HiddenWasp و ظهور تهدیدات مبتنی بر لینوکس

۱۳۹۸-۰۷-۲۰ ۰۹:۱۷
تنظیم اندازه قلم

پ

۲:۳۳

HiddenWasp و ظهور تهدیدات مبتنی بر لینوکس

اکوسیستم تهدید لینوکس مملوء از بات‌نت‌های IoT DDoS و بدافزارهای استخراج رمزنگاری است. اما، با وجود ردیابی پایین در تقریباً همه راه حل‌های ضدویروس پیشرو، تهدیدهای لینوکس چالش‌های جدیدی را برای جامعه امنیت اطلاعات ایجاد می‌کند که قبلاً در سیستم عامل‌های دیگر مشاهده نشده است.

میزان کم تشخیص در راه حل‌های ضدویروس را می‌توان به رشد سریع زیرساخت‌های مدرن و مبتنی بر ابر (cloud) در سالهای اخیر نسبت داد.
نویسندگان بدافزار لینوکس، وقت و تلاش زیادی را برای نوشتن ایمپلنت خود سرمایه گذاری نمی کنند. این امر به این دلیل است که در اکوسیستم منبع باز (open-source) نسبت بالایی از کد در دسترس عموم وجود دارد که می تواند به سرعت توسط مخالفان کپی و اقتباس شود تا بدافزارهای خود را تولید کنند. علاوه بر این، از آنجا که ثابت شده است که راه حل‌های ضدویروس برای لینوکس نسبت به سایر سیستم عامل‌ها مقاومت کمتری نشان می دهد، طرفداران کمتر از اجرای تکنیک‌های فرار بیش از حد نگران هستند زیرا حتی وقتی آنها از مقادیر زیادی از کد استفاده می کنند، تهدیدها نسبتاً موفق شده اند که پشت این سیستم بمانند.

با این حال، بدافزارها با تکنیک‌های فرار قوی در پلت‌فرم لینوکس وجود دارند. تعداد زیادی از بدافزارهای منبع باز (open-source) در دسترس عموم وجود دارد که از تکنیک‌های فرار قوی استفاده می کنند و به راحتی توسط مخالفان سازگار می شوند.
محققان اینتزر اخیراً یک بدافزار کشف نشده را که سیستم های لینوکس را هدف قرار داده بود کشف کردند. این بدافزار - که محققان نام آن را HiddenWasp گذاشتند - برای جلوگیری از شناسایی، تکنیک های پیشرفته فرار با استفاده از rootkits را اجرا می کرد.

HiddenWasp یک مجموعه بدافزار کاملاً توسعه یافته است که شامل یک تروجان، rootkit و یک اسکریپت استقرار اولیه است. این بدافزار برای حملات هدفمند علیه قربانیانی که قبلاً آلوده شده اند، استفاده می شود. HiddenWasp این امکان را دارد که تنها با به دست آوردن کنترل از راه دور روی سیستم آلوده، بارگیری و اجرای کد، بارگذاری پرونده‌ها و اجرای انواع دستورات را انجام دهد. این متفاوت از بدافزارهای رایج لینوکس است، که حملات توزیع انکار سرویس (DDoS) توزیع شده یا ارز رمزنگاری شده را انجام می دهند.

علاوه بر این ، نویسندگان HiddenWasp بخشهای زیادی از کد را از بدافزارهای متنوع در دسترس عموم ، مانند Mirai و rootkit Azazel در دسترس قرار داده اند، و شباهت هایی بین بدافزارها و سایر خانواده های بد افزار چینی وجود دارد.

در زمان انتشار تحقیقات ، HiddenWasp در تمام سیستمهای مهم ضد ویروس دارای میزان صفر تشخیص بود. از آن زمان ، موتورهای in اما نه همه in موتورهای VirusTotal شروع به پرچم گذاری این بدافزار کرده اند.
تجزیه و تحلیل فنی منتشر شده توسط Intezer همچنین شامل IOC های مربوطه (آدرس های IP برای مسدود کردن) و یک قانون YARA برای جلوگیری و پاسخ به انواع بعدی این تهدید است.

کشف اخیر HiddenWasp از این تصور که تهدیدهای لینوکس با گذشت زمان پیچیده تر می شود ، پشتیبانی می کند و جامعه امنیت اطلاعات باید منابع بیشتری را به منظور شناسایی موثرتر و پاسخگویی به این تهدیدات در مقیاس بزرگتر اختصاص دهد.

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

مطالب آموزشی مرتبط