بدافزار پیشرفته‌ی HiddenWasp لینوکس را هدف قرار می‌دهد

پژوهش‌گران امنیتی Intezer به‌تازگی نمونه‌ای از یک بدافزار پیشرفته را کشف کرده‌اند که با دادن کنترل از راه دور سیستم‌های آلوده به مهاجمان، لینوکس را هدف قرار می‌دهد. این بدافزار که HiddenWasp نامیده می‌شود فعال است و از عدم شناسایی توسط سیستم‌های ضد بدافزار بزرگ بهره می‌برد. به‌نظر می‌رسد این تهدید در حملات هدفمند در قربانی‌هایی که قبلاً توسط مهاجمان در معرض خطر قرار گرفته‌اند، استفاده می‌شود.

بااین‌که بیشتر کدهای HiddenWasp منحصربه فرد هستند، Intezer متوجه شده است که نویسندگان این بدافزار از تکه کدهای موجود در مخازن عمومی ازجمله بات‌نت Mirai و روت‌کیت Azazel استفاده کرده‌اند و این تهدید شباهت‌هایی با خانواده‌های بدافزار چینی دارد. دقیقاً همانند نسخه‌های لینوکس Winit که Chronicle به‌تازگی جزئیات آن را تشریح کرد، این بدافزار از یک روت‌کیت حالت کاربر، یک تروجان و یک اسکریپت استقرار اولیه تشکیل شده است.

این اسکریپت که به‌نظر می‌رسد برای اهداف آزمایشی ساخته شده است برای رسیدن به پایداری با تعریف یک کاربر جدید در سیستم و برای به‌روزرسانی نسخه‌های قدیمی‌تر درصورت آسیب دیدن سیستم استفاده می‌شود. سپس این اسکریپت یک آرشیو حاوی روت‌کیت، تروجان و اسکریپت استقرار اولیه را دانلود می‌کند.

پس از آن‌که مؤلفه‌های بدافزار نصب شدند، تروجان اجرا می‌شود و روت‌کیت به سازوکار LD_PRELOAD اضافه می‌شود. علاوه‌برآن، متغیرهای محیطی مختلف تنظیم می‌شوند و اسکریپت تلاش می‌کند تا تروجان را با اضافه کردن آن به /etc/rc.local پایدار سازد. تجزیه و تحلیل‌ها نشان می‌دهد که برخی از متغیرهای محیطی موجود در بدافزار از روت‌کیت متن‌باز Azazel‌ بر گرفته می‌شود. روت‌کیت HiddenWasp نیز نشان می‌دهد که از یک الگوریتم مشابه الگوریتم استفاده‌شده توسط Mirai در گذشته و کدهایی از این بدافزار استفاده شده است.

به‌طور عمده روت‌کیت برای پیاده‌سازی سازوکارهای مخفی‌سازی و یک اتصال TCP مخفی طراحی شده است. این تروجان با بات‌نت Elknot و بدافزار دیگر ChinaZ ارتباط کدی دارد و نشان می‌دهد که نویسنده‌ی HiddenWasp از پیاده‌سازی‌های به اشتراک گذاشته شده در انجمن‌های نفوذ چینی استفاده کرده است.

زمانی‌که این تروجان اجرا شد، پیکربندی خود را بازیابی و آن را رمزگشایی می‌کند و سپس تلاش می‌کند تا مکان پیش‌فرض مسیر پویای LD_PRELOAD لینکر را تغییر دهد. سپس یک نخ برای نصب روت‌کیت بااستفاده از مسیر LD_PRELOAD راه‌اندازی می‌کند و نشست خود را پنهان می‌کند.

پژوهش‌گران امنیتی همچنین برخی محصولات متعلق به روت‌کیت متن‌باز چینی مربوط به Adore-ng لینوکس کشف کرده‌اند که نشان می‌دهد HiddenWasp سیستم‌هایی را هدف قرار می‌‌دهد که ممکن است قبلاً با برخی از نسخه‌های این روت‌کیت آسیب دیده باشند.

منبع

پست‌های مشابه

Leave a Comment