هشدار: آپدیت فوری برای کاربران لینوکس/هک سیستم عامل لینوکس توسط SambaCry

شاید تنها راه برای مدیران سیستم و کاربران عادی لینوکس به روزرسانی اضطراری نرم‌افزار سامبای خود به منظور جلوگیری از مشکلاتی باشد که ممکن است در آینده نه چندان دور گریبانگیر هر کدام از آنها شود.

ایران به تازگی محققان متوجه شده اند که هم نژاد آسیب پذیری EternalBlue ظاهر و منتشر شده است. این آسیب پذیری که با شناسه (CVE-2017-۷۴۹۴) معرفی شده است، شباهت بسیار زیادی با پروتکل SMB ویندوز دارد ( این پروتکل برای توزیع باج افزار واناکرای اکسپلویت شده بود). آنها از تحقیقات متداول دریافتند که یک آسیب‌پذیری هفت‌ساله در نرم‌افزار شبکه‌ Samba شناسایی شد که به نفوذگران این امکان را می‌داد که از راه دور کنترل سامانه‌های لینوکس و یونیکس را در دست بگیرند.

samba یک پروژه اّپن سورس است که به طور گسترده‌ای بر روی کامپیوترهای لینوکس و یونیکس استفاده می شودتا بتواند با خدمات فایل ویندوز و سرویس‌های پرینت کار کند.

در ۳۰ ماه می، کارشناسان لابراتوار کسپرسکی با راه اندازی هانی‌پات (تله عسل) موفق شدند که میزان سطح استفاده مجرمان در این آسیب‌پذیری را تخمین بزنند. در این روز محققان اولین حمله را که با استفاده از این آسیب‌پذیری اقدام شده بود را شناسایی کردند. اما پیلود این اکسپلویت هیچ وجه مشترکی با تروجان کریپت که EternalBlue و وانالکرای بود نداشت. با کمال تعجب آنها متوجه شدند که SambaCry یک ابزار کریپتوکارنسی است.

اکسپلویت آسیب‌پذیری
شیوه آن به گونه ای است که یک کاربر غیر مجاز مجوز ارسال به درایو شبکه را دارد. مجرمان در مرحله ی اول ابتدا باید یک فایل متنی را ارسال کنند که این فایل از ۸ کاراکتر تصادفی تشکیل شده است. اگر که تلاش آنها موفقیت آمیز باشد، آنها فایل را پاک خواهند کرد.

نوشتن و پاک کردن فایل متنی
پس از رد کردن این مرحله، زمان پیلود اکسپلویت می رسد ( این مجموعه به عنوان پلاگین Samba است). پس از اینکه اکسپلویت آسیب پذیری با موفقیت انجام شد، سیستم با امتیازات ویژه کاربر اجرا می شود. البته در ابتدا مجرمان باید مسیر کوتاه شده ی فایل را با پیلود خود حدس بزنند و از دایرکتوری روت درایو شروع کنند. به کمک هانی‌پات، لابراتوار کسپرسکی توانست تمام این تلاش‌ها را مشاهده کند.

پس از اینکه مسیر فایل پیدا شد، می تواند لود شود و در زمینه ی فرآیند سرور Samba، با استفاده از آسیب‌پذیری‌های SambaCry اجرا شود. پس از آن فایل به منظور از بین بردن آثار حذف خواهد شد. از این لحظه SambaCry وجود دارد و تنها در حافظه مجازی اجرا می‌شود.

در این مورد دو عدد از فایل های ما آپلود شدند و اجرا شدند. آن ها به صورت زیر بودند:
INAebsGB.so (349d84b3b176bbc9834232351ef3bc2a – Backdoor.Linux.Agent.an(
cblRWuoCc.so (2009af3fed2a4704c224694dfc4b31dc – Trojan-Downloader.Linux.EternalMiner.a)

INAebsGB.so
این فایل‌ها در ساده‌ترین قسمت shell ذخیره می‌شود. آنها به پورت خاص آدرس آی.پی توسط صاحبش متصل می شوند و از راه دور به shell متصل می شوند. اگر بخواهیم در این قسمت نتیجه گیری داشته باشیم می توانیم بگوییم مجرمان قابلیت اجرای دستور shell را از راه دور دارند. آنها به معنای واقعی کلمه اختیار سیستم شما را از دانلود و اجرای هر برنامه از اینترنت گرفته تا حذف اطلاعات از روی کامپیوتر به دست می‌گیرند و مطابق میل خود رفتار می‌کنند.

