ESC را فشار دهید تا بسته شود

بدافزار مخفی هزاران سیستم‌ عامل لینوکس را آلوده کرده است

بدافزار

هزاران ماشین که با سیستم‌ عامل لینوکس کار می‌کنند، به یک بدافزار خطرناک آلوده شده‌اند که به خاطر مخفی‌کاری و قابلیت‌های گسترده‌اش در بهره‌برداری از سوءپیکربندی‌ها و انجام فعالیت‌های مخرب متنوع شناخته شده است. محققان روز پنج‌شنبه اعلام کردند که این بدافزار از سال ۲۰۲۱ در گردش بوده و به دلیل قابلیت نصب از طریق بیش از ۲۰,۰۰۰ سوءپیکربندی متداول، بسیاری از ماشین‌های متصل به اینترنت را به اهداف بالقوه تبدیل کرده است.

 

آسیب‌پذیری‌ها و سوءاستفاده‌ها

این بدافزار که توسط محققان Aqua Security به نام Perfctl نام‌گذاری شده است، علاوه بر سوءاستفاده از سوءپیکربندی‌های متداول، می‌تواند از آسیب‌پذیری که در سیستم پیام‌رسانی و استریم Apache RocketMQ موجود است، استفاده کند. این آسیب‌پذیری دارای رتبه‌بندی شدت ۱۰ از ۱۰ است و سال گذشته وصل شده بود، اما هنوز در بسیاری از سیستم‌های لینوکس قابل بهره‌برداری است.

 

لینوکس

 

روش‌های مخفی‌کاری و پایداری بدافزار Perfctl

یکی از ویژگی‌های اصلی Perfctl این است که نام‌ها و فرایندهایی مشابه با نام‌های معمول در محیط لینوکس به کار می‌برد تا از شناسایی توسط کاربران جلوگیری کند. همچنین، این بدافزار از مکانیزم‌های مخفی‌کاری متعددی استفاده می‌کند که شامل نصب اجزا به عنوان روت‌کیت است. روت‌کیت‌ها نوعی بدافزار هستند که حضور خود را از دید سیستم‌ عامل و ابزارهای مدیریت پنهان می‌کنند. روش‌های دیگری که Perfctl برای پنهان ماندن به کار می‌برد، عبارتند از:

  • توقف فعالیت‌های مخرب هنگام ورود کاربران جدید
  • استفاده از ارتباطات خارجی از طریق TOR
  • حذف فایل اجرایی پس از نصب و اجرای آن به‌صورت سرویس پس‌زمینه
  • دستکاری فرایندهای pcap_loop برای جلوگیری از ثبت ترافیک مخرب
  • سرکوب خطاهای سیستم برای جلوگیری از هشدارهای قابل مشاهده

بهره‌برداری از منابع سیستم‌های آلوده لینوکس

Perfctl علاوه بر استفاده از منابع سیستم برای ماینینگ رمز ارز، به عنوان پروکسی نیز استفاده می‌شود و ترافیک اینترنت مشتریان پولی را از طریق سیستم‌های آلوده انتقال می‌دهد. این بدافزار همچنین به عنوان یک درب پشتی برای نصب سایر خانواده‌های بدافزارها عمل می‌کند. محققان گزارش داده‌اند که Perfctl نه تنها منابع سیستم‌های لینوکس را برای استخراج رمز ارز به کار می‌گیرد، بلکه به‌عنوان یک واسطه سودآور برای انتقال ترافیک اینترنت نیز عمل می‌کند.

تداوم بدافزار بر روی سیستم‌های آلوده

یکی از ویژگی‌های اصلی Perfctl توانایی ماندگاری بر روی سیستم‌های آلوده است. این بدافزار از طریق روش‌هایی نظیر تغییر فایل ~/.profile که هنگام ورود کاربر اجرا می‌شود و کپی کردن خود به مکان‌های مختلف دیسک، پس از راه‌اندازی مجدد سیستم یا تلاش برای حذف اجزای اصلی‌اش همچنان فعال می‌ماند. همچنین، از طریق تکنیک pcap_loop hooking، فعالیت‌های مخرب خود را حتی پس از حذف بخش‌های اصلی ادامه می‌دهد.

نتیجه‌گیری

بدافزار Perfctl با طراحی پیشرفته‌اش، توانایی فرار از شناسایی و حفظ حضور در سیستم‌های آلوده، یکی از بزرگترین تهدیدها برای سرورهای لینوکس به شمار می‌رود. این بدافزار با ترکیبی از سوءاستفاده از آسیب‌پذیری‌ها، روت‌کیت‌ها و تکنیک‌های مخفی‌کاری می‌تواند به سازمان‌ها و کاربران فردی آسیب‌های جدی وارد کند. متخصصان امنیت توصیه می‌کنند که مدیران سیستم‌های لینوکس به دنبال نشانه‌های آلودگی از جمله افزایش ناگهانی استفاده از منابع سیستم یا کاهش کارایی ناگهانی سیستم در زمان بیکاری باشند.

 

 

برای دریافت جدیدترین اخبار تکنولوژی و آموزش‌ها لطفا عضو خبرنامه سامانه ایران شوید.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *