اخبار داخلی آرمان داده پویان

مقالات

گزارش تهدیدات امنیتی فورتی‌گارد (قسمت نخست)

گزارش تهدیدات امنیتی فورتی‌گارد

۱۸ ژانویه ۲۰۱۸ (قسمت نخست)

با ارائه گزارش امنیتی آزمایشگاه فورتی گارد در اختیار شما قصد داریم مخاطبین خود را با تهدیدات امنیتی مشاهده شده‌ی اخیر آشنا نماییم. در این گزارش با جزئیات آسیب‌پذیری و بروزرسانی‌های ارائه شده در هفته گذشته آشنا خواهید شد.

بدافزار NanoCore

محققان آزمایشگاه فورتی گارد به تازگی یک داکیومنت Microsoft Word یافته‌اند که حاوی کدهای مخرب VBA می‌باشد که قادر به گسترش و نصب بدافزار NanoCore بر روی ویندوز قربانی می‌باشد.

NanoCore در واقع یک RAT است و در فریم ورک .Net گسترش یافته است. زمانی که قربانی فایل آلوده را دریافت و باز می‌نماید در یک اخطار در بالای صفحه مشاهده خواهد کرد که می‌گوید “ماکرو غیرفعال است” همچنین گزینه قابل کلیک فعال‌سازی نیز قابل مشاهده است. بعد از فعال سازی کد VBA بدون اطلاع قربانی و در پس زمینه به اجرا درخواهد آمد. کد VBA به صورت خودکار و از طریق تابع “Document Open” اجرا خواهد شد.

امضا: VBA/Agent.1B7E!tr.dldr, MSIL/Injector.REB!tr

نشانگرها: hxxp://www[.]wwpdubai[.]/wp-content/plugins/jav/inv[.]exe

پشتیبانی فنی تقلبی ازضد ویروس

از دیگر تهدیدات امنیتی هفته گذشته که توسط محققان آزمایشگاه فورتی گارد کشف شده است به کمپینی می‌توان اشاره کرد که به ظاهر پشتیبانی فنی ضد ویروس انجام می‌دهد.  این کمپین در قالب تبلیغات در سایت‌های معتبر پنهان شده است. بعد از کلیک کردن  بر روی این تبلیغات قربانی به صفحه‌ای انتقال داده می‌شود که در آن با یک هشدار مایکروسافت روبرو می‌گردد. این هشدار تقلبی به قربانی می‌گوید سیستمش دچار آلودگی شده و به سرعت بایستی از یک ضد ویروس استفاده نماید، در غیر این صورت اطلاعاتش ممکن است به سرقت رود و یا سیستمش دچار اشکال شود. قربانی با دو راهکار روبرو خواهد شد یکی تماس تلفنی و دیگر صفحه پشتیبانی که باید به آن ورد (login) نماید. در هر دو صورت مهاجم به مقصود خود خواهد رسید. این کمپین تمایل به استفاده از دامنه‌هایی دارد که از “.XYZ” استفاده می‌نمایند. تحقیقات فورتی نت نشان می‌دهد این کمپین از اکتبر ۲۰۱۸ تا به کنون فعال بوده است. در همین راستا ۲۰۰۰ آدرس URL و ۵۰۰ میزبان به پایگاه داده مسدودسازی وب فورتی گارد در جهت تشخیص این کمپین افزوده شده است.

کمپین مخرب Emotet

Emotet بازگشته است: آخرین گزارشات فورتی نت در ارتباط با این بدافزار به اواسط دسامبر باز می‌گردد. اما خبر جدید این است که Emotet بعد از دوره‌ای استراحت از تعطیلات باز گشته است! در یک کمپین مخرب هرزنامه‌هایی که به زبان‌های مختلف و با استفاده از مهندسی اجتماعی در جهت ترغیب قربانیان به گشودن آن‌ها طراحی شده‌اند، فرستاده شدند. این هرزنامه‌ها حاوی داکیومنت‌های مایکروسافتی هستند که برای انتشار بدافزار مجهز به ماکرو می‌باشند. این هرزنامه عمدتا حاوی بدافزارهای بانکی هستند. اما گونه‌های جدیدتر، پیشرفته‌تر شده و تغییراتی داشته‌اند. از جمله این پیشرفت‌ها می‌توان به بررسی اولیه در ارتباط با  آدرس IP اشاره کرد. یعنی بررسی وجود آدرس IP در فهرست سیاه و یا فهرست هرزنامه گیرنده. از این رو مهاجمین شانس بیشتری در رسیدن به مقصود خود خواهند داشت. از پاورشل نیز برای برقراری ارتباط با مرکز توزیع برای تغییرات لازم در سربار استفاده شده است. در نسخه‌های جدیدتر علاوه بر تروجان‌های بانکی از سارق اطلاعات، باج‌افزارها و انواع دیگر بدافزار نیز استفاده شده است.

امضاها:

Malicious_Behavior.SB, VBA/Agent.1F50!tr.dldr

آسیب‌پذیری‌های کشف شده در برنامه‌های کاربردی

رتبه

نام

میزان شیوع

۱

MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow

۲۷,۷۵۷

۲

Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution

۲۴,۳۶۸

۳

D-Link.DSL-2750B.CLI.OS.Command.Injection

۱۹,۴۷۸

۴

Avtech.Devices.HTTP.Request.Parsing.Multiple.Vulnerabilities

۱۷,۰۹۳

۵

PHPUnit.Eval-stdin.PHP.Remote.Code.Execution

۱۴,۸۲۱

آسیب‌پذیری در افزونه DZS

آسیب‌پذیری کشف شده در وردپرس مربوط به افزونه‌ی محبوب DZS است. این افزونه به کاربر اجازه می‌دهد تا به سرعت ویدئو‌های YouTube/Vimeo را از ابر دلخواهش بر روی وب‌سایت وردپرس اش وارد نموده و مدیریت نماید. محققان فورتی گارد کشف کرده‌اند که نسخه‌های قبل از ۷٫۸۵ نسبت به چندین آسیب‌پذیری Cross-Site Scripting آسیب‌پذیر هستند و اگر یک مهاجم از آن‌ها به طرز موفقیت آمیزی استفاده نماید قادر به اجرای کدهای مورد نظرش از راه دور خواهد بود. این موضوع منجر به سرقت اعتبارنامه‌های (credentials) وب سایت قربانی می‌گردد. همچنین دیگر حملات Scripting نیز محتمل است.

این حمله بر مبنای تزریق دستورات و از طریق دو پارمتر آسیب‌پذیر با نام‌های swfloc و designrand انجام می‌پذیرد. به گزارش فورتی‌گارد حمله بر ضد افزونه DZS اخیرا افزایش یافته است.

امضاها:

WordPress.Plugin.DZS-VideoGallery.Remote.Command.Injection

آرمان داده پویان ارائه دهنده محصولات و راهکارهای مبتنی بر فورتی نت در ایران

برای اطلاعات بیشتر تماس بگیرید

تعداد بازدید: 82


تازه ترین ها