x

Blog

گریه به لینوکس هم رسید!

خلاصه: پس از جنجال زیاد باج‌افزار WannaCry و آسیب‌پذیری SMB روی سیستم‌عامل ویندوز مشخص شد که آسیب‌پذیری مشابهی روی لینوکس نیز وجود دارد. این آسیب‌پذیری روی سرویس Samba‌که یک پیاده سازی سرویس SMB روی لینوکس است وجود داشت که به نام SambaCry معروف شد و مشخص شد با استفاده از این آسیب‌پذیری می‌توان کنترل کامل کامپیوتر قربانی را در دست گرفت. اکنون پس از دو هفته از اعلام آسیب‌پذیری و انتشار وصله برای آن مشخص شده که هکر‌ها هنوز از این آسیب‌پذیری برای مقاصد خود و کسب درآمد بهره می‌برند.

اندکی پس از اتفاقات باج‌افزار WannaCry و آسیب‌پذیری SMB که روی ویندوز وجود داشت مشخص شد که آسیب‌پذیری مشابهی روی لینوکس نیز وجود دارد. این آسیب‌پذیری روی سرویس پیاده سازی SMB روی لینوکس با نام Samba وجود دارد. این آسیب‌پذیری هفت ساله که نام SambaCry گرفته که شناسه جهانی آن CVE-2017-7494 است موجب می‌شود که کامپیوتر قربانی به صورت کامل به دست هکر بیافتد. پس از افشای این آسیب‌پذیری وصله‌های رفع آن منتشر شد و این آسیب‌پذیری برطرف شده است.

اما هنوز بسیاری از سیستم‌ها اقدام به نصب وصله نکرده‌اند و امکان سوء استفاده از آن‌ها وجود دارد. بر اساس تخمین‌ها ۴۸۵.۰۰۰ سیستم وجود دارد که این آسیب‌پذیری را دارند. این تخمین نزدیک به واقعیت است و آزمایشی که کسپراسکی انجام داده آن را تایید می‌کند. کسپراسکی با قرار دادن هانی‌پات‌هایی که این آسیب‌پذیری را دارند توانسته بدافزاری که از این آسیب‌پذیری استفاده کرده و با نصب ابزار‌های معدنچی ارز اینترنتی روی سیستم قربانیان ایجاد درآمد می‌کند. این بدافزار را EternalMiner نام‌گذاری کرده‌اند.

بنابر گفته محققان، یک گروه هکری ناشناس شروع به تسخیر کامپیوتر‌های لینوکسی یک هفته پس از افشای آسیب‌پذیری SambaCry کرده و اقدام به نصب نسخه به روز شده CPUminer می‌کند. این نرم‌افزار یک ماینر ارز اینترنتی است که ارز اینترنتی Monero را به دست می‌آورد.

پس از تسخیر کامپیوتر قریانی با استفاده از آسیب‌پذیری SambaCry، مهاجم دو کد روی سیستم قربانی اجرا می‌کند. کد INAebsGB.so یک شل معکوس و امکان کنترل از راه دور به مهاجم می‌دهد. کد cblWuoCc.so یک درب پشتی روی سیستم قربانی نصب می‌کند که در کنار خود یک ماینر ارز اینترنتی به نام CPUminer هم دارد.

کسب ارز اینترنتی با استفاده از ماینر‌ها هزینه بالایی دارد زیرا به حجم زیاد توانایی پردازشی دارند. این بدافزار با استفاده از توان پردازشی قربانیان خود اقدام به کسب ارز اینترنتی می‌کند. مساله جالب سناریوی مشابه در آسیب‌پذیری SMB روی ویندوز است. دو هفته قبل از ظهور باج‌افزار WannaCry یک بدافزار به نام Adylkuzz با استفاده از آسیب‌پذیری SMB اقدام به کسب ارز اینترنتی با کمک قدرت پردازشی قربانیان خود می‌کرد.

هکر‌های پشت این بدافزار تا کنون 98 XMR که تقریبا معادل 5500 دلار است درآمد داشته‌اند و این درآمد با افزایش تعداد قربانیان این بدافزار در حال افزایش است.

با توجه به اینکه وصله این آسیب‌پذیری منتشر شده است لازم است که کاربران لینوکسی که تاکنون این وصله را نصب ننموده‌اند این وصله را هرچه زودتر نصب کنند. این بدافزار مسلما اولین بدافزاری نیست که از این آسیب‌پذیری استفاده کرده و بدافزار‌های دیگر می‌توانند بسیار خطرناک‌تر باشند.

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی