نصب روت‌کیت توسط استخراج کنندگان ارز دیجیتالی در لینوکس1397/8/29 سه‌شنبه
 
نصب روت‌کیت توسط استخراج کنندگان ارز دیجیتالی در لینوکس

پژوهشگران امنیتی ترندمیکرو به گونه‌ی جدیدی از بدافزارها برخورد کرده‌اند که ارزهای دیجیتالی را به کمک رایانه‌های لینوکسی استخراج می‌کنند. این مورد با دیگر موارد دیده شده متفاوت است، زیرا این مورد، روت‌کیتی را برای تغییر رفتار سیستم‌عامل و مخفی‌سازی استفاده زیاد ناخواسته از پردازنده که معمولا با استخراج ارز دیجیتالی همراه است، نصب می‌کند.

در حال حاضر، هنوز ترندمیکرو  متوجه نشده است که چگونه این بدافزار، که KORKERDS نامیده شده است، سیستم را آلوده می‌کند، اما آن ها باور ندارند که موج اخیر آلوده شدن سیستم‌ها نتیجه یک عملیات هک و نفوذ گسترده باشد.

پژوهشگران معتقدند که کلاهبرداران از نام‌های کاربری آلوده لینوکس استفاده می‌کنند که در حین فرایند نصب یک برنامه قانونی، به صورت مخفیانه به دانلود و نصب استخراج کننده‌های KORKERDS بپردازند.

اما پژوهشگران می‌گویند که نمونه‌های KORKERDS که اخیرا مورد تجزیه و تحلیل قرار گرفته‌اند، کاری بیش از نصب یک استخراج کننده Monero انجام می‌دهند، آنها به دانلود و نصب یک روتکیت نیز می‌پردازند.

علاوه بر اینکه امکان فعال ماندن KORKERDS هنگام راه‌اندازی مجدد سیستم عامل وجود دارد، اجزای روتکیت شامل کدهایی با ویژگی‌های عجیبی هستند.

ترندمیکرو می‌گوید که سازندگان KORKERDS، روتکیت را برای مخفی کردن فرایند اصلی استخراج کننده از ابزارهای نظارت بر فرایند لینوکس برنامه‌ریزی کرده و تغییر داده‌اند.

محققان گفته‌اند که روتکیت خود را به رابط‌های برنامه‌نویسی کاربردی (API) readdir و ۶۴readdir از کتابخانه libc متصل می‌کند. روت‌کیت فایل‌های عادی کتابخانه را به وسیله جایگزینی فایل readdir اصلی با نسخهreaddir  خود بازنویسی می‌کند.

این نسخه مخرب از readdir، فعالیت فرآیندهای با نام خاص "kworkerds" را مخفی می‌کند که این مورد همان فرآیندهای مربوط به استخراج کننده است.

ابزارهای نظارت بر فرایندهای پردازشی لینوکس استفاده از ۱۰۰ درصد پردازنده را نشان می‌دهد، اما ادمین سیستم قادر به دیدن (و از بین برد) فرایند kworkerds نیست که سبب ایجاد مشکل در مصرف درست منابع پردازنده می‌شود.

بر این اساس که KORKERDS در داخل برنامه‌های قانونی توزیع شده است، این امکان وجود دارد که علاوه بر سرورها، این بدافزار تهدیدی برای کاربران دسکتاپی لینوکس نیز باشد.

کاربران لینوکس تنها کسانی نیستند که با بدافزارهای استخراج ارزدیجیتالی هدف قرار گرفته‌اند. ترندمیکرو گزارش دومی را در مورد گونه‌ای از بدافزارها منتشر کرده است که کاربران ویندوز را هدف قرار داده و همچنین از تکنیک های مختلفی برای تلاش در جهت پنهان ماندن در سیستم قربانی استفاده می‌کردند..

منبع:

https://www.zdnet.com/article/linux-cryptocurrency-miners-are-installing-rootkits-to-hide-themselves


مشاهده اخبار بیشتر ...
نسخه قابل چاپ
دسترسی سریع
عضویت در خبرنامه

* برای عضویت در خبرنامه آدرس ایمیل خود را وارد نمایید
خبرخوان
تماس با ما
(021) 22266217
Info@kashef.ir دریافت کلید PGP   (راهنما)