کمیته رکن چهارم – به تازگی تروجانی با نام XOR.DDoS کشف شده که احتمالاً مجموعهای از سیستمها را برای استفاده در حملات DDoS آلوده کرده است.
این تهدید جدید تنظیمات محیط لینوکسی قربانی را تغییر داده و یک روت کیت را برای جلوگیری از شناسایی شدن نصب میکند.
به گزارش کمیته رکن چهارم،نصب چنین روت کیتی بر روی لینوکس بسیار دشوار است، چراکه به موافقت سیستم عامل قربانی نیاز دارد؛ بنابراین مهاجمان تغییری در login پیش فرض کاربران نمیدهند بلکه از طریق تکنیک ارتباط SSH کاربر root اقدام و در صورت موفقیت، تروجان را از طریق shell script نصب میکند.
اسکریپت شامل پروسه هایی مانند main، check، compiler، uncompress، setup ، generate ، upload ، upload و غیره و نیز متغیرهایی مانند __host_۳۲__،__kernel__ ، __host_۶۴__ و __remote__ است سپس تروجان بررسی میکند که آیا با کرنل سیستم قربانی منطبق است یا نه و در این صورت روت کیت را نصب میکند.
روت کیت سپس همه فایلهایی نشاندهنده آلودگی را پنهان میسازد، بنابراین کاربر نشانههای آلودگی را مشاهده نمیکند. پروسه اصلی رمزگشایی و انتخاب سرور دستور و فرمان متناسب با معماری سیستم است.
این روت کیت اولین بار در حملهای در اکتبر ۲۰۱۴ بهکار رفته است و در دسامبر ۲۰۱۴ جزییات آن تا حدودی توسط گروه MalwareMustDie شناسایی شده است.
این تروجان و متغیرهای آن میتواند وب سرورها و میزبانهای ۳۲ و ۶۴ بیتی همچنین معماری ARM ها در روترها، تجهیزات loT سیستمهای ذخیرهسازی و سرورهای ARM ۳۲ بیتی را تحت تاثیر قرار دهد. اگرچه تاکنون تعداد زیادی سیستم آلوده به این تروجان کشف نشده است اما مواردی هم که مشاهده شده از الگوی خاصی پیروی نمیکند.
این مورد تروجان میتواند هم سازمانها و هم افراد عادی را آلوده کند ولی سازمانها معمولاً دارای امنیت بالاتری هستند. پیشنهاد میشود که برای جلوگیری از آلودگی به این تروجان از آنتی ویروسهای معتبر و بهروز رسانی استفاده شود و همچنین در صورت استفاده از ssh اسم رمزهای قوی بهکار گرفته شود.
منبع:مرکز ماهر
