اختصاصی افتانا: مجرمان سایبری در تلاش هستند تا با سوء استفاده از فایل‌های مخرب سیستم‌ها و با استفاده از ابزار Proot رمزارز استخراج کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از اینفوسکیوریتی، مجرمان سایبری به تازگی با استفاده از یک ابزار منبع باز به نام Proot، دامنه عملیات خود را به چندین محصول لینوکس گسترش داده‌اند. تیم تحقیقاتی Sysdig Threat (TRT) این تکنیک را کشف کرده و توضیح داده است که چرا این روش بسیار خطرناک است.

این شرکت در توصیه‌نامه‌ای نوشت: معمولاً دامنه یک حمله توسط پیکربندی‌های مختلف هر نسخه لینوکس محدود می‌شود. Enter Proot، یک ابزار منبع باز است که یک محیط عملیاتی سازگار در توزیع‌های مختلف لینوکس مانند اوبونتو، فدورا و آلپاین را برای مهاجم فراهم می‌کند. Proot همچنین قابلیت‌های شبیه‌سازی را فراهم می‌کند که اجازه می‌دهد بدافزار ساخته شده بر روی معماری‌های دیگر، مانند ARM [ماشین پیشرفته RISC] اجرا شود.

Sysdig از این نوع حمله به عنوان «فایل سیستم خود را بیاورید» (BYOF) یاد می‌کند و می‌گوید زمانی که ممکن است درک کاملی از یک محیط قبل از حمله یا منابع لازم برای تغییر ابزار در اواسط عملیات نداشته باشند، برای عوامل تهدید مفید است.

تیم Sysdig در توصیف این روش گفت: عوامل تهدید معمولاً یک سیستم فایل مخرب می‌سازند که شامل همه چیزهایی از جمله دستورالعمل‌هایی برای دانلود، پیکربندی و عملیات نصب است که حمله برای موفقیت نیاز دارد.

در این توصیه‌نامه آمده است: با استفاده از Proot، توجه یا نگرانی کمی برای معماری یا توزیع هدف وجود دارد زیرا این ابزار مبارزات حمله را که اغلب با سازگاری اجرایی، راه‌اندازی محیط و بدافزار و یا اجرای ماینر مرتبط است، هموار می‌کند. این به مهاجمان اجازه می‌دهد به فلسفه «یک بار بنویس، همه جا بدو» نزدیک‌تر شوند، که هدفی طولانی مدت است.

علاوه بر این، از آنجایی که Proot به صورت ایستا کامپایل شده است، به فایل‌ها یا کتابخانه‌های خارجی اضافی نیاز ندارد.

این کار استفاده مهاجم را در زنجیره ابزار خود بسیار ساده می‌کند. این فایل اجرایی می‌تواند به طور بالقوه با UPX (بسته‌کننده نهایی برای فایل‌های اجرایی) یا سایر ابزارهای مبهم‌کننده برای فرار از شناسایی بسته‌بندی شود.

به گفته Sysdig، مسیر حمله نیز ساده شده است. این تیم در ارزیابی خود مشاهده کرد که عوامل تهدید از این تکنیک استفاده می‌کنند و فقط باید چند دستور را برای استقرار در یک سیستم قربانی و متعاقباً اجرای بارهای پی‌درپی تکمیل کنند.

در مورد نوع حملات مشاهده شده توسط کارشناسان امنیت سایبری، Sysdig استخراج‌کننده رمزارز XMRig را بررسی کرد.

در این توصیه نامه آمده است: در این عملیات استخراج، XMRig در سیستم فایل مخرب ذخیره می‌شود و می‌تواند به راحتی راه‌اندازی شود. هر گونه وابستگی یا پیکربندی نیز در سیستم فایل گنجانده شده است، بنابراین مهاجم نیازی به اجرای دستورات نصب اضافی ندارد. مهاجم Proot را راه‌اندازی می‌کند، آن را به سمت سیستم فایل‌های مخرب باز نشده نشانه می‌گیرد و باینری XMRig را برای اجرا مشخص می‌کند.

برای مقابله با این تهدیدهای BYOF، تیم تحقیقاتی Sysdig Threat قوانینی ایجاد کرده است که می‌تواند استفاده از ابزار Proot را با استفاده از Falco تشخیص دهد.

این تهدید جدید چند ماه پس از آن کشف شد که تیم تحقیقاتی چک‌پوینت، XMRig را به عنوان سومین بدافزار پرکاربرد در ماه جولای معرفی کرد.

منبع: Infosecurity