⚠️ باگ هولناک جدید : انتشار اکسپلویت آسیب‌پذیری غیرقابل پچ روی Bootroom دستگاه‌های آیفون

خب، Bootroom یا SecureROM روی دستگاه‌های شرکت اپل، اولین کد مهمیه که روی هر کدومشون اجرا می‌شه. Bootroom فقط خواندنیه و پیدا شدن آسیب‌پذیری روش انقدر مهم و بحرانیه که اپل هیچوقت نمی‌تونه اونو پچ کنه. تنها راهش جایگزین شدن سخت‌افزاره!

اکسپلویتی که امروز منتشر شد از Bootroom آیفون 4S تا آیفون 8 رو در بر می‌گیره! آسیب‌پذیری این Bootroomها از نوع Race Condition هست و اکسپلویتی که منتشر شده بخاطر جنبه‌ی حیاتی‌ای که داره، ترجیح داده شده که Full Jailbreak نباشه. ولی این امکان برای محقق وجود داره که SecureRom رو دامپ کنه، رمزنگاری فایل سیستم اپل (keybag)‌ رو رمزگشایی کنه و در نهایت امکان بهره‌گیری از JTAG رو روی دستگاه به قصد دسترسی مستقیم به حافظه دستگاه (DMA)‌ فراهم کنه. این بنده‌ی خدایی که این آسیب‌پذیری رو کشف کرده میگه موقعی که اپل نسخه‌ی بتا iOS ۱۲ رو ریلیز کرده، یه آسیب‌پذیری UAF روی کد iBoot USB رو پچ کرده که از راه دور قابل اکسپلویت نبوده و نیاز به دسترسی فیزیکی به دستگاه داشته. اینطوری بوده که با تحلیل اون، این آسیب‌پذیری کشف شده. آخرین اکسپلویتی که از Bootroom تاحالا کشف شده مربوط به iPhone 4 به قبل بوده!

حالا با این اکسپلویت متاسفانه همه به راحتی می‌تونن هر دستگاه آیفونی رو Jailbreak کنن. هکرها، پلیس‌ها، دزدها، دولت‌ها و... هم می‌تونن با این اکسپلویت گوشی شما رو Jailbreak و تمام اطلاعاتتون رو در اختیار داشته باشند. می‌تونید از لینک زیر به این اکسپلویت دسترسی داشته باشید!

https://github.com/axi0mX/ipwndfu

⚠️ آسیب ابزاری مهم ، قدرتمند و متداول که به عنوان یک دستور اصلی که تقریباً در هر سیستم عامل UNIX و مبتنی بر لینوکس نصب می شود.
آسیب پذیری مورد بحث یک مسئله دور زدن سیاست امنیتی sudo است که می تواند به یک کاربر مخرب یا برنامه مخرب اجازه دهد تا دستورات دلخواه را به عنوان root در یک سیستم هدف لینوکس اجرا کند، حتی اگر "پیکربندی sudoers" صریحاً دسترسی root را نادیده بگیرد!

⚠️ ArvanCloud WAF Bypass

استفاده از CDN ایرانی گزینه مناسبی در مقابل سرویس های خارجی هستش, اما به شرطی که Engine Detection مکانیزم WAF این سرویس دهنده مانند مشابه های خارجی خود, فعال و از کیفیت خوبی برخوردار باشه!

یکی از روش های امن سازی وب سرور و برنامه های تحت وب، جلوگیری از انتشار نسخه دقیق زبان برنامه نویسی و البته وب سروری است که روی آن وب سایت قرار دارد. در IIS قابلیتی به نام IIS Headers وجود دارد که به نفوذگر امکان شناسایی نسخه وب سرور را می دهد. شما می توانید در ادامه با روش غیرفعال کردن IIS Header و البته HTTP Header آشنا بشید :

✅غیرفعال کردن X-Powered-By در IIS برای جلوگیری از نمایش نسخه IIS
برای غیرفعال کردن X-Powered-By مراحل زیر را انجام دهید :

وارد کنسول IIS Manager بشوید
بر روی سایتی که می خواهید این موارد غیرفعال باشد کلیک کنید
گزینه HTTP Response Headers را پیدا کنید
گزینه X-Powered-By را انتخاب و Remove را بزنید

✅غیرفعال کردن نمایش ASP.NET در وب سرور IIS

برای جلوگیری از نمایش X-ASP.NET-VERSION و Header Http می توانید به سادگی فایل web.config را در وب سایت مورد نظر پیدا کنید و خط زیر را بعد از تگ <system.web> به آن اضافه کنید

<httpRuntime enableVersionHeader="false" />

⚠️به اتمام رسیدن آدرس‌های جهانی IPv4 مدت‌ها پیش پیش‌بینی شده‌ بود و امروز این پیش‌بینی به تحقق پیوست؛
تمام ۴/۳ میلیارد آدرس IPv4 اختصاص داده شده و دیگر هیچ آدرس IPv4 برای اختصاص به ISPها یا سایر ارائه‌دهندگان زیرساخت‌های شبکه موجود نیست.

@futuresnet

⚠️ مرورگر کروم خود را به جدیدترین نسخه آن یعنی Chrome 79 بروزرسانی کنید.

در نسخه جدید حفاظت در مقابل فیشینگ بهبود یافته و هنگام ورود به وب‌سایت‌های مختلف، هشدارهایی درباره‌ ربوده و فاش شدن رمزعبورتان میدهد.
در این نسخه، از رمزگذاری رمزعبور با چندین لایه استفاده شده است.

@futuresnet

🔴 کلاس آنلاین +Network با تدریس مهندس مهدی مردان

✳️ فیلم آموزشی جلسه اول (شنبه 14 دی ساعت 9 الی 11 شب)

🌕 تمام جلسات رکورد می شود و در پایان جلسه تقدیم دوستان خواهد شد

🎁آفر ویژه 70% برای کلاس های آنلاین🎁

💥دوستان می توانند تا پایان این هفته با مبلغ 200 هزار تومان ثبت نام کنند

☄️ این آفر بخاطر شروع کار آموزش آنلاین هستش و تکرار نخواهد شد
https://support.faraznetwork.ir/cart.php?gid=20

اکسپلویت آسیب پذیری DNS Cache Poisoning که قابل بهره برداری در سیستم عامل میکروتیک نسخه ۶.۴۵.۶ و قبل آن است، توسط Jacob Baines منتشر شد.

دانلود اکسپلویت :
http://bit.ly/2NvL5fN

⚠️ گوگل به‌روزرسانی جدیدی برای آسیب‌پذیری روزصفرم (ZeroDay) مرورگر کروم برای کاربران دسکتاپ منتشر کرده ‌است.

گوگل به‌روزرسانی جدیدی برای مرورگر کروم برای کاربران دسکتاپ منتشر کرده‌است. نسخه جدید این مرورگر (۸۰.۰.۳۹۸۷.۱۲۲) سه آسیب‌پذیری مهم را برطرف می‌کند که یکی از آنها با شناسه CVE-۲۰۲۰-۶۴۱۸ توسط مهاجمان نیز مورد بهره‌برداری قرار گرفته‌بود. خلاصه‌ای از سه آسیب‌پذیری برطرف شده به شرح زیر است:

۱. سرریز داخلی در ICU
۲. دسترسی خارج از محدوده‌ی حافظه در جریان‌ها (CVE-۲۰۲۰-۶۴۰۷)
۳. آسیب پذیری Type confusion در V8 با شناسه CVE-۲۰۲۰-۶۴۱۸

مهاجم با بهره‌برداری از آسیب‌پذیری‌های سرریز داخلی و دسترسی خارج از محدوده‌ حافظه می‌تواند سیستم آلوده قربانی را تحت کنترل بگیرد؛ به‌طوری‌که با فریب کاربر برای بازدید از یک سایت مخرب که از بهره‌برداری دو آسیب‌پذیری مذکور کمک می‌گیرد امکان اجرای کد دلخواه در سیستم قربانی وجود دارد.
آسیب‌پذیری Type confusion نیز در موتور تفسیر جاوااسکریپ V8 وجود داشت که هم‌زمان به‌صورت فعال مورد بهره‌برداری مهاجمان قرار گرفته‌بود. لازم به ذکر است که جزییات فنی این آسیب‌پذیری تا کنون به صورت دقیق منتشر نشده‌است.


