سرورهای لینوکس، هدف جدید ارزکاو XMRig
گونه جدیدی از بدافزار ارزکاو XMRig، سیستمهای اینتل لینوکسی را هدف قرار میدهد که پورت SSH آنها باز است و از گذرواژه پیشفرض استفاده میکنند. قبلا گونه دیگری از این بدافزار مشاهده شده بود که تجهیزات IoT را هدف میگرفت.
گونه جدیدی از بدافزار ارزکاو XMRig، سیستمهای اینتل لینوکسی را هدف قرار میدهد که پورت SSH آنها باز است و از گذرواژه پیشفرض استفاده میکنند. قبلا گونه دیگری از این بدافزار مشاهده شده بود که تجهیزات IoT را هدف میگرفت. لری کشدالر (Larry Cashdollar) محقق امنیتی شرکت Akamai میگوید با استفاده از هانیپات، بدافزاری را کشف کرده است که ماشینهای اینتل با سیستمعامل لینوکس را هدف قرار میدهد. «به گمانم احتمال دارد این گونهای از باتنتهای ارزکاو اینترنت اشیاء باشد. به نظر میرسد این بدافزار سیستمهای تجاری را هدف قرار میدهد». |
این ارزکاو که برای پردازندههای x86 و 686 بهینهسازی شده است، از طریق پورت 22، اتصال SSH برقرار میکند و خود را در قالب فایل gzip انتقال میدهد. سپس، بررسی میکند که آیا بدافزار قبلا روی ماشین نصب شده بوده است یا خیر. در این صورت وجود بدافزار، نصب متوقف میشود. اما در صورتی که نسخه نصب شده قدیمیتر باشد، اجرای نسخه قدیمی متوقف شده و نسخه جدید نصب میشود. در ادامه سه دایرکتوری با نسخههای مختلف از یک فایل ساخته میشوند. |
به گفته کشدالر «هر کدام از دایرکتوریها حاوی نسخهای از ارزکاو XMrig v2.14.1 در نسخه 32 بیتی x86 یا 64 بیتی است. برخی از این باینریها مانند ابزارهای رایج یونیکس مثل ps نامگذاری میشوند، تا در لیست پراسسهای عادی گم شوند». در مرحله بعد، بدافزار، خود برنامه ارزکاو را نصب میکند و فایل crontab را دستکاری میکند تا پس از هر ریبوت مجددا اجرا شود. به علاوه یک اسکریپت shell نیز نصب میشود تا با سرور کنترل و فرمان ارتباط برقرار کند. |
قبلا بدافزاری رایج شده بود که تجهیزات مبتنی بر ARM و MIPS را از طریق پورت telnet آلوده میکرد. به نظر میرسد عاملان آن بدافزار، منبع بکر دیگری برای درآمدزایی پیدا کردهاند. «مجرمان به کسب درآمد از منابع امنسازی نشده، به هر شکل که بتوانند، ادامه میدهند. مدیران سیستم باید بهترین اقدامات امنیتی را برای سیستمهای تحت مدیریت خود به کار گیرند. سرویسهای امنسازی نشده با آسیبپذیریهای وصله نشده یا پسوردهای ضعیف، اهداف اصلی سوء استفاده هستند». منبع: The Register |