تروجان لینوکس با انجام حمله جستجوی فراگیر به مسیریاب‌ها درپشتی نصب می‌کند!

یک تروجان لینوکس که بیش از یک سال است پدیدار شده دوباره فعال شده و به مسیریاب‌ها حمله می‌کند. این تروجان تلاش می‌کند تا در این مسیریاب‌ها یک درپشتی نصب کند.

این تهدید با نام Linux.PNScan سال گذشته با جزییات معرفی شد و آن هنگامی بود که به‌صورت عمده به دستگاه‌هایی با معماری ARM، MIPS و یا PowerPC حمله می‌کرد. اکنون محققان امنیتی شرکت Malware Must Die! می‌گویند که این کرم ELF به سامانه‌های Linux x86 حمله می‌کند و تمرکز خود را بر بسترهای مبتنی بر آن‌ها نهاده است به‌ویژه آن دسته که «در شبکه‌ی منطقه‌ی تلانگانا و کشمیر هند قرار دارند».

 

سال گذشته محققان Doctor Web نشان دادند که این تروجان ممکن است بر روی مسیریاب‌هایی نصب شده باشد که توسط نویسندگان این تروجان مورد حمله قرار گرفته‌اند. آن‌ها از آسیب‌پذیری ShellShock بهره‌برداری کرده‌اند که یک اسکریپت با تنظیمات مربوط به آن را شامل می‌شود. محققان می‌گویند این تهدید برای انجام حملات جستجوی فراگیری علیه مسیریاب‌ها طراحی شده است و به نصب یک اسکریپت بر روی آن‌ها می‌پردازد و این اسکریپت هم به‌نوبه خود می‌تواند یک درپشتی را که براساس معماری مسیریاب (ARM، MIPS یا PoweePC) طراحی شده است، بارگیری کند.

به نظر می‌رسد کرمی که محققان گروه Malware Must Die! اخیراً مشاهده کرده‌اند و Linux.PNScan.2 نام دارد، یکی از انواع تروجان اصلی باشد. برخلاف Linux.PNScan.1 که تلاش می‌کرد تا با استفاده از یک دیکشنریی خاص اطلاعات ورود را پیدا کند، این تهدید نشانی‌های IP خاصی را هدف قرار داده است و تلاش می‌کند تا از طریق SSH و با استفاده از ترکیب‌های: root;root; admin;admin; و یا ubnt;ubnt به آن‌ها متصل شود.

 

در حین تجزیه و تحلیل این تهدید، محققان گروه Malware Must Die! کشف کردند که این کرم با استفاده از یک Toolchain نوشته شده و با GCC(GNU) 4.1.x سازگار است. همچنین این محققان کشف کردند که نویسنده این کرم از یک مفسر دوگانه برای i686 با تنظیمات فعال SSL استفاده کرده است.

به نظر می‌رسد هنگامی‌که این کرم بر روی دستگاه آلوده قرار گرفت فرآیند خود را چهار برابر می‌کند (از طریق fork ، علاوه بر فرآیند اصلی) و یک پرونده‌ی خاص را بر روی دستگاه قربانی می‌سازد و به آلوده کردن و گوش دادن به دو درگاه TCP می‌پردازد، IP‌های توکار را هدف قرار می‌دهد و ترافیک را با ارسال درخواست‌های HTTP/1.1 از طریق SSL به twitter.com روی درگاه ۴۴۳ آشفته می‌سازد. همچنین این کرم قادر به انجام حملات جستجوی فراگیر برای ورود است.

با ارسال درخواست‌ها به twitter.com؛ کرم Linux.PNScan می‌تواند ترافیک مخرب خود را پنهان سازد و از تجزیه و تحلیل توسط کارشناسان جلوگیری کند. ترافیک مخرب ایجادشده نمی‌تواند از ترافیک اصلی و قانونی تشخیص داده شود. محققان می‌گویند که درحالی‌که ترافیک SSL به سمت توئیتر مشاهده می‌شود، این ترافیک رمزنگاری شده است و به نظر نمی‌رسد که هیچ‌چیز غیرطبیعی در بررسی SSH وجود داشته باشد. (آن‌ها در این مورد با ETLab مشورت کردند که سودی نداشته است).

 

محققان می‌گویند که این کرم دستگاه‌های لینوکس i86 را در شبکه‌های خاصی آلوده می‌کند و این کار را برای 6 ماه گذشته انجام داده است، هرچند که تصور می‌شد غیرفعال بوده است. این کرم به سامانه‌های تعبیه شده حمله می‌کند و سپس به بررسی بیشتر پرداخته و تلاش می‌کند تا به آن‌ها نفوذ کند. محققان می‌گویند که ممکن است مهاجمان منشأ روسی داشته باشند.

محققان می‌گویند که اگرچه این بدافزار جدید نیست، اما باید هوشیاری خود را در برابر تهدیدهای فعال افزایش داد. آن‌ها خاطرنشان می‌کنند که مسیریاب‌های آلوده دارای ردپاهایی از فرایندهای خاص هستند که در طی آلودگی اولیه اجرا شده‌اند و در این میان اتصال شبکه می‌تواند هر نوع حمله‌ی صورت گرفته را نشان می‌دهد. علاوه بر این، هر هدفی به پرونده‌ی list2 متصل می‌شود و ردگیری این فهرست حمله می‌تواند در این پرونده انجام شود.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید