backdoor : درپشتی Linux/Cdorked.A: در امان نبودن nginx و Lighttpd!
درپشتی Linux/Cdorked.A: در امان نبودن nginx و Lighttpd!
قبل از هرچیز از تمام دوستان عذرخواهی می کنم.بابت دیر اطلاع رسانی کردم این موضوع.
به دلیل مشغله ای که دارم نتونستم نتیجه تحقیقات را زودتر به اطلاع شما برسانم.
در اخباری که پیرامون بدافزار Linux/Cdorked.A تاکنون منتشر شده، هشدار داده شده بود که هزاران کارگزار وب آپاچی در معرض خطر هستند و در کمپینی که این بدافزار را مورد استفاده قرار می دهد از یک آسیب پذیری درپشتی1 در کارگزاران وب آپاچی استفاده می شود تا کاربران را به وب گاه هایی هدایت کند که حاوی بسته های نفوذی Blackhole هستند.
گروه امنیتی Eset پس از انتشار این خبر، بررسی های خود را در مورد این بدافزار ادامه داده است که منجر به کشف برخی ویژگی های دیگر شده است که در ادامه بیان می شود:
از بین بیش از ۴۰۰ وب گاهی که آلوده شده است، ۵۰ وب گاه در بین ۱۰۰٬۰۰۰ وب گاه محبوبی هستند که در وب گاه alexa، که یک وب گاه تجزیه و تحلیل وب است و وب گاه های پربازدید تر را دسته بندی می کند، قرار دارند.
با کمک اطلاعاتی که از طریق مدیران شبکه ها و وب گاه ها در اختیار گروه امنیتی Eset قرار گرفته است، مشخص شده است که این درپشتی کارگزاران وب Lighttpd و nginx را نیز مورد حمله قرار داده است، تاکنون فقط اطلاعات دودویی2 مربوط به کارگزاران آپاچی مستند شده و در دست رس بود.
مطابق داده های دورسنجی جهانی3 آزمایشگاه Eset این حملات دست کم از دسامبر ۲۰۱۲ (آذر ۱۳۹۱) شروع شده است.
با بررسی های انجام شده مشخص شد که فعالیت های این درپشتی از آنچه قبلاً عنوان شده است نیز بی صدا تر است، در تحلیل های گروه امنیتی Eset کشف شد که پیکربندی این درپشتی به نحوی است که در صورتی که آی پی قربانی در یک فهرست سیاه بسیار طولانی قرار داشته باشد و یا زبان مرورگر این قربانی به صورت ژاپنی، فنلاندی، روسی، اوکراینی، قزاقستانی و یا بلاروسی باشد، محتوای مخرب به این قربانی نمایش داده نمی شود .
مطابق داده های دورسنجی جهانی Eset، بیش از ۱۰۰٬۰۰۰ کاربر که از محصولات امنیتی Eset استفاده می کنند وب گاه های آلوده را مشاهده کرده اند و این در حالی است که در محصولات Eset این حمله مسدود شده بود.
در برخی از پیکربندی های یافت شده مشاهد شد که هدایت به وب گاه های دیگر به طور خاص برای کاربران آیفون و آیپد وجود دارد.
با توجه به موارد جدیدی که کشف شده است بهتر است به منظور شناخت هرچه بیش تر این بدافزار و بررسی قابلیت های آن یک سناریوی حمله را بررسی کنیم.
در یک سناریوی حمله معمولی، قربانیان به یک کارگزار وب آلوده هدایت می شوند که از یک بسته ی کد سوء استفاده ی Blackhole میزبانی می کند. در این زیرساخت آلوده، از کارگزاران DNS که قبلاً مورد نفوذ واقع شده اند استفاده می شود.
هنوز مشخص نیست که بدافزار Linux/Cdorked.A چگونه وارد کارگزاران وب می شود. البته احتمال این که روش های آلوده سازی متونع باشد بسیار زیاد است. البته در برخی اخبار بیان شده است که آلودگی کارگزاران در ارتباط با نصب نرم افزار مدیریتی cPanel است، که این مسأله صحت ندارد، چرا که فقط کسری از کارگزاران وب آلوده از این نرم افزار استفاده می کرده اند.
