اخبار داخلی آرمان داده پویان

مقالات

گزارش تهدیدات امنیتی فورتی‌گارد (قسمت دوم)

گزارش تهدیدات امنیتی فورتی‌گارد

۱۸ ژانویه ۲۰۱۸ (قسمت دوم)

با ارائه گزارش امنیتی آزمایشگاه فورتی گارد در اختیار شما قصد داریم تا مخاطبین خود را با تهدیدات امنیتی مشاهده شده‌ی اخیر آشنا نماییم. در این گزارش با جزئیات آسیب‌پذیری و بروزرسانی‌های ارائه شده در هفته گذشته آشنا خواهید شد. قسمت اول این گزارش از طریق این پیوند قابل دستیابی است. 

آسیب‌پذیری در Ektron

Ektrone یک سیستم مدیریت تولید محتوی (CMS) است که در سال ۲۰۱۵ با Episerver ادغام گشت. آن‌ها در سال ۲۰۱۵، در حدود ۹٫۰۰۰ نفر مشتری و ۳۰٫۰۰۰ سایت راه‌اندازی شده داشتند. در Ektron نسخه‌های قبل از ۸٫۰۲ SP5 کلاسی با نام XslCompiledTransform وجود دارد که از یک پارامتر امنیتی به نام “enable Script” استفاده می‌نماید که بر روی “true” تنظیم شده است. همین موضوع به یک مهاجم اجازه می‌دهد تا دستورات مورد نظرش را از راه دور اجرا نماید. در واقعا مهاجم از یک فایل XSL خاص همراه با پارامترهایی ویژه کدهای مورد نظرش را اجرا می‌نماید. بعد از پارس شدن فایل XSL و بارگذاری فایل‌هایی که به آن‌ها ارجاع داده شده است عملیات اجرا در چارجوب روند HTTP daemon صورت می‌پذیرد. تیم تحقیقاتی فورتی نت در آخرین گزارش امنیتی خود افزایش زیادی را در تعداد این حمله به صورت جهانی مشاهده کرده است.

امضا:

Ektron.XSLT.Transform.Remote.Code.Execution

فعالیت‌های بدافزار

رتبه

نام

میزان شیوع

۱

Android/Agent.FJ!tr

۵,۵۱۵

۲

W32/Agent.AJFK!tr

۵,۱۸۵

۳

Adware/Agent

۳,۹۵۴

۴

W32/Kryptik.GLZZ!tr

۳,۵۳۴

۵

MSOffice/CVE_2017_11882.A!exploit

۳,۱۸۲

عملیات مخرب گروه TA505

خبر بعدی متعلق به فعالیت‌های مخربانه‌ای تحت عنوان “ServHelper” و “FlawedGrace” می‌باشد. این عملیات از جانب گروه TA505 انجام پذیرفته و تنها یک هفته قبل از ارائه آخرین گزارش امنیتی فورتی نت(۱۸ ژانویه ۲۰۱۹) گزارش جامعی که در آن به تحلیل خوانواده یک درب پشتی، ServHelper و یک RAT با نام FlawedGrace پرداخته بودند، منتشر شد.

ServHelper

TA505 یکی از گروه‌های بسیار فعال در عرصه بدافزار می‌باشد. این گروه بسیاری از ابزارها را ساخته و یا در فعالیت‌های مخربانه خود از آن‌ها استفاده کرده است. ابزارهایی مانند تروجان بانکی Dridex، باج‌افزار Locky و تروجان بانکی TrickBot. این گروه روش‌های مختلفی را برای به دست آوردن پول استفاده کرده و در این راستا نیز موفق بوده است. آخرین فعالیت این گروه ایجاد یک درب پشتی در سیستم قربانیان می‌باشد. آن‌ها قربانیانشان را از طریق کمپین‌های فیشینگ به دام انداخته‌اند. این درب‌های پشتی فایلی با نام “ServHelper.dll” را بر روی سیستم قربانی بارگذاری می‌نمایند. در ماه‌های نوامبر تا دسامبر ۲۰۱۸ سه گونه هرزنامه که این درب‌های پشتی در آن‌ها پیوست شده‌اند گزارش شده است. تمامی این هرزنامه‌ها موسسات مالی را مورد هدف قرار داده‌اند. اما در ارتباط با انواع این درب پشتی بایستی بگوییم تا به امروز تنها دو گونه از آن کشف شده است. گونه اول که مشخصاتش مانند یک بارگذار کلاسیک است و گونه دوم که پیچیده‌تر است و قادر به تونل زدن از طریق SSH و RDP بوده و به مهاجمین امکان کنترل سیستم قربانی از راه دور را می‌دهد.

FlawedGrace:

هدف اصلی ServHelper بارگذاری تروجان FlawedGrace می‌باشد. البته در ارتباط با FlawedGrace بایستی بگوییم این RAT از سال ۲۰۱۷ وجود دارد اما اخیرا شاهد کاهش شدیدی در توزیع این خوانواده بوده‌ایم. اکنون و با این کمپین مخرب اینطور به نظر می‌رسد که توزیع این تروجان از سر گرفته شده است. محققان فورتی نت می‌گویند FlawedGrace یک بدافزار بر مبنای C++ است که از یک پروتکل باینری برای برقراری ارتباط با سرور C2 بهره می‌برد. علاوه بر این، FlawedGrace توانایی بارگذاری بدافزارها و محتویات مخرب دیگر را نیز دارد. سرقت اطلاعات حساس قربانی مانند گذرواژه‌ها و راه اندازی اسکریپت بر روی سیستم قربانی نیز از دیگر توانمندی‌های این بدافزار می‌باشد. حتی ممکن است FlawedGrace اطلاعات قربانی را تغییر داده و یا به آن آسیب‌برساند.

