0r0b4s 1,610 گزارش دادن ارسال شده در فروردین 96 با سلام دوستان 2تا خبر که برام خیلی سوال برانگیز شدن رو براتون میذارم پردازندههای هازول مکانیزم امنیتی ASLR را قربانی کردند: قربون سی پیوی خدم که الان 7 ساله هنوز نتونستن همتاشو بزنن i7 ASLR یک مکانیزم امنیتی بوده که امروزه توسط سیستمعاملهای مدرن مورد استفاده قرار گرفته و به یکی از اجزا ثابت سیستمعاملهای ویندوز، لینوکس، مک، iOS و آندروید تبدیل شده است. این مکانیزم با دادههایی که برای پردازش به سمت پردازنده ارسال میشوند در تعامل بوده و یک فضای آدرسدهی تصادفی را برای این دادهها و به منظور اجرا درون حافظه اصلی کامپیوتر به آنها اختصاص میدهد. با توجه به این نکته که بخش عمدهای از آسیبپذیریها با اتکا بر خرابی دادههای حافظه و در تعامل مستقیم با مشکل سرزیر بافر به وجود میآیند، در نتیجه یک هکر باید به درستی و به گونهای کدهای مخرب خود را طراحی کند تا بتواند یک کامپیوتر را فریب داده تا کدهای مخرب را اجرا کند. برای نیل به این هدف، هکر باید درباره فضا و آدرسی که به یک برنامه تخصیص داده شده، مکانی که کدهای برنامه درون آن بخش از حافظه کامپیوتر اجرا میشوند، اطلاع دقیقی داشته باشد. اینکار به سادگی انجام شده و هکر تنها نیاز دارد تا کدهای اصلی یک برنامه را مورد تجزیه و تحلیل قرار دهد. این درست همان زمانی است که ALR به میدان وارد شده، آدرسهای حافظه را دستکاری و جابجا کرده و برای مدیریت بهتر آنها از تکنیک شاخصگذاری استفاده میکند. اگر ASLR بتواند به خوبی از عهده انجام این وظیفه برآید، تروجانها، بدافزارها و کدهای اکسپلویت در مکانهای نادرستی از حافظه اجرا میشوند و به این شکل یک سیستم کامپیوتری هیچگاه در معرض خطر قرار نمیگیرد. رخنهای پایدار در مولفه BTB این گروه از پژوهشگران در مقاله "پرش از روی ASLR، حمله پیشبینی انشعاب به منظور گذر از ASLR " به تشریح این موضوع پرداختهاند و اعلام کردهاند مشکلی را در ارتباط با BTB شناسایی کردهاند. BTB یک حافظه پنهان است که آدرس دادههایی که قبلا در حافظه اجرا شدهاند را در خود نگه میدارد. پردازندهها از مولفهBTB به منظور افزایش سرعت عملیات خود استفاده میکنند. کارکرد این مولفه درست همانند حافظه پنهانی است که درون مرورگرها وجود دارد و به منظور باز کردن سریعتر صفحات وب از آن استفاده میشود. پژوهشگران اعلام داشتهاند که مولفه BTB در برابر حمله تصادم (collision attacks) آسیبپذیر است. تصادم تکنیکی در حملات کامپیوتری است که در آن BTB با دادههای تصادفی در معرض حمله قرار گرفته و به این شکل به هکرها اجازه میدهد به دادههایی که در گذشته در بافر ذخیره شدهاند دست پیدا کنند. این تکنیک به پژوهشگران اجازه میدهد به بازیابی دادههایی از کرنل پردازنده بپردازند که جداول شاخصگذاری ASLR را درون خود نگهداری میکند. بهطوری که در نهایت به هکرها اجازه میدهد به راحتی به آدرسی که برنامه در آن نقطه از حافظه اصلی اجرا شده است، دست پیدا کرده و در ادامه به راحتی قادر باشند حمله خود را پیادهسازی کنند. نکته جالب توجه دیگری که در ارتباط با این حمله باید به آن اشاره کرد به سرعت بسیار بالای این حمله باز میگردد. به طوری که فرآیند دور زدن مکانیزم امنیتی ASLR تنها در 60 میلیثانیه انجام میشود. برای پیادهسازی این حمله به نرمافزار ویژهای نیاز است که این گروه از پژوهشگران آنرا فقط روی ماشینهای لینوکسی که مجهز به پردازنده هازول بودند آزمایش کردند. پژوهشگران اعلام داشتهاند که به لحاظ تئوری امکان پیادهسازی موفقیتآمیز این حمله روی سیستمعاملهای دیگر دور از انتظار نیست. بهطوری که حتا هسته ماشینهای مجازی (Kernel Virtual Machines) که ستون فقرات سیستمعاملهای استقرار یافته در سرویسهای کلاود به شمار میروند در معرض این تهدید قرار دارند. سه تن از این پژوهشگران این تحقیق پیشنهاد کردهاند، سادهترین راهکار برای پیشگیری از بروز حمله فوق این است که سازندگان سیستمعاملها مکانیزم محافظتی ASLR را به جای آنکه در سطح اشیا دادهای پیادهسازی کنند در سطح توابع کد شده پیادهسازی کنند. یا بعبارت ساده تر یک اکسپلویت ساده جاوااسکریپتی، سیستم حفاظتی ASLR در 22 معماری مختلف cpu را دور می زند! این حمله، که ASLR Cache یا AnC نام گرفته، کاملا جدی است چون از یک کد ساده جاوااسکریپت (JavaScript) برای شناسایی آدرس پایه برنامههای در حال اجرا در حافظه استفاده میکند. بنابراین، فقط مشاهده یک سایت مخرب میتواند اجرای این حمله را امکانپذیر کند، حملهای که به مهاجم اجازه میدهد تا حملات بیشتری را به همان قسمت از حافظه برای سرقت اطلاعات حساس ذخیره شده در حافظه کامپیوتر هدایت کند. واحد MMU در سیستمهای شخصی، موبایل و سرورها وجود دارد و کارش آدرسدهی به مکانهایی از حافظه است که داده ذخیره میشود. این واحد به طور مداوم دایرکتوری که جدول صفحه (Page Table) را صدا میزند را بررسی میکند تا آدرسهای آن دایرکتوری را پیگیری و دنبال کند. برنامهها معمولاً جدول صفحه را در کش پردازنده ذخیره میکنند که این کار تراشه را سریعتر و کارآمد تر میکند. اما مشکل از آنجایی شروع میشود که این مولفه بعضی از اطلاعات کش را با نرمافزارهای نامطمئنی مانند مرورگرها به اشتراک میگذارد. بنابراین، یک کد کوچک جاوااسکریپت که در حال اجرا روی یک وب سایت مخرب است هم میتواند در آن کش داده بنویسد و مهاجم را قادر سازد تا محل اجرای نرمافزارها را کشف کند، مانند کتابخانهها و فایلهای داخل RAM که در حافظه مجازی قرار دارند. مهاجم با دسترسی به این دادههای مکانی میتواند بخشهایی از حافظه کامپیوتر را بخواند و بعداً برای اجرای حملات پیچیدهتر و کاملتر استفاده کند. قابل توجه است که محققین توانستند تنها در 90 ثانیه! با موفقیت حملات جاوااسکریپت AnC را با نسخه های به روز مرورگر Chrome و Firefox بر روی 22 معماری مختلف CPU اجرا کنند. در حملهی آنها، حملهی جاوااسکریپت با یک کد حمله که آسیبپذیری CVE-2013-0753 را اکسپلویت میکند، ترکیب شده است. بر اساس گزارشهای منتشر شده از این محققین، تنهای راهی که شما میتوانید خودتان را علیه حملات AnC محافظت کنید، فعال کردن پلاگینهایی مانند NoScript برای Firefox یا ScriptSafe برای Chroem است تا کد های جاوااسکریپت نامطمئن را روی صفحات وب بلاک کند و اجازه اجرا ندهد 3 1 واکنش ها : proxy ، DeMoN ، restive2 و 1 نفر دیگر به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
0r0b4s 1,610 گزارش دادن ارسال شده در فروردین 96 خبر دومم اینکه تروجان جدید لینوکس Linux Proxy 10 شرکت امنیتی Dr.Web چندین هزار دستگاه لینوکس آلوده را تشخیص داد Doctor Web detects several thousand infected Linux devices مورخ: 24 ژانویه 2017 منبع: https://news.drweb.com/show/?i=11115&c=5&lng=en&p=0 در اواخر سال قبل، محققان امنیتی Dr. Web تعداد زیادی از برنامههای مخرب برای لینوکس را مشاهده کردند و در پایان ماه ژانویه امسال، چندین هزار دستگاه لینوکس آلوده به یک تروجان جدید را کشف کردند. این تروجان که توسط مجرمان سایبری، به منظور آلودهکردن تعداد زیادی از تجهیزات شبکه لینوکس استفاده شده، Linux.Proxy.10 نام دارد. همانطور که نام این برنامه مخرب نشان میدهد، برای اجرای یک سرور پراکسی SOCKS5 ، بر روی تجهیزات آلوده و براساس کد منبع نرمافزار رایگان سرورهای Satanic Socks، طراحی شده است. مجرمان سایبری از این تروجان برای مطمئن بودن از آن که به طور ناشناس آنلاین، باقی میمانند، استفاده میکنند. برای توزیع Linux.Proxy.10، مجرمان سایبری به تجهیزات آسیبپذیر