به گزارش کمپانی روسی Dr.Web بات نتی با وسعت آلودگی بیش از پانصده هزار آلودگی در سراسر دنیا با نام “Trojan-Downloader.OSX.Flashfake.ab” تلاش به گسترش این آلودگی ها دارد .

روند گسترش فعالیت این بات نت از طریق آلوده نمودن وبسایت ها و بازدیدکنندگان وبسایت های آلوده با بکارگیری یک اپلت جاوا می باشد .

به گزارش آزمایشگاه کسپراسکای ، کامپوننت اصلی این بات نت یک Trojan Downloader می باشد که به یک کانال کنترل (C&C) متصل شده و برای دانلود و اجرای فایلهای جدید مدت زمانی منتظر می ماند .

به نظر می رسد این حمله ، حمله ای از نوع هدفمند می باشد که از طریق نقشه زیر که توسط کمپانی Dr.Web ارائه شده است ، می توان وسعت آلودگی توسط این بات نت را در دنیا مشاهده نمود :

 

بررسی های گوناگون از طرف شرکت های امنیتی نظیر Kaspersky و Dr.Web بیانگر این است که بیشتر آلودگی ها مربوط به ایالات متحده آمریکا می باشد .

همچنین آمار ۹۸٫۴۱% از طرف شرکت Kaspersky بیانگر این است که بیشتر قربانیان آلوده شده به این بات نت ، از سیستم عامل MacOSX استفاده می نمایند .

در همین راستا آزمایشگاه Kaspersky به منظور مشخص نمودن آلودگی در سیستم های MacOSX مربوط به شرکت اپل ابزاری را تهیه نموده اند که به پویش سیستم برای تشخیص به آلودگی سیستم می پردازد .

این ابزار را می توانید از اینجا بصورت رایگان دانلود نمائید .

روند پیشرفت این بات نت و نحوه ایمن سازی در برابر این بات نت در این بلاگ در ادامه مورد بحث قرار خواهد گرفت .

گزارش ها حاکی از وجود بدافزاری جدید بر روی برخی سیستم های موجود در سازمان های کشور می باشد که هدف آن نابود سازی اطلاعات می باشد ، هنوز اطلاعاتی مبنی بر وجود چنین بدافزاری بر علیه عموم کاربران در داخل کشور موجود نمی باشد .

بدافزار Wipe با بکارگیری یکی از نرم افزار های موجود در سیستم عامل های تولیدی شرکت Microsoft با نام DiskPart عمل Wipe  اطلاعات را انجام می دهد .

 

 

 

ایمن سازی در برابر Wipe

چنانچه اطلاعات سازمانی شما ، اطلاعاتی از دسته حساس می باشند ، لازم است در اولین فرصت با بکارگیری ابزارهای استاندارد از اطلاعات خود نسخه پشتیبان تهیه نمائید ، در مرحله بعد لازم است سیستم خود را در برابر این بدافزار ایمن نمائید .

از آنجائیکه این بدافزار با بکارگیری ابزار استاندارد ویندوز DiskPart عمل پاکسازی اطلاعات را انجام می دهد ، لذا لازم است مراحل زیر را برای ایمن سازی سیستم انجام دهید :

از آنجائی که Diskpart یک برنامه سیستمی می باشد اعمال تغییرات بصورت مستقیم بر روی آن امکان پذیر نمی باشد ، لذا لازم است با بکارگیری یکی از ابزارهای ارائه دهنده امکان بوت همانند Hiren نام diskpart.exe را از مسیر دایرکتوری System32 واقع در پوشه Windows تغییر دهید (تغییر نام دهید یا حذف کنید!)

قابل ذکر است که چنین راهکاری یک راه کار ۱۰۰% ایمن کننده نیست به دلیل اینکه برخی بدافزارها بصورت Build-In از چنین امکاناتی بصورت جداگانه برای عملیات wipe و نابودسازی اطلاعات بهره می جویند!

در صورت برخورد با رفتارهای غیرعادی در سیستم های خود می توانید برای مقابله با این بدافزار و رسیدگی به موارد مشکوک قبل از وقوع هرگونه حادثه احتمالی با مرکز تخصصی آپا دانشگاه صنعتی اصفهان تماس حاصل فرمائید تا در اسرع وقت کارشناسان این مرکز به گزارش شما رسیدگی کنند.

ابزار Metasploit (متاسپلویت) برخلاف ابزار Impact از شرکت Core و Canvas از شرکت Immunity دارای نسخه هائی رایگان برای انجام عملیات تست نفوذپذیری در فازهای مختلف می باشد .

