی داخلی نظارت داشته باشد و این بدان معناست که سازمان‌های مورد هدف احتمالاً مشکلا امنیتی بی‌شماری داشته‌اند از جمله:
سیاست‌های ضعیف امنیت شبکه‌ای
سیاست‌های ضعیف رمزعبور
نبود نظارت روی ترافیک
از این رو، توصیه‌ی ما به شرکت‌ها این است که:
سیاست‌های شبکه‌ای و رمزعبور خود را سفت و سخت‌تر بگیرند
از نرم‌افزار نظارت ترافیک مثل Kaspersky Anti Targeted Attack Platform (KATA) استفاده کنند
از راه‌حل‌های آنتی‌ویروس استفاده کنند
IoCs
8f360227e7ee415ff509c2e443370e56
3a3bad366916aa3198fd1f76f3c29f24
F84de0a584ae7e02fb0ffe679f96db8d

سلام! اسم من Dtrack است: یک بدافزار بانکی!

/در , , , , /توسط
تحقیقات ما روی Dtrack RAT در واقع طی اقدامی متفاوت کلید خورد. اواخر تابستان سال 2018 ATMDtrack را کشف کردیم؛ یک بدافزار بانکی که بانک‌های هندی را مورد هدف قرار می‌داد. 
به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ با تحلیل‌های بیشتر پی بردیم این بدافزار بدین منظور طراحی شده بود که روی دستگاه خودپرداز قربانی ایمپلنت شود؛ جایی که می‌تواند اطلاعات کارت‌های واردشده به دستگاه را خوانده و آن‌ها را ذخیره نماید. ما به طور خاص سعی داشتیم اطلاعات بیشتری در خصوص این بدافزار ATM در اختیار داشته باشیم و از همین رو از YARA و Kaspersky Attribution Engine برای کشف مطالب جالبتر استفاده کردیم: بیش از 180 نمونه بدافزار جدید از یک ابزار جاسوسی که بدان Dtrack می‌گویند.
تمامی نمونه‌های Dtrack که آن اوایل پیدا کرده بودیم، نمونه‌های دراپ‌شده بودند؛ زیرا پی‌لود واقعی با دراپرهای مختلف رمزگذاری شده بود- موفقیت ما در پیدا کردن آن‌ها به دلیل توالی خاصی بود که توسط ATMDtrack و انباشته‌های مموری Dtrack به اشتراک گذاشته شده بود. و بعد بسیار جالب شد زیرا وقتی آخرین پی‌لود را کدگشایی نموده و باری دیگر از Kaspersky Attribution Engine استفاده کردیم، متوجه شباهت‌هایش با کمپین DarkSeoul (که به سال 2013 برمی‌گردد) منسوب به گروه لازاروس شدیم. به نظر می‌رسد که آن‌ها مجدداً بخشی از کد قدیمی خود را برای حمله به بخش مالی و مراکز تحقیقاتیِ هند استفاده کردند. بر طبق تله‌متری ما، آخرین فعالیت DTrack اوایل سپتامبر 2019 شناسایی شد.
جزئیات فنی
این دراپر، پی‌لودِ رمزگذاری‌شده‌ی خود را در قالب اُورلیِ فایل PE (بعنوان اطلاعات بیشتر) که هرگز در مراحل عادیِ اجرا استفاده نخواهند شد جاگذاری می‌کند. روتینِ رمزگشایی‌اش –که بخشی از پچ فیزیکیِ قابل‌اجراست- جایی بین دو قابلیت start() و WinMain() آغاز می‌گردد. جالب اینجاست که نویسندگان این بدافزار، کد مخرب خود را در یک باینری جاگذاری کردند که یک قابل‌اجرای بی‌ضرر بود. در برخی موارد، پروژه‌ی پیش‌فرض Visual Studio MFC بود اما می‌توانست هر برنامه‌ی دیگر نیز باشد.
