هشدار: آپدیت فوری برای کاربران لینوکس/هک سیستم عامل لینوکس توسط SambaCry
تاریخ انتشار: ۲۳ خرداد ۱۳۹۶ | کد خبر: ۱۳۶۵۸۱۶۰
ایران به تازگی محققان متوجه شده اند که هم نژاد آسیب پذیری EternalBlue ظاهر و منتشر شده است. این آسیب پذیری که با شناسه (CVE-2017-۷۴۹۴) معرفی شده است، شباهت بسیار زیادی با پروتکل SMB ویندوز دارد ( این پروتکل برای توزیع باج افزار واناکرای اکسپلویت شده بود). آنها از تحقیقات متداول دریافتند که یک آسیبپذیری هفتساله در نرمافزار شبکه Samba شناسایی شد که به نفوذگران این امکان را میداد که از راه دور کنترل سامانههای لینوکس و یونیکس را در دست بگیرند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
به گزارش ایتنا از کسپرسکی آنلاین، samba یک پروژه اّپن سورس است که به طور گستردهای بر روی کامپیوترهای لینوکس و یونیکس استفاده می شودتا بتواند با خدمات فایل ویندوز و سرویسهای پرینت کار کند.
در ۳۰ ماه می، کارشناسان لابراتوار کسپرسکی با راه اندازی هانیپات (تله عسل) موفق شدند که میزان سطح استفاده مجرمان در این آسیبپذیری را تخمین بزنند. در این روز محققان اولین حمله را که با استفاده از این آسیبپذیری اقدام شده بود را شناسایی کردند. اما پیلود این اکسپلویت هیچ وجه مشترکی با تروجان کریپت که EternalBlue و وانالکرای بود نداشت. با کمال تعجب آنها متوجه شدند که SambaCry یک ابزار کریپتوکارنسی است.
اکسپلویت آسیبپذیری
شیوه آن به گونه ای است که یک کاربر غیر مجاز مجوز ارسال به درایو شبکه را دارد. مجرمان در مرحله ی اول ابتدا باید یک فایل متنی را ارسال کنند که این فایل از ۸ کاراکتر تصادفی تشکیل شده است. اگر که تلاش آنها موفقیت آمیز باشد، آنها فایل را پاک خواهند کرد.
نوشتن و پاک کردن فایل متنی
پس از رد کردن این مرحله، زمان پیلود اکسپلویت می رسد ( این مجموعه به عنوان پلاگین Samba است). پس از اینکه اکسپلویت آسیب پذیری با موفقیت انجام شد، سیستم با امتیازات ویژه کاربر اجرا می شود. البته در ابتدا مجرمان باید مسیر کوتاه شده ی فایل را با پیلود خود حدس بزنند و از دایرکتوری روت درایو شروع کنند. به کمک هانیپات، لابراتوار کسپرسکی توانست تمام این تلاشها را مشاهده کند.
پس از اینکه مسیر فایل پیدا شد، می تواند لود شود و در زمینه ی فرآیند سرور Samba، با استفاده از آسیبپذیریهای SambaCry اجرا شود. پس از آن فایل به منظور از بین بردن آثار حذف خواهد شد. از این لحظه SambaCry وجود دارد و تنها در حافظه مجازی اجرا میشود.
در این مورد دو عدد از فایل های ما آپلود شدند و اجرا شدند. آن ها به صورت زیر بودند:
INAebsGB.so (349d84b3b176bbc9834232351ef3bc2a – Backdoor.Linux.Agent.an(
cblRWuoCc.so (2009af3fed2a4704c224694dfc4b31dc – Trojan-Downloader.Linux.EternalMiner.a)
INAebsGB.so
این فایلها در سادهترین قسمت shell ذخیره میشود. آنها به پورت خاص آدرس آی.پی توسط صاحبش متصل می شوند و از راه دور به shell متصل می شوند. اگر بخواهیم در این قسمت نتیجه گیری داشته باشیم می توانیم بگوییم مجرمان قابلیت اجرای دستور shell را از راه دور دارند. آنها به معنای واقعی کلمه اختیار سیستم شما را از دانلود و اجرای هر برنامه از اینترنت گرفته تا حذف اطلاعات از روی کامپیوتر به دست میگیرند و مطابق میل خود رفتار میکنند.
فهرستی از INAebsGB.so
قابل توجه است که یک پیلود مشابه می تواند در اجرای اکسپلویت سامباکرای در متا اکسپلویت یافت شود.
cblRWuoCc.so
قابلیت اصلی این فایل، دانلود و اجرای یکی از مشهورترین خدمات کریپتوکارنسی اّپن سورس (cpuminer) است. در تصویر زیر میتوانید این پروسه را مشاهده کنید:
قابلیت های مهم cblRWuoCc.so
فایل minerd64_s(8d8bdb58c5e57c565542040ed1988af9 — RiskTool.Linux.BitCoinMiner.a) از طریق مختلفی دانلود میشود و در بخش /tmp/mسیستم قربانی ذخیره میشود.
Cpuminer چیست و چه چیزهایی را استخراج میکند؟
اول اینکه یک نکته جالب در مورد این نرم افزار استخراجی وجود دارد، آن هم این است که نسخه cpuminer استفاده شده کاملا آپگرید شده است بنابراین میتوان آن را بدون هیچ پارامتری راه اندازی کرد و به طور مستقیم به دام کیف پول مجرمان افتاد. ما در مورد اینکه کیف پول آنها شامل چه چیزی است و چگونه از آن استفاده میکنند کنجکاوی بسیاری کردیم و تصمیم گرفتیم که آن را بررسی کنیم.
آنها در یک جایی از کار یک آدرس xmr.crypto-pool.fr:3333 را به جای گذاشته بودند. این آدرس برای استخراج کریپتوکارنسی منبع باز ایجاد شده است. با استفاده از تمام این داده ها ما موفق شدیم کیف پول مجرمان را بررسی کنیم و به معاملات آنها وارد شویم. تصویر زیر نمایانگر این معاملات است:
مانده حساب مجرمان در 08.06.2017
شرح معاملات مجرمان
این استخراج از دامنهای که در تاریخ ۲۹ آوریل ۲۰۱۷ ثبت شده بود دانلود شده است. با توجه به ورود معاملات به سیستم، مجرمان اولین سکه های کریپتو خود را در روز بعد یعنی ۳۰ آوریل برداشتند. در روز اول آن ها XMR (حدود ۵۵$ با توجه به نرخ کارنسی در تاریخ ۰۸.۰۶.۲۰۱۷) به دست آوردند. اما در طول هفته گذشته آنها حدود 5 XMR در هر روز به دست آوردند. این بدان معنی است که باتنتهای دستگاههای در حال کار برای مجرمان سود در حال رشدی را به همراه داشته است.
با توجه به اینکه جهان آسیبپذیری EternalRed را تنها در پایان ماه مه کشف کرد و مجرمان این حمله را پذیرفتهاند اما نرخ رشد در تعداد ماشینهای آلوده به طور قابل توجهی افزایش یافته است.
حدود یک ماه پس از استخراج، مجرمان 98 XMR را به دست آوردند که در واحد پول کارنسی این مبلغ ۵۵۰۰$ می باشد.
نتیجه گیری
همانطور که در بالا به آن اشاره کردیم مجرمان میتوانند به طور کامل به سیستم شما از راه دوردسترسی داشته باشند، در حال حاضر آن ها تصمیم گرفتهاند که یک پویش جدید بدافزاری راهاندازی کنند که پس از آلوده ساختن سامانههای قربانیان، نرمافزارهای استخراج پول مجازی در آنها نصب میکند. اما ممکن است روزی دیگر آنها به راههای دیگر برای آسیب زدن به سیستم و اطلاعات و پولهای شما فکر کنند.
متاسفانه در حال حاضر هیچ اطلاعاتی دیگری در مورد این حمله در اختیار ما قرار نگرفته است. اما شاید تنها راه برای مدیران سیستم و کاربران عادی لینوکس به روزرسانی اضطراری نرمافزار سامبای خود به منظور جلوگیری از مشکلاتی باشد که ممکن است در آینده نه چندان دور گریبانگیر هر کدام از آنها شود.
در همین خصوص به کاربران لینوکس توصیه اکید میشود نسخه ۴.۶.۴/۴.۵.۱۰/۴.۴.۱۴ Samba را در اولین فرصت پچ کنند.
منبع: ايتنا
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.itna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۳۶۵۸۱۶۰ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
هشدار به ایرانیها؛ یک بدافزار خطرناک در کمین کامپیوترها
براساس گزارش مؤسسهی امنیتی Sekoia، میلیونها دستگاه در سراسر دنیا دربرابر بدافزار رهاشدهی PlugX USB آسیبپذیر هستند. این بدافزار خطرناک که توانایی تکثیر دارد، در بازهای ۶ ماهه از سپتامبر ۲۰۲۳ (شهریور و مهر ۱۴۰۲) آثاری از خود در نزدیک به ۲.۵ میلیون آدرس IP نشان داده است.
بیش از ۸۰ درصد تمامی دستگاههای آلودهشده به بدافزار PlugX USB مربوط به ۱۵ کشور بودهاند که در بین آنها، نیجریه، هند، چین، ایران، اندونزی، بریتانیا، عراق و آمریکا بهترتیب در رتبههای اول تا هفتم قرار گرفتند. PlugX USB درمجموع کامپیوترهای ۱۷۰ کشور را آلوده کرد.
بدافزارهای USB محور قبلی معمولاً کشورهایی را تحتتأثیر قرار میدادند که بین دستگاههای آنها شباهتهایی مشاهده میشد؛ اما این گفته برای PlugX USB صدق نمیکند. برای نمونه، بدافزار RETADUP بیشترین نرخ نفوذ به سیستمها را در کشورهای اسپانیاییزبان ثبت کرده بود.
محققان شرکت Sekoia میگویند که بدافزار PlugX USB ازطریق دستگاههای ذخیرهسازی USB (فلش) بهراحتی در بین سیستمها منتقل میشود. بررسیهای Sekoia نشان میدهد که تقریباً بهطور روزانه ۹۰٬۰۰۰ تا ۱۰۰٬۰۰۰ دستگاه به PlugX USB آلوده شدهاند.
Sekoia از شرکتهای امنیتی و دولتها درخواست کرده است که ازطریق راهکاری خاص که به ارسال دستور متنی وابسته است، به حذف PlugX USB از کامپیوترها کمک کنند؛ اما این راهکار کاملاً کارساز نیست و امکان آلودهشدن مجدد سیستمها وجود دارد؛ چون PlugX USB ازطریق دستگاههای USB در حال انتقال بین سیستمها است.
بدافزار PlugX حداقل از سال ۲۰۰۸ استفاده شده و بیشتر برای جاسوسی و دسترسی به سیستمها از راه دور کاربرد داشته است. حتی در برهههایی زمانی از PlugX برای حمله به دولتها و سازمانهای سیاسی در آسیا و سپس غرب استفاده شد. محققان باور دارند که کد منبع PlugX در سال ۲۰۱۵ فاش شده است.
فعلاً راهکار مشخصی برای مقابله با PlugX وجود ندارد. به شما توصیه میکنیم که از اتصال دستگاههای ناشناس USB به کامپیوتر خود جلوگیری کنید.
منبع: زومیت
حمله به نمازگزاران در گذره هرات افغانستان/ ۶ نفر شهید شدند