 

اخیراً نسخه جدیدی از این ابزار با امکانات ارائه شده در ذیل برای استفاده عموم ارائه شده است :

• vmauthd_version : Discovers the version details for a vmauthd service
• esx_fingerprint : Fingerprints (down to the build number) of a stand-alone ESX server
• vmware_http_login : Attempts to brute force local VMware credentials via the Web Services interface
• vmauthd_login : Attempts to brute force local VMware credentials via the vmauthd service
• vmware_enum_users : Enumerates both local and domain VMware user accounts
• vmware_enum_permissions : Enumerates locally-defined user and group permissions on a VMware instance
• vmware_enum_sessions : Enumerates active VMware login sessions
• vmware_enum_vms : Enumerates all local virtual machines on the local VMware instance
• vmware_host_details : Discovers host hardware and software details of the VMware host machine
• poweroff_vm : Powers off a virtual machine via the VMware Web Services interface
• poweron_vm : Powers on a virtual machine via the VMware Web Services interface
• tag_vm : Writes a user-defined “tag” to the VMware logs as proof of compromise
• vmware_screenshot_stealer : Grabs screenshots of VMware guest operating systems as proof of compromise
• terminate_esx_sessions : Disconnects a user from the ESX server

از آنجائی که یکی از اهداف مرکز تخصصی آپا دانشگاه صنعتی اصفهان ؛ افزایش سطح آگاهی و آموزش در حوزه امنیت اطلاعات برای کاربران تازه کار و معمولی سیستم های کامپیوتری می باشد ، گاهاً مطالبی را تحت عنوان مقاله و یا کتاب های آموزشی (با رعایت اصل کپی رایت) در اختیار کاربران قرار می دهیم ، تا با مطالعه و رعایت اصول مطرح شده در جهت افزایش امنیت اطلاعات و حفاظت از اطلاعات مهم بتوانند سطح آگاهی خود را در این حوزه گسترش دهند .

 

اخیراً کتابی با عنوان “امنیت گوگل” حول محور امنیت در وب و بررسی سرویس گوگل از دیدگاه امنیت توسط مترجمان کشورمان در حوزه امنیت اطلاعات و بصورت الکترونیکی منتشر شده است که کاربران را به خواندن این مستند دعوت می نمائیم .

لازم به ذکر است ، در صورتی که خوانندگان عزیز حول مباحث خاصی از امنیت نیازمند ارائه اطلاعات و افزایش سطح اطلاعات هستند ، میتوانند از طریق بخش کامنت در همین پست (ترجیحاً) مسئولان مرکز آپا را در خصوص مطلب مورد نظر آگاه سازند ، بدیهیست با بررسی تاپیک های درخواست شده ، کارشناسان مرکز آپا در خصوص بروزرسانی مطالب حول محور امنیت اطلاعات و امنیت در شبکه های کامپیوتری مطابق با میل کاربران مطالب آموزشی را ارائه خواهند نمود .

دانلود کتاب Google Security

 

مسلماً اگر یک کاربر در سطح متوسط یا حرفه ای تلفن های هوشمند باشید ؛ بارها به سیستم عامل گوگلی پرطرفدار تلفن های هوشمند برخورد کرده اید ، بله منظور سیستم عامل Android است .

به دلیل پیشرفت بی سابقه این سیستم عامل در خصوص استفاده وسیع در تلفن های هوشمند همراه ؛ اندکی مدتیست گسترش دهندگان بدافزارها بدنبال راه های گوناگون برای پخش بدافزارهای خود بر روی تلفن های هوشمند همراه هستند .

باری دیگر توسعه دهندگان بدافزارها ، سیستم عامل و کاربران Android پرطرفدار را آن هم از طریق روشی هوشمندانه مورد هدف قرار داده اند ، این بار از طریق فیس بوک .

 

اگر از کاربران شبکه اجتماعی فیسبوک باشید ، مطلع هستید که برای بهره وری از برخی از امکانات موجود در این شبکه اجتماعی لازم است ، برنامه کاربردی یا به زبان فیسبوکی Facebook app مورد نظر خود را جستجو نموده و اقدام به نصب آن نمائید .

اما لازم است اندکی هشیار باشید و بدانید که برخی (و به زبان بهتر ؛ بسیاری) از این برنامه ها و امکانات اضافی توسط توسعه دهندگان غیر فیسبوکی و به منظور اهداف مخرب و سوء استفاده از کاربران فیسبوک تولید و یا گسترش داده می شوند .

