۱۳۹۶/۳/۲۸ امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)به تازگی محققان متوجه شده اند که هم نژاد آسیب پذیری EternalBlue ظاهر و منتشر شده است. این آسیب پذیری که با شناسه ی (CVE-2017-7494)  معرفی شده است، شباهت بسیار زیادی با پروتکل SMB ویندوز دارد ( این پروتکل برای توزیع باج افزار واناکرای اکسپلویت شده بود).آن ها از تحقیقات متداول دریافتند که یک آسیب‌پذیری هفت‌ساله در نرم‌افزار شبکه‌ Samba شناسایی شد که به نفوذگران این امکان را می‌داد که از راه دور کنترل سامانه‌های لینوکس و یونیکس را در دست بگیرند.

samba یک پروژه ی اّپن سورس است که به طور گسترده ای بر روی کامپیوترهای لینوکس و یونیکس استفاده می شودتا بتواند با خدمات فایل ویندوز و سرویس های پرینت کار کند.

در 30 ماه می، کارشناسان لابراتوار کسپرسکی با راه اندازی هانی پات (تله عسل) موفق شدند که میزان سطح استفاده ی مجرمان در این آسیب پذیری را تخمین بزنند. در این روز محققان اولین حمله را که با استفاده از این آسیب پذیری اقدام شده بود را شناسایی کردند. اما پیلود این اکسپلویت هیچ وجه مشترکی با تروجان کریپت که EternalBlue و وانالکرای بود نداشت. با کمال تعجب آن ها متوجه شدند که SambaCry یک ابزار کریپتوکارنسی است.

اکسپلویت آسیب پذیری

شیوه ی آن به گونه ای است که یک کاربر غیر مجاز مجوز ارسال به درایو شبکه را دارد. مجرمان در مرحله ی اول ابتدا باید یک فایل متنی را ارسال کنند که این فایل از 8 کاراکتر تصادفی تشکیل شده است. اگر که تلاش آن ها موفقیت آمیز باشد، آن ها فایل را پاک خواهند کرد.

نوشتن و پاک کردن فایل متنی

پس از رد کردن این مرحله، زمان پیلود اکسپلویت می رسد ( این مجموعه به عنوان پلاگین Samba است). پس از اینکه اکسپلویت آسیب پذیری با موفقیت انجام شد، سیستم با امتیازات ویژه ی کاربر اجرا می شود. البته در ابتدا مجرمان باید مسیر کوتاه شده ی فایل را با پیلود خود حدس بزنند و از دایرکتوری روت درایو شروع کنند. به کمک هانی پات، لابراتوار کسپرسکی توانست تمام این تلاش ها را مشاهده کند.

پس از اینکه مسیر فایل پیدا شد، می تواند لود شود و در زمینه ی فرآیند سرور Samba، با استفاده از آسیب پذیری های SambaCry اجرا شود. پس از آن فایل به منظور از بین بردن آثار حذف خواهد شد. از این لحظه SambaCry وجود دارد و تنها در حافظه ی مجازی اجرا می شود.

در این مورد دو عدد از فایل های ما آپلود شدند و اجرا شدند. آن ها به صورت زیر بودند:

INAebsGB.so (349d84b3b176bbc9834230351ef3bc2a – Backdoor.Linux.Agent.an(
cblRWuoCc.so (2009af3fed2a4704c224694dfc4b31dc – Trojan-Downloader.Linux.EternalMiner.a)

INAebsGB.so

این فایل ها در ساده ترین قسمت shell ذخیره می شود. آن ها به پورت خاص آدرس آی پی توسط صاحبش متصل می شوند و از راه دور به shell متصل می شوند. اگر بخواهیم در این قسمت نتیجه گیری داشته باشیم می توانیم بگوییم مجرمان قابلیت اجرای دستور shell را از راه دور دارند. آن ها به معنای واقعی کلمه اختیار سیستم شما را از دانلود و اجرای هر برنامه از اینترنت گرفته تا حذف اطلاعات از روی کامپیوتر به دست می گیرند و مطابق میل خود رفتار می کنند.

