بدافزار جدیدی با نام SHELLBIND از یک آسیب پذیری که اخیراً در نرم افزار Samba وصله شده، بهره برداری کرده و دستگاه های اینترنت اشیاء را در حملات خود هدف قرار داده است. تمرکز اصلی این بدافزار بر روی دستگاه های NAS است. آسیب پذیری که این بدافزار از آن بهره برداری می کند، دارای شناسه ی CVE-2017-7494 بوده و با نام SambaCry شناخته می شود. مهاجم با بهره برداری از این آسیب پذیری می تواند کتابخانه ی مخرب را در بخش اشتراکی شبکه نوشته و در ادامه سرور از این کارگزار مخرب و کدهای آلوده استفاده کرده و آنها را اجرا کند.
این آسیبپذیری در Samba در سال ۲۰۱۰ میلادی شناسایی شده و در ماه می سال جاری وصله شده است. به دلیل اینکه این نرمافزار بسیار معروف بوده و توسط شرکتهای مختلفی مورد استفاده قرار میگیرد، وجود آسیبپذیری در آن میتواند دستگاههای بسیار زیادی را تحت تأثیر قرار دهد. تقریباً دو هفته بعد از اینکه این آسیبپذیری وصله شد، گزارش شد که این اشکال برای توزیع یک نرمافزار استخراج ارزِ مجازی، مورد بهرهبرداری قرار گرفته است.
اوایل ماه جولای، محققان ترندمیکرو، حملات جدیدی را شناسایی کردند که از آسیبپذیری SambaCry بهرهبرداری میکند. مهاجمان در این حملات شرکتهای متوسط و کوچک را هدف قرار دادهاند. بدافزاری که در این حملات مورد استفاده قرار گرفته، بر روی معماریهای مختلفی از جمله MIPS ،ARM و PowerPC به خوبی عمل میکند.
مهاجمان برای کشف دستگاههای آسیبپذیر که از Samba استفاده میکنند از ابزار Shodan استفاده کرده و بدافزار را درون پوشهی عمومی این سامانهها قرار میدهند. به گزارش محققان امنیتی، فایلی با نام ELF_SHELLBIND.A در پوشهی عمومی قرار گرفته و توسط آسیبپذیریِ SambaCry بارگذاری میشود. پس از مستقر شدن بدافزار بر روی سامانهی هدف، با سرور C&C ارتباط برقرار کرده و برای برقراری این ارتباط نیز برخی از دستورات دیوارهی آتش را تغییر میدهد.
محققان ترندمیکرو توضیح دادند: «پس از برقراری ارتباط و احراز هویت، یک شِل خط فرمان در اختیار مهاجم قرار میگیرد که میتواند دستورات مختلف را از طریق آن اجرا کند.» کاربران با اطمینان از اینکه نرمافزار Samba بر روی سیستم آنها بهروز است، میتوانند در برابر این حمله از خود حفاظت کنند. همچنین مهاجم برای اجرای این حمله بر روی سیستم آسیبپذیر، نیاز به دسترسیهای نوشتن در پوشهی عمومی دارد.
