کشف ششمین تروجان لینوکس در طول یک ماه گذشته

کاربران لینوکس باید نگران تروجان دیگری باشند. مانند همیشه، کلاه‌برداران از این تروجان برای سرقت دستگاه‌هایی که سامانه عامل لینوکس دارند استفاده می‌کنند. آن‌ها از این دستگاه‌ها برای راه‌اندازی حملات DDoS بر طبق نیاز خود بهره می‌جویند.

محققان امنیتی شرکت Dr.Web که این تهدید را کشف کرده‌اند، می‌گویند به نظر می‌رسد این تروجان دستگاه‌های لینوکس را از طریق آسیب‌پذیری Shellshock که هنوز در اکثر دستگاه‌ها بدون وصله است، آلوده می‌کند.

این تروجان که linux.DDoS.۹۳ نام دارد، ابتدا پرونده‌ی /var/run/dhcpclient-eth۰.pid را به‌نوعی تغییر می‌دهد تا فرآیند مربوط به آن با هر بوت رایانه آغاز شود. اگر این پرونده وجود نداشت خودش یک نمونه از آن ‌را ایجاد می‌کند.

هنگامی‌که تروجان با بوت رایانه شروع به فعالیت کند، از دو فرآیند استفاده خواهد کرد. اولین فرآیند برای برقراری ارتباط با کارگزار کنترل و فرمان‌دهی است، درحالی‌که دومین فرآیند از فعالیت و کارکرد تروجان والد به‌صورت دائمی، اطمینان پیدا می‌کند.

تروجان برای راه‌اندازی حملات DDoS از ۲۵ فرآیند فرزند استفاده می‌کند.

مهاجمی که کنترل بات‌نت تروجان را در دست دارد، دستور حمله را ارسال و تروجان ۲۵ فرآیند فرزند را برای انجام حمله DDoS را راه‌اندازی می‌کند.

در‌حال‌حاضر، این تروجان می‌تواند بسته‌های UDP (بر روی درگاه تصادفی و یا مشخص)، بسته‌های TCP (بسته‌های ساده یا با داده‌های تصادفی که تا ۴۰۶۹ بایت به هر بسته اضافه می‌شوند) و بسته‌های HTTP (از طریق درخواست‌های POST، GET، HEAD) را به صورت سیل‌آسا ارسال کند.

به‌علاوه، این تروجان می‌تواند خود را به‌روزرسانی کند، حذف کند، فرآیندش را پایان دهد، Ping ارسال کند و پرونده دریافتی از کارگزار کنترل و فرمان‌دهی را بارگیری و اجرا کند.

تروجان پس از یافتن اسم برایان کرب غیر‌فعال می‌شود.

تروجان Linux.DDoS.۹۳ همچنین تابعی دارد که از طریق آن حافظه‌ی رایانه و لیست فرآیند‌های فعال را پویش می‌کند و اگر با هرکدام از رشته‌های زیر مواجه شود خود را غیر‌فعال می‌کند:

privmsg

getlocalip

kaiten

brian krebs

botnet

bitcoin mine

litecoin mine

rootkit

keylogger

ddosing

nulling

hackforums

skiddie

script kiddie

blackhat

whitehat

greyhat

grayhat

doxing

malware

bootkit

ransomware

spyware

botkiller

بیشتر این اسامی مربوط به دامنه‌ی امنیت فناوری اطلاعات هستند و احتمالا آورده شده‌اند تا مانع از انجام مهندسی معکوس توسط محققان امنیتی و یا آلوده‌شدن رایانه نویسنده این بدافزار شوند.

طی فرآیند آلوده‌سازی، تروجان دستگاه آلوده‌شده را برای پیداکردن سایر نسخه‌های خودش پویش کرده و پس از غیر فعال‌سازی آن‌ها، نسخه‌های جدیدتر را بر روی دستگاه نصب می‌کند. اهمیت این موضوع دوچندان است چرا که سامانه بروزرسانی خودکاری که آخرین نسخه تروجان را دارد شانس بیشتری برای زنده ماندن بر روی ماشین آلوده خواهد داشت.

لینوکس بستر بسیار مناسبی برای توسعه‌ی بدافزار‌ها در طی ماه گذشته بوده است. در ۳۰ روز اخیر، محققان امنیتی ۵ تروجان دیگر لینوکس را کشف، تحلیل و آشکار کرده‌اند. این تروجان‌ها Rex ،PNScan ،Mirai ،LuaBot و Linux.BackDoor.Irc نام دارند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.