کمیته رکن چهارم – مجرمان سایبری در تلاش هستند تا با سوء استفاده از فایلهای مخرب سیستمها و با استفاده از ابزار Proot رمزارز استخراج کنند.
مجرمان سایبری به تازگی با استفاده از یک ابزار منبع باز به نام Proot، دامنه عملیات خود را به چندین محصول لینوکس گسترش دادهاند. تیم تحقیقاتی Sysdig Threat (TRT) این تکنیک را کشف کرده و توضیح داده است که چرا این روش بسیار خطرناک است.
این شرکت در توصیهنامهای نوشت: معمولاً دامنه یک حمله توسط پیکربندیهای مختلف هر نسخه لینوکس محدود میشود. Enter Proot، یک ابزار منبع باز است که یک محیط عملیاتی سازگار در توزیعهای مختلف لینوکس مانند اوبونتو، فدورا و آلپاین را برای مهاجم فراهم میکند. Proot همچنین قابلیتهای شبیهسازی را فراهم میکند که اجازه میدهد بدافزار ساخته شده بر روی معماریهای دیگر، مانند ARM [ماشین پیشرفته RISC] اجرا شود.
Sysdig از این نوع حمله به عنوان «فایل سیستم خود را بیاورید» (BYOF) یاد میکند و میگوید زمانی که ممکن است درک کاملی از یک محیط قبل از حمله یا منابع لازم برای تغییر ابزار در اواسط عملیات نداشته باشند، برای عوامل تهدید مفید است.
تیم Sysdig در توصیف این روش گفت: عوامل تهدید معمولاً یک سیستم فایل مخرب میسازند که شامل همه چیزهایی از جمله دستورالعملهایی برای دانلود، پیکربندی و عملیات نصب است که حمله برای موفقیت نیاز دارد.
در این توصیهنامه آمده است: با استفاده از Proot، توجه یا نگرانی کمی برای معماری یا توزیع هدف وجود دارد زیرا این ابزار مبارزات حمله را که اغلب با سازگاری اجرایی، راهاندازی محیط و بدافزار و یا اجرای ماینر مرتبط است، هموار میکند. این به مهاجمان اجازه میدهد به فلسفه «یک بار بنویس، همه جا بدو» نزدیکتر شوند، که هدفی طولانی مدت است.
علاوه بر این، از آنجایی که Proot به صورت ایستا کامپایل شده است، به فایلها یا کتابخانههای خارجی اضافی نیاز ندارد.
این کار استفاده مهاجم را در زنجیره ابزار خود بسیار ساده میکند. این فایل اجرایی میتواند به طور بالقوه با UPX (بستهکننده نهایی برای فایلهای اجرایی) یا سایر ابزارهای مبهمکننده برای فرار از شناسایی بستهبندی شود.
به گفته Sysdig، مسیر حمله نیز ساده شده است. این تیم در ارزیابی خود مشاهده کرد که عوامل تهدید از این تکنیک استفاده میکنند و فقط باید چند دستور را برای استقرار در یک سیستم قربانی و متعاقباً اجرای بارهای پیدرپی تکمیل کنند.
در مورد نوع حملات مشاهده شده توسط کارشناسان امنیت سایبری، Sysdig استخراجکننده رمزارز XMRig را بررسی کرد.
در این توصیه نامه آمده است: در این عملیات استخراج، XMRig در سیستم فایل مخرب ذخیره میشود و میتواند به راحتی راهاندازی شود. هر گونه وابستگی یا پیکربندی نیز در سیستم فایل گنجانده شده است، بنابراین مهاجم نیازی به اجرای دستورات نصب اضافی ندارد. مهاجم Proot را راهاندازی میکند، آن را به سمت سیستم فایلهای مخرب باز نشده نشانه میگیرد و باینری XMRig را برای اجرا مشخص میکند.
برای مقابله با این تهدیدهای BYOF، تیم تحقیقاتی Sysdig Threat قوانینی ایجاد کرده است که میتواند استفاده از ابزار Proot را با استفاده از Falco تشخیص دهد.
این تهدید جدید چند ماه پس از آن کشف شد که تیم تحقیقاتی چکپوینت، XMRig را به عنوان سومین بدافزار پرکاربرد در ماه جولای معرفی کرد.
منبع: افتانا