کمیته رکن چهارم – کارشناسان شرکتهای امنیتی از حمله باتنت Roboto به سرورهای لینوکس خبر دادند.
بهتازگی شرکت امنیتی چینی چیهو ۳۶۰ نتلب (Qihoo 360 Netlab) با انتشار گزارشی اعلام کرده است بات نت روبوتو (Roboto) از آسیبپذیری وبماین (Webmin) استفاده کرده و سرورهای لینوکس را هدف قرار میدهد. وبماین محبوبترین ابزار متنباز web-based در سیستمعاملهای تحت Unix مانند Linux ،FreeBSD و OpenBSD است. کارشناسان امنیتی در ماه اوت ۲۰۱۹ در وبماین یک درب پشتی و آسیبپذیری به نام CVE-2019-15107 شناسایی کردند که به مهاجمان اجازه میداد کد دلخواهی بر روی سیستم هدف با حقوق فوق کاربر اجرا کنند. بهرهبرداری از آسیبپذیری کار دشواری نبوده و تنها چند روز پس از شناسایی آسیبپذیری، نسخههای آسیبپذیر وبماین موردتهاجم قرار گرفتند.
طبق گفته توسعهدهندگان رسمی، وبماین بیش از ۱میلیون بسته نصب دارد و به گزارش سرویس شودان (shodan) بیش از ۲۳۰ هزار مورد از این نسخهها در اینترنت قابلدسترس است. براساس آمار BinaryEdge نیز بیش از ۴۷۰ هزار بسته نصب وبماین آسیبپذیر بوده و در دسترس است. محققان شرکت چیهو ۳۶۰ معتقدند که روبوتو اولین بهرهبردار از آسیبپذیری وبماین است و اخیراً نیز توسعه یافته و کد آن پیچیدهتر شده است. محققان این شرکت میگویند کارکرد اصلی این باتنت انجام حملات منع سرویس توزیعشده یا دیداس (DDoS) با استفاده از ICMP ،HTTP ،TCP و UDP است.
روبوتوی نصبشده در سیستمعاملهای لینوکس قادر است:
• بهعنوان شل معکوس عمل کرده و به مهاجم این امکان را میدهد دستورات پوسته یا فرامین شل را در هاست آلوده اجرا کند؛
• اطلاعات سیستم، پردازندهها و شبکه سرور آلوده را جمعآوری کند؛
• دادههای جمعآوریشده را در یک سرور کنترل از راه دور بارگذاری کند؛
• فایل بارگیری شده از URL از راه دور را اجرا نماید؛
• خود را حذف کند.
باتهای روبوتو در شبکههای نظیربهنظیر سازماندهی شده و دستورات دریافتی از سرور کنترل و فرمان را به یکدیگر مخابره میکنند و تکتک با سرورکنترل ارتباط نمیگیرند. ارتباطات نظیربهنظیر در معدودی از باتنتها منجمله Hajime و Hide’N’Seek مشاهده میشود. اکثر باتهای روبوتو زامبیهای سادهای هستند که اقدام به ارسال فرامین میکنند و برخی نیز از شبکههای نظیربهنظیر پشتیبانی کرده یا بستههای نصب آسیبپذیر دیگری از وب ماین را جستجو میکنند تا حجم باتنت را افزایش دهند.
منبع : سایبربان
