باتنت رمزگذاری که داکر را در سیستمهای لینوکس هدف قرار میدهد
یکی از رباتهای شناختهشده استخراجکننده رمز ارز تحت عنوان LemonDuck شروع به هدفگیری سیستمعاملهای لینوکس کرده تا برای مهاجمان سایبری ارز دیجیتال استخراج کند.
براساس گزارش شرکت CloudStrike این باتنت APIهای داکر[1] متصل به اینترنت را مورد هدف قرار داده و در سیستمهای لینوکس مخازن مخرب را اجرا میکند.
از داکر برای ایجاد، اجرا و مدیریت عملیات کانتینرسازی شده استفاده میشود. از آنجا که داکر در اصل بر روی بستر ابر اجرا میگردد، یک نمونه با پیکربندی اشتباه میتواند API داکر را در معرض دسترسی از طریق اینترنت قرار دهد. مهاجمان نیز از چنین شرایطی سوءاستفاده نموده و بدافزار استخراج رمز ارز را بر روی مخزن اجرا میکنند.
مخازن داکر یک هدف نرم برای مهاجمان
Mike Parkin مهندس شرکت ارایهدهنده خدمات نرمافزاری برای مقابله با ریسکهای سایبری سازمانی Vulcan Cyber میگوید: «یکی از روشهای اصلی مهاجمان برای نفوذ به محیطهای کانتینرسازی شده از طریق پیکربندیهای اشتباه است. از طرفی بسیاری از سازمانها اصول توصیه شده را رعایت نکرده و در مقابل نفوذ هکرها آسیبپذیر هستند».
براساس گفتههای Mike Parkin: «ابزارهایی وجود دارند که میتوانند از این محیطها در برابر استفادههای غیرمجاز حفاظت کنند. ابزارهای نظارت بر روی فعالیت نیز میتوانند فعالیتهای غیرطبیعی را شناسایی نمایند. ابزارهای مدیریت اصلی هم باید به هماهنگسازی تیمهای توسعه و تیمهای امنیت رسیدگی کنند».
Ratan Tipirneni رئیس و مدیرعامل شرکت ارایهدهنده راهکارهای امنیتی برای مخازن، کوبرنتیز و ابر Tigera میگوید: «با این وجود که داکر انعطافپذیری، اتوماسیون و قابلیت برنامهنویسی زیادی دارد اما با پیامدهای ناخواسته ناشی از گسترش سطح حمله نیز همراه است».
او میگوید: «به ویژه این مسئله با توسعه استفاده از فناوریهای مخازن در بازار پررنگتر میشود. از آنجا که داکر قدرت زیادی برای استخراج رمز ارزها در اختیار هکرها قرار میدهد، این شرایط منجر به ایجاد هدفی جذاب برای مهاجمان جهت نفوذ به آن میشود».
LemonDuck چگونه کار میکند؟
LemonDuck پس از اجرای مخزن مخرب خودش در API هک شده، یک فایل تصویری تحت عنوان core.png دانلود میکند که در قالب یک بَش اسکریپت (به انگلیسی: Bash Scrip) مخفی شده است. core.png نقش نقطه شروع تنظیم یک cronjob لینوکس را دارد که امکان استفاده از آن برای زمانبندی اسکریپتها یا فرمانهای دیگر جهت اجرای خودکارشان وجود دارد.
سپس از cronjob برای دانلود یک فایل مبدلسازی شده تحت عنوان a.asp استفاده میشود که در اصل یک فایل bash است. اگر سیستمی از سرویس نظارت بر روی ابر علی بابا استفاده کند که در صورت نصب کارگزار ابر آن بر روی یک میزبان یا مخزن، قابلیت تشخیص نمونه ابرهای مخرب را دارد، a.asp میتواند برای پیشگیری از شناسایی آن را غیرفعال کند.
a.asp همچنین فایل XMRig را در قالب یک فایل xr که قابلیت استخراج رمز ارز را دارد دانلود و اجرا میکند. XMRig یک تکنیک فریبنده است چون از یک استخر پروکسی استخراج رمز ارز استفاده مینماید. بنا به گفته Ahuje: «استخرهای پروکسی به مخفی کردن آدرس کیف پولهای اصلی که درآمد حاصل از این کار به آنها واریز میشود، کمک میکند».
Ahuje میگوید: «تکنیک حمله LemonDuck هم یک تکنیک مخفیانه است. در این روش به جای اسکن انبوه آیپیهای عمومی برای شناسایی موارد قابل نفوذ، سعی شده با جستجوی کلیدهای SSH حرکت عرضی انجام شود. بنابراین این حمله به اندازه سایر روشهای مشابه مشهود نیست». پس از پیدا شدن کلیدهای SSH، مهاجم از آنها برای ورود به سرور و اجرای کدهای مخرب استفاده میکند.
رشد و تکامل حملات ابری
Ian Ahl معاون مهندسی تشخیص و تحقیقات تهدیدات سایبری در شرکت Permiso میگوید: «اگرچه این تکنیک رایج نیست اما غیرفعال کردن سرویسهای نظارت بر روی ابر مثل سازوکار دفاعی علی بابا توسط بدافزارها نشاندهنده درک بالای مهاجمان نسبت به محیطهای ابر است».
او میگوید: «با رشد و توسعه محیطهای ابری، حملاتی که بر ضد آنها طراحی میشوند نیز تکامل مییابند. رویکرد LemonDuck بسیار خاص است چون در صورت شناسایی بدافزارهای رقیب آنها را غیرفعال میکند. علاوه بر نشان دادن درک مهاجمان نسبت به محیطهای ابر، این ابزار استخراج رمز ارز نسبتاً عادی است».
Ahuje میگوید: «رونق ارزهای دیجیتال و افزایش میزان استفاده از مخازن و محیط ابر در سازمانها باعث شده که این حوزه برای مهاجمان جذابیت خاصی داشته باشد. از آنجا که اکوسیستمهای مخزن و فناوریهای ابری از لینوکس استفاده میکنند، این حوزه توجه گردانندگان باتنتها مثل LemonDuck را به خود جلب کرده است».
بنا به گفته او: «در شرکت CrowdStrike انتظار داریم که چنین کارزارهایی که توسط گردانندگان باتنتها اجرا میشوند با رشد و توسعه فناوری ابر شدت بگیرند».
[1] مخزن داکر شامل همه ملزومات اجرای یک برنامه کاربردی است. این ابزار امکان انتقال نرمافزار از یک محیط به محیط دیگر به راحتی فراهم میکند.
اخبار امنیت اطلاعات را در فراست دنبال کنید.
منبع: csoonline