IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

لینوکس

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

کشف بدافزار لینوکسی که سه سال ناشناس مانده بود!

 

یک بدافزار لینوکس با قابلیت backdoor که تاکنون ثبت نشده بوده است، موفق شده است حدود سه سال بدون شناسایی از زیر رادار محققان امنیتی عبور کند، و به عامل تهدیدات امنیتی اجازه دهد تا اطلاعات حساس را از سیستم های آلوده جمع آوری کرده و از بین ببرند.

این backdoor که توسط محققان Qihoo 360 NETLAB، به نام RotaJakiro اعلام شده است، دستگاههای Linux X64 را هدف قرار می دهد و به این دلیل اینگونه نامگذاری شده است که "این دسته هنگام رمزگذاری، از رمزگذاری چرخشی استفاده می کنند و برای حساب های روت و غیر روت رفتار متفاوتی دارند".

این یافته ها بر مبنای تجزیه، تحلیل و آنالیز یک نمونه بدافزار است که در تاریخ 25 ماه مارس شناسایی شده است، اگرچه به نظر می رسد نسخه های اولیه آن از اوایل ماه مه سال 2018 در VirusTotal بارگذاری شده اند. در مجموع چهار نمونه تاکنون در پایگاه داده ها پیدا شده است که همه آنها توسط اکثر موتورهای ضد بدافزار ، شناسایی نشده، باقی مانده اند. از زمان نوشتن این مقاله، فقط هفت تامین کننده امنیتی آخرین نسخه بدافزار را به عنوان مخرب اعلام و علامتگذاری کرده اند.

takian.ir uncover stealthy linux 1

 

بنا به گفته محققین: "در سطح عملکردی، RotaJakiro ابتدا با استفاده از پالیسی های مختلف اجرا برای حساب های مختلف، مشخص می کند که کاربر مد نظر، کاربر روت یا میباشد یا غیر روت؛ سپس منابع حساس مربوطه را با استفاده از AES& ROTATE رمزگشایی می کند تا در صورت مقاومت، از فرآیندهای آتی و استفاده از نمونه محافظ کند، و سرانجام ارتباط با C2 برقرار می شود و منتظر اجرای دستورات صادر شده توسط C2 میماند".

takian.ir uncover stealthy linux 2

 

RotaJakiro با تکیه بر ترکیبی از الگوریتم های رمزنگاری برای رمزگذاری ارتباطات خود با یک سرور command-and-control (C2) و علاوه بر آن، پشتیبانی از 12 عملکرد که برای جمع آوری فراداده های دستگاه و سرقت اطلاعات حساس، انجام عملیات مربوط به فایل ها و بارگیری و اجرای افزونه ها از سرور C2 پشتیبانی می کنند، بر مبنای اصل عملیات پنهانی طراحی شده است.

اما هدف واقعی این کمپین بدافزار بدون هیچ مدرکی جهت روشن کردن ماهیت افزونه ها، همچنان نامشخص است. جالب اینجاست که زمان ثبت برخی از دامنه های C2 ثبت شده تقریباً به ماه دسامبر سال 2015 بر می گردند، همچنین محققان هم پوشانی را بین RotaJakiro و بات نتی با نام Torii را مشاهده کردند.

همچنین محققان گفتند: "از منظر مهندسی معکوس، RotaJakiro و Torii سبک های مشابهی دارند: استفاده از الگوریتم های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک تلاش برای ماندگاری نسبتاً قدیمی، ترافیک شبکه و غیره. ما پاسخ را دقیقی برای آن نداریم، اما به نظر می رسد RotaJakiro و Torii ارتباطاتی با یکدیگر دارند".

نقص لینوکس با قدمت ۷ سال؛ اجازه دسترسی روت در Polkit به کاربران غیرمجاز لینوکس

 unprivileged linux users gain root access 2

یک آسیب پذیری افزایش اختیارات به قدمت حدود هفت سال، در سرویس سیستم polkit کشف شده است که می تواند توسط مهاجم محلی خرابکار و غیرمجاز برای دور زدن شناسایی و افزایش اختیارات مجوزها در سطح کاربر اصلی با دسترسی روت، مورد سواستفاده قرار بگیرد.

این اشکال که با عنوان CVE-2021-3560 (نمره CVSS: 7.8) شناخته شده است، بر نسخه های polkit بین 0.113 تا 0.118 تأثیر می گذارد و توسط محقق امنیتی GitHub، کوین بک هاوس کشف شده است. وی بیان کرد که این موضوع در یک تعهد کد ساخته شده در 9 نوامبر 2013 به وجود آمده و درج شده است. رد هت سدریک بویسارت اشاره کرد که توزیع کننده های مبتنی بر Debian و برمبنای polkit 0.105، نیز آسیب پذیر هستند.

پولکیت یا Polkit (ریشه یافته از PolicyKit) مجموعه ای برای تعریف و مدیریت مجوزها در توزیع های لینوکس است و برای ارتباط پردازش های غیرمجاز با فرایندهای مجاز و صاحب امتیاز استفاده می شود.

رد هت در یک توصیه امنیتی گفته است: "هنگامی که یک فرآیند درخواست دقیقاً قبل از شروع تماس با polkit_system_bus_name_get_creds_sync از dbus-daemon قطع می شود، فرآیند نمی تواند uid و pid منحصر به فرایند را دریافت کند و و به طبع آن نمی تواند امتیازات پروسه درخواستی را تأیید نماید. بزرگترین تهدید ناشی از این آسیب پذیری، محرمانه بودن و یکپارچگی داده ها و همچنین در دسترس بودن سیستم است".

برخی از توزیع های محبوب لینوکس مانند RHEL 8 ،Fedora 21 (یا نسخه های قبلتر)، Debian "Bullseye" و اوبونتو 20.04، تحت تأثیر آسیب پذیری polkit قرار دارند. این مسئله در نسخه 0.119 که در 3 ماه ژوئن منتشر شده، کاهش یافته است.

unprivileged linux users gain root access 1

 

بک هاوس در مقاله ای که دیروز منتشر شد، افزود: "این آسیب پذیری به طرز شگفت انگیزی و ساده ای قابل سواستفاده است. تمام آنچه که لازم است فقط چند دستور در ترمینال است که فقط از ابزارهای استاندارد مانند bash، kill و dbus-send استفاده می کند". دستور dbus-send (به مثال برای ایجاد کاربر جدید) ارسال میشود، اما فرآیند در حالی که polkit هنوز در اواسط پردازش درخواست است، خاتمه داده میشود.

دستور "dbus-send" یک مکانیسم ارتباط بین پردازشی لینوکس (IPC) است که برای ارسال پیام به گذرگاه پیام D-Bus استفاده می شود و امکان برقراری ارتباط بین چندین فرآیند را به طور همزمان در همان دستگاه فراهم می کند. فرایند پس زمینه شناسه پالیسی Polkit به عنوان سرویس متصل به گذرگاه سیستم برای احراز هویت ایمن اعتبارنامه ها اجرا می شود.

هنگامی که دستور از بین برده شود، این امر باعث بای‌پس احراز هویت می شود زیرا polkit پیام خاتمه یافته را به شکل غلط مدیریت می کند و تصور میکند که پیام ظاهرا با عبور از روند امتیازات روت (UID 0) آمده است، در نتیجه بلادرنگ درخواست را تأیید می کند.

بک هاوس گفت: "برای ایجاد این مسیر کد نویسی آسیب پذیر، باید در لحظه مناسب اتصال خود را قطع كنید؛ و از آنجا که چندین فرآیند در لحظه درگیر هستند، زمان آن «لحظه مناسب»، از یک فرایند به مرحله بعدی متفاوت است. به همین دلیل معمولاً چند تلاش پیاپی لازم است تا نفوذ موفقیت آمیز حاصل بشود. حدس من این است که این مسئله، دلیل این اشکال نیز باشد که پیش از این کشف نشده بوده است".

به کاربران لینوکس، به جد توصیه میشود که در اسرع وقت نسبت به نصب بروزرسانی لینوکس خود اقدام نموده تا خطرات احتمالی ناشی از این نقص را برطرف نمایند.

هشدار محققان نسبت به گسترش روت کیت های لینوکسی Facefish Backdoor

 

محققان امنیت سایبری یک برنامه Backdoor جدید را شناسایی کرده اند که قادر به سرقت اطلاعات ورودی کاربر، اطلاعات دستگاه و اجرای دستورات دلخواه در سیستم های لینوکس است.

takian.ir researchers warn of facefish backdoor spreading linux rootkits 1

این عامل بدافزاری به دلیل قابلیت های خود برای ارائه روت کیت های مختلف در زمان های مختلف و استفاده از رمزنگاری Blowfish برای رمزگذاری ارتباطات به سرور تحت کنترل مهاجم، توسط Qihoo 360 نت لب با عنوان "Facefish" لقب گرفته است.

