محققان شرکت Intezer از شناسایی بدافزاری جدید با عملکرد “کرم” (Worm) خبر دادهاند که از اوایل دسامبر ۲۰۲۰ اقدام به نصب ابزار XMRig و استخراج ارز رمز مونرو بر روی دستگاههای با سیستم عامل Windows و Linux میکرده است.
به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer ،این بدافزار که به زبان Golang برنامهنویسی شده از طریق حملات موسوم به “سعی و خطا” (Brute-force) به سرورهایی همچون MySQL، Tomcat، Jenkins و WebLogic که بر روی اینترنت در دسترس قرار دارند نفوذ میکند.
مهاجمان پشتپرده کارزار از بدو پیدایش این بدافزار بهطور فعال قابلیتهای خودانتشاری آن را از طریق سرور فرماندهی (C۲) تکامل دادهاند.
وظیفه سرور فرماندهی، میزبانی فایل Bash – بهعنوان Dropper دستگاههای با سیستم عامل Linux –، اسکریپت PowerShell – بهعنوان Dropper دستگاههای با سیستم عامل Windows –، فایل دودویی مبتنی بر Golang (بدافزار با عملکرد کرم) و ابزار XMRig (برای استخراج مونرو) است.
در زمان انتشار گزارش از سوی Intezer، نسخه تحت Linux کرم که فایلی از نوع ELF است توسط هیچ کدام از ضدویروسهای سامانه VirusTotal قابل شناسایی نبوده است.
این کرم با پویش اینترنت سرویسهای MySQL، Tomcat، Jenkins و WebLogic را شناسایی کرده و در ادامه تلاش میکند تا با امتحان کردن فهرستی از اطلاعات اصالتسنجی (Credential) به آنها رخنه کرده و کنترل آنها را در اختیار بگیرد.
در مواردی در نسخه های قدیمی کرم نیز از آسیبپذیری CVE-۲۰۲۰-۱۴۸۸۲ در Oracle WebLogic بهرهجویی (Exploit) میشده است. بهرهجویی از آسیبپذیری مذکور مهاجم را قادر به اجرای کد بهصورت از راه دور بر روی دستگاه قربانی میکند.
بهمحض آلوده شدن سرور، یک اسکریپت با عملکرد Loader (فایل ld.sh برای Linux و اسکریپت ld.ps۱ برای Windows) اجرا میشود. وظیفه فایلهای مذکور کپی ابزار XMRig و کرم مبتنی بر Golang بر روی سرور است.
در صورتی که بدافزار تشخیص دهد که درگاه ۵۲۰۱۳ بر روی دستگاه آلوده در حال شنود است بهصورت خودکار اجرای خود را متوقف میکند. در غیر اینصورت سوکت شبکهای خود را باز میکند.
عدم شناسایی نسخه تحت Linux کرم، علیرغم شباهت بسیار نزدیک کد با نسخه تحت Windows آن، از ناکارآمدی سازوکارهای امنیتی در مقابله با تهدیدات مبتنی بر Linux حکایت دارد.
محدودسازی تعداد ثبت ورود (Login) و استفاده از رمزهای عبور پیچیده به ویژه برای تمامی سرویسهای قابل دسترس بر روی اینترنت و در صورت امکان بکارگیری احراز هویت دوعاملی (Two-factor Authentication) از جمله راهکارهای کلیدی در ایمن ماندن از گزند این کرم چندبستری است.
ضمن آنکه بهروز نگاه داشتن نرمافزار و در دسترس قرار ندادن سرویسها بر روی اینترنت، مگر در مواقع ضروری باید همواره مدنظر قرار داشته باشد.
مشروح گزارش Intezer در لینک زیر قابل دریافت و مطالعه است:
https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers
منبع:
دیدگاه شما