در همین ارتباط پژوهشگران امنیتی به تازگی موفق شدند خانواده جدیدی از بدافزارها را شناسایی کنند که بهطور خاص سرورهای وب سراسر جهان را هدف قرار دادهاند. هکرها به دنبال آن هستند تا از طریق یک باتنت و با سوء استفاده از سرورها ارز مجازی استخراج کنند. کارشناسان امنیتی در گزارش خود اعلام کردهاند که بدافزار جدیدی به نام RubyMiner را کشف کردهاند. این بدافزار در اواخر ژانویه سعی کرده بود از طریق پیادهسازی یک حمله بزرگ و هماهنگ شده سرورهای وب مستقر در ایالات متحده، آلمان، انگلستان، نرژو و سوئد را هدف قرار دهد. به نظر میرسد این حمله از جانب یک سازمان هکری به وقوع پیوسته است، به واسطه آنکه بدافزار فوق در نظر داشت در یک روز نزدیک به یک سوم شبکه جهانی را تحت تاثیر خود قرار داده و به سوء استفاده از سرورها بپردازد.
این بدافزار به گونهای طراحی شده است که سرورهای لینوکسی و ویندوزی را هدف قرار دهد. بدافزار RubyMiner برای منظور از آسیبپذیری ثبت شده به شماره CVE-2013-0156 که در خلال سالهای 2012 و 2013 میلادی شناسایی شد اما بعضی از شرکتها وصله مربوطه را روی سرورهای خود نصب نکردهاند به منظور نصب یک استخراجکننده ارز مجازی بهره برده است. جالب آنکه هکرها در این راه هیچگونه تلاشی نکردهاند تا فعالیتهای خود را پنهان کنند، بلکه به دنبال آن بودند تا در اسرع وقت به حجم بسیار بالایی از سرورهای وب مبتنی بر پروتکل انتقال ابرمتن آسیبپذیر حمله کنند. بدافزار فوق که در قالب یک کمپین مخرب عمل میکند آسیبپذیریهای موجود در نرمافزارهای Ruby On Rails، IIS مایکروسافت و پیاچپی را هدف قرار میدهد.
در این حمله هکرها موفق شدند در یک روز 700 سرور که در کشورهای مختلف قرار داشتند را مورد حمله قرار دهند. در حملهای که Ruby On Rails را هدف قرار داده بود هکرها از یک آسیبپذیری شناسایی شده که هنوز ترمیم نشده بود برای اجرای کدهای راه دور خود استفاده کردند. در این حمله هکرها یک بارداده (payload) کدگذاری شده در قالب base64 را همراه با دستور POST توزیع کردند و در ادامه تلاش کردند تا مفسر زبان روبی که روی سرور هدف قرار داشت را فریب دهند تا درخواست آنها را اجرا کند. این بار داده با هدف اضافه کردن یک کرونجاب (cronjob) به سرور که قادر بود در هر ساعت اجرا شده و فایلrobots.txt را دانلود کند به سرور تزریق میشد. فایل فوق شامل یک اسکریپت شل بود که به منظور واکشی و در نهایت استخراج ارز مجازی به کار گرفته میشد. هکرها از آن جهت از فایل robots.txt استفاده کرده بودند تا هر زمان نیاز داشتند فرآیند استخراج روی سرور را خاتمه دهند به سرعت تغییرات مربوطه را روی سرور آسیبپذیر به مرحله اجرا در آورند.
دامنه lochjol.com از جمله دامنههایی است که در ارتباط با این کمپین هکری شناسایی شده است. دامنهای که پیش از این در سال 2013 میلادی نیز به کار گرفته شده بود. کارشناسان امنیتی میگویند هکرها حتا به سراغ سرورهای بانکاطلاعاتی نیز رفتهاند تا نه تنها از این سرورها به منظور استخراج ارز مجازی استفاده کنند، بلکه دادههای حساس درون این سرورها را جمعآوری کرده و در نهایت از این سرورها باتنت قدرتمندی به وجود آورده تا برای حمله منع سرویس انکار شده از آنها استفاده کنند. هکرها برای دسترسی به سرورهای بانکاطلاعاتی از حملات جستوجوی فراگیر و در ادامه اجرای دستورات SQL به منظور دسترسی مستمر و ممانعت از شناسایی شدن از طریق فایلهای گزارش استفاده کردهاند. در این کمپین نیز هکرها از سه بردار حمله Hex، Hanako و Taylor برای حمله به سرورهای Microsoft SQL و MySQL استفاده کردهاند. حمله Hex به منظور استخراج ارز مجازی و تزریق تروجانهای دسترسی از راه دور به سامانههای آلوده، حمله Taylor به منظور نصب یک روباینده کلیدها (key-logger) و نصب یک درب پشتی و از حمله Hanako به منظور بهرهبرداری از دستگاههای آلوده برای ساخت یک باتنت استفاده کردهاند.
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