تکنیک جدید مهاجمان برای اجرای بدافزار در Linux

شرکت امنیت سایبری ترلیکس (Trellix) در گزارشی به یکی از مؤثرترین و در عین حال ساده‌ترین روش‌های آلودگی سیستم‌های تحت Linux پرداخته است. به گفته کارشناسان ترلیکس، هکرها موفق شده‌اند با استفاده از ایمیل‌های فیشینگ و تنها با دستکاری نام فایل‌ها، بدافزار قدرتمندی به نام VShell را روی سیستم قربانی اجرا کنند؛ روشی که از دید آنتی‌ویروس‌ها پنهان می‌ماند.

ترلیکس در گزارش خود توضیح می‌دهد که این زنجیره حمله با ارسال یک ایمیل هرزنامه آغاز می‌شود. ایمیل ظاهری ساده دارد، قربانی را به شرکت در نظرسنجی محصولات آرایشی دعوت می‌کند و حتی وعده پاداش نقدی می‌دهد. اما آنچه اهمیت دارد، پیوست ایمیل است؛ یک فایل فشرده RAR به نام yy.rar.

داخل این فایل، نامی عجیب و مهندسی‌شده برای یکی از فایل‌ها تعیین شده که کدهای مخرب را در خود جای داده است. به گفته یکی از پژوهشگران ترلیکس، “کد مخرب در محتوای فایل پنهان نشده، بلکه مستقیماً در نام فایل رمزگذاری شده است. این یعنی یک عملیات ساده مثل فهرست‌گیری فایل‌ها می‌تواند به اجرای خودکار بدافزار منجر شود.”

بررسی‌های ترلیکس نشان می‌دهد که نام فایل، شامل کدهای Bash است که با تکنیک تزریق دستورات شل (Shell Command Injection) و رمزگذاری Base64 ساخته شده‌اند. این روش زمانی خطرناک می‌شود که اسکریپت یا فرمان Linux بخواهد نام فایل را پردازش کند؛ در این لحظه، کدهای مخرب فعال می‌شوند.

بر اساس تحلیل ترلیکس، این فایل‌ها به صورت دستی قابل‌ساخت نیستند و احتمالاً با ابزارها یا زبان‌های برنامه‌نویسی دیگر تولید شده‌اند تا بتوانند از اعتبارسنجی‌های امنیتی عبور کنند.

 این زنجیره حمله یک دریافت‌کننده (Downloader) رمزگذاری‌شده را فعال می‌کند. دریافت‌کننده، فایل باینری ELF متناسب با معماری سیستم قربانی را از اینترنت دریافت می‌کند. در نهایت، فایل باینری به سرور فرماندهی (C2) متصل شده و بدافزار VShell را دریافت و اجرا می‌کند.

VShell، یک ابزار دسترسی از راه دور (RAT) است که با زبان Go توسعه یافته و به‌طور گسترده توسط گروه‌های هکری چینی استفاده می‌شود. از جمله قابلیت‌های این ابزار مخرب، می‌توان به موارد زیر اشاره کرد:

  • شل معکوس
  • مدیریت فایل‌ها و پردازش‌ها
  • تغییر درگاه (Port Forwarding)
  • ارتباط رمزگذاری‌شده با سرور مهاجم

 

ترلیکس هشدار داده که شناسایی VShell به دلیل اجرای کامل در حافظه سیستم (In-memory) برای آنتی‌ویروس‌ها بسیار دشوار است. ضمن آن که می‌تواند روی طیف وسیعی از ماشین‌های تحت Linux اجرا شود.

این کشف، به گفته ترلیکس، نشان‌دهنده تحول خطرناک در حملات بدافزاری به سیستم‌های تحت Linux است. به بیان ساده، حتی یک نام فایل می‌تواند به سلاحی برای اجرای کدهای مخرب تبدیل شود. این موضوع، اهمیت به‌روزرسانی مداوم سیستم‌ها و دقت در باز کردن فایل‌های پیوست ایمیل‌ها را دوچندان می‌کند.

در کنار این گزارش، شرکت پیکوس سکیوریتی (Picus Security) هم ابزار دیگری به نام RingReaper را معرفی کرده که از قابلیت پیشرفته io\_uring در Linux برای پنهان‌کاری استفاده می‌کند. هرچند هنوز مشخص نیست چه گروهی پشت این بدافزار است، اما ترلیکس هشدار داده که ظهور ابزارهایی مانند VShell و RingReaper نشان می‌دهد مهاجمان در حال توسعه روش‌های جدید برای دور زدن سازوکارهای امنیتی این سیستم عامل هستند.

گزارش شرکت ترلیکس یک واقعیت مهم را برجسته می‌کند؛ امنیت Linux هم دیگر آن دیوار نفوذناپذیر سابق نیست. حتی یک نام فایل می‌تواند به سکوی پرتاب حملات پیشرفته تبدیل شود. بدافزاری مثل VShell که توسط ترلیکس شناسایی شد، نشان می‌دهد هکرها همواره یک قدم جلوتر حرکت می‌کنند و سازمان‌ها باید دفاع خود را متناسب با این تهدیدات نوین ارتقا دهند.

مشروح گزارش ترلیکس از طریق لینک زیر قابل‌مطالعه است:

https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *