محققان نفوذ لینوکس باند Cryptojacking را ردیابی کردند

محققان امنیتی Bitdefender از گروه تهدید مستقر در رومانی رونمایی کردند که حداقل از سال گذشته فعالیت می کند و دستگاه های مبتنی بر لینوکس با اعتبار پروتکل Secure Shell (SSH) آسیب پذیر را هدف قرار می دهد.

محققان دریافتند که این گروه در حال انتشار نرم افزارهای مخرب استخراج Monero است که برای سرقت ارزهای رمزنگاری شده استفاده می شود. به گفته Christoph Heibisen ، مدیر تحقیقات اطلاعات امنیتی Lookout ، یک شرکت امنیتی نقطه به ابر ، این بدافزار همچنین انواع دیگری از حملات را مجاز می کند ، که به گزارش Bitdefender مرتبط نیست.

این افزونه می تواند درهای فعالیت های مخرب مانند سرقت اطلاعات ، حرکت جانبی یا بات نت ها را باز کند. “

بینش ارتباط گروه با گوشه لینوکس یکی از جدیدترین حوادث مربوط به آسیب پذیری های مربوط به لینوکس است. سیستم عامل یک پلتفرم محاسباتی سخت و امن از بالا به پایین است. مشکل هک کردن سیستم های لینوکس اغلب با تنظیمات نادرست و بی توجهی کاربران به مسائل امنیتی همراه است.

وضعیت امنیتی لینوکس امروزه با دید بیشتر و ویژگی های امنیتی به نحو مثبتی تکامل یافته است. با این حال ، مانند بسیاری از سیستم عامل ها ، باید آن را با در نظر گرفتن امنیت نصب ، پیکربندی و مدیریت کنید ، زیرا اینگونه است که مجرمان سایبری از مزایای استفاده می کنند. Touch Humankind را لمس کنید.

ترفندهای قدیمی با ابزارهای جدید

بر اساس وبلاگ Bitdefender که در 15 ژوئیه منتشر شد ، هکرهایی که به رایانه هایی با اعتبار SSH ضعیف حمله می کنند غیر معمول نیست ، حملات برای هکرها آسان تر می شود زیرا اپراتورهای رایانه اغلب از نام کاربری و رمزهای پیش فرض یا اعتبار SSL ضعیف استفاده می کنند.

هکرها به راحتی می توانند با استفاده از نیروی وحشیانه بر آسیب پذیری های رایج غلبه کنند. به گفته Bitdefender ، ترفند هکرها این است که این کار را به گونه ای انجام دهند که به مهاجمان اجازه داده شود تشخیص داده نشوند.

حمله بی رحمانه در رمزنگاری شامل مهاجمی می شود که رمزهای عبور یا عبارات عبور زیادی را ارسال می کند به امید اینکه در نهایت درست حدس بزند. محققان می توانند گروه های هکر را از طریق ابزارها و روش هایی که استفاده می کنند ، شناسایی کنند.

Heoutisen Lookout پیشنهاد کرد که تعداد و پیچیدگی ابزارهای اصلی در این کمپین نشان می دهد که یک فرد یا گروهی با مهارت های مهم این مجموعه را ایجاد کرده اند.

هدف بازیگران پشت کمپین های رمزنگاری استفاده از منابع محاسباتی شخص ثالث برای استخراج ارز رمزنگاری شده برای سود مالی است. هبیزن درباره نیاز نفوذ هکرها به تعداد زیادی از رایانه های شخصی و سازمانی گفت:

هزینه تشخیص حمله

مجموعه تهدیدهای ردیابی شده توسط Bitdefender از ابزارهای هک سنتی استفاده می کند. به گزارش Bitdefender ، در میان مجموعه ابزار هکرها ، محققان یک SSH bruteforcer که قبلاً گزارش نشده بود پیدا کردند که به زبان برنامه نویسی منبع باز Golang نوشته شده است.

محققان معتقدند که این ابزار به عنوان یک مدل سرویس ، با استفاده از یک سرور متمرکز برنامه نویسی برنامه (API) توزیع می شود. بازیگران تهدید در گروه کلید API خود را در فیلمنامه های خود ارائه می دهند.

