حملات DDoS از سوی تروجان Rex لینوکس

به گزارش واحد متخصصین سایبربان؛ کارشناسان امنیتی می‌گویند آنچه در ابتدا به نظر می‌رسید یک‌رشته آلودگی در وب‌گاه‌ها باشد که توسط یک باج‌افزار ضعیف آلوده‌شده‌اند، در حقیقت یک نوع عملیات سایبری جنایت‌کارانه بوده است. آن‌ها می‌گویند این عملیات بر پایه‌ی یک تروجان لینوکس بناشده و در آن چندین بات‌نت با قابلیت فراوان ایجادشده و برای خود تبلیغ می‌کند.

 ماه می گذشته، استو گورتون، مدیر و بنیان‌گذار آزمایشگاه Forkbombus از وجود یک نوع باج‌افزار پرده برداشت که وب‌گاه‌های دروپال را هدف قرار می‌دهد. این باج‌افزار خاص چندان تأثیرگذار نبود و مدیران وب‌گاه‌ها می‌توانستند به‌راحتی نسخه‌ی قبل‌تر وب‌گاه‌ خود را بازیابی کنند.

در آن زمان آقای گورتون همه‌ی مطالب را در مورد این باج‌افزار خاص عنوان نکرد و گفت که هنوز تجزیه‌وتحلیل‌های زیادی باید در مورد این باج‌افزار صورت گیرد. او گفت که این باج‌افزار به زبان Go نوشته‌شده است و از آسیب‌پذیری CVE-2014-3704 برای سرقت وب‌گاه‌های دروپال استفاده می‌کند. بر اساس یک تحقیق جدید که به‌وسیله‌ی Stormshield و Dr.Web منتشرشده است؛ این باج‌افزار که خود را Rex می‌خواند به‌روزرسانی‌های متعددی را در طول ۳ ماه گذشته و از زمانی که برای اولین بار شناسایی شد دریافت کرده است.

مجرمان سایبری از تروجان Rex برای انجام حملات DDoS به‌قصد خروج بیت‌کوین استفاده می‌کنند.

نسخه‌ی کنونی این بدافزار هنوز هم به زبان Go نوشته‌شده است و دارای قابلیت‌های بسیار بیشتری نسبت به نسخه ماه می آن است.

این تروجان می‌تواند تعداد بسیار بیشتری از بستر‌های مدیریت محتوا را نسبت به قبل آلوده سازد و از طریق یک بات‌نت پیشرفته‌ی P2P عمل می‌کند. این تروجان قادر است تا حملات DDoS را انجام دهد؛ می‌تواند به استخراج ارزهای رمزنگاری‌شده از روی میزبان‌های آلوده بپردازد و توانایی آن را دارد تا روی دیگر کارگزارهای آسیب‌پذیر در سایر دستگاه‌های یک شبکه محلی به تبلیغ خود بپردازد.

علاوه بر این، کلاه‌بردارانی که پشت این باج‌افزار هستند با بهره‌گیری از آن به تهدید مدیران وب‌گاه‌ها می‌پردازد و عنوان می‌کنند که درصورتی‌که باج درخواست شده به آنان پرداخت نشود به انجام حملات DDoS علیه آن‌ها اقدام خواهند کرد. این درخواست شامل یک یادداشت باج‌افزار است که تصویر آن در زیر نمایش داده‌شده است.

این رایانامه‌ی ارسالی برای درخواست باج، ادعا می‌کند که از گروه مشترک Armada ارسال‌شده است اما درواقع هیچ‌کس نمی‌تواند این ادعا را تأیید کند و کلاه‌برداران ممکن است تنها از اسم این گروه برای تقویت ادعای خود استفاده کرده باشند.

گروه Armada یک گروه از مجرمان سایبری است که برای انجام حملات DDoS مشهور شده است و از این طریق به مطالبه باج می‌پردازد. این گروه در رسانه‌‌های بین‌المللی توجه زیادی را به خود جلب کرده است و هرکس می‌تواند با جستجوی نام این گروه در اینترنت متوجه شهرت و اهمیت حملات آن‌ها درگذشته شود.

