Live Chat Software by Ariaphone
RSS Feed
اخبار
آبان
۱۳
سی سالگی اولین بدافزار اینترنتی!
ارسال شده توسط روشن ۱۳ آبان ۱۳۹۷ ۱۱:۰۷ قبل از ظهر
در شرایطی که انبوهی از کرم‌ها و ویروس‌ها و بدافزارهای اینترنتی در تلاش برای سرقت اطلاعات شخصی کاربران هستند، 30سالگی کرم موریس به عنوان اولین کرم رایانه‌ای فرا رسیده است. این کرم اولین بار در دوم نوامبر سال ۱۹۸۸ در فضای مجازی پخش شد و توسط یک دانشجوی دانشگاه کرنل به نام رابرت تاپان موریس نوشته شد و به همین علت هم به کرم موریس شهرت یافت. این اولین بار بود که یک بدافزار رایانه ای از طریق اینترنت به طور گسترده پخش می شد و از همین رو رسانه های خبری به طور گسترده این موضوع را مورد توجه قرار دادند. هدف موریس از نگارش کدهای این کرم آسیب زدن به رایانه‌های متصل به اینترنت که در آن زمان از ۸۸ هزار رایانه فراتر نمی‌رفتند، نبود. او قصد داشت از این طریق ابعاد و میزان گستردگی اینترنت را اندازه گیری کند. اما نقص در نگارش کدهای برنامه موریس آن را در عمل به یک نرم افزار مخرب مبدل کرد. برنامه یادشده به گونه ای کدنویسی شده بود که حتی در صورت پاسخ مثبت به نصب آن بر روی یک رایانه باز هم خود را بر روی سیستم کپی می کرد و این کپی کردن های مکرر باعث می شد تا رایانه ها دچار اختلال شده و از کار بیفتند. به گزارش ایتنا از مهر، این بدافزار به سرعت حدود ۱۰ درصد از رایانه های متصل به اینترنت را آلوده کرد و دامنه فعالیت تخریبی آن به آزمایش‌های پروازی ناسا نیز کشیده شد. کرم موریس سرورهای اینترنت که به سیستم عامل های سان و یونیکس VAX/BSDمجهز بودند را کند کرده و سپس از کار انداخت. در نهایت بعد از گذشت یک روز و با همکاری یکی از دوستان موریس وصله ای نرم افزاری برای مقابله با این کرم عرضه و مشکل حل شد. ولی پلیس به علت مشکلات ایجادشده برای نهادهای مختلف دولتی و خصوصی موریس را به عنوان اولین مجرم اینترنتی دستگیر کرد. وی از دانشگاه هم اخراج و مجبور به پرداخت ۱۰ هزار دلار جریمه شد. بعد از این حادثه سازمان هایی برای مقابله با حوادث امنیتی در امریکا و دیگر نقاط جهان شکل گرفت.
ادامه مطلب »



مهر
۲۷
بدافزار گودزیلا در کمین ویندوزی‌ها
ارسال شده توسط روشن ۲۷ مهر ۱۳۹۷ ۱۰:۰۰ بعد از ظهر
 مجرمان سایبری در حال تبلیغ یک بدافزار با نام Godzilla در فروم‌های وب تاریک به قیمت ۵۰۰ دلار هستند. از این بدافزار به خوبی پشتیبانی می‌شود و به‌صورت دوره‌ای به‌روزرسانی جدید دریافت می‌کند. به گزارش ایتنا از ایسنا، رقیب این بدافزار Emotet است که بر اساس بررسی‌های Checkpoint، نرخ آلودگی Godzilla از آن کمتر است. در تبلیغات برای Godzilla آمده است که این بدافزار می‌تواند UAC را دور بزند. UAC یا User Account Control یک ابزار امنیتی مایکروسافت است که از نفوذ نرم‌افزارهای مخرب جلوگیری می‌کند. بر اساس اطلاعات سایت افتا، این بدافزار قابلیت‌های دیگری از جمله حذف فایل‌های پشتیبان را نیز داراست. این کار برای جلوگیری از ابزارهای ضد باج‌افزار است تا نتوانند از طریق فایل‌های پشتیبان، عملیات بازیابی را انجام دهند. علاوه بر این، برای شناسایی و تایید سرور C&C و ارتباط با آن، بدافزار از RSA-۲۰۴۸ استفاده می‌کند. بنظر می‌رسد که آخرین نسخه این بدافزار از دسامبر سال گذشته در حال توسعه بوده است و آخرین نسخه آن دارای ماژول‌های انتشار، keylogger و سرقت گذرواژه است.