اطلاعات اُورلیِ رمزگشایی‌شده شامل موارد زیر است:
قابل‌اجرای افزوده
شِل‌کُدِ پروسه‌ی خالی‌سازی
فهرستی از اسامی قابل‌اجرای از پیش‌تعریف‌شده که بدافزار از آن به عنوان اسمِ آتیِ فرآیند استفاده می‌کند.
این نام از فهرستی از پیش‌تعریف‌شده می‌آید که در اُورلیِ رمزگشایی‌شده پیدا شده بود. همانطور که در فهرست فایل رمزگشایی زیر مشاهده می‌کنید، تمام اسامی از فولدر %SYSTEM32% می‌آیند.
fontview.exe
dwwin.exe
wextract.exe
runonce.exe
grpconv.exe
msiexec.exe
rasautou.exe
rasphone.exe
extrac32.exe
mobsync.exe
verclsid.exe
ctfmon.exe
charmap.exe
write.exe
sethc.exe
control.exe
presentationhost.exe
napstat.exe
systray.exe
mstsc.exe
cleanmgr.exe
داخل دراپر چیست؟
بعد از اجرا، هدفِ پروسه‌ی خالی‌سازی به حالت تعلیق درمی‌آید تا مموری‌اش با پی‌لود قابل‌اجرای رمزگشایی‌شده از سوی اورلیِ دراپر جانویسی شود. سپس، روند هدف از سر گرفته می‌شود.
دراپرها حاوی انواع مختلفی از قابل‌اجراها هستند که هدف همه‌شان جاسوسی کردنِ قربانیست. در زیر، فهرست تکمیل‌نشده‌ی کارکردهای انواع گوناگون قابل‌اجراهای پی‌لود Dtrack کشف‌شده را مشاهده می‌کنید:
کی‌لاگینگ
بازیابی تاریخچه مرورگر
جمع‌‌آوری آدرس‌های  IP میزبان، اطلاعاتی در خصوص شبکه‌های موجود و کانکشن‌های فعال
فهرست‌بندیِ همه‌ی فرآیندهای در حال اجرا
فهرست‌بندیِ همه‌ی فایل‌های روی تمامی حجم‌های موجود دیسک
درست در همین نقطه، فلسفه‌ی طراحی فریم‌ورک کمی گنگ می‌شود. برخی از قابل‌اجراها، داده‌های جمع‌آوری‌شده را در آرشیو حفاظت‌شده با رمزعبور بسته‌بندی می‌کنند و این درحالیست که بقیه‌شان اطلاعات را مستقماً برای سرور C&C ارسال می‌کنند.
جدا از قابل‌اجراهایی که در فوق بدان‌ها اشاره شده، دراپرها همچنین حاوی تروجان‌های دسترسی ریموت (RAT) بودند. قابل‌اجرای  RAT به مجرمان اجازه می‌دهد تا عملیات‌های مختلف را روی میزبان اجرا کند؛ می‌توان از بین آن‌ها به آپلود/دانلود، اجرای فایل‌ها اشاره نمود. برای دریافت فهرست کامل عملیات‌ها، به جدول زیر مراجعه نمایید.
شناسه فرمان شرح
1003 آپلود فایل در کامپیوتر قربانی
1005 ثابت کردن فایل هدف با اجرای خودکار روی میزبانی قربانی
1006 دانلود فایل از کامپیوتر قربانی
1007 خالی کردنکل حجم اطلاعات دیسک و آپلود آن در میزبانی که مجرمان کنترلش می‌کنند
1008 خالی کردن حجم دیسک انتخاب‌شده و آپلودش در میزبانی که مجرمان کنترلش می‌کنند
1011 خالی کردن فولدر انتخاب‌شده و آپلودش در میزبانی که مجرمان کنترلش می‌کنند
1018 تنظیم عدد جدیدی برای تعیین فاصله زمانی بین چک‌ کردن فرمان‌های جدید
1023 خروج و از بین بردن دوام و خودِ باینتری
پیش‌فرض اجرای فرآیند روی میزبانی قربانی
 
شباهت‌های بین دو بدافزار Dtrack و ATMDTrack
ATMDTrack زیرمجموعه‌ی خانواده‌ی DTrack است. این دو بدافزار علیرغم شباهت‌هایشان به صورت طبیعی ظاهری متفاوت از هم دارند. برای مثال، برخلاف نمونه‌های ATMDTrack که اصلاً رمزگذاری نمی‌شوند، پی‌لودِ Dtrack در دراپر رمزگذاری می‌شود. اما بعد از رمزگشایی پی‌لود Dtrack، روشن می‌شود که توسعه‌دهندگان همان گروه افرادند: هر دو همان سبک را دارند و هر دو از همان کارکردهای اجرایی استفاده می‌کنند. واضح‌ترین کارکرد مشترک‌شان، دستکاری رشته‌هاست. کارش چک کردن این است که آیا در آغاز رشته‌ی پارامتر، زیررشته‌ی CCS_ وجود دارد یا خیر. سپس اگر وجود داشته باشد آن را قطع می‌کند و رشته‌ی اصلاح‌شده‌اش را برمی‌گرداند. در غیر این صورت از اولین بایت به عنوان XOR استفاده کرده و رشته‌ی رمزگشایی‌شده را بازمی‌گرداند.
 
 
نتیجه‌گیری
وقتی برای اولین بار ATMDtrack را کشف کردیم، فکر کردیم بار دیگر با خانواده‌ای از بدافزارهای ATM طرف هستیم چون شاهد ظهور خانواده‌های جدیدی از بدافزار ATM هستیم (طبق روالی خاص). با این حال، این مورد باری دیگر ثابت کرد که نوشتن قوانین درستِ YARA تا چه میزان اهمیت دارد؛ زیرا بدین‌ترتیب می‌توانید به ارتباطات بین خانواده‌های بدافزار در گذشته پی ببرید. یکی از نمونه‌های فراموش‌نشدنی، پرونده‌ی WannaCry بود. اکنون می‌توانیم به انبار مهمات گروه لازاروس، ATMDtrack و Dtrack را نیز اضافه کنیم.
تعداد زیاد نمونه‌های Dtrack که پیدا کردیم نشان می‌دهد گروه لازاروس یکی از فعال‌ترین گروه‌های APT از حیث ساخت بدافزار است. این گروه همچنان دارد با سرعتی بالا اقدام به ساخت بدافزار می‌کند و دامنه‌ی عملیات‌های خود را نیز توسعه می‌دهد. ما ابتدا نمونه‌های اولیه‌ی این خانواده‌ی بدافزارها را سال 2013 دیدیم (وقتی به سئول رسید). اکنون شش سال از آن زمان می‌گذرد و هنوز شاهد آن در هند هستیم که دارد همچنان مؤسسات مالی و مراکز تحقیقاتی را مورد حمله قرار می‌دهد. می‌بینیم که این گروه از ابزارهای مشابهی برای اجرای هر دو حملات جاسوسی و حملاتی با انگیزه‌ی مالی استفاده می‌کند. مجرمان برای موفقیت در بخش جاسوسی باید قادر باشند دست‌کم روی شبکه‌ی داخلی نظارت داشته باشد و این بدان معناست که سازمان‌های مورد هدف احتمالاً مشکلا امنیتی بی‌شماری داشته‌اند از جمله:
سیاست‌های ضعیف امنیت شبکه‌ای
سیاست‌های ضعیف رمزعبور
نبود نظارت روی ترافیک
از این رو، توصیه‌ی ما به شرکت‌ها این است که:
سیاست‌های شبکه‌ای و رمزعبور خود را سفت و سخت‌تر بگیرند
از نرم‌افزار نظارت ترافیک مثل Kaspersky Anti Targeted Attack Platform (KATA) استفاده کنند
از راه‌حل‌های آنتی‌ویروس استفاده کنند
IoCs
8f360227e7ee415ff509c2e443370e56
3a3bad366916aa3198fd1f76f3c29f24
F84de0a584ae7e02fb0ffe679f96db8d

حمله به کاربران رایانه‌های مک با بدافزار جدید

/در , , , /توسط
محققان امنیتی از شناسایی یک بدافزار جدید طراحی شده برای رایانه های مک خبر داده اند که نسخه جدیدی از بدافزار تارماک محسوب می شود.
 