 تروجان Rex می‌تواند بسترهای دروپال، وردپرس و Magento را آلوده سازد.

ازنظر فنی این تروجان هنوز هم از آسیب‌پذیری CVE-2014-3704 Drupalgeddon برای آلوده ساختن دروپال استفاده می‌کند.

این‌یک حفره تزریق SQL است که به این تروجان اجازه می‌دهد تا یک حساب مدیریت در یک وب‌گاه ایجاد کرده و از آن طریق کنترل این بستر مدیریت محتوا را به دست گیرد. Rex تلاش می‌کند تا برخی از صفحات وب‌گاه‌ها را قفل کند اما همچنان که در قبل گفته شد، قابلیت باج‌افزاری آن بسیار ضعیف است.

همچنین Rex به وب‌گاه‌های وردپرس نیز حمله می‌کند اما در آنجا وب‌گاه‌ها را قفل نکرده و یک یادداشت باج‌خواهی نشان نمی‌دهد و به‌جای آن فقط سایر ویژگی‌های مخرب خود را اجرا می‌کند.

این تروجان برای حمله به وب‌گاه‌های وردپرس از آسیب‌پذیری‌های امنیتی افزونه‌های آن‌ استفاده می‌کند؛ افزونه‌هایی نظیر WooCommerce،Robo Gallery، Rev Slider، WP-squirel، Site Import،  Brandfolder،  Issuu Panel و Gwolle Guestbook.

وب‌گاه‌های Magneto نیز از طریق حفره‌های CVE-2015-1398, CVE-2015-1397, CVE-2015-1399(Shoplift RCE) مورد هدف قرار می‌گیرند که به کلاه‌برداران اجازه می‌دهد تا یک حساب مدیریتی ایجاد کرده و کنترل کارگزار وب اصلی را به دست‌گیرند.

سایر بسترهایی که به‌وسیله‌ی این باج‌افزار مورد هدف قرار می‌گیرند عبارت‌اند از Exagrid،Apache Jetspeed و مسیریاب‌های خانگی AirOS که این تروجان یا در طی فرایندهای اولیه آلوده‌سازی خود آن‌ها را هدف قرار می‌دهد یا هنگامی‌که سعی در تکثیر و یا تبلیغ خود بعد از آلوده کردن میزبان اولیه دارد به آن‌ها حمله می‌کند.

ارتباط بات‌های Rex از طریق یک سامانه P2P چندمنظوره و سازگار

همه‌ی کارگزارهای وب آلوده‌شده، به یک بات‌نت P2P و غیرمتمرکز اضافه می‌شوند که با استفاده از کتابخانه‌ی Kademlia Go ساخته‌شده است. این بات‌نت به توسعه‌دهندگان اجازه می‌دهد تا نرم‌افزارهایی را ایجاد کنند که با استفاده از پروتکل Bittorrent DHT با یکدیگر ارتباط برقرار می‌کنند.

بات‌نت‌های P2P به خاطر این مشهور و بدنام هستند که به‌سختی می‌توان آن‌ها را از بین برد. Necrus یکی از بزرگ‌ترین بات‌نت‌های جرائم سایبری در سطح جهان است که برای گسترش و توزیع تروجان بانکی Dridex و باج‌افزار  Lockyاستفاده‌شده است و همچنین از سامانه P2P استفاده می‌کند. علاوه بر این محققان Dr.Web می‌گویند که آن‌ها کدی از Rex را تشخیص داده‌اند که برای ارسال پیام‌های هرزنامه به کار می‌رود.

همچنان که امروز مشخص است تروجان لینوکس Rex یک نوع بدافزار بسیار سودمند برای عوامل استفاده‌کننده از آن است و به کلاه‌برداران اجازه می‌دهد تا از طریق استخراج بیت‌کوین، اخاذی از طریق حملات DDoS، توسعه و انتشار هرزنامه و تغییر شکل  وب‌گاه‌ها به درآمدزایی بپردازند.

در مورد تشخیص این بدافزار باید گفت همچنان که در تصویر زیر دیده می‌شود موتورهای ضدبدافزار در VirusTotal قادر نیستند به تشخیص این تروجان بپردازند.