چیزی که واضح است این است که که این بدافزار فقط با تکیه بر مولفه های خودش منتشر نمی شود و همچنین از آسیب پذیری نرم افزار خاصی برای انتشار استفاده نمی کند.
Linux/Cdorked.A یک درپشتی است که توسط یک مهاجم به منظور ارائه ی محتوای آلوده از طریق وب گاه های قانونی و معروف مورد استفاده قرار می گیرد.
در تصاویری که در ادامه می آید می توان سه تصویر از سه نوع کارگزار را مشاهده نمود:
کد درپشتی تا حدودی در هر سه کارگزار شبیه به نظر می رسد، اما توابع و ساختار متفاوت در کارگزارهای مختلف نیز مشاهده می شود و این یعنی مهاجم به حدی جدی بوده است که زمان کافی به منظور ایجاد وصله های مختلف برای کارگزاران مختلف صرف کرده است.
قابلیت های درپشتیLinux/Cdorked.A
در جدولی که در ادامه می آید فهرست فرمان هایی که به منظور کنترل در پشتی Linux/Cdorked.A تعریف می شود آورده شده است:
table.png
تمامی فهرست هایی که در این جدول آمده است در قطعه حافظه ی به اشتراک گذاشته شده که توسط ابزار آزمایشگاه Eset کشف شده است ذخیره شده اند. این فهرست ها امکانات فراوانی را در اختیار مهاجم قرار می دهند که این توانایی را داشته باشد هر آی پی را به صفحه ای خاص هدایت کند یا خیر.
Linux/Cdorked.A همچنین فهرستی از آی پی هایی که به صفحات دیگر هدایت کرده است را با زمان هدایت شدن نگه می دارد تا از هدایت کردن یک آ ی پی واحد در دوره کوتاهی اجتناب کند.
هیچ یک از پیکربندی ها در دیسک ذخیره نمی شود و همه این اطلاعات در حافظه ذخیره می شوند و توسط درخواست های HTTP توسط مهاجم تغییر پیدا می کنند.
پیکربندی معمولی Linux/Cdorked.A
همان طور که عنوان شد با همکاری برخی مدیران وب گاه ها و همچنین گروه امنیتی Sucuri و Eset با دست رسی به حافظه به اشتراک گذاشته شده، اطلاعاتی از این قطعه حافظه به دست آمده است، در بالا تصویری از اطلاعات یک قطعه حافظه مشاهده می شود: image007.png
تاکنون هیچ پیکربندی شامل بیش از یک آدرس URL دیده نشده است. هدایت به آدرس های دیگر برای کاربرانی اتفاق می افتد که از IE، فایرفاکس در سامانه عامل ویندوز xp، ویستا و یا سون استفاده می کنند. همچنین کاربرانی که از آیفون و آیپد استفاده می کنند نیز به صفحات دیگر هدایت می شوند. اگرچه این کاربران به صفحاتی که شامل بسته های کد سوء ساتفاده هستند هدایت نمی شوند، اما به وب گاه هایی با محتوای غیراخلاقی هدایت می شوند. تصویر زیر یک وب گاه در یک آیفون را نمایش می دهد که محتوای غیراخلاقی دارد:
image009.png
این بدافزار همچنین شامل یک فهرست طولانی از آدرس های آی پی است که به صورت فهرست سیاه تهیه شده است و کاربرانی که از این محدوده آی پی ها باشند، هیچ گاه به صفحات دیگر هدایت نمی شوند. مطابق بررسی ها در حدود ٪۵۰ از آدرس های آی پی نسخه ۴ در این فهرست سیاه هستند. همچنین برخی کاربران که زبان مرورگر آن ها در فهرست زیر باشد نیز به وب گاه ها با محتوای مخرب هدایت نمی شوند: Languages.png
گروه امنیتی Eset بر این باور است که مهاجمینی که پشت این کمپین هستند، تلاش های قابل توجهی برای مخفی ماندن دارند، برای آن ها مخفی ماندن، اولویت بسیار بیش تری از آلوده کردن هرچه بیش تر کاربران دارد.
