info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بدافزار لینوکسی در کمین حافظه‌های متصل به شبکه

خلاصه: بدافزاری که محققان آن را SHELLBIND نامگذاری کرده‌اند، از یک آسیب‌پذیری اخیرا وصله شده  Samba درحملاتی که دستگاه های اینترنت اشیا به ویژه قطعات حافظه متصل به شبکه را هدف قرار می‌دهد ، بهره می‌برد.

 

بدافزاری که محققان آن را SHELLBIND نامگذاری کردند، از یک آسیب‌پذیری اخیرا وصله شده  Samba درحملاتی که دستگاه‌های اینترنت اشیا بویژه قطعات حافظه متصل به شبکه را هدف قرار می‌دهد ، بهره می برد.

آسیب‌پذیری Samba که در این حملات به صورت  شناسه بین‌المللی CVE-2017-7494 ثبت و با عنوان  SambaCry و EternalRed شناخته می‌شود، می‌تواند توسط یک کاربر بدخواه برای بارگزاری یک کتابخانه مشترک بر روی یک بخش نوشتنی استفاده و سپس منجر به بارگزاری آن کتابخانه توسط سرور شود. در این صورت مهاجم از راه دور می‌تواند کد دلخواه خود را بر روی سیستم هدف اجرا نماید.

این حفره امنیتی برای اولین بار در کد سامبا درسال ۲۰۱۰ مورد استفاده و دو ماه پیش وصله شد. از آنجا که قابلیت‌های مجموعه نرم افزاری Samba به شدت محبوب می‌باشند، این آسیب‌پذیری محصولاتی نظیر لوازم حافظه متصل به شبکه چندین کمپانی بزرگ را تحت تاثیر قرار می‌دهد.

تقریبا دو هفته پس از انتشار وصله، شرکت‌های امنیتی متوجه شدند که از این آسیب‌پذیری برای انتقال یک استخراج کننده پول مجازی استفاده شده است.

در ابتدای ماه جولای محققان در Trend Micro به گونه دیگری از حمله که در ارتباط با SambaCry بود پی بردند. مجرمان سایبری از این آسیب‌پذیری در حملاتی که دستگاه های حافظه متصل به شبکه، که توسط شرکت‌های تجاری کوچک و متوسط استفاده می‌شدند، بهره می‌بردند.

مهاجمین می‌توانند از موتور جستجوی Shodan برای شناسایی دستگاه‌هایی که از Samba استفاده می‌کنند بهره برده و فایل‌های ابتدایی بدافزار را در پوشه‌های عمومی آن‌ها بنویسند.

بر طبق گزارش Trend Micro، ELF_SHELLBIND.A به صورت یک فایل سیستم عاملی به پوشه‌های به اشتراک گذاشته شده Samba  منتقل و به وسیله آسیب‌پذیری SambaCry بارگزاری می‌شود. زمانی که بر روی سیستم هدف مستقر شود بدافزار با یک سرور کنترل و فرماندهی که در افریقای شرقی قرار دارد ارتباط برقرار می‌کند. در ادامه برای تضمین ارتباط با سرور، قوانین فایروال را دستکاری می‌نماید.

محققان Trend Micro می‌گویند :"زمانی که ارتباط با موفقیت برقرار و هویت تایید می‌شود، مهاجم یک شل دستور باز درسیستم های آلوده شده خواهد داشت و می‌تواند به هر تعداد از دستورات سیستمی را اجرا و نهایتا کنترل دستگاه را بدست گیرد.

کاربران می‌توانند با به‌روز‌رسانی Samba از سیستم‌های خود در برابر این حملات محافظت کنند.  عامل دیگری که امنیت را کاهش می‌دهد و کاربران را در معرض این بدافزار قرار می‌دهد نیاز به یک مکان به اشتراک گذاشته شده بر روی سیستم هدف می‌باشد.

مطالب مرتبط