با دربِ پشتی Rakos کنترل کامل سامانه‌ی لینوکسی در دست مهاجمان خواهد بود

محققان امنیتی ESET بدافزار جدیدی را کشف کردند که دستگاه‌های لینوکسی تعبیه‌شده را هدف قرار داده و کنترل کامل دستگاه آسیب‌پذیر را در اختیار مهاجمان قرار می‌دهد. این دربِ پشتی راهی برای انجام عملیات مخرب مانند حملات منع سرویس توزیع‌شده نیز باز می‌کند.

این بدافزار با نام Rakos در دستگاه‌ها و کارگزارهای تعبیه‌شده بر روی درگاهِ باز SSH حمله‌ی جستجوی فراگیر انجام می‌دهد تا بتواند گذرواژه‌ی ورود را بشکند. محققان ESET معتقد هستند نویسنده‌ی این بدافزار می‌خواهد تا جایی که می‌تواند دستگاه‌های تعبیه‌شده را آلوده کرده و به بات‌نت خود اضافه کند و در ادامه از این بات‌ها در حملات منع سرویس توزیع‌شده بهره ببرد.

در مرحله‌ی اول این بدافزار با استفاده از آدرس‌های IP از پیش تعیین‌شده، دستگاه‌های آسیب‌پذیر را پویش می‌کند. از آنجایی که این بدافزار برای حمله از جستجوی فراگیر استفاده می‌کند، تنها سامانه‌های دارای گذرواژه‌ی ضعیف در معرض خطر قرار دارند.
زمانی‌که بدافزار توانست گذرواژه را بشکند و به سامانه دسترسی یابد، بر روی آدرس http://۱۲۷.۰.۰.۱:۶۱۳۱۴ با دو هدف، یک سرویس http محلی را راه‌اندازی می‌کند. محققان امنیتی ESET می‌گویند: «دلیل اول برای ایجاد این سرویس، داشتن روش حیله برای آینده است. مهاجمان در آینده می‌توانند در نسخه‌ی جدید بات، نمونه‌های قبلی در حال اجرا را بدون توجه به نام بات، تنها با ارسال درخواست به آدرس http://۱۲۷.۰.۰.۱:۶۱۳۱۴/et متوقف کنند.

دلیل دوم نیز این است که این بدافزار می‌تواند پرس‌وجو URL با پارامترهای ip، u و p را با ارسال درخواست به آدرس http://۱۲۷.۰.۰.۱:۶۱۳۱۴/ex تجزیه و تحلیل کند. هنوز دلیل منبع /ex مشخص نیست و در جای دیگری از کد نیز به آن اشاره نشده است.»

این بدافزار به‌طور خودکار سامانه را پویش کرده و اطلاعات را جمع‌آوری و به سمت کارگزار دستور و کنترل ارسال می‌کند. اطلاعات جمع‌آوری‌شده حاوی آدرس IP، نام کاربری و گذرواژه‌ها است. یک پرونده‌ی پیکربندی نیز به‌طور محلی بر روی سامانه‌ی آسیب‌پذیر ذخیره شده و بدافزار می‌تواند با دستورات و وظایف جدیدی، خود را به‌روزرسانی کند. اما برای به‌روزرسانی پرونده‌های بدافزار، نویسندگان باید در آینده نسخه‌ی پیچیده‌تری را توسعه دهند.

چگونه آلودگی به بدافزار Rakos را حذف کنیم؟
اگر به هر دلیلی دستگاه تعبیه‌شده‌ی لینوکسی شما آلوده به این بدافزار شد، شما باید با استفاده از SSH/Telnet به آن متصل شده و به دنبال فرآیندی به نام javaxxx. باشید. مطمئن شوید که این فرآیند برای برقراری ارتباطات ناخواسته مورد استفاده قرار می‌گیرد و در ادامه این فرآیند را بکُشید.

بوت مجدد سامانه نیز باعث می‌شود این فرآیند کُشته شود و بدافزار هنوز طوری پیکربندی نشده که مجدداً راه‌اندازی شود. اما معمولاً پس از چند وقت، ممکن است این دستگاه دوباره به بدافزار آلوده شود.

برای جلوگیری از آلوده شدن به بدافزار Rakos استفاده از گذرواژه‌های امن برای SSH ضروری است. شرکت ESET اعلام کرده است در چند روز اخیر تعداد آلودگی به این بدافزار افزایش یافته است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.