اخبار داخلی آرمان داده پویان

مقالات

خلاصه‌ای از گزارش امنیتی آزمایشگاه فورتی‌گارد

۲۰ آبان ۱۳۹۷

خلاصه‌ای از گزارش امنیتی آزمایشگاه فورتی‌گارد

۹ نوامبر ۲۰۱۸

بدافزار TrickBot

در این هفته محققان فورتی‌گارد با گونه جدیدی از بدافزار TrickBot برخورد کردند. این بدافزار در ابتدا با هدف سرقت اطلاعات بانکی قربانیانش به وجود آمد اما در طول زمان پیشرفته‌تر شده است. فورتی‌گارد می‌گوید ماژول جدیدی به این بدافزار اضافه شده است. نحوه انتشار این بدافزار از طریق ماکرو آلوده است که پس از گشودن فایل اکسل و کلیک بر روی دکمه ‘Enable Content’ بر روی ‘Task Scheduler’ سیستم نصب می‌گردد. این بدافزار از روش‌هایی برای مخفی ماندن از دید راهکارهای امنیتی استفاده می‌نماید. رشته اطلاعاتش را رمز می‌نماید تا خود را در برابر تحلیل‌های ایستا و پویا محافظت نماید.

Trickbot دستورات C&C مختلفی دارد:

  • ماژول pwgrab32: جمع‌آوری گواهی‌نامه‌ها از مرورگرهای قربانیان، کاربران FTP و Microsoft Outlook
  • دستور دیگری اطلاعات تکمیل خودکار را از گوگل کروم دریافت می‌نماید.
  • ماژول Trickbot به بدافزار اجازه می‌دهد تا بروزرسانی‎ها را از سرور c&c دریافت نموده و ماژول‌های جدید را بارگذاری نماید.

امضاهای فورتی‌گارد برای این بدافزار:

VBA/Agent.JHAZ!tr.dldr

W32/GenKryptik.COMA!tr

آسیب‌پذیری Apache Struts

محققان فورتی‌گارد می‌گویند Apache Struts همواره مقصد جذابی برای مهاجمین بوده است. در حقیقت مطابق با گزارش‌هایی که فورتی‌نت هر چهار ماه یک بار منتشر می‌کند Apache Struts در میان بیست تهدید برتر در این گزارشات وجود دارد. در ادامه نمونه‌های استفاده مهاجمین از Apache Struts را به شما می‌گوییم.

یک سال قبل Equifax از آسیب‌پذیری Apache Struts استفاده کرده و امسال نیز بات‌نت‌های Miarai و Gafgyt. فورتی‌نت پیشنهاد می‌نماید بروزرسانی Apache Struts را در الویت کارهای خود قرار دهید.

در ارتباط با آسیب‌پذیری اخیر Apache Struts و راهکارهای آن بخوانید.

آسیب‌پذیری در محصولات Avtech

AVTECH سازنده تایوانی  دوربین‌های مدار بسته است که در بیش از دو دهه فعالیت تجاری داشته است و اکنون یکی از رهبران این بازار در سراسر جهان است. در ماه نوامبر سال ۲۰۱۶، SearchLab که یک آزمایشگاه امنیتی در بوداپست است آسیب‌پذیری‌های متعددی در محصولات Avtech یافت در بین این  آسیب‌پذیری‌ها ذخیره گذرواژه‌ها به صورت متن-ساده، کمبود محافظت در برابر CSRF، افشای اطلاعات احراز هویت نشده و تزریق دستورات وجود داشت و در مجموع ۱۴ آسیب‌پذیری گزارش شد. جالب آن بود که تمامی محصولات تولید شده توسط Avtech دارای حداقل یکی از این آسیب‌پذیری‌ها بودند. اطلاعات بیشتر را در این پیوند می‌توانید بیابید.

فورتی‌گارد می‌گوید، در این هفته برای اولین بار، این امضا به رتبه دوم رسیده است. همچنین ۴۰ درصد حسگرها در ۱۲ اکتبر این آسیب‌پذیری‌ها را مشاهده کردند. این آسیب‌پذیری‌ها به ترتیب در کشورهای آمریکا (۲۰٫۰۱%)، ژاپن (۶٫۰۲%) و تایوان (۴٫۳۱%) دیده شده است.

آسیب‌پذیری در MS.Office

این امضا تلاش برای بهره برداری ازآسیب‌پذیری به شماره مرجع CVE-2017-0199 را نشان می دهد که مرتبط به یک ویژگی شناخته شده Office به نام Object Linking و Embedding می باشد. این آسیب پذیری که در ژانویه ۲۰۱۷ به عنوان یک zero-day اعلام شد، توسط محققان و تولیدکنندگان تجهیزات امنیتی مختلف به عنوان سربارهای مخرب در جریان تحقیقاتشان همواره مورد استفاده قرار گرفته است. این آسیب پذیری به مهاجمان اجازه می‌دهد تا بتوانند یک شی OLE2 را در اسناد Office پنهان نمایند.

بعد از آن دستورات Powershell از طریق اینترنت قابل بارگذاری و اجرا می‌باشد. البته مایکروسافت این آسیب‌پذیری را وصله کرد. فورتی‌گارد می‌گوید با این حال بر روی ویندوز ۱۰ که وصله امنیتی مربوطه نصب شده و Office 2016 مورد استفاده قرار گرفته باز هم این اکسپلویت (در آن زمان) کارساز بوده است. این آسیب‌پذیری در یک کمپین رایانامه‌ مخرب (malspam) مورد استفاده قرار گرفت و تعداد زیادی رایانامه آلوده حاوی اسناد Office مخرب در طی آن ارسال شدند. کاربران بعد از باز کردن رایانامه اخطار نامه‌ای را دریافت می‌نمودند که در طی آن اعلام شده بود که باید اسنادی را از طریق پیوندهای موجود بارگذاری نمایند و این موضوع کاملا بی‌خطر می‌باشد.

بعد از تایید کاربر، دستورات PowerShell به صورت اسناد با پسوند .htd از طریق اینترنت دریافت و بر روی سیستم‌ها اجرا می‌شد. فورتی‌گارد می‌گوید بر طبق مشاهداتش امضا مربوط به این تهدید از ۱٫۷۶% به ۳٫۵% در طول این هفته افزایش داشته است. کشورهای تایوان، آمریکا و ترکیه نیز به ترتیب بیش از سایر کشورها در معرض این تهدید قرار گرفته‌اند.

امضا مربوط به این تهدید

MS.Office.RTF.File.OLE.autolink.Code.Execution

آرمان داده پویان ارائه‌کننده محصولات و راهکارهای مبتنی بر فورتی ‌نت در ایران

برای اطلاعات بیشتر تماس بگیرید

تعداد بازدید: 420


تازه ترین ها