Forwarded from گروه آموزشی فراز نتورک
🔴 کلاس آنلاین +Network با تدریس مهندس مهدی مردان
✳️ فیلم آموزشی جلسه اول (شنبه 14 دی ساعت 9 الی 11 شب)
🌕 تمام جلسات رکورد می شود و در پایان جلسه تقدیم دوستان خواهد شد
🎁آفر ویژه 70% برای کلاس های آنلاین🎁
💥دوستان می توانند تا پایان این هفته با مبلغ 200 هزار تومان ثبت نام کنند
☄️ این آفر بخاطر شروع کار آموزش آنلاین هستش و تکرار نخواهد شد
https://support.faraznetwork.ir/cart.php?gid=20
✳️ فیلم آموزشی جلسه اول (شنبه 14 دی ساعت 9 الی 11 شب)
🌕 تمام جلسات رکورد می شود و در پایان جلسه تقدیم دوستان خواهد شد
🎁آفر ویژه 70% برای کلاس های آنلاین🎁
💥دوستان می توانند تا پایان این هفته با مبلغ 200 هزار تومان ثبت نام کنند
☄️ این آفر بخاطر شروع کار آموزش آنلاین هستش و تکرار نخواهد شد
https://support.faraznetwork.ir/cart.php?gid=20
اکسپلویت آسیب پذیری DNS Cache Poisoning که قابل بهره برداری در سیستم عامل میکروتیک نسخه ۶.۴۵.۶ و قبل آن است، توسط Jacob Baines منتشر شد.
دانلود اکسپلویت :
http://bit.ly/2NvL5fN
دانلود اکسپلویت :
http://bit.ly/2NvL5fN
Exploit Database
MikroTik RouterOS 6.45.6 - DNS Cache Poisoning
MikroTik RouterOS 6.45.6 - DNS Cache Poisoning. CVE-2019-3978 . remote exploit for Hardware platform
⚠️ گوگل بهروزرسانی جدیدی برای آسیبپذیری روزصفرم (ZeroDay) مرورگر کروم برای کاربران دسکتاپ منتشر کرده است.
گوگل بهروزرسانی جدیدی برای مرورگر کروم برای کاربران دسکتاپ منتشر کردهاست. نسخه جدید این مرورگر (۸۰.۰.۳۹۸۷.۱۲۲) سه آسیبپذیری مهم را برطرف میکند که یکی از آنها با شناسه CVE-۲۰۲۰-۶۴۱۸ توسط مهاجمان نیز مورد بهرهبرداری قرار گرفتهبود. خلاصهای از سه آسیبپذیری برطرف شده به شرح زیر است:
۱. سرریز داخلی در ICU
۲. دسترسی خارج از محدودهی حافظه در جریانها (CVE-۲۰۲۰-۶۴۰۷)
۳. آسیب پذیری Type confusion در V8 با شناسه CVE-۲۰۲۰-۶۴۱۸
مهاجم با بهرهبرداری از آسیبپذیریهای سرریز داخلی و دسترسی خارج از محدوده حافظه میتواند سیستم آلوده قربانی را تحت کنترل بگیرد؛ بهطوریکه با فریب کاربر برای بازدید از یک سایت مخرب که از بهرهبرداری دو آسیبپذیری مذکور کمک میگیرد امکان اجرای کد دلخواه در سیستم قربانی وجود دارد.
آسیبپذیری Type confusion نیز در موتور تفسیر جاوااسکریپ V8 وجود داشت که همزمان بهصورت فعال مورد بهرهبرداری مهاجمان قرار گرفتهبود. لازم به ذکر است که جزییات فنی این آسیبپذیری تا کنون به صورت دقیق منتشر نشدهاست.
🔴 به کاربران مرورگر Google Chrome توصیه میشود هرچه سریعتر بهروزرسانی را انجام دهند.
گوگل بهروزرسانی جدیدی برای مرورگر کروم برای کاربران دسکتاپ منتشر کردهاست. نسخه جدید این مرورگر (۸۰.۰.۳۹۸۷.۱۲۲) سه آسیبپذیری مهم را برطرف میکند که یکی از آنها با شناسه CVE-۲۰۲۰-۶۴۱۸ توسط مهاجمان نیز مورد بهرهبرداری قرار گرفتهبود. خلاصهای از سه آسیبپذیری برطرف شده به شرح زیر است:
۱. سرریز داخلی در ICU
۲. دسترسی خارج از محدودهی حافظه در جریانها (CVE-۲۰۲۰-۶۴۰۷)
۳. آسیب پذیری Type confusion در V8 با شناسه CVE-۲۰۲۰-۶۴۱۸
مهاجم با بهرهبرداری از آسیبپذیریهای سرریز داخلی و دسترسی خارج از محدوده حافظه میتواند سیستم آلوده قربانی را تحت کنترل بگیرد؛ بهطوریکه با فریب کاربر برای بازدید از یک سایت مخرب که از بهرهبرداری دو آسیبپذیری مذکور کمک میگیرد امکان اجرای کد دلخواه در سیستم قربانی وجود دارد.
آسیبپذیری Type confusion نیز در موتور تفسیر جاوااسکریپ V8 وجود داشت که همزمان بهصورت فعال مورد بهرهبرداری مهاجمان قرار گرفتهبود. لازم به ذکر است که جزییات فنی این آسیبپذیری تا کنون به صورت دقیق منتشر نشدهاست.
🔴 به کاربران مرورگر Google Chrome توصیه میشود هرچه سریعتر بهروزرسانی را انجام دهند.
Forwarded from گروه آموزشی فراز نتورک
🔴 کارگاه آنلاین صفر تا 100 پشتيباني شبکه و امنيت شرکت ها و سازمانها با تدریس مهندس مهدی مردان
✳️ در اين دوره تمامي ابزارهاي ارتباط از راه دوره ، مديريت و مانيتورينگ شرکت ها کامل تدريس مي گردد
با کمک اين دوره آموزشي در سطح حرفه اي پشتيباني شرکت ها رو به عهده بگيريد
2️⃣ اولویت دوم سرمایه گذاری طبق نظر سنجی شما دوستان برای سرمایه گذاری در شرایط فعلی
🎁آفر ویژه 70% برای کلاس های آنلاین🎁
🌕 تمام جلسات رکورد می شود و در پایان جلسه تقدیم دوستان خواهد شد
💥مبلغ دوره 900 هزار تومان می باشد ، دوستان می توانند امروز با تخفیف ویژه با 600 هزار تومان ثبت نام کنند (کد تخفیف 300 )
https://support.faraznetwork.ir/cart.php?gid=23
✳️ در اين دوره تمامي ابزارهاي ارتباط از راه دوره ، مديريت و مانيتورينگ شرکت ها کامل تدريس مي گردد
با کمک اين دوره آموزشي در سطح حرفه اي پشتيباني شرکت ها رو به عهده بگيريد
2️⃣ اولویت دوم سرمایه گذاری طبق نظر سنجی شما دوستان برای سرمایه گذاری در شرایط فعلی
🎁آفر ویژه 70% برای کلاس های آنلاین🎁
🌕 تمام جلسات رکورد می شود و در پایان جلسه تقدیم دوستان خواهد شد
💥مبلغ دوره 900 هزار تومان می باشد ، دوستان می توانند امروز با تخفیف ویژه با 600 هزار تومان ثبت نام کنند (کد تخفیف 300 )
https://support.faraznetwork.ir/cart.php?gid=23
⚠️ یک حمله سایبری اخیراً مشاهده شده است که در حال سرقت تنظیمات DNS دستگاههای مودم روتر از طریق نمایش یک هشدار جعلی از سازمان بهداشت جهانی درباره ویروس COVID-۱۹ است.
این هشدار جعلی درواقع منجر به دریافت بدافزار Oski میشود.
این هشدارها در اثر حمله انجامشده برای تغییر سرورهای DNS پیکربندیشده در مودم روترهای خانگی D-Link یا Linksys به سرورهای DNS ، نمایش داده که توسط مهاجمین اداره میشوند. این سرورهای DNS مخرب میتوانند قربانیان را به محتوای مخرب تحت کنترل خود هدایت کنند.
در حال حاضر مشخص نیست که چگونه مهاجمین برای تغییر پیکربندی DNS به مودم روترها دسترسی پیدا میکنند.
🔴 در اینجا توصیه میکنم پسورد مدیریت مودم روترهای خانگی خودتون رو تغییر و یک پسورد مناسب بگذارید.
هنگامیکه مهاجمان به مودم روتر دسترسی پیدا کردند، سرورهای DNS را به موارد ۱۰۹,۲۳۴.۳۵.۲۳۰ و ۹۴.۱۰۳.۸۲.۲۴۹ تغییر دادهاند. ازآنجاییکه این آدرس IPها تحت کنترل مهاجمین هستند، قربانی در صفحه مرورگر خود هشداری مبنی بر دانلود یک برنامه اطلاعرسانی درباره ویروس COVID-۱۹ از طرف سازمان بهداشت جهانی مشاهده میکند.
در صورت کلیک بر روی گزینه دانلود، قربانی تروجان Oski را دریافت میکند که این بدافزار پس از راهاندازی، از سیستم قربانی، اطلاعات زیر را سرقت میکند:
⦁ کوکیهای مرورگر
⦁ تاریخچه مرورگر
⦁ اطلاعات پرداخت مرورگر
⦁ اطلاعات احراز هویت ذخیره شده
⦁ کیف پول رمز ارزها
⦁ فایلهای متنی
⦁ اطلاعات مربوط به تکمیل خودکار فرم در مرورگر
⦁ پایگاه داده احراز هویت دومرحلهای Authy ۲FA
⦁ اسکرینشات از دسکتاپ کاربر در هنگام آلودگی
این اطلاعات سپس در یک سرور راه دور بارگذاری میشوند تا برای انجام حملات استفاده شوند.
🔴 در صورت نمایش این صفحه هشدار جعلی، تنظیمات DNS مسیریاب بررسی شوند و آدرسهای ۱۰۹,۲۳۴.۳۵.۲۳۰ و ۹۴.۱۰۳.۸۲.۲۴۹ حذف شوند. علاوه بر این، در صورت آلودگی به تروجان Oski، لازم است تا کلیه پسوردهای ذخیرهشده در مرورگر تغییر داده شوند.
این هشدار جعلی درواقع منجر به دریافت بدافزار Oski میشود.
این هشدارها در اثر حمله انجامشده برای تغییر سرورهای DNS پیکربندیشده در مودم روترهای خانگی D-Link یا Linksys به سرورهای DNS ، نمایش داده که توسط مهاجمین اداره میشوند. این سرورهای DNS مخرب میتوانند قربانیان را به محتوای مخرب تحت کنترل خود هدایت کنند.
در حال حاضر مشخص نیست که چگونه مهاجمین برای تغییر پیکربندی DNS به مودم روترها دسترسی پیدا میکنند.
🔴 در اینجا توصیه میکنم پسورد مدیریت مودم روترهای خانگی خودتون رو تغییر و یک پسورد مناسب بگذارید.
هنگامیکه مهاجمان به مودم روتر دسترسی پیدا کردند، سرورهای DNS را به موارد ۱۰۹,۲۳۴.۳۵.۲۳۰ و ۹۴.۱۰۳.۸۲.۲۴۹ تغییر دادهاند. ازآنجاییکه این آدرس IPها تحت کنترل مهاجمین هستند، قربانی در صفحه مرورگر خود هشداری مبنی بر دانلود یک برنامه اطلاعرسانی درباره ویروس COVID-۱۹ از طرف سازمان بهداشت جهانی مشاهده میکند.
در صورت کلیک بر روی گزینه دانلود، قربانی تروجان Oski را دریافت میکند که این بدافزار پس از راهاندازی، از سیستم قربانی، اطلاعات زیر را سرقت میکند:
⦁ کوکیهای مرورگر
⦁ تاریخچه مرورگر
⦁ اطلاعات پرداخت مرورگر
⦁ اطلاعات احراز هویت ذخیره شده
⦁ کیف پول رمز ارزها
⦁ فایلهای متنی
⦁ اطلاعات مربوط به تکمیل خودکار فرم در مرورگر
⦁ پایگاه داده احراز هویت دومرحلهای Authy ۲FA
⦁ اسکرینشات از دسکتاپ کاربر در هنگام آلودگی
این اطلاعات سپس در یک سرور راه دور بارگذاری میشوند تا برای انجام حملات استفاده شوند.
🔴 در صورت نمایش این صفحه هشدار جعلی، تنظیمات DNS مسیریاب بررسی شوند و آدرسهای ۱۰۹,۲۳۴.۳۵.۲۳۰ و ۹۴.۱۰۳.۸۲.۲۴۹ حذف شوند. علاوه بر این، در صورت آلودگی به تروجان Oski، لازم است تا کلیه پسوردهای ذخیرهشده در مرورگر تغییر داده شوند.
⚠️ ایران آلودهترین کشور دنیا در بدافزارهای موبایلی
ایران برای سومین سال متمادی، رتبه نخست آلودگی به بدافزارهای موبایلی را کسب کرد.
به گزارش کسپرسکی، بیشترین آلودگی در ایران مربوط به تبلیغافزارها است.
🔴 متاسفانه بسیاری از برنامههای ایرانی با استفاده از سرویسهای ارسال هشدار (پوش نوتیفیکیشن) به بدافزارهایی تبدیل شدهاند، که انجام اعمال مخرب بسیاری را از راه دور روی گوشی قربانی ممکن میسازد.
این رو یادتون باشه کسی مقصر نیست، ما کلا عادت داریم هر جا که رتبه بندی باشه همیشه در صدر باشیم! ☺️
منبع:
https://securelist.com/mobile-malware-evolution-2019/96280/
ایران برای سومین سال متمادی، رتبه نخست آلودگی به بدافزارهای موبایلی را کسب کرد.
به گزارش کسپرسکی، بیشترین آلودگی در ایران مربوط به تبلیغافزارها است.
🔴 متاسفانه بسیاری از برنامههای ایرانی با استفاده از سرویسهای ارسال هشدار (پوش نوتیفیکیشن) به بدافزارهایی تبدیل شدهاند، که انجام اعمال مخرب بسیاری را از راه دور روی گوشی قربانی ممکن میسازد.
این رو یادتون باشه کسی مقصر نیست، ما کلا عادت داریم هر جا که رتبه بندی باشه همیشه در صدر باشیم! ☺️
منبع:
https://securelist.com/mobile-malware-evolution-2019/96280/
⚠️ تروجان بانکی Zeus Sphinx با سوء استفاده از نگرانی جهانی از بحران همهگیری کووید ۱۹ در حال انتشار است.
این بدافزار بر پایه کد افشا شده نسخه ۲ تروجان معروف Zeus ساخته شده است. Zeus Sphinx که با نامهای Zloader و Terdot نیز شناخته میشود اولین بار در سال ۲۰۱۵ در جریان اجرای حملاتی بر ضد بانکهای آمریکایی شناسایی شد. اما برای سالها به استثنای چند مورد سایبری فعالیت چشمگیری از Zeus Sphinx گزارش نشد.
🔴 اکنون مدتی است که این تروجان مجدداً در حملات بر ضد بانکها و همچنین در موارد مرتبط با بیماری کووید ۱۹ فعالیت آن از سر گرفته شده است.
در ماه مارس، IBM از اجرای موجی از حملات خبر داد که در آنها تروجان در اسناد فیشینگ مخفی شده و از طریق ایمیل منتشر میشد. در آن حملات اینطور وانمود میشد که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.
بررسیهای IBM نشان میدهد که این بدافزار در نتیجه ارتقاهای مستمر مستحکمتر و قدرتمندتر از قبل شده است.
این بدافزار از طریق پیوست مخربی که در آن از قربانی خواسته میشود که ماکرو را فعال کند به سیستم راه پیدا میکند. بهمحض اجرا، بدافزار اقدام به ایجاد یک کلید Run در Windows Registry برای ماندگار کردن و اجرای خودکار خود در هر بار راهاندازی سیستم میکند.
ایجاد کلید Run روشی بسیار رایج برای ماندگار کردن پروسه مخرب بر روی دستگاه آلوده است که Zeus Sphinx از ابتدای پیدایش از آن استفاده میکرده است. Zeus Sphinx خود را در قالب یک فایل اجرایی یا یک DLL مخرب توزیع میکند.
همچنین Zeus Sphinx یک پروسه مستقل با نام msiexec.exe که عنوان آن برای مخفی نگاه داشتن ماهیت مخرب بدافزار برگرفته از یک برنامه معتبر با همین نام است ایجاد میکند.
در ژانویه ۲۰۲۰، نمونههایی از بدافزار از فهرستی متغیر از سرورهای فرماندهی (C&C) و یک کلید RC۴ برای رمزگذاری ارتباطات باتنت استفاده میکردند.
اما نمونههای اخیر بدافزار با شناسهای جدید، شامل مجموعهای متفاوت از کلیدهای RC۴ و یک مجموعه کوچکتر اما متفاوت از سرور فرماندهی (C&C) هستند.
همچنین Zeus Sphinx از یک مولد اعداد شبه تصادفی (Pseudo-random Number Generator – به اختصار PRNG) به نام MT۱۹۹۳۷ برای ایجاد تغییر در نامهای فایل و منابع دستگاه آلوده با هدف عبور از سد محصولات امنیتی مبتنی بر اسکن static استفاده میکند.
جزییات بیشتر در مورد نسخه جدید Zeus Sphinx در لینک زیر:
https://securityintelligence.com/posts/zeus-sphinx-back-in-business-some-core-modifications-arise/
این بدافزار بر پایه کد افشا شده نسخه ۲ تروجان معروف Zeus ساخته شده است. Zeus Sphinx که با نامهای Zloader و Terdot نیز شناخته میشود اولین بار در سال ۲۰۱۵ در جریان اجرای حملاتی بر ضد بانکهای آمریکایی شناسایی شد. اما برای سالها به استثنای چند مورد سایبری فعالیت چشمگیری از Zeus Sphinx گزارش نشد.
🔴 اکنون مدتی است که این تروجان مجدداً در حملات بر ضد بانکها و همچنین در موارد مرتبط با بیماری کووید ۱۹ فعالیت آن از سر گرفته شده است.
در ماه مارس، IBM از اجرای موجی از حملات خبر داد که در آنها تروجان در اسناد فیشینگ مخفی شده و از طریق ایمیل منتشر میشد. در آن حملات اینطور وانمود میشد که ایمیل حاوی اطلاعاتی مرتبط با کمک مالی در خصوص بیماری کووید ۱۹ است.
بررسیهای IBM نشان میدهد که این بدافزار در نتیجه ارتقاهای مستمر مستحکمتر و قدرتمندتر از قبل شده است.
این بدافزار از طریق پیوست مخربی که در آن از قربانی خواسته میشود که ماکرو را فعال کند به سیستم راه پیدا میکند. بهمحض اجرا، بدافزار اقدام به ایجاد یک کلید Run در Windows Registry برای ماندگار کردن و اجرای خودکار خود در هر بار راهاندازی سیستم میکند.
ایجاد کلید Run روشی بسیار رایج برای ماندگار کردن پروسه مخرب بر روی دستگاه آلوده است که Zeus Sphinx از ابتدای پیدایش از آن استفاده میکرده است. Zeus Sphinx خود را در قالب یک فایل اجرایی یا یک DLL مخرب توزیع میکند.
همچنین Zeus Sphinx یک پروسه مستقل با نام msiexec.exe که عنوان آن برای مخفی نگاه داشتن ماهیت مخرب بدافزار برگرفته از یک برنامه معتبر با همین نام است ایجاد میکند.
در ژانویه ۲۰۲۰، نمونههایی از بدافزار از فهرستی متغیر از سرورهای فرماندهی (C&C) و یک کلید RC۴ برای رمزگذاری ارتباطات باتنت استفاده میکردند.
اما نمونههای اخیر بدافزار با شناسهای جدید، شامل مجموعهای متفاوت از کلیدهای RC۴ و یک مجموعه کوچکتر اما متفاوت از سرور فرماندهی (C&C) هستند.
همچنین Zeus Sphinx از یک مولد اعداد شبه تصادفی (Pseudo-random Number Generator – به اختصار PRNG) به نام MT۱۹۹۳۷ برای ایجاد تغییر در نامهای فایل و منابع دستگاه آلوده با هدف عبور از سد محصولات امنیتی مبتنی بر اسکن static استفاده میکند.
جزییات بیشتر در مورد نسخه جدید Zeus Sphinx در لینک زیر:
https://securityintelligence.com/posts/zeus-sphinx-back-in-business-some-core-modifications-arise/
Security Intelligence
Zeus Sphinx Back in Business: Some Core Modifications Arise
With Zeus Sphinx back in the financial cybercrime arena, IBM X-Force is providing a technical analysis of the Sphinx Trojan's current version, which was first released in the wild in late 2019.
futures Network
تکنولوژی cable free هواوی
فناوری CableFree هواوی سرعت توسعه فناوری نگاهی به برخی دستاوردهای فناوری CableFree پوششدهی باند بلند بالا: شبکه ۵G از یک باند فرکانسی بسیار بالا استفاده میکند. از طرفی به منظور پوششدهی مناسب یک منطقه، باید آنتنها را بلند طراحی کرد. به طور همزمان پوشش شبکه ۵G باید توسط باندهای فرکانس چندگانه هماهنگ شود. اگر ۱.۸ گیگاهرتز / ۲.۱ گیگاهرتز و دیگر باندهای فرکانسی به عنوان کانال مخابراتی مورد استفاده قرار بگیرند، پوشش فرکانس بالا نقش مهمی در تداوم تجربه خوب ۵G ایفا خواهد کرد. فناوری CableFree راندمان تابش آنتن را تا حدود ۲۰ درصد بهبود داده و میزان کیفیت پوششدهی را بالاتر میبرد. برآورده شدن نیاز به انرژی و فرکانس بالاتر: در عصر توسعه نسل پنجم شبکه موبایل، نیازهای با ظرفیت و سرعت بالا به طیف بیشتر و MIMO بالاتر نیاز دارند. توان بار آنتن در این شرایط از پنج یا ششصد وات به بیش از یک کیلووات افزایش پیدا خواهد کرد. فناوری CableFree هواوی ظرفیت انرژی آنتن را حدود ۸۰ درصد افزایش داده و نیاز به برق زیاد حین تبادل حجم انبوهی از داده را برآورده میکند. وزن سبک و آسودگی در نصب: یکپارچه و فشرده شدن کامپوننتهای آنتنهای مبتنی بر فناوری جدید وزن آنها را کاهش میدهد. به عنوان نمونه وزن یک آنتن ۶ بانده حدود ۱۰ کیلوگرم کاهش پیدا خواهد کرد. وزن آنتن کنترل باند چندگانه حدود ۵۰ کیلوگرم است. کاهش وزن سبب میشود اپراتورها برای نصب آنتنها نیازی به جرثقیل نداشته باشند، در نتیجه توسعه شبکه در مناطق مختلف سرعت خواهد گرفت. بهبود عملکرد PIM آنتن: تکنولوژی CableFree تا ۸۰ درصد پیچهای داخلی و اتصالات جوش آنتن را کاهش میدهد، به همین دلیل ریسک PIM کاهش پیدا خواهد کرد. منظور از PIM مدولاسیون دامنه سیگنالی حاوی دو یا چند فرکانس متفاوت است. بالاتر رفتن سرعت در خطوط تولید آنتنها از دیگر مزیتهای کاهش این را به شدت افزایش میدهد
@futuresnet
@futuresnet
⚠️ شناسایی ۲۷ برنامه دانلودر در دسته برنامههای هواشناسی ایرانی، با بیش از ۱۱۳ هزار کاربر
این برنامهها با استفاده از سرویس ارسال هشدار، اقدام به دانلود (نصب تضمینی) سایر برنامههای مخرب میکنند.
