وبلاگ نویسی یک عاشق شبکه و برنامه نویسی

براساس تحقیق منتشر شده توسط F5 Labs، یک کمپین رمزگشای هدف قرار دادن سرورهای مبتنی بر لینوکس با استفاده از نرم افزار جدید Golang است.

اگرچه اغلب در چشم انداز تهدید دیده نمی شود، بدافزار Golang ابتدا در اواسط سال 2018 شناسایی شد و در طول 2019 ادامه داشته است. محققان خاطر نشان کردند که آخرین عملیات، که حدودا هزاران ماشین را آلوده کرده است، در 10 ژوئن آغاز شد. اولین درخواست های بهره برداری حدود 16 ژوئن شناسایی شد.

با استفاده از الگوریتم cryptonight به XMR معدن، مهاجم کمتر از 2000 دلار به دست آورده است، این رقم تنها بر مبنای کیف پول است که کارگران معدنچیان آزمایشگاه F5 استفاده می کردند. محققان افزودند که ممکن است مهاجم دارای کیف پول های مختلفی است که بخش های مختلف بوت نت خود را استفاده می کنند.

محققان F5، درخواست های مخرب را در مورد آسیب پذیری های ThinkPHP (CVE-2019-9082 و CVE-unassigned)، Atlapian Confluence (CVE-2019-3396) و دروپال (CVE-2018-7600) که همچنین Druppalgeddon2 نامیده می شوند شناسایی کردند. " .

به تازگی کمپانی مخرب با استفاده از هفت روش مختلف، شامل چهار سوء استفاده از نرم افزارهای وب، شمارش اعتبار SSH، شمارش گذار از پایگاه داده پایگاه داده Redis و تلاش برای اتصال ماشین های دیگر از طریق استفاده از کلید های SSH کشف شده است.

محققان نوشتند: "برخی از این آسیب پذیری ها اهداف رایج هستند، اما تروجان مخرب ارائه شده در این کمپین در Go (Golang)، یک زبان برنامه نویسی جدیدتر که معمولا برای ایجاد نرم افزارهای مخرب استفاده نمی شود، نوشته شده است.

به عنوان Golang به طور معمول توسط نرم افزار ضد ویروس تشخیص داده نشده، بازیگران مخرب شروع به استفاده از آن به عنوان یک زبان نرم افزارهای مخرب است. "اگر چه زبان حدود 10 سال است و توسط بسیاری از برنامه نویسان مشروع استفاده می شود، فعالیت های بدافزاری Golang نیز تا حدی فعال نبوده است. یکی از نمونه های اولیه Golang در سال ژانویه 2019 مورد تجزیه و تحلیل قرار گرفته است. "

مهاجمان گزارش می دهند که اسکریپت bash spearhead را میزبانی می کنند، از pastebin.com، یک سرویس کلیپ بورد آنلاین استفاده می کنند. براساس گزارش، بدافزار در یک وب سایت تجارت الکترونیک چینی میزبانی شده است که قبلا به خطر افتاده است. محققان معتقدند این می تواند کار یک مهاجم چینی باشد، همراه با شاخص های اضافی، مانند کلیپ بورد آنلاین، نامهای کاربری GitHhub.

میلیون ها سیستم لینوکس می تواند آسیب پذیر به یک نقص وضعیت نژادی با شدت در هسته لینوکس است.

نسخه های هسته قبل از 5.0.8 تحت تاثیر آسیب پذیری (CVE-2019-11815) هستند که در rds_tcp_kill_sock در net / rds / tcp.c وجود دارد. طبق توصیف CVE، یک وضعیت مسابقه ای که منجر به استفاده پس از آزاد شدن [UAF] می شود، وجود دارد.

آموزش لینوکس نسخه ی جدید کرنل را در 17 آوریل منتشر کرد، اما این اشکال به طور گسترده ای گزارش نشده بود. در حال حاضر توزیع هایی مانند دبیان، سرخپوش، SUSE و اوبونتو هفته گذشته منتشر شده اند.

یک وضعیت مسابقه زمانی اتفاق می افتد که یک فرآیند متشکل از وظایف خاصی که در یک دنباله خاص رخ می دهد، با یک درخواست برای انجام دو یا چند عملیات به طور همزمان اشتباه گرفته شود. در طی این سردرگمی، یک فرایند سرکش می تواند وارد شود.

در مورد CVE-2019-11815، مهاجمان می توانند از ارسال بسته های TCP مخصوص ساخته شده از راه دور به منظور ارایه یك وضعیت یك یك از ناظران مربوط به پاكسازی فضای نام كاری، جزئیات مشورتی استفاده كنند. UAF یک کلاس از نقص فیزیکی حافظه است که می تواند منجر به سقوط سیستم و توانایی مهاجم برای اجرای کد دلخواه شود.

یک پایگاه اطلاعات آسیب پذیری ملی NIST در این نقص توضیح داد که مهاجم می تواند بدون هیچ گونه امتیاز بالایی، بدون احراز هویت و بدون تعامل با کاربر، از اشکال استفاده کند. با این حال، آسیب پذیری دشوار است برای بهره برداری، با نمره بهره وری پایین از 2.2 بر اساس شاخص CVSS v3.0؛ امتیاز کلی پایه 8.1 است. لینوکس و توزیعها نقص را در هر جایی از تأثیرات بالا تا متوسط ​​مشاهده می کنند.

اشکالات هسته لینوکس نادر است اما نه بی قید و شرط. در اواخر پاییز، در طول یک هفته از هر دو توانایی در هسته لینوکس یافت شد. یکی از اشکالات کشف شدید کش است که می تواند مهاجم را مجاز به دریافت امتیازات ریشه در سیستم هدف قرار دهد و دیگری مسئله تشدید امتیاز محلی است.