رده بندی جدید Antutu
رده بندی جدید Antutu
اسفند ۱۲, ۱۳۹۶
7 روند توسعه وب محبوب در سال 2018
۷ روند توسعه وب محبوب در سال ۲۰۱۸
اسفند ۱۶, ۱۳۹۶

استفاده هکرها از وب سرور شما برای استخراج ارز مجازی

استفاده هکرها از وب سرور شما برای استخراج ارز مجازی

استفاده هکرها از وب سرور شما برای استخراج ارز مجازی

استفاده هکرها از وب سرور شما برای استخراج ارز مجازی

 

در همین ارتباط پژوهشگران امنیتی به تازگی موفق شدند خانواده جدیدی از بدافزارها را شناسایی کنند که به‌طور خاص سرورهای وب سراسر جهان را هدف قرار داده‌اند. هکرها به دنبال آن هستند تا از طریق یک بات‌نت و با سوء استفاده از سرورها ارز مجازی استخراج کنند. کارشناسان امنیتی در گزارش خود اعلام کرده‌اند که بدافزار جدیدی به نام RubyMiner را کشف کرده‌اند. این بدافزار در اواخر ژانویه سعی کرده بود از طریق پیاده‌سازی یک حمله بزرگ و هماهنگ شده سرورهای وب مستقر در ایالات متحده، آلمان، انگلستان، نرژو و سوئد را هدف قرار دهد. به نظر می‌رسد این حمله از جانب یک سازمان هکری به وقوع پیوسته است، به واسطه آن‌که بدافزار فوق در نظر داشت در یک روز نزدیک به یک سوم شبکه جهانی را تحت تاثیر خود قرار داده و به سوء استفاده از سرورها بپردازد.

این بدافزار به گونه‌ای طراحی شده است که سرورهای لینوکسی و ویندوزی را هدف قرار دهد. بدافزار RubyMiner برای منظور از آسیب‌پذیری‌ ثبت شده به شماره CVE-2013-0156 که در خلال سال‌های ۲۰۱۲ و ۲۰۱۳ میلادی شناسایی شد اما بعضی از شرکت‌ها وصله مربوطه را روی سرورهای خود نصب نکرده‌اند به منظور نصب یک استخراج‌کننده ارز مجازی بهره برده است. جالب آن‌که هکرها در ‌این راه هیچ‌گونه تلاشی نکرده‌اند تا فعالیت‌های خود را پنهان کنند، بلکه به دنبال آن بودند تا در اسرع وقت به حجم بسیار بالایی از سرورهای وب مبتنی بر پروتکل انتقال ابرمتن آسیب‌پذیر حمله کنند. بدافزار فوق که در قالب یک کمپین مخرب عمل می‌کند آسیب‌پذیری‌های موجود در نرم‌افزارهای Ruby On Rails، IIS مایکروسافت و پی‌اچ‌پی را هدف قرار می‌دهد.

در این حمله هکرها موفق شدند در یک روز ۷۰۰ سرور که در کشورهای مختلف قرار داشتند را مورد حمله قرار دهند. در حمله‌ای که Ruby On Rails را هدف قرار داده بود هکرها از یک آسیب‌پذیری شناسایی شده که هنوز ترمیم نشده بود برای اجرای کدهای راه دور خود استفاده کردند. در این حمله هکرها یک بارداده (payload)  کدگذاری شده در قالب base64 را همراه با دستور POST توزیع کردند و در ادامه تلاش کردند تا مفسر زبان روبی که روی سرور هدف قرار داشت را فریب دهند تا درخواست آن‌ها را اجرا کند. این بار داده با هدف اضافه کردن یک کرون‌جاب (cronjob) به سرور که قادر بود در هر ساعت اجرا شده و فایلrobots.txt  را دانلود کند به سرور تزریق می‌شد. فایل فوق شامل یک اسکریپت شل بود که به منظور واکشی و در نهایت استخراج‌ ارز مجازی به کار گرفته می‌شد. هکرها از آن جهت از فایل robots.txt استفاده کرده بودند تا هر زمان نیاز داشتند فرآیند استخراج روی سرور را خاتمه دهند به سرعت تغییرات مربوطه را روی سرور آسیب‌پذیر به مرحله اجرا در آورند.

دامنه lochjol.com از جمله دامنه‌هایی است که در ارتباط با این کمپین هکری شناسایی شده است. دامنه‌ای که پیش از این در سال ۲۰۱۳ میلادی نیز به کار گرفته شده بود. کارشناسان امنیتی می‌گویند هکرها حتا به سراغ سرورهای بانک‌اطلاعاتی نیز رفته‌اند تا نه تنها از این سرورها به منظور استخراج ارز مجازی استفاده کنند، بلکه داده‌های حساس درون این سرورها را جمع‌آوری کرده و در نهایت از این سرورها بات‌نت قدرتمندی به وجود آورده تا برای حمله منع سرویس انکار شده از آن‌ها استفاده کنند. هکرها برای دسترسی به سرورهای بانک‌اطلاعاتی از حملات جست‌وجوی فراگیر و در ادامه اجرای دستورات SQL به منظور دسترسی مستمر و ممانعت از شناسایی شدن از طریق فایل‌های گزارش استفاده کرده‌اند. در این کمپین نیز هکرها از سه بردار حمله Hex، Hanako و Taylor برای حمله به سرورهای Microsoft SQL و MySQL استفاده کرده‌اند. حمله Hex به منظور استخراج ارز مجازی و تزریق تروجان‌های دسترسی از راه دور به سامانه‌های آلوده، حمله Taylor به منظور نصب یک روباینده کلیدها (key-logger) و نصب یک درب پشتی و از حمله Hanako به منظور بهره‌برداری از دستگاه‌های آلوده برای ساخت یک بات‌نت استفاده کرده‌اند.

.

.

.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *