|
|
|
|
بدافزار Win32/Stuxnet
کرم Stuxnet که ماه ژوئن 2010 توسط VirusBlockAda، کشف شد، اولین بار در یک سیستم صنعتی ایرانی مشاهده شد و تهاجم عظیمی را علیه این سیستم ها آغاز کرد. Stuxnet به دنبال سیستم مدیریتی SCADA زیمنس که در کارخانه های بزرگ تولیدی مورد استفاده قرار می گیرد بوده و تلاش می کند اسرار صنعتی را از طریق اینترنت برای نفوذ کننده بفرستد.
این کرم از طریق دستگاه رابط USB از قبیل Flash memory، External hard disk، دوربین های دیجیتال و دیگر دستگاه هایی که دارای حافظه داخلی هستند، گسترش پیدا می کند. زمانی که دستگاه آلوده به رایانه متصل می شود، کدهای آن به جستجوی سیستم های زیمنس می گردد و خود را بر روی هر دستگاه دارای رابط USB دیگری که بیابد، کپی خواهد کرد.
جهت اطلاعات تخصصي و كاملتر به فايل پيوست در بخش مطالب علمي و آموزشي با همين عنوان مراجعه فرماييد.
سطح خطر :
زياد
|
|
کاربران Facebook در خطر حملات صيادی
اخيراً برخی کاربران ايرانی فيسبوک پيام¬هايی از دوستان خود دريافت کردهاند که آن¬ها را به بازديد از وبسايت¬هايی با دامنه¬ی ".be" دعوت میکند. دو نمونه¬ی مشاهدهشده "whiteflash.be" و "remate.be" بوده¬اند. اين وبسايت¬ها مانند صفحه¬ی ورود (log-in) فيسبوک طراحی شده¬اند و هدف آن¬ها فريب کاربران برای وارد کردن ايميل و رمز عبور فيسبوکشان است. سايت¬های موردنظر هيچ ارتباطی با فيسبوک ندارند و تنها برای دزدی اطلاعات ورود به سايـت کاربران و استفاده از حسابهای دزديدهشده برای ارسال پيامهای مشابه بيشتر به دوستان قربانيان طراحی شدهاند.
اين نوع روش¬های دزدی اطلاعات تحت نام صيادی (Phishing) شناخته میشود. دوستانی که اين پيام¬ها ظاهراً از طرف آن¬ها ارسال شده به هيچ وجه از ارسال چنين پيامهايی اطلاع ندارند و در واقع مهاجمان با به دست آوردن اطلاعات ورود به سايت آن¬ها اقدام به ارسال انبوه پيام¬های جعلی به ليست دوستان آن¬ها کردهاند. ممکن است اگر تعداد حسابهای آلوده به حد کافی زیاد باشد به جای پیامهای صیادی مهاجمان از این حسابها برای ارسال پیامهای تبلیغاتی انبوه یا ارسال لینکهای آلوده از وبسایتهای حاوی کدهای مخرب نیز استفاده کنند. چنانکه در گذشته نیز مواردی از انتشار این قبیل پیامهای آلوده در فیسبوک مشاهده شده است. تاکنون ارسال پیامهای آلوده و صیادی در میان کاربران ایرانی مشاهده نشده بود؛ اما به نظر میرسد با گسترش تعداد حسابهای کاربری لورفته این حملات دامنگیر کاربران ایرانی نیز شده است.
سطح خطر :
متوسط
|
|
روند رو به رشد حملات فیشینگ در شبکه اجتماعی Facebook
در طی چند هفته گذشته، حملات فیشینگ گستردهای علیه پایگاه شبکه اجتماعی facebook صورت گرفته است و این حملات در طی چند روز گذشته شدت یافته است. در این حملات، پیغامهایی با عناوین فریبنده از سوی دوستان برای کاربران ارسال میشود و در متن پیغام، فرد به بازدید از صفحهای جعلی تشویق میشود. اگر کاربر بر روی لینک ارسال شده کلیک کند، صفحهای جعلی مشابه با صفحه facebook اصلی باز شده و درصورت وارد کردن نام کاربری و کلمه عبور در صفحه جعلی، این اطلاعات حساس به سرقت میروند. در هفته گذشته، دامنه های زیر حاوی این صفحات جعلی بوده اند:
• nutpic.at
• picoband.be
• ponbon.im
• afoi.ru
• areps.at
• bests.at
• bestspace.be
• redfriend.be
• sweeter.be
• brunga.at
• goldbase.be
• indigoline.be
• kirgo.at
• mymarket.be
• redbuddy.be
• whiteflash.be
• whitemart.be
• yospace.be
علاوه بر آن، برخی از دامنههای فوق حاوی iframesهای پنهانی نیز میباشند که در برخی از موارد، صفحات مقصد آنها حاوی کدهای مخرب میباشند. در طی چند روز اخیر، لینکهای مذکور با استفاده از امکاناتی که سایت tinyurl در اختیار میگذارد، مخفی شدهاند. این قابلیت در اصل برای کوتاه کردن URLهای طولانی مورد استفاده قرار میگیرد ولی میتوان از آن برای مخفی کردن آدرس نیز استفاده نمود. نمونه هایی از urlهای کوتاه شده عبارتند از:
• tinyurl.com/o5kblj/
• tinyurl.com/pofb3m/
• tinyurl.com/o3chbj/
سطح خطر :
زياد
|
|
کاربران ويندوز برای جلوگيری از نفوذ کرم Conficker.c آخرين وصله های امنيتی مايکروسافت را نصب کنند.
Conficker.c نسخه جديدی از کرم کانفيکر است که ممکن است نسبت به نسخه¬ های قديمی تر خود
( نسخه های A و B ) مخاطرات بيشتری را موجب شود. Conficker.c قابليت به روز رسانی خودکار ويندوز کاربران را از کار می اندازد و مانع دسترسی و استفاده ی کاربران از مرکز امنيتی ويندوز(Windows Security Center) می شود. درخواست های جستجوی DNSرا مسدود میکند، همه ی نقاط بازيابی سيستم را حذف می کند و از اتصال کاربر به وب سايت هاي امنيتی جلوگيری می کند. خانواده ی کرم های کانفيکر تاکنون آسيب های خطرناکی به رايانه ای شخصی کاربران وارد کرده اند و ممکن است کانفيکر جديد سبب آسيب های بزرگتری بشود. در وضعيت فعلی کاملاً ضروری است که تمام نرم افزارهای خود را به روز کنيد و اطمينان حاصل کنيد که برنامه های ضد ويروس و ضد جاسوس افزارتان تحت آخرين نسخه های تعريف خود کار کنند. انتظار می رود که Conficker.c برای دريافت دستور با بعضی دامنه ها ارتباط برقرار کند. متخصصان امنيتی اعلام کردند که کرم Conficker.c هم اکنون جهت ارسال هرزنامه استفاده می شود و سازنده ی اين کرم سيستم های آلوده را به بات نت بزرگ، جهت ارسال هرزنامه تبديل کرده است. الگوريتم توليد دامنه ی اين کرم نسبت به نسخه های قبلی تغيير کرده است که باعث تفاوت زياد آن می شود. در زير ليست تعدادی از دامنه هايی که ممکن است Conficker.c با آنها تماس بگيرد آمده است:
aaak.com.ai
aaax.com.hn
aaaxvt.co.ke
aabbb.com.uy
aabe.ac
aabfkx.com.co
aabk.lu
aacgebuee.ly
aach.dk
سطح خطر :
زياد
|
|
مواظب باشید! هکر ها جهت دسترسی به اطلاعات شخصی کاربران، از شکل ظاهری Yahoo Mail استفاده می کنند .
کاربرانی که سیستم آنها ویروسی شده ،هنگام اتصال به Yahoo Messenger پیام و لینک زیر را به همه دوستان و افراد موجود در لیست خود ارسال می کنند.
"Salam khoobi Axa jadidamo inja vasat upload kardam hatman Click kon inja bebin "
URL: http://login.yahoo-winner.com/config/login_verify2&.src=ym.htm
با کلیک نمودن بر روی لینک فوق ،صفحه وبی همانند صفحه Yahoo Mail واقعی برای شما باز می گردد که با وارد نمودن شناسه کاربری و رمز عبور خود، آدرس پست الکترونیکی شما هک می شود.
امروزه هکرها و هرزنامه نویسان جهت فریب کاربران اینترنتی از حقه های جدیدی استفاده می کنند. روش نوین آنها، ایجاد صفحات وب آلوده به شکل ظاهری سایتهای اجتماعی وخدماتی معروف می باشد.
• در گزارش پیش رو، پس از بررسی های انجام شده توسط مرکز آپا دانشگاه تربیت مدرس به نتایج زیر رسیده ایم:
1. با وارد کردن شناسه کاربری و رمز عبور در لینک فوق، پست الکترونیکی کاربر هک می شود. بدین صورت که شناسه کاربری ورمز عبورکاربر پس از کلیک بر روی دکمه sign in توسط یک موتور ارسال با متد Post تحت نام login.php به مقصد مورد نظر هکر ارسال شده و پس از آن صفحه واقعی Yahoo Mail ظاهر می گردد، بدین طریق کاربر ممکن است اصلاٌ متوجه هک شدن پست الکترونیکی خود نشود.
2. لینک فوق اگر چه از لحاظ شکل ظاهری همانند صفحه واقعی Yahoo Mail است، اما از لحاظ آدرس Domain متفاوت بوده ومعتبر بودن آن توسط مراکز ارائه دهنده Certificate تایید نمی شود. (در نوار وضعیت مرورگر وب علامت قفل برای این لینک تقلبی ظاهر نمی گردد.)
• اطلاعات به دست آمده پس از تجزیه و تحلیل لینک فوق توسط مرکز آپا دانشگاه تربيت مدرس :
1. این Yahoo Mail تقلبی تحت نام دامنه yahoo-winner.com در تاریخ 2009/2/7 توسط David Alessi ثبت شده است.
is registered by:
David Alessi privacy@protect.com +1.8134325006
David Alessi
10420 Highland Manor Drive
Tampa,FL,US 33610
Domain Name:yahoo-winner.com
Record last updated at 2009-02-07 09:20:26
Record created on 2009/2/7
Record expired on 2010/2/7
2. اطلاعات مربوط به ميزبان اين دامنه
AltusHost Inc. Solutions (http://altushost.com)
with IP 89.248.160.215
سطح خطر :
زياد
|
|
شروع بهکار مجدد یک botnet قدیمی
یک شبکه عظیم از Botnetها که به ارسال هرزنامهها مشغول بود و چندی پیش متلاشی شده بود، مجدداً فعالیت خود را از سر گرفته و تحت فرمان مجرمین قرار گرفته است. این Botnet که به نام Srizbi شهرت دارد، هفته گذشته مجدداً فعالیت خود را از سر گرفته است و ارتباط آن با سرورهای فرماندهی که این بار در کشور استونی قرار دارد، مجدداً بر قرار شده است. Srizbi در حدود دو هفته پیش، پس از بسته شدن یک ارائه دهنده سرویس اینترنت به نام McColo که بسیاری از شبکههای تبهکاری از جمله Srizbi را سرویسدهی می کرد، متلاشی شد. با بسته شدن McColo، رایانههای آلوده دیگر نمیتوانستند با مرکز فرماندهی خود ارتباط برقرار کنند و لذا حجم هرزنامههای ارسال شده در این فاصله کمی کاهش یافت. از آنجاییکه Botهای Srizbi نمیتوانستند با سرورهای فرماندهی که توسط McColo سرویسدهی میشدند ارتباط برقرار کنند، لذا سعی میکردند که توسط الگوریتمهای داخلی از پیش تعریف شده، با دامنههای جدیدی ارتباط برقرار کنند. شرکت FireEye با استفاده از مهندسی معکوس، دامنههایی که امکان اتصال این Bot به آنها وجود داشت را شناسایی و منتشر کرده است. نام دامنهها در چرخهای که سه روز به طول میانجامید انتخاب میشدند و برای مدتی شرکت FireEye دامنههای انتخاب شده را ثبت می کرد ولی به دلیل مسایل مادی، FireEye از این کار دست کشید و لذا Srizbi پنج دامنه جدید انتخاب کرد و Botها موفق به اتصال به سرورهای فرماندهی شدند و بدافزار به نسخه جدید به روز رسانی شد. پس از بهروزرسانی، Botها مجدداً اقدام به ارسال هرزنامهها کردند. نسخههای جدید Srizbi، از طریق سرورهای واقع در استونی دستور میگیرند. هم اکنون شرکت FireEye با همکاری Network Solutions (فعال در زمینه ثبت دامنهها)، VeriSign و مایکروسافت مشغول یافتن راهی برای پاکسازی 100000 رایانه آلوده به Srizbi هستند.
سطح خطر :
زياد
|
|
هشدار در مورد رشد Botnets- آپاي دانشگاه صنعتي اصفهان- پژوهشكده امنيت فناوري اطلاعات و ارتباطات مركز تحقيقات مخابرات ايران
پس از دریافت گزارشهایی مبنی بر وجود حجم زیاد درخواستهای نامشخص به پایگاه http://babycaleb.fortunecity.co.uk در فایل رخدادهای چندین سرویس دهنده وب مختلف، تیم وب مرکز تخصصی آپای دانشگاه صنعتی اصفهان پس از بررسی پایگاه مورد نظر متوجه شد که در این پایگاه، قطعه کد بدافزاری وجود دارد که در صورت اجرا شدن اقدام به برقراری یک سوکت با تعدادی میزبان مینماید و پس از آن میتوان هدایت بدافزار را از طریق IRC در دست گرفت و به آن فرمان داد. تمامی این شواهد نشاندهنده رشد سریع شبکه گستردهای از botnetها است.
این قطعه کد به صورت رمز شده بوده و برای تعیین نحوه عملکرد آن، ابتدا باید آن را رمزگشایی نمود. پس از انجام رمزگشایی قطعه کد مورد نظر توسط تیم وب مرکز، آدرس پایگاهها و نحوه عملکرد این bot مشخص شده است. گردانندگان این بدافزار ابتدا در پایگاههایی که نسبت به اجرای کد ریموت در برخی از متغیرهای GET آسیبپذیر هستند، این فایل را ارجاع داده و پس از آن سرویس دهنده وب در صورت اجازه inclusion فایل خارجی، این فایل را اجرا خواهد نمود و کد مورد نظر در سمت سرور آسیبپذیر اجرا خواهد شد. پس از اجرای کد، نام مستعاری به صورت تصادفی برای قربانی در نظر گرفته شده و سپس به یکی از 8 سرور مورد نظر متصل میشود. پس از آن فرامین از طریق IRC به صورت پیغام خصوصی برای botها ارسال میشود. از جمله قابلیتهای این bot میتوان به امکان خواندن لیست فایلها، اضافه و حذف نمودن فایلها و بارگذاری ویا بارگیری از سیستم اشاره کرد. سازندگان این بدافزار، نسخه آن را 1.28d درنظر گرفتهاند و آن را بهصورت رمز شده درون کد قرار دادهاند.
معمولاً از شبکههای Botnet برای حملات ساختار یافته گسترده مانند حملات انکار سرویس توزیع شده در سطح وسیع استفاده میشود.
سطح خطر :
زياد
|
|
|
|
|
|
|
|
|
|
|
|