ششمین تروجان لینوکس در کمتر از یک ماه شناسایی شد

پژوهش‌گران امنیتی شرکت دکتر وب اعلام کرده‌اند، بدافزار جدید کاربران سیستم‌عامل لینوکس را با استفاده از آسیب‌پذیری موجود در shelllock قربانی خود می‌سازد. آسیب‌پذیری که روی بسیاری از دستگاه‌ها بدون وصله وجود دارد. بدافزار جدید که linux.DDoS.93 نام دارد در گام اول فایل var/run/dhcpclient-eth0.pid/ را به شکلی تغییر می‌دهد تا فرآیند مربوط به بدافزار با هر بار راه‌اندازی دستگاه اجرا شود. در صورتی که چنین فایلی وجود نداشته باشد، بدافزار خودش دست به کار شده و نمونه‌ای از این فایل را ایجاد می‌کند. زمانی‌که بدافزار همزمان با بوت سیستم کار خود را آغاز می‌کند، در ادامه دو پردازه را اجرا می‌کند.

مطلب پیشنهادی

باج‌افزاری در دام افتاده

اولین باج‌افزار سیستم‌عامل لینوکس کرک شد

اولین پردازه به منظور برقراری ارتباط با سرور کنترل و فرماندهی مورد استفاده قرار می‌گیرد. پردازه دوم نقش پشتیبانی داشته و از فعالیت‌ها و عملکرد بدافزار اصلی محافظت کرده و اطمینان حاصل می‌کند، بدافزار به صورت همیشگی به فعالیت خود ادامه می‌دهد. بدافزار اصلی برای آن‌که بتواند حمله انکار سرویس توزیع شده را به مرحله اجرا در آورد از 25 پردازه فرزند استفاده می‌کند. تحلیل‌ها نشان می‌دهند که در مقطع فعلی این بدافزار قادر است، بسته‌های UDP را بر مبنای پورت‌های تصادفی یا تعیین شده، بسته‌های TCP را که بسته‌های ساده با داده‌های تصادفی هستند که در هر بسته 4096 بایت داده وجود دارد و در نهایت بسته‌های HTTP را با استفاده از دستورات HEAD، GET و POST به صورت سنگین به سمت هدف مورد نظر ارسال کند.

مطلب پیشنهادی

مراقب اجرای دستورات باشید

نه فرمان خطرناک لینوکس که هرگز نباید اجرا شوند!

نکته جالب توجه دیگری که در ارتباط با این بدافزار وجود دارد، به قابلیت به‌روزرسانی خودکار، حذف، پایان دادن به اجرای پردازه‌ها، ارسال Ping و دریافت فایل از سرور کنترل و فرمان‌دهی و اجرای این فایل‌ها اشاره کرد. بدافزار Linux.DDoS.93 مجهز به تابعی است که قادر است حافظه اصلی سیستم و فهرست پردازه‌هایی که درون آن قرار دارد را مورد جستجو قرار داده و اگر هر یک از واژگان کلیدی موردنظر را پیدا کرد، خود را غیر فعال سازد. واژگان فوق متعلق به دامنه امنیت فناوری اطلاعات هستند و این‌گونه استنباط می‌شود که از سوی پژوهش‌گران امنیتی به منظور انجام مهندسی معکوس روی نویسنده یا آلوده کردن خود نویسنده مورد استفاده قرار می‌گیرند. در مدت زمان آلوده‌سازی، بدافزار دستگاه قربانی را به لحاظ وجود نسخه‌ها دیگری از خودش مورد جستجو قرار می‌دهد و بعد از پیدا کردن، نسخه‌ای قدیمی آن‌ها را غیر فعال ساخته و نسخه جدیدتر را نصب می‌کند. به نظر می‌رسد، هکرها تازه به این حقیقت اشراف پیدا کرده‌اند که سیستم‌عامل لینوکس تا چه اندازه می‌تواند در پیشبرد اهداف آن‌ها مناسب باشد. به‌طوری که در طول ماه‌های گذشته شاهد رشد بسیار سریع و زیاد بدافزارهای پلتفرم لینوکس بوده‌ایم. به‌طور مثال در یک ماه گذشته پژوهش‌گران پنج بدافزار متعلق به لینوکس را به نام‌های LuaBot، Mirai، PnScan، REX و Linux.BackDoor.Inc را شناسایی کرده‌اند.