یک بدافزار ماینینگ جدید برای سرور‌های لینوکس

کشف بدافزار ماینینگ جدید

محققان به تازگی توانسته‌اند یک بدافزار استخراج رمزارز جدید کشف کنند که در جهت ماین و استخراج رمزارز مونرو(با نماد XMR) رایانه‌های آسیب‌پذیر کاربران را مورد هدف قرار داده است.

این بدافزار جدید که GoLang نامیده شده، در واقع یک نرم‌افزار مخرب است که به زبان برنامه‌نویسی Go نوشته شده و هدف اصلی آن سرور‌های آسیب‌پذیر مبتنی بر سیستم‌عامل لینوکس(Linux) می‌باشد.

به نظر می‌رسد که طی چند هفته‌ی گذشته چندین گروه تحقیقات امنیت سایبری در رابطه با این بدافزار جدید گزارش داده‌اند، اما طبق جدید‌ترین گزارش محققان کمپانی Trend Micro، این بدافزار نه تنها سرور‌های آسیب‌پذیر را مورد هدف قرار داد، بلکه سعی دارد در کل شبکه‌ی آن‌ها خودش را گسترش دهد.

راه‌های مختلفی برای هدف قرار دادن یک سیستم وجود دارد

یک گروه تحقیقاتی دیگر با نام F5 دقیقا مشخص نموده که این بدافزار هفت روش مختلف را برای گسترش در شبکه مورد استفاده قرار می‌دهد، که چهار روش آن شامل هدف‌گیری زبان‌های برنامه‌نویسی سطح سرور است، در حالی که روش‌های دیگر آن شامل دستکار اعتبار در پایگاه‌های داده‌ی SSH یا Redis است.

این محققان همچنین توضیح داده‌اند که کد‌های مخرب ابتدا برای درخواست GET به یک سرور با نام ident.me(که آدرس‌های IP عمومی را پیدا می‌کند) فرستاده می‌شوند، و سپس این فهرست آدرس‌های IP برای بدست آورد درگاه‌ها و پورت‌های باز 80، 20،8090 و 6397 مورد بررسی قرار می‌گیرند. در صورتی که یک پورت باز در هر سروری یافت شود، این بدافزار از طرف خودش یک درخواست برای دانلود بسته‌های مخرب میزبانی شده در Pastebin ارسال می‌کند.

در مرحله‌ی بعدی بدافزار GoLang برای شروع ماینینگ رمزارز مونرو از یک اسکریپت استخراج مونرو با نام XMRig 2.13.1 استفاده می‌کند.

طریقه‌ی کارکرد

برای مخفی کردن روند گسترش و انتشار یا حضور نرم‌افزار مخرب بر روی سیستم نیز کدهای مخرب این برافزار ابزار‌ها و نرم‌افزار‌های امنیتی را غیرفعال کرده و تاریخچه‌ی سیستم آسیب‌ دیده را کاملا حذف و تهی می‌کند. علاوه بر این، بدافزار مذکور تمام فرایند‌های مربوط به ماینینگ رمزارز در سیستم را غیرفعال می‌کند تا خودش بتواند حداکثر کارایی پردازنده‌ی سیستم را در اختیار داشته باشد. همچنین گفته شده که این بدافزار هرگونه پروسه‌ای که بیش از ۳۰ درصد حافظه‌ی سیستم یا منابع پردازشی آن را در اختیار بگیرد را نیز غیرفعال می‌کند تا به حداکثر کارایی ممکن برسد.

طبق تحقیقات گروه F5، مجرمان سایبری توانسته‌اند با موفقیت نرم‌افزار‌های مخرب خود را در چندین استخر ماینینگ نیز تزریق کرده و از این استخر‌ها چیزی کمتر از ۲ هزار دلار رمزارز بدست آورند. با این حال، برآوردهای بدست آمده بر اساس نمونه‌های خاص کیف‌پول متعلق به ماینر‌ها اعلام شده‌اند.

فرایند سرقت رمزارزی یا Cryptojacking همواره یکی از جنبه‌های سودآور برای مجرمان سایبری محسوب شده است. تا به امروز مشخص شده که بسیاری از وب‌سایت‌های محبوب نیز از کد‌ها و اسکریپت‌های ماینینگ استفاده کرده‌اند تا رایانه‌ی شخصی بازدیدکنندگان و کاربران را بدون اطلاع آن‌ها در جهت استخراج رمزارز بکار بگیرند.

پیش از این نیز گزارشاتی منتشر شده بود که نشان می‌داد بدافزار ماینینگ Shellbot توسط توسعه‌دهندگان آن بروزرسانی و ارتقاء یافته تا تمام فرایند‌های ماینینگ سیستم‌های آلوده را غیرفعال کرده و همه‌ی قدرت محاسباتی سیستم را بدست بگیرند.

آیا سیستم‌های شما تاکنون دچار چنین بدافزارهایی شده است؟ چه راهکاری برای مقابله با اینگونه بدافزار‌ها وجود دارد؟ نظرات خود را با ما به اشتراک بگذارید.