باج‌افزاری در دام افتاده

اولین باج‌افزار سیستم‌عامل لینوکس کرک شد

21/08/1394 - 12:20
امنیت
اولین باج‌افزار سیستم‌عامل لینوکس کرک شد
تروجان باج‌افزار رمزنگاری فایل‌ها تقریبا مختص سیستم‌عامل ویندوز است، اما این قانون تا قبل از پیدایش بدافزاری بود که برای اولین بار سیستم‌عامل لینوکس را مورد حمله قرار داد. Linux.Encoder.1 اولین باج‌افزار منتشر شده برای لینوکس است که رفتار آن به شدت شبیه به CryptoWall ،TorLocker و دیگر خانواده باج‌افزارهایی که در سیستم‌عامل ویندوز فعالیت می‌کنند. اما این باج‌افزار قبل از آن که موفق شود قیام خود را آغاز کند؛ سرنگون شد.

9 نوامبر باجافزار Linux.Encoder1 اعلام موجودیت کرد

به نظر می‌رسد، اشتهای نویسندگان باج‌افزار Linux.Encoder فراتر از دیگر هکرها بوده است، آن‌ها بعد از آن‌که کامپیوترهای کاربران عادی و کسب و کارها را هدف حمله خود قرار دادند، تصمیم گرفتند به سراغ وب‌سرورها بروند. شرکت روسی سازنده ابزار دکتر وب (Doctor Web) دیروز خبر از شناسایی یک برنامه مخرب مبتنی بر سیستم‌عامل لینوکس داد. آن‌ها این بدافزار را Linux.Encoder1 اعلام کردند. زمانی که این باج‌افزار روی سیستمی با مجوزهای مدیریتی اجرا می‌شود، جستجوی کاملی روی سیستم‌فایلی انجام داده و فایل‌های قرار گرفته در پوشه کاربری، پوشه سرور MySQL، پوشه گزارش‌ها و پوشه‌های وب متعلق به سرورهای آپاچی و Nginx را رمزنگاری می‌کند.

این بدافزار چگونه کار می‌کند؟

هکرها بعد از آن‌که رخنه‌ای در سیستم مدیریت محتوای Magento  کشف کنند، باج‌افزار Linux.Encode.1 را روی سیستم کاربر اجرا می‌کنند. زمانی‌که این باج‌افزار اجرا می‌شود‌، تروجان به سراغ پوشه‌های /home، /root و /var/lib/mysql رفته و محتوای درون این پوشه‌ها را رمزنگاری می‌کند. شبیه به باج‌افزارهای ویندوزی Linux.Encoder.1 محتوای این فایل‌ها را با استفاده از الگوریتم رمزنگاری کلید متقارن AES رمزنگاری می‌کند. به دلیل این‌که الگوریتم AES از سرعت خوبی برخوردار بوده و با حداقل منابع به خوبی کار می‌کند، هکرها از این الگوریتم استفاده کرده‌اند. این کلید متقارن در ادامه با استفاده از الگوریتم رمزنگاری نامتقارن RSA رمزنگاری شده و به فایل رمزنگاری شده اضافه می‌شود. زمانی‌که فایل‌ها رمزنگاری شدند، تروجان سعی می‌کند محتوای root (/) را رمزنگاری کرده و تنها به فایل‌های حیاتی سیستم اجازه دهد به‌طور عادی به فعالیت ادامه دهند، در نتیجه سیستم‌عامل به راحتی راه‌اندازی می‌شود. در این مرحله فرضیه هکرها بر این استدلال قرار دارد که همه چیز به خوبی پیش رفته و در ادامه فرآیند دسترسی به کلید خصوصی RSA برای رمزگشایی کلید نامتقارن AES بعد از آن که کاربران باج مربوطه را پرداخت کنند در اختیار آن‌ها قرار داده شود، اما این پایان داستان نیست!

10 نوامبر بیت دیفندر حفرهای را در این  باجافزار پیدا میکند و تهدید باجافزار خنثی میشود

مدیران وب سرورهای لینوکسی که به تازگی با باج‌افزار Linux.Encoder1 آلوده شده‌اند، بسیار خوش شانس بوده‌اند. به دلیل این که یک ابزار رایگان برای رمزگشایی فایل‌ها در اختیارشان قرار دارد. این ابزار توسط محققان شرکت امنیتی بیت دیفندر، ساخته شده است. شرکتی که موفق شد رخنه بزرگی در الگوریتم رمزنگاری باج‌افزار Linux.Encoder1 شناسایی کند. این باج‌افزار فایل‌ها را با استفاده از الگوریتم استاندارد رمزنگاری پیشرفته AES غیر قابل خواندن کرده و از کلید یکسانی برای هر دو فرآیند رمزنگاری و رمزگشایی استفاده می‌کند. کلید AES همچنین از RSA که یک الگوریتم رمزنگاری نامتقارن است، برای رمزنگاری استفاده می‌کند. الگوریتم RSA از جفت کلید عمومی و خصوصی به جای یک کلید تکی استفاده می‌کند. در این الگوریتم از یک کلید عمومی برای رمزنگاری داده‌ها و از یک کلید خصوصی برای بازگشایی رمزها استفاده می‌شود. Linux.Encoder1 از جفت کلید عمومی و خصوصی که توسط سرورهای هکرها تولید می‌شود استفاده می‌کند. اما فقط کلید عمومی برای سیستم‌های آلوده ارسال می‌شود. از این کلید عمومی برای رمزنگاری کلید AES استفاده می‌شود. اگر این باج‌افزار به درستی طراحی و پیاده‌سازی می‌شد، هیچ فردی نمی‌توانست بدون در اختیار داشتن کلید خصوصی RSA فایل‌های رمزنگاری شده را رمزگشایی کند. با این حال، محققان بیت‌دیفندر کشف کردند، زمانی که کلیدهای AES تولید می‌شوند، برنامه مخرب از منابع ضعیفی برای تولید داده‌های تصادفی استفاده می‌کند. همچنین، با نگاه کردن به تاریخ و زمان فایل‌ها به راحتی می‌توانید زمان ساخت کلید AES روی هارددیسک را مشاهده کنید. ابزار ساخته شده توسط بیت دیفندر در اصل یک اسکریپت است که توانایی شناسایی و مقداردهی اولیه وکتورها و کلیدهای رمزنگاری AES را با تحلیل فایل‌های رمزنگاری شده با باج‌افزار دارد. در ادامه این اسکریپت می‌تواند فایل‌های رمزنگاری شده را ویرایش کرده و مجوزهای سیستمی را اصلاح کند. اگر سیستم شما به این باج‌افزار آلوده شده و توانایی راه‌اندازی سیستم خود را دارید، کافی است اسکرپیت ارائه شده از سوی بیت دیفندر را دانلود کرده و آن‌را در ریشه کاربری اجرا کنید. این ابزار ضمن آن‌که توانایی رمزگشایی فایل‌ها را دارد، مجوزهای مدیریتی سیستم را نیز ترمیم می‌کند. محققان بیت دیفندر در وبلاگ خود جزییات مربوط به نحوه استفاده از این اسکریپت را تشریح کرده‌اند.

لینک دسترسی به اسکریپت ارائه شده از سوی بیت دیفندر

البته این اولین باری نیست نویسندگان باج‌افزارها خطاهایی را در زمینه پیاده‌سازی الگوریتم‌های رمزنگاری از خود نشان داده‌اند، به ‌طوری که به محققان اجازه می‌دهد با استفاده از این باگ‌ها به ترمیم فایل‌های آسیب دیده بپردازند. اما از طرفی شناسایی این خطاها یک برگ برنده در اختیار هکرها قرار می‌دهد، به‌طوری که در آینده برنامه‌های مخرب از پایداری بیشتری در برابر رخنه‌ها برخوردار خواهند بود. لازم به توضیح است سیستم‌عامل مک نیز از این‌گونه حملات مصون نیست، به تازگی یک کارشناس دنیای امنیت با استفاده از یک مدل مفهومی نشان داده است که مک در این زمینه آسیب‌پذیر است.

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

مطالب مرتبط

منبع: 
آی‌تی ورلد
برچسب: 
لینوکس - امنیت - هک - باج افزار - Linux.Encoder.1 - بیت دیفندر
به اشتراک گذاری مطلب: 
Telegram Twitter Print HTML

ایسوس

نظر شما چیست؟