دفترچه خاطزات یک شکارچی باگ
https://www.dropbox.com/s/slx3h9htgaqixqe/1-4.pdf?dl=0

به گفته‌ی Jack Tang، تحلیل‌گر تهدیدها در Trend Micro، اوراکل یک آسیب‌پذیری بحرانی، که مهاجمان در عملیات رخنه در NATO، معروف به Pawn Strom، آن را به کار گرفته‌اند، را تعمیر کرده است.

این وصله، بخشی از یک ۱۵۴ اصلاحیه‌ از Big Red است که ۲۵ مورد آن مربوط به زمان ‌اجرای جاوا می‌شوند.

این اصلاحیه، یا فرسوده می‌شود یا گروه رخنه‌گر‌هایی که از آسیب‌پذیری روز صفرم (CVE-۲۰۱۵-۲۵۹۰) برای حمله به دارایی‌های تحت وب ناتو، کاخ سفید و سایر نهادهای معروف، استفاده کرد را سرگرم می‌کند.

همان گروه در پشت پرده‌ی حمله‌ی XAgent iOS بود که هدف آن اعضای دفاع و ادارات دولتی بود.

تنها هفته‌ی گذشته، این گروه در حال بهره‌برداری از یک رخنه در ادوبی فلش که تا کنون وصله شده، یافت شد.

به گفته‌ی Tang: «روش استفاده شده برای عبور از این حفاظت کاملاً غیرهوشمندانه بود.»

«اگر جاوا، امروزه هنوز فراگیر بود، تأثیر یک عبور از یک تدبیر حفاظتی، بسیار بیشتر می‌بود. هر آسیب‌پذیری روز صفرم که در این راه کشف شده‌ است، می‌توانست باعث بارگیری‌‌های مخرب شود.»

به گفته‌ی Tang، این نشان می‌دهد که چقدر کلیک برای بازی برای سامانه‌‌های پیچیده مانند جاوا، بحرانی است.

مهاجمان قبل از حمله باید سه کار را انجام دهند: اضافه کردن کد خاص HTML به یک وب‌گاه مخرب، ایجاد یک کارگزار رجیستری RMI که دارای یک آدرس IP عمومی باشد، و ایجاد یک کارگزار وب دیگر برای نگهداری کد مخرب جاوا که همچنین دارای یک آدرس IP عمومی است.

یک آسیب‌پذیری جدی در solarwinds گزارش شده است. این آسیب‌پذیری برای مهاجم از راه دور این امکان را فراهم می‌نماید تا کدهای دلخواهی را در هنگام نصب SolarWinds Firewall Security Manager اجرا نماید.
سیستم‌های آسیب‌پذیر

SolarWinds Firewall Security Manager
لینک و توضیحات تکمیلی

https://downloads.solarwinds.com/solarwinds/Release/HotFix/FSM-v6.6.5-HotFix1.zip

یک آسیب‌پذیری در D-Link DIR-300 و D-Link DIR-600 گزارش شده است که می‌تواند توسط افراد مخرب به منظور تزریق shell command مورد سوء استفاده قرار گیرد.
سیستم‌های آسیب‌پذیر

D-Link DIR-300

D-Link DIR-600
لینک و توضیحات تکمیلی

https://securityadvisories.dlink.com/security/publication.aspx?name=SAP10054

سومین جشنواره ملی امنیت فضای تبادل اطلاعات، پاییز 94 در دانشگاه صنعتی اصفهان با محوریت مرکز تخصصی آپا دانشگاه صنعتی اصفهان در دو مرحله برگزار می‌گردد.

Festival.nsec.ir

مرحله اول این جشنواره در قالب مسابقه ملی فتح پرچم(CTF) در 9 مهر94 به صورت برخط برگزار می‌گردد. همچنین مرحله دوم جشنواره در 4 و 5 آذر 94 در دانشگاه صنعتی اصفهان با حضور متخصصین، پژوهشگران، مدیران و کارشناسان فناوری اطلاعات، دانشجویان، اساتید و خبرگان امنیت فضای تبادل اطلاعات و نیز علاقه‌مندان امنیت اطلاعات و ارتباطات برگزار می‌گردد.

این رویداد بزرگ امنیتی در فضای تبادل اطلاعات شامل قسمت‌های متنوعی است.

مسابقه فتح پرچم و مانور سایبری در تاریخ 9 مهر 94 به صورت برخط (جهت ثبت نام در مسابقه به پرتال مسابقه festival.nsec.ir مراجعه کنید)

مسابقات CTF‌ يك مانور شبيه‌سازي شده در فضاي سايبري محسوب می گردد كه در آن متخصصین امنیت اطلاعات به مقابله با يكديگر می‌پردازند. در اين مسابقه هر تيم تلاش مي‌كند از مواضع از پيش تعيين شده در رايانه يا شبكه اختصاصي‌اش دفاع كند. در عين حال به طور همزمان سعي مي‌كند كه با گذر از سد امنيتي ساير تيم‌ها، پرچم خود را در سيستم‌هاي آنها برافراشته نماید. مهندسي معكوس (Reverse-engineering)، شنود شبكه (network sniffing)، تحليل پروتكل، پنهان نگاری، مديريت شبكه، حملات تحت وب، برنامه‌نويسي امن، تحليل رمز(cryptanalysis) از جمله توانايي‌هايي هستند كه در این مسابقات مورد ارزیابی قرار می‌گیرد.

مسابقه ایده های نو و کسب و کارهای نو افتا (security startup)

در این رقابت با طرح چندین مسئله کلیدی در زمینه امنیت فضای تبادل اطلاعات، ایده‌ها و راهکارهای شرکت‌کنندگان مورد ارزیابی و در نهایت جوایز ارزنده‌ای به طرح‌های برتر اهدا می‌گردد. در این بخش همچنین تسهیلات لازم جهت راه‌اندازی شرکت‌های نوپا در زمینه افتا برای تیم‌های برتر فراهم می‌گردد.







همایش و کارگاه‌های تخصصی

همایش‌ها و کارگاه‌های جشنواره موضوعات متنوع در زمینه امنیت فضای تبادل اطلاعات را پوشش می‌دهد.





نمایشگاه ترویجی امنیت فضای تبادل اطلاعات

نمایشگاه ترویجی امنیت فضای تبادل اطلاعات شامل غرفه‌های آگاهی رسانی عمومی در زمینه امنیت اطلاعات و ارتباطات، غرفه‌های ایده‌های نو در زمینه افتا، غرفه‌های آزمایشگاه‌های تحقیقاتی در زمینه افتا، غرفه‌های شرکت‌های تازه تاسیس در زمینه افتا و غرفه‌های مربوط به حامیان اصلی جشنواره خواهد بود.



جهت آگاهی از جزئیات این رویداد ملی امنیت فضای تبادل اطلاعات و نیز ثبت نام در رقابت آنلاینCTF به پرتال جشنواره مراجعه فرمایید.

Festival.nsec.ir

نزدیک به نیم میلیارد کاربر در خطر یک آسیب‌پذیری اجرای کد از راه دور روز-صفرم قرار دارند که روی همه‌ی نسخه‌های نرم‌افزار فشرده‌سازی محبوب WinRAR تاثیر می‌گذارد. کد سوء‌استفاده از این آسیب‌پذیری منتشر شده ‌است و نویسنده‌ی آن ادعا کرده که این کد روی همه‌ی نسخه‌های WinRAR کار کند. به نظر این آسیب‌پذیری در حملات Phishing استفاده خواهد شد. با بهره‌برداری از این آسیب‌پذیری می‌توان کد HTML و جاوااسکریپت در پس‌زمینه‌ی نرم‌افزار WinRAR اجرا کرد.

در دو دهه‌ی گذشته، WinRAR یک نرم‌افزار محبوب جهت فشرده‌سازی پرونده‌ها برای کاربران ویندوز بوده است و در نظراتی که در وب‌گاه‌های بارگیری مانند CNET و Softpedia در مورد این نرم‌افزار بیان شده، عموماً از آن تشکر شده است.

محقق ایرانی، محمدرضا اسپرغم، این حفره را به فهرست پستی Full Disclosure گزارش داد. اسپرغم در Full Disclosure نوشته بود : «این آسیب‌پذیری به مهاجمان از راه دور بدون مجوز اجازه می‌دهد که کد مخصوص سامانه را اجرا و به یک سامانه‌ی هدف حمله کنند. مهاجمان از راه‌ دور می‌توانند آرشیوهای فشرده‌ی خودشان را ایجاد کنند تا کد‌های مخصوص سامانه در این آرشیوها قرار گیرد و فقط نیاز است که کاربر این آرشیو را باز کند تا کد حمله را اجرا نمایند.»

اسپرغم به این آسیب‌پذیری امتیاز تخریب ۹ از ۱۰ می‌دهد، چون نیاز به تلاش کمی برای بهره‌برداری داشته و فقط کافی است که کاربران پرونده را باز نمایند.
پرونده‌های تورنتِ بازی‌ها و برنامه‌های مختلف، ابزاری مناسب برای حمله به ‌صورت مخفیانه هستند. این آسیب‌پذیری هنوز شناسه‌ی CVE، که اشکالات اساسی توسط آن ردیابی و امتیازدهی می‌شوند، دریافت نکرده ‌است. مهاجمان می‌توانند HTML و جاوااسکریپت را در آرشیوهای SFX تزریق کنند. سپس، در صورتی که پرونده توسط برنامه WinRAR از حالت فشرده خارج شد، این کدها می‌تواند اجرا شود.

به گفته‌ی Pieter Arntz، محقق MalwareBytes، کد سوء‌استفاده برای این که درست کار کند، نیاز دارد تا به ظرافت پیاده‌سازی شود.
آدرس اینترنتی خبر https://goo.gl/rqv9d8

- مقدمه

بدافزار رجین که به‌تازگی ذهن تمامی مسئولین امنیتی در سراسر دنیا را به خود جلب نموده است، دارای پیچیدگی‌های خاصی می‌باشد. به گونه‌ای که به نظر می‌رسد توسط یک حکومت ایجاده شده و ممکن است برای مدت 8 سال مورد استفاده قرار گرفته باشد. این بدافزار دارای اهداف متنوعی است که به طور خاص می‌توان به شرکت‌های مخابراتی در کشورهای مختلف از جمله ایران اشاره نمود.

این بدافزار با ماژول‌های متفاوت سفارشی سازی شده برای سرقت انواع خاص اطلاعات، غالباً شرکت‌های مخابراتی، کسب و کارهای کوچک و افراد شخصی را هدف قرار داده است. سیمانتِک حدود ۱۰۰ نهاد را در ۱۰ کشور کشف کرده است که توسط بدافزار رجین آلوده شده‌اند که اغلب آنها در روسیه و عربستان صعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.

به گفته یک محقق امنیتی سیمانتِک به نام «لیام اومورچو»، نخستین نسخه Regin بین سال‌های ۲۰۰۸ تا ۲۰۱۱ فعال شد. سیمانتِک تحلیل نسخه دیگری از Regin را که توسط یکی از مشتریان برای این شرکت ارسال شده بود حدود یک سال قبل آغاز کرد. اما شواهد و ادله جرم‌شناسانه‌ای وجود دارد مبنی بر اینکه Regin از سال ۲۰۰۶ فعال بوده است. در حقیقت سیمانتِک نام Regin را برای این بدافزار انتخاب نکرده است. به گفته اومورچو این بدافزار توسط دیگرانی که در زمینه امنیت فعالیت می‌نمایند و پیش از این در مورد این بدافزار اطلاعاتی داشته‌اند، به این نام نامیده شده است.

سیمانتِک حدود ۱۰۰ نهاد را در ۱۰ کشور کشف کرده است که توسط Regin آلوده شده‌اند که اغلب آنها در روسیه و عربستان سعودی قرار دارند. اما در مکزیک، ایرلند، هند، افغانستان، ایران، بلژیک، اتریش و پاکستان نیز مواردی از آلودگی به این بدافزار مشاهده شده است.

Regin یک تروجان backdoor است که بسته به هدف، با گستره متنوعی از قابلیت‌ها، سفارشی‌سازی می‌شود. به گفته سیمانتِک، تولید این بدافزار ماه‌ها و حتی سال‌ها زمان برده است و نویسندگان آن تمام سعی خود را برای پوشاندن ردپای این بدافزار کرده‌اند.

همچنین هنوز دقیقاً مشخص نیست که کاربران چگونه توسط Regin آلوده می‌شوند. به گفته اومورچو، سایمانتک فقط در مورد یک کامپیوتر کشف کرده است که از طریق یاهو مسنجر آلوده شده است. این احتمال وجود دارد که کاربر قربانی یک حمله مهندسی اجتماعی شده و بر روی لینکی که از طریق مسنجر ارسال شده است کلیک کرده باشد. اما احتمال بیشتری وجود دارد که کنترل‌کنندگان Regin از یک آسیب‌پذیری در مسنجر آگاه بوده و بدون نیاز به تعامل کاربر، سیستم وی را آلوده کرده باشند.

2 - مراحل و ساختار کلی بدافزار

اگر بخواهیم روند کاری این بدافزار را مرحله‌بندی نماییم، می‌توان گفت که این بدافزار فعالیت‌های خود را در 6 مرحله انجام می‌دهد. اولین مرحله مربوط به نصب و پیکربندی سرویس‌های داخلیست. سایر مراحل مربوط به payload های این بدافزار میباشد.

در مرحله اول نصب برروی درایور که ساده ترین قسمت برای خواندن کدها هست انجام می‌گیرد.تمامی مراحل بعد با رمزگذاری و روش های غیرمعمول مانند قسمتی از رجیستری یا در فایلهای EA ذخیره میشوند.

- روند اجرایی این بدافزار

مرحله 0 ((dropper

هنوز پاسخ کاملی در ارتباط با چگونگی ورود رجین به تارگت وجود ندارد. ولی احتمالاَ به محض ورود به سیستم اقدام به نصب مرحله اول می‌کند.

مرحه 1

نقطه شروع حمله این مرحله می‌باشد. دو نوع فایل در این مرحله مشاهده شده که عبارتند از:

-usbclass.sys (version 1.0)

-adpu160.sys (version 2.0)

احتمال وجود فایل های دیگری که بین 1.0 و 2.0 باشد زیاد است.

این فایل ها همگی در سطح کرنل فعال هستند و مسئول راه‌اندازی مرحله دوم حمله می‌باشند. مرحله 1 به راحتی این کار را با خواندن یا نوشتن در یک فایل EA انجام می‌دهد.اگر وجود نداشت به سراغ رجیستریها رفته و مرحله 2 توسط رجیستری‌ها نصب خواهد شد.

مرحله 2

این مرحله نیز در سطح کرنل آغاز خواهد شد و به راحتی اقدام به نصب و اجرای مرحله 3 میکند. و همانند مرحله اول این کار را در یک فایل EA یا رجیستری انجام میشود

مرحله 2 در محل های زیر یافت می‌شود:

Registry subkey

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-

D0204917CA58}

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\RestoreList\VideoBase (possibly only in version

2.0)

این مرحله همچنین مسئول مخفی کردن بقایای مرحله اول می‌باشد و به همین دلیل شناسایی آن کار سختی است.

مرحله 3

مرحله 3 نیز در سطح کرنل انجام می‌شود و از نوع DLL است که همانند مراحل قبل به روش های معمول ذخیره سازی نمی‌گردد و در یک فایل EA یا بلاک رجیستری ذخیره میگردد

این مرحله در محلهای زیر یافت میشود:

Extended attribute

%Windir%\system32
%Windir%\system32\drivers

Registry subkey

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4F20E605-9452-4787-B793-D0204917CA5A}

برای مرحله 3 چند وظیفه مشخص شده که احتمال بروز خطا در این نظریه وجود دارد که عبارتند از:

ارکستراسیون، یعنی تجزیه اطلاعات اضافی که درمرحله 3 و بالاتر قابل شناسایی هستند.
فشرده سازی و بلعکس
رمزگشایی و رمز گذاری
بازیابی حجم مورد نیاز برای بارگذاری اجزای مرحله 4

در کل مرحله 3 یک فایل دی ال ال هست که حاوی صدها نوع تابع برای کارهای مختلف میباشد.این مرحله بر خلاف مراحل قبل که تنها وظیفه ذخیره سازی را برای مرحله بعد را داشتند زمینه را برای اجرای مراحل بعد آماده میکند.جدول زیر نمونه ای از این توابع را نشان میدهد

Functionality


Major

Core


0001h

Compression, decompression


000Dh

Encryption, decryption


000Fh

EVFS handling


003Dh

Container management


0007h

Log management


000Bh

Loader


0033h

مرحله 4:

فایل های مرحله 4 که توسط مرحله 3 بارگذاری شده شامل ماژول های پیلود چند هسته‌ای می‌باشد و در دو محل EVFS با عنوان فایل های زیر ذخیره میشوند:

• %System%\config\SystemAudit.Evt

• %System%\config\SecurityAudit.Evt

معمولا ویروس رجین در پاکسازی مراحل 4 و 5 از کامپیوتر قربانی با شکست مواجه می‌شود.

مرحله 5

شامل پیلودهای اصلی رجین است. پِیلودها با توجه به قربانی متفاوت خواهند بود به عنوان مثال:

شنود ترافیک شبکه
بازیابی اطلاعات از طریق کانال‌های مختلف ارتباطی مثل پروتکل‌های TCP، UDP، ICMP
بازیابی و جمع‌آوری اطلاعات کامپیوتر
سرقت پسوردها و کلمات حساس
جمع‌آوری اطلاعات مربوط به پروسه‌ها و حافظه در حال اجرا
قابلیت بازیابی اطلاعاتی که از سیستم پاک شده‌اند.
کنترل و مشاهده کلیک‌های mouse، عکس‌برداری از صفحه در حال نمایش در سیستم کاربر و غیره.

4 - تحلیل بدافزار(مرحله اول)

طراحی رجین نیز هم چون بدافزارهای پیچیده‌ی قبلی، از جمله flame و stuxnet، ماژولار و چند سطحی است. طراحی ماژولار به طراحان این بدافزارها اجازه می‌دهد تا به راحتی بتوانند بنا به هدف و قربانی خود حمله‌های خاص را صورت داده و اطلاعاتی خاص را جمع آوری و سرقت کنند.

این بدافزار در چند مرحله به اجرا در می‌آید که هر مرحله به نوعی پنهان شده و رمزنگاری شده است. روش غیر‌متداولی که در روال اجرایی این بدافزار دیده می‌شود آغاز اجرای آن در سطح کرنل است.

تحلیل ارایه شده در ادامه‌ی مطلب مربوط به ماژول‌های مرحله‌ی یک اجرای بدافزار است. به طور کلی باید گفت روال اجرایی کلیه‌ی فایل‌های دیده شده‌ی مربوط به این مرحله به صورت کاربردی یکسان بوده و همگی آنها از روالی مشخص و همانند برخوردارند.

در ابتدا، کار با نشاندن آدرس‌هایی برای مدیریت استثناها آغاز می‌شود. برای این کار از فراخوانی _SEH_prolog استفاده شده است. در فاصله‌های کوتاه از این فراخوانی با رخدادن یک استثنا آدرس‌های مربوطه از درایور فراخوانی شده و به این وسیله به تنه‌ی اصلی برنامه وارد خواهیم شد. در قدم اول بخشی از دیتای درایور که رمزشده است با الگوریتم نشان داده شده در گراف شکل ۱ رمز‌گشایی می‌شود.

شکل2: الگوریتم رمزگشایی مربوط به دیتای اولیه

در شکل‌های 3 و 4 می‌توانید نمونه‌ای از دیتای مورد نظر درایور را قبل و بعد از عملیات رمزگشایی مشاهده کنید.

شکل 3: دیتای اولیه قبل از رمزگشایی

همان‌طور که در شکل‌های بالا مشخص است، بعد از عملیات رمزگشایی می‌توان مسیر رجیستری و فایل مورد نظر بدافزار را به راحتی مشاهده کرد.

در مرحله‌ی بعد بدافزار اقدام به بازکردن دایرکتوری مورد نظر خود کرده و در صورت موفقیت‌آمیز بودن این کار اطلاعات مربوط به EA آن را از سیستم درخواست می‌کند. لیست آدرس دایرکتوری‌های دیده شده در نمونه‌های موجود در انتهای این گزارش آمده است.

لازم به توضیح است که EA: Extended Attributes به نوعی تکنولوژی ارایه شده در فرمت فایلهای NTFS اطلاق می‌شود که هر فایل/ دایرکتوری را قادر می‌سازد علاوه بر ذخیره سازی دیتا در بخش‌های معمول خود، از این بخش نیز برای ذخیره سازی اطلاعات با فرمت دلخواهش بهره ببرد. با استفاده از این نحوه‌ی ذخیره سازی اطلاعات، رجین توانسته است تا درصد بالایی به پنهان سازی ماژول‌‌های مرحله‌ی بعدش کمک کند. در شکل ۴ بخش مربوط به این فراخوانی را مشاهده می‌کنید.

ا امنی SCADA فقط در مورد استاکس‌نت نیست.
به گفته Kyle Wilhoit محقق ترند ماکرو، آخرین حملات در اسکادا و شبکه های کنترل صنعتی در حال تبدیل شدن به تروجان های بانکی هستند، و این تهدید از اکتبر 2014 در حال افزایش است.



به گفته Kyle Wilhoit محقق ترند ماکرو، آخرین حملات در اسکادا و شبکه های کنترل صنعتی در حال تبدیل شدن به تروجان های بانکی هستند، و این تهدید از اکتبر 2014 در حال افزایش است.
در گفتگو با Dark Reading، Wilhoit افزود به جای حمله هایی به سبک استاکس‌نت، مهاجمان تروجان های بانکی را به این شبکه به عنوان به روز رسانی نرم افزار اسکادا وارد کرده اند.
به گفته بخش Dark Reading، حمله نرم افزار ، در Simatic WinCC زیمنس،GE Cimplicity و Advantech به شکل درایورهای دستگاه مشاهده شده است.
افزایش تعداد حملات به محیط اسکادا، مدیران امنیتی را ملزم به برقراری امنیت در لبه شبکه نموده است. علاوه بر استاکس‌نت، تعداد فزاینده ای از اشکالات مشخص شده در نرم افزار اسکادا وجود دارد. به غیر از اشکالات عمومی مانند Heartbleed و Poodle ، سیستم های صنعتی از مشکلات بسیار رایج مانند اشکالات دسترسی از راه دور و رمز عبورهای hard-coded نیز، رنج می برند.
Wilhoit افزود "هدف نهایی این بدافزار احتمالاً جاسوسی صنعتی نبوده، بلکه به دست آوردن مدارک بانکی"است. البته، با فرض اینکه کنترل کننده های صنعتی‌ای وجود دارد که صاحبان آنها به اپراتورها برای ورود به بانک اجازه می دهند.
Wilhoit همچنین بیان کرد که بسیاری از سیستم های کنترل صنعتی از ویندوز به عنوان پلت فرم رابط کاربری استفاده می کنند و کاربران در این محیط ها از آنتی ویروس ها و یا دیگر نرم افزارهای امنیتی استفاده نمی کنند. او اشاره می کند که هر حمله موفق در کنترلرهای صنعتی مبتنی بر ویندوز فاجعه بار خواهد بود حتی اگر مثلا منجر به منفجر شدن کارخانه فولاد نشود. اگر به عنوان مثال، کسی یک حمله مبتنی بر Cryptolocker در برابر سیستم کنترلی گسترش دهد، این امر می تواند پردازش را غیرقابل استفاده کند.
طراحی سیستم های HMI بسیار آسیب پذیر است، در نتیجه از کار انداختن آنها چندان پیچیده نیست. سرقت اطلاعات مالی امکان پذیر بوده، اما در نظر بگیرید اگر سیستم HMI سهوا از سرویس خارج شود چه خواهد شد؟

منبع خبر
https://www.theregister.co.uk/2015/01/13/attackers_planting_banking_trojans_in_industrial_systems/