RedisWannaMine، حمله‌ای فوق پیچیده برای اجرای استخراج‌کننده

در ماه‌های اخیر تعداد حملات سایبری با هدف اجرای ابزارهای موسوم به استخراج کننده (Cryptocurrency Miner) بر روی دستگاه‌های تسخیر شده بشدت افزایش یافته است.

در پول‌های دیجیتال، فرآیندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظیفه آن تایید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرآیند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه واحد دیجیتال نیز در قبال تلاشی که برای این پردازش‌ها انجام می‌شود به استخراج‌کنندگان پاداشی اختصاص می‌دهد.

با توجه به نیاز به توان پردازش بالا، انجام استخراج می‌تواند یک سرمایه‌گذاری هزینه‌بر برای استخراج‌کننده باشد. اما برنامه‌های ناخواسته موسوم به Cryptocurrency Miner با بهره‌گیری از توان پردازشی دستگاه‌های آلوده به خود از آنها به‌منظور سودرسانی به نویسنده یا نویسندگان برنامه سوءاستفاده می‌کنند.

بر اساس گزارش یکی از شرکت‌های امنیتی، در 90 درصد حملات موسوم به اجرای از راه دور، ابزار استخراج کننده بر روی دستگاه قربانی اجرا می‌شود. اما روش‌های استفاده شده در اکثر این حملات ساده و فاقد هر گونه پیچیدگی خاصی بوده‌اند.

به گزارش شرکت مهندسی شبکه گستر اکنون شرکت Imperva از اجرای حمله‌ای خبر داده که در آن از تکنیک‌هایی به مراتب پیشرفته‌تر، نه فقط برای رخنه به اهداف خود که برای فرار از سد ابزارهای شناسایی استفاده شده است.

حمله جدید که به RedisWannaMine موسوم شده است از دو آسیب‌پذیری شناخته شده بهره‌جویی می‌کند.

در نخستین مرحله، پس از هدف قرار گرفتن یک سرور قابل دسترس بر روی اینترنت، تلاش می‌شود که با سواستفاده از ضعف امنیتی CVE-2017-9805 در Apache Struts امکان اجرای اسکریپتی مخرب به صورت از راه دور کد و بدون نیاز به هر گونه اصالت‌سنجی برای مهاجمان فراهم شود.

در صورت موفقیت‌آمیز بودن این مرحله از طریق ابزارهای استاندارد مدیریت بسته‌های لینوکس برنامه‌های مختلفی از جمله ابزاری برای پویش TCP با عنوان masscan بر روی سرور تسخیر شده دریافت می‌شود.

در ادامه، پروسه‌ای با عنوان redisscan اجرا می‌شود که هدف آن بهینه نمودن masscan برای شناسایی و آلوده کردن سرورهای Redis آسیب‌پذیر است.

پروسه‌ای که در ادامه اجرا می‌شود ebscan نام دارد که از masscan برای هدفی دیگر که همانا کشف و آلوده نمودن سرورهای آسیب‌پذیر به بهره‌جوی EternalBlue است استفاده می‌کند.

جزئیات بهره‌جوی EternalBlue که در جریان این حملات مورد استفاده مهاجمان پشت پرده مونرو قرار گرفته در اوایل امسال، توسط گروه Shadow Brokers بر روی اینترنت به اشتراک گذاشته شد. Shadow Brokers مدعی است که بهره‌جوی مذکور را از یک گروه نفوذگر حرفه‌ای با نام Equation که وابستگی اثبات شده‌ای به سازمان امنیت ملی آمریکا (NSA) دارد سرقت کرده است. یک ماه پیش از درز این اطلاعات، شرکت مایکروسافت اقدام به عرضه اصلاحیه‌ای با شناسه MS17-010 به‌منظور ترمیم آسیب‌پذیری مذکور نموده بود و بنابراین در صورت نصب بودن اصلاحیه MS17-010 دستگاه، دیگر، در برابر این بهره‌جو آسیب‌پذیر نخواهد بود.

باج‌افزار WannaCry نخستین بدافزاری بود که با بکارگیری بهره‌جوی EternalBlue توانست در کمتر از 24 ساعت صدها هزار کامپیوتر آسیب‌پذیر را در کشورهای مختلف به خود آلوده کند.

در صورتی که بهره‌جو موفق به رخنه به سرور شود فایلی با عنوان admissioninit.exe دریافت و بر روی سرور اجرا می‌شود. وظیفه این فایل، استخراج واحد پول دیجیتال با بهره‌گیری از توان پردازشی سرور است.

علاوه بر نصب ضدویروس به‌روز و قدرتمند و استفاده از دیواره آتش در درگاه شبکه، نصب تمامی اصلاحیه‌های امنیتی می‌توانند سازمان را از گزند اینگونه حملات ایمن نگاه دارند.

مشروح گزارش Imperva در اینجا قابل دریافت و مطالعه است.