نوشته های Nova Security

چگونه برای ساعاتی فیس بوک از اینترنت ناپدید شد؟

Nova Security — Tue, 05 Oct 2021 22:02:48 +0330

نویسنده : نیما دباغی، مهدی شادیما فکر میکردیم «فیس بوک نمی تواند خراب شود»می شود؟5اکتبر 2021 یعنی امروز در ساعت 15:51 ساعت محلی UTC ، یک حادثه داخلی تحت عنوان "جستجوی DNS در فیس بوک برای بازگرداندن SERVFAIL" را، cloudflare باز کرد چون نگران بود که مشکلی در resolver DNS 1.1.1.1 آنها وجود نداشته باشد. اما cloudflare، متوجه شد مشکل جدی تر در حال رخ دادن است.رسانه های اجتماعی به سرعت آتش گرفتند و آنچه مهندسان cloudflare نیز به سرعت آن را تأیید کردند گزارش کردند. در واقع فیس بوک و سرویس های وابسته به آن از جمله واتس اپ و اینستاگرام از کار افتاده اند. DNS name ها برای resolving متوقف شد و IP های زیرساختی غیرقابل دسترسی بود. انگار شخصی کابل ها را از مراکز داده آن ها بیرون کشیده و آنها را از اینترنت قطع کرده بود".اصلا چطور ممکن است؟به روز رسانی از فیس بوکفیس بوک در حال حاضر یک پست وبلاگی منتشر کرده است که جزئیات آنچه در داخل اتفاق افتاده است را ارائه کرده است. در خارج ، مشکلات BGP و DNS را که در این پست بیان شده است مشاهده شد ، اما مشکل در واقع با تغییر پیکربندی استارت خورد که کل backbone داخلی را تحت تأثیر قرار داد.حالا به آنچه که از بیرون دیدیم بپردازیم.اصلا BGP چیست؟مخفف Protocol Gateway Protocol است. مکانیزمی برای تبادل اطلاعات مسیریابی بین autonomous systems (AS) در اینترنت است. مسیریاب های بزرگی که باعث می شوند اینترنت کار کند ، دارای لیست های عظیم و دائماً به روز شده از مسیرهای ممکن است که می توان از آنها برای تحویل هر بسته شبکه به مقصد نهایی خود استفاده کرد. بدون BGP ، روترهای اینترنتی نمی دانند چه کاری کنند و اینترنت کار نمی کند.اینترنت به معنای واقعی کلمه یک شبکه از شبکه ها است و توسط BGP به هم متصل می شوند. BGP به یک شبکه (مثلاً فیس بوک) اجازه می دهد تا حضور خود را در شبکه های دیگر اینترنت اعلام کند. بنابراین در این اتفاق فیس بوک حضور خود را به سایر شبکه ها نشان نداده و در نتیجه ISP ها و سایر شبکه ها نتوانستند شبکه فیس بوک را پیدا کنند و اینگونه فیسبوک از دسترس خارج شد.شبکه های جداگانه هریک دارای ASN هستند: یک autonomous systems number، یک AS شبکه فردی با یک policy مسیریابی داخلی یکپارچه است. AS می تواند پیشوندهایی را ایجاد کند (مثلاً گروهی از آدرس های IP را کنترل می کند) ، و همچنین پیشوندهای ترانزیتی ( می دانند چگونه به گروه های خاصی از آدرس های IP دسترسی پیدا کنند).این ASN مربوط به Cloudflare دارای شناسه AS13335 است. هر ASN باید مسیرهای پیشوند خود را با استفاده از BGP به اینترنت اعلام کند. در غیر این صورت ، هیچ کس نمی داند چگونه وصل شود و از کجا Cloudflare را پیدا کند.در این نمودار ساده ، می توانید شش autonomous systems در اینترنت و دو مسیر ممکن را مشاهده کنید که یک بسته می تواند از ابتدا تا انتها از آنها استفاده کند. AS1 → AS2 → AS3 سریع ترین و AS1 → AS6 → AS5 → AS4 → AS3 کندترین هستند ، اما در صورت عدم موفقیت اولی می توان از آن استفاده کرد.در 15:58 ساعت محلی UTC متوجه شدیم که فیس بوک اعلام مسیرهای مربوط به پیشوندهای DNS خود را متوقف کرده است. این بدان معناست که حداقل سرورهای DNS فیس بوک در دسترس نیست. به این دلیل resolver DNS 1.1.1.1 Cloudflare دیگر نمی توانست به درخواست آدرس IP facebook.com یا instagram.com پاسخ دهد.route-views>show ip bgp 185.89.218.0/23 % Network not in table route-views> route-views>show ip bgp 129.134.30.0/23 % Network not in table route-views>در همین حال ، سایر آدرس های IP فیس بوک همچنان route شده بودند اما کاربرد خاصی نداشتند زیرا بدون DNS فیس بوک و خدمات مربوطه عملاً در دسترس نبود:route-views>show ip bgp 129.134.30.0 BGP routing table entry for 129.134.0.0/17, version 1025798334 Paths: (24 available, best #14, table default) Not advertised to any peer Refresh Epoch 2 3303 6453 32934 217.192.89.50 from 217.192.89.50 (138.187.128.158) Origin IGP, localpref 100, valid, external Community: 3303:1004 3303:1006 3303:3075 6453:3000 6453:3400 6453:3402 path 7FE1408ED9C8 RPKI State not found rx pathid: 0, tx pathid: 0 Refresh Epoch 1 route-views>کلاد فلر میگوید: ما تمام به روز رسانی ها و اطلاعیه های BGP را که در شبکه جهانی خود می بینیم ، پیگیری می کنیم. در مقیاس ما ، داده هایی که جمع آوری می کنیم به ما این امکان را می دهد که دید کلی بر اینکه چگونه اینترنت متصل شده و ترافیک از کجا و به کجا در این سیاره جریان دارد را ببینیم.یک پیام BGP UPDATE روتر را از هرگونه تغییری که در advertisement پیشوند ایجاد کرده ا مطلع می کند یا prefix به طور کامل حذف میشود. این را می توان به وضوح در تعدادی از به روزرسانی هایی که از فیس بوک هنگام بررسی پایگاه داده BGP سری های زمانی خود دریافت شده ، مشاهده کرد. معمولاً این نمودار نسبتاً بی صدا است: فیس بوک دقیقه به دقیقه تغییرات زیادی در شبکه خود ایجاد نمی کند.اما در حدود ساعت 15:40 ساعت محلی UTC شاهد اوج تغییرات مسیریابی از سوی فیس بوک بودیم. آن موقع بود که دردسر شروع شداگر این دیدگاه را با اعلان ها و حذف مسیر ها جداسازی کنیم ، حتی تصور بهتری از آنچه اتفاق افتاده است می گیریم. مسیرها حذف شد ، سرورهای DNS فیس بوک آفلاین شد و یک دقیقه پس از بروز مشکل ، مهندسان Cloudflare در اتاقی بودند که می پرسیدند چرا 1.1.1.1 نمی تواند facebook.com را resolve کند و نگران بودند که به نوعی خطای سیستم های آنها باشد.با این حذف ها ، فیس بوک و سایت های آن عملاً خود را از اینترنت قطع کرده بودند.تحت تاثیر قرار گرفتن DNSبه عنوان پیامدی مستقیم ، resolver های DNS در سراسر جهان resolve نام دامنه خود را متوقف کردند.➜ ~ dig @1.1.1.1 facebook.com ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31322 ;facebook.com. IN A ➜ ~ dig @1.1.1.1 whatsapp.com ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31322 ;whatsapp.com. IN A ➜ ~ dig @8.8.8.8 facebook.com ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31322 ;facebook.com. IN A ➜ ~ dig @8.8.8.8 whatsapp.com ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31322 ;whatsapp.com.این جریان اتفاق می افتد چون DNS ، مانند بسیاری از سیستم های دیگر در اینترنت ، مکانیسم مسیریابی خود را دارد. وقتی شخصی آدرس https://facebook.com را در مرورگر تایپ می کند ، resolver های DNS که مسئول ترجمه نام دامنه به آدرس IP واقعی برای اتصال است ، ابتدا بررسی می کند که آیا چیزی در cache خود دارد و از آن استفاده می کند. در غیر این صورت ، سعی می کند پاسخ را از سرورهای نام دامنه ، که معمولاً توسط نهادی که صاحب آن است میزبانی می شود ، بگیرد.اگر nameserver ها غیرقابل دسترسی باشند یا به دلایل دیگر پاسخ ندهند ، SERVFAIL بازگردانده می شود و مرورگر خطایی را برای کاربر صادر می کند.به دلیل توقف اعلام فیس بوک از مسیرهای پیشوند DNS خود از طریق BGP ، resolver های DNS ما و دیگران هیچ راهی برای اتصال به nameserver ها نداشتند. در نتیجه ، 1.1.1.1 ، 8.8.8.8 و سایر resolver های اصلی DNS عمومی شروع به انتشار (و ذخیره سازی) پاسخ های SERVFAIL کردند.اما این همه ماجرا نیست. در حال حاضر رفتار و منطق کاربرد انسان شروع می شود و باعث ایجاد یک اثر نمایی دیگر می شود. سونامی ترافیک DNS اضافی پی در پی می آید.این امر به این دلیل اتفاق افتاد که برنامه ها خطایی را برای پاسخ نمی پذیرند و مجدداً سعی می کنند به پاسخی برسند ، گاهی اوقات به صورت تهاجمی ، و به این دلیل است که کاربران نهایی نیز در انتظار پاسخ نمانده و بارگذاری مجدد صفحات را شروع می کنند ، یا آنها را بسته و دوباره راه اندازی می کنند .این افزایش ترافیک (در تعداد درخواست ها) است که در 1.1.1.1 مشاهده شد:بنابراین در حال حاضر ، از آنجا که فیس بوک و سایت های آنها بسیار بزرگ هستند ، cloudflare دارای resolver های DNS در سراسر جهان است که 30 برابر بیشتر از حالت عادی پرس و جو را انجام می دهند و به طور بالقوه باعث ایجاد تاخیر و زمان پایان در سایر سیستم عامل ها می شود.cloudflare اضافه کرد :خوشبختانه 1.1.1.1 به صورت رایگان ، خصوصی ، سریع و مقیاس پذیر ساخته شد و ما توانستیم خدمات کاربران خود را با حداقل تأثیر ادامه دهیم.اکثریت قریب به اتفاق درخواستهای DNS ما در کمتر از 10 میلی ثانیه حل می شود. در همان زمان ، درصد کمی از صدک های p95 و p99 زمان پاسخگویی را افزایش دادند ، احتمالاً به دلیل این که TTL های منقضی شده مجبور به مراجعه به nameserver فیس بوک بودند و timeout شده اند. محدودیت زمانی 10 ثانیه DNS در بین مهندسان به خوبی شناخته شده است.تحت تأثیر قرار دادن خدمات دیگرمردم به دنبال جایگزین هستند و می خواهند بیشتر بدانند یا درباره آنچه در جریان است بحث کنند. وقتی فیس بوک غیرقابل دسترسی شد ، ما شاهد افزایش درخواست های DNS در توییتر ، سیگنال و دیگر بسترهای پیام رسانی و رسانه های اجتماعی بودیم.می توان عوارض جانبی دیگری از این عدم دسترسی را در ترافیک WARP خود به ASN 32934 تحت تأثیر فیس بوک مشاهده کرد. این نمودار نشان می دهد که چگونه ترافیک از 15:45 UTC به 16:45 UTC در مقایسه با سه ساعت قبل در هر کشور تغییر کرده است. در سراسر جهان ترافیک WARP از شبکه فیس بوک به سادگی از بین رفت.اینترنترویدادهای امروز یک یادآوری ملایم است که اینترنت یک سیستم بسیار پیچیده و وابسته به هم است که میلیون ها سیستم و پروتکل با هم کار می کنند. این اعتماد ، استانداردسازی و همکاری بین نهادها در مرکز ایجاد آن برای تقریباً پنج میلیارد کاربر فعال در سراسر جهان است.حدود ساعت 21:00 UTC شاهد فعالیت مجدد BGP از شبکه فیس بوک بودیم که در ساعت 21:17 ساعت محلی UTC به اوج خود رسید.این نمودار در دسترس بودن نام DNS 'facebook.com' در resolver های DNS Cloudflare 1.1.1.1 را نشان می دهد. در حدود 15:50 UTC در دسترس قرار نگرفت و در 21:20 UTC برگشت.بدون شک خدمات فیس بوک ، واتس اپ و اینستاگرام به زمان بیشتری نیاز دارد اما از ساعت 21:28 به وقت محلی UTC به نظر می رسد فیس بوک دوباره به اینترنت جهانی متصل شده و DNS دوباره کار می کند.

همه ی دستگاه های Wi-Fi بدون استثنا تحت تأثیر آسیب پذیری های جدید FragAttacks قرار دارند !!!

Nova Security — Fri, 14 May 2021 15:07:38 +0430

آسیب پذیری های جدید امنیتی Wi-Fi که اخیراً یافت شدند و با نام FragAttacks (حملات تکه تکه شدن و دوباره جمع شدن) شناخته می شوند ، از جدیدترین نسل تکنولوژی تا سال 1997 بر همه دستگاه های Wi-Fi (از جمله رایانه ها ، تلفن های هوشمند و دستگاه های هوشمند) تأثیر می گذارد.سه مورد از این باگ ها ، طراحی استاندارد Wi-Fi 802.11 در فریم aggregation و fragmentation است که بیشتر دستگاهها را تحت تأثیر قرار می دهد ، در حالی که بقیه آسیب پذیری ها ناشی از برنامه نویسی غیر صحیح Wi-Fi هستند.محقق امنیتی ماتی وانهوف ( از دانشگاه نیویورک ابوظبی) ، کاشف اسیب پذیری های FragAttacks ، گفت: "آزمایشات نشان می دهد که هر محصول Wi-Fi حداقل تحت تأثیر یک آسیب پذیری قرار دارد و بیشتر محصولات تحت تأثیر چندین آسیب پذیری قرار می گیرند.""آسیب پذیری های کشف شده بر تمام پروتکل های امنیتی مدرن Wi-Fi ، از جمله آخرین مشخصات WPA3 تأثیر می گذارد. حتی پروتکل امنیتی اصلی Wi-Fi ، WEP نیز تحت تأثیر قرار می گیرد."این به این معنی است که چندین آسیب پذیری کشف شده در طراحی این سیستم ها از زمان انتشار آن در سال 1997 بخشی از Wi-Fi بوده است!"مهاجمی که از این باگ طراحی و اجرا سو استفاده می کند باید در محدوده Wi-Fi دستگاه های هدف قرار بگیرند تا داده های حساس کاربر را بدزدد و کد مخربی را پس از exploit موفقیت آمیز اجرا کند ، که احتمالاً منجر به دسترسی کامل به دستگاه می شود.تأثیر آسیب پذیری FragAttacks:خوشبختانه ، همانطور که وانهوف کشف شده ، " exploit باگ طراحی دشوار است ، زیرا انجام این کار نیاز به تعامل کاربر دارد یا فقط در صورت استفاده از تنظیمات غیر معمول شبکه امکان پذیر است."با این حال ، استفاده از اشتباهات برنامه نویسی پشت برخی از آسیب پذیری های FragAttacks بسیار ناچیز است و به مهاجمان اجازه می دهد تا به راحتی از محصولات Wi-Fi پچ نشده سو استفاده کنند.از جمله CVEهای FragAttacks مربوط به آسیب پذیری های طراحی Wi-Fi شامل موارد زیر است: مورد اول ، CVE-2020-24588: حمله aggregation (پذیرش فریمهای A-MSDU غیر SPP). مورد دوم CVE-2020-24587: حمله کلید ترکیبی (جمع آوری و اسمبل مجدد fragment های رمزگذاری شده تحت کلیدهای مختلف). مورد سوم CVE-2020-24586: حمله حافظه کش fragment (پاک نکردن fragment ها از مموری هنگام اتصال مجدد به شبکه).آسیب پذیری های پیاده سازی و اجرای Wi-Fi به CVE های زیر اختصاص داده شده است: CVE-2020-26145: پذیرش fragment های broadcast متن ساده به عنوان فریم کامل (در یک شبکه رمزگذاری شده). CVE-2020-26144: پذیرفتن فریم های A-MSDU متن ساده که با هدر RFC1042 با EtherType EAPOL (در یک شبکه رمزگذاری شده) شروع می شوند. CVE-2020-26140: پذیرش فریم داده های plaintext در یک شبکه محافظت شده. CVE-2020-26143: پذیرش فریم های داده جدا شده plaintext در یک شبکه محافظت شده.سایر نقص های عملیاتی کشف شده توسط Vanhoef عبارتند از: CVE-2020-26139: ارسال فریم های EAPOL حتی اگر فرستنده هنوز احراز هویت نشده باشد (فقط باید روی AP ها تأثیر بگذارد). CVE-2020-26146: جمع آوری fragment های رمزگذاری شده با شماره پکت های غیر متوالی. CVE-2020-26147: جمع آوری مجدد fragment های ترکیبی رمزگذاری شده / plaintext. CVE-2020-26142: پردازش فریم های تکه تکه به عنوان فریم های کامل. CVE-2020-26141: تأیید نکردن TKIP MIC فریم های تکه تکه شده.این محقق همچنین یک نسخه آزمایشی ویدئویی تهیه کرد که نشان می دهد چگونه مهاجمان می توانند به یک سیستم آسیب پذیر ویندوز 7 را که در داخل شبکه محلی هدف قرار گرفته است ، دسترسی کامل بگیرند.و اما به روزرسانی های امنیتی :کنسرسیوم صنعتی برای پیشرفت امنیت در اینترنت (ICASI) می گوید که ارائه دهندگان محصول یا سرویس در حال ایجاد پچ هایی برای محصول خود هستند تا اشکالات FragAttacks را کاهش دهند.ازجمله Cisco Systems ، HPE / Aruba Networks ، Juniper Networks ، :Sierra Wireless و Microsoft [1 ، 2، 3] قبلاً به روزرسانی های امنیتی FragAttacks را منتشر کرده اند.این به روزرسانی های امنیتی در طی یک انتشار هماهنگ 9 ماهه تحت نظارت ICASI و Wi-Fi Alliance آماده شده اند.گروه جهانی Wi-Fi اعلام کرد: "هیچ شواهدی از آسیب پذیری استفاده نادرست در برابر کاربران Wi-Fi وجود ندارد و این مشکلات از طریق به روزرسانی های معمول دستگاه که برای تشخیص انتقال پکت های مشکوک را رفع می شود.""مثل همیشه ، کاربران Wi-Fi باید اطمینان حاصل کنند که آخرین به روزرسانی های سازندگان دستگاه را نصب کرده اند."برای دریافت مشاوره رایگان برای شرکت یا سازمان خود میتوانید با ایمیل Cert@NovaSecurity.net در ارتباط باشید.همچنین برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/NovaSecurity

مهاجمان از اکسپلویت Proxylogon Microsoft Exchange Server استفاده می کنند تا دستگاه های آسیب پذیر را با بات نت ارز دیجیتال به نام Prometei آلوده کنند !!!

Nova Security — Fri, 23 Apr 2021 21:15:32 +0430

با توجه به تحقیقات جدید، این بدافزار از اکسپلویت های اخیرا منتشر شده Microsoft Exchange مرتبط با حملات های HAFNIUM ، جهت نفوذ به شبکه برای دیپلوی بد افزار ها، برداشت credential و ... استفاده میکنند.اولین مستند توسط سیسکو Talos در ماه ژوئیه 2020 منتشر شد که نشان میداد Prometei یک بات نت ماژولار است، اپراتور های پشت حملات از طیف گسترده ای از ابزارهای خاص اختصاصی و اکسپلویت EternalBlue و BlueKeep برای برداشت اعتبار و حرکت جانبی در سراسر شبکه استفاده میکنند که نتیجه ی آن "افزایش دستیابی به سیستم ها و شرکت دادن آنها در استخر Monero-Mining" بود.بد افزار Prometei دارای هر دو نسخه مبتنی بر ویندوز مبتنی بر ویندوز و لینوکس-یونیکس است و در سراسر شبکه payload خود را بر اساس سیستم عامل شناسایی شده در دستگاه های آلوده پخش میکند.این بد افزار طوری ساخته شده است همزمان با چهار سرور مختلف (C2) تعامل دارد. اینکار زیرساخت های بات نت را تقویت می کند ، ارتباطات پیوسته با اپراتور و سرور را حفظ می کند و همچنین احتمال قطعی و از کار افتادن بدافزار ها را به حداقل میرساند . در ترتیب و مراحل حمله :دشمن از اکسپلویت آسیب پذیری Exchange CVE-2021-27065 و CVE-2021-26858 به عنوان یک بردار حمله ابتدایی استفاده میکند نصب وب شل China Chopper و دسترسی به شبکه با بکدور با استفاده از این دسترسی هکر ، PowerShell را اجرا کرده و payload اولیه Prometei را از یک remote server بارگیری میکند.نسخه های اخیر ماژول این بدافزار با قابلیت های Backdoor که از مجموعه گسترده ای از دستورات پشتیبانی می کنند منتشر شده است. از جمله ماژول های اضافی "Microsoft Exchange Defender"است که به عنوان محصول قانونی مایکروسافت مورد استفاده قرار می گیرد که هدفش از بین بردن سایر web shell ها و بد افزار های موجود است که خودش بتواند نهایت استفاده از سخت افزار را برای استخراج رمز ارز ها ببرد. بد افزار Prometei در بسیاری از سیستم های امور مالی، بیمه، خرده فروشی، تولید، خدمات آب و برق، مسافرت و ساخت و ساز، شبکه های ایالات متحده، انگلستان و چندین کشور در اروپا، آمریکای جنوبی و شرق آسیا مشاهده شده است ، در حالی که به صراحت از آلوده کردن اهداف در کشورهای عضو شوروی سابق خودداری میکند.برای دریافت مشاوره رایگان برای شرکت یا سازمان خود میتوانید با ایمیل Cert@NovaSecurity.net در ارتباط باشید.همچنین برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/NovaSecurity

نشت بزرگ روتینگ BGP که شب گذشته رخ داد ، اتصال هزاران شبکه و وب سایت اصلی در سراسر جهان را مختل کرد!

