♟نکات و گوشزدهای امنیتی♟_ امتیاز ویژه

تحقیقات صورت*گرفته توسط مؤسسه*ی KrebsOnSecurity منجر به کشف بات*نت غیرمعمولی شده که بیش از ۱۲،۵۰۰ سامانه را به دام خود گرفتار نموده و خود را در پوشش یک افزونه*ی مجاز برای موزیلا فایرفاکس جا زده است؛ این بات*نت رایانه*های شخصیِ آلوده را به جست*وجوی آسیب*پذیری*های وب*گاه*هایی وادار می*کند که به واسطه*ی آن*ها می*توان به نصب بدافزار پرداخت.

این بات*نت که اپراتورهایش تحت عنوان «Advanced Power» از آن یاد می*کنند، ظاهراً از اردیبهشت*ماه تاکنون به*طور بی*سروصدا مشغول فعالیت است. هنوز به*صورت قطعی مشخص نیست که منشاء این آلودگی چگونه منتشر شده، اما می*توان گفت که این بدافزار رایانه*های شخصی را در بات*نتی به کار می*گیرد که حملات تزریق SQL را تقریباً به هر وب*گاهی که کاربر قربانی از آن*ها بازدید به عمل می*آورد صورت می*دهد.

عکـــــــــــــــــــــــ ـــــــــس 
بات*نت «Advanced Power» خود را به عنوان یک افزونه*ی مجاز فایرفاکس جا می*زند. بدافزار منتشرشده هم به دنبال آسیب*پذیری*های موجود در وب*گاه*های مشاهده*شده از سوی کاربر می*پردازد.


حملات تزریق SQL با سوءاستفاده از پیکربندی ضعیف کارگزار، به تزریق کد مخرب در پایگاه*داده*های پشت کارگزارهای وبی می*پردازند که در معرض عموم قرار دارند. مهاجمان به کمک این سطح دسترسی می*توانند وب*گاه*ها را در دام حملات بدافزاری بارگیری ناخواسته اسیر کنند، یا وب*گاه*ها را به ارائه*ی اطلاعات ذخیره*شده در پایگاه*های داده*شان مجبور نمایند.

اگرچه این بدافزار دارای مؤلفه*ای است که برای سرقت گذرواژه و سایر اطلاعات حساس از دستگاه*های آلوده طراحی شده، به نظر نمی*رسد که این قابلیت در میزبان*های آسیب*دیده به کار گرفته شده باشد. شاید هدف این بات*نت استفاده از دسکتاپ*های تحت ویندوز به عنوان یک بستر پویش توزیع*شده جهت یافتن وب*گاه*های قابل سوءاستفاده باشد.

با توجه به پنل مدیریتی این بات*نت بیش از ۱۲،۵۰۰ رایانه*ی شخصی آلوده شده*اند، و این بات*ها هم به نوبه*ی خود به کشف دست کم ۱،۸۰۰ صفحه*ی وب آسیب*پذیر مقابل حملات تزریق SQL کمک کرده*اند. 

عکـــــــــــــــــــــــ ــــس
افزونه*ی جعلی فایرفاکس


در سامانه*های آلوده*ای که موزیلا فایرفاکس در آن*ها نصب شده، کد بات منجر به نصب افزونه*ای به نام «Microsoft .NET Framework Assistant» می*شود. سپس این افزونه*ی مخرب تقریباً در هر صفحه*ای که کاربر از آن دیدن می*کند بررسی*های لازم را برای پی*بردن به وجود آسیب*پذیری*های مختلف تزریق SQL انجام می*دهد.

می*توان نتیجه گرفت که این بات*نت برای خودکارسازی حدس و گمان*های خسته*کننده و گاهی ناکارآمد جهت کشف آسیب*پذیری*های SQL وب*گاه*ها طراحی شده است.

هنگامی که از برنامه*ی کاربردی برای کشف تزریق SQL و یا هرگونه آسیب*پذیری دیگر استفاده می*کنید، دید ناچیزی نسبت به وب*گاه*های آلوده خواهید داشت. در چنین شرایطی قادر به بهره*وری چندانی نخواهید بود. و حتی در برخی موارد ملزم به ارائه*ی اطلاعات محرمانه*ی صحیح برای انجام این کار کار می*باشید. اما در موردی که با آن سر و کار داریم نفوذگران درخواست*های معتبر را به وب*گاه*های بسیاری ارائه می*کنند که کاربران نهایی با آن*ها ارتباط دارند. به این ترتیب نفوذگران با جامعه*ی آماری بزرگتری مواجه*اند، جامعه*ای که به خاطر این روی*کرد نوآورانه و عمقی به آن دست پیدا کرده*اند.

گفته می*شود که توسعه*دهنده*ی این بات*نت ممکن است بومی یا مقیم جمهوری چک باشد، این موضوع از یک رشته*ی متنی ترجمه*شده*ی کوتاه در بدافزار کشف شده است، رشته*ای که سامانه*ی شناسایی خودکار مترجم گوگل زبان آن را چک تشخیص داده است.

تزریق SQL یکی از رایج*ترین حمله به وب*گاه*ها است، چرا که آسیب*پذیری*های مرتبط با آن بسیار گسترده*اند. بنا به گزارش*های مؤثق می*توان گفت در شرایطی که بیشتر برنامه*های کاربردی تحت وب در طول هر ماه چهار یا همین حدود حمله را تجربه می*کنند، بعضی وب*گاه*ها به*طور مداوم زیر فشار حملات سایبری قرار دارند. وب*گاه*های خرده*فروشی در صدر فهرست اهداف این*گونه حملات قرار دارند.

عکــــــــــــــــــس 
وب*گاه*های مشاهده*شده توسط رایانه*های شخصی مورد نفوذ (در سمت چپ) و شکاف*های تزریق SQL که از سوی بات*نت «Advanced Power» کشف شده است (در سمت راست) 


بات*نت*های این*چنینی مثالی قابل توجه و کلاسیک از نحوه*ی استفاده از وب*گاه*های مورد نفوذ برای لطمه*زدن به کاربران برخط هستند. جالب است بدانید که یک افزونه*ی مجاز برای فایرفاکس وجود دارد که به شناسایی آسیب*پذیری*های تزریق SQL موجود در وب*گاه*هایی کمک می*کند که کاربر از آن*ها بازدید کرده است. آن دست از صاحبان وب*گاه*ها که به دنبال ابزارهایی هستند تا توسط آن*ها وب*گاه*های خود را برای یافتن شکاف*های مستعد حملات تزریق SQL پویش کنند، می*توانند SQLmap را بررسی کنند؛ SQLmap یک ابزار متن*باز برای بررسی نفوذ می*باشد.

خلاصه خبر:

متن کلی:

بنا به اظهارات Trustwave، این بدافزار به*طور دستی توسط نفوذگران نصب می*شود، این نصب پس از نفوذ به یک کارگزار وب محقق می*شود. این بدافزار که با عنوان ISN شناخته شده، از سوی مهاجمان برای هدف قرار دادن اطلاعات حیاتی درخواست*های POST به کار می*رود؛ ISN همچنین دارای قابلیت*های فیلترسازی اطلاعات است.

هنگامی که ISN داده*ها را از IIS بیرون می*کشد، آن*ها را به چنگ می*آورد. تاکنون مشاهده شده که ISN داده*های نهفته* در کارت*های اعتباری وب*گاه*های تجارت الکترونیک را هدف قرار داده است. ISN را همچنین می*توان برای سرقت اطلاعات محرمانه*ی ورود به سامانه، و یا هرگونه اطلاعات حیاتی دیگر که به نمونه*های نقض*شده*ی IIS فرستاده می*شوند، مورد استفاده قرار داد.

ابزار نصب این بدافزار دارای چهار DDL تعبیه*شده است که بسته به کاربر قربانی در سامانه*ی وی رها میشوند. ماژول*های IIS به*طور خاص برای نسخه*های ۳۲ بیتی، ۶۴ بیتی، ۷+۳۲ بیتی، و ۷+۶۴ بیتی IIS موجود است. این بدافزار دارای یک پرونده*ی VBS تعبیه*شده به عنوان یک منبع PE است که برای نصب یا حذف DLL تحت عنوان ماژول IIS به کار می*رود.

هرگاه این ماژول با موفقیت نصب شود، به نظارت بر نشانی*های وب مشخص*شده در پرونده*ی پیکربندی می*پردازد و هر نوع درخواست POST موجود در پرونده*ی filename.log را پاک می*کند. این ماژول همچنین روی پارامتر QUERY_STRING نظارت می*کند و می*تواند شماری از فرمان*ها را بپذیرد.

روی هم رفته، به نظر نمی*رسد این بدافزار به*طور گسترده*ای منتشر شده باشد، بلکه فقط در تعداد انگشت*شماری از تحقیقات سایبری مشاهده شده است. با این حال نرخ تشخیص پایین به همراه اهداف خاص، آن را به تهدیدی جدی مبدل ساخته است. 

بات*نت ویژه*ی تلفن*همراهی به نام MisoSMS در حال ویران کردن بستر اندروید است و پیامک*های را سرقت کرده و آن*ها را به مهاجمینی واقع در چین می*فرستد.

متن : 

پژوهش*گران فایرآی1 از تهدید جدیدی پرده برداشتند؛ این تهدید موسوم به MisoSMS یکی از بزرگ*ترین بات*نت*های تلفن*همراه تا به امروز می*باشد که در بیش از ۶۰ کمپین جاسوسی مورد استفاده قرار گرفته است.

به گفته*ی پژوهش*گران این مرکز مهاجمین از کره و چین به کارگزارهای کنترل و فرمان*دهی وارد شدند و در بازه*های زمانی منظم اقدام به خواندن پیامک*های سرقتی کرده*اند.

تیم پژوهشی فایرآی در مجموع ۶۴ کمپین بات*نت تلفن*همراه مربوط به بدافزار MisoSMS و یک کارگزار کنترل و فرمان*دهی متشکل از ۴۵۰ حساب رایانامه*ای مخرب منحصربه*فرد را، کشف کردند.

ظاهراً MisoSMS با به*کارگیری برنامه*ی اندرویدی مخربی موسوم به «Google Vx» اقدام به آلودگی سامانه*های اندرویدی می*کند؛ این برنامه در پوشش برنامه*ای ویژه*ی تنظیمات و وظایف مدیریتی درآمده است.

این برنامه با حیله*ی خاصی نصب شده و از دید کاربر پنهان می*شود و به محض نصب پیامک*های کاربر را مخفیانه سرقت کرده و به کارگزار کنترل و فرمان*دهی وب*میل خود می*فرستد. فایرآی شیوه*ی ارسال پیامک*ها را نیز به این ترتیب توصیف کرد:

این برنامه پیامک*ها را به شیوه*ی منحصربه*فردی استخراج می*کند. برخی از بدافزارهای سارق پیامک محتوای پیامک*های کاربر را از طریق ارسال آن*ها به شماره*ی تلفن تحت کنترل مهاجم می*فرستند. برخی دیگر از بدافزارها نیز پیامک*های سرقتی را از طریق ارتباطات TCP به کارگزار کنترل و فرمان*دهی ارسال می*کنند. اما این برنامه*ی مخرب پیامک*های ربوده شده را از طریق ارتباط SMTP به آدرس رایانامه*ای مهاجم می*فرستد.

به گفته*ی فایرآی طی اقداماتی با مقامات اجرایی و امنیتی کره و چین تمامی حساب*های رایانامه*ای مخرب مربوطه غیرفعال شده*اند.

وجود خطایی در آفیس* ۳۶۵ امکان سرقت اطلاعات محرمانه را به نفوذگران می*دهد؛ برای این کار تنها میزبانی یک سند متنی یا اسلاید پاورپوینت کافی است.

هر شخصی که یک سند متنی را در کارگزار وب خود میزبانی می*کند می*تواند اطلاعات محرمانه*ی مایکروسافت آفیس ۳۶۵ را سرقت کند؛ این امکان به سبب وجود خطایی در چگونگی احراز هویت کاربران در این سرویس محاسبات ابری ایجاد شده است.

ظاهراً Office 365 از کاربران می*خواهد که به حساب کاربری خود وارد شوند، و زمانی که سندی را از یک کارگزار شیرپوینت بارگیری می*کنند این ابزار اطلاعات محرمانه*ی کاربری را که در حال حاضر وارد شده با ارسال یک توکن ویژه*ی احراز هویت تأیید می*کند.

این توکن تنها زمانی که کارگزار در دامنه*ی sharepoint.com قرار دارد می*بایست ارسال شود که ظاهراً این*گونه نیست.

به گفته*ی پژوهش*گری که این خطا را کشف کرده با اجرای کارگزار دلخواه خود و ارسال پاسخ به گونه*ای که از کارگزار شیرپوینت معتبر انتظار می*رود، رایانه*ی کاربر توکن احراز هویت را ارسال خواهد کرد. وی نوشت: «در حال حاضر کارگزار مخرب من، می*تواند به سادگی به وب*گاه شیرپوینت سازمان شما مراجعه کرده و تمامی آن را بارگیری کند، تغییر دهد و هر آنچه را که دوست دارد انجام دهد و روح شما هم از این ماجرا خبر نداشته باشد. به این ترتیب جرم و جنایت بی*نقصی رخ می*دهد!»

این فرد برای اثبات گفته*ی خود نمونه*ویدئویی را هم ایجاد کرد و چگونگی سرقت توکن*های احراز هویت را به تصویر کشید.

مایکروسافت نیز در پاسخ به این آسیب*پذیری بولتن امنیتی را منتشر کرد و هفته*ی گذشته نیز اصلاحیه*ای را در اصلاحیه*های روز سه*شنبه*ی خود برای آن عرضه نمود.

به گفته*ی مایکروسافت مهاجمی که از این آسیب*پذیری سوء*استفاده کند می*تواند به توکن*هایی که برای احراز هویت کاربر جاری در کارگزار شیرپوینت یا سایر وب*گاه*های مایکروسافت آفیس استفاده شده، دست یابد.

در اخبارهای پیشین راجع به بدافزار IIS مایکروسافت صحبت کردیم. حال قصد داریم به معرفی شکافی بپردازیم که امکان نصب این بدافزار (ISN) را مهیا می*کند.

تحقیقات نشان داده که نفوذگران از شکاف کلدفیوژن برای نصب بدافزار IIS مایکروسافت کمک گرفته*اند. این بدافزار به عنوان یک ماژول IIS کار می*کند و قادر است اطلاعاتی را که کاربر در فرم*های وب وارد می*کند ضبط نماید. 


متن کلی:

به گزارش سرویس خبری IDG، نفوذگران از یک آسیب*پذیری موجود در ادوبی کلدفیوژن برای راه*اندازی بدافزار سارق اطلاعاتی استفاده می*کنند که در پوشش ماژول نرم*افزار کارگزار وب IIS عمل می*کند.

همان*طور که پیشتر گفتیم بدافزار ISN ابتدا نسخه*ی IIS را تشخیص داده، سپس ماژول DLL مرتبط با آن را نصب می*کند، ماژولی که به نظارت بر درخواست*های POST و داده*های ارسالی در نشانی*های وب ویژه می*پردازد و اطلاعات به دست *آمده را در یک پرونده*ی گزارش ثبت می*نماید.

این روش اجازه می*دهد که داده*ها، حتی در صورتی که اتصال میان کاربر و کارگزار توسط SSL محافظت شده باشد، جمع*آوری شود.

محققان در پست تازه*ای که روز جمعه منتشر کردند نشان دادند که ISN به کمک سوءاستفاده از یک آسیب*پذیری دور زدن از راه دور احراز هویت در بستر تحت وب ادوبیِ کلدفیوژن می*تواند روی کارگزارهای IIS مورد نفوذ نصب شود.

