سیستمهای لینوکس، هدف بدافزاری مبتنی بر Python
یافتههای شرکت امنیتی F5 نشان میدهد که یک گروه نفوذگر حرفهای با ایجاد شبکهای مخرب (Botnet)، متشکل از دستگاههای تحت سیستم عامل لینوکس اقدام به استخراج پول دیجیتال Monero با استفاده از منابع این دستگاهها میکند.
به نظر میرسد که این گروه با اجرای حملات سعی و خطا (Brute Force) دستگاههای با درگاه SSH باز و گذرواژه ضعیف یا پیشفرض را شناسایی کرده و به آنها رخنه میکند.
این گروه در ادامه اسکریپت مخربی را که به زبان Python نوشته شده بر روی دستگاه آلوده به اجرا در آورده و مشخصات دستگاه را به سرور فرماندهی مهاجمان ارسال میکند. سرور فرماندهی نیز در پاسخ، دومین اسکریپت Python را که وظیفه آن نصب یک برنامه استخراج کننده پول دیجیتال Monero بر روی دستگاه آلوده شده است ارسال میکند.
به گزارش شرکت مهندسی شبکه گستر، در پولهای دیجیتال، فرآیندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلیترین وظیفه آن تایید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرآیند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه واحد دیجیتال نیز در قبال تلاشی که برای این پردازشها انجام میشود به استخراجکنندگان پاداشی اختصاص میدهد.
با توجه به نیاز به توان پردازش بالا، انجام استخراج میتواند یک سرمایهگذاری هزینهبر برای استخراجکننده باشد. اما برنامه های ناخواسته موسوم به Cryptocurrency Miner با بهرهگیری از توان پردازشی دستگاههای آلوده به خود از آنها بهمنظور سودرسانی به نویسنده یا نویسندگان برنامه سوءاستفاده میکنند.
شناسایی اسکریپتهای Python به مراتب دشوارتر از فایلهای دودویی مخرب بدافزارهاست. بکارگیری روشهای مبهمسازی کد و استفاده از ترفندهایی برای فرار از سد ابزارهای ضدبدافزار نصب شده بر روی سیستم، در چنین اسکریپتهایی آسانتر است. بخصوص آنکه اجراکننده این اسکریپتها، نه فایلهای مخرب که پروسههای مجازی همچون PERL/Python/Bash/Go/PowerShell هستند.
همچنین این گروه علاوه بر اجرای حملات سعی و خطا، با بهرهجویی از یک ضعف امنیتی با شناسه CVE-2017-12149 سرورهای وبی را نیز که نسخه آسیبپذیری از JBoss میزبانی میکنند به تسخیر خود در میآورد.
مشروح گزارش شرکت F5 در اینجا قابل دریافت و مطالعه است.
همچنین مطالعه مقاله زیر به تمامی کاربران دستگاههای تحت سیستم عامل لینوکس توصیه میشود.