!Hidden Hacker
چهارشنبه 12 فروردین 1394, 13:26 عصر
به تازگی یک Trojan با نام XOR.DDoS (https://www.google.com/search?q=XOR.DDoS&oq=XOR.DDoS&aqs=chrome..69i57j69i61&sourceid=chrome&es_sm=93&ie=UTF-8) کشف شده که احتمالاً مجموعهای از سیستمها را برای استفاده در حملات DDoS (http://en.wikipedia.org/wiki/Denial-of-service_attack) آلوده کرده است!
این تهدید جدید Linux Environment Option قربانی را تغییر داده و یک Rootkit را برای جلوگیری از شناسایی شدن نصب میکند!
نصب چنین روت کیتی بر روی Linux بسیار دشوار است ؛ چراکه به موافقت سیستم عامل قربانی نیاز دارد.
بنابراین مهاجمان تغییری در Login پیش فرض کاربران نمیدهند بلکه از طریق تکنیک brute force (http://en.wikipedia.org/wiki/Brute-force_attack) ارتباط SSH کاربر root اقدام و در صورت موفقیت ، Trojan را از طریق shell script نصب میکند!
اسکریپت شامل پروسه هایی مانند:
main
check
compiler
uncompress
setup
generate
upload
و...
و نیز Variableهایی مانند:
host 32
kernel
host 64
و remote است.
سپس Trojan بررسی میکند که آیا با Cornell سیستم قربانی منطبق است یا نه و در این صورت Rootkit را نصب میکند!
سپس Rootkit همه فایلهایی نشاندهنده آلودگی را پنهان میسازد!
بنابراین کاربر نشانههای آلودگی را مشاهده نمیکند!
پروسه اصلی رمزگشایی و انتخاب سرور دستور و فرمان متناسب با معماری سیستم است.
این Rootkit اولین بار در حملهای در اکتبر 2014 بهکار رفته است و در دسامبر 2014 جزییات آن تا حدودی توسط گروه MalwareMustDie (http://malwaremustdie.org/)شناسایی شده است.
این Trojan و Variable های آن میتواند Web Server و میزبانهای 32 و 64 بیتی همچنین معماری ARM ها در Router ، تجهیزات loT و سیستمهای ذخیرهسازی و سرورهای ARM 32 بیتی را تحت تاثیر قرار دهد!
اگرچه تاکنون تعداد زیادی سیستم آلوده به این Trojan کشف نشده است اما مواردی هم که مشاهده شده از الگوی خاصی پیروی نمیکند!!!
این مورد Trojan میتواند هم سازمانها و هم افراد عادی را آلوده کند ولی سازمانها معمولاً دارای امنیت بالاتری هستند.
برای جلوگیری از آلودگی به این Trojan از Antivirus های معتبر و بهروز رسانی استفاده کنید و همچنین در صورت استفاده از ssh رمزهای قوی بهکار بگیرید.(منبع:avast! blog (https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/))
129948
این تهدید جدید Linux Environment Option قربانی را تغییر داده و یک Rootkit را برای جلوگیری از شناسایی شدن نصب میکند!
نصب چنین روت کیتی بر روی Linux بسیار دشوار است ؛ چراکه به موافقت سیستم عامل قربانی نیاز دارد.
بنابراین مهاجمان تغییری در Login پیش فرض کاربران نمیدهند بلکه از طریق تکنیک brute force (http://en.wikipedia.org/wiki/Brute-force_attack) ارتباط SSH کاربر root اقدام و در صورت موفقیت ، Trojan را از طریق shell script نصب میکند!
اسکریپت شامل پروسه هایی مانند:
main
check
compiler
uncompress
setup
generate
upload
و...
و نیز Variableهایی مانند:
host 32
kernel
host 64
و remote است.
سپس Trojan بررسی میکند که آیا با Cornell سیستم قربانی منطبق است یا نه و در این صورت Rootkit را نصب میکند!
سپس Rootkit همه فایلهایی نشاندهنده آلودگی را پنهان میسازد!
بنابراین کاربر نشانههای آلودگی را مشاهده نمیکند!
پروسه اصلی رمزگشایی و انتخاب سرور دستور و فرمان متناسب با معماری سیستم است.
این Rootkit اولین بار در حملهای در اکتبر 2014 بهکار رفته است و در دسامبر 2014 جزییات آن تا حدودی توسط گروه MalwareMustDie (http://malwaremustdie.org/)شناسایی شده است.
این Trojan و Variable های آن میتواند Web Server و میزبانهای 32 و 64 بیتی همچنین معماری ARM ها در Router ، تجهیزات loT و سیستمهای ذخیرهسازی و سرورهای ARM 32 بیتی را تحت تاثیر قرار دهد!
اگرچه تاکنون تعداد زیادی سیستم آلوده به این Trojan کشف نشده است اما مواردی هم که مشاهده شده از الگوی خاصی پیروی نمیکند!!!
این مورد Trojan میتواند هم سازمانها و هم افراد عادی را آلوده کند ولی سازمانها معمولاً دارای امنیت بالاتری هستند.
برای جلوگیری از آلودگی به این Trojan از Antivirus های معتبر و بهروز رسانی استفاده کنید و همچنین در صورت استفاده از ssh رمزهای قوی بهکار بگیرید.(منبع:avast! blog (https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/))
129948