فهرستی از INAebsGB.so

قابل توجه است که یک پیلود مشابه می تواند در اجرای اکسپلویت سامباکرای در متا اکسپلویت یافت شود.

cblRWuoCc.so

قابلیت اصلی این فایل، دانلود و اجرای یکی از مشهورترین خدمات کریپتوکارنسی اّپن سورس (cpuminer) است. در تصویر زیر می توانید این پروسه را مشاهده کنید:

قابلیت های مهم cblRWuoCc.so

فایل minerd64_s(8d8bdb58c5e57c565542040ed1988af9 — RiskTool.Linux.BitCoinMiner.a) از طریق مختلفی دانلود می شود و در بخش /tmp/mسیستم قربانی ذخیره می شود.

Cpuminer چیست و چه چیزهایی را استخراج می کند؟

اول اینکه یک نکته ی جالب در مورد این نرم افزار استخراجی وجود دارد، آن هم این است که نسخه ی cpuminer استفاده شده کاملا آپگرید شده است بنابراین می توان آن را بدون هیچ پارامتری راه اندازی کرد و به طور مستقیم به دام کیف پول مجرمان افتاد. ما در مورد اینکه کیف پول آن ها شامل چه چیزی است و چگونه از آن استفاده می کنند کنجکاوی بسیاری کردیم و تصمیم گرفتیم که آن را بررسی کنیم.

آن ها در یک جایی از کار یک آدرس xmr.crypto-pool.fr:3333 را به جای گذاشته بودند. این آدرس برای استخراج کریپتوکارنسی منبع باز ایجاد شده است. با استفاده از تمام این داده ها ما موفق شدیم کیف پول مجرمان را بررسی کنیم و به معاملات آن ها وارد شویم. تصویر زیر نمایانگر این معاملات است:

مانده حساب مجرمان در 08.06.2017

شرح معاملات مجرمان

این استخراج از دامنه ای که در تاریخ 29 آوریل 2017 ثبت شده بود دانلود شده است. با توجه به ورود معاملات به سیستم، مجرمان اولین سکه های کریپتو خود را در روز بعد یعنی 30 آوریل برداشتند. در روز اول آن ها XMR (حدود 55$ با توجه به نرخ کارنسی در تاریخ 08.06.2017) به دست آوردند. اما در طول هفته ی گذشته آن ها حدود 5 XMR در هر روز به دست آوردند. این بدان معنی است که بات نت های دستگاه های در حال کار برای مجرمان سود در حال رشدی را به همراه داشته است.

با توجه به اینکه جهان آسیب پذیری EternalRed را تنها در پایان ماه مه کشف کرد و مجرمان این حمله را پذیرفته اند اما نرخ رشد در تعداد ماشین های آلوده به طور قابل توجهی افزایش یافته است.

حدود یک ماه پس از استخراج، مجرمان 98 XMR را به دست آوردند که در واحد پول کارنسی این مبلغ 5500$ می باشد.

نتیجه گیری

همانطور که در بالا به آن اشاره کردیم مجرمان می توانند به طور کامل به سیستم شما از راه دوردسترسی داشته باشند، در حال حاضر آن ها تصمیم گرفته اند که یک پویش جدید بدافزاری راه‌اندازی کنند که پس از آلوده ساختن سامانه‌‌های قربانیان، نرم‌افزار‌های استخراج پول مجازی در آنها نصب می‌کند. اما ممکن است روزی دیگر آن ها به راه های دیگر برای آسیب زدن به سیستم و اطلاعات و پول های شما فکر کنند.

متاسفانه در حال حاضر هیچ اطلاعاتی دیگری در مورد این حمله در اختیار ما قرار نگرفته است. اما شاید تنها راه برای مدیران سیستم و کاربران عادی لینوکس به روزرسانی اضطراری نرم افزار سامبای خود به منظور جلوگیری از مشکلاتی باشد که ممکن است در آینده ی نه چندان دور گریبانگیر هر کدام از آن ها شود.

در همین خصوص به کاربران لینوکس توصیه اکید میشود نسخه ۴.۶.۴/۴.۵.۱۰/۴.۴.۱۴ Samba را در اولین فرصت پچ کنند.

منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.