نمایش تبلیغات تلگرامی، اینستاگرامی، باز کردن صفحه برنامههای مختلف در فروشگاهها یا باز کردن صفحات نظرات آنها و... از دیگر اقدامات مخرب این برنامهها است.
🔴 این برنامهها در فروشگاههای اندرویدی داخلی منتشر شدهاند، هرچه سریعتر نسبت به حذف آنها از دستگاه خود اقدام فرمایید.
این برنامهها با استفاده از سرویس ارسال هشدار، اقدام به دانلود (نصب تضمینی) سایر برنامههای مخرب میکنند.
نمایش تبلیغات تلگرامی، اینستاگرامی، باز کردن صفحه برنامههای مختلف در فروشگاهها یا باز کردن صفحات نظرات آنها و... از دیگر اقدامات مخرب این برنامهها است.
🔴 این برنامهها در فروشگاههای اندرویدی داخلی منتشر شدهاند، هرچه سریعتر نسبت به حذف آنها از دستگاه خود اقدام فرمایید.
futures Network
⚠️ انتشار کد اکسپلویت SMBGhost
⚠️ انتشار کد اکسپلویت SMBGhost
این آسیبپذیری بحرانی که بانامهای مختلفی ازجمله SMBGhost، CoronaBlue، NexternalBlue و BluesDay شناخته میشود، میتواند برای انتشار بدافزار از یک سیستم آسیبپذیر به سایر سیستمها، بدون نیاز به تعامل کاربر، توسط یک مهاجم احراز هویت نشده، استفاده شود.
آسیبپذیری SMBGhost نسخههای ۱۹۰۹، ۱۹۰۳ و همچنین Server Core ویندوز ۱۰ را تحت تأثیر قرار میدهد. مایکروسافت در ماه مارس patch آسیبپذیری را منتشر کرد و هشدار داد که سوءاستفاده از آن در نسخههای جدیدتر و قدیمیتر ویندوز نیز محتمل است.
یک مهاجم برای سوءاستفاده از آسیبپذیری کافی است تا یک بسته دستکاریشده را به یک سرور SMBv۳ ارسال کند. نتیجه حملات سوءاستفاده کننده از این آسیبپذیری مشابه حملات WannaCry و NotPetya در سال ۲۰۱۷ خواهد بود که از اکسپلویت EternalBlue برای SMB v۱ استفاده کردند.
پس از افشا عمومی آسیبپذیری در ماه مارس، پژوهشگران امنیتی شروع به یافتن راهی برای سوءاستفاده از SMBGhost کردند اما نتایج آنها به مواردی چون افزایش دسترسی محلی (LPE) و blue screen محدود شد. مجرمین سایبری نیز با امکان افزایش دسترسی محلی و انتقال بدافزارها ازجمله تروجان دسترسی از راه دور Ave Maria باقابلیت keylogging و سرقت اطلاعات، از آسیبپذیری سوءاستفاده کردند.
تقریباً سه ماه پس از انتشار patch مایکروسافت، یک پژوهشگر امنیتی نسخهای از کد اکسپلویت از نوع اجرای کد از راه دور برای آسیبپذیریSMBGhost را بهطور عمومی به اشتراک گذاشت. کد منتشرشده توسط این پژوهشگران بهطور کامل قادر به اجرای کد از راه دور نیست اما در برخی موارد موفقیتآمیز بوده است. علاوه بر این، چندین شرکت امنیتی نیز پیشتر اعلام کرده بودند که به کد اکسپلویت اجرای کد از راه دور با سوءاستفاده از آسیبپذیری SMBGhost دستیافتهاند.
با توجه به اینکه کد اکسپلویت این آسیبپذیری بهطور عمومی منتشرشده است، توصیه میشود تا با مسدودسازی پورتهای SMB و اعمال patchهای منتشرشده از سوی مایکروسافت، نسبت به رفع آسیبپذیری اقدام شود.
https://www.exploit-db.com/exploits/48537
@futuresnet
این آسیبپذیری بحرانی که بانامهای مختلفی ازجمله SMBGhost، CoronaBlue، NexternalBlue و BluesDay شناخته میشود، میتواند برای انتشار بدافزار از یک سیستم آسیبپذیر به سایر سیستمها، بدون نیاز به تعامل کاربر، توسط یک مهاجم احراز هویت نشده، استفاده شود.
آسیبپذیری SMBGhost نسخههای ۱۹۰۹، ۱۹۰۳ و همچنین Server Core ویندوز ۱۰ را تحت تأثیر قرار میدهد. مایکروسافت در ماه مارس patch آسیبپذیری را منتشر کرد و هشدار داد که سوءاستفاده از آن در نسخههای جدیدتر و قدیمیتر ویندوز نیز محتمل است.
یک مهاجم برای سوءاستفاده از آسیبپذیری کافی است تا یک بسته دستکاریشده را به یک سرور SMBv۳ ارسال کند. نتیجه حملات سوءاستفاده کننده از این آسیبپذیری مشابه حملات WannaCry و NotPetya در سال ۲۰۱۷ خواهد بود که از اکسپلویت EternalBlue برای SMB v۱ استفاده کردند.
پس از افشا عمومی آسیبپذیری در ماه مارس، پژوهشگران امنیتی شروع به یافتن راهی برای سوءاستفاده از SMBGhost کردند اما نتایج آنها به مواردی چون افزایش دسترسی محلی (LPE) و blue screen محدود شد. مجرمین سایبری نیز با امکان افزایش دسترسی محلی و انتقال بدافزارها ازجمله تروجان دسترسی از راه دور Ave Maria باقابلیت keylogging و سرقت اطلاعات، از آسیبپذیری سوءاستفاده کردند.
تقریباً سه ماه پس از انتشار patch مایکروسافت، یک پژوهشگر امنیتی نسخهای از کد اکسپلویت از نوع اجرای کد از راه دور برای آسیبپذیریSMBGhost را بهطور عمومی به اشتراک گذاشت. کد منتشرشده توسط این پژوهشگران بهطور کامل قادر به اجرای کد از راه دور نیست اما در برخی موارد موفقیتآمیز بوده است. علاوه بر این، چندین شرکت امنیتی نیز پیشتر اعلام کرده بودند که به کد اکسپلویت اجرای کد از راه دور با سوءاستفاده از آسیبپذیری SMBGhost دستیافتهاند.
با توجه به اینکه کد اکسپلویت این آسیبپذیری بهطور عمومی منتشرشده است، توصیه میشود تا با مسدودسازی پورتهای SMB و اعمال patchهای منتشرشده از سوی مایکروسافت، نسبت به رفع آسیبپذیری اقدام شود.
https://www.exploit-db.com/exploits/48537
@futuresnet
Exploit Database
Microsoft Windows - 'SMBGhost' Remote Code Execution
Microsoft Windows - 'SMBGhost' Remote Code Execution. CVE-2020-0796 . remote exploit for Windows platform
⚠️ شناسایی ۲۲۳ تبلیغافزار با عنوان مذهبی، با بیش از ۶۵۰ هزار کاربر
🔴 عناوین این برنامهها که در یکی از فروشگاههای اندرویدی داخلی منتشر شدهاند، عبارتند از: ادعیه، احکام، استخاره، زیارت، رمضان، شب قدر، صحیفه و نهجالبلاغه
۱۹۰ برنامه دارای کد دانلودر هستند (میتوانند بدون اطلاع کاربر به دانلود برنامههای دیگر بپردازند).
۳۳ برنامه نیز با استفاده از سرویس ارسال هشدار به تبلیغات تلگرامی و اینستاگرامی میپردازند.
🔴 عناوین این برنامهها که در یکی از فروشگاههای اندرویدی داخلی منتشر شدهاند، عبارتند از: ادعیه، احکام، استخاره، زیارت، رمضان، شب قدر، صحیفه و نهجالبلاغه
۱۹۰ برنامه دارای کد دانلودر هستند (میتوانند بدون اطلاع کاربر به دانلود برنامههای دیگر بپردازند).
۳۳ برنامه نیز با استفاده از سرویس ارسال هشدار به تبلیغات تلگرامی و اینستاگرامی میپردازند.