ادوبی وصله*ای را در ماه ژانویه برای این آسیب*پذیری که دارای شناسه*ی CVE-2013-0629 می*باشد، منتشر نموده است. در این عملیات مخرب، نفوذگران با بهره*گیری از CVE-2013-0629 اقدام به نصب یک در پشتی به نام Web shell نموده*اند که به آن*ها اجازه می*دهد دستورات پوسته1 را در سامانه*ی عامل اجرا نمایند.

پژوهش*گران Trustwave این نقص کلدفیوژن را که به نصب ISN می*انجامد در اواخر ماه فوریه و یک ماه پس از انتشار وصله از سوی ادوبی مورد تجزیه و تحلیل قرار داده*اند.

این پژوهش*گران می*گویند: «در این رخداد خاص، نهاد قربانی از آسیب*پذیری گزارش*شده از سوی ادوبی آگاه بوده، اما هنوز نسبت به نصب وصله اقدام نکرده است.»

درواقع این حادثه مشکل ضعف بسیاری از سازمان*ها را در تنظیم برنامه*های زمانی*شان جهت نصب وصله* بازگو می*نماید، برنامه*هایی که عقب*تر از مهاجمان امروزی هستند، چرا که مهاجمان راغب*اند از آسیب*پذیری*هایی سوءاستفاده کنند که به تازگی افشاء شده*اند و دیگر به شکاف*های نرم*افزاری قدیمی بسنده نمی*کنند.

همچنین می*توان نتیجه گرفت که کلدفیوژن به سوژه*ی جالبی برای مهاجمان مبدل شده است. ادوبی در سال جاری دو بار در مورد آسیب*پذیری*های خود به کاربران خود هشدار داده و خاطرنشان کرده که این شکاف*ها هیچ وصله*ای ندارند و به*طور قابل ملاحظه*ای در معرض سوءاستفاده توسط نفوذگران سایبری قرار دارند.

در ماه آوریل هم نفوذگران به واسطه*ی شکافی در کلدفیوژن که تا آن زمان ناشناخته بود، به کارگزارهای مدیریتی و پایگاه داده*ی کاربران Linode نفوذ کردند؛ Linode یک کارگزار خصوصی مجازی است.

وصله*سازی مرتب و باقاعده*ی نرم*افزارها یکی از بهترین راه*کارهایی است که به واسطه*ی آن می*توان رایانه را از آلودگی به بدافزارهای نوظهور در امان نگه داشت. متأسفانه همه*ی کاربران این رویه را دنبال نمی*کنند.

در سوی دیگر این ماجرا مجرمان سایبری قرار دارند که بسیار خوشحال می*شوند که هنوز برخی از کاربران از مفهوم وصله*های نرم*افزاری سر در نمی*آورند. به این ترتیب نفوذگران می*توانند از کدهای مخرب قدیمی و پیش*پاافتاده استفاده کنند و نتیجه*ی خوبی عایدشان شود.

به تازگی جزئیات حمله*ای برملا شده که با سوءاستفاده از آسیب*پذیری روز صفرم اینترنت اکسپلورر عملی شده است، این آسیب*پذیری در حملات بدسابقه*ی Aurora علیه گوگل و بسیاری از شرکت*های فعال در عرصه*ی اینترنت، امور مالی، فن*آوری، رسانه و صنایع شیمیایی به کار گرفته شده* است.

همان*طور که در نوشتارهای گذشته بدان اشاره داشتیم، حملات Aurora نخستین*بار در دسامبر ۲۰۰۹ کشف شدند و در ژانویه*ی ۲۰۱۰ صحبت از آن* به نقل محافل عمومی مبدل شد. این وقایع درست چهار سال پیش اتفاق افتاد، و مایکروسافت وصله*ی مربوطه را دو سال پیش منتشر نمود.

با این وجود، دلیل واضح پشت حمله به آسیب*پذیری*های قدیمی به باور مهاجمان برمی*گردد، این باور که هنوز مرورگرهای وصله*نشده و منسوخ در رایانه*های کاربران وجود دارد.

در این حمله*ی به*خصوص از کدهای پیچیده*ی جاوااسکریپت برای ارائه*ی محتوای مخرب به بازدیدکنندگان وب*گاه*های مورد نفوذ استفاده می*شود، گفتنی است ابزار بارگیری تروجان که کد مخرب را بر جای می*گذارد کماکان توسط کمتر از ۳۰ مورد از ۴۱ ضدبدافزار استفاده*شده توسط ویروس*توتال شناسایی می*شود.
 

