استفاده از ماژول جانبی آسیب پذیر" ap_get_basic_auth_pw" در Apache HTTPD در برخی موراد باعث می شود احراز هویت bypassed شود. برای رفع این آسیب پذیری از ماژول ap_get_basic_auth_componentsکه در نسخه های Appache 2.2.33  و 2.4.26 Appache قرار داده شده است استفاده شود. این ماژول پس از اتصال کاربر، آن را احراز هویت می کند و یا بلافاصله پس از پاسخ خطا درخواست را متوقف می کند تا از تصحیح اشتباه درخواست فعلی به دلیل امنیت بالا و جلوگیری از حملات احتمالی جلوگیری شود.

References :

• CEV-2017-3167

Solution :

• apache-httpd-upgrade-2_2_33

• https://www.apache.org/dist/httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch.

هکرها اخیرا توانستند نقطه ضعفی در وصله امنیتی PatchDuard، که برای محافظت از هسته سیستم عامل مایکروسافت ( Kernel ) طراحی شده است بیابند. این نقطه ضعف این امکان را به هکر می دهد که بد افزار مخرب Rootkit را بر روی اخرین و امن ترین سیستم عامل ویندوز 10 نصب کند. محققان آزمایشگاه CyberArk از یک تکنیک جدید خبر می دهند که توسط آن هکر به راحتی می تواند PatchGuard طراحی شده برای هسته سیستم عمل را دور بزند. PatchDuard یک ابزار نرم افزاری است که از اجرا شدن Rootkit و کد های مخرب در سطح Kernel جلوگیری می کند.

Dubbed GhostHook :

Dubbed GhostHook حمله ای است که به گفته محققان آزمایشگاه CyberArk اولین حمله ای میباشد که تکنولوژی دفاعی  به کار رفته شده در سیستم عامل را از کار بندازد و PatchGuard را دور بزند. اگرچه برای پیاده سازی این حمله نیاز می باشد که هکر از قبل سیستم عامل قربانی را هک کرده باشد تا بتواند کد های مخرب خود را برروی Kernel اجرا کند. اساسا می توان این حمله را جزء حملات Post – Exploition در نظر گرفت این حملات به هکر اجازه میدهد تمام منابع را در اختیار و کنترل خود درآورد.

اجرا کردن بد افزار Rootkit برروی Kernel ویندوز 10 :

هکر ابتدا از روش های مختلف به سیستم قربانی نفوذ می کند، پس از موفق شدن به هک سیستم قربانی، در مرحله بعد اقدام به Deploy کردن بد افزار GhostHook بر روی سیستم قربانی می کند. کاری که این بد افزار انجام می دهد، این است که حضور هکر را بر روی سیستم قربانی که از سیستم عامل ویندوزی نسخه 64 بیتی استفاده می کند دائمی و حضور آن را مخفیانه نگه می دارد به عبارت دیگر این حمله این گونه طراحی شده است که در قدم نخست سیستم قربانی توسط عامل مخرب هک می شود، سپس هکر اقدام به راه اندازی Rootkit بر روی هسته سیستم عامل آلوده شده می کند تا کاملا توسط ابزار های جانبی امنیتی مانند آنتی ویروس ها و PatchGuard مایکروسافت Detect نشود. GhostHook از طریق نقطه ضعف موجود در پردازشگر Intel PT، نفوذ میکند و PatchGuard را دور میزند.

مایکروسافت تمایل به برطرف سازی این آسیب پذیری را ندارد

مایکروسافت در یک بیانیه ای عجیب گفته است که GhostHook را تهدیدی جدی برای محصولات خود در نظر نمی گیرد و تاکنون دستوری به کارشناسان امنیت خود مبنی بر طراحی وصله امنیتی فوری برای این آسیب پذیری صادر نکرده است اما ممکن است در نسخه های جدید سیستم عامل های خود به حل این تهدید بپردازد.

با این وجود محققان امنیت آزمایشگاه CyberArk از این اظهارات مایکروسافت ابراز خرسندی نکرده و در جواب گفته اند که مایکروسافت باید PatchGuard را همانند بخشی از Kernel در نظر بگیرد و نباید تحت هیچ شرایطی این Componenet دور زده شود .

این امر بسیار بدهی است که مهاجمان سایبری و نفوذگران روز به روز پیشرفته تر و خلاق تر میشوند. در حال که شاهد هستیم روش های جدیدی برای حملات سایبری مورد استفاده قرار می گیرند ولی بردارهای حمله سنتی نیز رفته رفته در تلاش هستند تا عملیات خود را مخفی تر کرده و راه کارهای امنیتی را دور بزنند.

اسنادی که ویکی لیکس روز پنجشنبه به طور عمومی منتشر کرد، ابزاری را توضیح میدهد که توسط سازمان سیا برای نفوذ به مسیریاب ها و نقاط انتهایی مورد استفاده قرار می گیرد. این ابزار CherryBlossom نام داشته و توسعه دهنده آن، این ابزار را سامانه ای برای نظارت و کنترل بر روی فعالیت های اینترنتی ماشین هدف و ارسال بهره برداری های مختلف با استفاده از ابزارهای بی سیم بر روی آن توصیف کرده است. ویکی لیکس مدعی شده است این ابزار توسط سازمان سیا و با همکاری یک مرکز تحقیقاتی بین المللی به نام SRI طراحی و پیاده سازی شده است.

Sinitsyn تحلیلگر ارشد بدافزار آزمایشگاه کسپرسکی، پس از بررسی باج افزار Jaff توانست نقطه ضعف های این بد افزار را کشف کند و برای تمام نسخه های  این بد افزار که تا به امروز تولید و در سطح اینترنت منتشر شده اند یک decryptor ایجاد کند. ابزار RakhniDecryptor برای کسانی که مورد حمله باجافزار جاف قرار گرفته اند  و فایل های آنها با پسوند .jaff، .wlu، یا .sVn رمزنگاری شده اند طراحی شده است که این فایل ها را از حالت رمزنگاری شده خارج میکند و بهبود می بخشد.

چگونگی رمزگشایی فایل های رمز شده توسط باجافزار جاف با اسفاده از RakhniDecryptor :
قربانیان باجافزار جاف را می توان از طریق  فایل های رمزگذاری شده با پسوند .jaff، .wlu، و یا فرمت .sVn  تشخیص داد برای مثال، یک فایل با نام test.jpg  پس از آلوده شدن به این بد افزار  به صورت  test.jpg.jaff، test.jpg.wlu  یا test.jpg.sVn.  تغییر نام می دهد نمونه ای از یک پوشه از فایل های رمزگذاری شده توسط نوع .sVn از جاف زیر دیده می شود.

حمله به scada از طریق آسیب پذیری های HMI :

کنترل نظارتی و گردآورنده داده های سیستم ها یا Supervisory control and data acquisition (SCADA) یک ساختار کنترل سیستمی است که متشکل از کامپیوترها، شبکه برای تبادل داده و رابط کاربری برای مدیریت و نظارت بر روی فرایند های بسیار مهم در شرکت ها می باشد. علاوه بر ابزار SCADA از ابزار های جانبی مانند، کنترل کننده های منطقی قابل برنامه ریزی Programmable Logic Controllers (PLC) و کنترل کننده Proportional Integral Derivative (PID) و با استفاده از یک رابط گرافیکی برخی از ماشین آلات کنترل می شوند. اپراتور ناظر می تواند از طریق سیستم های کامپیوتری SCADA به مانیتور کردن و صدور دستوراتی مانند کنترل و تنظیم تغییرات وضعیت تجهیزات بپردازد.

حملات phishing  برای بدست آوردن اطلاعات مهم و حساس مانند نام کاربری، پسورد و اطلاعات حساب بانکی طراحی می شوند. این حملات اغلب خود را به عنوان یک نهاد معتبر و قابل اعتماد در یک ارتباط الکترونیکی معرفی می کنند که براساس محاسبات انجام شده توسط Microsoft میزان خسارت های مالی وارد شده توسط  این نوع حملات به 5 بیلیون دلار امریکایی می رسد.حملات phishing معمولا از طریق e-mail spoofing (کلاهبرداری از طریق ایمیل) و یا پیام رسانی های فوری کاربران را اغوا کرده و با ارائه یک صفحه جعلی از صفحات تحت وب شبکه های اجتماعی مانند Facebook ،Twiter ،Yahoo ، Instagram و یا صفحات بانک های معتبر از کاربران درخواست می شود اطلاعات شخصی خود را وارد نمایند که به محض وارد کردن اطلاعات هکر آنها را دریافت می کند.