بدافزار GoScanSSH سرورهای SSH عمومی را هدف قرار داده است

 

محققان امنیتی بدافزار جدیدی با نام  GoScanSSH را شناسایی کردند که سرورهای عمومی SSH را هدف قرار داده است ولی در عملیات خود از آلوده کرن سیستم های نظامی و حکومتی اجتناب می کند. این بدافزار اولین بار در ژوئن سال ۲۰۱۷ میلادی شناسایی شده و برخی ویژگی های منحصربفرد دارد. به طور مثال این بدافزار با زبان برنامه نویسی GO نوشته شده و از هدف قرار دادن بخش های نظامی اجتناب می کند.


بردار آلودگی مربوط به بدافزار GoScanSSH حملات جستجوی فراگیر است که سرورهای SSH عمومی را هدف قرار می‌دهد. در این سرورها احراز هویت مبتنی بر پسورد است. وقتی مهاجم متوجه شود که IP مورد نظر هدف مهمی است، گواهی‌نامه‌های SSH آن را برای احراز هویت بدست می‌آورد. مهاجمان برای اجرای حمله از یک فایل ورد، حاوی ترکیبی از ۷ هزار نام کاربری و پسورد استفاده می‌کنند.


براساس مشاهده‌ی نام کاربری و پسورد در فایل ورد و ترکیب آن‌ها، محققان متوجه شدند که مهاجمان سرورهای SSH عمومی مبتنی بر لینوکس را که در آن‌ها از پسوردهای ضعیف یا پیش‌فرض استفاده شده است، هدف قرار داده‌اند. مشاهدات نشان می‌دهد که دستگاه‌های OpenELEC، رسپبری پای و دستگاه‌های آیفون که جیلبریک شده‌اند در صدر اهداف این بدافزار قرار دارند.


محققان اعلام کردند که ۷۰ نمونه‌ی منحصربفرد از بدافزار GoScanSSH را شناسایی کرده‌اند. در هر نمونه از بدافزار، از باینری کامپایل‌شده‌ی خاصی استفاده شده تا از بسترهای مختلف پشتیبانی کند. همچنین مشاهده شده که نسخه‌های مختلفی از این بدافزار در دنیای واقعی فعال است که نشان می‌دهد مهاجمان به‌طور پیوسته برای بهبود و توسعه‌ی این بدافزار تلاش می‌کنند. 


در آلودگی‌های قبلی، گزارش شده که مهاجمان در وهله‌ی اول در بازه‌های زمانی مختلف با انجام محاسبات درهم‌سازی، تلاش می‌کنند تا از قدرت پردازشی سرور مطلع شوند. محققان تاکنون متوجه نشده‌اند که دلیل ارزیابی توان در سرورها توسط مهاجمان چیست. معمولا در حملاتی که هدف استخراج ارز دیجیتال است، قدرت سیستم ارزیابی می‌شود ولی دستگاه‌هایی که نام بردیم، توان پردازشی بالایی نداشته و برای این هدف مناسب نیستند.


داده‌های انتقالی بین دستگاه قربانی با سرور دستور و کنترل مهاجم، با استفاده از سرویس پروکسی Tor2Web ارسال می‌شود. این سرویس به دستگاه‌ها اجازه می‌دهد بودن نصب کلاینت TOR بتوانند داده‌های خود را تحت شبکه‌ی گمنامی TOR ارسال کنند. محققان اعلام کردند قابلیت اصلی در بدافزار GoScanSSH، شناسایی دیگر سرورهای SSH آسیب‌پذیر است. 
 

منبع

پست‌های مشابه

Leave a Comment