بسترهای x۸۶‌ و ARM، هدف جدید یک روت‌کیت مبتنی بر بازی پوکمن با نام Umbreon

محققان امنیتی در شرکت Trend Micro به تازگی یک تروجان جدید روت‌کیت را کشف کرده‌اند که فقط سامانه‌های لینوکسی را که روی بسترهای x۸۶ و ARM کار می‌کنند مورد هدف قرار می‌دهد. نام این روت‌کیت Umbreon است و دلیل انتخاب این نام، یکی از شخصیت‌های بازی پوکمن است که در سایه مخفی می‌شود.

بررسی‌های شرکت Trend Micro در این خصوص نشان می‌دهد که عوامل حمله از این روت‌کیت در حملات زنده استفاده کرده است. این شرکت همچنین نمونه‌هایی را از دستگاه‌های آلوده‌شده جمع‌آوری کرده است تا تحلیل‌هایی را روی آن‌ها انجام دهد.

در عین حال، نکته خوبی که در بررسی‌ها مشخص شده است این است که نصب این روت‌کیت خودکار نیست و نفوذگران برای این منظور باید ابتدا به سامانه ورود پیدا کرده و سپس به صورت دستی روت‌کیت را در سامانه نصب کند. فرآیند نصب این روت‌کیت در عین حال ویژگی‌های منفی خود را دارد. یکی از ویژگی‌های منفی این است که نفوذگران می‌توانند این روت‌کیت را در هر بار نفوذ، در موقعیت‌های مختلف نصب کنند و این اقدام فرآیند شناسایی خودکار را با مشکل مواجه می‌کند.

شناسایی روت‌کیت Umbreon نیز کار راحتی نیست. دلیل این امر این است که این روت‌کیت خود را به توابع کتابخانه GNU C اضافه می‌کند و تنها ابزاری که از این بخش استفاده نمی‌کنند، می‌توانند روت‌کیت مخفی‌شده در آن را شناسایی کنند. کتابخانه GNU C یک بخش اصلی از بسیاری از بخش‌های طراحی زبان‌های برنامه‌نویسی مانند Ruby، PHP، Perl و Python است. ابزارهایی که با این زبان‌ها نوشته شده باشند، روت‌کیت Umbreon را شناسایی نخواهند کرد. این روت‌کیت قادر به شناسایی هرگونه دستور جستجوی پوشه یا موقعیت است و می‌تواند خود را مخفی کند و سپس از کتابخانه GNU C برای سوءاستفاده از نتایج جستجو استفاده کند.

شرکت Trend Micro پس از بررسی‌هایی در این خصوص بیان کرد که تنها ابزارهایی که از فراخوان سامانه هسته لینوکس به صورت مستقیم استفاده می‌کنند، می‌توانند از اقدامات جستجوی روت‌کیت در امان باشند. این شرکت در ادامه اعلام کرد که اقدام به طراحی یک ابزار برای رفع این مشکل کرده است، اما تاکنون آن را به صورت علنی در دسترس کاربران قرار نداده است. این شرکت تنها دستورالعمل‌هایی برای حذف این روت‌کیت را در وبگاه رسمی خود قرار داده است.

روت‌کیت Umbreon که در روت‌کیت‌های سطح ۳ مورد استفاده کاربران قرار می‌گیرد، در مقایسه با روت‌کیت‌های سطح صفر، به راحتی قابل‌حذف است، اما نکته‌ای که مدیران غیرمتخصص باید توجه داشته باشند، این است که ممکن است در اثر بی‌احتیاطی، سامانه‌عامل دستگاه خود را دچار مشکل‌های جدی کنند.

از نظر توانایی‌های تخصصی و فنی، این روت‌کیت ابزار بسیار خطرناکی است و توانایی راه‌اندازی مجدد سامانه را دارد. علاوه بر این، Umbreon می‌تواند در تمامی ترافیک‌های شبکه دخالت کند و همچنین دستورهای پایانی را مختل کرده و یا تغییر دهد. یکی دیگر از توانایی‌های خطرناک این روت‌کیت، بازکردن یک راه اتصالی با نفوذگر است که برای وی امکان سوءاستفاده از بخش ثبت وقایع سامانه کاربر را به راحتی مهیا می‌کند.

نکته مهم دیگر در مورد این روت‌کیت این است که ویژگی‌های بازی پوکمن در تمامی کدهای آن مشاهده می‌شود. بخش درب پشتی پوسته ایمن که در سامانه‌های آلوده‌شده به این روت‌کیت طراحی می‌شود، به نفوذگران امکان دسترسی به سامانه را می‌دهد و جالب است که بدانید نام این درب پشتی Espeon است که نام یکی دیگر از شخصیت‌های بازی پوکمن است.

همان‌گونه که این روت‌کیت Umbreon با ورود به بخش کتابخانه GNU C، دستورات پایانی را با اختلال مواجه می‌کند، در اقدام دیگر می‌تواند با ورود به کتابخانه pcap ، ترافیک شبکه را با اختلال مواجه کند و بخش ارتباطات دستور و کنترل را مخفی کند. همچنین مخفی کردن نشست‌های SSH نفوذگر نیز یکی از اقدامات مخرب این روت‌کیت است.

به طور کلی، اقداماتی که در این بخش مورد بررسی قرار گرفت، تنها در یک برنامه کدنویسی مخرب و پیشرفته مشاهده می‌شود. شرکت Trend Micro در این خصوص بیان کرد که عامل طراح این حمله حداقل از سال ۲۰۱۳ فعال بوده است و در اوایل سال ۲۰۱۵ نیز روت‌کیت Umbreon را طراحی کرده است. وبگاه Softpedia در این خصوص نوشت کد منبع نسخه قبلی روت‌کیت Umbreon سال گذشته در اینترنت افشا شد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.