اخیراً پیرامون بات*نت منحصر*به*فردی صحبت کردیم که متشکل از ۱۲۵۰۰ رایانه*ی آلوده است و برای جستجوی وب*گاه*های آسیب*پذیر در برابر حملات تزریق SQL استفاده می*شود.

چنانچه به نقل از برایان کربس گفتیم این رایانه*ها تقریباً در هر صفحه*ای که کاربر از آن دیدن می*کند بررسی*های لازم را برای پی*بردن به وجود آسیب*پذیری*های مختلف تزریق SQL انجام می*دهد. البته این اقدام را با استفاده از افزونه*ی مخرب موزیلا فایرفاکس با نام Microsoft .NET Framework Assistant به انجام می*رساند.

هنوز مشخص نیست که چگونه رایانه*ها ابتدا دچار آلودگی شدند و کاربران چگونه این افزونه را بارگیری و اجرا کرده*اند. احتمالاً این بدافزار با بارگیری سایر بدافزارها همراه شده و یا کاربر فریب خورده و این افزونه را بارگیری کرده است.

اما مشخص است که این افزونه*ی مخرب ابتدا در مِی ۲۰۱۳ شناسایی شد و از این رو این بات*نت موسوم به «Advanced Power» دستِ*کم در ۶ ماه اخیر فعالیت داشته است.

چند ساعت پس از افشای عمومی این بات*نت، موزیلا اعلام کرد که با افزودن به فهرست سیاه خود، این افزونه را غیرفعال ساخته است. این شرکت توضیح داد:* «این افزونه ارتباطی به Microsoft .NET Framework Assistent که توسط مایکروسافت ایجاد شده، ندارد. بلکه این افزونه صرفاً ابزار مخربی است که توسط افراد خراب*کار با نام مشابه ایجاد شده تا کاربران فریب داده شده و تشکیل بات*نتی را بدهند که حملات تزریق SQL را علیه وب**گاه*ها صورت می*دهد.»

فایرفاکس فهرست سیاه خود را هر روز بررسی می*کند و کاربران مربوطه نیازی نیست که شخصاً کاری را برای حل این مشکل انجام دهند؛ بلکه این افزونه* به طور خودکار غیرفعال می*شود.

نزدیک به دو ماه پیش اخبار نفوذ به وب*گاه PHP.net منتشر شد و در این اخبار گزارش شد که این وب*گاه به این دلیل که دست کم میزبان ۵ بدافزار می*باشد توسط افزونه*ی مرور امن در مرورگر کروم برای مدت ۲ روز مخرب شناسایی شده است.

نفوذ به وب*گاه PHP.net به*قدری مهم جلوه کرد در آن برهه*ی زمانی اهمیت چندانی به بدافزار*هایی که توسط این وب*گاه میزبانی می*شدند، داده نشد. 

اما پس از گذشت ۲ ماه، شرکت امنیتی وابسته به رژیم صهیونیستیِ Seculert به تحقیق در مورد این بدافزار*ها پرداخته و بدافزاری را کشف کرده است که شاید در حال حاضر هنوز فعالیت آسیب*رسانی برای آن کشف نشده، اما قابلیت مهمی دارد که شایان توجه است. 

بدافزاری که توسط این تیم امنیتی DGA.Changer نام*گذاری شده است در*واقع فقط یک نرم*افزار است که وظیفه دارد سایر بدافزار*ها را در سامانه*ی قربانی بارگیری کند و تا کنون نزدیک به ۶۵۰۰ آی*پی مربوط به سامانه*های آلوده که با کارگزار کنترل و فرمان*دهی این بدافزار در ارتباط بوده*اند،* کشف شده است که البته علی*رغم این که کمپین این بدافزاجهانی است اما نیمی از آی*پی*هایی که با کارگزار کنترل و فرمان*دهی در ارتباط بوده*اند، متعلق به کشور آمریکاست. 

ویژگی بسیار مهم این بدافزار، استفاده از الگوریتم تولید نام دامنه یا DGA است. DGA به صورت یک مکانیزم یدکی برای بات*نت یا بدافزار در زمانی که کارگزار اصلی کنترل و فرمان*دهی در دسترس نباشد و یا مختل شده باشد و یا حتی برای فرار از شناسایی، عمل می*کند.

این الگوریتم به بدافزار اجازه می*دهد به طور پویا فهرستی از نام*های دامنه را تولید کنند که این نام*های دامنه می*تواند کارگزار کنترل و فرمان*دهی مربوطه باشد. DGA دنباله*ای حروف و تاریخ جاری را گرفته و رشته*ی خاصی را محاسبه می*کند. این الگوریتم قادر است ۱۳۸۰ نامه دامنه*ی منحصربه*فرد با پسوند com در یک روز تولید کند.

اما نکته*ی قابل توجه در الگوریتم به کار رفته در این بدافزار این است که رشته*ی تولید*شده از یک سامانه به سامانه*ی دیگر تغییر می*کند که آن Seed می*گویند.

بنابراین به محض این که این بدافزار در سامانه*ی قربانی نصب شود، اطلاعات سامانه*عامل و اطلاعات seed الگوریتم مورد استفاده را برای کارگزار کنترل و فرمان*دهی ارسال می*کند و بلافاصله آدرس نام دامنه برای کارگزار کنترل و فرمان*دهی تغییر می*کند و از آن*جایی که این بدافزار فهرستی از نام*های دامنه در پرونده*های پیکربندی خود ندارد و در هر زمان تنها یک دامنه وجود دارد، مسدود کردن دامنه*های مخرب شناخته شده کار بسیار دشواری است و نمی*توان به راحتی از Sandbox برای شناسایی نام*های دامنه بهره جست.

البته هنوز این بدافزار اقدام به نصب بدافزار* دیگری که وظیفه اصلی آن است نکرده است و این مسئله*ای است که محققان را نگران می*کند. چراکه بدافزاری که به این پیچیدگی طراحی شده است هنوز از ویژگی اصلی خود که بارگیری بدافزار*های دیگر می*باشد استفاده نکرده است!

همان*طور که مطرح شد این بدافزار در اولین و آخرین اتصال خود به کارگزار کنترل و فرمان*دهی اصلی قبل از استفاده از الگوریتم نام دامنه، اطلاعات زیر را ارسال می*کند:*

seed مربوط به الگوریتم DGA
اطلاعات سامانه*عامل (مانند شماره سریال، تعداد پردازنده*های فعال و …)
اطلاعات نسخه*ی فعال Adobe Flash 
نتیحه*ی آزمون اجرا شدن بدافزار در ماشین مجازی
اگرچه تاکنون این بدافزار فعالیتی نداشته است، اما قادر است فعالیت*های زیر را انجام دهد:*

تغییر User Agent و پیکربندیِ اتصالات
بارگیری به*روز*رسانی
اجرای نرم*افزار*های اجرایی
تغییر تنظیمات الگوریتم DGA
اطلاعات مربوط به پویش پرونده*های این بدافزار در وب*گاه ویروس*توتال به شرح زیر است*:

پیوند وب*گاه ویروس توتال نرخ تشخیص هش md5
+ ۳۶/۴۶ 81fd5cfe4c40b1f91d29ffa23aca7067
+ ۳۷/۴۹ c73134f67fd261dedbc1b685b49d1fa4

کارگزران روزنامه*ی آمریکایی واشنگتن*پست به تازگی مورد حمله قرار گرفتند و مهاجمان موفق شدند به شناسه و گذرواژه*ی کارمندان این روزنامه دست* پیدا کنند. میزان هزینه*ای که این حمله به روزنامه*ی واشنگتن*پست وارد کرده به صورت شفاف توسط مسئولین فناوری* اطلاعات این روزنامه اعلام نشده، اما از تمامی کارمندان خواسته شده است نام کاربری و گذرواژه*ی خود را تغییر دهند. البته اعلام شده که گذرواژه*ها به صورت رمز*شده در کارگزار ذخیره شده بودند، اما از آن*جایی که گذرواژه*های ساده حتی در صورت رمز*شدن هم به سادگی قابل شکسته شدن هستند، بنابراین میزان خسارات به راحتی قابل تشخیص نخواهد بود. 

