هشدار دولت آمریکا به کاربران مایکروسافت ویندوز

آژانس امنیتی امنیت سایبری و امنیت زیرساخت امنیت ایالات متحده (CISA) با اخطار به کاربران مایکروسافت ویندوز در ارتباط با یک آسیب پذیری امنیتی بحرانی عمومیت یافت. با انتشار هشدار "به روز رسانی در حال حاضر"، CISA به کسانی مانند مایکروسافت و آژانس امنیت ملی (NSA) در هشدارهای کاربران ویندوز از خطر آسیب پذیری BlueKeep ملحق شده است.

این آخرین اخطار و بسیاری از کسانی که بیشترین gravitas دارند بحث می کنند، بر روی پاشنه یانیب بلماس، رئیس جهانی تحقیقات امنیت سایبری در Check Point فروشنده امنیتی، به من در مصاحبه ای از SC Magazine UK در مورد مصاحبه با من گفتند: "این در حال حاضر یک مسابقه است در برابر ساعت های مجرمان اینترنتی که این آسیب پذیری را یک بمب سایبری می کند. " بالماس همچنین پیش بینی کرد که تنها چند هفته خواهد بود که مهاجمان از BlueKeep استفاده می کنند.

هشدار CISA به نظر می رسد که این را تأیید کند، اعلام کرد که "با ذینفعان خارجی هماهنگ شده است و مشخص کرده است که ویندوز 2000 برای BlueKeep آسیب پذیر است." به این ترتیب می توان اشیاء راه دور کد را در ویندوز 2000 تایید کرد، ممکن است خیلی ترسناک نباشند، این یک سیستم عامل قدیمی است، زیرا این امر به عنوان تمرین در ترس، عدم اطمینان و شک و تردید نیست. تا کنون، سوء استفاده هایی که توسعه یافته اند، حداقل کسانی که در عملیات دیده می شوند، کاری انجام ندادند تا کامپیوتر را خراب کنند. دستیابی به اجرای کد از راه دور باعث می شود که کرم BlueKeep به نظر برسد، زیرا کنترل کننده دستگاه های آلوده به مهاجم را به ارمغان می آورد.

تحقیقات قبلا نشان داده است که فقط کمتر از یک میلیون دستگاه از اینترنت در برابر پورت 3389 آبی BlueKeep آسیب پذیر هستند که توسط ویژگی Remote Desktop Remote استفاده می شود. اما این فقط نوک این کوه یخی است. این یک میلیون دروازه به طور بالقوه میلیون ها ماشین بیشتر است که در شبکه های داخلی که منجر به آن نشسته است. سوءاستفاده کرم زنی می تواند در داخل آن شبکه حرکت کند، به سرعت در حال گسترش به هر چیز و همه چیز می تواند آلوده به تکثیر و گسترش است. در اینجا قصیر واقعی است: این می تواند شامل ماشین ها در دامنه دایرکتوری Active Directory باشد، حتی اگر آسیب پذیری BlueKeep برای بهره برداری وجود نداشته باشد. دستگاهی که پروتکل دسکتاپ دسکتاپ آسیب پذیر را اجرا می کند، صرفا دروازه است، پس از آنکه پول هوشمندانه در حادثه ای قرار می گیرد که می تواند به عنوان گسترده ای به عنوان WannaCry در سال 2017 برگردد.

آژانس امنیت ملی ایالات متحده در 4 ژوئن یک هشدار از آسیب پذیری BlueKeep اخطار داد. NSA از مدیران و کاربران مایکروسافت ویندوز خواست تا اطمینان حاصل کنند که آنها در برابر تهدید رو به رشد استفاده می کنند. مایکروسافت خود را دو بار در حال حاضر هشدارهای مربوط به BlueKeep از جمله یکی که گزارش شده بود به عنوان التماس کاربران برای به روز رسانی نصب ویندوز خود را منتشر شده است.

در حال حاضر به نظر می رسد یان تورنتون ترامپ، رئیس امنیت در AmTrust بین المللی، هنگامی که به من گفت که او مظنون به NSA بود، "اطلاعات طبقه بندی شده در مورد بازیگر (ها) که ممکن است زیرساخت های حیاتی را با این سوء استفاده" هدف قرار دهد، به شدت خراب شد. توجه داشته باشید که این زیرساخت های حیاتی تا حد زیادی از خانواده های ویندوز XP و 2K3 تشکیل شده است، این بسیار حساس است. در حالی که کاربران ویندوز 8 و ویندوز 10 تحت تاثیر این آسیب پذیری قرار نگرفته است، ویندوز 2003، ویندوز ایکس پی و ویندوز ویستا همه هستند و اخبار که تأیید شده است، توجیه گه های غیرمعمول دولت ایالات متحده و آژانس های آن را در صدور این " به روزرسانی "هشدارها.

ساتنام نارانگ، مهندس ارشد پژوهشی Tenable می گوید که هشدار CISA، "یک حرکت بی سابقه ای است که در اطراف آسیب پذیری BlueKeep قرار دارد." نارانگ به عنوان یادآوری یادآوری اینکه تهدید BlueKeep به چه گونه جدی برای سازمان ها در همه جا است، افزود: "این سطح توجه مطمئنا ضروری است. نوشتن بر روی دیوار است؛ BlueKeep پتانسیل ایجاد ویرانی گسترده، شبیه به کرم WannaCry در سال 2017. سازمانها باید سیستم های آسیب پذیر را اجرا و پاکسازی کنند و یا مقابله با آن را کاهش دهند، اگر پچ کردن به راحتی قابل انجام نباشد. "

هشدار CISA به کاربران توصیه می کند تا تکه هایی را که مایکروسافت در دسترس قرار داده است نصب کند که شامل سیستم عامل هایی است که دیگر رسما پشتیبانی نمی شوند. این همچنین نشان می دهد که کاربران باید این سیستم های "پایان زندگی" را به ویندوز 10 ارتقا دهند. این متاسفانه در همه موارد امکان پذیر نخواهد بود، اما توصیه های پاتچ باقی می ماند محتاطانه است. با این حال، قبل از اینکه آنها را به یک "زندگی" نصب کنید، این تکه ها باید تست شوند تا منفی بودن تاثیر منفی بالقوه بر سیستم های مربوطه به حداقل برسد. با توجه به مشکلاتی که کاربران ویندوز در نتیجه آسیب پذیری های مایکروسافت مایکروسافت و به روزرسانی های دیررس تحمل کرده اند، نمی توانم تأکید کنم که این توصیه تست مهم است. به گفته این افراد، هر کسی که هنوز در برابر تهدید BlueKeep قرار نداشته باشد، باید به صورت فوری، که در هر صورت ممکن است، انجام شود. اگر این امکان پذیر نیست و ممکن است برخی موارد در این مورد وجود داشته باشد، پس از غیر فعال کردن خدماتی که توسط سیستم عامل مورد استفاده قرار نمی گیرد، توصیه می شود برای محدود کردن تماس با BlueKeep. به همین ترتیب، تأیید صحت شبکه در ویندوز 7، ویندوز سرور 2008 و ویندوز سرور 2008 R2 را فعال کنید تا درخواست های جلسه برای احراز هویت لازم باشد، همچنین بر علیه BlueKeep که نیاز به یک جلسه نامعتبر است، کاهش می یابد.

نتفیلیکس نوع جدیدی از Vulnerabilities را کشف کرد!

نقص انکار سرویس در راه هسته های اخیر لینوکس و FreeBSD در ارتباط با شبکه TCP می تواند توسط مهاجمان از راه دور مورد سوء استفاده قرار گیرد تا باعث ایجاد یک نگرانی هسته در سیستم های آسیب پذیر شود.

در کل، Jonathan Looney در Netflix Information Security سه آسیب پذیری لینوکس یافت که دو مورد مربوط به "حداقل اندازه بخش (MSS) و قابلیت تایید انتخاب TCP (SACK)" بود و تنها مربوط به MSS بود، که یکی از جدی ترین آنها "SACK Panic" بود یکی که می تواند سیستم های تحت تاثیر را به وحشت و راه اندازی مجدد سیستم منجر شود.

همانطور که در مورد Red Hat، مسائل مربوط به زیرسیستم پردازش TCP هسته از طریق چندین CVE ردیابی می شوند، با CVE-2019-11477 SACK Panic با شدت مهمی همراه با نمره پایه 7.5 CVSS3، CVE-2019-11478 و CVE- 2019-11479 به عنوان آسیب پذیری شدید در نظر گرفته می شود.

پچ ها در حال حاضر به عنوان دقیق در مشاوره امنیتی NFLX-2019-001 Netflix در دسترس هستند، با اقدامات کاهش نیز برای ماشین آلات در دسترس است که در آن پچ یک گزینه فوری و آسان نیست.

نقص امنیتی SACK Panic

آسیب پذیری SACK Panic (Debian، Red Hat، Ubuntu، Suse، AWS) بر روی هسته لینوکس 2.6.29 و بعد از آن تاثیر می گذارد و می تواند از طریق "ارسال توالی ساختاری از SACK ها بر روی یک اتصال TCP با مقدار کمی TCP MSS" مورد سوء استفاده قرار گیرد. که باعث سرریز عدد صحیح می شود.

برای رفع این مشکل، "پچ PATCH_net_1_4.patch را اعمال کنید. علاوه بر این، نسخه های هسته لینوکس تا و از جمله، 4.14 نیاز به پچ دوم PATCH_net_1a.patch،" مشاوره Netflix Information Security می گوید.

برای مقابله با این مشکل، کاربران و مدیر میتوانند پردازش SACK را در سیستم (با تنظیم / proc / sys / net / ipv4 / tcp_sack به 0) به طور کامل غیرفعال کنند یا مسدود کردن اتصالات با MSS کم با استفاده از فیلترهای ارائه شده توسط Netflix Security Information HERE - اندازه گیری ضریب دوم تنها زمانی موثر خواهد بود که پروب TCP غیرفعال باشد.

انکار بیشتر آسیب پذیری های سرویس

دو آسیب پذیری دیگر به تمامی نسخه های لینوکس تاثیر می گذارد، CVE-2019-11478 (dubbed SACK Slowess) که توسط یک "دنباله ای از SACK های ساخته شده که قطعه رد ارسال مجدد TCP است" قابل بهره برداری است، در حالی که CVE-2019-11479 به مهاجمین اجازه می دهد تا وزارت امور خارجه ایالات متحده با ارسال "بسته های ساخته شده با مقادیر کم MSS برای ایجاد مصرف بیش از حد منابع".

CVE-2019-5599 همپوشانی FreeBSD CVE-2019-11478 است، بر روی آن نصب FreeBSD 12 با استفاده از RACK TCP Stack تاثیر می گذارد و می توان آن را با تحویل "دنباله ای از SACK های ساخته شده که RACK ارسال نقشه را از هم جدا می کنند" مورد سوء استفاده قرار می گیرد.

مدیران و کاربران لینوکس و FreeBSD می توانند با استفاده از PATCH_net_2_4.patch و با استفاده از پچ های امنیتی PATCH_net_3_4.patch و PATCH_net_4_4.patch یک برنامه را برای اولین بار تعمیر کنند. دوره امنیت CVE-2019-5599 را می توان با استفاده از split_limit.patch و net.inet.tcp.rack.split_limit sysctl را به یک مقدار معقول برای محدود کردن اندازه جدول SACK تیک بزنید. "

به عنوان راه حل ها، هر دو CVE-2019-11478 و CVE-2019-11479 را می توان با مسدود کردن اتصالات شبکه از راه دور با یک MSS کم با فیلترهای ارائه شده از Netflix اطلاعات امنیتی در اینجا استفاده می شود - استفاده از فیلتر ها ممکن است پس از قطع ارتباط اتصالات مشروع MMS. نقص FreeBSD را می توان با رد کردن پشته RACK TCP کاهش داد.

Red Hat می گوید: "میزان تاثیر در این زمان محدود به انکار سرویس است. هیچ گونه افزایش امتیاز یا نشت اطلاعات در حال حاضر مشکوک نیست."

"سیستم های خوب و برنامه های کاربردی برنامه نویسی و پیکربندی (محدود کردن bufer نوشتن به سطح لازم، نظارت بر مصرف حافظه اتصال از طریق SO_MEMINFO و بسته شدن مخرب اتصالات ناسازگار) می تواند به محدود کردن تاثیر حملات علیه این نوع آسیب پذیری ها کمک کند." Netflix Information امنیت در مشاوره آن.

هشدار سیسکو در خصوص وجود حفره امنیتی ریموت ها

سیسکو یک اشکال شدید را در رابط کاربر مبتنی بر وب خود از نرم افزار IOS XE خود نصب کرده است. این نقص اجازه می دهد هر کس در اینترنت بی گناه به شبکه های داخلی بدون رمز عبور.

این مسئله به تازگی افشا شده، به عنوان CVE-2019-1904 ردیابی می شود، می تواند توسط یک مهاجم از راه دور با استفاده از یک تقلب درخواست جعلی (CSRF) برای سیستم های آسیب دیده مورد سوء استفاده قرار گیرد.

سیسکو IOS XE نسخه مبتنی بر لینوکس سیستم عامل اینترنت (IOS) شرکت است، استفاده می شود در روتر های شرکت های متعدد و سوئیچ های کاتالیست سیسکو. سیسکو تایید کرد که اشکال بر روی IOS، IOS XR یا انواع NX-OS تاثیر نمی گذارد.

سیسکو توضیح می دهد: آسیب پذیری ناشی از محافظت CSRF برای وب UI در یک دستگاه آسیب پذیر است. مهاجم می تواند این آسیب پذیری را با متقاعد کردن یک کاربر از رابط کاربری به دنبال یک لینک مخرب، مورد سوء استفاده قرار دهد.

در یک سناریوی حمله، یک سوءاستفاده از CSRF می تواند در داخل تبلیغات مخرب پنهان شود و خود را به تسلیحات در یک کیت بهره برداری منتقل کند. درخواست تجدید نظر در بهره برداری از این نقص این است که به مهاجم اجازه می دهد شبکه های داخلی یا مدیران را بدون استفاده از هر گونه هشدار دهنده هدف قرار دهد.

مهاجمی که با موفقیت از این نقص استفاده می کند، می تواند هر گونه اقداماتی را که می خواهند با همان امتیاز دسترسی کاربر آسیب دیده انجام دهد.

سیسکو هشدار می دهد: "اگر کاربر دارای امتیازات مدیریتی باشد، مهاجم سایبری می تواند پیکربندی را تغییر دهد، دستورات را اجرا کند یا یک دستگاه آسیب دیده را دوباره بارگذاری کند.

تنها راه پاسخگویی به این آسیب پذیری این است که به روز رسانی نرم افزار سیسکو را در دسترس قرار داده است. و این به روز رسانی فقط برای مشتریان با مجوز معتبر سیسکو در دسترس است.

اشکال توسط محققان در Red Balloon Security کشف شد، شرکت Thangrycat کشف شد که اواخر ماه می در معرض آسیب پذیری Cisco Trust Anchor (TAm) قرار گرفت که از سال 2013 به عنوان یک تراشه امنیتی اختصاصی در دسکتاپ سیسکو موجود است.

شرکت همچنین یک نقص مفقود شدن از راه دور کد جداگانه در رابط وب IOS XE را پیدا کرد.

در حالی که هیچ مشکلی برای اشکال جدید وجود ندارد، غیر فعال کردن ویژگی سرور HTTP بسته این بردار حمله و "ممکن است یک کاهش مناسب" تا زمانی که دستگاه های معلق در حال اجرا نسخه ثابت، با توجه به سیسکو.

سیسکو یادآور می شود که کد اکتیو مفهوم برای این آسیب پذیری IOS XE وجود دارد. با این حال، افزوده می شود که هنوز مشخص نیست که کد سوء استفاده در دسترس عموم است.

۱۲ روند برتر امنیت فضای ابری در آینده

محاسبات ابر همچنان برای تبدیل سازمانها به استفاده، ذخیره و به اشتراک گذاری داده ها، برنامه ها و حجم کار است. همچنین یک سری از تهدیدات امنیتی و چالش های امنیت سایبری جدید را معرفی کرده است. با توجه به اطلاعات زیاد به ابر و به ویژه سرویس ابرهای عمومی، این منابع اهداف طبیعی برای بازیگران بد می شوند.

جی هییسر، معاون رئیس جمهور و مدیر امنیت ابر در Gartner، Inc. می گوید: "میزان استفاده از ابرهای عمومی به سرعت در حال افزایش است، به طوری که به ناچار منجر به یک جرم وسیعی از موارد حساس می شود که به طور بالقوه در معرض خطر هستند."

برخلاف آنچه بسیاری فکر می کنند، مسئولیت اصلی محافظت از اطلاعات شرکت ها در ابر نه با ارائه دهنده خدمات بلکه با مشتری ابر است. هیزر می گوید: "ما در یک دوره انتقال امنیت ابر هستیم که در آن تمرکز از ارائه کننده به مشتری تغییر می کند." "شرکت ها در حال یادگیری هستند که مقدار زیادی وقت صرف شده است که تلاش می کند دریابید که آیا ارائه دهنده سرویس ابر خاص" امن "است یا خیر، تقریبا بدون بازپرداخت است."

Cloud Security Alliance (CSA) به منظور فراهم آوردن سازمان ها با درک دقیق نگرانی های امنیتی ابر، به طوری که آنها می توانند تصمیمات تحصیلی در مورد استراتژی های تصویب ابر را اتخاذ کنند، آخرین نسخه از 12 تهدید برتر خیانتکار خود را به Cloud Computing Plus: Industry گزارش های بینش

این گزارش نشان دهنده توافق کنونی میان کارشناسان امنیتی در انجمن CSA در مورد مهمترین مسائل امنیتی در ابر است. CSA می گوید، در حالی که نگرانی های امنیتی زیادی در ابر وجود دارد، این لیست به 12 مورد خاص مربوط به طبیعت به اشتراک گذاشته شده و تحت تقاضای رایانه های ابر می پردازد. یک گزارش پیگیری، تهدیدات برتر به ابر رایانه: غواص عمیق، مطالعات موردی را برای بسیاری از 12 تهدید بررسی می کند.

برای شناسایی نگرانی های بالا، CSA یک نظرسنجی از کارشناسان صنعت انجام داد تا نظرات حرفه ای را درمورد مسائل امنیتی بزرگ در محاسبات ابر محاسبه کند. در اینجا مسائل مهم امنیتی ابر (رتبه بندی شده به ترتیب شدت در هر نتایج بررسی):

1. نقض اطلاعات

CSA می گوید نقض اطلاعات ممکن است هدف اصلی حمله هدفمند یا به سادگی نتیجه خطاهای انسانی، آسیب پذیری های برنامه یا اقدامات امنیتی ضعیف باشد. ممکن است شامل هر نوع اطلاعاتی باشد که برای انتشار عمومی طراحی نشده است، از جمله اطلاعات شخصی بهداشت، اطلاعات مالی، اطلاعات شخصی شناسایی، اسرار تجاری و مالکیت معنوی. داده های مبتنی بر ابر سازمان ممکن است به دلایل مختلف به احزاب مختلف احتیاج داشته باشد. خطر تخریب داده ها برای محاسبات ابری منحصر به فرد نیست، اما به طور مداوم به عنوان یک نگرانی عمده برای مشتریان ابر تعلق دارد.

گزارش عمیق غواصی LinkedIn رمز عبور هک 2012 را به عنوان مثال اصلی از نقض اشاره می کند. مهاجم توانست 167 میلیون کلمه عبور را سرقت کند چرا که LinkedIn پایگاه داده رمز عبور را نمیدید. بر اساس این گزارش، کلاهبرداری از این نقض، این است که سازمانها باید همیشه پایگاههای حاوی اطلاعات کاربری را شامل شوند و تجزیه و تحلیل های مربوط به ورود و خروج مناسب را انجام دهند.

2. هویت، اعتبار و مدیریت دسترسی ناکافی

بازیگران بد به عنوان کاربران مشروع، اپراتورها و یا توسعه دهندگان می توانند داده ها را بخوانند، اصلاح و حذف کنند؛ کنترل هواپیما و توابع مدیریت؛ CSA می گوید: "در حال انتقال اطلاعات و یا انتشار نرم افزارهای مخرب که به نظر می رسد از یک منبع قانونی منشا گرفته است." در نتیجه، هویت، اعتبارنامه یا مدیریت کلید ناکافی می تواند دسترسی غیرمجاز به اطلاعات و آسیب های بالقوه فاجعه آمیز به سازمان ها یا کاربران نهایی را فراهم کند.

براساس گزارش Deep Nive، یک نمونه از مدیریت دسترسی به مدیریت دسترسی کافی است، کشف غیرقانونی نصب پیش فرض پایگاه داده MongoDB. این پیاده سازی به طور پیشفرض یک پورت باز است که اجازه دسترسی بدون احراز هویت را داد. این گزارش توصیه می کند که کنترل های پیشگیرانه در همه ابعاد وجود داشته باشد و سازمان ها محیط های مدیریت شده، مشترک و عمومی را برای آسیب پذیری ها اسکن کنند.

3. رابط های ناامن و رابط برنامه نویسی برنامه (APIs)

ارائه دهندگان ابر مجموعه ای از رابط کاربر نرم افزار (UI) یا API را که مشتریان برای مدیریت و ارتباط با سرویس های ابر استفاده می کنند قرار می دهند. CSA می گوید: تهیه، مدیریت و نظارت با این رابط ها انجام می شود و امنیت و دسترسی به خدمات ابر کلی به امنیت API ها بستگی دارد. آنها باید برای محافظت در برابر اقدامات تصادفی و مخرب برای دور زدن سیاست طراحی شوند.

4. آسیب پذیری سیستم

آسیب پذیری های سیستم، اشکالات قابل بهره برداری در برنامه هایی هستند که مهاجمان می توانند برای نفوذ به سیستم برای سرقت اطلاعات، کنترل سیستم و یا خراب کردن عملیات سرویس استفاده کنند. CSA می گوید آسیب پذیری ها درون اجزای سیستم عامل امنیت همه خدمات و داده ها را در معرض خطر قابل توجهی قرار می دهند. با ظهور چندین اجاره در ابر، سیستم های مختلف سازمان ها به یکدیگر نزدیک می شوند و دسترسی به حافظه و منابع مشترک ایجاد می شود و سطح حمله جدیدی ایجاد می شود.

کوئلز

یک نمونه از گزارش عمیق غواصی، آسیب پذیری Cloudbleed است، در حالی که یک بازیگر مخرب پیشین قادر به سرقت کلید های API، رمزهای عبور و سایر اعتبارات از ارائه دهنده خدمات امنیتی Cloudflare با استفاده از آسیب پذیری در نرم افزار خود بود. این گزارش توصیه می کند که تمام داده های حساس باید رمزگذاری شوند و داده ها بر اساس سطح حساسیت تقسیم شوند.

13. تهدید ابدی پاداش: Spectre and Meltdown

در ژانویه 2018، محققان ویژگی های طراحی را که در بیشتر میکروپروسسورهای مدرن معمول است، می توانند محتوای، از جمله داده های رمزگذاری شده را مجاز به خواندن از حافظه با استفاده از کد جاوا اسکریپت مخرب، نشان دهند. دو تغییر در این موضوع، Meltdown و Spectre، بر همه دستگاه ها از گوشی های هوشمند به سرور تاثیر می گذارد. این به خاطر دومی است که ما آنها را به این لیست تهدیدات ابر اضافه می کنیم، و این باعث می شود که ده ها نانوایی کثیف باشد.

هر دو Spectre and Meltdown اجازه می دهند که حملات جانبی را به هم بزنند زیرا انزوا بین برنامه ها را مختل می کند. یک مهاجم که قادر به دسترسی به یک سیستم از طریق ورود غیر مجاز است، می تواند اطلاعات را از هسته خواند یا مهاجمان می توانند هسته میزبان را بخوانند، اگر آنها یک کاربر ریشه در یک ماشین مجازی مهمان (VM) باشند.

این یک مسئله بزرگ برای ارائه دهندگان سرویس ابری است. در حالیکه patches در حال تبدیل شدن به در دسترس هستند، تنها حمله حمله را سخت تر می کنند. تکه ها همچنین ممکن است عملکرد را کاهش دهند، بنابراین برخی از شرکت ها ممکن است تصمیم به ترک سیستم های خود را از دست بدهند. CERT Advisory توصیه می کند جایگزینی تمام پردازنده های آسیب دیده را سخت کند تا زمانی که جایگزینی هنوز وجود نداشته باشد.

تا کنون، هیچ سوء استفاده شناخته شده ای وجود ندارد که از Meltdown یا Spectre استفاده کرده باشند، اما متخصصان معتقدند که احتمالا و نسبتا به زودی. بهترین توصیه برای ارائه دهندگان ابر برای محافظت در برابر آنها این است که مطمئن شوید همه آخرین تکه ها در محل قرار دارند. مشتریان باید اطلاعاتی در مورد نحوه ارائه دهندگان ابرشان به Meltdown و Spectre پاسخ دهند.

malware که موجب ایجاد بک دور در اندروید است شناسایی شد! گوگل مشکل را حل می‌کند

گوگل تایید کرد که Cyberthieves توانست قبل از نصب نرم افزارهای مخرب به Backdoor چارچوب Android را مدیریت کند. به طور خلاصه، بدافزار به نظر می رسد که توسط گوگل در عمیق ترین نقطه در آندروید خوش شانس.

یکی از بزرگترین ترسهای امنیت تلفن همراه به تصویب رسیده است. گوگل هفته گذشته (6 ژوئن) تایید کرد که Cyberthieves توانست قبل از نصب نرم افزارهای مخرب به Backdoor چارچوب Android را مدیریت کند. به طور خلاصه، بدافزار به نظر می رسد که توسط گوگل در عمیق ترین نقطه در آندروید خوش شانس.

"در بستر برنامه Google Play، نصب به این معنی بود که [نرم افزارهای مخرب] نباید نصب را از منابع ناشناخته غیر فعال کنند و تمام نصب برنامه به نظر می رسید مانند آنها از Google Play بود"، لوکاس Siewierski از تیم امنیتی و حفظ حریم خصوصی اندروید نوشت ، در یک پست وبلاگ "برنامه ها از سرور C & C دانلود شد و ارتباط با C & C با استفاده از یک روال معمول رمزگذاری با استفاده از XOR و ZIP دوبار رمزگذاری شد. برنامه های دانلود شده و نصب شده از نام های بسته های برنامه های غیرمعمول موجود در Google Play استفاده کردند. هر گونه ارتباط با برنامه های موجود در Google Play از جمله همان نام بسته. "

سازمانی CISOs و سازمان های جامعه مدنی، همراه با CIO ها، کشف می کنند که اعتماد به شرکت های بزرگ سیستم عامل های تلفن همراه امروز - اپل و گوگل - برای رسیدگی به امنیت خود را از دست رفته بی احترامی است. با توجه به ماهیت اکوسیستم اپل (مجموع یک سازنده گوشی، که اجازه می دهد تا سیستم بسیار بیشتر بسته)، در iOS کمی امن تر است، اما فقط کمی.

با این حال، پذیرش جدید گوگل قطعا باعث می شود که اپل کمی در زمینه امنیت بهتر شود. این مسئله نه تنها با سیستم عامل نیست، هر دو سیستم عامل iOS و Android دارای کد منطقی امنیت سایبری هستند. این برنامه ها با برنامه های ارائه شده به شرکت ها و مصرف کنندگان از طریق تأسیسات برنامه رسمی تأیید شده است. جوانب مثبت شرکت در حال حاضر می دانند که نه اپل و نه گوگل به اندازه کافی برای تأیید امنیت برنامه ها تلاش می کنند. در بهترین حالت، هر دو برای مسائل مربوط به سیاست و کپی رایت به مراتب بیشتر از حضور نرم افزارهای مخرب هستند.

اما با برنامه های شخص ثالث درست برخورد می شود. برنامه هایی که به طور مستقیم از اپل و گوگل به فروش می رسند می توانند اعتماد کنند - یا تا زمانی که افشای Google انجام شود، تصور می شد.

حادثه ای که گوگل پذیرفته شد، دو سال پیش اتفاق افتاد، و در پست وبلاگ نمی توان گفت که چرا گوگل در آن زمان آن را اعلام نکرده بود یا اینکه چرا آن را در حال حاضر انتخاب کرده است. ممکن است گوگل قصد داشته باشد تا قبل از اعلام آن، این سوراخ را به اندازه کافی بسته باشد، اما دو سال زمان بسیار بدی برای شناختن این سوراخ جدی است و در مورد آن سکوت می کند.

پس چه اتفاقی افتاد؟ گوگل امتیازات زیادی برای انتشار جزئیات زیادی به دست می آورد. پیشینه داستان گوگل یک سال پیش از آن آغاز می شود - به طوری که، سه سال پیش - با مجموعه ای از برنامه های تبلیغاتی اسپم تبلیغاتی به نام Triada.

Siewierski نوشت: "هدف اصلی برنامه های Triada این بود که برنامه های اسپم بر روی یک دستگاه که تبلیغات را نمایش می داد نصب شود. "سازندگان Triada درآمد حاصل از تبلیغات نمایش داده شده توسط برنامه های اسپم جمع آوری شده است. روش Triada استفاده شد برای این نوع برنامه ها پیچیده و غیر معمول است. برنامه های Triada به عنوان ریشه کنی تروجان ها آغاز شده، اما به عنوان محافظت از Google Play محافظت در برابر سوء استفاده ریشه، برنامه های Triada مجبور به انطباق، پیشرفت به سیستم backdoor تصویر سیستم. "

سپس Siewierski روش متداول را توضیح می دهد: "اولین اقدام Triada برای نصب یک نوع پرونده باینری سوپرکاربر (su) بود. این باینری مجاز به برنامه های دیگر موجود در دستگاه اجازه استفاده از مجوزهای ریشه را داد. باینری سو استفاده شده توسط Triada نیاز به رمز عبور داشت منحصر به فرد در مقایسه با فایل های باینری منظم معمول با سایر سیستم های لینوکس منحصر به فرد است و باینری دو کلمه عبور را پذیرفته است: od2gf04pd9 و ac32dorbdq. بسته به اینکه کدام یک ارائه شده باشد، دستور باینری به عنوان یک argument به عنوان ریشه داده می شود یا تمام استدلال ها را به هم متصل می کند این concatenation قبل از SH، سپس آنها را به عنوان ریشه اجرا کرد. در هر صورت، برنامه باید بداند رمز عبور صحیح برای اجرای فرمان به عنوان ریشه. "

این برنامه با استفاده از یک سیستم پیشرفته پیچیده برای آزاد سازی فضای مورد نیاز، اما اجتناب از آن - تا آنجا که ممکن است - حذف هر چیزی که هشدار IT یا مصرف کننده را به یک مشکل. "تماشای وزن شامل چند مرحله و تلاش برای آزاد سازی فضای بر روی پارتیشن کاربر و پارتیشن سیستم کاربر است. با استفاده از لیست سیاه و سفید لیست برنامه ها، ابتدا همه برنامه ها را در لیست سیاه خود حذف کرد. اگر فضای بیشتری نیاز بود، همه را حذف می کرد برنامه های دیگر تنها برنامه های موجود در لیست سفید را ترک می کنند. این روند فضای آزاد را آزاد کرد و اطمینان حاصل کرد که برنامه های مورد نیاز برای عملکرد تلفن به درستی حذف نشده اند. " او همچنین اشاره کرد که "علاوه بر نصب برنامه هایی که تبلیغات را نمایش می دهند، Triada کد را به چهار مرورگر وب تزریق کرد: AOSP (com.android.browser)، 360 Secure (com.qihoo.browser)، Cheetah (com.ijinshan.browser_fast) و Oupeng (com.oupeng.browser). "

هشدار مایکروسافت در خصوص آسیب پذیری آفیس برای ایمیل های اسپم

محققان امنیتی مایکروسافت در روز جمعه بعد از ظهر در مورد یک موج اسپم در حال انجام است که ایمیل هایی را که حاوی اسناد خرابکارانه RTF هستند و کاربران را با نرم افزارهای مخرب بدون تعامل کاربر آلوده می کنند، زمانی که کاربران اسناد RTF را باز می کنند، منتشر می کنند.

مایکروسافت اعلام کرد که به نظر می رسد موج اسپم برای کاربران اروپایی هدف قرار گرفته است، زیرا ایمیل ها در زبان های مختلف اروپایی ارسال می شوند.

تیم مایکروسافت امنیت اطلاعات گفت: در کمپین جدید، فایل RTF بارگیری و اجرای چندین اسکریپت از انواع مختلف (VBScript، PowerShell، PHP، دیگران) برای بارگیری بارگیری است.

مایکروسافت گفت که نسخه نهایی یک تروجان پشتی است. خوشبختانه، سرور فرمان و کنترل تروجان به نظر می رسد تا جمعه، زمانی که مایکروسافت هشدار امنیتی خود را صادر کرد، کاهش یافته است.

با این حال، همیشه خطر کمپین های آتی وجود دارد که ممکن است یک تاکتیک مشابه را برای انتشار یک نسخه جدید از تروجان backdoor که به یک سرور کار متصل است، بسوزاند و اجازه می دهد که کلاهبرداران دسترسی مستقیم به رایانه های آلوده داشته باشند.

خبر خوب این است که کاربران می توانند از این مبارزات اسپم کاملا ایمن باشند. ابتدا ویروس آلودگی به یک آسیب پذیری Office قدیمی متکی است که مایکروسافت در ماه نوامبر سال 2017 از آن رد شد.

کاربرانی که به روز رسانی امنیتی سه ماه ماه نوامبر 2017 را اعمال کردند، باید ایمن باشند.

آسیب پذیری به عنوان CVE-2017-11882 ردیابی می شود. این یک نام کد برای یک آسیب پذیری در یک نسخه قدیمی تر از بخش ویرایشگر معادله است که با نصب Office عرضه می شود و برای اهداف سازگاری علاوه بر مؤلفه ویرایشگر معادله جدید مایکروسافت نیز استفاده می شود.

در سال 2017، محققان امنیتی از Embedi یک اشکال را در این اجزای قدیمی کشف کردند که باعث شد بازیگران تهدید برای اجرای کد در دستگاه های کاربران بدون هیچ گونه تعامل با کاربر هر بار که یک فایل آفیس سلاح دار که شامل یک سوءاستفاده خاص بود را باز کند.

از آنجا که مایکروسافت ظاهرا کد منبع این مولفه قدیمی را از دست داده و بعد از کشف یک اشکال دوم معادله ویرایشگر در سال 2018، مایکروسافت تصمیم گرفت که بخش مولتی مدیا Equation را در ژانویه 2018 به طور کامل حذف کند.

با این حال، شناخته شده است که بسیاری از کاربران و شرکت ها اغلب شکست خورده یا فراموش کرده اند به روز رسانی امنیتی به موقع نصب کنید.

اپراتورهای مخرب بر این سوء استفاده قرار گرفته اند و از زمان پایان سال 2017 آن را تسلیم کرده اند و می دانند که زمان زیادی را برای استفاده از کاربران فراموش شده که با به روز رسانی های امنیتی مزاحم می شوند، به سر می برد.

و آنها انجام دادند آنها بارها و بارها بارها و بارها از بهره برداری استفاده می کردند. گزارش آیندهی ضبط شده CVE-2017-11882 را بعنوان آسیب پذیرترین سومین مورد از سال 2018 رتبه بندی کرد و گزارش مشابه کسپرسکی نیز در بالای لیست قرار داشت.

خود سوءاستفاده به عنوان یک غافلگیر کننده نیست، بلکه بر خلاف بسیاری دیگر از سوء استفاده های آفیس، نیازی به تعامل با کاربر نیست، که این کار نیاز به کاربران را برای فعال کردن ماکرو یا غیرفعال کردن ویژگی های مختلف امنیتی از طریق پنجره ها فراهم می کند.

در حالی که مایکروسافت در این هفته هشدار داده است که CVE-2017-11882 برای مبارزات جاسوسی استفاده می شود، بهره برداری نیز بسیار محبوب است که گروه های آموزش هک هکرها درگیر حملات بسیار هدفمند مانند جاسوسی اقتصادی و جمع آوری اطلاعات هستند.

به عنوان مثال، این هفته، در دو گزارش مختلف [1، 2]، FireEye گفت CVE-2017-11882 در میان گروه های جاسوسی مختلف چینی چینی مشترک بود.

واقعیت این است که چندین گروه هکینگ حمایت مالی از دولت چینی از این بهره برداری استفاده می کنند، نشان دهنده کارآیی آن و دلیل دیگری که کاربران باید از آن آگاه باشند و تکه های لازم را اعمال کنند.

باج خواهی هکرهای شهر بالتیمور از آمریکا!

مردم بالتیمور هفته پنجم خود را تحت محاصره الکترونیکی آغاز می کنند که مانع از دریافت مجوز های ساختمانی و مجوز کسب و کار شده و حتی خرید و فروش خانه ها شده است. یک سال پس از اینکه هکرها سیستم ارسال سیستم اضطراری شهر را مختل کردند، کارکنان شهر در سراسر شهر نمیتوانند، از جمله موارد دیگر، از حسابهای ایمیل دولتی خود استفاده کنند یا تجارت منظم شهر را انجام دهند.

در این حمله، یک نوع نرم افزار مخرب به نام ransomware فایل های کلیدی را رمزگذاری کرده و آنها را غیر قابل استفاده می کند تا زمانی که شهر مهاجمان ناشناس 13 bitcoin را پرداخت کند یا حدود 76،280 دلار آمریکا را پرداخت کند. اما حتی اگر شهر پرداخت شود، هیچ تضمینی وجود ندارد که پرونده های آن تمام شود؛ بسیاری از حملات ransomware با اطلاعاتی که از دست داده اند، پایان می یابند.

حملات مشابه در سال های اخیر، خدمات ملی بهداشتی انگلیس را تحویل داده است، حمل و نقل غول پیکر Maersk و دولت های محلی، ایالتی و ایالت ایالت متحده در سراسر ایالات متحده و کانادا.

این نوع حملات بیشتر در حال تبدیل شدن و توجه بیشتر به رسانه ها است. صحبت کردن به عنوان یک حرفه حرفه ای در زمینه امنیت سایبری، جنبه های فنی حوادث مانند این، تنها بخشی از یک تصویر بسیار بزرگتر است. هر کاربر تکنولوژی باید نه تنها تهدیدات و آسیب پذیری ها را در نظر بگیرد، بلکه باید فرآیندهای عملیاتی، نقاط نقص احتمالی و نحوه استفاده از تکنولوژی را هر روزه در نظر بگیرند. فکر کردن به جلو و اقدامات محافظتی می تواند به کاهش اثرات حوادث سایبری در افراد و سازمان ها کمک کند.

نرم افزار طراحی شده برای حمله به رایانه های دیگر چیزی جدیدی نیست. ملل، شرکت های خصوصی، محققان و مجرمان فردی همچنان در حال توسعه این نوع برنامه ها برای طیف وسیعی از اهداف، از جمله جنگ های دیجیتال و جمع آوری اطلاعات و همچنین اخاذی توسط ransomware هستند.

بسیاری از تلاش های مخرب به عنوان یک عملکرد عادی و حیاتی از امنیت سایتی آغاز می شود: شناسایی آسیب پذیری های نرم افزاری و سخت افزاری که می تواند توسط مهاجم مورد سوء استفاده قرار گیرد. سپس محققان امنیتی به آسیب پذیری نزدیک می شوند. در مقابل، توسعه دهندگان نرم افزارهای مخرب، جنایی و غیره، متوجه خواهند شد که چگونه از طریق باز کردن آن کشف شده، کشف شده و به طور بالقوه ویرانی در سیستم های هدف قرار بگیرند.

گاهی اوقات یک ضعف واحد به اندازه کافی برای دسترسی به آنها که می خواهند مزاحم است. اما زمانیکه دیگر مهاجمان از تلفیق چندین آسیب پذیری برای نفوذ به یک سیستم استفاده می کنند، کنترل، سرقت اطلاعات و تغییر یا حذف اطلاعات را در هنگام تلاش برای مخفی کردن هر گونه شواهدی از فعالیت خود را از برنامه های امنیتی و پرسنل استفاده می کنند. چالش اینقدر بزرگ است که هوش مصنوعی و سیستم های یادگیری ماشین در حال حاضر نیز برای کمک به فعالیت های امنیتی سایبری کمک می کنند.

بعضی از سوالاتی در مورد نقش دولت فدرال در این وضعیت وجود دارد، زیرا یکی از ابزارهای هکری که ماموران گزارش کرده اند در بالتیمور استفاده می شود توسط آژانس امنیت ملی ایالات متحده تهیه شده است که سازمان امنیت ملی آمریکا آن را انکار کرده است. با این حال، ابزار هک از NSA در سال 2017 توسط گروه هکرها به سرقت رفته است. شرکت Shadow Brokers برای راه اندازی حملات مشابه طی چند ماه از ابزارهایی که در اینترنت منتشر شد استفاده شد. مطمئنا، این ابزار نباید هرگز از NSA ربوده شود - و باید بهتر از آن محافظت شود.

اما دیدگاه های من پیچیده تر از این است: به عنوان یک شهروند، من مسئولیت NSA را برای تحقیق و توسعه ابزار پیشرفته برای محافظت از کشور و اجرای مأموریت امنیتی ملی خود، به رسمیت می شناسم. با این حال، مانند بسیاری از متخصصان امنیت سایبری، من با این موضوع مخالفت می کنم: هنگامی که دولت یک آسیب پذیری جدید را شناسایی می کند، اما سازنده سخت افزار یا نرم افزار آسیب دیده را تا زمانی که از آن استفاده نمی شود به علت تخریب یا افشای ناگهانی نرسد، در معرض خطر است.

واکنش واضحی به ransomware وجود ندارد

برخی از قربانیان پرداخت می کنند، اما اطلاعات خود را دریافت نمی کنند؛ دیگران پرداخت نمی کنند و آنچه را که از دست داده اند را بهبود می یابند.

وضعیت شهر بالتیمور

تخمین زده شده است که 18 میلیون دلار هزینه بازیابی در بالتیمور پولی است که شهر احتمالا به آسانی در دسترس نیست. تحقیقات اخیر توسط برخی از همکاران من در دانشگاه مریلند، کالج بالتیمور، نشان می دهد که بسیاری از دولت های ایالتی و محلی، به طرز شگفت آوری کم پیش بینی شده اند و به اندازه کافی، صرفا به طور فعالانه، با چالش های بسیاری در زمینه امنیت سایبری مواجه هستند.

در مورد این است که حمله ransomware در بالتیمور یک آسیب پذیری را که بیش از دو سال از آن به طور عمومی شناخته شده است - با یک رفع در دسترس برخوردار است. NSA یک اکتیویته (کد EternalBlue) را برای این ضعف امنیتی کشف کرده است اما مایکروسافت در مورد این آسیب پذیری امنیتی بحرانی تا اوایل سال 2017 هشدار داده و تنها پس از اینکه کارکنان سایه ابزار NSA را برای حمله به آن دزدیده اند، اخطار دادند. به زودی مایکروسافت یک به روز رسانی امنیتی نرم افزاری را برای رفع این نقص کلیدی در سیستم عامل ویندوز خود منتشر کرد.

تلاش برای هک کردن 1.5 میلیون سرور RDP

در حال حاضر یک بوت نت اینترنت را در جستجوی ماشین های ویندوز ضعیف محافظت می کند با اتصال پروتکل دسکتاپ Remote (RDP) فعال شده است.

GoldBrute نامی از نرم افزارهای مخرب لیستی از بیش از 1.5 میلیون سیستم منحصر به فرد را گردآوری کرده است و به طور سیستماتیک دسترسی به آنها را با حمله سایبری بیرحمانه یا اعتبار سنجی انجام می دهد.

جستجو در موتور جستجو Shodan نشان می دهد که حدود 2.4 میلیون دستگاه وجود دارد که قابل دسترسی در اینترنت هستند و پروتکل دسک تاپ از راه دور فعال شده است.

نیروی بیرحمانه به عنوان یک حمله واحد مخفی شده است

رناتو ماریینو از آزمایشگاههای مورفوس، جزء نیروی خشن در GoldBrute را تجزیه و تحلیل کرده است، که اسکن وب را حفظ می کند و لیستی از اهداف بالقوه را افزایش می دهد.

 

ماریینو به گفتگو با BleepingComputer گفت که آثار منقضی شده، هدف نهایی برای سرورهای دسک تاپ هک شده را نشان نمی دهد.

همانطور که مکانیزم پایداری وجود ندارد، یکی از نظریه ها این است که آنها آنها را جمع آوری می کنند به عنوان یک سرویس دسترسی به عنوان یک سرویس و یا در انجمن ها و بازار های هکر

محقق می گوید که تنها یک سرور فرمان و کنترل (C2) با استفاده از آدرس IP 104.156 وجود دارد.] 249.231، که نشان دهنده موقعیت مکانی در نیوجرسی، ایالات متحده است.

کد بوت دانلود سنگین 80 مگابایت است زیرا شامل جاوا Runtime کامل است. یک کلاس جاوا "GoldBrute" شامل کد های ربات می شود.

 

یک سیستم آلوده GoldBrute شروع به اسکن کردن وب برای میزبان ها با سرورهای RDP در معرض نمایش می دهد و آدرس های IP خود را به C2 از طریق یک اتصال WebSocket رمزگذاری شده به پورت 8333، که معمولا برای اتصال Bitcoin استفاده می شود، گزارش می دهد.

پس از ارسال آدرس برای 80 قربانی، C2 تعدادی از اهداف را رد می کند که ربات باید نیروی بی رحم باشد. جالب توجه است که یک ربات فقط یک نام کاربری و رمز عبور را برای هر هدف هدف قرار می دهد.

