درب پشتی خطرناک لینوکسی با امکان شل معکوس رمز شده

خلاصه: کارشناسان یک درب پشتی خطرناک روی لینوکس کشف نموده‌اند که امکان برقراری یک شل معکوس رمز شده و بی نقص را روی سیستم قربانی فراهم می‌کند. مهاجمین با استفاده از حمله جستجوی کامل روی پورت‌های SSH‌ که با پسورد ضعیف محافظت می‌شوند این درب پشتی را توزیع می‌کنند.

کارشناسان خبر از استفاده هکرها از یک درب پشتی خطرناک می‌دهند که هکرها سیستم‌های لینوکسی که امنیت خود را به خوبی رعایت نکرده‌اند را با استفاده از یک شل معکوس رمز شده و بی نقص هدف قرار می‌دهد.

هکرها با استفاده از حمله جستجوی کامل روی پورت SSH روی سیستم‌های لینوکسی که با کلمات عبور ساده محافظت شده‌اند این درب پشتی را نصب می‌کنند.

این درب پشتی که Chaos نام دارد قسمتی از روت‌کیت sebd‌ است که در حدود سال ۲۰۱۳ فعال بوده و اکنون روی سیستم‌های هانی‌پات مورد استفاده قرار می‌گیرد. در واقع هکرها یکی از سیستم‌های هانی‌پات را با استفاده از حمله جستجوی کامل روی SSH‌ با استفاده از شبکه تور به دست می‌گرفتند.

مهاجم ابتدا با ورود به سیستم قربانی تاریخچه ثبت رویداد SSHD‌ را بررسی کرده تا مطمین شود قبل از او کسی این سیستم را مورد تهاجم قرار نداده باشد. بیشتر حملات SSH با استفاده از بررسی وصله‌های SSHD برای سرقت گواهی‌نامه‌های SSH‌ انجام می‌شود.

پس از آن حمله با دانلود یک فایل که خود را به صورت یک فایل تصویری با پسوند jpg جا می‌زند دانلود می‌کند. این فایل که در واقع فایل فشرده با پسوند .tar است از آدرس http://xxx.xxx.xxx.29/cs/default2.jpg  دانلود می‌شود. جا زدن فایل به صورت یک فایل تصویری باعث می‌شود قربانی ترغیب شود که فایل را باز نماید.

در این فایل فشرده شده درب پشتی Chaos قرار دارد که روی سیستم کاربر نصب می‌شود. پس از نصب روی سیستم لینوکس و برقراری شل معکوس، مهاجم دو فایل روی سیستم قربانی توزیع می‌کند که یکی برای برقراری ارتباط درب پشتی و دیگری برای برقراری ارتباط مجدد در صورت قطع ارتباط است.

همانطور که گفته شد این درب پشتی قسمتی از روت‌کیت sebd‌است و تلاش نموده با تغییر اسم خود، خود را به عنوان یک درب پشتی جدید جا بزند. این درب پشتی همانطور که گفته شد تلاش می‌کند با استفاده از پورت‌هایی که باز رها شده‌اند و یا درست محافظت نشده‌اند به سیستم‌ها  نفوذ کرده و با استفاده از یک شل معکوس رمز شده از سیستم قربانی سو استفاده کند. با این حال رمز شل معکوس می‌تواند با استفاده از کلید اشتراک‌گذاری اولیه به سادگی شکسته شده و  ارتباطات آن به صورت متن خام بررسی شود.