امنیت مجازی

خبر اختصاصی پادویش؛ بدافزار Morto از خانواده‌ی کرم‌ها و از جمله بدافزارهای تحلیل شده توسط آزمایشگاه پادویش است. بارزترین و خطرناک‌ترین ویژگی کرم‌های کامپیوتری، قابلیت انتشار خودکار آنهاست. کرم‌های کامپیوتری همچون Morto، بدون اجازه و اطلاع کاربر وارد سیستم می‌شوند و با هر بار راه اندازی سیستم و یا اتصال به اینترنت، به گسترش خود می‌پردازند. از متداول‌ترین روش‌های آلودگی، انتقال از راه درایوهای قابل حمل (مانند فلش، هارد دیسک و …) و همچنین از راه دایرکتوری‌های اشتراک گذاشته شده‌ی درون شبکه می‌باشد. معمولا کرم‌ها به دنبال بخش‌های نامرئی سیستم عامل و مسیرهایی که از دید کاربر پنهان هستند، می‌باشند. نتیجه آن که، زمانی کاربر از حضور این مزاحمان مطلع می‌شود که سیستم کاملا آلوده و کند شده است.

نشانه‌های آلودگی

از جمله نشانه‌های آلودگی سیستم به بدافزار Morto، ایجاد سرویس، تغییر رجیستری‌ها و همچنین اضافه شدن فایل‌های مخرب دیگر به سیستم قربانی است. یکی از مرسوم‌ترین روش‌های انتشار این گونه‌ی مزاحم در شبکه‌ی داخلی سازمان‌ها، سوء استفاده از RDP یا همان قابلیت پرکاربرد دسترسی از راه دور به دسکتاپ است. آلودگی Morto به این سطح ختم نمی‌شود و با رسیدن بدافزار به دیگر سیستم‌های موجود در شبکه، جاسوسی از سیستم قربانی و فرستادن اطلاعات موجود به آدرس‌های از پیش تعیین شده انجام می‌گیرد. در نهایت زمانی کاربر از وجود آلودگی مطلع می‌شود که از سیستم خود و توسط مهاجمان log out شده باشد.

راهکارها

برای در امان ماندن از آلودگی به این نوع بدافزارها، حتما از سالم بودن درایوهای قابل حمل متصل شده به سیستم خود اطمینان حاصل کنید و همچنین از قابلیت RDP با دقت بیشتری استفاده کنید. آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش نیز آلودگی‌های احتمالی را شناسایی و از ورود آنها به سیستم قربانی جلوگیری می‌کند. شما می‌توانید برای دیدن جزییات فنی از تحلیل این بدافزار و روش مقابله و پاکسازی سیستم به اینجا مراجعه کنید.

منبع: امن پرداز

خبر اختصاصی پادویش؛ بدافزار جاسوسی FakeGram نام خانواده‌ای از بدافزارهاست که با هدف قرار دادن کاربران اینستاگرام و وعده جذب فالوور، لایک یا کامنت بیشتر سعی در سرقت اطلاعات حساب کاربری قربانیان دارد. با محبوبیت روزافزون شبکه‌ی اجتماعی اینستاگرام و تمایل کاربران به افزایش مخاطب، شهرت و یا درآمد بیشتر، با رشد سریع این دسته از بدافزارها نیز مواجه هستیم. این برنامه‌ها که به شکل انبوهی در مارکت‌های اندرویدی مانند کافه بازار یافت می‌شوند، با طراحی برنامه‌های آلوده خود، مشابه صفحه اصلی اینستاگرام کاربران بسیاری را جذب می‌کنند. اما در پس این ظاهر فریبنده، مهاجمان در کمین اطلاعات حساب کاربری قربانیان مانند آدرس ایمیل و کلمه عبور هستند.
سایر برنامه‌های آلوده به این نوع بدافزار شامل ادبین- (بازدید بگیر سایت و لینک)، لایک بگیر اینستاگرام، فالوئر بگیر اینستاگرام، آیدی‌ لیست، کامنت بگیر اینستاگرام، عضو در عضو، اینستا استار می‌باشند.

عملکرد این بدافزارها به این شکل است که با نمایش صفحه‌ای جعلی و مشابه صفحه لاگین اینستاگرام اطلاعات حساب کاربری قربانی را درخواست می‌کنند. همچنین برای جلب اعتماد کاربران، از توضیحاتی جعلی مانند “نام کاربری و رمز عبور شما توسط ما قابل دسترسی نیست و شما مستقیم در Instagram لاگین می‌کنید” استفاده می‌کنند. با ورود اطلاعات کاربری اینستاگرام، پیامی مبنی بر نادرست بودن رمز عبور نمایش داده می‌شود اما در این حین به وسیله کدهای جاوا اسکریپت پنهان که در پس زمینه در حال اجرا هستند، اطلاعات قربانی به مهاجمان ارسال می‌شود، تا از اکانت‌های به سرقت رفته در جهت منافع خود استفاده کنند. با ورود مهاجمان به حساب کاربری افراد، پیامی از سمت اینستاگرام با متن “اطلاعات شما از گوشی دیگری در حال لاگین شدن می‌باشد و این که آیا آن شخص خود شما هستید یا خیر” دریافت می‌شود. هدف اصلی این‌گونه بدافزارها فیشینگ و جمع آوری اطلاعات کاربران اینستاگرام و نمایش تبلیغات می‌باشد که این تکنیک از مرسوم‌ترین روش‌های سودجویی از قربانیان است.

برای اطمینان خاطر از عدم آلودگی دستگاه، فایل پایگاه داده آنتی ویروس پادویش را بروز نگه دارید و اسکن آنتی ویروس را انجام دهید.
همچنین توصیه می‌شود رمز ورود اینستاگرام و همچنین جزئیات ورود خود را در هر وب سایت دیگری که برای آن از همان ترکیب ایمیل و رمز عبور استفاده کرده اید، تغییر دهید.
بعلاوه یکی دیگر از روش‌های مصون ماندن داده‌ها از سارقان فضای مجازی، دوری ازنصب هر گونه برنامه مشکوکی است که با وعده‌های دروغین، برنامه‌ای مشابه با برنامه نسخه اصلی نصب می‌کنند.

منبع: امن پرداز

گوگل اولین بروزرسانی‌های امنیتی اندروید خود در سال 2020 را منتشر کرد.
این بولتن امنیتی به دو بخش تقسیم می‌شود:
بخش اول به 7 آسیب پذیری در فریم‌ ورک رسانه‌ای (Media Framework) و سیستم اشاره می‌کند. 6 مورد از این 7 اشکال موجود در اصلاحیه‌ 01-01-2020 با شدت بالا  و 1 مورد به عنوان آسیب‌پذیری بحرانی طبقه‌بندی می‌شود.
بخش دوم نیز شامل 33 آسیب‌پذیری موجود در کرنل (Kernel)، کوالکام (Qualcomm) و مؤلفه‌های متن بسته (closed-source) آن می‌شود.

آسیب پذیری اجرای کد از راه دور (Remote Code Execution) یکی از نقص‌های بسیار شدید و بحرانی است که 7 مورد از آسیب‌پذیری‌های اشاره شده در این ماه نیز دارای این نقص می‌باشند. شرکت کوالکام، سازنده‌ی تراشه‌های دستگاه‌های اندرویدی، 29 آسیب‌پذیری شدید و متوسط را به عنوان بخشی از بولتن این ماه به ثبت رسانده است.

گوگل آسیب‌پذیری بحرانی خود با شناسه CVE-2020-0002 موجود در framework رسانه اندرویدی را معرفی کرده است که این framework پشتیبانی پخش انواع رسانه‌های متداول را بر عهده دارد، تا کاربران بتوانند به راحتی از صدا، فیلم و تصاویر استفاده کنند. سیستم عامل‌های اندرویدی 8.0، 8.1 و 9.0 به طور خاص تحت تأثیر این اشکال قرار می‌گیرند اما  اندروید 10.0 از سطح آسیب‌پذیری متوسطی برخوردار است.

همچنین نقص‌های مهمی با شناسه‌های CVE-2020-0001 ،CVE-2020-0003 و نیز نقص مربوط به حملات انکار سرویس با شناسه‌ی CVE-2020-0004 برطرف شده‌اند که می‌توانند به برنامه‌های مخرب محلی اجازه دور زدن نیازهای تعاملی کاربر به منظور دستیابی به مجوزهای اضافی را فراهم کنند. علاوه بر این، سه عیب با شدت بالا با شناسه‌های CVE-2020-0006 ،CVE-2020-0007 ،CVE-2020-0008 در سیستم عامل اندرویدی کشف شده‌اند که می‌توانند منجر به افشای اطلاعات کاربر از راه دور و بدون هیچ گونه امتیاز اجرای اضافی گردند.

بخش دوم بروزرسانی‌های امنیتی اندرویدی این ماه، شامل بیست و نه آسیب پذیری برطرف شده است که همگی از شدت بالایی برخوردارند(به جز یک مورد بحرانی) که مربوط به مؤلفه‌های کوالکام و مورد استفاده در دستگاه‌های اندرویدی هستند. نقص شدیدی نیز در درایور “rtlwifi” و با شناسه CVE-2019-17666 موجود است که می‌تواند منجر به اجرای کد از راه دور شود.

طبق گزارش گوگل تا زمانی که اشکالات بر طرف نشده‌اند و بیم سوء‌استفاده از آنها توسط هکرها به میزان قابل توجهی کاهش نیافته است، جزئیات فنی بیشتری از این آسیب پذیری‌ها ارائه نخواهد شد .

بروزرسانی‌های شرکت سازنده

سازندگان دستگاه‌های اندروید معمولاً اصلاحیه‌های مخصوص به خود را برای برطرف کردن آسیب پذیری‌ها همراه و یا پس از بولتن گوگل انتشار می‌دهند. به طور مثال شرکت سامسونگ اظهار کرد که در اصلاحیه امنیتی خود چندین اصلاحیه امنیتی اندروید گوگل از جمله CVE-2020-0002 را اعمال می‌کند. به زودی اصلاحات مربوط به دستگاه‌های ال‌جی، نوکیا و پیکسل نیز منتشر خواهد شد.

برای مطالعه جزئیات بیشتر نسخه ماه ژانویه بولتن گوگل اینجا را کلیک کنید.

منبع: امن پرداز

بر اساس آخرین اخبار منتشر شده، از صاحبان سایت‌های وردپرس و ادمین‌های آن‌ها خواسته شده است تا هر چه سریع‌تر نسبت به نصب بروزرسانی حیاتی افزونه Jetpack اقدام کنند تا از حملات احتمالی نسبت به آسیب پذیری‌های موجود در نسخه 5.1 در امان باشند.

افزونه Jetpack

Jetpack یک افزونه بسیار محبوب وردپرس است که از ویژگی های امنیتی و مدیریت سایت رایگان برخوردار است که شامل پشتیبان‌گیری سایت، ورود ایمن به سیستم، اسکن نرم‌افزارهای مخرب و محافظت از حمله بی‌رحمانه می‌باشد و با بیش از 5 میلیون نصب فعال توسط Automattic، شرکت پشتیبان وردپرس ارائه می‌شود.
از این آسیب‌پذیری تا به حال سوء استفاده‌ای صورت نگرفته و در عین حال جزئیاتی نیز از آن منتشر نشده‌ است. با این حال توسعه دهندگان هشدار داده‌اند که با توجه به اعلام عمومی شدن آن، بهتر است هر چه سریع‌تر با نصب بروز‌رسانی جدید از خطرات احتمالی مصون بمانید، چرا که تمامی نسخه های 5.1 به قبل تا ژوئیه 2017 دارای آسیب‌پذیری مشابه می‌باشند. این آسیب‌پذیری در نسخه 7.9.1 ترمیم و اصلاح شده است.
علاوه بر این، در سال گذشته هکرها با استفاده از حساب‌های وردپرس ضعیف و محافظت نشده و با سو‌ء استفاده از قابلیت مدیریت از راه دور افزونه Jetpack، روشی را برای نصب افزونه‌های backdoor در وب‌سایت‌های وردپرسی پیدا کرده‌اند.
برای دانلود آخرین نسخه Jetpack اینجا را کلیک کنید.

منبع: امن پرداز

خبر اختصاصی پادویش؛ بدافزار boxter با هدف سرقت و ذخیره اطلاعات کاربران ویندوز 10، تلاش می‌کند تا کنترل از راه دور سیستم قربانی را در اختیار هکرها قرار دهد. به همین منظور، با انجام اقداماتی مانند ذخیره کلیدهای فشرده شده در صفحه کلید و همچنین اتصال به آدرس‌هایی مشخص برای دانلود، کنترل سیستم را در دست می‌گیرد.
این بدافزار که در دسته کرم‌ها طبقه‌بندی می‌شود، به دو روش معمول انتشار کرم‌ها شامل کپی شدن در پیوست ایمیل و دیگری از راه انتقال از درایوهای قابل حمل انتشار می‌یابد.
بلافاصله پس از اولین اجرای خودکار بدافزار، با ایجاد کلید رجیستری در مسیر زیر و غیر فعال کردن سرویس‌های امنیتی، به بقای خود ادامه می‌دهد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”random name”

آنتی ویروس پادویش، این بدافزار را شناسایی و از سیستم شما محافظت می‌کند. شما می‌توانید برای دیدن جزییات فنی از تحلیل این بدافزار و روش مقابله و پاک‌سازی سیستم به اینجا مراجعه کنید.

منبع : امن پرداز