شناسایی یک بدافزار جدید استخراج رمز ارز
مرکز ماهر نسبت به شناسایی بدافزار جدید استخراج رمز ارز Monero که قابلیتی شبیه کرم های کامپیوتری دارد، هشدار داد.
اخیراً بدافزاری مبتنی بر زبان برنامهنویسی Go شناسایی شده است که از اوایل ماه دسامبر سال ۲۰۲۰ میلادی رو به گسترش است.
این بدافزار برنامه استخراج کننده رمز ارز XMRig را جهت استخراج رمز ارز Monero روی سرورهای ویندوزی و لینوکسی مستقر میکند.
بدافزار چند پلتفرمی مذکور، قابلیتی مشابه کرمهای کامپیوتری دارد که امکان گسترش به سیستمهای جدید را با استفاده از بروت-فورس (حمله جستجوی فراگیر) سرویسهای عمومی فراهم میآورد.
این بدافزار با اسکن و سپس بروت-فورس سرویسهای عمومی مانند MYSQL، Tomcat، Jenkinsو WebLogic گسترش مییابد.
همچنین نسخههای قدیمی این بدافزار قابلیت اکسپلویت (کد مخرب) آسیبپذیری با شناسه CVE-۲۰۲۰-۱۴۸۸۲ را که منجربه اجرای کد از راه دور در Oracle WebLogic میشوند، دارند.
بدافزار بعد از تحت تأثیر قرار دادن یکی از سرورهای هدف، اسکریپت لودر خود (در لینوکس ld.ps۱ و در ویندوز ld.sh) را در سیستم هدف قرار میدهد. این اسکریپت جهت استقرار کد باینری کرم و ماینر XMRig در سیستم هدف مورد استفاده قرار میگیرد.
تا تاریخ ۱۰ دی ۱۳۹۹ طبق گزارش منتشر شده، امکان شناسایی کد باینری ELF کرم و اسکریپت مربوط به لودر بدافزار توسط VirusTotal وجود نداشته است. این موضوع نشان میدهد که خطر این بدافزار در سیستمهای لینوکسی بسیار بیشتر است.
هکرهای پشتیبان این بدافزار به صورت فعال قابلیتهای این بدافزار را از طریق سرور command-and-control) C۲) به روزرسانی میکنند.
برای محافظت از سیستمها در برابر این بدافزار لازم است:
- گذرواژههای پیچیده انتخاب شود، تعداد تلاشهای ناموفق ورود به سیستم را محدود کرده و از روشهای احراز هویت دو فاکتور استفاده شود.
- سرویسهای با دسترسی عمومی غیر ضروری از دسترس خارج شود.
- نرمافزارها به روز نگه داشته و وصلههای لازم اعمال شود.