Nova Security — Sat, 17 Apr 2021 15:06:05 +0430

اگرچه نشت روتینگ BGP در شبکه مستقل Vodafone (AS55410) مستقر در هند رخ داده است ، اما طبق منابع ، شرکت های آمریکایی از جمله گوگل را هم تحت تأثیر قرار داد.توی این پست با نیما دباغی همراه میشیم تا اولا ببینیم اتفاق دیروز چی بوده و چجوری اتفاق افتاده بعدش یه تعریفی از اینکه BGP و فرق بین leak و Hijacking BGP چیه داشته باشیمدیروز ، BGPMon سیسکو در سیستم مسیریابی اینترنتی اختلافاتاتی را نشان داد که به طور بالقوه نشان دهنده ی فعالیت های هایجک BGP بود و این نشت BGP باعث افزایش 13 برابری هدایت اشتباه ترافیک ها شد:"پیشوند (Prefix) 24.152.117.0/24 ، به طور معمول توسط AS270497 RUTE MARIA DA CUNHA، BR اعلام می شود."در BGPMon نشان داده شده : " ابتدای 2021-04-16 | 15:07:01 ، همان prefix (24.152.117.0/24) نیز توسط ASN 55410 اعلام شد."داگ مادوری ، مدیر آنالیز اینترنت در Kentik ، این یافته ها را تأیید کرد و اظهار داشت که سیستم مستقل ASN 55410 شاهد افزایش 13 برابری ترافیک ورودی به سمت آن است.این امر در نتیجه advertise اشتباه شبکه ای رخ داده است نشان میداد بیش از 30،000 prefix یا مسیر BGP را پشتیبانی می کند ، در حالی که این کار را نمی کرد ، و باعث شد اینترنت ، این شبکه را با ترافیکی که قصد عبور از آن را ندارد ، پر کند.سیستم خودمختار گفته شده (AS55410) متعلق به Vodafone India Limited است.نشت BGP ، BGP و BGP هایجک چیست؟پروتکل Border Gateway همان چیزی است که اینترنت امروزی که در حال استفاده از آن هستید را ساخته است.دقیقا شبیه به یک سیستم پستی برای اینترنت است یعنی زمانی که ترافیک اینترنت از یک شبکه مستقل (مثلا کشوری) به یک شبکه مستقل دیگر میخواهد برود این پروتکل انرا انجام میدهد.اینترنت شبکه ای از شبکه ها است و به عنوان مثال ، یک کاربر مستقر در یک کشور می خواهد به وب سایت مستقر در کشور دیگر دسترسی پیدا کند ، باید سیستمی در نظر گرفته شود که بداند هنگام هدایت کاربر از طریق چندین سیستم شبکه ، چه مسیری را طی کند. . شبیه نامه ای است که از طریق چندین شعبه پستی بین مبدا و مقصد آن ، ترانزیت می شود.و این هدف BGP است: هدایت صحیح ترافیک اینترنت از طریق مسیرها و سیستم های مختلف بین مبدا و مقصد برای ایجاد عملکرد اینترنت.اما ، BGP آسیب پذیر است و هرگونه اختلال یا ناهنجاری حتی در چند سیستم واسطه می تواند تأثیر بسیاری به بعضی جاها داشته باشد.برای کارکرد اینترنت ، دستگاه های مختلف (سیستم های خودمختار) پیشوندهای IP مورد مدیریت خود و ترافیکی را که قادر به مسیریابی هستند اعلام (advertise) می کنند. با این حال ، این سیستم تا حد زیادی یک اعتماد مبتنی بر این تصور است که هر دستگاهی حقیقت را می گوید.با توجه به ماهیت گسترده اینترنت ، سخت است که صداقت را در هر دستگاهی که در شبکه وجود دارد اعمال کنید.ربودن مسیر BGP زمانی اتفاق می افتد که موجودی مخرب موفق به "advertise" برای روترهای دیگر شود که یعنی مثلا ترافیکی که میخواد سمت گوگل بره ، به سمت اپل تغییر پیدا میکنه.این سردرگمی مسیر مشکلات زیادی را در اینترنت ایجاد می کند و منجر به تاخیر ، ازدحام ترافیک یا قطع کامل می شود.اما ، نشت مسیر BGP مشابه هایجک روتینگ BGP است ، اما مورد اخیر به طور خاص به مواردی از فعالیت های مخرب اشاره دارد در حالی که نشت مسیر ممکن است تصادفی باشد.در هر دو حالت نشت مسیر BGP یا هایجک BGP ، یک سیستم خودمختار (AS) اعلام می کند که می داند "چگونه" یا "کجا" ترافیکی را که برای مقاصد خاص (ASes) تعیین شده است ، هدایت کند اما در واقع چیزی نمیدونه :)))این می تواند منجر به این شود که کاربر از یک مسیر اینترنتی استفاده کند که عملکردی بهینه از خود نشان نمی دهد یا باعث ایجاد اختلال در آن می شود و به طور بالقوه می تواند برای شنود یا فعالیت های تجزیه و تحلیل ترافیک ، در مواردی از Hijacking استفاده شود.به عنوان مثال ، در سال گذشته گزارش شد ، قطع جهانی IBM به دلیل پیکربندی غلط مسیریابی BGP اتفاق افتاده است.برای دریافت مشاوره رایگان برای شرکت یا سازمان خود میتوانید با ایمیل Cert@NovaSecurity.net در ارتباط باشید.همچنین برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/NovaSecurity

بیش از ۱۰۰ میلیون دستگاه در معرض حمله با آسیب پذیری حیاتی DNS در NAME: WRECK !!!

Nova Security — Tue, 13 Apr 2021 15:20:17 +0430

محققان امنیتی امروز 9 آسیب پذیری موثر بر اجرای پروتکل DNS را در پشته های ارتباطی شبکه محبوب TCP / IP که حداقل در 100 میلیون دستگاه در حال اجرا هستند ، منتشر کردند!در کل در اجراع هایی با عنوان NAME: WRECK ، می توان از این آسیب پذیری ها استفاده کرد تا دیوایس های آسیب پذیر را به حالت offline درآورد یا دسترسی کامل به انها گرفت.این آسیب پذیری ها در پشته های گسترده TCP / IP وجود دارد که روی طیف گسترده ای از محصولات از سرورها و تجهیزات شبکه با عملکرد بالا گرفته تا سیستم های فناوری عملیاتی (OT) که تجهیزات صنعتی را کنترل و کنترل می کنند ، اجرا می شوند.۴ نقص اساسی موجود در پشته TCP / IP :کشف NAME: WRECK تلاش مشترک شرکت امنیتی Enterprise of Things Forescout و گروه تحقیقاتی امنیتی مستقر در اسرائیل JSOF است و اجرای DNS در پشته های TCP / IP زیر تأثیر می گذارد:یک ؛ FreeBSD (نسخه آسیب پذیر: 12.1) - یکی از محبوب ترین سیستم عامل ها در خانواده BSDدو ؛ IPnet (نسخه آسیب پذیر: VxWorks 6.6) - در ابتدا توسط Interpeak توسعه داده شد ، اکنون تحت WindRiver است.سه ؛ NetX (نسخه آسیب پذیر: 6.0.1) - بخشی از ThreadX RTOS ، اکنون یک پروژه منبع باز است که توسط Microsoft تحت عنوان Azure RTOS NetX نگهداری می شود. و آخرین در این لیست ؛ Nucleus NET (نسخه آسیب پذیر: 4.3) - بخشی از Nucleus RTOS که توسط Mentor Graphics ، یک تجارت زیمنس نگهداری می شود ، در دستگاه های پزشکی ، صنعتی ، مصرفی ، هوا فضا و اینترنت اشیا استفاده می شودبه گفته Forescout ، در سناریوهای فرضی اما قابل قبول ، مهاجمان می توانندبا exploit آسیب پذیری های NAME: WRECK ، خسارت قابل توجهی به سرورهای دولتی یا شرکتی ، مراکز بهداشتی ، خرده فروشان وارد کنند یا داده های حساس شرکت های فعال در صنعت تولید به سرقت ببرند.مهاجمان همچنین می توانند عملکردهای حیاتی ساختمان را در مکان های مسکونی یا تجاری برای کنترل گرمایش و تهویه ، غیرفعال کردن سیستم های امنیتی یا دستکاری در سیستم های روشنایی خودکار ؛ دستکاری کنند.محققان در حال تحلیل اجرای DNS در پشته های TCP / IP فوق الذکر ، ویژگی پروتکل [فشرده سازی پیام] را بررسی کردند.غیر معمول نیست که پکت های پاسخ DNS بیش از یک بار یک نام دامنه یا بخشی از آن را در خود داشته باشند ، بنابراین یک مکانیسم فشرده سازی برای کاهش اندازه پیام های DNS وجود دارد. تنها resolver های DNS از این انکود بهره مند نمی شوند ، بلکه در advertisement روترهای IPv6 و DNS (mDNS) مولتی کست و سرویس گیرندگان DHCP وجود دارد. امروز در گزارشی Forescout توضیح داد که این ویژگی در بسیاری ساز و کار ها ها نیز وجود دارد ،گرچه برخی از پروتکل ها به طور رسمی از فشرده سازی پشتیبانی نمی کنند.لازم به ذکر است که از همه NAME: WRECK نمی توان این اکپسلویت را برای دستیابی به همان نتایج استفاده کرد. خطرناکترین حالت در آنها اجرای کد از راه دور است درجه 9.8 از 10 را دارد.در زیر خلاصه ای از نه آسیب پذیری ، کد شناسایی و درجه شدت آنها آورده شده است.همانطور که در جدول بالا مشاهده می شود ، همه آسیب پذیری ها به فشرده سازی پیام مربوط نمی شوند. این استثناها نتایج جانبی تحقیق هستند و می توانند برای تقویت اثرات حمله با زنجیرهای دیگر مورد استفاده قرار گیرند.استثنا دیگر CVE-2016-20009 است. این اشکال که ابتدا توسط Exodus Intelligence در سال 2016 کشف شد ، شماره پیگیری دریافت نکرد. اگرچه این محصول دیگر پشتیبانی نمی شود (پایان عمر) ، اما امروزه همچنان از آن استفاده می شود.شرکت Forescout از Wind River خواست تا درخواست CVE بدهد اما این شرکت ماه ها هیچ اقدامی انجام نداد. به همین ترتیب ، این شرکت همان مورد را از Exodus Intelligence درخواست کرد و این نقص در ژانویه 2021 شناسه دریافت کرد.اکسپلویت یک آسیب پذیری ممکن است چیز زیادی نباشد اما با ترکیب آنها می تواند اثر ویرانگر غیر قابل جبرانی ایجاد کند.به عنوان مثال ، آنها می توانند از یک نقص استفاده کنند تا بتوانند داده های دلخواه را در مکان های حافظه حساس یک دستگاه آسیب پذیر بنویسند ، دیگری برای تزریق کد در یک بسته و مورد سوم برای رساندن آن به تارگت.گزارشی از Forescout به جزئیات فنی در مورد چگونگی اکسپلویت که منجر به حمله موفقیت آمیز RCE با استفاده از چندین آسیب پذیری NAME:WREC و همچنین اشکالات مجموعه AMNESIA: 33 ، که شرکت در پشته های اوپن سورس TCP/IP کشف کرده است ، اشاره میکند.علت آسیب پذیری های NAME: WRECK : عدم اعتبار سنجی TXID ، TXID ناکافی تصادفی و پورت UDP منبع عدم اعتبار شخصیت نام دامنه عدم اعتبار سنجی طول و برچسب ها عدم اعتبار سنجی NULLعدم اعتبار سنجی زمینه های شمارش رکورد عدم وجود نشانگر فشرده سازی نام دامنه و اعتبار سنجی در حال حاضر فروشندگان دستگاه هستند که می توانند اصلاحاتی را روی محصولاتی که هنوز هم می توانند به روز شوند اعمال کنند. اگرچه بعید است که این روند 100٪ موفقیت داشته باشد ، زیرا موانع زیادی در این راه وجود دارد.اول از همه ، اپراتورها باید پشته TCP / IP را که در دستگاه های آسیب دیده اجرا می شود ، پیدا کنند. این همیشه کار ساده ای نیست زیرا بعضی اوقات حتی فروشنده دستگاه سواد چندانی ندارد :)برای دریافت مشاوره رایگان برای شرکت یا سازمان خود میتوانید با ایمیل Cert@NovaSecurity.net در ارتباط باشید.همچنین برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/NovaSecurity

مردی که قصد از بین بردن ۷۰٪ اینترنت را با حمله از AWS داشت توسط FBI دستگیر شد!

Nova Security — Mon, 12 Apr 2021 23:43:24 +0430

اف بی آی ؛ روز پنجشنبه یک مرد تگزاسی را به اتهام برنامه ریزی برای "نابودی حدود 70٪ از اینترنت" در طی یک bomb attack به دیتاسنتر AWS ، واقع در جاده Smith Smith در Ashburn ویرجینیا ، دستگیر کرد.ست آرون پندلی ، 28 ساله ، صبح جمعه در طی یک شکایت کیفری به جرم تلاش برای تخریب ساختمانی با استفاده از C-4 که قصد داشت از یک کارمند مخفی اف بی آی خریداری کند ، متهم شد.گروه های FBI در ماه ژانویه هنگامی از برنامه های مظنون مطلع شد که وی نقشه خود را در وب سایت MyMilitia با استفاده از "Dionysus" ، یک forum که توسط اعضای و طرفداران شبه نظامیان برای سازماندهی و برقراری ارتباط استفاده می شود ، فاش کرد.عوامل FBI در اواخر ژانویه از منبع دیگری اطلاع یافتند که Pendley با استفاده از برنامه پیام رمزگذاری شده سیگنال تماسی گرفت که محتوای آن نشان دهنده این بود که وی قصد دارد با استفاده از مواد منفجره C-4 برای حمله به دیتاسنتر آمازون برای "از بین بردن حدود 70٪ از اینترنت" اقدام کند.در ماه فوریه ، پندلی نقشه ای دست ساز از دیتاسنتر AWS مستقر در ویرجینیا را با منبعی به اشتراک گذاشت شامل مسیرهای مطرح برای ورود و خروج آسان به آن مرکز بودهمین منبع در پایان ماه مارس مظنون را به یكی از كارمندان مخفی اف بی آی معرفی كرد كه خود را به عنوان تهیه كننده مواد منفجره معرفی كرده بود.پندلی به "تامین کننده" گفت که قصد بمب گذاری در سرورهایی را دارد که به اعتقاد او FBI ، CIA و دیگر آژانس های فدرال ایالات متحده از آنها استفاده می کردند. توطئه وی همچنین سرنگونی "oligarchy" بود که در حال حاضر لیدری ایالات متحده در دستان آنهاست.وی در تاریخ 8 آوریل با کارمند مخفی اف بی آی ملاقات کرد تا آنچه را که به عقیده او مواد منفجره است بدست آورد. در عوض ، او دستگاه های تقبلی و بی اثر دریافت کرد. مظنون پس از قرار دادن آنها در اتومبیل خود ، در حال آماده سازی برای انفجار ، توسط مأموران FBI دستگیر شد.برای دریافت مشاوره رایگان برای شرکت یا سازمان خود میتوانید با ایمیل Cert@NovaSecurity.net در ارتباط باشید.همچنین برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/NovaSecurity

ترفند اپراتور های باج افزارها ؛ تهدید مشتریان یک کمپانی بجای تهدید خود شرکت!

Nova Security — Sat, 10 Apr 2021 16:07:37 +0430

شرکت Krebs on Security گزارش می دهد که اگر پرداخت هزینه باج یک شرکت طولانی شود ، باندهای باج افزار به مشتریان آن شرکت ایمیل میفرستند که این مشتریان وحشت زده کرده و آنها نیز شرکت را برای پرداخت هزینه تحت فشار قرار دهند.باندهای باج افزاری در حال حاضر سیاست بسیار ساده ای را دنبال میکنند. آنها سرور یک شرکت را هک می کنند ، تمام داده های را رمزگذاری می کنند ، تقاضای پرداخت می کنند و منتظر می مانند. اما اگر قربانی با پرداخت باج موافقت نکند چه می شود؟ همانطور که Krebs on Security گزارش می دهد ، برخی از این باندها متوجه شده اند که می توانند از طریق ایمیل به مشتریان و شرکای شرکت هایی که دچار Ransomware شده اند ، کمپانی را مجبور به پرداخت باج کنند. یکی از این ایمیل ها توسط مشتری RaceTrac Petroleum مستقر در آتلانتا برای Krebs ارسال شده است که اخیراً از طریق شرکت Incellion Inc ، یکی از ارائه دهندگان خدمات شخص ثالث ، خود دچار "حادثه امنیتی" شده است.در این ایمیل آمده است: "روز بخیر! اگر این نامه را دریافت کردید ، مشتری ، خریدار ، شریک یا کارمند شرکت قربانی هستید. این شرکت هک شده است ، داده ها به سرقت رفته و به دلیل امتناع شرکت از محافظت ، به زودی دیتا ها منتشر خواهند شد. در صورت عدم تماس این شرکت با ما ، اطلاعات مربوط به شما در darknet منتشر خواهد شد.اگر دیتاهایتان برایتان مهم است با این شرکت تماس بگیرید یا از او بخواهید از حریم خصوصی شما محافظت کند!"تصور کنید شرکتی هستید که سعی می کنید درمورد پرداخت باج تصمیم گیری کند و سپس مشتریان شما با وحشت شروع به تماس می کنند و می خواهند از ماجرا مطلع شوند و خواستار اطمینان از جزئیات هستند. مطمئناً چند قربانی ، شرکت وادار به پرداخت هزینه می کند تا کل قضیه به سرعت خاتمه یابد ، این دقیقاً همان چیزی است که این باندها می خواهند.همچنین باندهای باج افزار از قربانیان خود می خواهند دو باج متفاوت بپردازند. پرداخت اول داده های رمزگذاری شده را آنلاک می کند و پرداخت دوم تضمین می کند که داده های سرقت شده به صورت عمومی منتشر یا فروخته نمی شوند. اما حتی اگر هر دو طلب باج پرداخت شود ، به هیچ وجه تضمینی برای به اشتراک گذاشته شدن داده های مسروقه وجود نخواهد داشت. تنها راه جلوگیری و شناسایی به موقع است. اگر Policy های امنیتی را به درست در شرکت یا سازمان خود پیاد کنید میتوانید مقابل بسیاری از این حملات در امان باشید! برای دریافت مشاوره رایگان برای شرکت یا سازمان خود میتوانید با ایمیل Cert@NovaSecurity.net در ارتباط باشید.همچنین برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/NovaSecurity

هک شدن دیتابیس کاربران سایت Php در جریان حمله ایجاد Backdoor در سورس کد php !!!

Nova Security — Thu, 08 Apr 2021 20:39:43 +0430

مدیران زبان برنامه نویسی PHP در مورد حادثه امنیتی که اواخر ماه گذشته اتفاق افتاد ،اظهار کردند که مهاجمین ممکن است برای ایجاد تغییرات غیرمجاز در repository ، به دیتابیس کاربران در master.php.net نفوذ کرده و رمز عبور آنها را بدست آورده باشند.نیکیتا پوپوف در پیامی که در 6 آوریل ارسال کرد ، گفت: "ما دیگر باور نداریم که به سرور git.php.net نفوذی انجام گرفته باشد. با این حال ، احتمال لو رفتن دیتای پایگاه داده کاربران master.php.net وجود دارد."در تاریخ 28 مارس ، افراد ناشناسی از نام Rasmus Lerdorf و Popov استفاده کردند تا Commit های مخرب را که شامل اضافه کردن یک Backdoor به کد منبع PHP بود ، به مخزن "php-src" میزبانی شده در سرور git.php.net اضافه کنند.در حالی که این واقعه در ابتدا به عنوان خطری برای سرور git.php.net تلقی می شد ، تحقیقات بیشتر در مورد این حادثه نشان داد که این Commit ها در نتیجه push آنها با استفاده از HTTPS و احراز هویت مبتنی بر رمز عبور بود ، و این احتمال نشت دیتا پایگاه داده کاربران master.php.net قوت داد.پوپوف گفت: "git.php.net از push تغییرات نه تنها از طریق SSH (با استفاده از زیرساخت Gitolite و رمزنگاری کلید عمومی) ، بلکه از طریق HTTPS هم پشتیبانی می کند." "مورد اخیر هم از Gitolite استفاده نکرد و در عوض از git-http-backend و احزار هویت Apache 2 Digest برای پایگاه داده کاربر master.php.net استفاده کرد.""قابل توجه است که مهاجم فقط چند نام کاربری را حدس می زند و پس از یافتن نام کاربری صحیح ، با موفقیت احراز هویت می شود. گرچه ما هیچ مدرک خاصی برای این موضوع نداریم ، اما توضیح احتمالی این است که پایگاه داده کاربری master.php .net به بیرون درز کرده است ، اگرچه مشخص نیست که چرا مهاجم باید در این حالت نام کاربری را حدس بزند. بعلاوه ، گفته می شود که سیستم احراز هویت master.php.net در یک سیستم عامل بسیار قدیمی و نسخه ای از PHP وجود دارد و این احتمال را می دهد که مهاجمان از یک آسیب پذیری در نرم افزار برای اجرای حمله استفاده کرده باشند.در نتیجه هم مدیران علاوه بر تنظیم مجدد کلمه های عبور موجود و نوع رمزنگاری رمزهای عبور برای ذخیره با استفاده از bcrypt به جای هش MD5 ساده تغییر دادند همچنین master.php.net را به یک سیستم main.php.net با پشتیبانی از TLS 1.2 منتقل کردند.برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/NovaSecurity

انتشار POC جدید برای آسیب پذیری Microsoft Exchange که حمله و دسترسی را برای Script Kiddies بسیار آسان میکند !!!

Nova Security — Mon, 15 Mar 2021 11:50:16 +0330

یک محقق امنیتی در این آخر هفته POC جدیدی از اکسپلویت برای نصب وب شل بر روی سرورهای Microsoft Exchange آسیب پذیر در برابر آسیب پذیری های ProxyLogon که به طور فعال مورد سو استفاده قرار می گیرند منتشر کرد.از آنجایی که مایکروسافت آسیب پذیری های امنیتی Microsoft Exchange که با نام ProxyLogon شناخته می شود منتشر کرده ، مدیران و محققان امنیتی در تلاشند تا از سرورهای آسیب پذیر در اینترنت محافظت کنند.از این حملات برای قرار دادن وب شل ، ماینر ها و اخیراً باج افزار DearCry در سرورهای مورد اکسپلویت استفاده می شود.در اوایل این هفته ، یک محقق امنیتی به نام نگوین جانگ یک پست وبلاگی منتشر کرد که در آن جزئیات اکسپلویت (POC) برای آسیب پذیری Microsoft Exchange ProxyLogon ارائه شده است. جانگ همچنین یک اکسپلویت که کار نمیکرد در GitHub به اشتراک گذاشت که برای درست کار کردن به برخی از اصلاحات نیاز داشت.جانگ به منابع خبری گفت: "اولاً ، PoC من دادم نمی تواند به درستی اجرا شود. با بسیاری از خطاها خراب می شود. با این وجود ، PoC اطلاعات كافی را در اختیار شما قرار می داد كه محققان امنیتی و مهاجمان می توانند از آن برای توسعه یك اکسپلویت functional برای اجرای كد از راه دور در سرورهای Microsoft Exchange استفاده كنند.بلافاصله پس از انتشار PoC ، جانگ ایمیلی از طرف GitHub متعلق به مایکروسافت دریافت کرد مبنی بر اینکه PoC به دلیل نقض خط مشی ها ، در حال حذف است.هم اکنون حملات به آسانی قابل انجام است :ویل دورمن ، تحلیلگر آسیب پذیری در CERT / CC ، این آسیب پذیری را بر روی سرور مایکروسافت آزمایش کرد و به منابع خبری گفت که با تغییر بسیار جزئی این اکسپلویت به خوبی کار می کند.همانطور که از تصویر زیر مشاهده می کنید ، دورمن با استفاده از یک اکسپلویت در برابر یک سرور Microsoft Exchange از راه دور یک شل گرفته و دستور 'whoami' را اجرا کرده است.Exploiting a Microsoft Exchange serverانتقال وب شل test11.aspx بر روی سرور مورد نظر!استیونز تحلیلگر ارشد NVISO و SANS ISC مدیر ارشد ، گفت که او PoC جدید را در برابر Exchange 2016 بدون وصله بدون هیچ گونه به روزرسانی تجمعی آزمایش کرده است. هنوز هم ، PoC بدون تغییر برخی از تنظیمات Active Directory کار نمی کند.با این حال ، استیونز گفت که اطلاعات جدیدی که در آخر هفته در PoC منتشر شد ، وی را قادر می سازد تا با PoC که Jang منتشر کرده بود اجرای کد از راه دور را بر سرور Microsoft Exchange خود با موفقیت به انجام برساند.با در دسترس قرار گرفتن اکسپلویت آسیب پذیری های Microsoft Exchange ، مهمتر از هر زمان دیگری است که مدیران سرورهای خود را وصله کنند. طبق تحقیقات Palo Alto Networks ، تقریباً 80،000 سرور آسیب پذیر Microsoft Exchange در اینترنت وجود دارد. پالو آلتو گفته: "بر اساس اسکن های اینترنتی Expanse که در 8 و 11 مارس انجام شده است ، تعداد سرورهای آسیب پذیر که از نسخه های قدیمی Exchange استفاده می کنند و نمی توانند وصله های امنیتی اخیراً منتشر شده را مستقیماً اعمال کنند ، بیش از 30٪ از 125،000 به 80،000 کاهش یافت."بر اساس دورسنجی از RiskIQ ، در تاریخ 1 مارس شاهد وجود كل جهان تقریباً 400000 سرور Exchange بودیم. تا 9 مارس كمی بیش از 100000 سرور هنوز آسیب پذیر بودند. این تعداد به طور مداوم در حال كاهش است و فقط حدود 82،000 مورد دیگر به روز می شوند. "بسیاری از این سرورها برای نسخه های قدیمی تر هستند که به روزرسانی امنیتی در دسترس ندارند.روز پنجشنبه ، مایکروسافت به روزرسانی های امنیتی اضافی را برای نسخه های قدیمی Microsoft Exchange منتشر کرد که اکنون 95٪ از سرورهای موجود در اینترنت را پوشش می دهد.نویسنده : نیما دباغیبرای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

آسیب پذیری 0day RCE در F5 !!! هرچه سریعتر به پچ کردن آن اقدام کنید!!!

