بدافزاری که از آسیب‌پذیری SambaCry بهره‌برداری کرده و دستگاه‌های اینترنت اشیاء را هدف قرار داده است

 

بدافزار جدیدی با نام SHELLBIND از یک آسیب پذیری که اخیراً در نرم افزار Samba وصله شده، بهره برداری کرده و دستگاه های اینترنت اشیاء را در حملات خود هدف قرار داده است. تمرکز اصلی این بدافزار بر روی دستگاه های NAS است. آسیب پذیری که این بدافزار از آن بهره برداری می کند، دارای شناسه ی CVE-2017-7494 بوده و با نام SambaCry شناخته می شود. مهاجم با بهره برداری از این آسیب پذیری می تواند کتابخانه ی مخرب را در بخش اشتراکی شبکه نوشته و در ادامه سرور از این کارگزار مخرب و کدهای آلوده استفاده کرده و آن‌ها را اجرا کند.


این آسیب‌پذیری در Samba در سال ۲۰۱۰ میلادی شناسایی شده و در ماه می سال جاری وصله شده است. به دلیل اینکه این نرم‌افزار بسیار معروف بوده و توسط شرکت‌های مختلفی مورد استفاده قرار می‌گیرد، وجود آسیب‌پذیری در آن می‌تواند دستگاه‌های بسیار زیادی را تحت تأثیر قرار دهد. تقریباً دو هفته بعد از اینکه این آسیب‌پذیری وصله شد، گزارش شد که این اشکال برای توزیع یک نرم‌افزار استخراج ارزِ مجازی، مورد بهره‌برداری قرار گرفته است. 


اوایل ماه جولای، محققان ترندمیکرو، حملات جدیدی را شناسایی کردند که از آسیب‌پذیری SambaCry بهره‌برداری می‌کند. مهاجمان در این حملات شرکت‌های متوسط و کوچک را هدف قرار داده‌اند. بدافزاری که در این حملات مورد استفاده قرار گرفته، بر روی معماری‌های مختلفی از جمله MIPS ،ARM و PowerPC به خوبی عمل می‌کند. 
مهاجمان برای کشف دستگاه‌های آسیب‌پذیر که از Samba استفاده می‌کنند از ابزار Shodan استفاده کرده و بدافزار را درون پوشه‌ی عمومی این سامانه‌ها قرار می‌دهند. به گزارش محققان امنیتی، فایلی با نام ELF_SHELLBIND.A در پوشه‌ی عمومی قرار گرفته و توسط آسیب‌پذیریِ SambaCry بارگذاری می‌شود. پس از مستقر شدن بدافزار بر روی سامانه‌ی هدف، با سرور C&C ارتباط برقرار کرده و برای برقراری این ارتباط نیز برخی از دستورات دیواره‌ی آتش را تغییر می‌دهد.


محققان ترندمیکرو توضیح دادند: «پس از برقراری ارتباط و احراز هویت، یک شِل خط فرمان در اختیار مهاجم قرار می‌گیرد که می‌تواند دستورات مختلف را از طریق آن اجرا کند.» کاربران با اطمینان از اینکه نرم‌افزار Samba بر روی سیستم آن‌ها به‌روز است، می‌توانند در برابر این حمله از خود حفاظت کنند. همچنین مهاجم برای اجرای این حمله بر روی سیستم آسیب‌پذیر، نیاز به دسترسی‌های نوشتن در پوشه‌ی عمومی دارد.
 

پست‌های مشابه

Leave a Comment

یک × 4 =