‫ ghrib بلاگ

تاسک منیجر در اولین مرتبه‌ی اجرا کردن آن، نمایی ساده دارد که چندان مفید و کاربردی نیست. روی More details کلیک کنید تا تب‌های مختلف برای نمایش میزان استفاده از پردازنده، رم، هارددیسک و وسایل ذخیره‌سازی، شبکه  همین‌طور GPU نمایان شود. به علاوه تب‌هایی برای مدیریت کردن پردازش‌ها و نرم‌افزارهایی که در شروع به کار ویندوز به صورت خودکار اجرا می‌شوند هم در تاسک منیجر وجود دارد.

اگر روی تب Performance کلیک کنید هم در سمت چپ گزینه‌ی GPU را خواهید دید و با کلیک کردن روی این گزینه، اطلاعات کاملی در مورد انواع پردازش‌هایی که در حال حاضر کارت گرافیک انجام می‌دهد و همین‌طور میزان استفاده از حافظه‌ی ویدیویی کارت گرافیک و حافظه‌ی مشترک کارت گرافیک، ذکر می‌شود.

وصله‌های تمام نسخه‌های آسیب‌دیده Apache ActiveMQ منتشر شده‌ و به مشتریان اکیداً توصیه می‌شود که سیستم‌های خود را ارتقا دهند.

فعال شدن از سال 2020، احیای بدافزار Kinsing تهدیدی قابل توجه برای سیستم های مبتنی بر لینوکس است، به سرورها نفوذ می کند و به سرعت در سراسر شبکه ها پخش می شود.
محققان امنیت سایبری در Trend Micro مجرمان سایبری را شناسایی کرده‌اند که از یک آسیب‌پذیری مهم در Apache ActiveMQ ‪(CVE-2023-46604)‬ برای آلوده کردن سیستم‌های لینوکس با بدافزار Kinsing (همچنین به عنوان h2miner) استفاده می‌کنند. این آسیب‌پذیری مهاجمان را قادر می‌سازد تا کد دلخواه را روی سیستم‌های آسیب‌دیده اجرا کنند، استخراج‌کننده‌ها و روت‌کیت‌های ارزهای دیجیتال را نصب کنند.
 

بدافزار Kinsing چیست؟

بدافزار Kinsing تهدیدی قابل توجه برای سیستم‌های مبتنی بر لینوکس است که به سرورها نفوذ می‌کند و به سرعت در سراسر شبکه ها پخش می شود. از آسیب‌پذیری‌های موجود در برنامه‌های کاربردی وب یا محیط‌های کانتینری با پیکربندی نادرست برای دسترسی، به‌ویژه سیستم‌های لینوکس را هدف قرار می‌دهد. اهداف اصلی آن شامل استخراج ارزهای دیجیتال، مانند بیت کوین، و ایجاد پایداری در میزبان آلوده است.
جالب اینجاست که این بدافزار استخراج‌کننده‌های ارزهای دیجیتال رقیب، فرآیندهای هدف‌گیری، اتصالات شبکه فعال و آسیب‌پذیری‌هایی مانند WebLogic یا Log4Shell سوء استفاده می‌کنند، شناسایی و ریشه‌کن می‌کند. این رویکرد استراتژیک به بدافزار اجازه می دهد تا کنترل کامل منابع سیستم را به دست آورد.
علاوه بر این، با افزودن یک cronjob برای دانلود و اجرای هر دقیقه اسکریپت بوت استرپ مخرب خود، ماندگاری را تضمین می کند و اطمینان حاصل می کند که آخرین باینری مخرب Kinsing به طور مداوم در میزبان آلوده در دسترس است.
محققان خاطرنشان کردند: "Kinsing با بارگذاری rootkit خود در ‎/etc/ld.so.preload، که یک سازش کامل سیستم را تکمیل می کند، ماندگاری و مصالحه خود را دو برابر می کند."
اخیراً، مهاجمانی که از بدافزار Kinsing استفاده می‌کنند، از آسیب‌پذیری‌های با مشخصات بالا مانند CVE-2023-4911 ‪(Looney Tunables)‬ استفاده کرده‌اند.

درباره آسیب پذیری

از اوایل نوامبر 2023، محققان Trend Micro مشاهده کردند که CVE-2023-46604 در حال بهره برداری است. این یک آسیب پذیری با شدت بحرانی است که امتیاز CVSS 9.8 را به آن اختصاص داده است. این آسیب‌پذیری ناشی از دستورات OpenWire است که نمی‌توانند نوع کلاس قابل پرتاب را تأیید کنند، بنابراین RCE را فعال می‌کنند.
هنگامی که مارشالر نمی تواند نوع کلاس یک Throwable را تأیید کند، به طور ناخواسته اجازه ایجاد و اجرای نمونه های هر کلاس را می دهد. محققان Trend Micro در یک پست وبلاگ توضیح دادند که این دریچه‌ها را به روی آسیب‌پذیری‌های اجرای کد از راه دور (RCE) باز می‌کند و مهاجمان را قادر می‌سازد تا کد دلخواه را روی سرور یا برنامه آسیب‌دیده اجرا کنند.
Apache ActiveMQ یک پیام متن باز و پلت فرم یکپارچه محبوب است که به زبان جاوا نوشته شده است. میان افزار پیام گرا (MOM) را پیاده سازی می کند و ارتباط بین برنامه های مختلف را تسهیل می کند. ویژگی های مختلفی از جمله OpenWire، STOMP و Jakarta Messaging ‪(JMS)‬ را ارائه می دهد. OpenWire یک پروتکل باینری است که برای MOM طراحی شده است و به عنوان فرمت سیم بومی ActiveMQ عمل می کند. چندین مزیت از جمله کارایی پهنای باند و پشتیبانی از انواع پیام ها را ارائه می دهد.

حمله چگونه کار می کند؟

بدافزار Kinsing از آسیب پذیری CVE-2023-46604 کشف شده در Apache ActiveMQ، که اجرای کد از راه دور (RCE) را فعال می کند، سوء استفاده می کند. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا کد دلخواه را روی سیستم آسیب‌دیده اجرا کنند. پس از دسترسی به سرور آسیب‌پذیر و اجرای باینری Kinsing، امکان نصب روت‌کیت‌ها و cryptominers، سرقت داده‌های حساس، اختلال در عملیات و نصب بدافزارها فراهم می‌شود.
نسخه های تحت تاثیر
نسخه های Apache ActiveMQ 5.18.0 قبل از 5.18.3، 5.17.0 قبل از 5.17.6 و 5.16.0 قبل از 5.16.5 در برابر این حمله آسیب پذیر هستند. Apache ActiveMQ وصله‌هایی را برای تمام نسخه‌های آسیب‌دیده منتشر کرده است. به کاربران توصیه می شود تا در اسرع وقت نصب ActiveMQ خود را به روز کنند. علاوه بر این، در صورت عدم نیاز، OpenWire را غیرفعال نگه دارید، دسترسی به رابط های مدیریت ActiveMQ را محدود کنید و استقرار ActiveMQ را از طریق تقسیم بندی شبکه ایزوله کنید تا محافظت بمانید.

نظرات کارشناسان:

کن دانهام، مدیر تهدیدات سایبری در Foster City، کالیفرنیا، Qualys، ارائه‌دهنده راه‌حل‌های مبتنی بر فناوری اطلاعات، امنیت و انطباق مبتنی بر ابر، با Hackread.com در میان گذاشت که نیاز شدیدی به پیکربندی مناسب پلت‌فرم ابری وجود دارد.
نکته اصلی که من در اینجا دریافت می کنم این است که چگونه ابر به ندرت به درستی پیکربندی می شود و بدافزارها از آن سوء استفاده می کنند. ما نمی‌خواهیم به بدافزارهایی مانند این اجازه دهیم که دلیلی بر پیکربندی‌های ضعیف و عدم امنیت در سیستم‌های ما باشد، به‌ویژه در مورد ابزارها، تاکتیک‌ها و رویه‌های حرکت جانبی (TTP) که توسط گروه استفاده می‌شود.»

دانهام خاطرنشان کرد که Kinsing از سال 2020 یک تهدید مهم بوده است.

دانهام توضیح داد: "Kinsing با موفقیت کانتینرهای Docker ابری با تأیید اعتبار و پیکربندی ضعیفی را که قدمت آنها به سال 2020 بازمی‌گردد، شکار کرده است، سپس تلاش‌هایی را برای حرکت جانبی انجام می‌دهد تا از حملات brute force استفاده کند.
عرفان اسرار، مدیر تحقیقات بدافزار و تهدید در Qualys، به Hackread.com گفت که محققان شکاف بزرگی را در فضای ابری کشف کرده‌اند.
«این کشف شکاف بزرگی را در ابر نشان می‌دهد که معمولاً در برابر آن دفاع نمی‌شود. اکثر برنامه‌های وب/ زیرساخت‌های ابری در زیرساخت ابری خود بدافزار را اسکن نمی‌کنند، بیشتر فقط سعی می‌کنند ترافیک وب را بررسی کنند، که به بدافزارKinsing اجازه می‌دهد از مزیت استفاده کند و پایداری پیدا کند. من می بینم که این شکاف در آینده توسط گروه های دیگر مورد استفاده قرار می گیرد.»

این آسیب‌پذیری Randstorm نام دارد و کیف پول‌های تولید شده توسط مرورگر را که بین سال‌های 2011 تا 2015 ایجاد شده‌اند، تحت تأثیر قرار می‌دهد.

محققان آسیب پذیری هایی را در سیستم های ذخیره سازی قدیمی حاوی بیت کوین شناسایی کرده اند. با این حال، این شرکت ادعا می کند که سایر ارزهای رمزنگاری شده، از جمله Dogecoin، و استیبل کوین ها مانند Litecoin و Zcash نیز ممکن است در معرض خطر باشند.
پس از یک تحقیق جامع 22 ماهه، شرکت امنیت سایبری Unciphered در آخرین گزارش خود فاش کرده است که به دلیل آسیب پذیری در تولید کیف پول های قدیمی با استفاده از BitcoinJS و پروژه های مشتق، تا 2.1 میلیارد دلار ارز دیجیتال ممکن است در خطر باشد.

این آسیب‌پذیری Randstorm نامیده می‌شود که بر کیف پول‌های تولید شده توسط مرورگر که بین سال‌های 2011 تا 2015 ایجاد شده‌اند، تأثیر می‌گذارد. طبق ادعای Unciphered، میلیون‌ها کیف پول ارز دیجیتال را تحت تأثیر قرار داده است.
این کیف پول‌ها ممکن است در معرض سرقت رمزارز قرار بگیرند، زیرا این شرکت معتقد است که دشمنان می‌توانند از این مشکل برای تولید کلیدهای خصوصی و استفاده از آنها برای سرقت وجوه ذخیره‌شده در کیف‌های آسیب‌دیده استفاده کنند.
منبع این آسیب‌پذیری تابع SecureRandom ()‎ است که در کتابخانه جاوا اسکریپت JSBN یافت می‌شود، همراه با نقاط ضعفی که در پیاده‌سازی‌های اصلی مرورگر Math.random()‎ وجود داشت. بیت کوین جی اس تا مارس 2014 از کتابخانه JSBN استفاده کرد.» این شرکت در گزارش خود توضیح داد. در این گزارش آمده است: «سایر پروژه‌ها نسخه‌های اولیه بیت‌کوین‌جی‌اس را برای تولید بیت‌کوین و سایر کیف‌پول‌های ارزهای دیجیتال گنجانده بودند».
این شرکت بر این باور است که پروژه های بلاک چین متعددی می توانند تحت تأثیر قرار گیرند. Unciphered مشکلات موجود در انبارهای قدیمی بیت کوین را کشف کرد، اما این شرکت معتقد است که سایر ارزهای رمزپایه، از جمله Dogecoin و استیبل کوین‌ها، مانند Litecoin و Zcash، می‌توانند تحت تأثیر قرار بگیرند.
Unciphered جزئیات بیشتری در مورد این آسیب پذیری فاش نکرد. با این حال، تایید شده است که میلیون ها نفر در مورد این موضوع هشدار داده اند. این شرکت توصیه کرد که سرمایه گذاران وجوه خود را به کیف پول های جدید منتقل کنند.
این شرکت خاطرنشان کرد: «اگر فردی هستید که قبل از سال 2016 با استفاده از یک مرورگر وب کیف پول خود را تولید کرده‌اید، باید وجوه خود را به کیف پولی که اخیراً ایجاد شده توسط نرم‌افزار قابل اعتماد تولید شده است، انتقال دهید.
با این حال، همه کیف پول‌ها نمی‌توانند به طور یکسان تحت تأثیر قرار گیرند، زیرا این موضوع از جنبه‌های مختلف یک ارز دیجیتال سوء استفاده می‌کند. همچنین تعیین چارچوب زمانی دقیق برای این موضوع دشوار است، به جز اینکه بر کیف پول های تولید شده بین سال های 2011 و 2015 تأثیر می گذارد.

این شرکت همچنین تایید کرد که این آسیب‌پذیری قابل بهره‌برداری است، اما میزان کار مورد نیاز برای بهره‌برداری از کیف پول‌ها به‌طور قابل‌توجهی متفاوت است. به عنوان مثال، کیف پول های تولید شده در سال 2014 در مقایسه با کیف پول های تولید شده در سال 2012 سخت است.

Unciphered برای کمک به ارائه دهندگان کیف پول و توسعه دهندگان این مشکل را درک و برطرف کرده است. BitcoinJS از این مشکل آگاه است و توصیه‌ای را در صفحه GitHub خود ارسال کرده و از کاربران اکوسیستم BitcoinJS می‌خواهد کدهای زیربنایی را از نظر مناسب بودن و اعتبار بررسی و تأیید کنند.

گزارش Unciphered اهمیت حفاظت از دارایی های رمزنگاری شما را برجسته می کند. همیشه وجوه را در کیف پول های امن ذخیره کنید و از خطرات مرتبط با کیف پول های قدیمی آگاه باشید. استفاده از رمزهای عبور قوی، فعال کردن مکانیسم‌های تأیید چندگانه و ذخیره کردن کلیدهای خصوصی به صورت آفلاین برای ایمن کردن کیف پول‌های شما بسیار مهم است.