مطالب پربازدید

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

1404/03/27 - 20:40- آسیا

حمله سایبری به بانک سپه

هکرهای گنجشک درنده(گروهی منتسب به آمریکا) مدعی حمله سایبری به بانک سپه شدند.

انتشار شده در تاریخ 1392/08/26 - 17:28

درپشتی Linux.Fokirtor و پنهان‌سازی ارتباطات بدافزار

زمانی که یک نفوذگر موفق به نصب بدافزار خود بر روی رایانه‌ی هدف شد، پنهان نگاه داشتن آن از دید مدیران سامانه و نرم‌افزارهای تشخیص نفوذ، مهمترین گام است.

به گفته‌ی شرکت امنیتی سیمانتک، گروهی از مهاجمان حرفه‌ای، با استفاده از یک در پشتی در لینوکس راهی جدید را برای پنهان ساختن ارتباطات بدافزار خود یافته‌اند.

سیمانتک می‌گوید این بدافزار، که با نام Linux.Fokirtor شناخته شده است، تا کنون تنها در یک سازمان مشاهده شده است؛ یک تامین‌کننده‌ی فضای میزبانی وب که در اردی‌بهشت سال جاری مورد نفوذ قرار گرفته بود. در این حمله، مهاجمان به سامانه‌های مدیریتیِ داخلی دسترسی پیدا کرده بودند و به نظر می‌رسد که هدف آن‌ها دسترسی به اطلاعات مشتریان بوده است.

وبلاگ شرکت سیمانتک اینطور توضیح می‌دهد: «مهاجمان متوجه شدند که محیط هدف به خوبی محافظت شده است. به طور خاص، نفوذگران نیازمند راهی برای جلوگیری از ایجاد ترافیک و یا پرونده‌های نصبی مشکوک، که باعث لو رفتن حمله در بازبینی‌های امنیتی می‌شد، بوده‌اند.»

برای انجام این کار مهاجمان «در پشتی مخفی خود را ایجاد کردند تا در پوسته‌ی امن (SSH) و سایر پردازش‌های کارگزار پنهان شود.»

این در پشتی به مهاجمان امکان می‌داد تا دستورات خود را از راه دور اجرا کنند، بدون اینکه نیاز به باز کردن یک socket شبکه یا تلاش برای اتصال به یک کارگزار کنترل و فرماندهی باشد. در عوض، کد در پشتی به پردازش SSH تزریق شده بود تا ترافیک شبکه را پایش کرده و به دنبال یک رشته کاراکتر خاص بگردد: «:!;.»

زمانی که این کاراکترها یافته شدند، بدافزار باقی مانده‌ی ترافیک را دریافت کرده و فرمان‌های رمزنگاری شده را از آن‌ها استخراج می‌کند. از اینجا به بعد، مهاجمان می‌توانند از طریق SSH یا سایر پروتکل‌ها درخواست اتصال‌های عادی کرده و این رشته کاراکترها را در میان ترافیک عادی وارد کنند تا شناسایی نشوند. و به این صورت فرمان‌ها اجرا می‌شوند.

سیمانتک اضافه می‌کند: «برای اطلاع یافتن از حضور این در پشتی در شبکه‌ی خود، به دنبال ترافیکی بگردید که حاوی رشته‌ی «:!;.» باشد (بدون علامت‌های نقل قول). ترافیکی که دارای این رشته‌ها باشد به طور معمول در SSH وجود ندارد.»

راه دیگر شناسایی این در پشتی، dump کردن پردازش SSHD و گشتن به دنبال رشته‌های زیر است: ([VALUE] می‌تواند هرچه باشد):

key=[VALUE]; dhost=[VALUE]; hbt=3600; sp=[VALUE]; sk=[VALUE] and dip=[VALUE]

سیمانتک در آخر اینگونه هشدار می‌دهد: «با وجود اینکه ما این [در پشتی] را تنها در یک سازمان یافتیم، احتمالاً این تهدید از دید بازرسی‌های امنیتی بسیاری از سازمان‌ها پنهان خواهد ماند. به همین دلیل، ما احتمال می‌دهیم که سازمان‌های بیشتری مورد حمله‌ی آن قرار گرفته‌اند اما از آن بی‌خبر هستند.»