محققان شرکت AhnLab نوعی از حملات بدافزاری را شناسایی کردند که از آدرسهای IP تبدیل شده به هگزادسیمال جهت نصب، راهندازی ShellBot و بهرهبرداری از آن استفاده میکنند. این بدافزار قادر به دانلود بدافزارهای مخرب دیگر، اجرای حملات DDoS و همچنین استخراج ارزهای دیجیتالی میباشد.
مهاجمانی که در پشت ShellBot قرار دارند از آدرسهای IP تبدیل شده به هگزادسیمال جهت نفوذ به سرورهای SSH لینوکس با مدیریت ضعیف و استقرار بدافزار و اجرای حملات DDoS استفاده میکنند.
مرکز پاسخگویی اضطراری امنیتی (ASEC ) شرکت Ahnlab در گزارش جدیدی که منتشر کرده است، بیان کرد که: «جریان کلی حمله همانند سایر حملات است اما آدرس URL دانلودی که مهاجمان جهت نصب ShellBot استفاده میکنند، یک آدرس IP معمولی است که به صورت هگزادسیمال تبدیل شده است.»
ShellBot که بعنوان PerlBot نیز شناخته میشود به سرورهایی که دارای اعتبارنامه SSH ضعیفی هستند، از طریق حمله دیکشنری ، حملات DDoS خود را اجرا کرده و از آنها جهت استخراج ارزهای دیجیتال استفاده میکند.
این بدافزار که در Perl توسعه یافته است، از پروتکل IRC جهت برقراری ارتباط با سرور فرمان و کنترل (C2) استفاده میکند.
آخرین حملات مشاهده شده از طریق این بدافزار مربوط به نصب بدافزار از طریق آدرسهای IP هگزادسیمال شده بصورت hxxp://0x2763da4e میباشند که با تبدیل آن به آدرس IP معمولی میتوان مقدار 39.99.218[.]78 را مشاهده کرد. هدف از این تبدیل تلاش برای فرار از امضاهای شناخته شده مبتنیبر URL است.
محققان ASEC بیان کردند: «به دلیل استفاده از Curl برای دانلود و توانایی آن جهت پشتیبانی از هگزادسیمال صحیح مانند مرورگرهای وب، ShellBot را میتوان با موفقیت در یک محیط لینوکس دانلود و از طریق Perl اجرا کرد.»
محصولات تحت تأثیر
شرکتها، سازمان و افرادی که از سرور SSH در لینوکس استفاده میکنند مستعد این حملات هستند و نیاز است که از رمزعبورهای قوی استفاده کرده و آنها را بصورت دورهای تغییر دهند.
توصیه امنیتی
با توجه به اینکه ShellBot میتواند برای نصب بدافزار اضافی یا راهاندازی انواع مختلف حملات از سرور آسیبدیده استفاده کند، توصیه میشود که کاربران از گذرواژههای قوی استفاده کرده و بصورت دورهای آنها را تغییر دهند تا در برابر حملات brute-force و dictionary مقاوم باشند.
این خبر زمانی منتشر شد که مهاجمان در تلاش برای توزیع بدافزارهای سرقت اطلاعات مانند Lumma Stealer و نوعی از Redline Stealer که با نام RecordBreaker شناخته میشود، گواهینامههای غیرعادی با رشتههای بسیار طولانی برای فیلدهای Subject و Name ایجاد میکنند.
این نوع بدافزارها از طریق صفحات مخربی که به راحتی از طریق موتورهای وب قابل دسترسی هستند (SEO poisoning)، توزیع میشوند که تهدیدی برای طیف گستردهای از کاربران نامشخص است. این صفحات مخرب در درجه اول از کلمات کلیدی مرتبط با برنامههای غیرقانونی مانند سریالها و کرکها استفاده می-کنند.
منابع خبر:
[1] https://www.darkreading.com/cloud/shellbot-cracks-linux-ssh-servers-debuts-new-evasion-tactic
[2] https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html
- 168