امضاها:

W32/Delf.BHB!tr, W32/Delf.BGZ!tr, VBA/TrojanDownloader.LIZ!tr, VBA/TrojanDownloader.LGD!tr

نشانگرها:
hxxp://officemysuppbox[.]com/staterepository
hxxps://checksolutions[.]pw/ghuae/huadh[.]php
hxxps://rgoianrdfa[.]pw/ghuae/huadh[.]php
hxxps://arhidsfderm[.]pw/ghuae/huadh[.]php
hxxp://offficebox[.]com/host32
hxxp://office365onlinehome[.]com/host32
hxxps://afgdhjkrm[.]pw/aggdst/Hasrt[.]php 46[.]161[.]27[.]241:443
hxxp://dedsolutions[.]bit/sav/s[.]php
hxxp://dedoshop[.]pw/sav/s[.]php
hxxp://asgaage[.]pw/sav/s[.]php
hxxp://sghee[.]pw/sav/s[.]php
hxxps://vesecase[.]com/support/form[.]php

 

حمله با استفاده از آسیب‌پذیری در Adobe Flash Player

آسیب‌پذیری روز-صفر کشف شده در Adobe Flash Player به شماره مرجع CVE-2018-15982 ماه گذشته اعلام شد. اخیرا این آسیب‌پذیری مورد استفاده یک کمپین مخرب قرار گرفته است. محققان فورتی نت می‌گویند فایل Microsoft word ای را یافته‌اند که حاوی محتوی آلوده Flash بوده و همراه با یک تصور JPG فشرده شده و حاوی Shellcode نیز می‌باشد.

این داکیومنت از طریق آسیب‌پذیری موجود در Flash اجرا شده و بعد از اجرا یک RAT را بر روی سیستم قربانی نصب می‌نماید و از این طریق مهاجمین دسترسی از راه دور به سیستم قربانی می‌یابند. این حمله ماه پیش و از طریق فایلی که از اکراین در VirusTotal بارگذاری شده بود، کشف شد. فایل مخرب به زبان روسی نوشته شده است و به همراه یک تصویر JPG فشرده شده است. همچنین این کمپین از لوگوی یک موسسه پزشکی سواستفاده می‌نماید.

امضاها:

Adobe.Flash.TVSDK.metadata.Use.After.Free, SWF/Generic!exploit

بدافزار پنهان در فیلم

محققان آزمایشگاه فورتی گارد از یک بدافزار LNK که در قالب یک فایل فیلم پنهان می‌شود آگاهی دارند. طبق تحقیقات فورتی نت این فایل آلوده از طریق Pirate Bay torrent بارگذاری می‌شود. این بدافزار به عنوان یک میانبر Windows.LNK پنهان شده است و مجموعه‌ای از دستورات پاورشل را اجرا می‌نماید. پس از اجرای این دستورات یک اسکریپت استخراج می‌گردد. این بدافزار دو هدف اصلی دارد:

هدف اول آن جلوگیری از شناسایی توسط برنامه‌های ضد ویروس و هدایت کردن قربانی از طریق تزریق کد است. محققان معتقدند شاید این بدافزار قصد تزریق محتوی به سایت‌های پربازدیدی مانند ویکی پدیا، گوگل و Yandex را دارند. برای رسیدن به این هدف نیز اقدام به نصب افزونه‌های فایرفاکس با عنوان “Firefox protection” و سرقت افزونه‌های “Chrome Media Router” نموده است. اگر این افزونه‌ها به صورت موفقیت آمیزی نصب گردند داده‌ها را از سرور استخراج کرده و به وب سایت‌هایی که نام بردیم تزریق می‌نمایند.

هدف دوم این بدافزارها کسب درآمد است. این بدافزار ممکن است قصد سرقت ارز دیجیتال از قربانی را داشته باشد. این بدافزار نتایج جست و جوهای قربانی را با نتایج دلخواه خودش جایگزین می‌نماید. همچنین یک بنر تقلبی در ویکی پدیا زده و در آن اعلام می‌نماید اگر قصد کمک مالی برای مقاصد بشردوستانه به صورت ارز دیجیتال بیت کوین و یا اتریوم را دارید بر روی این بنر کلیک نمایید. محققان تیم مسدودسازی فورتی نت تمامی URLهای مرتبط با این حمله را مسدود کرده‌ اند.

نشانگرها

klis[.]icu/1

klis[.]icu/3

klis[.]icu/2

pastebin[.]com/raw/GbDcvb9u

آسیب‌پذیری در Microsoft Windows JET Engine Msrd3x

محققان فورتی گارد یک آسیب‌پذیری در Microsoft Windows JET Engine Msrd3x کشف کرده‌اند که یک مهاجم با استفاده از آن می‌تواند کدهای مورد نظرش را از راه دور اجرا نماید. فورتی گارد این آسیب‌پذیری را به مایکروسافت گزارش کرده است.

آرمان داده پویان ارائه دهنده محصولات و راهکارهای مبتنی بر فورتی نت در ایران

برای اطلاعات بیشتر تماس بگیرید

تعداد بازدید: 103


تازه ترین ها