ایجاد درب ِ پشتی در رایانه‌های لینوکسی با تروجان FakeFile

۸نویسندگان بدافزار رایانه‌های لینوکسی و به‌ویژه سامانه‌های رومیزی را با تروجان جدیدی با نام FakeFile هدف قرار داده‌اند که هم‌اکنون در حملات مختلف توزیع شده است.
شرکت ضدویروس روسی Dr.Web این تروجان را در ماه اکتبر کشف کرده است. تحلیلگران بدافزار این شرکت می‌گویند این بدافزار در قالب پرونده‌های آرشیوی PDF، آفیس و OpenOffice گسترش می‌یابد.

تروجان توزیع openSUSE را هدف قرار نداده است
آلودگی زمانی شروع می‌شود که قربانی پرونده‌ها را باز می‌کند. تروجان با رونویسی خود در مسیر
<HOME>/.gconf/apps/gnome-common/gnome-common
شروع به فعالیت می‌کند و سپس یک پرونده‌ی decoy را باز می‌کند و از این رو FakeFile نام‌گذاری شده است.

همچنین تروجان یک میانبر به خودش در پرونده‌های profile. و bash_profile. کاربر ایجاد می‌کند که به او اجازه‌ی بدست آوردن ماندگاری بوت بین ریبوت‌های رایانه را می‌دهد.
جالب این است که تروجان دارای یک قانون خاص در کد منبع است که اگر توزیع لینوکس openSUSE باشد، مانع از آلودگی سامانه می‌شود. یک دلیل برای این کار این می‌تواند باشد که نویسنده‌ی بدافزار از توزیع openSUSE استفاده می‌کند اما این فقط یک حدس و گمان است چرا که این نظریه غیرممکن است که مورد بررسی قرار بگیرد.

FakeFile یک تروجان درب ِ پشتی تمام عیار است
زمانی‌که دستورات اولیه‌ انجام شد، سرگرمی اصلی شروع می‌شود و FakeFile با کارگزار دستور و کنترل خود برای دریافت دستورات بیشتر ارتباط برقرار می‌کند.
براساس سرنخ‌هایی که در کد این تروجان پیدا شده، تروجان می‌تواند فعالیت‌های جدی همچون نام‌گذاری مجدد و حذف پرونده‌ها، ارسال یک پرونده یا کل پوشه به کارگزار دستور و کنترل، ارسال فهرستی از پرونده‌های پیداشده در یک پوشه به کارگزار دستور و کنترل و ایجاد پرونده و پوشه‌ی جدید را انجام دهد.
علاوه بر این، این تروجان می‌تواند پرونده‌ها و دستورات شِل را اجرا کند، مجوزهایی برای پرونده یا پوشه‌ی خاصی دریافت و تنظیم کند، به فرآیندها خاتمه دهد و خود را از سامانه‌ی آلوده حذف کند.

FakeFile نیاز به دسترسی ریشه ندارد
یک مسئله‌ی آزاردهنده این است که FakeFile برای تمامی عملیات خود نیاز به دسترسی ریشه ندارد و می‌تواند با مجوزهای فعلی کاربر به خوبی کار کند.
تعداد تروجان‌هایی که بستر لینوکس را هدف قرار داده‌اند در سال گذشته به‌طور فوق‌العاده‌ای افزایش یافته است اما در بسیاری از موارد، این کارگزارهای لینوکسی و دستگاه‌های IoT که هدف قرار گرفته‌اند دارای سامانه عامل مشتق‌شده از لینوکس هستند.

شرکت‌های امنیتی به ندرت با تروجان‌هایی که محیط لینوکس رومیزی را هدف قرار داده‌اند، روبرو می‌شوند. هنگام نگارش این پست، Dr.Web هنوز نمی‌داند این تروجان چگونه گسترش می‌یابد ولی هرزنامه اولین مظنون در این ماجرا است چرا که نویسندگان بدافزار معمولاً از هرزنامه و پرونده‌های مربوط به آفیس برای توزیع تروجان‌های درب ِ پشتی در سامانه‌های ویندوز و مک استفاده می‌کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter