فا

‫ آلوده ساختن سيستم هاي لينوكسي توسط تروجان XOR.DDoS و نصب روت كيت

به تازگي تروجاني با نام XOR.DDoS كشف گرديده است كه احتمالاً مجموعه اي از سيستم ها را براي استفاده در حملات DDoS‌آلوده ساخته است. اين تهديد جديد تنظيمات محيط لينوكسي قرباني را تغيير مي دهد و يك روت كيت را براي جلوگيري از شناسايي شدن، نصب مي نمايد.

نصب چنين روت كيتي روي لينوكس بسيار سخت است چرا كه به موافقت سيستم عامل قرباني نياز دارد. بنابراين مهاجمين تغييري در login پيش فرض كاربران نمي دهند بلكه از طريق تكنيك brute forceارتباط SSH كاربر rootاقدام مي نمايند. در صورت موفقيت تروجان را از طريق shell script نصب مي نمايد. اسكريپت شامل پروسه هايي مانند main، check، compiler، uncompress، setup ، generate ، upload ، upload و غيره و نيز متغيرهايي مانند __host_32__،__kernel__ ، __host_64__ و __remote__, است. سپس تروجان بررسي مي كند كه آيا با كرنل سيستم قرباني منطبق است يا نه و در اين صورت روت كيت را نصب مي نمايد.روت كيت سپس همه فايل هايي كه نشان دهنده آلودگي است، پنهان مي سازد، بنابراين كاربر نشانه هاي آلودگي را مشاهده نمي كند. پروسه اصلي رمزگشايي و انتخاب سرور دستور و فرمان متناسب با معماري سيستم است.

اين روت كيت اولين بار در حمله اي در اكتبر ۲۰۱۴ بكار رفته است و در دسامبر ۲۰۱۴ جزييات آن تا حدودي توسط گروه MalwareMustDieشناسايي شده است.

اين تروجان و متغيرهاي آن مي تواند وب سرورها و ميزبان هاي ۳۲ و ۶۴ بيتي همچنين معماري ARM ها در روترها، تجهيزات loT سيستم هاي ذخيره سازي و سرورهاي ARM ۳۲ بيتي را تحت تاثير قرار دهد.اگرچه تاكنون تعداد زيادي سيستم آلوده به اين تروجان كشف نگرديده است، اما مواردي هم كه مشاهده شده است از الگوي خاصي پيروي نمي كند. اين مورد تروجان هم سازمان ها و هم افراد عادي را مي تواند آلوده نمايد ولي سازمان ها معمولاًداراي امنيت بالاتري هستند.

پيشنهاد مي گردد جهت جلوگيري از آلودگي به اين تروجان از انتي ويروس هاي معتبر و به روز رساني استفاده نماييد ، همچنين در صورت استفاده از ssh از اسم رمز هاي قوي استفاده نماييد.

منبع:

مراکز همکار