وبلاگ امنیت سایبری Bitdefender خاطرنشان کرد: “مانند بسیاری از ابزارهای دیگر در این گروه ، ابزار brute force ترکیبی از زبان رومانیایی و انگلیسی است. این ما را به این باور می رساند که نویسنده آن بخشی از همان گروه رومانیایی است.”

محققان در ماه می تحقیقات این گروه را برای کمپین رمزگذاری با استفاده از ابزار بارگذاری نرم افزار مشابه آغاز کردند. آنها سپس بدافزار را به سرور فایل در یک فهرست باز باز کردند که فایل های دیگر را نیز میزبانی می کند و از ماه فوریه میزبان بدافزارهای دیگر شناخته شده است.

محققان امنیتی ابزارهای اصلی موجود در این مجموعه نرم افزاری هکر را با حملاتی که در طبیعت مشاهده می شود مرتبط کرده اند. اکثر هکرها روش ها و تکنیک های دلخواه خود را دارند. طبق گفته Thycotic’s Carson ، وقتی از آنها به اندازه کافی استفاده شود ، یک اثر انگشت مشترک ایجاد می کنند که می تواند برای ردیابی آنها به صورت دیجیتالی مورد استفاده قرار گیرد.

“سخت ترین افرادی که می توان آنها را ردیابی کرد کسانی هستند که در پشت کدهای سرقت شده پنهان می شوند یا از تکنیک ها و تکنیک های مشابه دوباره استفاده نمی کنند. برای هر کمپین جدید ، آنها کاری کاملاً متفاوت انجام می دهند.

با این حال ، مهاجمانی که تمایل دارند این مسیر را دنبال کنند ، معمولاً از منابع مالی خوبی برخوردار هستند و منابع مالی آنها نیز کافی است. اکثر مجرمان سایبری راه آسان را انتخاب کرده و تا آنجا که ممکن است از ابزارها و تکنیک های موجود استفاده مجدد می کنند.

وی افزود: “این بستگی به این دارد که آیا مهاجم به کشف خود اهمیت می دهد یا نه. هرچه اقدامات مهاجم برای پنهان ماندن به این معنی باشد که آنها در کشوری فعالیت می کنند که در صورت دستگیری قابل شکایت است.”

تاکتیک های هک خطرناک هستند

بیشتر کمپین های رمزنگاری در مورد سرقت منابع محاسباتی و انرژی است. به گفته کارسون ، این امر باعث می شود بازیگران تهدید به کاهش تأثیر بپردازند تا بتوانند تا آنجا که ممکن است مخفی بمانند.

تأثیری که بر سازمان می گذارد این است که می تواند بر عملکرد عملیات تجاری تأثیر بگذارد و منجر به قبض عظیمی از انرژی شود که با گذشت زمان می تواند به هزاران دلار برسد. خطر دیگر این است که رمزنگاری می تواند درهای پشتی را ترک کند و به دیگر مجرمان سایبری اجازه دسترسی و آسیب بیشتر مانند باج افزار را می دهد.

کارسون می گوید: “فن آوری های اغلب استفاده می شود در وب تاریک به اشتراک گذاشته می شود و این امر باعث می شود که هر کسی که دارای رایانه و اینترنت است بتواند یک کمپین رمزنگاری را راه اندازی کند. هدف نهایی استخراج ارزهای رمزنگاری شده است تا به ضرر دیگران باشد.” .

کارل استینکامپ ، مدیر محصول PCI و تضمین کیفیت در Coalfire ، موفقیت یا شکست هکرها را در کمپین توزیع بدافزار بستگی دارد. مربوط به گزارش Bitdefender نیست. توجه داشته باشید که ردیابی افراد پشت فعالیت ها متفاوت خواهد بود.

“برخی از این بازیگران بد از میزبانی ضد گلوله استفاده می کنند ، در حالی که برخی دیگر از میزبانی در مکان هایی که اجرای قانون در آنها مشارکت دارد استفاده می کنند. همچنین بازیگران بدی هستند که عملیات را مستقیماً از محل اصلی خود انجام می دهند ، و برای برخی از افراد معدود ، اغلب این مورد است که ردیابی این افراد و دستگیری آنها بی اهمیت است. “

قربانیان زیادی ، هنگامی که آنها را پیدا کردید

مهاجمان در دستیابی به نتایج تهاجمی موفق دست برتر را دارند. بیت دیفندر خاطرنشان کرد: این تا حدی به این دلیل است که دستگاه های لینوکس با اعتبار SSH ضعیف کم نیستند.

