futures Network
⚠️ انتشار کد اکسپلویت SMBGhost
⚠️ انتشار کد اکسپلویت SMBGhost
این آسیبپذیری بحرانی که بانامهای مختلفی ازجمله SMBGhost، CoronaBlue، NexternalBlue و BluesDay شناخته میشود، میتواند برای انتشار بدافزار از یک سیستم آسیبپذیر به سایر سیستمها، بدون نیاز به تعامل کاربر، توسط یک مهاجم احراز هویت نشده، استفاده شود.
آسیبپذیری SMBGhost نسخههای ۱۹۰۹، ۱۹۰۳ و همچنین Server Core ویندوز ۱۰ را تحت تأثیر قرار میدهد. مایکروسافت در ماه مارس patch آسیبپذیری را منتشر کرد و هشدار داد که سوءاستفاده از آن در نسخههای جدیدتر و قدیمیتر ویندوز نیز محتمل است.
یک مهاجم برای سوءاستفاده از آسیبپذیری کافی است تا یک بسته دستکاریشده را به یک سرور SMBv۳ ارسال کند. نتیجه حملات سوءاستفاده کننده از این آسیبپذیری مشابه حملات WannaCry و NotPetya در سال ۲۰۱۷ خواهد بود که از اکسپلویت EternalBlue برای SMB v۱ استفاده کردند.
پس از افشا عمومی آسیبپذیری در ماه مارس، پژوهشگران امنیتی شروع به یافتن راهی برای سوءاستفاده از SMBGhost کردند اما نتایج آنها به مواردی چون افزایش دسترسی محلی (LPE) و blue screen محدود شد. مجرمین سایبری نیز با امکان افزایش دسترسی محلی و انتقال بدافزارها ازجمله تروجان دسترسی از راه دور Ave Maria باقابلیت keylogging و سرقت اطلاعات، از آسیبپذیری سوءاستفاده کردند.
تقریباً سه ماه پس از انتشار patch مایکروسافت، یک پژوهشگر امنیتی نسخهای از کد اکسپلویت از نوع اجرای کد از راه دور برای آسیبپذیریSMBGhost را بهطور عمومی به اشتراک گذاشت. کد منتشرشده توسط این پژوهشگران بهطور کامل قادر به اجرای کد از راه دور نیست اما در برخی موارد موفقیتآمیز بوده است. علاوه بر این، چندین شرکت امنیتی نیز پیشتر اعلام کرده بودند که به کد اکسپلویت اجرای کد از راه دور با سوءاستفاده از آسیبپذیری SMBGhost دستیافتهاند.
با توجه به اینکه کد اکسپلویت این آسیبپذیری بهطور عمومی منتشرشده است، توصیه میشود تا با مسدودسازی پورتهای SMB و اعمال patchهای منتشرشده از سوی مایکروسافت، نسبت به رفع آسیبپذیری اقدام شود.
https://www.exploit-db.com/exploits/48537
@futuresnet
این آسیبپذیری بحرانی که بانامهای مختلفی ازجمله SMBGhost، CoronaBlue، NexternalBlue و BluesDay شناخته میشود، میتواند برای انتشار بدافزار از یک سیستم آسیبپذیر به سایر سیستمها، بدون نیاز به تعامل کاربر، توسط یک مهاجم احراز هویت نشده، استفاده شود.
آسیبپذیری SMBGhost نسخههای ۱۹۰۹، ۱۹۰۳ و همچنین Server Core ویندوز ۱۰ را تحت تأثیر قرار میدهد. مایکروسافت در ماه مارس patch آسیبپذیری را منتشر کرد و هشدار داد که سوءاستفاده از آن در نسخههای جدیدتر و قدیمیتر ویندوز نیز محتمل است.
یک مهاجم برای سوءاستفاده از آسیبپذیری کافی است تا یک بسته دستکاریشده را به یک سرور SMBv۳ ارسال کند. نتیجه حملات سوءاستفاده کننده از این آسیبپذیری مشابه حملات WannaCry و NotPetya در سال ۲۰۱۷ خواهد بود که از اکسپلویت EternalBlue برای SMB v۱ استفاده کردند.
پس از افشا عمومی آسیبپذیری در ماه مارس، پژوهشگران امنیتی شروع به یافتن راهی برای سوءاستفاده از SMBGhost کردند اما نتایج آنها به مواردی چون افزایش دسترسی محلی (LPE) و blue screen محدود شد. مجرمین سایبری نیز با امکان افزایش دسترسی محلی و انتقال بدافزارها ازجمله تروجان دسترسی از راه دور Ave Maria باقابلیت keylogging و سرقت اطلاعات، از آسیبپذیری سوءاستفاده کردند.
تقریباً سه ماه پس از انتشار patch مایکروسافت، یک پژوهشگر امنیتی نسخهای از کد اکسپلویت از نوع اجرای کد از راه دور برای آسیبپذیریSMBGhost را بهطور عمومی به اشتراک گذاشت. کد منتشرشده توسط این پژوهشگران بهطور کامل قادر به اجرای کد از راه دور نیست اما در برخی موارد موفقیتآمیز بوده است. علاوه بر این، چندین شرکت امنیتی نیز پیشتر اعلام کرده بودند که به کد اکسپلویت اجرای کد از راه دور با سوءاستفاده از آسیبپذیری SMBGhost دستیافتهاند.
با توجه به اینکه کد اکسپلویت این آسیبپذیری بهطور عمومی منتشرشده است، توصیه میشود تا با مسدودسازی پورتهای SMB و اعمال patchهای منتشرشده از سوی مایکروسافت، نسبت به رفع آسیبپذیری اقدام شود.
https://www.exploit-db.com/exploits/48537
@futuresnet
Exploit Database
Microsoft Windows - 'SMBGhost' Remote Code Execution
Microsoft Windows - 'SMBGhost' Remote Code Execution. CVE-2020-0796 . remote exploit for Windows platform
⚠️ شناسایی ۲۲۳ تبلیغافزار با عنوان مذهبی، با بیش از ۶۵۰ هزار کاربر
🔴 عناوین این برنامهها که در یکی از فروشگاههای اندرویدی داخلی منتشر شدهاند، عبارتند از: ادعیه، احکام، استخاره، زیارت، رمضان، شب قدر، صحیفه و نهجالبلاغه
۱۹۰ برنامه دارای کد دانلودر هستند (میتوانند بدون اطلاع کاربر به دانلود برنامههای دیگر بپردازند).
۳۳ برنامه نیز با استفاده از سرویس ارسال هشدار به تبلیغات تلگرامی و اینستاگرامی میپردازند.
🔴 عناوین این برنامهها که در یکی از فروشگاههای اندرویدی داخلی منتشر شدهاند، عبارتند از: ادعیه، احکام، استخاره، زیارت، رمضان، شب قدر، صحیفه و نهجالبلاغه
۱۹۰ برنامه دارای کد دانلودر هستند (میتوانند بدون اطلاع کاربر به دانلود برنامههای دیگر بپردازند).
۳۳ برنامه نیز با استفاده از سرویس ارسال هشدار به تبلیغات تلگرامی و اینستاگرامی میپردازند.
🔰 هشدار به کاربران صرافی نوبیتکس، آبانتتر و رمزینکس
بهتازگی ۳ بدافزار بهنام سه صرافی نوبیتکس، آبانتتر و رمزینکس منتشر شدهاند، که در صورت نصب بر دستگاه کاربر، اطلاعات ورود به حساب صرافی آنها را دریافت و در نهایت میتوانند رمزارزهای آنها را سرقت نمایند.
عملکرد بدافزار
۱. بعد از نصب شدن بدافزار، یک پیام «در حال انتظار» به کاربر نمایش داده شده و اطلاعات دستگاه به سرور مهاجم ارسال میگردد.
۲. سپس درگاه جعلی ورود به صرافی در برنامه بالا میآید که ایمیل و گذرواژهی کاربر را از وی دریافت میکند.
۳. در نهایت کد ۶ رقمی Google Authenticator را هم از کاربر دریافت میکند تا مراحل ورود به حساب صرافی کاربر، تکمیل گردد.
گفتنی است که این بدافزارها با گرفتن مجوز دریافت و خواندن پیامکها، کدهای تایید ارسالی از صرافی را هم سرقت میکنند.
بهتازگی ۳ بدافزار بهنام سه صرافی نوبیتکس، آبانتتر و رمزینکس منتشر شدهاند، که در صورت نصب بر دستگاه کاربر، اطلاعات ورود به حساب صرافی آنها را دریافت و در نهایت میتوانند رمزارزهای آنها را سرقت نمایند.
عملکرد بدافزار
۱. بعد از نصب شدن بدافزار، یک پیام «در حال انتظار» به کاربر نمایش داده شده و اطلاعات دستگاه به سرور مهاجم ارسال میگردد.
۲. سپس درگاه جعلی ورود به صرافی در برنامه بالا میآید که ایمیل و گذرواژهی کاربر را از وی دریافت میکند.
۳. در نهایت کد ۶ رقمی Google Authenticator را هم از کاربر دریافت میکند تا مراحل ورود به حساب صرافی کاربر، تکمیل گردد.
گفتنی است که این بدافزارها با گرفتن مجوز دریافت و خواندن پیامکها، کدهای تایید ارسالی از صرافی را هم سرقت میکنند.
اخیرا تحرکاتی از تیم #APT34 منتصب به ایران، رخ داده است که مبتنی بر آسیب پذیری قدیمی CVE-2017-11882 و CVE-2018-0802 اقدام به پخش ایمیل فیشینگ هایی با محتوای فایل xls و یک دانلودر بدافزار بوده است.
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است
@futuresnet
اما در مرحله اجرا یک OLE اجرا میشود که دارای equation data است که در
EQNEDT32.EXE به اجرا در آمده و از آسیب پذیری استفاده کرده و شلدکی را به اجرا در میاورد.شلکد اجرایی در اصل یک دانلودر و اجراگر بدافزار است که بواسطه تابع
URLDownloadToFileW که یک تابع API است تماس گرفته شده و بدافزاری با نام chromium.exe دانلود شده و در %TEMP% با نام desHost.exe ذخیره میشود.اما فایل دانلودی یک بدافزار طراحی شده با dotNet است که کاملا مبهم سازی شده بواسطه IntelliLock و Net Reactor. بوده و مهاجم تمامی اسامی ها را مبهم ساخته است.
اما درون این بدافزار مقادیر Encode شده ای قرار دارد که دارای پیلود برای Agent Tesla بوده که بصورت Encode و Compress در Resource Section قرار کرده شده است.
پیلود Agent Tesla با تکنیک Process Hollowing که یک تکنیک برای محافظت از پردازش بدافزار است
@futuresnet