هشدارهای افتایی
گونه‌ی جدیدی از بدافزار استخراج ارز دیجیتال کشف شده است که پلتفرم لینوکس را هدف قرارداده و استخراج‌گر ارز دیجیتال Cryptonate XMR-Stak را روی آن نصب می‌کند. این بدافزار به جستجو و از بین بردن سایر بدافزارهای لینوکس و استخراج‌کننده‌های موجود در دستگاه آسیب‌دیده نیز می‌پردازد.
این اسکریپت مخرب استخراج ارز دیجیتال در یکی ازhoneypot های Trend Micro شناسایی شده است و بر اساس بررسی‌ها، برخی قسمت‌های کد آن با بدافزار Xbash مشترک بوده و ساختار آن بسیار نزدیک به استخراج‌گر ارز دیجیتال KORKERDS  است. این نسخه از Korkerds، از روت‌کیت‌ها برای پنهان‌کردن خود استفاده نمی‌کند، بلکه استخراج‌گر Stratum XMR-Stak را دانلود می‌کند که از CPU یا GPU سیستم برای یافتن ارزهایCryptonight  استفاده می‌کند.
اسکریپت اولیه یک فایل crontab را به عنوان بخشی از مرحله اول نفوذ دانلود می‌کند که برای اجرای فاز بعدی که شامل سه تابع است، استفاده خواهد شد:
•    تابع B، تمام بدافزارها و استخراج‌گرهای ارزدیجیتال و تمام خدمات مرتبط با بدافزارها را از بین می‌برد. این تابع همچنین دایرکتوری‌ها و فایل‌های جدیدی ساخته و فرآیندهای مرتبط با آدرس‌های IP شناسایی شده را متوقف می‌کند.
•    تابع D کد باینری استخراج‌گر ارز دیجیتال را دانلود کرده و آن را اجرا می‌کند.
•    تابع C اسکریپتی را دانلود کرده و آن را در فایل /usr/local/bin/dns ذخیره می‌کند سپسcrontab جدیدی ایجاد می‌کند تا این اسکریپت را در ساعت 1 صبح فراخوانی کند.
در این مرحله، بدافزار برای از بین بردن رد خود از پاک کردن لاگ سیستم اطمینان حاصل، و همچنین با استفاده از فایل‌هایcrontab  جاسازی شده، از حذف شدن خود پس از راه اندازی مجدد و یا حذف فایل‌ها جلوگیری می‌کند. مرحله دوم نفوذ این بدافزار از چندین دوربین IP و سرویس‌های وب پورت TCP 8161 آغاز می‌شود.
تفاوت اصلی عملکرد این بدافزار و KORKERDS این است که در این بدافزار، اسکریپت جدید فقط یک فایل crontab را وارد می‌کند که کل کد و استخراج‌گر را در بر دارد، در حالی که KORKERDS، crontab  را به طور مستقیم ذخیره می‌کند.
نشانه‌های آلودگی (IoC):
هش:
•    2f7ff54b631dd0af3a3d44f9f916dbde5b30cdbd2ad2a5a049bc8f2d38ae2ab6
•    d9390bbbc6e399a388ac6ed601db4406eeb708f3893a40f88346ee002398955c

منبع : 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.