Nova Security — Thu, 11 Mar 2021 13:08:24 +0330

شرکت امنیت برنامه F5 Networks روز چهارشنبه هشداری درباره چهار آسیب پذیری حیاتی را که چندین محصول را تحت تأثیر قرار می دهد و ممکن است منجر به عدم پذیرش سرویس (DoS) و حتی اجرای کد غیرمجاز از راه دور در شبکه های هدف شود ، منتشر کرد.این پچ ها در مجموع مربوط به هفت آسیب پذیری مربوط به آن است (از CVE-2021-22986 تا CVE-2021-22992) ، دو مورد از آنها توسط فلیکس ویلهلم از Google Project Zero در دسامبر 2020 کشف و گزارش شد.چهار باگ مهم بر نسخه های BIG-IP 11.6 یا 12.x و جدیدتر که با اجرای کد پیش از تأیید از راه دور (CVE-2021-22986) همچنین نسخه های 6.x و 7.x BIG-IQ را تحت تأثیر قرار می دهد. F5 اظهار داشت که از هیچ گونه اکسپلویت عمومی از این باگ اطلاع ندارد.اکسپلویت موفقیت آمیز از این آسیب پذیری ها می تواند منجر به دسترسی کامل سیستم های آسیب پذیر شود ، از جمله امکان اجرای کد از راه دور و همچنین ایجاد سرریز بافر که منجر به حمله DoS میشود.BIG-IP versions: 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, and 11.6.5.3BIG-IQ versions: 8.0.0, 7.1.0.3, and 7.0.0.2علاوه بر این آسیب پذیری ها ،پچ های منتشر شده در شب چهارشنبه همچنین شامل رفع 14 مورد امنیتی غیرمرتبط دیگر نیز می باشد.آخرین به روزرسانی نرم افزار BIG-IP کمتر از یک سال پس از آنکه این شرکت در اوایل ژوئیه سال 2020 با یک نقص مهم مشابه (CVE-2020-5902) مواجه شد ، همراه بود که چندین گروه هک با استفاده از این باگ برای هدف قرار دادن دستگاه های غیرقابل نصب ، امنیت سایبری ایالات متحده را به دنبال داشت. آژانس امنیت زیرساخت (CISA) هشداری فوق العاده در قالب این متن "فعالیت گسترده اسکن برای یافتن این آسیب پذیری در سراسر ادارات و سازمان های فدرال". اعلام کرده است! "این باگ احتمالاً قابل رصد نخواهد بود ، اما این بحث بسیار بسیار بزرگتر از آن است که به نظر می رسد زیرا نشان دهنده آن است که در روند امنیت داخلی دستگاههای F5 BIG-IP واقعا چیزی از بیخ دچار مشکل است."برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

هکرها از SEO بلک هت برای انتشار باج افزار ، تروجان ها از طریق Google ، استفاده می کنند!!

Nova Security — Sat, 06 Mar 2021 17:15:27 +0330

سیستم اطلاعات Gootkit به یک فریمورک پیچیده و مخفی تبدیل شده است که به آن Gootloader می گویند و الان سعی می کند نتایج گوگل را تغییر داده ، بدافزار های مختلفی رو با استفاده از سایت های وردپرسی هک شده و black SEO در صفحات اول نشان بدهند تا به محض ورود به سایت ها دستگاه ها آلوده شوند.این Gootloader علاوه بر افزایش میزان پیلود ها ، توزیع آنها را در صدها سرور هک از چندین منطقه دنیا که همیشه فعال هستند ، مشاهده کرده است.در این مقاله با نیما دباغی همراه خواهیم شد تا روش و متد حملات جدید بد افزاری که با استفاده از سئو گوگل در حال پخش و انجام هستن رو بررسی کنیمانجمن های جعلی اغازگر این اقدامات هستند!کمپین های بدافزار متکی به سازوکار Gootloader ، سال گذشته مشاهده شده است که باج افزار REVil را به طور گسترده ای در آلمان پخش و قربانیان زیادی گرفته است. این فعالیت شروع مجدد عملیات Gootkit را نشان داد که پس از یک وقفه طولانی بعد از نشت داده ها در اواخر سال 2019 ، انجام شد.مهاجمان با تشکیل یک شبکه گسترده از سایت های هک شده وردپرس و استفاده از SEO poisoning برای نمایش در فرم های Google با لینک های مخرب و حاوی بد افزار، مجدداً این جریان را شروع کردند.پیام جعلی در قالب یک بورد که فقط برای بازدیدکنندگان ازهر منطقه ی جغرافیای خاص سفارش سازی میشود و "بحثی" را به آنها ارائه می دهد که گفته می شود در میان بحث کاربران نیازمند پاسخ از سمت مدیرسایت هستند و مدیر سایت هم در آن پاسخ برای قربانیان لینک آلوده بد افزار را میفرستند.بروزرسانی [2 مارس 2021]: مایکروسافت امروز روش آلودگی Gootloader را تأیید کرد و گفت که حملات بی شماری را مشاهده می کند ، بیشتر آنها آلمان را هدف قرار می دهد.گزارشی امروز از شرکت امنیت سایبری Sophos برآورد می کند که Gootloader در هر لحظه حدود 400 سرور فعال را کنترل می کند که هاستینگ وب سایت های هک شده و قانونی هستند.در نمونه ای از یک سایت هک شده که بخشی از فریم ورک Gootloader است ، به نظر می رسد فرم جعلی برای یک جستجوی خاص مربوط به معاملات املاک و مستغلات ارائه می دهد.تشریح روند حملات:پارت اول :با این حال ،همه پست های انجمن در تمامی مناطقی که گفته شده فارغ از زبان آنها یکسان به نظر می رسند تیجه در سایتی برای یک روند پزشکی برای نوزادان است که هیچ چیز مشترکی با موضوع جستجو شده ندارد ، "با این حال این اولین نتیجه ای است که در یک پرسش در مورد نوع بسیار محدود تعریف شده از قرارداد املاک و مستغلات ظاهر می شود."به غیر از payload های معمول ، Gootkit و باج افزار REvil ، همچنین Gootloader برای فرستادن Trojan Kronos وCobalt Strike threat emulation toolkit Cobalt Strike رصد شده است.به گفته Sophos ، کمپین های Gootloader بازدیدکنندگان از آلمان ، ایالات متحده و کره جنوبی را هدف قرار می دهند.با کلیک بر روی لینک ، بازدید کننده به یک فایل ZIP از یک فایل JavaScript که به عنوان آلوده کننده اولیه عمل می کند ، هدایت می شود. Sophos خاطرنشان می کند که این تنها مرحله ای است که یک فایل مخرب بر روی دیسک رایت میشود و سایر بدافزارها در حافظه سیستم مستقر می شوند ، بنابراین با ابزارهای امنیتی سنتی نمی توان آن را تشخیص داد.پیلود اولیه جاوا اسکریپت برای جلوگیری از شناسایی با راه حل های سنتی آنتی ویروس ها ، دو بار obfuscate می شود. همچنین شامل دو لایه رمزگذاری برای رشته ها و حباب های بین داده ای (data blobs) میباشد.اگر انتقال به مرحله دوم موفقیت آمیز باشد و کد مخرب اجرا شود، سرور دستور و کنترل (C2) Gootloader رشته ای از مقادیر عددی را از کاراکتر های ASCII ، در حافظه سیستم دانلود می کند.این مرحله شامل یک حباب داده ای بزرگ است که ابتدا مقدار عددی آن به یک متن رمزگشایی می شود ، سپس مستقیماً در یک سری از کلیدها در رجیستری ویندوز در زیر شاخه HKCU \ Software hive نوشته و ذخیره میشودپارت دوم :در مرحله بعدی ، یک ورودی خودکار برای یک اسکریپت PowerShell ایجاد می شود تا در هر راه اندازی مجدد سیستم ، load شود. هدف آن رمزگشایی از مطالبی است که قبلاً در کلیدهای رجیستری نوشته شده است و در نهایت با دانلود پیلود نهایی که می تواند Gootkit ، REvil ، Kronos یا Cobalt Strike باشد ، پایان می یابد.شرکت Sophos می گوید که آخرین نمونه های Gootloader از رجیستری برای ذخیره دو payload استفاده می کنند ،ابتدا یک C # قابل اجرا کوچک که وظیفه استخراج دومین پیلود اجرایی از داده های ذخیره شده در رجیستری ویندوز را دارد.بخش دوم قابل اجرا ، پیلود نهایی Gootloaders است ، یک تزریق کننده (injector) dotNET واسطه که یک بدافزار مبتنی بر Delphi را با استفاده از تکنیک hollowing فرآیند مستقر می کند. فرآیند hollowing تکنیکی است که توسط برخی از بدافزارها به کار می رود. این فرایند به مانند یک container عمل میکند و کد مخرب تحت یک پروسه تایید شده در سیستم اجرا میشود.در هنگام راه اندازی ، کد مجاز از جای خود خارج شده و کد مخربی جای آن را می گیرد. مزیت این پروسه این است که به روند obfuscate کمک میکند تا در میان فرآیندهای نرمال در حال اجرا به خوبی پنهان شود. حداقل دو برنامه قانونی و تایید شده را که برای این فرآیند استفاده شده ، رصد شده است : ImagingDevices.exe که در ویندوز موجود است و Embarcadero External Translation Manager.پارت سوم :این بدافزار دلفی آخرین حلقه در زنجیره آلودگی توسط بد افزار هاست زیرا شامل یک نسخه رمزگذاری شده از REvil ، Gootkit ، Cobalt Strike یا Kronos است بعد پیلود را رمزگشایی و آن را در حافظه اجرا می کند.همه این پیچ و خم ها در هر مرحله از حمله ، مدتی را برای حمله به مهاجم می خرند زیرا تحلیلگران بدافزار باید زمان زیادی را برای درک هر مرحله از زنجیره ی آلودگی صرف کنند.علاوه بر این ، Sophos می گوید که چندین روش مختلف برای قرارگیری بد افزار روی سیستم ها وجود دارد که شامل اسکریپت های PowerShell اضافی ، ماژول های Cobalt Strike یا برنامه های اجرایی تزریق کد هستند.محققان می گویند که استفاده از مسدود کننده های اسکریپت می تواند کاربران را از این تهدید دور نگه دارد زیرا می تواند از جایگزینی صفحه هک شده جلوگیری کند. با این حال ، این راه حل در بین تعداد کمی از کاربران رایج است و هنوز تعداد زیادی از قربانیان بالقوه باقی مانده است.گروه تحقیقاتی Sophos یک تحلیل فنی از زنجیره آلودگی و حملات Gootloader منتشر کرده و شاخص های خطر و Yara rule را برای فایل مخرب JavaScript خود در صفحه GitHub در دسترس عموم قرار داده است.نویسنده : نیما دباغی ، محقق امنیت سایبری در Hakin9 و کارشناس باج افزاربرای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

بررسی آپدیت جدید kali linux در نسخه 2020.1

Nova Security — Sat, 27 Feb 2021 23:41:23 +0330

اولین نسخه Kali Linux در سال با Kali Linux 2021.1. این نسخه ویژگی های موجود را بهبود می بخشد ، و اگر که لینوکس کالی را نصب داشته باشید هم اکنون نسخه جدید آماده بارگیری یا upgrade است.خلاصه تغییرات از زمان انتشار نسخه 2020.4 از نوامبر 2020 به شرح زیر است: دسکتاپ Xfce 4.16 :محیط دسک تاپ فعلی پیش فرض به روز شده و اصلاحتی بر روی آن انجام شده و یکی ویژگی های آن روان بودن استفاده از آن است. دسکتاپ محبوب KDE 5.20 : پلاسما نیز نسخه bump را بروی خود دریافت خواهد کرد. ترمینال ها :ترمینال های مانند : mate-terminal ، terminator و tilix همه کارهای مختلفی روی آنها انجام شده است که استفاده همزمان در کنار هم و تبدیل یک ترمینال به چندین ترمینال را به ارمغان می آورد.و اما بهترین ویژگی که در این آپدیت اضافه شده ابزار کمکی Command Not Found است که اگر یک پکیج را نصب نداشته باشید تا دستور آنرا اشتباهی وارد کنید که شما کمک نحوه درست استفاده از آن و نصبش نشان خواهد داد. مشارکت با نویسندگان ابزار ها - BC Security و Joohoi از تولیدکنندگان ابزار های مطرح هستند و کالی تصمیم به حمایت از آنان گرفته در نتیجه نسخه جدیدی از ابزار هایشان ابتدا در کالی منتش شده و سپس به صورت رایگان در اختیار همه قرار خواهد گرفت در Kali NetHunter چه خبر ؟-> اضافه شدن نسخه جدید BusyBox و Rucky و انیمیشن بوتهمچنین در Kali ARM پشتیبانی اولیه از Parallels on Apple Silicon (Apple M1) و Raspberry Pi 400 (پشتیبانی از WiFi) افزوده شده.Xfce & KDE Updates:نحوه استفاده و کار با کالی کاملاً به خود شما بستگی دارد. ممکن است بخواهید به صورت محلی یا از راه دور ، به صورت گرافیکی یا در خط فرمان ، به کالی دسترسی پیدا کنید. حتی وقتی روشی را انتخاب می کنید ، باز هم حق انتخاب گزینه های مختفلی را دارید، مانند محیط دسک تاپ.به طور پیش فرض ، کالی از Xfce استفاده می کند ، اما در طی مراحل نصب اجازه می دهد تا GNOME ، KDE یا انتخاب یا هیچکدام را انتخاب نکنید. پس از پایان نصب ، می توانید حتی نسخه های مختلفی را کنار هم نصب کنید. همچنین pre-configurations برای Enlightenment ، i3 ، LXDE و MATE نیز وجود دارد.بنابراین هنگامی که یک محیط دسک تاپ به روز می شود ، آنها اغلب فعالیت های روزمره را برای کاربران خودبهبود میبخشند. اگر علاقمند به مطالعه بیشتر راجب این تغییرات هستید ، بهتر است آن را مستقیماً از زبان نویسندگان بشنوید:Xfce 4.16KDE 5.20Terminals:وقتی از کالی استفاده می کنیم ، زمان قابل توجهی را با command line میگذرانیم. بسیاری از اوقات ، ما این کار را با استفاده از یک ترمینال لوکال از سیستم انجام می دهیم (نه در کنسول یا SSH از راه دور). کالی در حال کار بر روی ترمینال های مختلف (xfce4-terminal ، tmux ، tilix ، konsole ، qterminal و mate-terminal) برای "Kali-fy" آنها است:و اما مهمترین ویژگی :چندی پیش ، مجموعه ابزارهای پیش فرض نصب شده در کالی را تغییر داده شد. اکثر کاربران می دانند که آنها می توانند یک package یکبار مصرف را نصب کنند ، یا به مجموعه پیش فرض های قبلی بازگردند (نصب مناسب kali-linux-large).حال برای کمک به برقراری ارتباط صمیمی تر با سیستم (و همچنین هر ابزار جدید) ، پکیجی برای دستوراتی را که به طور پیش فرض یافت نمی شدند ، قرار داده ایم. این یک بسته "اختیاری" است که بدون حذف همه موارد پیش فرض kali-linux قابل حذف است.بدون نصب command-not-foundبعدنصب command-not-foundفک میکنم دیگه فهمیده باشید چقد میتونه کاربردی باشه!ابزارهای جدید در کالی:انتشار نسخه جدید کالی بدون اضافه شدن ابزار ممکن نیست :) و اگر میخواید ابزار های جدید را دریافت کنید کافیه repo خودتون رو آپدیت کنید:Airgeddon - Audit wireless networksAltDNS - Generates permutations, alterations and mutations of subdomains and then resolves themArjun - HTTP parameter discovery suiteChisel - A fast TCP/UDP tunnel over HTTPDNSGen - Generates combination of domain names from the provided inputDumpsterDiver - Search secrets in various filetypesGetAllUrls - Fetch known URLs from AlienVault’s Open Threat Exchange, the Wayback Machine, and Common CrawlGitLeaks - Searches Git repo’s history for secrets and keysHTTProbe - Take a list of domains and probe for working HTTP and HTTPS serversMassDNS - A high-performance DNS stub resolver for bulk lookups and reconnaissancePSKracker - WPA/WPS toolkit for generating default keys/pinsWordlistRaider - Preparing existing wordlistsبه روز رسانی های ARM کالی:همانطور که شنیده اید ، اپل مکینتاش جدیدی را با پردازنده های خود منتشر کرده است که به Apple Silicon (Apple M1) معروف هستند. تاکنون فقط Parallels چیزی را به صورت عمومی منتشر کرده است که مردم می توانند از آن برای مجازی سازی استفاده کنند. برای این منظور ،در کالی هم یک ISO نصب و هم ISO لایو (kali-linux-2021.1-installer-arm64.iso و kali-linux-2021.1-live-arm64.iso) ایجاد شده که می تواند با ماشین های مجازی در Mac Silicon Mac استفاده شود. کالی همچنین پشتیبانی از کارت بی سیم Raspberry Pi 400 را به اپدیت جدیدش اضافه کرده ، با این حال توجه به این نکته که این یک سیستم عامل nexmon نیست بسیار مهم است ، زیرا nexmon در حال حاضر از آن پشتیبانی نمی کند.همچنین کالی گفته :"اسکریپت های ساخت Kali ARM با پیشرفت های بیشتری نسبت به Francisco Jose Rodriguez Martos روبرو شده اند و ما بسیار از این کمک قدردانی می کنیم اگر می خواهید با ARM درگیر شوید ، لیست مشکلات GitLab را بررسی کنید."برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

۱۲ سال مخفی بودن آسیب پذیری ارتقا سطح دسترسی از طریق windows defender !!!

Nova Security — Tue, 23 Feb 2021 12:54:11 +0330

سلام به همه همراهان!در این مقاله همراه میشیم با نیما دباغی ، pentester و محقق در زمینه بد افزار ها و باج افزار ها در Hakin9 تا ببینیم در 12 سال گذشته تا به الان هکرا چطوری میتونستن دسترسی خودشون رو فقط با Windows Defender ارتقا بدن!ما یک آسیب پذیری شدید در Windows Defender را فاش می کنیم که به مهاجمان اجازه می دهد سطح دسترسی را از یک کاربر غیر ادمین افزایش دهند. Windows Defender به طور عمیقی در سیستم عامل ویندوز ادغام شده است و به طور پیش فرض بر روی هر دستگاه ویندوز (بیش از 1 میلیارد دستگاه) نصب می شود.سرویس های ممتاز (دارای دسترسی) در ویندوز یا اجزای ویندوز ممکن است حاوی باگی باشند که افزایش سطح دسترسی را به راحتی ممکن می کند. مهاجمان اغلب از چنین آسیب پذیری هایی برای انجام حملات پیچیده استفاده می کنند. محصولات امنیتی امنیت دستگاه را تضمین می کنند و قرار است از بروز چنین حملاتی جلوگیری کنند ، اما اگر محصول امنیتی خود آسیب پذیری ایجاد کند ، چه می کنید؟ چه کسی از محافظان محافظت می کند؟مایکروسافت این آسیب پذیری را در Windows Defender پچ کرد و در 9 فوریه رفع باگ را انجام داد. پیش از رفع این آسیب پذیری ، احتمالاً به دلیل ماهیت نحوه فعال سازی این مکانیسم خاص ، به مدت 12 سال کشف نشده بود.درایور BTR.sys (نام داخلی درایور) بخشی از فرایند اصلاحی در Windows Defender است. این مسئول حذف فایل سیستم و منابع رجیستری ایجاد شده توسط نرم افزار مخرب از حالت کرنل است.در هنگام بارگذاری ، درایور ابتدا یک handle در فایل ایجاد می کند که حاوی گزارش فعالیتهای آن هنگام فعال شدن است. همانطور که در زیر می بینید ، این مشکل در نحوه ایجاد همان handler از این درایور است.رجیستری r14d قبلاً با خودش xor شده بود ،یعنی شامل صفر است ، بنابراین پارامتر CreateDisposition اینگونه ثبت می شود: FILE_SUPERSEDE.بدین شکل FILE_SUPERSEDE به عنوان فرایندی در نظر گرفته می شود که ابتدا پرونده اصلی را حذف کرده و سپس فایل جدیدی ایجاد می کند. با هیچ اطمینانی نمی توانید متوجه شوید که این لینک پیوند دهنده است یا خیر . بنابراین ، ایجاد پیوند در C: \ Windows \ Temp \ BootClean.log به مهاجمان اجازه می دهد تا پرونده های دلخواه را overwrite کنند. این لینک قرار است به فایلی که می خواهیم مجدداً بنویسیم اشاره کند. مثلا:یک hard link ایجاد کنید که به notepad.exe اشاره کند.لودینگ BTR را برای اهداف نمایشی شبیه سازی کنید ، که به طور معمول توسط Windows Defender در طی مرحله ویراش های خاص load می شود. برنامه Notepad.exe بازنویسی می شود ، PE دیگر معتبر نیست.با کمال تعجب ، نسخه هایی از این درایور را پیدا شده که حاوی باگ است و توسط مایکروسافت تا سال 2009 تایید شده است. به عنوان مثال:SHA 256 0463f8b5bd31cd1bcfe27fe00ee3cb09ef76a9a78ce0c064b6f69f7febc630f9 SHA 1 88e1668ea5a9e6e476c52a9dc629934b281e38acSHA 256 55d998973c182c395b5407a42b63dbb528c65d829a7af6cd08797b0ede631eef SHA 1 019bd0060d4b4ad8c417d9e28e1fda361e85fb55SHA 256 174122a837338648a1d88263e118781d912ae566d7f7711f08792a54028d5021 SHA 1 d45705e4566dbe9eaa7155a7296e637bedec7c70SHA 256 c447a47c5246453c5655e6d1716f0954662fc185f28645681509d1366915cd4b SHA 1 f0be713fcb0c766f62746273aedafbca909387b3SHA 256 8df74468e26f7756b2ff5e75e1d83345226882a8ae2da08e251963c819ca3c5c SHA 1 9a3d727c131308f59bc4e804fe1b79d907684b61ماشین هایی که نسخه به روز شده Windows Defender را اجرا می کنند در برابر CVE-2021-24092 محافظت می شوند. نسخه های اخیر ویندوز 10 ، هنگامی که به روز می شوند ، در برابر اکسپلویت های EoP با استفاده از hardlink های native محافظت می شوند.CVE-2021-24092نتیجهالبته ، گرچه به نظر می رسد از این آسیب پذیری استفاده نشده است ، اما مهاجمان احتمالاً می فهمند که چگونه می توانند از این در سیستم های بدون پچ استفاده کنند. علاوه بر این ، از آنجا که این آسیب پذیری از حدود سال 2009 در همه نسخه های Windows Defender وجود دارد ، به احتمال زیاد کاربران زیادی در اعمال پچ موفق نخواهند شد و آنها را در معرض حملات آینده قرار می دهد.استفاده از چنین آسیب پذیری برای اجرای کد اغلب مشکل تر است اما غیرممکن نیست. اما این مورد همچنان می تواند برای فعالیتهای مخرب مختلف مانند از کار انداختن محصولات امنیتی مورد استفاده قرار گیرد.برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

باج افزار Zeoticus نسل جدیدی از باج افزار ها که هیچ نیازی به C2 (سرور کنترل و فرمان) ندارد!

Nova Security — Tue, 23 Feb 2021 12:51:19 +0330

سلام! من نیما دباغی هستم. چند سالی هست که در زمینه تست نفوذ و آنالیز بدافزار ها فعالیت دارم و تو برخی از کارا با Hakin9 و McAfee همکاری داشتیم و قراره تو این مقاله باج افزار Zeoticus رو با هم بررسی کنیم.باج افزار Zeoticus برای اولین بار در اوایل سال 2020 در مجامع مختلف زیرزمینی و بازارها برای فروش ظاهر شد. در ابتدا ، باج افزار به عنوان یک ساخت کامل سفارشی با هزینه نامعلوم ارائه می شد. باج افزار در حال حاضر مختص ویندوز است و طبق گفته توسعه دهندگان ، عملکرد آن بر روی تمام "نسخه های پشتیبانی شده ویندوز" است.به صورت شگفت آوری ، برای اجرای payload ها هیچ نیازی به اتصال اینترنت ندارد. باج افزار Zeoticus بدون وابستگی به C2 (سرور فرمان و کنترل) کاملاً آفلاین اجرا خواهد شد. همچنین لازم به ذکر است که این بدافزار به گونه ای طراحی شده است که در برخی از مناطق ، به ویژه روسیه ، بلاروس و قرقیزستان کار نمی کند. مانند بسیاری از هم نوع های خود ، استفاده از CIS برای جلوگیری از هرگونه واکنش دولت منطقه ای و سازمان های اجرای قانون است.? در صورت آلودگی به این باج افزار یا هر باج افزار دیگری میتوانید به صورت 24 ساعته از پشتیبانی تلگرامی به ایدی: T.me/Alert_Security_Support درخواست امداد یا مشاوره بکنید!از اواخر سال 2020 و تا اوایل سال 2021 ، فروشنده به حفظ و ارائه بروزرسانی های ویژگی های Zeoticus ادامه داده است.در دسامبر سال 2020 ، نمونه هایی از Zeoticus 2.0 مشاهده و به صورت گسترده ای گزارش شد. چندین محقق امنیتی شروع به توجه و تجزیه و تحلیل این نمونه های به روز شده کردند(به عنوان مثال ، توییت از@ demonslay335)[!] اطلاعیه عمومی اخیر سازندگان این باج افزار شامل به روزرسانی در مورد بهبود شناسایی و عملکرد مبتنی بر پسوند فایل ها و تصمیم گیری برای اولویت بندی و رمزگذاری داکیومنت های بسیار حجیم است.بیشتر به روزرسانی ها در Zeoticus 2.0 روی سرعت و کارایی متمرکز است. الگوریتم های رمزگذاری خاص (هر دو نوع متقارن و نامتقارن) بر اساس سرعت آنها استفاده شده است (به عنوان مثال ، Poly1305 به جای چیزی مانند SHA1 برای امضای کلید اصلی رمزگذاری استفاده می شود).از دیگر ویژگی های قابل توجه سازگاری با "all lines of Windows OSs" است ، که در برخی موارد باج افزار حتی در ویندوز XP و نسخه های قبلی اجرا می شود.این باج افزار همچنین توانایی کشف و آلوده سازی درایوهای remote و کشف و kill کردن پروسس هایی را دارد که می توانند در روند رمزگذاری تداخل ایجاد کنند. اجرا و تداوم و پایداری :پس از اجرا ، فایل های مربوطه بر اساس پسوند شناسایی می شوند. لیست افزونه های رمزنگاری کاملاً قابل تنظیم و در کنترل مهاجم است.هنگام راه اندازی و شروع به کار ، بدافزار چند نسخه از خود را در مکان های زیر ایجاد می کند:C:\Windows %AppData%به دنبال آن ، Zeoticus اقدام به از بین بردن تعدادی از پروسس های در حال اجرا (از طریق taskkill.exe) به شرح زیر می کند:sqlagent.exe sqlbrowser.exe sqlservr.exe sqlwriter.exe oracle.exe ocssd.exe dbsnmp.exe synctime.exe mydesktopqos.exe agntsvc.exe isqlplussvc.exe xfssvccon.exe mydesktopservice.exe ocautoupds.exe agntsvc.exe agntsvc.exe agntsvc.exe encsvc.exe firefoxconfig.exe tbirdconfig.exe ocomm.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe dbeng50.exe sqbcoreservice.exe excel.exe infopath.exe msaccess.exe mspub.exe onenote.exe outlook.exe powerpnt.exe sqlservr.exe thebat64.exe thunderbird.exe winword.exe Wordpad.exeباج افزار Zeoticus از دستور ping برای سهولت حذف باینری های خود استفاده می کند و برای دستیابی به این هدف ، خروجی دستور را به >nul & del هدایت میکند.برای نمونه :/c ping localhost -n 3 > nul & del %sسپس کوئری WMI زیر برای جمع آوری اطلاعات اضافی در مورد محیط لوکال صادر می شود:start iwbemservices::execquery - root\cimv2 : select __path, processid, csname, caption, sessionid, threadcount, workingsetsize, kernelmodetime, usermodetime, parentprocessid from win32_process where ( caption = "msftesql.exe" or caption = "sqlagent.exe" or caption = "sqlbrowser.exe" or caption = "sqlservr.exe" or caption = "sqlwriter.exe" or caption = "oracle.exe" or caption = "ocssd.exe" or caption = "dbsnmp.exe" or caption = "synctime.exe" or caption = "mydesktopqos.exe" or caption = "agntsvc.exe" or caption = "isqlplussvc.exe" or caption = "xfssvccon.exe" or caption = "mydesktopservice.exe" or caption = "ocautoupds.exe" or caption = "agntsvc.exe" or caption = "agntsvc.exe" or caption = "agntsvc.exe" or caption = "encsvc.exe" or caption = "firefoxconfig.exe" or caption = "tbirdconfig.exe" or caption = "ocomm.exe" or caption = "mysqld.exe" or caption = "mysqld-nt.exe" or caption = "mysqld-opt.exe" or caption = "dbeng50.exe" or caption = "sqbcoreservice.exe" or caption = "excel.exe" or caption = "infopath.exe" or caption = "msaccess.exe" or caption = "mspub.exe" or caption = "onenote.exe" or caption = "outlook.exe" or caption = "powerpnt.exe" or caption = "sqlservr.exe" or caption = "thebat64.exe" or caption = "thunderbird.exe" or caption = "winword.exe" or caption = "wordpad.exe") تمام نمونه های آنالیز شده Zeoticus 1.0 و نسخه 2.0 برای دستیابی به حالت persistence یا همان ماندگاری در سیستم، کلید Registry Run را بدین صورت ایجاد می کنند:\ REGISTRY \ USER \ ---- \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \رجیستری (Run) تنظیم شده است تا نمونه ای از پیلود Zeoticus را از مسیر C: \ Windows راه اندازی کند:و اما بخش رمزنگاری :باج افزار ترکیبی از رمزگذاری نامتقارن و متقارن استفاده می کند. XChaCha20 در قسمت متقارن استفاده می شود ، در حالی که از ترکیب Poly1305 ، XSalsa20 و Curve25519 برای سمت نامتقارن استفاده می شود.پرونده های رمزگذاری شده به پسوندهایی تغییر می یابند که شامل آدرس ایمیل تماس با مهاجم (مهاجمان) همراه با رشته "2020END" است ، که بدون شک اشاره به سال جدید است.به موازات رمزگذاری داده های میزبان ، Zeoticus یک volume جدید را mount می کند که حاوی یادداشت مهاجمان برای قربانیان است. به قربانیان دستور داده می شود تا برخلاف استفاده از درگاه پرداخت مبتنی بر onion یا موارد مشابه ، از طریق ایمیل با مهاجم تماس بگیرند. علاوه بر این ، باج افزار نسخه ای از یادداشت باج را به درایو root سیستم کپی میکند (به عنوان مثال ، C: \ WINDOWS \ README.html).سخن پایانی:مهاجمان همچنان به بهبود تکنیک ها و تاکتیک های خود ادامه می دهند. کنترل ، مهار و کاهش الودگی توسط باج افزار های فعال به طور فزاینده ای دشوار می شود. پیشگیری از این حملات با توجه به مشکل بهبودی از حمله فاجعه بار باج افزار ، بیش از هر زمان دیگری مهم است. ما همه را تشویق می کنیم که وضعیت امنیتی خود را مرور کرده و اقدامات لازم برای بهبود حمایت و کاهش مواجهه کلی را انجام دهند. همچنین مهم است که به کاربران نهایی در مورد روشهای استفاده شده توسط این مهاجمان آموزش داده شود و آنها را تشویق کنید که هرگونه فعالیت مشکوکی را رصد کنند. سرانجام ، اطمینان حاصل کنید که تمام کنترل های امنتی به درستی نصب و اجرا شده اند و به روزترین وصله ها به روز هستند.برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

حمله به تاسیسات آب آشامیدنی در یکی از شهر های آمریکا و دست کاری سطح مواد شیمیایی به سطح خطرناک !!!

Nova Security — Thu, 11 Feb 2021 13:24:03 +0330

یک هکر ناشناس به سیستم های رایانه ای مرکز تصفیه آب در شهر اولدزمار ، فلوریدا دسترسی پیدا کرده و سطح شیمیایی را به سطح خطرناک تغییر داد.نفوذ در روز جمعه ، 5 فوریه رخ داد ، زمانی که هکر به یک سیستم رایانه ای دسترسی پیدا کرد که برای کنترل از راه دور عملیات تصفیه آب تنظیم شده بود.خبر این حمله دیروز در یک کنفرانس مطبوعاتی توسط مقامات شهری فاش شد.هکر ابتدا در ساعت 8 صبح به این سامانه نفوذ و سپس برای یک فاز دوم و طولانی تر نفوذ در ساعت 1:30 بعد از ظهر دوباره به این سیستم دسترسی پیدا کرد. نفوذ دوم حدوداً پنج دقیقه طول کشید و بلافاصله توسط اپراتوری که سیستم را رصد می کرد و متوجه شد هکر مکان نما را روی صفحه حرکت می دهد و به نرم افزار تصفیه آب دسترسی پیدا می کرده ، شناسایی شد.هکر میزان لیز را مورد دستکاری قرار داده بود!باب گولتیری کلانتر Oldsmar گفت: "هیدروکسید سدیم ، که به آن لیس نیز گفته می شود ، ماده اصلی پاک کننده های ذرات مایع است. همچنین از این ماده برای کنترل اسیدیته آب و حذف فلزات از آب آشامیدنی در تصفیه خانه استفاده می شود.""هکر هیدروکسید سدیم را از حدود 100 در میلیون به 11100 در میلیون تغییر داد. بدیهی است که این یک افزایش قابل توجه و بالقوه خطرناک است."کارکنان شهر اولدزمار گفتند که هیچ آب آلوده ای به ساکنان محلی تحویل داده نشده است زیرا این حمله به موقع قبل از استفاده از هرگونه سطح لیز صورت گرفته است.به گفته کلانتر گوالتیری ، هکر به محض اینکه سطح لیز را دستکاری کرد، ارتباطش قطع شد و یک اپراتور انسانی بلافاصله سطح شیمیایی را به حالت طبیعی بازگرداند.مقامات حمله را به هکرها یا گروه های خاص دیگری نسبت ندادند. زمان حمله نیز قابل توجه است زیرا شهر اولدزمار در نزدیکی مرکز شهری تامپا واقع شده است که روز یکشنبه میزبان بازی Super Bowl LV بود.برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

سازنده بازی cyberpunk 2077 مورد حمله باج افزار قرار گرفت و هکر ها به سورس کد بازی هایی مانند نسخه منتشر نشده witcher3 دسترسی پیدا کردند!

Nova Security — Tue, 09 Feb 2021 20:56:35 +0330

توسعه دهنده بازی لهستانی CD Projekt Red ، سازنده بازی های سه گانه مانند Cyberpunk 2077 و سری Witcher ، امروز خبر از گرفتار شدنش به باج افزار داد.این شرکت در فیس بوک و توییتر خود نوشت: "اگرچه برخی از دستگاه های موجود در شبکه ما با باج افزار رمزنگاری شده اند ، اما نسخه backup تهیه شده ، دست نخورده باقی مانده است. ما قبلاً زیرساخت IT خود را ایمن کرده و از تمامی اطلاعات خود backup داریم."سازنده بازی همچنین یادداشت مهاجمان باج افزار را منتشر کرد که در آن هکرها ادعا کردند کپی source-code بازی هایی مانند Cyberpunk 2077 ، Gwent و The Witcher 3 را به همراه نسخه منتشر نشده بازی The Witcher 3 بدست آورده اند.یادداشت مهاجمان به CD projektشرکت سازنده بازی گفت : ما علی رغم تهدید به افشای اطلاعاتمان ، هیچ باجی پرداخت نخواهیم کرد.این شرکت گفت: "ما به خواسته های آنان تسلیم نخواهیم شد و با اپراتور مذاكره نخواهیم كرد ، زیرا می دانیم كه این امر در نهایت منجر به انتشار اطلاعات به خطر افتاده خواهد شد.""ما هنوز در حال بررسی این حادثه هستیم ، اما در حال حاضر می توانیم تأیید کنیم که - بر پایه بهترین دانشمان - سیستم های به خطر افتاده حاوی هیچ گونه اطلاعات شخصی از بازیکنان یا کاربران ما نیستند."کمپانی CD Projekt Red اکنون پس از حمله باج افزار Egregor به Ubisoft و Crytek و همچنین Capcom که قربانی حمله گروه Ragnar Locker شد، چهارمین استودیوی بزرگ بازی که قربانی حمله باج افزار در طول 12 ماه گذشته شده است.برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

رفع آسیب پذیری 0day کروم توسط گوگل که به صورت گسترده در حال بهره برداری بود! سریعا آخرین آپدیت از سمت گوگل را دریافت کنید!

