1%

بات‌نت لینوکس از log5j برای حمله به دستگاه‌های مبتنی بر Arm و x86 سوءاستفاده می‌کند

بات‌نت جدید لینوکس از آسیب‌پذیری بسیار بدنامی که با نام log4j شناخته می‌شود، برای نصب روت‌کیت‌ها و سرقت داده استفاده می‌کند. به‌نظر می‌رسد گویا log4j به این‌ سرعت از بین نمی‌رود.

ماه‌ها از برملا شدن آسیب‌پذیری log4kj می‌گذرد، اما با این حال حملات جدیدتر هنوز هم در حال ظهور هستند. محققان امنیت سایبری Qihoo 360 که شرکت امنیت سایبری چینی است، به‌تازگی بات‌نت جدید لینوکس را کشف کرده است که از این نقصی که پیش آمده تست برای توزیع روت کیت‌ها و سرقت داده‌های حساس استفاده می‌کند.

آن‌ها بات‌نت را B1txor20 نام‌گذاری کرده‌اند و مدعی هستند که از آسیب‌پذیری log4j برای هدف قرار دادن Linux Arm و سیستم‌های 64 بیتی x86 استفاده می‌کند. محققان می‌گویند:

علاوه‌بر عملکردهای درب پشتی که مرسوم است، B1txor20 دارای عملکردهایی همانند توانایی باز کردن پراکسی Socket5 و دانلود و نصب کردن روت کیت از راه دور است.

باگ بات‌نت

علاوه‌بر نصب روت‌کیت‌ها، بات‌نت‌ به‌دنبال خواندن و نوشتن فایل‌ها، اجرا و خامته‌ی سرویس‌های پراکسی و حتی اجرای لایه‌های معکوس است. نت‌بات می‌تواند داده‌ها را از نقاط پایانی که دچار آسیب شده‌اند را استخراج کند و از راه دور دستورات لازم که اجرا کند. این‌کار می‌تواند در نهایت منجر به توزیع بدافزارهای خطرناک شود.

اگرچه این بات‌نت کاملی محسوب نمی‌شود، البته محققان باگ‌ها و ویژگی‌های غیرکاربردی زیادی را پیدا کرده‌‌اند. برای نمونه، یکی از ایراداتی که وجود دارد این است این است که این باگ می‌تواند پس از اتصال socket از دامنه قطع شود، فایل socket را حذف کند و آن را غیرقابل اتصال کند؛ بنابراین می‌توان نتیجه گرف که همه‌ی عملکرد در نهایت بی‌فایده است.

محققان انتظار دارند تا عامل تهدید، ساعات بیشتری را برای رفع پیچیدگی‌ها بگذارند و منجر به‌ خطرناک‌تر کردن بات‌نت، حتی بیش‌تر از آن‌چه در حال حاضر هست شود. این گروه گفته‌‌اند:

ما تصور می‌کنیم که نویسنده‌ی B1txor20، باتوجه به سناریوهای متنوع به بهبود و باز کردن ویژگی‌های متفاوت ادامه خواهد داد‌؛ بنابراین شاید با خواهر و برادرهای B1txor20 نیز ملاقات کنیم.

  • تیم‌های امنیتی برنامه‌ها،‌ برای جلوگیری از حملات سایبری نیاز به پیوندهای نزدیک‌تری دارند.
  • مایکروسافت رخنه‌های Remote-code-exes را در سرور Exchange و سایر موارد را اصلاح می‌کند.
  • Sophos می‌گوید: log4Shel بدون مهندسی‌های Y2K شبیه فاجعه بود.
  • توزیعات لینوکس بیش‌ از 12 سال است که توسط Polkit-geist تسخیر شده است: باگ به همه‌ی کاربران دسترسی برای root را می‌دهد.

لازم به ذکر است که عملکرد این بدافزار به این صورت است که از تونل DNS برای برقراری ارتباطات، فرمان و کنترل C2 و پنهان کردن درب پشتی خود استفاده می‌کند. سپس ربات‌ها منتظر می‌مانند تا دستورات مخربی که توسط سرور C2 ارسال شده است،‌ اجرا شوند و مراحل کار خود را به پایان برسانند.

این آسیب‌پذیری که در اوایل دسامبر سال گذشته در ابزار Apache’s logging کشف شد، به‌عنوان یکی از خطرناک‌ترین آسیب‌پذیری‌های تمام تاریخ شناخته می‌شود. log4j چیزی است که به‌طور گسترده‌ای مورد استفاده قرار می‌گیرد و باتوجه به این‌که این نقص می‌تواند به بازیگران شخص ثالث این امکان را بدهد تا از راه دور،‌ کاملا به دستگاه مورد نظر دسترس داشته باشند،‌ پتانسیل مخرب بودن آن را نامحدود می‌کند.

پس از کشف این آسیب‌پذیری، ابزار Apache’s logging برای توسعه‌ی پچی عجله کرد و در طول مسیر خود دچار اشتباهاتی شد تلاش‌ها و پچ‌های متعددی صورت گرفتند تا بالاخره آسیب‌پذیری log4j موفق شد تا برای باری دیگر وصل شود. درنهایت، از همه‌ی مدیران و سرپرستان درخواست می‌شود تا همواره همه‌ی سیستم‌های خود را به‌روز نگه‌ دارند.

  • اشتراک با دوستان
در بحث شرکت کنید
guest
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده تمام نظرات