yastheme
October 31st, 2017, 13:50
حدود سه سال پیش محققان شرکت Yandex یک تروجان کشف کردند که به Mayhem (https://www.virusbulletin.com/virusbulletin/2014/07/mayhem-hidden-threat-nix-web-servers)مشهور شد که با کامپایل خود به عنوان یک سرویس فعال در سرور قرار می دهد و به نرم افزار های مخرب اجازه می دهد که حتی تحت مجوزهای محدود (restricted privileges) هم اجرا شوند. Mayhem اساسا یک ربات مخرب برای سرور های وب سایت ها می باشد که قابلیت دریافت دستورات متعدد از یک C&C یا همان مرکز فرماندهی و کنترل بات نت ها را دارد ؛ همچنین با ابزار های استفاده شده در فایل های پنهان سیستمی می تواند سایت های دیگر را جهت بررسی آسیب پذیری ها اسکن نماید، دست به حملات brute force بزند و یا حتی بخشی از یک حمله DDoS باشد! تشخیص معماری سرور این بدافزار هر دو معماری x32 و x64 را هدف قرار می دهد و این قابلیت را دارد که بهترین نسخه سازگار با معماری سیستم را انتخاب و اجرا نماید، اگر چه بسیاری از بد افزار های دیگر هم روش هایی برای شناسایی معماری و نوع سیستم قربانی داشتند اما روش های مورد استفاده Mayhem برای این کار به روز شده اند و شیء مشترک مخرب (malicious shared object) کاهش یافته که احتمالا به منظور فریب آنتی ویروس ها و سیستم های نظارتی بوده است. تغییر به شیء به اشتراک گذاشته شده قطعه کدی در این بدافزار مسئول کپی و راه اندازی نرم افزارهای مخرب است.
https://www.central-hosting.com/blog/wp-content/uploads/2017/10/mayhem-malware-changed-1.png
بر خلاف نمونه های اصلی از سال ۲۰۱۴، هیچ اشاره ای به متغیر سیستم MAYHEM_DEBUG وجود ندارد.
همچنین، نام این shared object از libworker.so به jquery.so تغییر یافت ( استفاده از نام جی کوئری به عنوان یک روش انحرافی).
نتیجه این نوع بدافزار نشان می دهد که چگونه نویسندگان بدافزار وب سرورها را به عنوان یک هدف محبوب می بینند چرا که سرورهای وب قدرتمندتر از رایانه های شخصی هستند و اغلب کنترل های ضد ویروس کمتری دارند. که این امر نیاز به اقدامات پیشگیرانه ارائه دهندگان خدمات میزبانی و مدیران سرور ها برای نظارت بیشتر است.
برای جلوگیری از حمله هایی که قصد سو استفاده از آسیب پذیری های وب سایت شما را دارند و همچنین مقابله با حملات brute force و DDoS پیشنهاد می کنیم با استفاده از یک فایروال مناسب از وب سایت خود محافظت نمایید.
منبع: سنترال هاستینگ (https://www.central-hosting.com/blog/%D8%A8%D8%A7%D8%AA-%D9%86%D8%AA-mayhem-%D8%AF%D8%B1-%D8%AD%D8%A7%D9%84-%D8%B1%D8%B4%D8%AF-%D8%A7%D8%B3%D8%AA/)
https://www.central-hosting.com/blog/wp-content/uploads/2017/10/mayhem-malware-changed-1.png
بر خلاف نمونه های اصلی از سال ۲۰۱۴، هیچ اشاره ای به متغیر سیستم MAYHEM_DEBUG وجود ندارد.
همچنین، نام این shared object از libworker.so به jquery.so تغییر یافت ( استفاده از نام جی کوئری به عنوان یک روش انحرافی).
نتیجه این نوع بدافزار نشان می دهد که چگونه نویسندگان بدافزار وب سرورها را به عنوان یک هدف محبوب می بینند چرا که سرورهای وب قدرتمندتر از رایانه های شخصی هستند و اغلب کنترل های ضد ویروس کمتری دارند. که این امر نیاز به اقدامات پیشگیرانه ارائه دهندگان خدمات میزبانی و مدیران سرور ها برای نظارت بیشتر است.
برای جلوگیری از حمله هایی که قصد سو استفاده از آسیب پذیری های وب سایت شما را دارند و همچنین مقابله با حملات brute force و DDoS پیشنهاد می کنیم با استفاده از یک فایروال مناسب از وب سایت خود محافظت نمایید.
منبع: سنترال هاستینگ (https://www.central-hosting.com/blog/%D8%A8%D8%A7%D8%AA-%D9%86%D8%AA-mayhem-%D8%AF%D8%B1-%D8%AD%D8%A7%D9%84-%D8%B1%D8%B4%D8%AF-%D8%A7%D8%B3%D8%AA/)