خبر

[0r0b4s 1,549]

با سلام دوستان

2تا خبر که برام خیلی سوال برانگیز شدن رو براتون میذارم

پردازنده‌های هازول مکانیزم امنیتی ASLR را قربانی کردند:

قربون سی پیوی خدم که الان 7 ساله هنوز نتونستن همتاشو بزنن i7

ASLR یک مکانیزم امنیتی بوده که امروزه توسط سیستم‌عامل‌های مدرن مورد استفاده قرار گرفته و به یکی از اجزا ثابت سیستم‌عامل‌های ویندوز، لینوکس، مک، iOS و آندروید تبدیل شده است. این مکانیزم با داده‌هایی که برای پردازش به سمت پردازنده ارسال می‌شوند در تعامل بوده و یک فضای آدرس‌دهی تصادفی را برای این داده‌ها و به منظور اجرا درون حافظه اصلی کامپیوتر به آن‌ها اختصاص می‌دهد.

با توجه به این نکته که بخش عمده‌ای از آسیب‌پذیری‌ها با اتکا بر خرابی داده‌های حافظه و در تعامل مستقیم با مشکل سرزیر بافر به وجود می‌آیند، در نتیجه یک هکر باید به درستی و به گونه‌ای کدهای مخرب خود را طراحی کند تا بتواند یک کامپیوتر را فریب داده تا کدهای مخرب را اجرا کند.

برای نیل به این هدف، هکر باید درباره فضا و آدرسی که به یک برنامه تخصیص داده شده، مکانی که کدهای برنامه درون آن بخش از حافظه کامپیوتر اجرا می‌شوند، اطلاع دقیقی داشته باشد. این‌کار به سادگی انجام شده و هکر تنها نیاز دارد تا کدهای اصلی یک برنامه را مورد تجزیه و تحلیل قرار دهد. این درست همان زمانی است که ALR به میدان وارد شده، آدرس‌های حافظه را دستکاری و جابجا کرده و برای مدیریت بهتر آن‌ها از تکنیک شاخص‌گذاری استفاده می‌کند. اگر ASLR بتواند به خوبی از عهده انجام این وظیفه برآید، تروجان‌ها، بدافزارها و کدهای اکسپلویت در مکان‌های نادرستی از حافظه اجرا می‌شوند و به این شکل یک سیستم کامپیوتری هیچ‌گاه در معرض خطر قرار نمی‌گیرد.

رخنه‌ای پایدار در مولفه BTB

این گروه از پژوهشگران در مقاله‌ "پرش از روی ASLR، حمله پیش‌بینی انشعاب به منظور گذر از ASLR " به تشریح این موضوع پرداخته‌اند و اعلام کرده‌اند مشکلی را در ارتباط با BTB شناسایی کرده‌اند. BTB یک حافظه پنهان است که آدرس داده‌هایی که قبلا در حافظه اجرا شده‌اند را در خود نگه می‌دارد. پردازنده‌ها از مولفهBTB  به منظور افزایش سرعت عملیات خود استفاده می‌کنند. کارکرد این مولفه درست همانند حافظه پنهانی است که درون مرورگرها وجود دارد و به منظور باز کردن سریع‌تر صفحات وب از آن استفاده می‌شود.

پژوهشگران اعلام داشته‌اند که مولفه BTB در برابر حمله تصادم (collision attacks) آسیب‌‌پذیر است. تصادم تکنیکی در حملات کامپیوتری است که در آن BTB با داده‌های تصادفی در معرض حمله قرار گرفته و به این شکل به هکرها اجازه می‌دهد به داده‌هایی که در گذشته در بافر ذخیره شده‌اند دست پیدا کنند. این تکنیک به پژوهشگران اجازه می‌دهد به بازیابی داده‌هایی از کرنل پردازنده بپردازند که جداول شاخص‌گذاری ASLR را درون خود نگه‌داری می‌کند. به‌طوری که در نهایت به هکرها اجازه می‌دهد به راحتی به آدرسی که برنامه در آن نقطه از حافظه اصلی اجرا شده است، دست پیدا کرده و در ادامه به راحتی قادر باشند حمله خود را پیاده‌سازی کنند.

نکته جالب توجه دیگری که در ارتباط با این حمله باید به آن اشاره کرد به سرعت بسیار بالای این حمله باز می‌گردد. به طوری که فرآیند دور زدن مکانیزم امنیتی ASLR تنها در  60 میلی‌ثانیه انجام می‌شود. برای پیاده‌سازی این حمله به نرم‌افزار ویژه‌ای نیاز است که این گروه از پژوهشگران آن‌را فقط روی ماشین‌های لینوکسی که مجهز به پردازنده هازول بودند آزمایش کردند. پژوهشگران اعلام داشته‌اند که به لحاظ تئوری امکان پیاده‌سازی موفقیت‌آمیز این حمله روی سیستم‌عامل‌های دیگر دور از انتظار نیست. به‌طوری که حتا هسته ماشین‌‌های مجازی (Kernel Virtual Machines) که ستون فقرات سیستم‌عامل‌های استقرار یافته در سرویس‌های کلاود به شمار می‌روند در معرض این تهدید قرار دارند. سه تن از این پژوهش‌گران این تحقیق پیشنهاد کرده‌اند، ساده‌ترین راهکار برای پیشگیری از بروز حمله فوق این است که سازندگان سیستم‌عامل‌ها مکانیزم محافظتی ASLR را به جای آن‌که در سطح اشیا داده‌ای پیاده‌سازی کنند در سطح توابع کد شده پیاده‌سازی کنند.