به احتمال زیاد، این تاکتیک به معنای مخفی کردن یک حمله خشونت آمیز هماهنگ شده به هدف است زیرا قربانی تلاش ورود به سایت را از چندین آدرس نشان می دهد.

احراز هویت موفق، دانلود را برای کد GodlBrute و Java Runtime، هر دو در بایگانی ZIP ذخیره می کند.

پس از غیر فشرده سازی، پس از آن یک فایل جارو با نام bitcoin.dll اجرا می شود. پسوند DLL ممکن است برای مخفی کردن کاربران غیر قابل ستایش باشد، اما من معتقد هستم که بخش bitcoin توجه بیشتری را نسبت به یک extension جیار نشان می دهد. مارینو امروز در پست وبلاگ می نویسد.

اسکن، نیروی بی رحم، آلوده، تکرار کنید

ربات شروع به کار بلافاصله و جستجو برای سرور های RDP در معرض. هنگام خشونت زدن، ربات می تواند ترکیب های مختلفی از آدرس آی پی میزبان، نام کاربری و رمز عبور را برای آزمایش انجام دهد.

هنگام تجزیه و تحلیل GoldBrute، محقق توانست کد خود را اصلاح کند تا بتواند لیست را با تمام "host + username + password" ذخیره کند.

"پس از 6 ساعت، 2.1 میلیون آدرس آی پی از سرور C2 دریافت کردیم که 1،596،571 آنها منحصر به فرد هستند. البته ما فاز نیروی فشاری را اجرا نکردیم."

این سیستم ها در سراسر جهان به عنوان قابل مشاهده در نقشه زیر منتشر شده است.

به تازگی، علاقه وب سایبری به سرورهای RDP افزایش یافته است. این بررسی ناخواسته پس از انتشار اخبار BlueKeep، آسیب پذیری اکتیویتی از راه دور در سرویس های Remote Desktop Services (RDS) ظاهر می شود.

هیچ روش ابتکاری در روش حمله وجود ندارد، اما GoldBrute به نحوی است که نیروی خشن را اجرا می کند؛ این روش به آن کمک می کند که مشخصات کم را حفظ کند و همچنین عدم استقامت آن.

سیستم‌های امنیتی هتل های Major با ضعف امنیتی بزرگی مواجه هستند

محققان خودکفائی "hacktivist" در این هفته نشان داد که یک محرک اطلاعاتی واقعا بزرگ با پیامدهای بسیاری از زنجیره های بزرگ هتل در سرتاسر جهان است. در این زمان اطلاعاتی که در معرض حملات و مهمان نوازی بود، به جای اینکه اطلاعات مالی و مهمانانه را افشا کنند، حقیقتا به مراتب ارزشمندتر است: حدود 85.4 گیگابایت رجیسترهای امنیتی.

چه داده ای در معرض قرار گرفته است؟

این نقض توسط تیم تحقیقاتی vpnMentor همانگونه که توسط نوام روتم و ران لارار رهبری شده بود، کشف شد، که 11 میلیون عکس نشتی را که من در مورد اوایل امروز نوشتم، کشف کردم. vpnMentor گزارش می دهد که در 27 ماه مه محققان یک سرور ناشناس را که به شرکت هتل و مدیریت رفت و آمد هتل Pyramid Hotel Group مرتبط شده است، کشف کردند. محققان می گویند که داده های نشت شده شامل موارد ذیل است که به عنوان یک لیست خرید رویای سایبری معروف است:

کلید سرور و رمز عبور سرور

نام دستگاه

آدرس های آی پی های ورودی به سیستم و موقعیت جغرافیایی

اطلاعات فایروال و پورت باز

هشدارهای بدافزار

برنامه های محدود شده

تلاشهای ورودی

تشخیص حمله نیروی بی رحم

نام و آدرس کامپیوتر محلی، از جمله هشدار از کدام یک از آنها هیچ گونه آنتی ویروس نصب نشده است

ویروس و بدافزار در ماشین های مختلف شناسایی شده است

خطاهای برنامه

نام سرور و جزئیات سیستم عامل

اطلاعات شناسایی سیاست های سایبری

نام کامل و نام کاربری کارکنان

چه چیزی نمی دانیم؟

با توجه به یک پنجره تهدید باز که بیش از یک ماه طول می کشد، اگر کسی غیر از افراد خوب در سراسر آن درهم شکسته و از آن عبور کند، ناشناخته است. آنچه که من می دانم این است که اگر محققان امنیتی بتوانند آن را به راحتی پیدا کنند، بازیگران تهدید نیز می توانند آن را داشته باشند. اگر آنها انجام دادند، پس از دسترسی به داده های موجود ممکن است اجازه داده اند آنها را به انجام عمیق نظارت بر هر شبکه هتل در معرض قرار گرفتن در معرض. به گفته تیم تحقیقاتی vpnMentor، این کار آنها را قادر می سازد "ساختن یک بردار حمله با هدف هدفمند کردن ضعیف ترین لینک ها در زنجیره امنیتی". این موضوع نگران کننده است؛ به طور حتم مهاجم می تواند در واقع آنچه را که تیم امنیتی هتل می بیند و از روش های حمله خود که بر اساس هشدارهایی که توسط سیستم به دست می آید یاد بگیرند.

همچنین ممکن است امنیت فیزیکی مهمانان توسط نشت اطلاعات تحت تأثیر قرار گیرد. vpnMentor توضیح می دهد: "تیم ما چندین دستگاه را که مکانیزم قفل هتل، مکانیزم های قفل الکترونیکی، و دیگر سیستم های مدیریت ایمنی فیزیکی را در اختیار دارد، کنترل می کند. این در حالی است که این خطرات بسیار خطرناکی را در خانه ایجاد می کند، زمانی که نقص امنیتی سایبری تهدیدی برای دنیای واقعی امنیت."

چه چیزی اشتباه پیش رفت؟

محققان به این واقعیت اشاره دارند که داده ها به 19 آوریل باز می گردند که می تواند نشان دهد که راه اندازی، تنظیم مجدد یا تعمیر و نگهداری سیستم ممکن است سرور را تحت تاثیر قرار دهد تا آن را برای هر کسی که نگاه می کند باز کند و در دسترس باشد. سرور مورد نظر یک سیستم شناسایی نفوذ منبع باز با نام Wazuh داشت. همچنین 85.4 گیگابایت سیاهههای مربوط به ممیزی امنیتی منتشر شد. از آنجا که مشتریان گروه هتل Pyramid شامل برخی از بزرگترین زنجیره های هتل در بسیاری از کشورها هستند و اطلاعاتی که در معرض آن قرار گرفته است مربوط به سیستم عامل، سیاست های امنیتی، شبکه های داخلی و اطلاعات رویداد در مورد امنیت سایبر است، این حادثه به طور بالقوه بسیار جدی است.

سین رایت، متخصص امنیت نرم افزار و رهبر فصل اسکاتلند در پروژه برنامه امنیتی Open Web Application (OWASP)، می گوید: "این طلای مطلق برای مهاجمان است، که این امر به طور عمومی در اینترنت قابل دسترسی است و این اطلاعات را برای این اطلاعات بی اهمیت می کند." با صحبت کردن با رایت، به نظر می رسد که مستندات برای Wazuh اشاره به نیاز به ایمن سازی نصب Elasticsearch، پایگاه داده منبع باز با جستجوی تمام متن است. سوءاستفاده از چنین عناصر نسبتا رایج است و به پایگاه داده Elasticsearch که در قلب گزارش های اخیر قرار گرفتن در معرض اطلاعات مربوط به وب سایت Tommy Hilfiger Japan است، منجر شده است. رایت می گوید: "یک پایگاه داده ناامن را بر روی زیرساخت های عمومی بکشید و از مشکلات خود بپرسید."

