کشف بدافزار جدید در سیستم‌های لینوکس 

به گزارش کارگروه امنیت سایبربان؛ محققان بدافزار جدیدی به نام «HiddenWasp» - نام «Wasp» به‌شدت حمله اشاره دارد – را کشف کرده‌اند که سیستم‌های لینوکس را هدف قرار می‌دهد. به نظر می‌رسد این بدافزار به‌عنوان بخشی از حمله مرحله دوم روی سیستم‌های به خطر افتاده مورداستفاده قرار گیرد و از یک روت‌کیت، تروجان و اسکریپت تشکیل شده است.

ناچو سان‌میلان (Nacho Sanmillan)، محقق امنیتی آزمایشگاه «Intezer» با تجزیه‌وتحلیل این بدافزار گفت:

نسبت رفتار لینوکس در طول سال‌ها، افزایش قابل‌توجهی داشته است. بااین‌حال، اکثر بدافزارهای لینوکس به اینترنت اشیا، بات‌های دیداس (حملات انکار سرویس توزیع شده) یا استخراج ارز متصل هستند.

سان‌میلان اعلام کرد:

مسئله مهم در مورد بدافزار، برخی روش‌های گریز اجرا شده در بدافزار شامل روت‌کیت هستند که برای مخفی کردن ایمپلنت اصلی تروجان استفاده می‌شود. روت‌کیت‌ها، معمولاً آثار مصنوعی مشاهده شده همراه با بدافزار معمول لینوکس نیستند. من معتقدم که این بدافزار در حملات هدفمند مورد استفاده قرار می‌گیرد.

وی افزود:

دلیل اصلی استفاده از بدافزار در حملات هدفمند این است که هنگام گسترش چنین ایمپلنت‌هایی در مقایسه با سایر انواع بدافزارهای لینوکس مانند : استخراج ارز و سکه یا بات‌های لینوکس بازگشت واضحی در سرمایه‌گذاری وجود ندارد و تنها هدف این بدافزار، کنترل از راه دور مجموعه سیستم‌های احتمالاً شناخته شده است.

بدافزار یاد شده به عنوان فایل‌‎های ناشناخته در «VirusTotal» در آویل 2019 کشف شد. فایل‌ها ابتدا از سوی یک شرکت قانونی چینی فناوری اطلاعات به نام «Shen Zhou Wang Yun» با برچسب‌های تاریخی تا نوامبر 2018 به بازار عرضه شدند.

سان‌میلان اظهار داشت:

نقش این شرکت مشخص نیست؛ اما تهدید تا زمان گزارش ما کاملاً ناشناخته بود. تشابهاتی میان این بدافزار و دیگر بدافزارهای چینی وجود دارند؛ بااین‌حال، تخصیص این مطلب اعتمادبه‌نفس بالایی می‌طلبد.

بر اساس تجزیه‌وتحلیل این محقق امنیتی، بدافزار هنوز فعال است و نسبت تشخیص صفر در تمام سیستم‌های اصلی آنتی‌ویروس را دارد.

تحلیل کد نشان می‌دهد که نویسندگان بدافزار برخی کدها را از انواع نرم‌افزارهای مخرب منبع باز میرای (Mirai) و روت‌کیت «Azazel» گرفته‌اند. بااین‌وجود، اکثر کدها منحصربه‌فرد بودند. این بدافزار همچنین شباهت‌هایی با نسخه‌های اخیر لینوکس وینتی (Winnti Linux) دارد که به‌وسیله محققان «Chronicle» گزارش شده است. 

کارشناسان معتقدند که باوجود استفاده از کد دیگر نمونه‌های بدافزاری، ناشناخته ماندن HiddenWasp به‌وسیله نرم‌افزار امنیتی مبتنی بر لینوکس و «VirtusTotal» برنامه‌ریزی شده است.  

محققان از این نام به 2 دلیل برای بدافزار استفاده کرده‌اند که یک مورد، به‌عنوان راهی برای ارتباط میان روت‌کیت و تروجان با استفاده از متغیر محیطی به نام «I_AM_HIDDEN»؛ این امر به‌منظور ترتیب جلسه تروجان به‌وسیله روت‌کیت برای کاربرد مکانیسم‌های گریز در هر جلسه دیگر استفاده شده است. 

سان‌میلان نوشت:

حقیقت قرارگیری بدافزار در رادار، نقطه عطفی برای اختصاص تلاش‌ها و منابع بیشتر به شناسایی تهدیدات در صنایع امنیتی محسوب می‌شود.

به گفته کارشناسان امنیتی، مقابله با بدافزار شامل انسداد ساده آدرس‌های آی‌پی فرماندهی و کنترل در شاخص‌های سازش (IOC) گزارش Intezer است. محققان همچنین قواعد یارا (YARA) – که قبلاً برای مصنوعات در حافظه اجرا می‌شدند – را به منظور شناسایی این ایمپلنت‌ها ارائه کردند.

محقق امنیتی آزمایشگاه اینتزر خاطرنشان کرد:

اگر در راستای بررسی، سیستم آلوده شده باشد، شما می‌توانید فایل‌های «ld.so» را جستجو کنید – اگر هر یک از فایل‌ها شامل رشته «/etc/ld.so.preload» نبود، سیستم شما احتمالاً به خطر افتاده است. دلیل هم این است که ایمپلنت تروجان نمونه‌های ld.so را به منظور تقویت مکانیسم «LD_PRELOAD» از مکان‌های دلخواه اجرا می‌کند.