به گفته محققان: "Facefish از 2 قسمت Dropper و Rootkit تشکیل شده است و عملکرد اصلی آن توسط ماژول Rootkit تعیین می شود، که در ی حلقه سه لایه کار می کند و با استفاده از ویژگی LD_PRELOAD بارگیری می شود تا با ورود به سیستم، توابع مربوط به پروگرم ssh/sshd، اعتبارنامه ورود به سیستم کاربر را بدزدد. لازم به ذکر است که این بدافزار همچنین برخی از عملکردهای بک دور را پشتیبانی کرده و ارائه میکند".

به گزارش هکر نیوز، تحقیقات نت لب بر اساس تجزیه و تحلیل های قبلی که توسط جونیپر نتورکز در تاریخ 26 ماه آوریل انجام شده بود، منتشر شده است، که زنجیره حمله برای هدف قرار دادن کنترل پنل وب (CWP ، پنل سابق CentOS Web) برای تزریق ایمپلنت SSH با قابلیت اکسفیلتریشن داده ها را مستندسازی کرده است.

Facefish یک فرآیند آلودگی چند مرحله ای را طی می کند، که با تزریق دستور CWP برای بازیابی دراپر ("sshins") از یک سرور از راه دور آغاز می شود؛ سپس یک rootkit به دستگاه منتقل می شود که علاوه بر اینکه منتظر دستورالعمل های دیگری که توسط سرور command-and-control (C2) صادر شده است، میماند؛ در نهایت کار جمع آوری و انتقال اطلاعات حساس به سرور را نیز انجام میدهد.

takian.ir researchers warn of facefish backdoor spreading linux rootkits 2

 

در حالی که مشخص نیست که دقیقا این آسیب پذیری مورد سوءاستفاده مهاجم برای اولین موارد به خطر انداختن کاربران استفاده شده است یا خیر، اما جونیپر خاطرنشان کرد که CWP از ده ها مورد از مشکلات امنیتی رنج می برد و افزودن رمزگذاری و پنهان سازی عمدی کد منبع، تشخیص اینکه کدام نسخه از CWP آسیب پذیر بوده یا در برابر این حمله آسیب پذیر باقی مانده است را دشوار کرده است.

به نوبه خود، دراپر با مجموعه ای از وظایف مختص خود همراه است که از جمله مهمترین آنها می توان به شناسایی زمان اجرا و فعالیت محیط کاربر، رمزگشایی فایل پیکربندی برای دریافت اطلاعات C2، پیکربندی rootkit و شروع rootkit با تزریق آن به پروسس سرور امن shell (sshd) اشاره کرد.

روت کیت ها به خودی خود خطرناک هستند زیرا به مهاجمان اجازه می دهند اختیارات زیادی را در سیستم به دست آورند و همچنین به آنها اجازه می دهد در عملیات های اصلی انجام شده توسط سیستم عامل اصلی نفوذ و دخالت کنند. این توانایی روت کیت ها برای استتار در ساختار سیستم عامل، امکان گسترده ای برای پنهان کاری به مهاجمان می دهد.

Facefish همچنین از یک پروتکل ارتباطی پیچیده و الگوریتم رمزنگاری استفاده می کند و از دستورالعمل هایی با 0x2XX شروع میشوند برای تبادل کلیدهای عمومی و BlowFish برای رمزگذاری داده های ارتباطی با سرور C2 استفاده می کنند. برخی از دستورات C2 ارسال شده توسط سرور به شرح زیر هستند:

  • 0x300 – ارسال گزارش اطلاعات اعتبارنامه سرقت شده
  • 0x301 - جمع آوری جزئیات دستور "uname"
  • 0x302 – اجرای shell معکوس
  • 0x310 – اجرای هر نوع دستور سیستمی
  • 0x311 - ارسال نتیجه اجرای bash
  • 0x312 - گزارش اطلاعات میزبان

یافته های نت لب از تجزیه و تحلیل یک پرونده نمونه ELF است که در فوریه 2021 کشف شده، نشات گرفته است. سایر شاخص های سازش در ارتباط با بدافزار را می توان با یک جستجوی ساده مشاهده کرد.