چه چیزی درست شد؟

این همه اخبار بد نیست براساس جدول زمانبندی افشاگری توسط vpnMentor، نقض در 27 مه کشف شد و گروه هتل Pyramid در تاریخ 28 ماه مه اعلام شد. آسیب پذیری در 29 مه ثابت شد، بنابراین پاسخ سریع و کارآمد بود. جیک اللوات، معاون رئیس امور امور دولتی در بیتسایت، به عنوان آرامش سردی به نظر می رسد. اولکات، که قبلا به عنوان مشاور حقوقی کمیته بازرگانی سنا و مشاوره در کمیته امنیت مجلس نمایندگان، خدمت کرده است، می گوید: در حالی که بخش های دیگر مانند مالی بر اندازه گیری و نظارت بر خطر سایبری شخص ثالث متمرکز شده اند، "بخش مهمان نوازی با فشارهای نظارتی مشابه مواجه نیست. " حوادثی مانند این، باید به عنوان یک پیغام بیداری به بخش کل سفر و مهمان نوازی به کار گرفته شود. وی می افزاید: "آنها باید به این مسائل نزدیک تر نگاه کنند، و یا با آسیب های اقتصادی و اقتصادی مواجه می شوند ..."

گروه هتل Pyramid تا قبل از زمان انتشار، به درخواست های من پاسخ نمی داد. اگر نظر ارائه شود، این داستان را مطابق با آن خواهم نوشت.

backdoor پیشرفته‌ای در محیط لینوکس شناسایی شد

محققان می گویند که یک قطعه پیشرفته از نرم افزارهای مخرب لینوکس را شناسایی کرده اند که از طریق آنتی ویروس شناسایی شده اند و به نظر می رسد که در حملات هدفمند مورد استفاده قرار می گیرد.

محققان شرکت امنیتی Intezer در روز چهارشنبه گزارش دادند که HiddenWasp، به عنوان بدافزار، یک مجموعه کامل از نرم افزارهای مخرب است که شامل یک تروجان، rootkit و اسکریپت اولیه استقرار است. در آن زمان Post Intezer به طور زنده پخش شد، سرویس VirusTotal مخرب نشان داد که Wasp پنهان توسط هیچ یک از 59 آنتی ویروس که آن را دنبال می کند، تشخیص داده نمی شود، اگرچه برخی از آنها شروع به پرچم گذاری کرده اند. تمبرهای زمان در یکی از 10 فایل Intezer تجزیه و تحلیل نشان داد که ماه گذشته ایجاد شد. سرور مرکزی و فرماندهی که کامپیوترهای آلوده را گزارش می دهند در زمانی که این مقاله در حال آماده سازی بود عملیات خود را ادامه داد.

برخی از شواهد مورد تجزیه و تحلیل، از جمله کد نشان می دهد که رایانه های آن را آلوده می کند در حال حاضر توسط همان حمله کنندگان به خطر افتاده، نشان داد که HiddenWasp احتمالا مرحله بعد از نرم افزارهای مخرب است که به اهداف مورد علاقه که قبلا توسط یک مرحله اولیه آلوده شده است. روشن نیست که چگونه تعداد کامپیوترها آلوده شده و یا اینکه مراحل مرتبط با آن قبلا نصب شده است. با استفاده از قابلیت دانلود و اجرای کد، آپلود فایل ها و انجام انواع دستورات دیگر، هدف از این بدافزار به نظر می رسد که از راه دور کامپیوتر های آلوده را کنترل کند. این متفاوت از بیشتر نرم افزارهای مخرب لینوکس است که برای انجام حملات انکار سرویس یا معادلات انتقادی منحصر به فرد وجود دارد.

"Ignacio Sanmillan محقق Intezer در روزنامه روز چهارشنبه نوشت:" بدافزار لینوکس ممکن است چالش های جدیدی را برای جامعه امنیتی ایجاد کند که هنوز در سیستم عامل های دیگر دیده نشده است. " "واقعیت این است که این نرم افزارهای مخرب تحت تاثیر رادار قرار می گیرند باید یک تماس بیدار از صنعت امنیتی برای تخصیص تلاش های بیشتر یا منابع برای شناسایی این تهدیدات باشد."

بعضی از کد ها از Mirai، بدافزار بوت نت اینترنت اشیاء که کد منبع آن در سال 2016 به صورت عمومی در دسترس بوده است، قرض گرفته شده است. کد دیگری شباهت زیادی به سایر پروژه های ایجاد شده یا بدافزارها از جمله Rootkit Azazel، Implant Elzenot ChinaZ و اخیرا لینوکس نوع Winnti را کشف کرده است، یک خانواده از نرم افزارهای مخرب که قبلا دیده بود که تنها ویندوز را هدف قرار داده بودند.

در یک ایمیل، سیلاس کتلر، مهندس معکوس برای کرونیکل، شرکت امنیتی که متعلق به الفبای است، کشف نوع لینوکس وینتی لینوکس، نوشت:

در مورد پرونده واقعا جالب بود که بسیاری از ابزارهای لینوکس نسبتا ابتدایی هستند. حتی در مورد Winnti-Linux، این یک پورت از نوع ویندوز بود. کد قرض گرفتن از پروژه های منبع باز مثل Azazel و (اکنون) Mirai جالب است زیرا ... ممکن است تحلیل گران نرم افزارهای مخرب / گمراه کننده را مسدود کنند.

بیشتر بدافزار لینوکس، همانطور که Intezer اظهار داشت، متمرکز بر حملات DDoS یا معدن است. این نوع مخرب بر روی کنترل مستقیم بازیگر متمرکز است منحصر به فرد است. هدف از این نرم افزارهای مخرب. . . واقعا جالب در مقایسه با بیشتر چیزهای nix است. [توسعه دهندگان] با استفاده از روت کیت باز منبع برای تسهیل دسترسی.

اجزای rootkit، Azazel، واقعا فقط برای مخفی کردن عملیات است. در حالی که لینک های Azazel و Mirai در این گزارش متمرکز شده بود، عناصر چینZ یافت شده است که منجر به این می شود که من فکر می کنم که بازیگران با ترکیب چندین مجموعه ابزار تجربه کرده اند.

رایانه ای که برای اولین بار یک فایل HiddenWasp را به VirusTotal آپلود کرد، مسیری را که حاوی نام یک شرکت پزشکی قانونی چینی شناخته شده به نام Shen Zhou Wang Yun Information Technology Co. Ltd است، استفاده کرد. اپراتورها همچنین سرورهای را از سرور مبتنی بر هنگ کنگ اجاره کردند میزبانی شرکت ThinkDream برای میزبانی نرم افزارهای مخرب خود.

یکی از فایل های آپلود شده به VirusTotal، یک اسکریپت bash که به نظر می رسد برای اهداف تست استفاده شده است، محققان Intezer را به فایل دیگری هدایت کرد. این فایل جدید شامل نام کاربری و رمز عبور حسابهایی بود که به نظر می رسد قبلا اضافه شده است تا دسترسی مهاجم مهاجم را فراهم کند. این شواهد به Intezer اعتقاد داشت که بدافزار بر روی ماشینهایی نصب شده است که مهاجمان در حال حاضر به خطر انداخته اند. برای ترویج پیشرفته بدافزار در دو یا چند مرحله در تلاش است تا عفونت را شناسایی و از آسیب های ناخواسته جلوگیری کند.

از آنجایی که پست روز چهارشنبه زنده شد، میزان تشخیص AV افزایش یافته است، اما در آن زمان Ars این مقاله را منتشر کرد، نرخ هنوز هم پایین بود. بسته به فایل مورد تجزیه و تحلیل، نرخ از 2 تا 13 از 59 موتور AV ردیابی متغیر بود.