هشدار: آپدیت فوری برای کاربران لینوکس/هک سیستم عامل لینوکس توسط SambaCry
شاید تنها راه برای مدیران سیستم و کاربران عادی لینوکس به روزرسانی اضطراری نرمافزار سامبای خود به منظور جلوگیری از مشکلاتی باشد که ممکن است در آینده نه چندان دور گریبانگیر هر کدام از آنها شود.
ایران به تازگی محققان متوجه شده اند که هم نژاد آسیب پذیری EternalBlue ظاهر و منتشر شده است. این آسیب پذیری که با شناسه (CVE-2017-۷۴۹۴) معرفی شده است، شباهت بسیار زیادی با پروتکل SMB ویندوز دارد ( این پروتکل برای توزیع باج افزار واناکرای اکسپلویت شده بود). آنها از تحقیقات متداول دریافتند که یک آسیبپذیری هفتساله در نرمافزار شبکه Samba شناسایی شد که به نفوذگران این امکان را میداد که از راه دور کنترل سامانههای لینوکس و یونیکس را در دست بگیرند.
samba یک پروژه اّپن سورس است که به طور گستردهای بر روی کامپیوترهای لینوکس و یونیکس استفاده می شودتا بتواند با خدمات فایل ویندوز و سرویسهای پرینت کار کند.
در ۳۰ ماه می، کارشناسان لابراتوار کسپرسکی با راه اندازی هانیپات (تله عسل) موفق شدند که میزان سطح استفاده مجرمان در این آسیبپذیری را تخمین بزنند. در این روز محققان اولین حمله را که با استفاده از این آسیبپذیری اقدام شده بود را شناسایی کردند. اما پیلود این اکسپلویت هیچ وجه مشترکی با تروجان کریپت که EternalBlue و وانالکرای بود نداشت. با کمال تعجب آنها متوجه شدند که SambaCry یک ابزار کریپتوکارنسی است.
اکسپلویت آسیبپذیری
شیوه آن به گونه ای است که یک کاربر غیر مجاز مجوز ارسال به درایو شبکه را دارد. مجرمان در مرحله ی اول ابتدا باید یک فایل متنی را ارسال کنند که این فایل از ۸ کاراکتر تصادفی تشکیل شده است. اگر که تلاش آنها موفقیت آمیز باشد، آنها فایل را پاک خواهند کرد.
نوشتن و پاک کردن فایل متنی
پس از رد کردن این مرحله، زمان پیلود اکسپلویت می رسد ( این مجموعه به عنوان پلاگین Samba است). پس از اینکه اکسپلویت آسیب پذیری با موفقیت انجام شد، سیستم با امتیازات ویژه کاربر اجرا می شود. البته در ابتدا مجرمان باید مسیر کوتاه شده ی فایل را با پیلود خود حدس بزنند و از دایرکتوری روت درایو شروع کنند. به کمک هانیپات، لابراتوار کسپرسکی توانست تمام این تلاشها را مشاهده کند.
پس از اینکه مسیر فایل پیدا شد، می تواند لود شود و در زمینه ی فرآیند سرور Samba، با استفاده از آسیبپذیریهای SambaCry اجرا شود. پس از آن فایل به منظور از بین بردن آثار حذف خواهد شد. از این لحظه SambaCry وجود دارد و تنها در حافظه مجازی اجرا میشود.
در این مورد دو عدد از فایل های ما آپلود شدند و اجرا شدند. آن ها به صورت زیر بودند:
INAebsGB.so (349d84b3b176bbc9834232351ef3bc2a – Backdoor.Linux.Agent.an(
cblRWuoCc.so (2009af3fed2a4704c224694dfc4b31dc – Trojan-Downloader.Linux.EternalMiner.a)
INAebsGB.so
این فایلها در سادهترین قسمت shell ذخیره میشود. آنها به پورت خاص آدرس آی.پی توسط صاحبش متصل می شوند و از راه دور به shell متصل می شوند. اگر بخواهیم در این قسمت نتیجه گیری داشته باشیم می توانیم بگوییم مجرمان قابلیت اجرای دستور shell را از راه دور دارند. آنها به معنای واقعی کلمه اختیار سیستم شما را از دانلود و اجرای هر برنامه از اینترنت گرفته تا حذف اطلاعات از روی کامپیوتر به دست میگیرند و مطابق میل خود رفتار میکنند.
فهرستی از INAebsGB.so
قابل توجه است که یک پیلود مشابه می تواند در اجرای اکسپلویت سامباکرای در متا اکسپلویت یافت شود.
cblRWuoCc.so
قابلیت اصلی این فایل، دانلود و اجرای یکی از مشهورترین خدمات کریپتوکارنسی اّپن سورس (cpuminer) است. در تصویر زیر میتوانید این پروسه را مشاهده کنید:
قابلیت های مهم cblRWuoCc.so
فایل minerd64_s(8d8bdb58c5e57c565542040ed1988af9 — RiskTool.Linux.BitCoinMiner.a) از طریق مختلفی دانلود میشود و در بخش /tmp/mسیستم قربانی ذخیره میشود.
Cpuminer چیست و چه چیزهایی را استخراج میکند؟
اول اینکه یک نکته جالب در مورد این نرم افزار استخراجی وجود دارد، آن هم این است که نسخه cpuminer استفاده شده کاملا آپگرید شده است بنابراین میتوان آن را بدون هیچ پارامتری راه اندازی کرد و به طور مستقیم به دام کیف پول مجرمان افتاد. ما در مورد اینکه کیف پول آنها شامل چه چیزی است و چگونه از آن استفاده میکنند کنجکاوی بسیاری کردیم و تصمیم گرفتیم که آن را بررسی کنیم.
آنها در یک جایی از کار یک آدرس xmr.crypto-pool.fr:3333 را به جای گذاشته بودند. این آدرس برای استخراج کریپتوکارنسی منبع باز ایجاد شده است. با استفاده از تمام این داده ها ما موفق شدیم کیف پول مجرمان را بررسی کنیم و به معاملات آنها وارد شویم. تصویر زیر نمایانگر این معاملات است:
شرح معاملات مجرمان
این استخراج از دامنهای که در تاریخ ۲۹ آوریل ۲۰۱۷ ثبت شده بود دانلود شده است. با توجه به ورود معاملات به سیستم، مجرمان اولین سکه های کریپتو خود را در روز بعد یعنی ۳۰ آوریل برداشتند. در روز اول آن ها XMR (حدود ۵۵$ با توجه به نرخ کارنسی در تاریخ ۰۸.۰۶.۲۰۱۷) به دست آوردند. اما در طول هفته گذشته آنها حدود ۵ XMR در هر روز به دست آوردند. این بدان معنی است که باتنتهای دستگاههای در حال کار برای مجرمان سود در حال رشدی را به همراه داشته است.
با توجه به اینکه جهان آسیبپذیری EternalRed را تنها در پایان ماه مه کشف کرد و مجرمان این حمله را پذیرفتهاند اما نرخ رشد در تعداد ماشینهای آلوده به طور قابل توجهی افزایش یافته است.
حدود یک ماه پس از استخراج، مجرمان ۹۸ XMR را به دست آوردند که در واحد پول کارنسی این مبلغ ۵۵۰۰$ می باشد.
نتیجه گیری
همانطور که در بالا به آن اشاره کردیم مجرمان میتوانند به طور کامل به سیستم شما از راه دوردسترسی داشته باشند، در حال حاضر آن ها تصمیم گرفتهاند که یک پویش جدید بدافزاری راهاندازی کنند که پس از آلوده ساختن سامانههای قربانیان، نرمافزارهای استخراج پول مجازی در آنها نصب میکند. اما ممکن است روزی دیگر آنها به راههای دیگر برای آسیب زدن به سیستم و اطلاعات و پولهای شما فکر کنند.
متاسفانه در حال حاضر هیچ اطلاعاتی دیگری در مورد این حمله در اختیار ما قرار نگرفته است. اما شاید تنها راه برای مدیران سیستم و کاربران عادی لینوکس به روزرسانی اضطراری نرمافزار سامبای خود به منظور جلوگیری از مشکلاتی باشد که ممکن است در آینده نه چندان دور گریبانگیر هر کدام از آنها شود.
در همین خصوص به کاربران لینوکس توصیه اکید میشود نسخه ۴.۶.۴/۴.۵.۱۰/۴.۴.۱۴ Samba را در اولین فرصت پچ کنند.