از طریق پروتکل SSH لاگین میکنند و در همان زمان لیست تجهیزات و همچنین لاگینها و رمز عبورها را بر روی سرور خود، ذخیره میکنند. لیست مشابه «آدرس IP : لاگین به سیستم : رمز عبور» است. قابل ذکر است که کاربران با چنین جزئیات حساب کاربری معمولا توسط دیگر تروجانهای لینوکس، ایجاد شدهاند. به عبارت دیگر، Linux.Proxy.10 به کامپیوتر و تجهیزاتی نفوذ میکند که یا دارای تنظیمات استاندارد باشند و یا در حال حاضر با نرمافزارهای مخرب دیگر لینوکس، آلوده باشند. یک اسکریپت با کمک این لیست تولید میشود و بر روی تجهیزات آلوده با استفاده از sshpass اجرا میشود. این سیستم هک شده را با کمک Linux.Proxy.10، آلوده میکند. علاوه بر این، سرور متعلق به مجرمان سایبری که Linux.Proxy.10 را توزیع میکنند نه تنها شامل لیستی از تجهیزات آسیبپذیر است، بلکه محققان امنیتی Dr. Web پنل مدیریت عامل جاسوس[1] و ساخت نرمافزارهای مخرب ویندوز از یک خانواده شناخته شده از نرمافزارهای جاسوسی تروجان BackDoor.TeamViewer ، را نیز شناسایی کردند. برای اتصال به یک پروکسی سرور که با استفاده از Linux.Proxy.10 راهاندازی شده است، مجرمان سایبری فقط به دانستن آدرس IP تجهیزات آلوده و شماره پورت که در تروجان در زمان کامپایل آن، ذخیره شده است نیاز دارند. محققان امنیتی Dr. Web در 24 ژانویه 2017 موفق شدند تعداد تجهیزات آلوده به Linux.Proxy.10 را بشمارند که تعداد آن به چندین هزار میرسید. بهمنظور حافظت تجهیزات مشکوک به آلوده بودن به Linux.Proxy.10، توصیه می شود که آنها را، از راه دور و از طریق پروتکل SSH، با کمک Dr. Web Anti-virus 11.0 for Linux اسکن کنید. 4 1 واکنش ها : RT3N ، iranihacker ، DeMoN و 2 نفر دیگر به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر
0r0b4s 1,610 گزارش دادن ارسال شده در فروردین 96 و این که همه فایلا الان دستم رسید با سورس کداش خدایش خیلی بیشرفه این برنامه نویسشون خیلیییییییییییییییییییییییییی صدها فایل محرمانه سازمان اطلاعات مرکزی آمریکا (CIA) را منتشر کردند که نشان میدهند چگونه این سازمان اطلاعاتی قادر بوده تا اجرای حملات سایبری را به کشورهایی نظیر ایران، روسیه، چین و کره شمالی نسبت دهد. گستر، ,فایلهای جدید با اسم رمز Marble حاوی ۶۷۶ کد منبع (Source Code) یک ابزار ضدتحلیل با همین نام هستند که هدف آن گمراه ساختن ابزارها و مهندسان ضدبدافزار و مخفی نمودن ماهیت حقیقی بدافزار بهنحو دلخواه CIA است. ابزار Marble شامل الگوریتمهای متعدد با زبانهایی نظیر فارسی، روسی، چینی و عربی است که با تزریق شدن در کد منبع بدافزار، ساختار فایل را بهنحوی جعل میکند که به نظر برسد بدافزار بر روی دستگاهی با یکی از این زبانها ساخته شده است. شناسایی زبانهای استفاده شده بر روی دستگاهی که بدافزار بر روی آن برنامهنویسی و کامپایل شده یکی از اصلیترین روشهای تشخیص ملیت نویسندگان بدافزار است. در اسفند ماه سال ۹۵، WikiLeaks حجم عظیمی از اسناد محرمانه در خصوص ابزارهای هک مورد استفاده CIA را با اسم رمز Year Zero منتشر کرد. این سازمان در اوایل فروردین امسال نیز مجموعهای تحت عنوان Dark Matter را که حاوی جزییات ابزارهای بهرهجو (Exploit Kit) استفاده شده توسط CIA برای نفوذ به دستگاههای iPhone و Mac است منتشر کرد. کاخ سفید انتشار این فایلهای محرمانه را محکوم کرده و از جدیت در برخورد با افراد مسئول در درز این اطلاعات خبر داده است. انتظار میرود با انتشار این فایلها، شرکتهای ضدویروس اقدام به اصلاح و بازنگری برخی از گزارشهای منتشر شده پیشین خود در خصوص بدافزارهای مخرب سایبری کنند. 3 1 واکنش ها : RT3N ، proxy ، DeMoN و 1 نفر دیگر به اشتراک گذاری این ارسال لینک به ارسال به اشتراک گذاری در سایت های دیگر