🔴 به کاربران مرورگر Google Chrome توصیه می‌شود هرچه سریع‌تر به‌روزرسانی را انجام دهند.

دوستان عزیز مواظب تبلیغات مخرب از این نوع باشید. این کمپین ها برای دانلود برنامه های مخرب و دسترسی به اطلاعات تلفن همراه شما ایجاد شده و بصورت گسترده منتشر میشه. اکیدا توصیه میشه بر روی چنین لینکهای تبلیغاتی تحت هیچ شرایطی کلیک نکنید.

⚠️ یک حمله سایبری اخیراً مشاهده‌ شده است که در حال سرقت تنظیمات DNS دستگاه‌های مودم روتر از طریق نمایش یک هشدار جعلی از سازمان بهداشت جهانی درباره ویروس COVID-۱۹ است.

این هشدار جعلی درواقع منجر به دریافت بدافزار Oski می‌شود.

این هشدارها در اثر حمله انجام‌شده برای تغییر سرورهای DNS پیکربندی‌شده در مودم روترهای خانگی D-Link یا Linksys به سرورهای DNS ، نمایش داده که توسط مهاجمین اداره می‌شوند. این سرورهای DNS مخرب می‌توانند قربانیان را به محتوای مخرب تحت کنترل خود هدایت کنند.
در حال حاضر مشخص نیست که چگونه مهاجمین برای تغییر پیکربندی DNS به مودم روترها دسترسی پیدا می‌کنند.

🔴 در اینجا توصیه میکنم پسورد مدیریت مودم روترهای خانگی خودتون رو تغییر و یک پسورد مناسب بگذارید.

هنگامی‌که مهاجمان به مودم روتر دسترسی پیدا کردند، سرورهای DNS را به موارد ۱۰۹,۲۳۴.۳۵.۲۳۰ و ۹۴.۱۰۳.۸۲.۲۴۹ تغییر داده‌اند. ازآنجایی‌که این آدرس IPها تحت کنترل مهاجمین هستند، قربانی در صفحه مرورگر خود هشداری مبنی بر دانلود یک برنامه اطلاع‌رسانی درباره ویروس COVID-۱۹ از طرف سازمان بهداشت جهانی مشاهده می‌کند.

در صورت کلیک بر روی گزینه دانلود، قربانی تروجان Oski را دریافت می‌کند که این بدافزار پس از راه‌اندازی، از سیستم قربانی، اطلاعات زیر را سرقت می‌کند:

⦁ کوکی‌های مرورگر
⦁ تاریخچه مرورگر
⦁ اطلاعات پرداخت مرورگر
⦁ اطلاعات احراز هویت ذخیره ‌شده
⦁ کیف پول رمز ارزها
⦁ فایل‌های متنی
⦁ اطلاعات مربوط به تکمیل خودکار فرم در مرورگر
⦁ پایگاه داده احراز هویت دومرحله‌ای Authy ۲FA
⦁ اسکرین‌شات از دسکتاپ کاربر در هنگام آلودگی

این اطلاعات سپس در یک سرور راه دور بارگذاری می‌شوند تا برای انجام حملات استفاده شوند.

🔴 در صورت نمایش این صفحه هشدار جعلی، تنظیمات DNS مسیریاب بررسی شوند و آدرس‌های ۱۰۹,۲۳۴.۳۵.۲۳۰ و ۹۴.۱۰۳.۸۲.۲۴۹ حذف شوند. علاوه بر این، در صورت آلودگی به تروجان Oski، لازم است تا کلیه پسوردهای ذخیره‌شده در مرورگر تغییر داده شوند.

⚠️ ایران آلوده‌ترین کشور دنیا در بدافزارهای موبایلی

ایران برای سومین سال متمادی، رتبه نخست آلودگی به بدافزارهای موبایلی را کسب کرد.

به گزارش کسپرسکی، بیشترین آلودگی در ایران مربوط به تبلیغ‌افزارها است.

🔴 متاسفانه بسیاری از برنامه‌های ایرانی با استفاده از سرویس‌های ارسال هشدار (پوش نوتیفیکیشن) به بدافزارهایی تبدیل شده‌اند، که انجام اعمال مخرب بسیاری را از راه دور روی گوشی قربانی ممکن می‌سازد.

