اخبار امنیت سایبری

بات‌نت رمزگذاری که داکر را در سیستم‌های لینوکس هدف قرار می‌دهد

یکی از ربات‌های شناخته‌شده استخراج‌کننده رمز ارز تحت عنوان LemonDuck شروع به هدف‌گیری سیستم‌عامل‌های لینوکس کرده تا برای مهاجمان سایبری ارز دیجیتال استخراج کند.

براساس گزارش شرکت CloudStrike این بات‌نت APIهای داکر[1] متصل به اینترنت را مورد هدف قرار داده و در سیستم‌های لینوکس مخازن مخرب را اجرا می‌کند.

از داکر برای ایجاد، اجرا و مدیریت عملیات کانتینرسازی شده استفاده می‌شود. از آنجا که داکر در اصل بر روی بستر ابر اجرا می‌گردد، یک نمونه با پیکربندی اشتباه می‌تواند API داکر را در معرض دسترسی از طریق اینترنت قرار دهد. مهاجمان نیز از چنین شرایطی سوءاستفاده نموده و بدافزار استخراج رمز ارز را بر روی مخزن اجرا می‌کنند.

مخازن داکر یک هدف نرم برای مهاجمان

Mike Parkin مهندس شرکت ارایه‌دهنده خدمات نرم‌افزاری برای مقابله با ریسک‌های سایبری سازمانی Vulcan Cyber می‌گوید: «یکی از روش‌های اصلی مهاجمان برای نفوذ به محیط‌های کانتینرسازی شده از طریق پیکربندی‌های اشتباه است. از طرفی بسیاری از سازمان‌ها اصول توصیه شده را رعایت نکرده و در مقابل نفوذ هکرها آسیب‌پذیر هستند».

براساس گفته‌های Mike Parkin: «ابزارهایی وجود دارند که می‌توانند از این محیط‌ها در برابر استفاده‌های غیرمجاز حفاظت کنند. ابزارهای نظارت بر روی فعالیت نیز می‌توانند فعالیت‌های غیرطبیعی را شناسایی نمایند. ابزارهای مدیریت اصلی هم باید به هماهنگ‌سازی تیم‌های توسعه و تیم‌های امنیت رسیدگی کنند».

Ratan Tipirneni رئیس و مدیرعامل شرکت ارایه‌دهنده راهکارهای امنیتی برای مخازن، کوبرنتیز و ابر Tigera می‌گوید: «با این وجود که داکر انعطاف‌پذیری، اتوماسیون و قابلیت برنامه‌نویسی زیادی دارد اما با پیامدهای ناخواسته ناشی از گسترش سطح حمله نیز همراه است».

او می‌گوید: «به ویژه این مسئله با توسعه استفاده از فناوری‌های مخازن در بازار پررنگ‌تر می‌شود. از آنجا که داکر قدرت زیادی برای استخراج رمز ارزها در اختیار هکرها قرار می‌دهد، این شرایط منجر به ایجاد هدفی جذاب برای مهاجمان جهت نفوذ به آن می‌شود».

LemonDuck چگونه کار می‌کند؟

LemonDuck پس از اجرای مخزن مخرب خودش در API هک شده، یک فایل تصویری تحت عنوان core.png دانلود می‌کند که در قالب یک بَش اسکریپت (به انگلیسی: Bash Scrip) مخفی شده است. core.png نقش نقطه شروع تنظیم یک cronjob لینوکس را دارد که امکان استفاده از آن برای زمانبندی اسکریپت‌ها یا فرمان‌های دیگر جهت اجرای خودکارشان وجود دارد.

سپس از cronjob برای دانلود یک فایل مبدل‌سازی شده تحت عنوان a.asp استفاده می‌شود که در اصل یک فایل bash است. اگر سیستمی از سرویس نظارت بر روی ابر علی بابا استفاده کند که در صورت نصب کارگزار ابر آن بر روی یک میزبان یا مخزن، قابلیت تشخیص نمونه ابرهای مخرب را دارد، a.asp می‌تواند برای پیشگیری از شناسایی آن را غیرفعال کند.

a.asp همچنین فایل XMRig را در قالب یک فایل xr که قابلیت استخراج رمز ارز را دارد دانلود و اجرا می‌کند. XMRig یک تکنیک فریبنده است چون از یک استخر پروکسی استخراج رمز ارز استفاده می‌نماید. بنا به گفته Ahuje: «استخرهای پروکسی به مخفی کردن آدرس کیف پول‌های اصلی که درآمد حاصل از این کار به آنها واریز می‌شود، کمک می‌کند».

Ahuje می‌گوید: «تکنیک حمله LemonDuck هم یک تکنیک مخفیانه است. در این روش به جای اسکن انبوه آی‌پی‌های عمومی برای شناسایی موارد قابل نفوذ، سعی شده با جستجوی کلیدهای SSH حرکت عرضی انجام شود. بنابراین این حمله  به اندازه سایر روش‌های مشابه مشهود نیست». پس از پیدا شدن کلیدهای SSH، مهاجم از آنها برای ورود به سرور و اجرای کدهای مخرب استفاده می‌کند.

LemonDuck چگونه کار می‌کند؟

رشد و تکامل حملات ابری

Ian Ahl معاون مهندسی تشخیص و تحقیقات تهدیدات سایبری در شرکت Permiso می‌گوید: «اگرچه این تکنیک رایج نیست اما غیرفعال کردن سرویس‌های نظارت بر روی ابر مثل سازوکار دفاعی علی بابا توسط بدافزارها نشان‌دهنده درک بالای مهاجمان نسبت به محیط‌های ابر است».

او می‌گوید: «با رشد و توسعه محیط‌های ابری، حملاتی که بر ضد آنها طراحی می‌شوند نیز تکامل می‌یابند. رویکرد LemonDuck بسیار خاص است چون در صورت شناسایی بدافزارهای رقیب آنها را غیرفعال می‌کند. علاوه بر نشان دادن درک مهاجمان نسبت به محیط‌های ابر، این ابزار استخراج رمز ارز نسبتاً عادی است».

Ahuje می‌گوید: «رونق ارزهای دیجیتال و افزایش میزان استفاده از مخازن و محیط ابر در سازمان‌ها باعث شده که این حوزه برای مهاجمان جذابیت خاصی داشته باشد. از آنجا که اکوسیستم‌های مخزن و فناوری‌های ابری از لینوکس استفاده می‌کنند، این حوزه توجه گردانندگان بات‌نت‌ها مثل LemonDuck را به خود جلب کرده است».

بنا به گفته او: «در شرکت CrowdStrike انتظار داریم که چنین کارزارهایی که توسط گردانندگان بات‌نت‌ها اجرا می‌شوند با رشد و توسعه فناوری ابر شدت بگیرند».

[1] مخزن داکر شامل همه ملزومات اجرای یک برنامه کاربردی است. این ابزار امکان انتقال نرم‌افزار از یک محیط به محیط دیگر به راحتی فراهم می‌کند.

اخبار امنیت اطلاعات را در فراست دنبال کنید.

 

منبع: csoonline

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0