FontOnLake؛ تهدیدی علیه سیستم‌های تحت Linux

اخیراً شرکت ای‌ست (.ESET, LLC) در گزارشی به تحلیل خانواده‌ای بدافزاری پرداخته که از ماژول‌های سفارشی و برنامه‌ریزی شده برای آلوده‌سازی سیستم‌های تحت Linux استفاده می‌کنند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده جزییات این بدافزار بررسی شده است.

شرکت ای‌ست بدافزار فوق را FontOnLake نامگذاری کرده است. ماژول‌های موجود در این بدافزار که دائما در حال تکامل هستند، دسترسی از راه دور را برای مهاجمان فراهم می‌کنند، اطلاعات اصالت‌سنجی قربانیان را جمع‌آوری نموده و به عنوان یک سرور پروکسی عمل می‌کنند.

این خانواده بدافزاری برای سرقت اطلاعات اصالت‌سنجی (همچون رمزهای عبور SSH) یا انجام سایر فعالیت‌های مخرب از برنامه‌های کاربردی به ظاهر معتبر برای دانلود درب‌پشتی (Backdoor) و روتکیت (Rootkit) استفاده می‌کند. بدافزار مذکور از فرامینی همچون cat ،kill و sshd که معمولاً در سیستم‌های تحت Linux استفاده می‌شوند به عنوان مکانیسمی جهت ماندگاری در سیستم استفاده می‌کند.

محققان ای‌ست در سال گذشته چندین نمونه از این بدافزار را که در سایت VirusTotal آپلود شده بود، شناسایی کردند. اولین فایل از این نمونه بدافزاری در ماه می 2020 در VirusTotal آپلود شده است.

FontOnLake که به صورت پیچیده و حرفه‌ای طراحی شده، علاوه بر بکارگیری درگاه‌های غیر استاندارد، برای هر یک از حملات هدفمند خود از سرورهای کنترل و فرمان‌دهی (C2) منحصر به فردی استفاده می‌کند تا شناسایی نشود.

با اینکه محققان ای‌ست اعلام نموده‌اند که FontOnLake در قالب تروجان (Trojan) در برنامه‌های کاربردی به ظاهر معتبر منتشر می‌شود، اما نمی‌دانند چگونه این مهاجمان قربانیان را برای دانلود برنامه‌های فوق ترغیب می‌کنند. از جمله فرامین مبتنی بر Linux که مهاجمان با تغییر آن‌ها FontOnLake را منتشر می‌کنند، می‌توان به موارد زیر اشاره کرد:

• cat: که برای چاپ محتوای یک فایل استفاده می‌شود.
• kill: فهرست تمام پروسه‌های در حال اجرا را نمایش می‌دهد.
• sftp: ابزار امن FTP است.
• sshd: پروسه سرور OpenSSH

این‌ها فرامین استاندارد Linux هستند که از ابتدای راه‌اندازی و اجرای سیستم می‌توان از آن‌ها استفاده کرد.

محققان بر این باورند که برنامه‌های کاربردی حاوی تروجان به احتمال زیاد کد منبع (Source Code) را تغییر داده‌اند که این امر نشان‌گر این است که مهاجم آنها را کامپایل نموده و جایگزین کد اصلی کرده است.

مهاجمان از این برنامه‌های کاربردی به ظاهر معتبر، علاوه بر انتقال بدافزار برای انتشار سایر کدهای بدافزاری، سرقت اطلاعات یا اجرای اقدامات مخرب دیگر استفاده می‌کنند.

محققان سه درب‌پشتی را نیز که به زبان ++C نوشته شده و توسط FontOnLake بکارگرفته شده، کشف کردند که برای مهاجمان دسترسی از راه دور به سیستم‌ها را فراهم می‌کنند. هر سه این درب‌های پشتی، اطلاعات اصالت‌سنجی سرقت شده sshd و تاریخچه دستورات bash را جمع‌آوری نموده و به سرور کنترل و فرمان‌دهی منتقل می‌کنند. آنها همچنین فعال بودن بدافزار را در دوره‌های زمانی نامشخص از طریق برقراری اتصال با سرورهای مذکور بررسی می‌کنند.

ای‌ست در گزارش فنی خود خاطرنشان می‌کند که ماژول FontOnLake برای مخفی نمودن خود همیشه از یک روتکیت استفاده می‌کند که این روتکیت مسئول به‌روز‌رسانی و انتقال درب‌های پشتی نیز می‌باشد.

همه نمونه‌های روتکیت که محققان ای‌ست در تحقیق خود شناسایی کردند دو نسخه‌ زیر را در Kernel سیستم‌عامل Linux مورد هدف قرار می‌دهند.

• kernel version 3.10.0-229.el7.X86_64
• kernel version 2.6.32-696.el6.x86_64

دو نسخه کشف شده بر اساس یک پروژه روتکیت منبع باز هشت ساله به نام Suterusu است که جزییات آن در نشانی زیر قابل دریافت است.

https://github.com/mncoppola/suterusu

با بکارگیری روتکیت‌های مذکور قابلیت‌های زیر برای تبهکاران سایبری فراهم می‌شود:

• مخفی کردن پروسه
• مخفی کردن فایل
• مخفی کردن خود روتکیت
• مخفی کردن ارتباطات شبکه
• منتقل نمودن اطلاعات اصالت‌سنجی سرقت شده به درب‌پشتی مربوطه
• انجام Port Forwarding
• دریافت بسته‌هایی که به طور خاص روتکیت را به دانلود و اجرای درب‌پشتی دیگری هدایت می‌کنند.

ارتباط بین برنامه‌کاربردی حاوی تروجان و روتکیت از طریق فایل مجازی است که روتکیت ایجاد می‌کند. مهاجم می‌تواند داده‌های این فایل را بخواند یا در آن بنویسد و آن‌ها را از طریق درب‌پشتی منتقل کند.

محققان ای‌ست پس از بررسی نمونه‌های موجود در سایت VirusTotal گزارش نمودند که نویسندگان FontOnLake افرادی مجرب و ماهر هستند زیرا سرورهای کنترل و فرمان‌دهی را پس از اطمینان از دانلود غیرفعال می‌کنند.

آن‌ها در ادامه اشاره کردند که FontOnLake ممکن است همان بدافزاری باشد که قبلاً توسط محققان شرکت تنسنت (.Tencent, Ltd) تحلیل شده است و آنها را مرتبط با تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به اختصار APT) می‌دانستند. گزارش شرکت تنسنت در نشانی زیر قابل دریافت است.

https://security.tencent.com/index.php/blog/msg/180

در اواخر ماه آگوست، شرکت امنیت سایبری آواست (Avast Software s.r.o) نیز در توییتی اعلام کرد که بدافزاری جدید مبتنی بر Linux را که از Suterusu استفاده می‌کند، کشف کرده است. شرکت مذکور بدافزار فوق را HCRootkit نامید و همانند محققان ای‌ست اعلام نموده که این بدافزار نیز از طریق یک درب‌پشتی که به زبان ++C نوشته و در قالب برنامه‌های کاربردی به ظاهر معتبر منتقل و منتشر می‌شود.

محققان لیس‌ورک (.Lacework, Inc) نیز  HCRootkit را تحلیل کردند و جزئیات آن را در نشانی زیر به اشتراک گذاشتند. نتایج گزارش منتشر شده نشان می‌دهد که بدافزار فوق مشابه FontOnLake است.

https://www.lacework.com/blog/hcrootkit-sutersu-linux-rootkit-analysis/

مشروح گزارش ای‌ست در نشانی زیر قابل مطالعه است:

https://www.welivesecurity.com/2021/10/07/fontonlake-previously-unknown-malware-family-targeting-linux/