پیدا کردن آنها جایی است که ترفند در آن پنهان شده است.

مهاجمان با اسکن سرورهای شبکه برای شناسایی اعتبار SSH ضعیف ، قربانیان را ردیابی می کنند. این فرآیند در سه مرحله صورت می گیرد ، همانطور که توسط وبلاگ Bitdefender توضیح داده شده است.

مهاجمان چندین بایگانی را بر روی سرور میزبانی می کنند. این شامل زنجیره های ابزار برای هک سرورهای دارای اعتبار SSH ضعیف است. بسته به مرحله ، مهاجمان از ابزارهای مختلفی استفاده می کنند.

• مرحله اول بررسی است. مجموعه ابزار هکر با اسکن پورت ها و ضبط بنرها سرورهای SSH را شناسایی می کند. ابزارهای مورد استفاده در اینجا ps و masscan هستند.
• مرحله دوم دسترسی به اعتبارنامه است. هکرها اعتبارنامه های معتبر را از طریق نیروی وحشیانه تعیین می کنند.
• مرحله سوم دسترسی اولیه است. هکرها از طریق SSH متصل شده و بار عفونت را اجرا می کنند.

گروه هکرها در دو مرحله اخیر از 99x/haiduc (هر دو بدافزار غیرقانونی) و “brute” استفاده می کنند.

چهار کلید برای ایمن ماندن

کریپتوجک ممکن است به بازیگران بد اجازه دهد همه جنبه های سنتی بدافزار را انجام دهند ، با مزایای اضافی استخراج برخی از افزونگی منشاء رمزنگاری. Steinkamp توضیح داد که بسته به توزیع/بسته بندی بدافزار و قابلیت های فنی بازیگر بد ، ماینرهای رمزنگاری اغلب Monero ، Ethereum و/یا Bitcoin را هدف قرار می دهند.

بسیاری از این بسته های بدافزار رمزنگاری شده در سایت های زیرزمینی فروخته می شوند تا به مبتدیان اجازه دهند تا بازیگران بد متخصص را به اشتراک بگذارند. وی گفت دسترسی به یک یا چند میزبان لینوکس از طریق SSH ، آسیب پذیری سیستم یا برنامه باعث می شود که آنها بتوانند میزبان را هک کرده و سپس به صورت افقی و عمودی در سازمان گسترش یابند.

Steinkamp در پاسخ به سوالی در مورد تلاش های حفاظتی برای خنثی سازی چنین حملاتی ، گفت: “سازمان هایی با مدیریت پیکربندی قوی ، هشدار ، مدیریت ورود به سیستم ، یکپارچگی پرونده و واکنش به حوادث به طور کلی بهتر است به عفونت های بدافزار مانند رمزنگاری پاسخ دهند.”

اگر یک بدافزار رمزنگاری بر اساس خانواده ای از بدافزارهای مشابه یا موارد استفاده مجدد کد از طریق بدافزار باشد ، قوانین ضد بدافزار و روشهای اکتشافی احتمالاً انواع جدیدتر بدافزار رمزنگاری را انتخاب خواهند کرد.

وجود بدافزار رمزنگاری که سعی می کند با کامپایلرهای پوسته مخفی شود ، با استفاده از ابزارهای رایگان موجود در Github قابل برگشت است و به تیم های امنیتی اجازه می دهد بدافزارها را بر اساس x86 ، x64 ، MIPS و ARM تجزیه کنند.

به گفته Steinkamp ، در مورد افراد بد که از مکانیزم فرمان و کنترل (C2) متفاوتی برای گزارش اطلاعات استفاده می کنند ، این یک رویداد جدید اما غیرمنتظره است. بدافزار Cryptojacking از IRC و HTTP برای اتصالات استفاده می کند ، و اکنون ما شاهد Discord هستیم.

“هر یک از اینها ، به طور پیش فرض ، اطلاعات اولیه را از میزبان آسیب دیده به صورت واضح منتقل می کند ، به قربانی اجازه می دهد تا اتصالات را وارد کرده و به راحتی اتصالات را ببیند. با این حال ، ممکن است هر دو برای استفاده از SSL پیکربندی شوند ، که ردیابی را دشوارتر می کند.”