به گزارش گروه اجتماعی مشرق، این تهدید جدید تنظیمات محیط لینوکسی قربانی را تغییر میدهد و یک روتکیت (مجموعهای از نرمافزارها که کنترل رایانه را به دست میگیرد) را برای جلوگیری از شناسایی شدن، نصب مینماید.
نصب چنین روتکیتی روی لینوکس بسیار سخت است چرا که به موافقت سیستم عامل قربانی نیاز دارد. بنابراین مهاجمین تغییری در لاگین (Login) پیش فرض کاربران نمیدهند بلکه از طریق تکنیک brute force(تست تمامی گذرواژههای ممکن) به ارتباط SSH (یک پروتکل امن برای ایجاد ارتباط کلاینت و سرور) کاربر اصلی (root) اقدام مینمایند.
در صورت موفقیت، تروجان را از طریق shell script نصب مینماید. اسکریپت شامل پروسههایی مانند main، check، compiler، uncompress، setup، generate، upload و غیره و نیز متغیرهایی مانند __host_32__،__kernel__ ، __host_64__ و __remote__ است.
سپس طبق آنچه ماهر گفته، تروجان بررسی میکند که آیا با کرنل سیستم قربانی منطبق است یا نه و در این صورت روتکیت را نصب مینماید.
روتکیت سپس همه فایلهایی که نشان دهنده آلودگی است پنهان میسازد، بنابراین کاربر نشانههای آلودگی را مشاهده نمیکند.
پروسه اصلی رمزگشایی و انتخاب سرور دستور و فرمان متناسب با معماری سیستم است.
این روتکیت اولین بار در حمله اکتبر 2014 بکار رفته و در دسامبر 2014 جزییات آن تا حدودی توسط گروه MalwareMustDie شناسایی شده است.
این تروجان و متغیرهای آن می تواند وب سرورها و میزبانهای 32 و 64 بیتی همچنین معماری ARMها در روترها، تجهیزات loT سیستمهای ذخیرهسازی و سرورهای ARM 32 بیتی را تحت تاثیر قرار دهد.
اگرچه تاکنون تعداد زیادی سیستم آلوده به این تروجان کشف نگردیده است اما مواردی هم که مشاهده شده از الگوی خاصی پیروی نمیکند.
این تروجان هم سازمانها و هم افراد عادی را میتواند آلوده نماید ولی سازمانها معمولاً دارای امنیت بالاتری هستند.
پیشنهاد میگردد جهت جلوگیری از آلودگی به این تروجان از آنتیویروسهای معتبر و بروزرسانی استفاده نمایید، همچنین در صورت استفاده از ssh از اسم رمزهای قوی استفاده نمایید.
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.ir ارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.
نصب چنین روتکیتی روی لینوکس بسیار سخت است چرا که به موافقت سیستم عامل قربانی نیاز دارد. بنابراین مهاجمین تغییری در لاگین (Login) پیش فرض کاربران نمیدهند بلکه از طریق تکنیک brute force(تست تمامی گذرواژههای ممکن) به ارتباط SSH (یک پروتکل امن برای ایجاد ارتباط کلاینت و سرور) کاربر اصلی (root) اقدام مینمایند.
در صورت موفقیت، تروجان را از طریق shell script نصب مینماید. اسکریپت شامل پروسههایی مانند main، check، compiler، uncompress، setup، generate، upload و غیره و نیز متغیرهایی مانند __host_32__،__kernel__ ، __host_64__ و __remote__ است.
سپس طبق آنچه ماهر گفته، تروجان بررسی میکند که آیا با کرنل سیستم قربانی منطبق است یا نه و در این صورت روتکیت را نصب مینماید.
روتکیت سپس همه فایلهایی که نشان دهنده آلودگی است پنهان میسازد، بنابراین کاربر نشانههای آلودگی را مشاهده نمیکند.
پروسه اصلی رمزگشایی و انتخاب سرور دستور و فرمان متناسب با معماری سیستم است.
این روتکیت اولین بار در حمله اکتبر 2014 بکار رفته و در دسامبر 2014 جزییات آن تا حدودی توسط گروه MalwareMustDie شناسایی شده است.
این تروجان و متغیرهای آن می تواند وب سرورها و میزبانهای 32 و 64 بیتی همچنین معماری ARMها در روترها، تجهیزات loT سیستمهای ذخیرهسازی و سرورهای ARM 32 بیتی را تحت تاثیر قرار دهد.
اگرچه تاکنون تعداد زیادی سیستم آلوده به این تروجان کشف نگردیده است اما مواردی هم که مشاهده شده از الگوی خاصی پیروی نمیکند.
این تروجان هم سازمانها و هم افراد عادی را میتواند آلوده نماید ولی سازمانها معمولاً دارای امنیت بالاتری هستند.
پیشنهاد میگردد جهت جلوگیری از آلودگی به این تروجان از آنتیویروسهای معتبر و بروزرسانی استفاده نمایید، همچنین در صورت استفاده از ssh از اسم رمزهای قوی استفاده نمایید.
مخاطبان محترم گروه اجتماعی مشرق می توانند اخبار، مقالات و تصاویر اجتماعی خود را به آدرس shoma@mashreghnews.ir ارسال کنند تا در سریع ترین زمان ممکن به نام خودشان و به عنوان یکی از مطالب ویژه مشرق منتشر شود. در ضمن گروه اجتماعی مشرق در صدد است با پیگیری مشکلات ارسالی شما از طریق کارشناسان و مشاوران مجرب پاسخی برای ابهامات مخاطبان عزیز بیابد.