باتنت جدید لینوکس از آسیبپذیری بسیار بدنامی که با نام log4j شناخته میشود، برای نصب روتکیتها و سرقت داده استفاده میکند. بهنظر میرسد گویا log4j به این سرعت از بین نمیرود.
ماهها از برملا شدن آسیبپذیری log4kj میگذرد، اما با این حال حملات جدیدتر هنوز هم در حال ظهور هستند. محققان امنیت سایبری Qihoo 360 که شرکت امنیت سایبری چینی است، بهتازگی باتنت جدید لینوکس را کشف کرده است که از این نقصی که پیش آمده تست برای توزیع روت کیتها و سرقت دادههای حساس استفاده میکند.
آنها باتنت را B1txor20 نامگذاری کردهاند و مدعی هستند که از آسیبپذیری log4j برای هدف قرار دادن Linux Arm و سیستمهای 64 بیتی x86 استفاده میکند. محققان میگویند:
علاوهبر عملکردهای درب پشتی که مرسوم است، B1txor20 دارای عملکردهایی همانند توانایی باز کردن پراکسی Socket5 و دانلود و نصب کردن روت کیت از راه دور است.
علاوهبر نصب روتکیتها، باتنت بهدنبال خواندن و نوشتن فایلها، اجرا و خامتهی سرویسهای پراکسی و حتی اجرای لایههای معکوس است. نتبات میتواند دادهها را از نقاط پایانی که دچار آسیب شدهاند را استخراج کند و از راه دور دستورات لازم که اجرا کند. اینکار میتواند در نهایت منجر به توزیع بدافزارهای خطرناک شود.
اگرچه این باتنت کاملی محسوب نمیشود، البته محققان باگها و ویژگیهای غیرکاربردی زیادی را پیدا کردهاند. برای نمونه، یکی از ایراداتی که وجود دارد این است این است که این باگ میتواند پس از اتصال socket از دامنه قطع شود، فایل socket را حذف کند و آن را غیرقابل اتصال کند؛ بنابراین میتوان نتیجه گرف که همهی عملکرد در نهایت بیفایده است.
محققان انتظار دارند تا عامل تهدید، ساعات بیشتری را برای رفع پیچیدگیها بگذارند و منجر به خطرناکتر کردن باتنت، حتی بیشتر از آنچه در حال حاضر هست شود. این گروه گفتهاند:
ما تصور میکنیم که نویسندهی B1txor20، باتوجه به سناریوهای متنوع به بهبود و باز کردن ویژگیهای متفاوت ادامه خواهد داد؛ بنابراین شاید با خواهر و برادرهای B1txor20 نیز ملاقات کنیم.
لازم به ذکر است که عملکرد این بدافزار به این صورت است که از تونل DNS برای برقراری ارتباطات، فرمان و کنترل C2 و پنهان کردن درب پشتی خود استفاده میکند. سپس رباتها منتظر میمانند تا دستورات مخربی که توسط سرور C2 ارسال شده است، اجرا شوند و مراحل کار خود را به پایان برسانند.
این آسیبپذیری که در اوایل دسامبر سال گذشته در ابزار Apache’s logging کشف شد، بهعنوان یکی از خطرناکترین آسیبپذیریهای تمام تاریخ شناخته میشود. log4j چیزی است که بهطور گستردهای مورد استفاده قرار میگیرد و باتوجه به اینکه این نقص میتواند به بازیگران شخص ثالث این امکان را بدهد تا از راه دور، کاملا به دستگاه مورد نظر دسترس داشته باشند، پتانسیل مخرب بودن آن را نامحدود میکند.
پس از کشف این آسیبپذیری، ابزار Apache’s logging برای توسعهی پچی عجله کرد و در طول مسیر خود دچار اشتباهاتی شد تلاشها و پچهای متعددی صورت گرفتند تا بالاخره آسیبپذیری log4j موفق شد تا برای باری دیگر وصل شود. درنهایت، از همهی مدیران و سرپرستان درخواست میشود تا همواره همهی سیستمهای خود را بهروز نگه دارند.