فهرستی از INAebsGB.so
قابل توجه است که یک پیلود مشابه می تواند در اجرای اکسپلویت سامباکرای در متا اکسپلویت یافت شود.

cblRWuoCc.so
قابلیت اصلی این فایل، دانلود و اجرای یکی از مشهورترین خدمات کریپتوکارنسی اّپن سورس (cpuminer) است. در تصویر زیر می‌توانید این پروسه را مشاهده کنید:

قابلیت های مهم cblRWuoCc.so
فایل minerd64_s(8d8bdb58c5e57c565542040ed1988af9 — RiskTool.Linux.BitCoinMiner.a) از طریق مختلفی دانلود می‌شود و در بخش /tmp/mسیستم قربانی ذخیره می‌شود.

Cpuminer چیست و چه چیزهایی را استخراج می‌کند؟
اول اینکه یک نکته جالب در مورد این نرم افزار استخراجی وجود دارد، آن هم این است که نسخه cpuminer استفاده شده کاملا آپگرید شده است بنابراین می‌توان آن را بدون هیچ پارامتری راه اندازی کرد و به طور مستقیم به دام کیف پول مجرمان افتاد. ما در مورد اینکه کیف پول آنها شامل چه چیزی است و چگونه از آن استفاده می‌کنند کنجکاوی بسیاری کردیم و تصمیم گرفتیم که آن را بررسی کنیم.
آنها در یک جایی از کار یک آدرس xmr.crypto-pool.fr:3333 را به جای گذاشته بودند. این آدرس برای استخراج کریپتوکارنسی منبع باز ایجاد شده است. با استفاده از تمام این داده ها ما موفق شدیم کیف پول مجرمان را بررسی کنیم و به معاملات آنها وارد شویم. تصویر زیر نمایانگر این معاملات است:

شرح معاملات مجرمان
این استخراج از دامنه‌ای که در تاریخ ۲۹ آوریل ۲۰۱۷ ثبت شده بود دانلود شده است. با توجه به ورود معاملات به سیستم، مجرمان اولین سکه های کریپتو خود را در روز بعد یعنی ۳۰ آوریل برداشتند. در روز اول آن ها XMR (حدود ۵۵$ با توجه به نرخ کارنسی در تاریخ ۰۸.۰۶.۲۰۱۷) به دست آوردند. اما در طول هفته گذشته آنها حدود ۵ XMR در هر روز به دست آوردند. این بدان معنی است که بات‌نت‌های دستگاه‌های در حال کار برای مجرمان سود در حال رشدی را به همراه داشته است.

با توجه به اینکه جهان آسیب‌پذیری EternalRed را تنها در پایان ماه مه کشف کرد و مجرمان این حمله را پذیرفته‌اند اما نرخ رشد در تعداد ماشین‌های آلوده به طور قابل توجهی افزایش یافته است.

حدود یک ماه پس از استخراج، مجرمان ۹۸ XMR را به دست آوردند که در واحد پول کارنسی این مبلغ ۵۵۰۰$ می باشد.

نتیجه گیری
همانطور که در بالا به آن اشاره کردیم مجرمان می‌توانند به طور کامل به سیستم شما از راه دوردسترسی داشته باشند، در حال حاضر آن ها تصمیم گرفته‌اند که یک پویش جدید بدافزاری راه‌اندازی کنند که پس از آلوده ساختن سامانه‌‌های قربانیان، نرم‌افزار‌های استخراج پول مجازی در آنها نصب می‌کند. اما ممکن است روزی دیگر آنها به راه‌های دیگر برای آسیب زدن به سیستم و اطلاعات و پول‌های شما فکر کنند.

متاسفانه در حال حاضر هیچ اطلاعاتی دیگری در مورد این حمله در اختیار ما قرار نگرفته است. اما شاید تنها راه برای مدیران سیستم و کاربران عادی لینوکس به روزرسانی اضطراری نرم‌افزار سامبای خود به منظور جلوگیری از مشکلاتی باشد که ممکن است در آینده نه چندان دور گریبانگیر هر کدام از آنها شود.
در همین خصوص به کاربران لینوکس توصیه اکید می‌شود نسخه ۴.۶.۴/۴.۵.۱۰/۴.۴.۱۴ Samba را در اولین فرصت پچ کنند.