یا بعبارت ساده تر

یک اکسپلویت ساده جاوااسکریپتی، سیستم حفاظتی ASLR در 22 معماری مختلف cpu را دور می زند!

این حمله، که ASLR Cache یا AnC نام گرفته، کاملا جدی است چون از یک کد ساده جاوااسکریپت (JavaScript) برای شناسایی آدرس پایه برنامه‏های در حال اجرا در حافظه استفاده می‏کند. بنابراین، فقط مشاهده یک سایت مخرب می‌تواند اجرای این حمله را امکان‏پذیر کند، حمله‏ای که به مهاجم اجازه می‌دهد تا حملات بیشتری را به همان قسمت از حافظه برای سرقت اطلاعات حساس ذخیره شده در حافظه کامپیوتر هدایت کند.

واحد MMU  در سیستم‏های شخصی، موبایل و سرورها وجود دارد و کارش آدرس‏دهی به مکان‏هایی از حافظه است که داده ذخیره می‏شود. این واحد به طور مداوم دایرکتوری که جدول صفحه (Page Table) را صدا می‌زند را بررسی می‌کند تا آدرس‌های آن دایرکتوری را پیگیری و دنبال کند. برنامه‏ها معمولاً جدول صفحه را در کش پردازنده ذخیره می‌کنند که این کار تراشه را سریع‌تر و کارآمد تر می‌کند. اما مشکل از آنجایی شروع می‏شود که این مولفه بعضی از اطلاعات کش را با نرم‏افزارهای نامطمئنی مانند مرورگرها به اشتراک می‏گذارد. بنابراین، یک کد کوچک جاوااسکریپت که در حال اجرا روی یک وب سایت مخرب است هم می‌تواند در آن کش داده بنویسد و مهاجم را قادر سازد  تا محل اجرای نرم‌افزارها را کشف کند، مانند کتابخانه‌ها و فایل‌های داخل RAM که در حافظه مجازی قرار دارند. مهاجم با دسترسی به این داده‌های مکانی می‌تواند بخش‌هایی از حافظه کامپیوتر را بخواند و بعداً برای اجرای حملات پیچیده‌تر و کامل‌تر استفاده کند.

قابل توجه است که محققین توانستند تنها در 90 ثانیه! با موفقیت حملات جاوااسکریپت AnC را با نسخه های به روز مرورگر Chrome و Firefox بر روی 22  معماری مختلف CPU اجرا کنند. در حمله‏ی آنها، حمله‏ی جاوااسکریپت با یک کد حمله که آسیب‌پذیری CVE-2013-0753 را اکسپلویت می‌کند، ترکیب شده است.

بر اساس گزارش‏های منتشر شده از این محققین، تنهای راهی که شما می‌توانید خودتان را علیه حملات AnC محافظت کنید، فعال کردن پلاگین‏هایی مانند NoScript برای Firefox یا ScriptSafe برای Chroem است تا کد های جاوااسکریپت نامطمئن را روی صفحات وب بلاک کند و اجازه اجرا ندهد

[0r0b4s 1,549]

خبر دومم اینکه

تروجان جدید لینوکس Linux Proxy 10

 

شرکت امنیتی Dr.Web چندین هزار دستگاه لینوکس آلوده را تشخیص داد

Doctor Web detects several thousand infected Linux devices

مورخ: 24 ژانویه 2017

منبع: https://news.drweb.com/show/?i=11115&c=5&lng=en&p=0

در اواخر سال قبل، محققان امنیتی Dr. Web تعداد زیادی از برنامه‌های مخرب برای لینوکس را مشاهده کردند و در پایان ماه ژانویه امسال، چندین هزار دستگاه لینوکس آلوده به یک تروجان جدید را کشف کردند.

این تروجان که توسط مجرمان سایبری، به منظور آلوده‌کردن تعداد زیادی از تجهیزات شبکه لینوکس استفاده شده، Linux.Proxy.10 نام دارد. همانطور که نام این برنامه مخرب نشان می‌دهد، برای اجرای یک سرور پراکسی SOCKS5 ، بر روی تجهیزات آلوده و براساس کد منبع نرم‌افزار رایگان سرورهای Satanic Socks، طراحی شده است. مجرمان سایبری از این تروجان برای مطمئن بودن از آن که به طور ناشناس آنلاین، باقی می‌‌مانند، استفاده می‌کنند.

برای توزیع Linux.Proxy.10، مجرمان سایبری به تجهیزات‌ آسیب‌پذیر از طریق پروتکل SSH لاگین می‌کنند و در همان زمان لیست تجهیزات و همچنین لاگین‌ها و رمز عبورها را بر روی سرور خود، ذخیره می‌کنند.

لیست مشابه «آدرس IP : لاگین به سیستم : رمز عبور» است. قابل ذکر است که کاربران با چنین جزئیات حساب کاربری معمولا توسط دیگر تروجان‌های لینوکس، ایجاد شده‌اند. به عبارت دیگر، Linux.Proxy.10 به کامپیوتر و تجهیزاتی نفوذ می‌کند که یا دارای تنظیمات استاندارد باشند و یا در حال حاضر با نرم‌افزارهای مخرب دیگر لینوکس، آلوده باشند.

یک اسکریپت با کمک این لیست تولید می‌شود و بر روی تجهیزات آلوده با استفاده از sshpass اجرا می‌شود. این سیستم هک شده را با کمک Linux.Proxy.10، آلوده می‌کند.

علاوه بر این، سرور متعلق به مجرمان سایبری که Linux.Proxy.10 را توزیع می‌کنند نه تنها شامل لیستی از تجهیزات آسیب‌پذیر است، بلکه محققان امنیتی Dr. Web  پنل مدیریت عامل جاسوس[1] و ساخت نرم‌‌افزارهای مخرب ویندوز از یک خانواده شناخته شده از نرم‌افزارهای جاسوسی تروجان BackDoor.TeamViewer ، را نیز شناسایی کردند.

 

برای اتصال به یک پروکسی سرور که با استفاده از Linux.Proxy.10 راه‌اندازی شده است، مجرمان سایبری فقط به دانستن آدرس IP تجهیزات آلوده و شماره پورت که در تروجان در زمان کامپایل آن، ذخیره شده است نیاز دارند. محققان امنیتی Dr. Web در 24 ژانویه 2017 موفق شدند تعداد تجهیزات آلوده به Linux.Proxy.10 را بشمارند که تعداد آن به چندین هزار می‌رسید.

به‌منظور حافظت تجهیزات مشکوک به آلوده بودن به Linux.Proxy.10، توصیه می شود که آنها را، از راه دور و از طریق پروتکل SSH، با کمک Dr. Web Anti-virus 11.0 for Linux اسکن کنید.

[0r0b4s 1,549]

و این که همه فایلا الان دستم رسید با سورس کداش خدایش خیلی بیشرفه این برنامه نویسشون خیلیییییییییییییییییییییییییی

صدها فایل محرمانه سازمان اطلاعات مرکزی آمریکا (CIA) را منتشر کردند که نشان می‌دهند چگونه این سازمان اطلاعاتی قادر بوده تا اجرای حملات سایبری را به کشورهایی نظیر ایران، روسیه، چین و کره شمالی نسبت دهد.

گستر، ,فایل‌های جدید با اسم رمز Marble حاوی ۶۷۶ کد منبع (Source Code) یک ابزار ضدتحلیل با همین نام هستند که هدف آن گمراه ساختن ابزارها و مهندسان ضدبدافزار و مخفی نمودن ماهیت حقیقی بدافزار به‌نحو دلخواه CIA است.

ابزار Marble شامل الگوریتم‌های متعدد با زبان‌هایی نظیر فارسی، روسی، چینی و عربی است که با تزریق شدن در کد منبع بدافزار، ساختار فایل را به‌نحوی جعل می‌کند که به نظر برسد بدافزار بر روی دستگاهی با یکی از این زبان‌ها ساخته شده است.

شناسایی زبان‌های استفاده شده بر روی دستگاهی که بدافزار بر روی آن برنامه‌نویسی و کامپایل شده یکی از اصلی‌ترین روش‌های تشخیص ملیت نویسندگان بدافزار است.

در اسفند ماه سال ۹۵، WikiLeaks حجم عظیمی از اسناد محرمانه در خصوص ابزارهای هک مورد استفاده CIA را با اسم رمز Year Zero منتشر کرد.

این سازمان در اوایل فروردین امسال نیز مجموعه‌ای تحت عنوان Dark Matter را که حاوی جزییات ابزارهای بهره‌جو (Exploit Kit) استفاده شده توسط CIA برای نفوذ به دستگاه‌های iPhone و Mac است منتشر کرد.

کاخ سفید انتشار این فایل‌های محرمانه را محکوم کرده و از جدیت در برخورد با افراد مسئول در درز این اطلاعات خبر داده است.

انتظار می‌رود با انتشار این فایل‌ها، شرکت‌های ضدویروس اقدام به اصلاح و بازنگری برخی از گزارش‌های منتشر شده پیشین خود در خصوص بدافزارهای مخرب سایبری کنند.