پژوهشگران امنیتی به تازگی موفق شدند خانواده جدیدی از بدافزارها را شناسایی کنند که بهطور خاص، سرورهای وب در سراسر جهان را مورد هدف قرار دادهاند.
،،
هکرها به دنبال آن هستند تا از طریق یکباتنت و با سوء استفاده از سرورها ارز دیجیتال استخراج کنند. کارشناسان امنیتی در گزارش خود اعلام کردهاند که بدافزار جدیدی به نام Ruby Miner را کشف کردهاند. این بدافزار در اواخر ژانویه سعی کرده بود از طریق پیادهسازی یک حمله بزرگ و هماهنگ شده، سرورهای وب مستقر در ایالات متحده، آلمان، انگلستان، نرژو و سوئد را هدف قرار دهد.
به نظر میرسد این حمله از جانب یک سازمان هکری به وقوع پیوسته است، به واسطه آنکه بدافزار فوق در نظر داشت در یک روز نزدیک به یک سوم شبکه جهانی را تحت تاثیر خود قرار داده و به سوء استفاده از سرورها بپردازد.
این بدافزار به گونهای طراحی شده است که سرورهای لینوکسی و ویندوزی را هدف قرار دهد.
بدافزار Ruby Miner به منظور نصب یک استخراجکننده ارز دیجیتال، از آسیبپذیری ثبت شده به شماره CVE-2013-0156 که در خلال سالهای ۲۰۱۲ و ۲۰۱۳ میلادی شناسایی شد بهره برده است. (بعضی از شرکتها وصله مربوطه را روی سرورهای خود نصب نکردهاند)
جالب آنکه هکرها در این راه هیچگونه تلاشی نکردهاند تا فعالیتهای خود را پنهان کنند، بلکه به دنبال آن بودند تا در اسرع وقت به حجم بسیار بالایی از سرورهای وب مبتنی بر پروتکل انتقال ابرمتن و آسیبپذیر حمله کنند. بدافزار فوق که در قالب یک کمپین مخرب عمل میکند، آسیبپذیریهای موجود در نرمافزارهای Ruby On Rails، IIS مایکروسافت و پیاچپی را هدف قرار میدهد.
در این حمله هکرها موفق شدند در یک روز ۷۰۰ سرور که در کشورهای مختلف قرار داشتند را مورد حمله قرار دهند.
در حملهای که Ruby On Rails را هدف قرار داده بود، هکرها از یک آسیبپذیری شناسایی شده (که هنوز ترمیم نشده بود) برای اجرای کدهای راه دور خود استفاده کردند. در این حمله هکرها یک بارداده (payload) کدگذاری شده در قالب base64 را همراه با دستور POST توزیع کرده و در ادامه مفسر زبان روبی که روی سرور هدف قرار داشت را فریب دهند، تا درخواست آنها را اجرا کند.
این بار داده با هدف اضافه کردن یک کرونجاب (cronjob) به سرور که قادر بود در هر ساعت اجرا شده و فایل robots.txt را دانلود کند، به سرور تزریق میشد.
فایل فوق شامل یک اسکریپت شل بود که به منظور واکشی و در نهایت استخراج ارز دیجیتال به کار گرفته میشد. هکرها از آن جهت از فایل robots.txt استفاده کرده بودند، تا هر زمان نیاز داشتند فرآیند استخراجروی سرور را خاتمه داده و به سرعت تغییرات مربوطه را روی سرور آسیبپذیر به مرحله اجرا در آورند.
دامنه lochjol.com از جمله دامنههایی است که در ارتباط با این کمپین هکری شناسایی شده است. دامنهای که پیش از این در سال ۲۰۱۳ میلادی نیز به کار گرفته شده بود.
کارشناسان امنیتی میگویند هکرها حتی به سراغ سرورهای بانکاطلاعاتی نیز رفتهاند تا نه تنها از این سرورها به منظور استخراج ارز دیجیتال استفاده کنند، بلکه دادههای حساس درون این سرورها را جمعآوری کرده و در نهایت از این سرورها باتنت قدرتمندی به وجود آورند تا برای حمله منع سرویس انکار شده از آنها استفاده کنند.
هکرها برای دسترسی به سرورهای بانکاطلاعاتی از حملات جستوجوی فراگیر و در ادامه اجرای دستورات SQL به منظور دسترسی مستمر و ممانعت از شناسایی شدن از طریق فایلهای گزارش استفاده کردهاند. در این کمپین نیز هکرها از سه بردار حمله Hex، Hanako و Taylor، برای حمله به سرورهای Microsoft SQL و MySQL استفاده کردهاند؛
حمله Hex به منظور استخراج ارز دیجیتال و تزریق تروجانهای دسترسی از راه دور به سامانههای آلوده، حمله Taylor به منظور نصب یک روباینده کلیدها (key-logger) و نصب یک درب پشتی و از حمله Hanako به منظور بهرهبرداری از دستگاههای آلوده برای ساخت یک باتنت استفاده کردهاند.
تهیه شده توسط وبسایت آتادکس