حمله به دستگاه‌های اینترنت اشیا از طریق آسیب‌پذیری SambaCry

در شرایطی که آسیب‌پذیری فوق در ماه می وصله شد، اما به‌تازگی کارشناسان شرکت ترندمیکرو اعلام کرده‌اند بدافزار جدیدی را شناسایی کرده‌اند که از طریق آسیب‌پذیری فوق به‌سراغ دستگاه‌های اینترنت اشیا و همچنین دستگاه‌های ذخیره‌سازی ضمیمه شده شبکه موسوم به NAS (سرنام Network Attached Storage) رفته است. 

سامبا یک نرم‌افزار متن باز است (پیاده‌سازی مجدد پروتکل شبکه SMB/CIFS) که در واقع یک بازسازی جدید از پروتکل SMB ویندوز به شمار می‌رود. نرم‌افزار فوق سرویس‌های فایل و چاپ مبتنی بر ویندوز را برای سرورهای لینوکسی و یونیکسی ارائه می‌کند. این نرم‌افزار روی طیف گسترده‌ای از سیستم ‌عامل‌های بزرگ همچون لینوکس، یونیکس، IBM System 390 و OpenVMS در حال اجرا است. درست به فاصله کوتاهی پس از انتشار گزارش مربوط به آسیب‌پذیری سامباکرای به شماره شناسایی CVE-2017-7494 هکرها به‌سراغ بهره‌برداری از آسیب‌پذیری فوق رفتند و ناگهان حملات هکری مرتبط با این آسیب‌پذیری به‌شکل قابل توجهی رشد پیدا کردند. هکرها به‌منظور نصب نرم‌افزار استخراج‌گر ارز مجازی موسوم به Cpuminer در حال بهره‌برداری از آسیب‌پذیری فوق هستند. این نرم‌افزار به‌منظور استخراج ارز مجازی مونرو از روی سامانه‌های لینوکسی مورد استفاده قرار می‌گیرد. با این حال، شرکت ترندمیکرو گزارش کرده است که به‌تازگی کمپین جدیدی را در ارتباط با SmabaCry شناسایی کرده است که دستگاه‌های NAS مورد استفاده از سوی شرکت‌های بزرگ و کوچک را هدف قرار داده و آن‌ها را آلوده ساخته است. بدافزار فوق که SHELLBIND نام دارد، روی معماری‌های مختلفی همچون MIPS، ARM و PowerPC بدون هیچ‌گونه مشکل خاصی کار می‌کند. این بدافزار از طریق یک فایل شیر اشتراکی (Shared Object File) موسوم به .SO داخل پوشه عمومی سامبا قرار گرفته است و از طریق آسیب‌پذیری SambaCry بارگذاری می‌شود.

مطلب پیشنهادی

آینده اینترنت اشیا

ده کاربرد جذاب اینترنت اشیا که هرگز به ذهن‌تان نمی‌رسد

هنگامی که بدافزار به‌ طور کامل روی سامانه هدف استقرار پیدا کرد، با سرورهای کنترل و فرمان‌دهی که در شرق افریقا قرار دارند ارتباط برقرار می‌کند. بدافزار فوق قادر است قواعد و دستورالعمل‌های دیوار آتش سامانه هدف را تغییر دهد تا اطمینان حاصل کند بدون هیچ مشکلی قادر خواهد بود با سرور کنترل و فرمان‌دهی به ارتباط بپردازد. زمانی که ارتباط با سرور فوق برقرار شد، بدافزار مجوزهای لازم برای دسترسی به سامانه آلوده را در اختیار هکر قرار می‌دهد و یک محیط اجرای دستورات شل را در اختیار هکر قرار می‌دهد. هکر از طریق این محیط قادر است هرگونه دستوری که در نظر دارد اجرا کند. هکرها برای آنکه بتوانند دستگاه‌های آسیب‌پذیری که از نرم‌افزار سامبا استفاده می‌کنند را شناسایی کنند، از موتور جست‌وگر دستگاه‌های اینترنت اشیا شادون استفاده می‌کنند. هکرها همچنین فایل‌های اصلی مربوط به بدافزار خود را درون پوشه‌های عمومی سامبا می‌نویسند و برای پیدا کردن دستگاه‌های آسیب‌پذیر از طریق موتور جست‌وجوگر شادون پورت 445 را همراه با رشته سامبا (Samba) مورد جست‌وجو قرار می‌دهند تا با کمترین زحمت ممکن دستگاه‌های آسیب‌پذیر را شناسایی کنند. در ادامه موتور فوق فهرستی از نشانی‌های IP متعلق به این دستگاه‌ها را در اختیار هکرها قرار می‌دهد. پس از شناسایی دستگاه‌های آلوده یک هکر قادر است به‌راحتی ابزاری را ایجاد کند که به‌طور خودکار فایل‌های مخرب را به درون دستگاه‌هایی که نشانی IP آن‌ها در این فهرست مشخص شده است وارد کند. 
زمانی که هکرها موفق شوند فایل‌های مخرب را درون پوشه‌های عمومی بنویسند، در ادامه برچسب ELF_SHELLBIND.A را به دستگاه‌های آلوده نسبت می‌دهند. با وجود این، هنوز به‌درستی مشخص نیست هکرها روی سامانه‌های آلوده قادر به انجام چه کارهایی هستند و با چه انگیزه‌ای به‌دنبال آلوده کردن دستگاه‌ها می‌روند. کارشناسان شرکت ترندمیکرو در گزارش خود آورده‌اند: «بهره‌برداری از آسیب‌پذیری سامباکرای کاملاً ساده است. به طوری که هکرها قادرند کتابخانه‌های مخرب را درون بخش اشتراک سامانه‌های آسیب‌پذیر بارگذاری کنند. در مرحله بعد سرور نیز کدهای مخرب را بارگذاری و آن‌ها را اجرا می‌کند.» با توجه به آنکه وصله مربوط برای نسخه‌های 4.6.4/4.5.10/4.4.14 این نرم‌افزار عرضه شده است، پیشنهاد می‌شود در اولین فرصت وصله مربوط را روی سامانه خود نصب کنید تا از خطر حمله هکرها در امان باشید.