یک وبلاگ نویس عاشق دنیای فناوری، شبکه و امنیت

عاشق دنیای کامپیوتر و شبکه و امنیت ام

یک وبلاگ نویس عاشق دنیای فناوری، شبکه و امنیت

عاشق دنیای کامپیوتر و شبکه و امنیت ام

عاشق دنیای کامیپوتر بودم. وارد حوزه شبکه شدم و به سمت امنیت کشیده شدم. بعد از اون کمی سراغ برنامه نویسی رفتم و تلاش میکنم تو این وبلاگ مقالات جالبی که پیدا میکنم را با شماها به اشتراک بزارم.

کلمات کلیدی

هکر

Hack

امنیت سایبری

Cyber Security

سایبر سکوریتی

هک

امنیت

Hacker

نفوذ

ransomware

ceh

Security

سرقت سایبری

حمله سایبری

Malware

حفره امنیتی سیسکو

مایکروسافت

microsoft

سیسکو

Cisco

DDoS

Back door

بالتیمور

FBI

لینوکس

Linux

virous

ویروس

آنتی ویروس

تروجان

بایگانی
آخرین مطالب
پیوندهای روزانه
پیوندها

۲ مطلب با کلمه‌ی کلیدی «Back door» ثبت شده است

  • ۰
  • ۰

malware که موجب ایجاد بک دور در اندروید است شناسایی شد! گوگل مشکل را حل می‌کند

۲۱ خرداد۹۸

گوگل تایید کرد که Cyberthieves توانست قبل از نصب نرم افزارهای مخرب به Backdoor چارچوب Android را مدیریت کند. به طور خلاصه، بدافزار به نظر می رسد که توسط گوگل در عمیق ترین نقطه در آندروید خوش شانس.

یکی از بزرگترین ترسهای امنیت تلفن همراه به تصویب رسیده است. گوگل هفته گذشته (6 ژوئن) تایید کرد که Cyberthieves توانست قبل از نصب نرم افزارهای مخرب به Backdoor چارچوب Android را مدیریت کند. به طور خلاصه، بدافزار به نظر می رسد که توسط گوگل در عمیق ترین نقطه در آندروید خوش شانس.

"در بستر برنامه Google Play، نصب به این معنی بود که [نرم افزارهای مخرب] نباید نصب را از منابع ناشناخته غیر فعال کنند و تمام نصب برنامه به نظر می رسید مانند آنها از Google Play بود"، لوکاس Siewierski از تیم امنیتی و حفظ حریم خصوصی اندروید نوشت ، در یک پست وبلاگ "برنامه ها از سرور C & C دانلود شد و ارتباط با C & C با استفاده از یک روال معمول رمزگذاری با استفاده از XOR و ZIP دوبار رمزگذاری شد. برنامه های دانلود شده و نصب شده از نام های بسته های برنامه های غیرمعمول موجود در Google Play استفاده کردند. هر گونه ارتباط با برنامه های موجود در Google Play از جمله همان نام بسته. "


سازمانی CISOs و سازمان های جامعه مدنی، همراه با CIO ها، کشف می کنند که اعتماد به شرکت های بزرگ سیستم عامل های تلفن همراه امروز - اپل و گوگل - برای رسیدگی به امنیت خود را از دست رفته بی احترامی است. با توجه به ماهیت اکوسیستم اپل (مجموع یک سازنده گوشی، که اجازه می دهد تا سیستم بسیار بیشتر بسته)، در iOS کمی امن تر است، اما فقط کمی.


با این حال، پذیرش جدید گوگل قطعا باعث می شود که اپل کمی در زمینه امنیت بهتر شود. این مسئله نه تنها با سیستم عامل نیست، هر دو سیستم عامل iOS و Android دارای کد منطقی امنیت سایبری هستند. این برنامه ها با برنامه های ارائه شده به شرکت ها و مصرف کنندگان از طریق تأسیسات برنامه رسمی تأیید شده است. جوانب مثبت شرکت در حال حاضر می دانند که نه اپل و نه گوگل به اندازه کافی برای تأیید امنیت برنامه ها تلاش می کنند. در بهترین حالت، هر دو برای مسائل مربوط به سیاست و کپی رایت به مراتب بیشتر از حضور نرم افزارهای مخرب هستند.


اما با برنامه های شخص ثالث درست برخورد می شود. برنامه هایی که به طور مستقیم از اپل و گوگل به فروش می رسند می توانند اعتماد کنند - یا تا زمانی که افشای Google انجام شود، تصور می شد.


حادثه ای که گوگل پذیرفته شد، دو سال پیش اتفاق افتاد، و در پست وبلاگ نمی توان گفت که چرا گوگل در آن زمان آن را اعلام نکرده بود یا اینکه چرا آن را در حال حاضر انتخاب کرده است. ممکن است گوگل قصد داشته باشد تا قبل از اعلام آن، این سوراخ را به اندازه کافی بسته باشد، اما دو سال زمان بسیار بدی برای شناختن این سوراخ جدی است و در مورد آن سکوت می کند.


پس چه اتفاقی افتاد؟ گوگل امتیازات زیادی برای انتشار جزئیات زیادی به دست می آورد. پیشینه داستان گوگل یک سال پیش از آن آغاز می شود - به طوری که، سه سال پیش - با مجموعه ای از برنامه های تبلیغاتی اسپم تبلیغاتی به نام Triada.


Siewierski نوشت: "هدف اصلی برنامه های Triada این بود که برنامه های اسپم بر روی یک دستگاه که تبلیغات را نمایش می داد نصب شود. "سازندگان Triada درآمد حاصل از تبلیغات نمایش داده شده توسط برنامه های اسپم جمع آوری شده است. روش Triada استفاده شد برای این نوع برنامه ها پیچیده و غیر معمول است. برنامه های Triada به عنوان ریشه کنی تروجان ها آغاز شده، اما به عنوان محافظت از Google Play محافظت در برابر سوء استفاده ریشه، برنامه های Triada مجبور به انطباق، پیشرفت به سیستم backdoor تصویر سیستم. "


سپس Siewierski روش متداول را توضیح می دهد: "اولین اقدام Triada برای نصب یک نوع پرونده باینری سوپرکاربر (su) بود. این باینری مجاز به برنامه های دیگر موجود در دستگاه اجازه استفاده از مجوزهای ریشه را داد. باینری سو استفاده شده توسط Triada نیاز به رمز عبور داشت منحصر به فرد در مقایسه با فایل های باینری منظم معمول با سایر سیستم های لینوکس منحصر به فرد است و باینری دو کلمه عبور را پذیرفته است: od2gf04pd9 و ac32dorbdq. بسته به اینکه کدام یک ارائه شده باشد، دستور باینری به عنوان یک argument به عنوان ریشه داده می شود یا تمام استدلال ها را به هم متصل می کند این concatenation قبل از SH، سپس آنها را به عنوان ریشه اجرا کرد. در هر صورت، برنامه باید بداند رمز عبور صحیح برای اجرای فرمان به عنوان ریشه. "


این برنامه با استفاده از یک سیستم پیشرفته پیچیده برای آزاد سازی فضای مورد نیاز، اما اجتناب از آن - تا آنجا که ممکن است - حذف هر چیزی که هشدار IT یا مصرف کننده را به یک مشکل. "تماشای وزن شامل چند مرحله و تلاش برای آزاد سازی فضای بر روی پارتیشن کاربر و پارتیشن سیستم کاربر است. با استفاده از لیست سیاه و سفید لیست برنامه ها، ابتدا همه برنامه ها را در لیست سیاه خود حذف کرد. اگر فضای بیشتری نیاز بود، همه را حذف می کرد برنامه های دیگر تنها برنامه های موجود در لیست سفید را ترک می کنند. این روند فضای آزاد را آزاد کرد و اطمینان حاصل کرد که برنامه های مورد نیاز برای عملکرد تلفن به درستی حذف نشده اند. " او همچنین اشاره کرد که "علاوه بر نصب برنامه هایی که تبلیغات را نمایش می دهند، Triada کد را به چهار مرورگر وب تزریق کرد: AOSP (com.android.browser)، 360 Secure (com.qihoo.browser)، Cheetah (com.ijinshan.browser_fast) و Oupeng (com.oupeng.browser). "

  • وبلاگ نویس
  • ۰
  • ۰

backdoor پیشرفته‌ای در محیط لینوکس شناسایی شد

۱۱ خرداد۹۸

محققان می گویند که یک قطعه پیشرفته از نرم افزارهای مخرب لینوکس را شناسایی کرده اند که از طریق آنتی ویروس شناسایی شده اند و به نظر می رسد که در حملات هدفمند مورد استفاده قرار می گیرد.

محققان شرکت امنیتی Intezer در روز چهارشنبه گزارش دادند که HiddenWasp، به عنوان بدافزار، یک مجموعه کامل از نرم افزارهای مخرب است که شامل یک تروجان، rootkit و اسکریپت اولیه استقرار است. در آن زمان Post Intezer به طور زنده پخش شد، سرویس VirusTotal مخرب نشان داد که Wasp پنهان توسط هیچ یک از 59 آنتی ویروس که آن را دنبال می کند، تشخیص داده نمی شود، اگرچه برخی از آنها شروع به پرچم گذاری کرده اند. تمبرهای زمان در یکی از 10 فایل Intezer تجزیه و تحلیل نشان داد که ماه گذشته ایجاد شد. سرور مرکزی و فرماندهی که کامپیوترهای آلوده را گزارش می دهند در زمانی که این مقاله در حال آماده سازی بود عملیات خود را ادامه داد.


برخی از شواهد مورد تجزیه و تحلیل، از جمله کد نشان می دهد که رایانه های آن را آلوده می کند در حال حاضر توسط همان حمله کنندگان به خطر افتاده، نشان داد که HiddenWasp احتمالا مرحله بعد از نرم افزارهای مخرب است که به اهداف مورد علاقه که قبلا توسط یک مرحله اولیه آلوده شده است. روشن نیست که چگونه تعداد کامپیوترها آلوده شده و یا اینکه مراحل مرتبط با آن قبلا نصب شده است. با استفاده از قابلیت دانلود و اجرای کد، آپلود فایل ها و انجام انواع دستورات دیگر، هدف از این بدافزار به نظر می رسد که از راه دور کامپیوتر های آلوده را کنترل کند. این متفاوت از بیشتر نرم افزارهای مخرب لینوکس است که برای انجام حملات انکار سرویس یا معادلات انتقادی منحصر به فرد وجود دارد.


"Ignacio Sanmillan محقق Intezer در روزنامه روز چهارشنبه نوشت:" بدافزار لینوکس ممکن است چالش های جدیدی را برای جامعه امنیتی ایجاد کند که هنوز در سیستم عامل های دیگر دیده نشده است. " "واقعیت این است که این نرم افزارهای مخرب تحت تاثیر رادار قرار می گیرند باید یک تماس بیدار از صنعت امنیتی برای تخصیص تلاش های بیشتر یا منابع برای شناسایی این تهدیدات باشد."


بعضی از کد ها از Mirai، بدافزار بوت نت اینترنت اشیاء که کد منبع آن در سال 2016 به صورت عمومی در دسترس بوده است، قرض گرفته شده است. کد دیگری شباهت زیادی به سایر پروژه های ایجاد شده یا بدافزارها از جمله Rootkit Azazel، Implant Elzenot ChinaZ و اخیرا لینوکس نوع Winnti را کشف کرده است، یک خانواده از نرم افزارهای مخرب که قبلا دیده بود که تنها ویندوز را هدف قرار داده بودند.


در یک ایمیل، سیلاس کتلر، مهندس معکوس برای کرونیکل، شرکت امنیتی که متعلق به الفبای است، کشف نوع لینوکس وینتی لینوکس، نوشت:


در مورد پرونده واقعا جالب بود که بسیاری از ابزارهای لینوکس نسبتا ابتدایی هستند. حتی در مورد Winnti-Linux، این یک پورت از نوع ویندوز بود. کد قرض گرفتن از پروژه های منبع باز مثل Azazel و (اکنون) Mirai جالب است زیرا ... ممکن است تحلیل گران نرم افزارهای مخرب / گمراه کننده را مسدود کنند.


بیشتر بدافزار لینوکس، همانطور که Intezer اظهار داشت، متمرکز بر حملات DDoS یا معدن است. این نوع مخرب بر روی کنترل مستقیم بازیگر متمرکز است منحصر به فرد است. هدف از این نرم افزارهای مخرب. . . واقعا جالب در مقایسه با بیشتر چیزهای nix است. [توسعه دهندگان] با استفاده از روت کیت باز منبع برای تسهیل دسترسی.


اجزای rootkit، Azazel، واقعا فقط برای مخفی کردن عملیات است. در حالی که لینک های Azazel و Mirai در این گزارش متمرکز شده بود، عناصر چینZ یافت شده است که منجر به این می شود که من فکر می کنم که بازیگران با ترکیب چندین مجموعه ابزار تجربه کرده اند.


رایانه ای که برای اولین بار یک فایل HiddenWasp را به VirusTotal آپلود کرد، مسیری را که حاوی نام یک شرکت پزشکی قانونی چینی شناخته شده به نام Shen Zhou Wang Yun Information Technology Co. Ltd است، استفاده کرد. اپراتورها همچنین سرورهای را از سرور مبتنی بر هنگ کنگ اجاره کردند میزبانی شرکت ThinkDream برای میزبانی نرم افزارهای مخرب خود.


یکی از فایل های آپلود شده به VirusTotal، یک اسکریپت bash که به نظر می رسد برای اهداف تست استفاده شده است، محققان Intezer را به فایل دیگری هدایت کرد. این فایل جدید شامل نام کاربری و رمز عبور حسابهایی بود که به نظر می رسد قبلا اضافه شده است تا دسترسی مهاجم مهاجم را فراهم کند. این شواهد به Intezer اعتقاد داشت که بدافزار بر روی ماشینهایی نصب شده است که مهاجمان در حال حاضر به خطر انداخته اند. برای ترویج پیشرفته بدافزار در دو یا چند مرحله در تلاش است تا عفونت را شناسایی و از آسیب های ناخواسته جلوگیری کند.


از آنجایی که پست روز چهارشنبه زنده شد، میزان تشخیص AV افزایش یافته است، اما در آن زمان Ars این مقاله را منتشر کرد، نرخ هنوز هم پایین بود. بسته به فایل مورد تجزیه و تحلیل، نرخ از 2 تا 13 از 59 موتور AV ردیابی متغیر بود.

  • وبلاگ نویس
ساخت وبلاگ در بلاگ بیان، رسانه متخصصان و اهل قلم