به تازگي تروجاني با نام XOR.DDoS كشف گرديده است كه احتمالاً مجموعه اي از سيستم ها را براي استفاده در حملات DDoS آلوده ساخته است. اين تهديد جديد تنظيمات محيط لينوكسي قرباني را تغيير مي دهد و يك روت كيت را براي جلوگيري از شناسايي شدن، نصب مي نمايد.
نصب چنين روت كيتي روي لينوكس بسيار سخت است چرا كه به موافقت سيستم عامل قرباني نياز دارد. بنابراين مهاجمين تغييري در login پيش فرض كاربران نمي دهند بلكه از طريق تكنيك brute forceارتباط SSH كاربر rootاقدام مي نمايند. در صورت موفقيت تروجان را از طريق shell script نصب مي نمايد. اسكريپت شامل پروسه هايي مانند main، check، compiler، uncompress، setup ، generate ، upload ، upload و غيره و نيز متغيرهايي مانند __host_32__،__kernel__ ، __host_64__ و __remote__, است. سپس تروجان بررسي مي كند كه آيا با كرنل سيستم قرباني منطبق است يا نه و در اين صورت روت كيت را نصب مي نمايد.روت كيت سپس همه فايل هايي كه نشان دهنده آلودگي است، پنهان مي سازد، بنابراين كاربر نشانه هاي آلودگي را مشاهده نمي كند. پروسه اصلي رمزگشايي و انتخاب سرور دستور و فرمان متناسب با معماري سيستم است.
اين روت كيت اولين بار در حمله اي در اكتبر ۲۰۱۴ بكار رفته است و در دسامبر ۲۰۱۴ جزييات آن تا حدودي توسط گروه MalwareMustDie شناسايي شده است.
اين تروجان و متغيرهاي آن مي تواند وب سرورها و ميزبان هاي ۳۲ و ۶۴ بيتي همچنين معماري ARM ها در روترها، تجهيزات loT سيستم هاي ذخيره سازي و سرورهاي ARM ۳۲ بيتي را تحت تاثير قرار دهد.اگرچه تاكنون تعداد زيادي سيستم آلوده به اين تروجان كشف نگرديده است، اما مواردي هم كه مشاهده شده است از الگوي خاصي پيروي نمي كند. اين مورد تروجان هم سازمان ها و هم افراد عادي را مي تواند آلوده نمايد ولي سازمان ها معمولاًداراي امنيت بالاتري هستند.
پيشنهاد مي گردد جهت جلوگيري از آلودگي به اين تروجان از انتي ويروس هاي معتبر و به روز رساني استفاده نماييد ، همچنين در صورت استفاده از ssh از اسم رمز هاي قوي استفاده نماييد.
منبع:
بر طبق جديد ترين پژوهش انجام شده به سفارش كمپاني Cloudmark بيش از 75 درصد سازمان ها در ايالات متحده و انگلستان حداقل يك بار حمله DNS را تجربه كرده اند كه اين حمله در 66درصد از آنها در ايالات متحده در طول 12ماه رخ داده است.
بررسي امنيت DNS بر اساس 300 مركز تصميم گيري فناوري اطلاعات با سازمان هايي كه حداقل 1000 نفر پرسنل در بخش هاي سرويس مالي، IT، ساخت و توليد،خرده فروشي، توزيع و بخش حمل و نقل مي باشد انجام شده كه 200 مورد از ان ها در ايالات متحده و 100 مورد در انگلستان مي باشد.
74 درصد از از كساني كه حداقل يك بار حمله DNS را تجربه كرده اند، اظهار داشتند كه سازمان توسط يك حمله انكار سرويس ((DDoS از طريق مكاتبات ايميلي با CMagazine.com به هدف قطع اينترنت و يا وقفه در سرويس دهي روبرو بوده است.
در مكاتبات سه شنبه يك ايميل، آقايTom Landesman(محقق امنيتي شركت( Cloudmark گفت كه مهاجمان CMagazine.com قادر به راه اندازي حملات DDoS از طريق Dns Amplifications و فرسودگي منابع مي باشند.
Landesman بيان داشت كه : آنها يك دامنه مخرب با سوابق منابع بسيار بزرگ با هدف اجراي يك حمله تقويت DNS راه اندازي مي نمايند. هنگامي كه دامنه هاي مخرب ايجاد شد كوءري ها توسطIP جعلي به يك آدرس IP جعلي از سرويس دهنده resolvers DNS باز نموده و به اين ترتيب حمله DDOS شكل مي گيرد.
Landesman گفت حملات DDoS به احتمال زياد، حمله شماره اول DNS بوده كه به دليل تلاش حداقل و منابع مورد نياز مهاجم پايان مي يابد. وي افزود كه ايجاد سناريو حملات DDoS در آن سازمان هايي است كه متمركز بر تعديل بوده و اين در حالي است كه آلودگي مخرب و سرقت داده ها ممكن است در جاي ديگر در شبكه اتفاق مي افتد.
به عنوان يك نتيجه از حملات DNS ،شصت و سه درصد از سازمان ها تجربه از دست دادن اينترنت ،42 درصد شكايات مشتريان را تجربه، 34 درصد اطلاعات حساس و مهم كسب و كار و اطلاعات محرمانه مربوط به مشتري را از دست داده و 30 درصد تجربه از دست رفتن درآمد را داشته اند.
به دنبال حمله DNS هزينه هاي بازسازي و عملياتي نيز در نظر گرفته شده با اين حال پاسخ دهندگان با تاكيد به حفظ مشتري و شهرت نام تجاري به عنوان بزرگترين دغدغه روبرو بوده اند. Landesman گفت كه حملات DNS با فشار قرار دادن زيرساخت ها و منابع سازمان مي تواند منجرب به از دست رفتن درآمد شود.
نزديك به 70 درصد از پاسخ دهندگان اظهار داشته اند كه سازمان يك راه حل امنيتي DNS براي محافظت در برابر حملات DNS ايجاد نموده است.
Landesman گفت: مهم اين است كه سازمان برنامه حفاظت DNS را به استراتژي امنيتي كلي خود تبديل نمايد. و اين درحاليست كه فقط تمام سازمان ها با يك روال سنتي توسط آنتي ويروس و فايروال براي جلوگيري از آسيب پذيريها پرداخته اند.
- 2