اطلاعات آماری هدایت شدن به وب گاه های مخرب
هدایت های مخرب همگی دارای یک ویژگی مشترک هستند، نمونه های Blackhole که کاربران به آن ها هدایت می شوند همگی دارای رشته «/info/last» در الگوی خود هستند. تاکنون ۴۰۰ وب گاه تحت تأثیر این بدافزار قرار گرفته اند، از میان این ۵۰ کارگزار وب، در میان ۱۰۰٬۰۰۰ وبگاه محبوب هستند، که محبوب ترین آن ها در رتبه ۲۰۰۰ است. البته بسیاری از مدیران وب گاه ها در حال پاک سازی کارگزاران وب خود هستند.
هر کارگزار به طور متوسط روزانه ۲۸٬۰۰۰ در خواست را به سمت وب گاه های آلوده هدایت می کند: image011.png
تحقیقات نشان می دهد این کارگزاران همیشه فعال نیستند و فقط در مواقعی فعال می شوند و عمل هدایت به وب گاه های مخرب را انجام می دهند.
سرقت خدمات نام دامنه (DNS)
آدرس های تنظیم شده به منظور هدایت در کارگزاران آلوده همگی دارای ویژگی های مشابهی هستند:
این دامنه های معمولاً دارای الگوی زیر می باشند:
<number(s), a, b or c><letters>.<tld>
این دامنه ها معمولاً به صورت یک رشته هگزادسیمال ۱۶ کاراکتری هستند.
کارگزاران نام این دامنه ها معمولاً بسیار کم تر از خود نام های دامنه تغییر پیدا می کنند.
بررسی های انجام شده نشان می دهد که اعداد موجود در ابتدای نام های دامنه به سادگی به این دلیل است که کارگزارانی که این وب گاه ها را میزبانی می کنند، کارگزاران میزبانی به اشتراک گذاشته شده هستند و با مرتب سازی بر اساس حروف الفبا، براساس شماره آی پی کارگزار می توان دامنه ها را مرتب کرد.
قالب عجیب نام های زیردامنه این حقیقت که آن ها دائماً در حال تغییر هستند، نشان می دهد که کارگزاران نام دامنه نیز دست کاری شده اند.
زنجیره هدایت به وب گاه ها
هنگامی که یک بازدیدکننده به علت آلودگی کارگزار به بدافزار Linux/Cdorked.A قرار است به یک وب گاه هدایت شود، این بازدیدکننده به وب گاه های زنجیره واری هدایت می شود که در نهایت به بسته ی کدهای سوء استفاده Blackhole می رسد.
image017.png
در نهایت پس از این که این بسته کد به صورت موفقیت آمیز بارگیری شد، یک قطعه بدافزار در رایانه قربانی بارگیری می شود که نام آن Win32/Glupteba.G می باشد.
همان طور که در اخبار پیشین بیان شده است، به مدیران کارگزاران وب پیش نهاد می شود که با استفاده از سامانه های بسته بندی استاندارد لینوکس، کارگزاران خود را بررسی کنند، گروه امنیتی Eset یک ابزار برای از بین بردن پیکربندی Linux/Cdorked.A پیش نهاد کرده است که در صورتی که این پیکربندی در کارگزار یافت شود آن را حذف می کند، که به تازگی تمامی نسخه ها ازجمله آپاچی، nginx و Lighttpd هم اضافه شده است.
برای راحتی سرپرستان و مدیران شبکه، نسخه ی کامپایل شده ای از این ابزار برای معماری های ۳۲ و ۶۴ بیت تهیه شده است که می توانید از این پیوند بارگیری نمایید. نظرات و سوالات خود را می توانید با استفاده از رایانامه با ما در میان بگذارید.
همچنین به کاربران پیش نهاد می شود، مرورگر خود و تمامی افزونه های آن، سامانه عامل و تمامی برنامه هایی نظیر جاوا، ابزار خواندن PDF و فلش پلیرهای خود را به روز نگه دارند. منبع:
-------------------------------------------------------------------------------------------------------------------------------
1. Backdoor یا درِ پشتی یک روش عبور از احراز هویت معمول است که برای دسترسی به رایانه ی مقصد مورد استفاده قرار می گیرد.
2. Binary
3. global telemetry data
ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
My Crime Is My Advisory . Hacking Is The Best But Security Is The First
backdoor : درپشتی Linux/Cdorked.A: در امان نبودن nginx و Lighttpd!