 
 به نقل از زددی نت، بدافزار تارماک بدافزار خطرناکی است که در فضای آنلاین رایانه های مک را هدف قرار داده و از طریق آگهی های آلوده دیجیتال توزیع شده و برخی کاربران را دچار مشکل کرده است.
 
این بدافزار بعد از نفوذ به رایانه مک کاربران کدهای مخربی را بر روی آن اجرا کرده و همین مساله باعث می شود تا رایانه های آلوده شده آگهی هایی را در قالب پنجره های مزاحم نمایش دهند که در ظاهر برای به روزکردن نرم افزارهای مختلف و به خصوص نرم افزار فلاش پلیر است. اما با کلیک کردن بر روی آنها اطلاعات شخصی فرد قربانی سرقت می شود.
 
 
انتشار نسخه اولیه بدافزار تارماک از ژانویه سال 2019 آغاز شد و تحقیقات انجام شده توسط پژوهشکده کنفیانت نشان می دهد فعالیت بدافزار یادشده در ماه های اخیر نه تنها متوقف نشده، بلکه تشدید شده است.
 
در حال حاضر بخش اعظم فعالیت بدافزار تارماک در کشورهایی همچون ایتالیا، آمریکا و ژاپن صورت می گیرد و هنوز فرد یا افراد طراح آن مشخص نشده است.
 

نسخه جدید بدافزار «فنسی بیر» باز هم فعال شد

/در , , , , /توسط
بدافزار «فنسی بیر» با ایجاد برخی تغییرات و به روزرسانی‌ها دوباره فعال شده و مجموعه ابزاری تازه در قالب بک دور به آن اضافه شده است.
 
 
به نقل از زددی نت، بدافزار فنسی بیر که به APT28،  Sednit، Sofacy و  Strontiumنیز شهرت دارد پیش از این برخی افراد و چهره های مشهور سیاسی را در نقاط مختلف جهان هدف قرار داده و برای سرقت اطلاعات آنها تلاش کرده بود.
 
از جمله قربانیان بدافزار مذکور می توان به کمیته ملی دموکراتیک آمریکا یا دی ان سی اشاره کرد که در زمان برگزاری انتخابات ریاست جمهوری سال 2016 ایالات متحده به علت نفوذ همین بدافزار شاهد سرقت داده های حساس خود بودند.
 
 
آژانس جهانی ضد دوپینگ، ارتش اوکراین، انجمن فدراسیون های دو و میدانی و برخی نهادهای دولتی در نقاط مختلف جهان نیز هدف حملات هکری فنسی بیر قرار گرفته اند.
 
فنسی بیر فعالیت مخرب خود را از سال 2004 آغاز کرده و گفته می شود توسط هکرهای روس طراحی شده، اما در این زمینه شواهد قطعی وجود ندارد. فنسی بیر در 15 سال اخیر به طور مرتب به روز شده و تغییراتی در امکانات و محتوای آن به وجود امده تا بتواند حملات خود را تداوم ببخشد.
 
این بدافزار نخستین بار توسط شرکت امنیتی ای ست کشف شد و مشخص شد برخی وزارتخانه های خارجه در سراسر اروپا و آسیا از جمله قربانیان آن بوده اند.
 
انتهای پیام/

مرکز افتا درباره بدافزار بیت‌کوین هشدار داد

/در , , , , /توسط
نوع جدیدی از بدافزار Glupteba کشف شده که به‌عنوان یک آگهی‌افزار عمل کرده و به مهاجمان اجازه می‌دهد تا دستگاه آلوده را به یک روبات کاوش رمزارز (بیت‌کوین) تبدیل کرده و اطلاعات را سرقت کنند.براساس گزارش مرکز افتا نوع جدیدی از بدافزار Glupteba کشف شده است که از بلاکچین بیت‌کوین برای گرفتن دامنه‌های سرور فرمان و کنترل (C&C) از تراکنش‌های بیت‌کوین مشخص شده با کدهای OP_RETURN استفاده می‌کند.
بدافزار Glupteba قبلا به‌عنوان payload ثانویه تروجان Alureon توزیع می‌شد. این تروجان در سال ۲۰۱۱ به منظور انجام فرایند سرقت کلیک طراحی شده بود. همچنین عوامل تهدید عملیات Windigo در سال ۲۰۱۴ از این بدافزار استفاده کردند. علاوه‌بر این، در سال ۲۰۱۸ از این بدافزار در یک عملیات مخرب دیگر نیز استفاده شده بود. پژوهشگران Trend Micro اخیرا نوع جدیدی از Glupteba را کشف کرده‌اند که به‌عنوان آگهی‌افزار عمل می‌کند، اما دو ماژول دیگر در خود جای داده است. ماژول اول به‌روزرسانی‌کننده آدرس سرورهای C&C توسط زنجیره بلوک بیت‌کوین است که یک سارق اطلاعات  و ماژول دوم اکسپلویتی برای هدف قرار دادن مسیریاب‌های میکروتیک محلی است. هنگامی که بدافزار یک رایانه را آلوده می‌کند، شروع به جمع‌آوری اطلاعات سیستم می‌کند و آنها را در رجیستری ویندوز ذخیره می‌کند.
 
این داده‌ها بعدا با AES رمزگذاری شده و توسط درخواست POST به سرور C&C ارسال می‌شوند.این بدافزار همچنین از چندین روش برای بالا بردن سطح دسترسی خود استفاده می‌کند تا مجوزهای سطح SYSTEM را به‌دست آورد و توابع طراحی‌شده برای بررسی وجود نرم‌افزارهای ضدبدافزار، دستکاری قوانین دیوارآتش (فایروال) و بررسی دستورات جدید سرور C&C را اجرا کند. Glupteba دارای قابلیت درپشتی است که به مهاجمان اجازه می‌دهد تا دستگاه آلوده را به یک روبات کاوش رمزارز XMR تبدیل، فایل‌های مختلف را بارگیری و اجرا کنند، از صفحه نمایش اسکرین‌شات بگیرند و موارد مخرب دیگر را انجام دهند. مولفه سارق اطلاعات بدافزار نیز می‌تواند پرونده‌ها، کوکی‌ها، گذرواژه‌ها و سایر اطلاعات را از مرورگرها دریافت کند.

هشدار مرکز افتا؛ کشف بدافزاری که از تراکنش‌های بیت کوین سوءاستفاده می‌کند

/در , , , , , /توسط
 
نوع جدیدی از بدافزار Glupteba کشف شده که به عنوان یک آگهی‌افزار عمل کرده و به مهاجمان اجازه می‌دهد تا دستگاه آلوده را به یک ربات کاوش رمزارز (بیت کوین) تبدیل کرده و اطلاعات را سرقت کنند.
 
به نقل از مرکز افتای ریاست جمهوری، نوع جدیدی از بدافزار Glupteba کشف شده است که از بلاکچین بیت‌کوین برای گرفتن دامنه‌های سرور فرمان و کنترل (C&C) از تراکنش‌های بیت‌کوین مشخص شده با کدهای OP_RETURN استفاده می‌کند.
 
بدافزار Glupteba قبلا به عنوان payload ثانویه تروجان Alureon توزیع می‌شد. این تروجان در سال ۲۰۱۱ به منظور انجام فرایند سرقت کلیک طراحی شده بود. همچنین عوامل تهدید عملیات Windigo در سال ۲۰۱۴ از این بدافزار استفاده کردند. علاوه‌بر این، در سال ۲۰۱۸ از این بدافزار در یک عملیات مخرب دیگر نیز استفاده شده بود.
 
پژوهشگران Trend Micro اخیرا نوع جدیدی از Glupteba را کشف کرده‌اند که به عنوان آگهی‌افزار عمل می‌کند، اما دو ماژول دیگر در خود جای داده است. ماژول اول به‌روزرسانی کننده آدرس سرورهای C&C توسط زنجیره بلوک بیت کوین است که یک سارق اطلاعات  و ماژول دوم اکسپلویتی برای هدف قرار دادن مسیریاب‌های میکروتیک محلی است.
 
هنگامی که بدافزار یک رایانه را آلوده می‌کند، شروع به جمع‌آوری اطلاعات سیستم می‌کند و آن‌ها را در رجیستری ویندوز ذخیره می‌کند. این داده‌ها بعدا با AES رمزگذاری شده و توسط درخواست POST به سرور C&C ارسال می‌شوند.
 
این بدافزار همچنین از چندین روش برای بالا بردن سطح دسترسی خود استفاده می‌کند تا مجوزهای سطح SYSTEM را به دست آورد و توابع طراحی شده برای بررسی وجود نرم‌افزارهای ضدبدافزار، دستکاری قوانین دیوارآتش (فایروال) و بررسی دستورات جدید سرور C&C را اجرا کند.
 
Glupteba دارای قابلیت درپشتی است که به مهاجمان اجازه می‌دهد تا دستگاه آلوده را به یک ربات کاوش رمزارز XMR تبدیل، فایل‌های مختلف را بارگیری و اجرا کنند، از صفحه نمایش اسکرین‌شات بگیرند و موارد مخرب دیگر انجام دهند. مولفه سارق اطلاعات بدافزار نیز می‌تواند پرونده‌ها، کوکی‌ها، گذرواژه‌ها و سایر اطلاعات را از مرورگرها دریافت کند.
 
ماژول مربوط به مسیریاب‌های میکروتیک این بدافزار آسیب‌پذیری CVE-۲۰۱۸-۱۴۸۴۷ را هدف قرار می‌دهد و پس از نفوذ موفق اطلاعات احرازهویت مسیریاب را به سرور C&C ارسال می‌کند. عوامل مخرب مسیریاب مورد نفوذ را به عنوان یک پراکسی SOCKS پیکربندی می‌کنند تا ترافیک مخرب را از آن عبور دهند.
 
نشانه‌های آلودگی (IOC) و دامنه‌ها و IPها در پرتال مرکز مدیریت راهبری افتا قرار داده شده است.

جایزه ۲۰ هزار دلاری گوگل برای کشف شکاف امنیتی

/در , , , , /توسط
 
گوگل برنامه جدیدی ارایه کرده و به هر فردی که شکاف امنیتی در اپلیکیشن های گوگل کشف کند، جایزه ای ۲۰ هزار دلاری می دهد.
 
 به نقل از انگجت، در این اواخر نمونه های متعددی از بدافزارهایی در اپلیکیشن های موجود در پلی استور گوگل کشف شده است. درهمین راستا گوگل از مردم خواسته در تامین امنیت اپلیکیشن ها کمک کنند و گستره برنامه «Google Play Security Reward» را بیشتر کرده است.
 
این برنامه قبلا  فقط شامل ۸ اپلیکیشن برتر  پلی استور بود. اما اکنون هر اپلیکیشنی از پلی استور که بیش از ۱۰۰ میلیون بار روی دستگاه ها نصب شده جزو این برنامه است و توسعه دهندگان نرم افزار با کشف شکافی در یک اپلیکیشن، جایزه ای ۲۰ هزار دلاری دریافت می کنند.
 
به طور معمول چنین برنامه هایی از سوی شرکت ها برای رصد مشکلات موجود در نرم افزارها ارایه می شود. یکی از دلایل عجیب بودن این برنامه آن است که جایزه مذکور برای کشف شکاف های امنیتی در اپلیکیشن های دیگر نیز پرداخته می شود.
 
سخنگوی گوگل در این باره می گوید: این امر به محققان امنیتی کمک می کند صدها سازمان مختلف شکاف های موجود در اپلیکیشن های شان را ردیابی و اصلاح کنند.
 
علاوه بر آن گوگل برنامه های «جایزه برای حفاظت از اطلاعات توسعه دهندگان» را نیز افتتاح کرده تا مشکلات سوءاستفاده از اطلاعات در اپلیکیشن های اندروید، پروژه های O Auth و افزونه های کروم را نیز ردیابی کنند.
 
این به معنای کشف اپلیکیشن هایی است که بدون رضایت کاربران از اطلاعات آنها سوءاستفاده می کنند یا آن را می فروشند. اگر چنین مشکلی ردیابی شود، اپلیکیشن یا افزونه مذکور از پلی استور یا کروم وب حذف می شود و کاشف این شکاف امنیتی جایزه ای ۵۰ هزار دلاری دریافت می کند.