این روزنامه اعلام نکرده است که آیا شواهدی مبنی بر این که مهاجمان به اطلاعات نظردهندگان و همچنین اعضایی که خبرنامه*های این وب*گاه را دریافت می*کرده*اند، وجود داشته است یا خیر. 

شبکه**ی این روزنامه توسط شرکت معروف امنیتی Mandiant اداره می*شده است و کشف این نفوذ نیز توسط همین شرکت انجام شده است، البته لازم به ذکر است که انتقادات فراوانی به گزارش قبلی شرکت Mandiant وارد شده بود. Mnadiant، شرکت امنیتی که مسئول بررسی نفوذهایی که به دو روزنامه*ی آمریکایی نیویورک*تایمز و واشنگتن*پست صورت گرفت، می*باشد گزارشی را در فوریه سال ۲۰۱۳ منتشر کرد و دولت چین را مسئول و حامی یکی از مهم*ترین واحدهای جاسوسی سایبری خواند.

در حالی که این گزارش اطلاعات جالبی را ارائه کرده بود، اما به نظر می*رسد همان اندازه که حامیانی را جذب کرده، منتقدانی نیز به همراه داشته است. برخی آن را ناقص و معیوب می*پندارند و برخی نیز آن را گونه*ای بازاریابی مهیج و مؤثر می*خوانند.

این سومین نفود کشف*شده به کارگزارهای این شرکت در سه سال گذشته می*باشد، گفته می*شود احتمال این که گروهی از نفوذگران چینی پشت پرده*ی این نفوذ باشند نیز وجود دارد همان*طور که در نفوذ*های سال جاری به کارگزار*های روزنامه*های نیویورک*تایمز و وال*استریت*ژورنال انگشت اتهام به سمت نفوذگران چینی بوده است. 

این نفوذ از حمله به کارگزاری آغاز شده است که اطلاعات کارمندان خارجی این روزنامه را در خود نگه*داری می*کرده و سپس در سایر کارگزارها نیز منتشر شده است. 

این مسأله بی*شک برای مقامات FBI و البته توسعه*دهندگان بدافزار مسئله*ی جدیدی نیست اما این اولین بار است که به صورت عمومی مستند و منتشر شده است.

در این مقاله که با عنوان «iıSeeYou: Disabling the MacBook Webcam Indicator LED» منتشر شده است، محققان نشان داده*اند که چگونه می*توان با یک قطعه نرم*افزاری چراغ LED را به نحوی از کار بیاندازند که در هنگام دریافت ورودی دوربین و یا به عبارتی تصویر کاربر خاموش باشد. بنابراین مهاجمین و توسعه*دهندگان بدافزارهای دست*رسی از راه دور می*توانند به راحتی این قطعه کد را اجرا کنند و حتی نیازی به دست*رسی سطح مدیر در رایانه*ی قربانی برای این کار ندارند. 

در برخی خبرگزاری*ها این آسیب*پذیری اشتباهاً ویژه*ی مک*بوک عنوان شده است که صحیح*تر است در گزارش خود بیان کنیم این آسیب*پذیری ویژه*ی نسل آی*مک نیز می*باشد و رایانه*های قابل حمل مک*بوک و مک*بوک*پرو قبل از سال ۲۰۰۸ نیز شامل این آسیب*پذیری هستند.

البته محققان اذعان داشته*اند که به راحتی می*توان کد جدیدی برای نسخه*های جدید*تر وب*کم محصولات این شرکت توسعه داد. 

به منظور رفع آسیب*پذیری این سفت*افزار یک افزونه*ی سطح هسته به نام iSightDefender توسط همین محققان توسعه پیدا کرده است، البته روش راحت*تر نیز خلاص*شدن کلی از شر وب*کم این محصولات است!

می*توانید اصل مقاله را از این پیوند بارگیری کنید.