کشف تروجان جدید نوشته شده به زبان Lua‌

گروه تحقیق و امنیتی، MalwareMustDie که اخیراً تروجان و درپشتی لینوکس ELF را گزارش کرده بود، تروجان جدیدی را کشف کرده است که سامانه‌های لینوکس درگیر در حملات DDoS را آلوده می‌کند.

این بدافزار به دلیل اینکه با زبان برنامه‌نویسی Lua (نسخه ۵.۳.۰) نوشته‌شده و سامانه‌های لینوکس را مورد هدف قرار می‌دهد، لینوکس/Luabot نام گرفت. Lua زبان برنامه‌نویسی سبک و چند الگویی است و چون در ANSI C نوشته‌شده، در بسترهای مختلف قابل اجرا است. این زبان در اصل برای کارخواه‌ها و سامانه‌های توکار طراحی‌شده بود.

کارگزاران وب و دستگاه‌های اینترنت اشیا (IoT) اهداف ممتاز بات‌‌نت لینوکس/ Lua هستند.

این گروه در یک وبگاه نوشته‌اند: «۲۹ آگوست ۲۰۱۶، روز دوشنبه در ساعت ۰۷:۵ از سوی فردی نمونه‌ی بدافزار ELF دریافت شد. هیچ جزئیات یا نظری وجود نداشت به‌جز یک پرونده‌ی دوتایی ARM ELF همراه با این اطلاعات:»

«این یک بدافزار بات‌نت جدید ELF است که به زبان Lua کد نویسی شده است. برای اولین بار است که یک بدافزار کامپایل شده ELF در زبان Lua یافت می‌شود، به‌خصوص در معماری پردازنده ARM، پس این بدافزار را لینوکس/ Lua بات می‌نامیم.»

تحلیل پرونده باینری، امضا گواهی Sample Matrix RSA-۴۰۹۶ نشان داد که نمونه گواهینامه‌ی MatrixSSL است و مشتریان بات از آن برای ارتباطات امن HTTPS استفاده می‌کنند.

این پرونده باینری همچنین شامل کتابخانه‌ی کد MatrixSSL برای انجام رمزنگاری‌ها بود و MalwareMustDie متوجه پیامی از سوی برنامه‌نویس این پرونده شد که می‌گفت می‌توانید از طریق ایمیل .ru در تماس باشید. این بات توسط کارگزاران کنترل و فرمان در هلند و بر زیرساخت خدمات میزبانی کارگزاری WorldStream.NL، میزبانی می‌شد.

MalwareMustDie همچنین بخشی از کد را با برچسب «penetrate_sucuri» کشف کرد که احتمالاً به پیاده‌سازی مکانیسم اجتناب اشاره دارد که می‌تواند دیواره‌ِی آتش Sucuri Web Application را دور بزند.

این گروه تحقیقی مطمئن است که این بات‌نت بسیار پیچیده و مؤثر است؛ نویسنده‌ی لینوکس/ Lua بات‌نت با اجرای واسط فرمان می‌تواند فرمان‌های راه دور را برای رمز‌نگاری و بهره‌برداری اجرا کند. MalwareMustDie توضیح می‌دهد که با توجه به تعریف بالا، cmdline و cmdline args در بخش‌های مختلفی از کد به چشم می‌خورد.

تحلیل‌ها نشان می‌دهند که نفوذگر می‌تواند کار‌های بسیاری را از طریق فرمان‌های از راه دور برای رمز‌نگاری کردن به‌وسیله‌ی واسط فرمان انجام دهد که این مسئله بات را برای اجرا در اسکریپت Lua مناسب می‌سازد؛ بنابراین یکی از کاربرد‌های این بات‌نت اجرای از راه دور از طریق واسط است.

یک آزمایش سریع با استفاده از خدمات پویش برخط VirusTotal نشان می‌دهد که این پرونده باینری در زمان انجام این تحلیل در وضعیت کاملاً شناسایی نشده (FUD) بوده است.

MalwareMustDie پس از اولین تحلیل، مؤلفه‌ی DDoS را که توسط لینوکس/ Lua‌بات استفاده‌شده بود دریافت کرد و دریافت که این مؤلفه همان مؤلفه‌ی گمشده‌ای است که به دنبالش بوده‌اند. حتی در این مورد هم ماژول به زبان Lua نوشته‌ شده و میزان شناسایی صفر بود.

محققان اعلام کردند: «این نمونه، پیوند گمشده‌ی عملکرد DDoS را که از این بات‌نت انتظار داشتیم، توضیح می‌دهد. این ماژول به زبان Lua کد نویسی شده و از محیط کامپایل ایستای مشابه با میزان شناسایی صفر استفاده می‌کند. این مؤلفه می‌تواند همان بار داده‌ای باشد که منتظرش بودیم. این ماژول جزئیات بسیاری در مورد نحوه‌ی اجرای حمله، نمونه یک دستور بارگیری ساده و اجرای فرمان توسط گره‌های آلوده‌شده را ارائه می‌دهد که استفاده از دستورات داخلی و یا شِل برای شروع این حمله کافی است.»

طبق گفته‌های محققان MalwareMustDie، تعداد بدافزار‌های ELF که در اینترنت موجودند به‌سرعت در حال افزایش هستند. چندین بدافزار جدید ELF در حال آمدن و کمین برای شبکه‌ها هستند و لایه‌ی IoT و خدمات را از بین می‌برند.

این داده‌ها توسط گروه‌های تحقیقی دیگر نیز تأیید شده‌اند. در تحقیق مشترکی که توسط Level ۳ Communications and Flashpoint صورت گرفت، میلیون‌ها دستگاه آلوده به بدافزار Bashlite شناسایی شدند.

بدافزار Bashlite شامل کد بهره‌برداری ShellShock است و مهاجمان از آن برای حملات DDoS استفاده می‌کنند. به همین دلیل می‌تواند چندین معماری لینوکس را آلوده کند و کلاه‌برداران برای هدف قرار دادن دستگاه‌های IoT از آن استفاده می‌کنند.

در ماه ژوئن، کارشناسان شرکت امنیتی Sucuri، بات‌نتی متشکل از هزاران دستگاه CCTV شناسایی کردند که کلاه‌برداران برای آغاز حملات DDoS علیه وبگاه‌ها از آن استفاده کرده بودند.

پیشنهاد می‌شود که تحلیل MalwareMustDie در مورد Lua‌بات خوانده شود، زیرا مملو از داده‌های جالب است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]