در مدت زمانی که گسترش بدافزارهای آندروئیدی سیر نزولی را طی می نمود ، شرکت گوگل با ارائه Bouncer ، فرصت جلوگیری از گسترش بدافزارها توسط مارکت های آندروئیدی را فراهم نمود .

به گزارش شرکت امنیتی Sophos ؛ بدافزار جدیدی با نام “Any_name.apk” و یا “allnew.apk” توسط برنامه facebook در تلفن های هوشمند آندروئیدی نصب خواهد شد که می تواند اطلاعات و حریم خصوصی کاربران را مورد تعرض قرار دهد .

ممکن است درخواست دوستی (Friend Request) برای شما در فیسبوک ارسال شده باشد که شما پس از تائید درخواست دوستی ، به منظور بررسی بیشتر ، وارد پروفایل ارسال کننده درخواست شوید که در این صورت به لینک جدیدی که حاوی کدمخربی که بصورت اتوماتیک بروی دستگاه تلفن هوشمند شما دانلود خواهد شد برخورد می کنید ، در برخورد با چنین حالتی به احتمال زیاد دستگاه تلفن هوشمند آندروئیدی شما به این بدافزار آلوده شده است .

اگرچه بصورت پیشفرض در سیستم عامل آندروئید ، اجازه دانلود نرم افزار تنها از منابع معتبر امکان پذیر می باشد ، اما بسیاری از کاربران به منظور دریافت برنامه ها از مارکت های غیر قانونی (Black Markets) این گزینه را غیر فعال می نمایند .

عکس زیر نمایش دهنده ظاهر این بدافزار می باشد :

 

از آنجائی که بیشترین درصد حملات موثر بر علیه شبکه ها و سیستم های کامپیوتری توسط بدافزارها صورت می پذیرد ، تولید کنندگان بدافزار اخیراً با تمرکز بروی سرویس DNS بدافزار جدیدی را برای آلوده سازی سیستم ها طراحی نموده اند .

بنابر اعلام پلیس فدرال ایالات متحده آمریکا اخیراً بدافزاری جدید با تغییر تنظیمات DNS قصد حمله به شبکه های کامپیوتری بیش از صد کشور را دارد .

این بدافزار موسوم به DNSChanger ؛ با تغییر تنظیمات مربوط به آدرس های تخصیص یافته مربوط به سرویس DNS در سیستم های کامپیوتری کاربران را به وبسایت های آلوده هدایت می کنند .

 

کارکرد سرویس DNS

سرویس نام دامنه یا DNS یکی از سرویس های کاربردی در شبکه می باشد که وظیفه آن ترجمه درخواست های سیستم های کلاینت به آدرس های IP می باشد .

به بیان ساده تر ، زمانی که کاربران درخواست های خود را به وبسایت ها به منظور بازدید ارسال می نمایند ؛ نام دامنه طی یک درخواست به سمت مرکز سرورهای DNS اصلی ارسال می شود و جوابی برای مشخص نمودن آدرس آی پی میزبان به سمت کاربر ارسال می شود .

تصویر زیر کارکرد سرویس DNS را بصورت تصویری بیان می نماید .

اصطلاح Rogue DNS Servers

زمانی که DNS های قانونی و یا Legitimate به DNS هائی که بوسیله نفوذگران تنظیم و به منظور گسترش بدافزار یا نفوذ مورد استفاده قرار بگیرند DNS های مخرب را Rogue میخوانیم .

آدرس های DNS های Rogue مورد استفاده توسط بدافزار DNSChanger

بررسی های صورت پذیرفته از طرف پلیس فدرال نشانگر وجود آدرس های DNS آلوده در سطح وسیع می باشد ؛ آدرس های زیر مجموعه ای از آدرس های DNS مخرب می باشند :

۸۵٫۲۵۵٫۱۲۷٫۲۵۵ – ۸۵٫۲۵۵٫۱۱۲٫۰
۶۷٫۲۱۰٫۱۵٫۲۵۵- ۶۷٫۲۱۰٫۰٫۰
۹۳٫۱۸۸٫۱۶۷٫۲۵۵ – ۹۳٫۱۸۸٫۱۶۰٫۰
۷۷٫۶۷٫۸۳٫۲۵۵ – ۷۷٫۶۶٫۸۳٫۰
۲۱۳٫۱۰۹٫۷۹٫۲۵۵- ۲۱۳٫۱۰۹٫۶۴٫۰
۶۴٫۲۸٫۱۹۱٫۲۵۵ – ۶۴٫۲۸٫۱۷۶٫۰

وجود آدرس های DNS در رنج آدرس های ذکر شده بیانگر آلودگی سیستم شما به این بدافزار می باشد .

چگونگی حصول اطمینان از عدم آلودگی به DNSChanger

بدین منظور کافیست ؛ در سیستم های ویندوزی از منوی Start وارد Control Panel شده و پس از آن با انتخاب Network and Sharing Center بروی Connection خود کلیک نموده و از قسمت Properties آدرس های تخصیص یافته به سرویس DNS را مشاهده نمائید .

در صورت وجود آدرس های مخرب DNS در سیستم تنظیم DNS کامپیوتر خود ، میتوانید آدرس DNS خود را به آدرس های DNS معتبر نظیر آدرسهای DNS شرکت گوگل به آدرس های ۸٫۸٫۸٫۸ و یا ۸٫۸٫۸٫۴ تغییر دهید ؛ همچنین برای استفاده از آدرس های نسخه ۶ آی پی از آدرس های ۲۰۰۱:۴۸۶۰:۴۸۶۰::۸۸۸۸ و یا ۲۰۰۱:۴۸۶۰:۴۸۶۰::۸۸۴۴ استفاده نمائید .

در صورت تمایل برای انجام مراحل بازرسی امنیتی و پاکسازی سیستم های خود می توانید به یکی از مراکز پاسخگوئی به حوادث رایانه ای نزدیک به مرکز خود تماس حاصل نمائید .

اطلاعات بیشتر

شاید بسیاری ندانند که در هنگام برقراری ارتباط امن SSL، طرف سرور در حدود ۱۵ برابر بیش از طرف کلاینت درگیر انجام امور محاسباتی می‌شود. این امر ایده به وجود آمدن ابزار متنوعی جهت DoS نمودن سرورهای SSL شده است. در روش‌های سنتی DoS مبتنی بر flooding، امکان اجرای حمله توسط یک کانکشن DSL وجود نداشت زیرا معمولاً پهنای باند در اختیار سرورها بسیار بیشتر از پهنای باند یک کانکشن DSL است.
اما از نظر قدرت پردازشی، به راحتی می‌توان با سوء‌استفاده از این نقطه ضعف SLL و استفاده از یک رایانه همراه، یک سرور را به چالش کشید. در این روش تنها کافی است که از قابلیت Renegotiation موجود در SSL سوء‌استفاده نمود و هزاران negotiation از طریق یک کانکشن TCP انجام داد. معمولاً سرورها انتظار دارند که مذاکرات SSL تنها در ابتدای برقراری SSL به وقوع پیوندند و توانایی سرویس‌دهی به حجم انبوه درخواست‌ها را ندارند (معمولاً یک سرور عادی به طور متوسط توانایی انجام ۳۰۰ مذاکره در ثانیه دارد که این حجم مذاکره، ۱۰ الی ۲۵ درصد از قدرت پردازشی رایانه همراه را مصرف می‌نماید).
هرچند که هنوز هیچ راه حلی برای مقابله با این نوع حمله وجود ندارد ولی می‌توان با غیرفعال نمودن قابلیت SSL-Renegotiation جلوی اجرای حمله را گرفت.

همانطور که می دانیم فیشینگ (Phishing)، به معنای کپی همانند سازی شده از یک صفحه اینترنتی آشنا است که کاربر را گمراه کرده و در واقع وسیله ای برای به دست آوردن اطلاعات شخصی وی به شمار می آید.

این روزها عده ای سود جو در اینترنت به دنبال شکارهایی ساده دل هستند. ار آنجا که به علت مسدود سازی برخی از سایتهای اینترتتی در داخل کشور عده ای می‌خواهند به همان سایتهای غیر مجاز شده! سری بزنند و بهترین راه دور زدن هم استفاده از VPN است، این عده در به در دنبال VPN پرسرعت و ارزان قیمت می گردند.

متاسفانه عده ای سود جو نیز از این بازار آشفته و آب گل آلود به دنبال صید ماهی های خوب و خوش آب و رنگ هستند و با ارائه انواع و اقسام آگهی های فروش VPN در فضای مجازی به دنبال مشتری می گردند. فروش VPN با سرعت بالا و قیمت بسیار ناچیز و همچنین ارائه تست چند ساعته و چند روزه از ترفندهای همه گیر این افراد برای به دام انداختن مشتریان خواهان VPN است و به واسطه ممنوع بودن اینگونه خرید و فروش ها نیز حتما کل فرآیند نیز باید به صورت الکترونیکی انجام شود!

بعد از اینکه خواهان VPN، مشتری شد، برای خرید حساب کاربری که قرار است به مدت زیادی به او سرویس بدهد از سوی فروشنده ترغیب می شود که به صفحه خرید حساب کاربری برود، در آنجا بسیار مشاهده شده است که بعد از انتخاب گزینه خرید آنلاین به صفحه خرید اینترنتی یکی از بانک های کشور هدایت می شود و خریدار نیز با وارد کردند شماره کارت، رمز چهار رقمی و رمز اینرنتی و ایمیل خود سعی می کند مبلغ مورد نظر را که خیلی هم بیشتر از سه یا چهار هزار تومان نیست به حساب فروشنده بریزد که در مرحله آخر با خطای پرداخت مواجه شده و شاید بعد از چند بار سعی کردن از خیر خرید می گذرد و منصرف می شود، بدون آنکه فکر کند که ممکن است این خطاهای پشت سر هم عمدی بوده و کاسه ای زیر نیم کاسه باشد.

مدتی بعد که خریدار بینوا سراغ حساب بانکی اش می رود متوجه می شود که مقدار زیادی از حساب بانکی اش کم و کسر شده بی آنکه او برداشتی انجام داده باشد.

آری برخی فروشندگان VPN این روها با جعل صفحات خرید اینترنتی برخی از بانکهای کشور اطلاعات حساب کاربری بانکی برخی از هموطنان را سرقت کرده و مبادرت به خالی کردن حسابهای بانکی می کنند، یک راه حل بسیار ساده برای در امان ماندن از این کلاهبرداری وجود دارد که حتما باید به آن توجه کنیم و اینکه حتما موقع پرداخت اینترنتی اطمینان حاصل کنیم که صفحه مورد نظر واقعا متعلق به بانک باشد. با کمی دقت می توانیم برادران عزیز کلاهبردار را در انجام نقشه شان ناکام بگذاریم. ما می‌توانیم.

خیلی فکر کردم که اولین مطلبی که می‌نویسم در چه موردی باشه،‌ و جمع‌بندی این شد که شاید مناسب‌ترین مطلبی که می‌شه برای شروع انتخاب کرد،‌ نام بردن سازمان‌های متولی مدیریت حوادث رایانه‌ای  و سازمان‌های مرتبط با اون‌ها در داخل کشور هست. با این مقدمه، می‌شه گفت که به طور عام،‌ در دنیا تیم‌ها و سازمان‌هایی تحت عنوان CERT یا CSIRT فعالیت می‌کنند. این سازمان‌ها و تیم‌ها از طرفی در زمان بروز حوادث رایانه‌ای در قلمرو خودشون مسئولیت فعالیت رو بر عهده دارند و از طرف دیگه،‌ در زمانی که هنوز حادثه‌ای رخ نداده مسئولیت افزایش آگاهی مخاطبان به جهت کاهش احتمال بروز حوادث بر عهده‌ی اون‌هاست. البته فکر می‌کنم خیلی خوب خواهد بود که خودم یا یکی از دوستان در یک دوره نوشته‌ی دنباله‌دار به تشریح و تبیین CERT بپردازیم. اما تو این نوشته، قصدم فقط نام بردن سازمان‌ها و تیم‌هایی هست که در داخل کشور تو این زمینه یا زمینه‌های مرتبط فعالیت می‌کنند،‌ تو نوشته‌های آتی میشه به توضیح هر کدوم از این موارد پرداخت یا موارد مشابه رو تو کشورهای دیگه معرفی کرد … (ادامه…)

وبلاگ اختصاصی مرکز تخصصی آپا دانشگاه صنعتی اصفهان از امروز به‌طور رسمی فعالیت خود را آغاز خواهد نمود. موضوع اصلی مباحث بیان شده در این وبلاگ، امنیت در حوزه شبکه‌های رایانه‌ای است. این مباحث عمدتاً جنبه اطلاع‌رسانی خواهند داشت. معرفی جدیدترین آسیب‌پذیری‌ها، کدهای سوء‌استفاده، روش‌های امن‌سازی و … از جمله مطالب منتشر شده در این وبلاگ خواهند بود. نحوه بیان مطالب رسمی نبوده و صحت اطلاعات مندرج در هر پست بر عهده نویسنده آن می‌باشد. امید است مطالب بیان شده مقبول نظر خوانندگان واقع شود.