هشدارهای افتایی
محققان شرکت Intezer از شناسایی بدافزاری جدید با عملکرد "کرم" (Worm) خبر داده‌اند که از اوایل دسامبر 2020 اقدام به نصب ابزار XMRig و استخراج ارز رمز مونرو بر روی دستگاه‌های با سیستم عامل Windows و Linux می‌کرده است. 
به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer ،این بدافزار که به زبان Golang برنامه‌نویسی شده از طریق حملات موسوم به "سعی و خطا" (Brute-force) به سرورهایی همچون MySQL، Tomcat، Jenkins و WebLogic که بر روی اینترنت در دسترس قرار دارند نفوذ می‌کند.
مهاجمان پشت‌پرده کارزار از بدو پیدایش این بدافزار به‌طور فعال قابلیت‌های خودانتشاری آن را از طریق سرور فرماندهی (C2) تکامل داده‌اند.
وظیفه سرور فرماندهی، میزبانی فایل Bash – به‌عنوان Dropper دستگاه‌های با سیستم عامل Linux –، اسکریپت PowerShell – به‌عنوان Dropper دستگاه‌های با سیستم عامل Windows –، فایل دودویی مبتنی بر Golang (بدافزار با عملکرد کرم) و ابزار XMRig (برای استخراج مونرو) است.
در زمان انتشار گزارش از سوی Intezer، نسخه تحت Linux کرم که فایلی از نوع ELF است توسط هیچ کدام از ضدویروس‌های سامانه VirusTotal قابل شناسایی نبوده است.
این کرم با پویش اینترنت سرویس‌های MySQL، Tomcat، Jenkins و WebLogic را شناسایی کرده و در ادامه تلاش می‌کند تا با امتحان کردن فهرستی از اطلاعات اصالت‌سنجی (Credential) به آنها رخنه کرده و کنترل آنها را در اختیار بگیرد.
در مواردی در نسخه های  قدیمی کرم نیز از آسیب‌پذیری CVE-2020-14882 در Oracle WebLogic بهره‌جویی (Exploit) می‌شده است. بهره‌جویی از آسیب‌پذیری مذکور مهاجم را قادر به اجرای کد به‌صورت از راه دور بر روی دستگاه قربانی می‌کند.
به‌محض آلوده شدن سرور، یک اسکریپت با عملکرد Loader (فایل ld.sh برای Linux و اسکریپت ld.ps1 برای Windows) اجرا می‌شود. وظیفه فایل‌های مذکور کپی ابزار XMRig و کرم مبتنی بر Golang بر روی سرور است.
در صورتی که بدافزار تشخیص دهد که درگاه 52013 بر روی دستگاه آلوده در حال شنود است به‌صورت خودکار اجرای خود را متوقف می‌کند. در غیر این‌صورت سوکت شبکه‌ای خود را باز می‌کند.
عدم شناسایی نسخه تحت Linux کرم، علیرغم شباهت بسیار نزدیک کد با نسخه تحت Windows آن، از ناکارآمدی سازوکارهای امنیتی در مقابله با تهدیدات مبتنی بر Linux حکایت دارد.
محدودسازی تعداد ثبت ورود (Login) و استفاده از رمزهای عبور پیچیده به ویژه برای تمامی سرویس‌های قابل دسترس بر روی اینترنت و در صورت امکان بکارگیری احراز هویت دوعاملی (Two-factor Authentication) از جمله راهکارهای کلیدی در ایمن ماندن از گزند این کرم چندبستری است.
ضمن آن‌که به‌روز نگاه داشتن نرم‌افزار و در دسترس قرار ندادن سرویس‌ها بر روی اینترنت، مگر در مواقع ضروری باید همواره مدنظر قرار داشته باشد.
مشروح گزارش Intezer در لینک زیر قابل دریافت و مطالعه است:
نشانه‌های آلودگی

منبع:
(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

 
 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.