این رو یادتون باشه کسی مقصر نیست، ما کلا عادت داریم هر جا که رتبه بندی باشه همیشه در صدر باشیم! ☺️

منبع:
https://securelist.com/mobile-malware-evolution-2019/96280/

هوش تهدیدات سایبری @futuresnet

⚠️ تروجان بانکی Zeus Sphinx با سوء استفاده از نگرانی جهانی از بحران همه‌گیری کووید ۱۹ در حال انتشار است.

این بدافزار بر پایه کد افشا شده نسخه ۲ تروجان معروف Zeus ساخته شده است. Zeus Sphinx که با نام‌های Zloader و Terdot نیز شناخته می‌شود اولین بار در سال ۲۰۱۵ در جریان اجرای حملاتی بر ضد بانک‌های آمریکایی شناسایی شد. اما برای سال‌ها به استثنای چند مورد سایبری فعالیت چشمگیری از Zeus Sphinx گزارش نشد.

🔴 اکنون مدتی است که این تروجان مجدداً در حملات بر ضد بانک‌ها و همچنین در موارد مرتبط با بیماری کووید ۱۹ فعالیت آن از سر گرفته شده است.

در ماه مارس، IBM از اجرای موجی از حملات خبر داد که در آنها تروجان در اسناد فیشینگ مخفی شده و از طریق ایمیل منتشر می‌شد. در آن حملات اینطور وانمود می‌شد که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.

بررسی‌های IBM نشان می‌دهد که این بدافزار در نتیجه ارتقاهای مستمر مستحکم‌تر و قدرتمندتر از قبل شده است.

این بدافزار از طریق پیوست مخربی که در آن از قربانی خواسته می‌شود که ماکرو را فعال کند به سیستم راه پیدا می‌کند. به‌محض اجرا، بدافزار اقدام به ایجاد یک کلید Run در Windows Registry برای ماندگار کردن و اجرای خودکار خود در هر بار راه‌اندازی سیستم می‌کند.

ایجاد کلید Run روشی بسیار رایج برای ماندگار کردن پروسه مخرب بر روی دستگاه آلوده است که Zeus Sphinx از ابتدای پیدایش از آن استفاده می‌کرده است. Zeus Sphinx خود را در قالب یک فایل اجرایی یا یک DLL مخرب توزیع می‌کند.

همچنین Zeus Sphinx یک پروسه مستقل با نام msiexec.exe که عنوان آن برای مخفی نگاه داشتن ماهیت مخرب بدافزار برگرفته از یک برنامه معتبر با همین نام است ایجاد می‌کند.

در ژانویه ۲۰۲۰، نمونه‌هایی از بدافزار از فهرستی متغیر از سرورهای فرماندهی (C&C) و یک کلید RC۴ برای رمزگذاری ارتباطات بات‌نت استفاده می‌کردند.

اما نمونه‌های اخیر بدافزار با شناسه‌ای جدید، شامل مجموعه‌ای متفاوت از کلیدهای RC۴ و یک مجموعه کوچک‌تر اما متفاوت از سرور فرماندهی (C&C) هستند.

همچنین Zeus Sphinx از یک مولد اعداد شبه تصادفی (Pseudo-random Number Generator – به اختصار PRNG) به نام MT۱۹۹۳۷ برای ایجاد تغییر در نامهای فایل و منابع دستگاه آلوده با هدف عبور از سد محصولات امنیتی مبتنی بر اسکن static استفاده می‌کند.

جزییات بیشتر در مورد نسخه جدید Zeus Sphinx در لینک زیر:

https://securityintelligence.com/posts/zeus-sphinx-back-in-business-some-core-modifications-arise/

⚠️ تبلیغ «اینترنت ارزان به دلیل کرونا» درحال انتشار در شبکه‌های اجتماعی است. این تبلیغ جعلی بوده و اطلاعات حساب شما را سرقت می‌کند.

🔴 از آنجا که رمز دوم ثابت برای خرید زیر ۱۰۰ هزار تومان فعال است، هکرهای دوزاری همچنان از این رمزها سو استفاده می کنند.