ادامه مطلب »



مهر
۱۴
واتس اپ طعمه جاسوس افزاری که اطلاعات را می‌رباید
ارسال شده توسط روشن ۱۴ مهر ۱۳۹۷ ۰۹:۴۸ قبل از ظهر
به گزارش ایتنا از ایسنا، مقصد اصلی توسعه‌دهنده این جاسوس‌افزار مشخص نیست. طبق تحلیل‌های انجام شده برروی کدهای بدافزار، به‌نظر می‌رسد این بدافزار در حال توسعه بوده و هنوز تکمیل نشده است. قابلیت‌های اصلی بدافزار شامل تهیه اسکرین شات از صفحه، جاسوسی برروی برنامه پیام‌رسان واتس‌اپ، جمع‌آوری اطلاعات تاریخچه مرورگر،  جمع‌آوری لیست مخاطبان، جمع‌آوری گزارش تماس‌هاست. همچنین بر اساس اطلاعات سایت افتا، دسترسی به گالری و تصاویر، دسترسی به دوربین، بررسی وضعیت باتری و میزان استفاده از پردازنده، پایداری و باز شدن دوباره بدافزار پس از راه‌اندازی مجدد دستگاه هم از جمله دیگر ویژگی‌های این جاسوس‌افزار اعلام شده است.
ادامه مطلب »



مهر
۱۰
باج‌افزاری که از طریق IP ، 68هزار کاربر را قربانی کرد!
ارسال شده توسط روشن ۱۰ مهر ۱۳۹۷ ۰۲:۴۳ بعد از ظهر
به گزارش ایتنا از ایسنا، پژوهشگران SecurityScorecard اعلام کردند که مهاجمان در حال استفاده از روش جست‌وجوی فراگیر (brute-force) هستند تا به برنامه‌های دسترسی از راه دور سمتِ سرور سازمان‌ها نفوذ کنند و باج‌افزار GandCrab را به رایانه‌های سازمان‌ها منتقل کنند. مهاجمان از باتی با قابلیت‌های کرم استفاده می‌کنند که می‌تواند خود را با کپی کردن در USBها و سایر دستگاه‌هایِ حافظه‌ی قابل حمل گسترش دهد. این بدافزار برای یافتن سرویس Remote Desktop Protocol و سرورهای  Virtual Network Computing اینترنت را اسکن می‌کند و سپس با استفاده از روش جست‌وجوی فراگیر و امتحان کردن گذرواژه‌هایی که بصورت گسترده استفاده می‌شوند مانند ( Password، test، testing، server، admin، ۱۲۳۱۲۳، ۱۲۳۴۵۶ و ...) به دستگاه‌ها نفوذ می‌کند. بدافزار بصورت تصادفی آدرس IP هدف را تولید و تلاش می‌کند تا از طریق پورت ۵۹۰۰ وارد آن شود. درصورت نفوذ موفق، باج‌افزار را نصب می‌کند که منجر به رمزشدن فایل‌های قربانی و درخواست باج می‌شود. هم‌چنین مهاجمان می‌توانند از آن برای DDoS، Brute-force و سایر فعالیت‌های مخرب نیز استفاده کنند. کارشناسان امنیت فضای تولید و تبادل اطلاعات توصیه کرده‌اند که برای سرورهای  RDP و VNC از گذرواژه‌های قوی استفاده شود و هم‌چنین USBها و دستگاه‌های حافظه‌ی قابل حمل، قبل از استفاده توسط ضدویروس اسکن شوند.