Nova Security — Fri, 05 Feb 2021 15:32:59 +0330

گوگل یک آسیب پذیری حیاتی روز صفر مورد بهره برداری در وضعیت فعال را در نسخه Chrome 88.0.4324.150 ،که امروز 4 فوریه 2020 منتشر شد ،در نسخه های دسکتاپ stable ویندوز ، مک و لینوکس رفع کرد.در اطلاعیه Google Chrome 88.0.4324.150 آمده است: "Google از گزارش هایی که در مورد وجود exploit از CVE-2021-21148 به صورت فراگیر وجود دارد آگاه است." کاربران دسکتاپ ویندوز ، مک و لینوکس می توانند با رفتن به تنظیمات -> راهنما -> درباره Google Chrome به Chrome 88 ارتقا پیدا کنند.سپس مرورگر وب Google Chrome به طور خودکار نسخه جدید را بررسی کرده و در صورت موجود بودن آن را نصب می کند.این آسیب پذیری که توسط گوگل به عنوان یک آسیب پذیری جدی و حیاتی ارزیابی شده است به CVE-2021-21148 نام گذاری و توسط ماتیاس بولنز در 24 ژانویه 2021 گزارش شده است.مایکروسافت در تاریخ 28 ژانویه گزارش کرد که یک گروه هک تحت حمایت دولت کره شمالی که تحت عنوان ZINC "احتمالاً" از یک exploit chain مرورگر Chrome (با exploit های روز صفر) برای هدف قرار دادن محققان آسیب پذیری، استفاده کرده است.روز صفر به عنوان یک باگ سرریز بافر heap در V8 ، موتور اوپن سورس گوگل و C ++ مبتنی بر عملکرد بالا WebAssemble و JavaScript توصیف شده است.در حالی که سرریز بافر به طور کلی منجر به خرابی می شود ، همچنین می توانند توسط مهاجمان مورد سو استفاده قرار بگیرند تا کدهای دلخواه را روی سیستم های دارای نرم افزار آسیب پذیر اجرا کنند.در حال حاضر اطلاعات بیشتری از سمت گوگل منتشر نشده است.برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

نقص بسیار جدی و حیاتی در sudo به کاربران لوکال امکان گرفتن دسترسی root را میدهد!

Nova Security — Fri, 29 Jan 2021 20:48:04 +0330

یک آسیب پذیری Sudo که اکنون رفع شده ، به هر کاربر لوکال اجازه می دهد بدون نیاز به احراز هویت ، امتیازات ROOT را در سیستم عامل های مشابه UNIX بدست آورد.سودو یک برنامه UNIX است که به مدیران سیستم امکان می دهد امتیازات محدود ROOT را در اختیار کاربران عادی ذکر شده در داکیومنت sudoers قرار دهند ، در حالی که در عین حال لاگ فعالیت آنها را نیز ذخیره می کند.این بر اساس اصل حداقل امتیاز کار می کند که در آن برنامه به افراد اجازه کافی می دهد تا کار خود را انجام دهند بدون اینکه امنیت کلی سیستم را به خطر بیندازد.هنگام اجرای دستورات در سیستم عامل مشابه یونیکس ، کاربران بدون سطح دسترسی و امتیاز می توانند از دستور sudo (superuser do) برای اجرای دستورات به عنوان root در صورت داشتن اجازه یا رمز ورود کاربر root استفاده کنند. در واقع root برای سیستم یک superuser هست ، یک اکانت مدیریت خاص برای سیستم!!سودو همچنین می تواند طوری تنظیم شود که به کاربران عادی اجازه دهد دستورات را مانند هر کاربر دیگری با قرار دادن دستورالعمل های خاص در داکیومنت کانفیگ sudoers ، اجرا کنند.آسیب پذیری افزایش امتیاز sudo که به عنوان CVE-2021-3156 شناخته میشود (معروف به بارون سامدیت) ، توسط محققان امنیتی از Qualys کشف شد ، که این مورد را در 13 ژانویه علنی کردند و اطمینان حاصل کردند که patch ها قبل از انتشار عمومی در دسترس باشند.طبق گفته محققان Qualys ، این مسئله یک سرریز بافر مبتنی بر پشته است که توسط هر کاربر محلی قابل استفاده است (کاربران عادی و کاربران سیستم که در پرونده sudoers ذکر شده اند یا نه) ، و برای استفاده موفقیت آمیز از نقص به مهاجمان نیازی به دانستن رمز ورود کاربر ندارد .سرریز بافر که به هر کاربر محلی اجازه می دهد امتیازات ROOT را بدست آورد ، توسط عدم نادیده گرفتن argument های نادرست backslash در سودو انجام میگیرددر تغییر تغییرات 1.9.5p2 آمده است: "به طور معمول ، sudo هنگام اجرای دستور از طریق شل (sudo -s یا sudo -i) از کاراکتر های خاص صرف نظر می کند.""با این حال ، امکان اجرای sudoedit با flag های -s یا -i نیز وجود داشت که در این صورت هیچ نادیده گرفتنی انجام نشده بود ، و باعث سرریز بافر می شد."شرکت Qualys سه اکسپلویت CVE-2021-3156 ایجاد کرد تا نشان دهد چگونه این آسیب پذیری می تواند با موفقیت توسط مهاجمان بالقوه exploit شود.با استفاده از این اکسپلویت ها ، محققان توانستند امتیازات کامل root در چندین توزیع لینوکس ، از جمله دبیان 10 (سودو 1.8.27) ، اوبونتو 20.04 (سودو 1.8.31) و فدورا 33 (سودو 1.9.2) را بدست آورند.سایر سیستم عامل ها و توزیع های پشتیبانی شده توسط سودو احتمالاً با استفاده از اکسپلویت CVE-2021-3156 طبق Qualys نیز قابل سو استفاده هستند. https://www.youtube.com/watch?v=bI6DmkK4wbM برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

هکرها میتوانند با ارسال ebook به کیندل اکانت شما را هک کنند!

Nova Security — Fri, 22 Jan 2021 16:05:17 +0330

آمازون در پلتفرم کتابخوان الکترونیکی Kindle خود به تعدادی از آسیب پذیری پرداخته است كه می توانست به مهاجم این اجازه را بدهد كه دستگاه های قربانیان را فقط با ارسال یك كتاب الکترونیکی مخرب به آنها کنترل كند!این exploit chain با نام "KindleDrip" از ویژگی به نام "KindleDrip" برای ارسال کتاب حاوی بدافزار به دستگاه Kindle استفاده می کند که با باز کردن آن ، می توان از طریق آن از راه دور کد دلخواه را بر روی دستگاه اجرا کرد و خریدهای غیرمجاز انجام داد. .محقق Yogev Bar-On ، در آزمایشگاه های Readlmode ، روز پنجشنبه در یک نوشتن مقاله فنی گفت: "این کد در سطح root اجرا می شود و مهاجم فقط باید آدرس ایمیل اختصاص داده شده به دستگاه قربانی را بداند."آسیب پذیری ابتدا مهاجم بد اجازه می دهد تا یک کتاب الکترونیکی برای Kindle ارسال کند ، مرحله دوم امکان اجرای کد از راه دور در حالی که کتاب الکترونیکی باز میشود را می دهد و مسئله سوم امکان افزایش امتیازات و اجرای کد به عنوان کاربر "root" را فراهم می کند.وقتی تمامی اینها زنجیروار صورت میگیرند ، می توان برای دریافت غیر مجاز اعتبار دستگاه و خرید در کتابهای الکترونیکی که توسط مهاجمان در فروشگاه Kindle با استفاده از کارت اعتباری قربانی فروخته شده ، از این نقاط ضعف سو استفاده کرد.آمازون این اسیب پذیری را در تاریخ 10 دسامبر سال 2020 برای همه مدلهای Kindle برطرف کرد. وی همچنین به عنوان بخشی از برنامه تحقیقاتی آسیب پذیری آمازون 18000 دلار جایزه دریافت کرد.یک بخش مهم از ویژگی Send to Kindle این است که فقط زمانی کار میکند که ، سندی که به عنوان پیوست به ایمیل kindle ، به عنوان مثال "name@kindle.com" از ایمیل اکانت ها ارسال میشود باید از قبل در لیست ایمیل های تایید شده ثبت شده باشد.در عوض آنچه Bar-On دریافت این بود که آمازون نه تنها صحت فرستنده ایمیل را تأیید نکرده بود ، بلکه یک کتاب الکترونیکی که از یک آدرس تأیید شده اما جعلی ارسال شده بود ، به طور خودکار در لیست کتابخانه ای ظاهر می شود و هیچ نشانی از دریافت آن از طریق پیام ایمیل نیست.اما موفقیت آمیز بودن این کار مستلزم آگاهی از آدرس ایمیل Kindle مقصد نشانی "name@kindle.com" منحصر به فرد که هنگام ثبت نام به هر دستگاه یا برنامه Kindle اختصاص داده شده است. اگرچه ، در بعضی موارد ، به این اسم پسوندی با رشته تصادفی افزوده میشود ، Bar-On معتقد است که آنتروپی در بیشتر آدرس ها به اندازه ای کم است که با استفاده از brute-force به طور پیش فرض حدس زده می شود.با این حال ، هنگامی که کتاب الکترونیکی به دستگاه قربانی ارسال می شود ، حمله به مرحله بعدی منتقل می شود. این اکسپلویت یک نقص buffer over flow در کتابخانه فرمت JPEG XR و همچنین یک باگ افزایش امتیاز در یکی از proccess های روت ("stackdumpd") برای تزریق دستورات دلخواه و اجرای کد با دسترسی root استفاده می کند.بنابراین هنگامی که یک کاربر بی خبر کتاب الکترونیکی را باز می کند و روی یکی از لینک فهرست مطالب ضربه می زند ، Kindle یک صفحه HTML در مرورگر باز می کند که حاوی یک تصویر JPEG XR ساخته شده خاص است و فایل تصویر را به اصطلاح parse می کند تا کد مخرب اجرا شود - در نتیجه به هکر اجازه می دهد اعتبار کاربر را بدزدد ، دستگاه را کنترل کند و به اطلاعات شخصی مرتبط با قربانی دسترسی پیدا کند.آمازون اکنون با ارسال لینک تأیید به نشانی از قبل تأیید شده در سناریوهایی که سندی از آدرس ایمیل ناشناخته ارسال می شود ، حفره های امنیتی را برطرف کرده است.برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security

سایت SolarLeaks، دیتاهای سرقت شده از حملات SolarWinds را ازجمله سورس کد های Microsoft را بفروش میرساند!!

Nova Security — Wed, 13 Jan 2021 10:23:32 +0330

امروز یک وب سایت به اسم solarleaks راه اندازی شد که ادعا می کند داده های به سرقت رفته از مایکروسافت ، سیسکو ، FireEye و SolarWinds را می فروشد.ماه گذشته ، مشخص شد که شرکت مدیریت شبکه SolarWinds یک حمله سایبری پیچیده را تجربه کرده است که منجر به حمله زنجیره ای 18000 کلاینت شده است.طبق بیانیه مشترک FBI ، CISA و NSA ، این حمله "احتمالاً" توسط یک گروه هک تحت حمایت دولت روسیه انجام شده است که می خواست داده های ابری مانند ایمیل و پرونده ها را از قربانیان خود بدزدد.این وب سایت ادعا می کند که کد منبع و مخازن مایکروسافت را به قیمت 600،000 دلار می فروشد. مایکروسافت تأیید کرد که این افراد در هنگام رخنه SolarWinds به سورس کد ها دسترسی پیدا کرده اند.[Microsoft Windows (partial) source code and various Microsoft repositories]price: 600,000 USDdata: msft.tgz.enc (2.6G)link: https://mega.nz/file/1ehgSSpD#nrtzQwh-qyCaUHBXo2qQ1dNbWiyVHCvg8J0As8VjrX0[Cisco multiple products source code + internal bugtracker dump]price: 500,000 USDdata: csco.tgz.enc (1.7G)link: https://mega.nz/file/sSgQmJLT#NqaaYXsFkASwAc51lcjBnWjP4zrbqiN-XQ7GVZGbL_o[SolarWinds products source code (all including Orion) + customer portal dump]price: 250,000 USDdata: swi.tgz.enc (612M)link: https://mega.nz/file/xawhBQgJ#f3X6lPORF16wh-O9GiNVMVDZ6rxRKX64_XVR5y9KpFM[FireEye private redteam tools, source code, binaries and documentation]price: 50,000 USDdata: feye.tgz.enc (39M)link: https://mega.nz/file/hOBnVYjL#l3qojAvaFWtYtcB3vX4ZABG3tBLGyhJarBBbYaHnM-0Data is encrypted with strong key. Serious buyers only: solarleaks@protonmail.comهنگام مشاهده رکورد WHOIS برای solarleaks [.] net ، سرورهای نام اختصاص داده شده نیز با عبارت "شما نمی توانید هیچ اطلاعاتی دریافت کنید" محققان را مسخره می کنند. قانونی بودن این سایت و اینکه آیا صاحبان سایت داده هایی را که می فروشند تأیید نمی شود.برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!Telegram.me/Alert_Security