ادامه مطلب »



مهر
۰۴
تروجانی که آنتی‌ویروس‌ها را دور می‌زند
ارسال شده توسط روشن ۰۴ مهر ۱۳۹۷ ۰۹:۱۰ قبل از ظهر
یک عملیات اسپمی در حال انتشار یک تروجان با دسترسی از راه دور (RAT) است که از چندین روش برای فریب دادن ضدویروس‌های مبتنی بر امضا استفاده می‌کند. این RAT که با نام Adwind شناخته می‌شود، پیش‌تر صنایع مختلفی را در جهان مورد هدف قرار داده است. این تروجان اکنون مجهز به toolkit جدیدی است تا بتواند از سیستم‌ها سوءاستفاده کند. به گزارش ایتنا از ایسنا، تروجان توسط Cisco Talos و ReversingLabs مورد بررسی قرار گرفته است. این تروجان هم‌چنین با نام‌های AlienSpy، JSocket و jRat نیز شناخته می‌شود و دارای قابلیت‌های زیادی است. تروجان قادر به جمع‌آوری اطلاعات رایانه و کلیدهای فشرده شده توسط کاربر است، همچنین اطلاعات احراز هویت و اطلاعات ارسال شده از طریق فرم‌های وب را نیز به سرقت می‌برد. بدافزار قادر به ضبط ویدئو، صدا و گرفتن تصاویر اسکرین‌شات نیز است. علاوه بر این، تروجان می‌تواند فایل‌های سیستم را بدون اطلاع کاربر منتقل کند. در نسخه‌های جدیدتر این تروجان، تلاش برای سرقت کلیدهای رمزنگاری برای دسترسی به کیف پول مجازی در سیستم‌های آلوده نیز انجام می‌شود. تروجان ابتدا از طریق عملیات فیشینگ منتقل می‌شود و سپس بدنه مخرب که بصورت فایل JAR است را بارگیری می‌کند و پس از اجرا به سرور کنترل و فرمان (C&C) متصل می‌شود و بدنه‌های بیش‌تر را بارگیری می‌کند تا داده‌های سیستم آلوده را به سرقت ببرد. این بدافزار در گذشته با حداقل ۴۰۰ هزار حمله علیه کسب‌وکارها در امور مالی، تولید، حمل و نقل و صنعت مخابرات مرتبط بوده است. در حملات اسپمی جدید که در ماه آگوست مشاهده شده است، از Adwind ۳,۰ که آخرین نسخه آن است استفاده شد. در این حملات سیستم‌های ویندوز، لینوکس و مک مورد هدف قرار گرفتند. هم‌چنین در حملات از روش تزریق کد DDE برای نفوذ به اکسل و دور زدن برنامه‌های ضد ویروس مبتنی بر امضا بهره‌برداری شده است. در عملیات فیشینگ پیام‌های مخرب حاوی فایل‌های CSV و XLT (هر دو به صورت پیش‌فرض با نرم‌افزار اکسل باز می‌شوند) ارسال می‌شوند. فایل‌های مخرب دارای یک یا دو dropper هستند که از تزریق DDE بهره می‌برند. dropper از پسوندهای مختلفی از جمله htm، xlt، xlc و db استفاده می‌کند. پژوهشگران Cisco Talos می‌گویند که تکنیک جدیدی برای مبهم‌سازی در حملات استفاده شده است که از طریق آن بخش اول فایل بدون سرایند است و برنامه‌های ضدویروس را به اشتباه می‌اندازد. در واقع ضد ویروس به جای تشخیص فایل مخرب به عنوان یک dropper، آن‌ را به عنوان یک فایل خراب تشخیص می‌دهد. کد مخرب یک اسکریپت Visual Basic را ایجاد می‌کند که از bitasdmin بهره می‌برد. ابزار bitasdmin نرم‌افزار قانونی مایکروسافت است که یک ابزار مبتنی بر خط فرمان (command-line) برای ایجاد، بارگیری یا بارگذاری فعالیت‌ها و نظارت بر فرایند پردازشی آن‌هاست. در کد مخرب از این ابزار برای بارگیری بدنه نهایی که یک فایل Java دارای بسته Allatori Obfuscator است، سوء استفاده شده است. این بسته در ادامه از حالت فشرده خارج می‌شود و تروجان Adwind را پیاده‌سازی می‌کند.
ادامه مطلب »