مآخذ الخام مستتر يعطي المهاجمين كاملة السيطرة على بعض خوادم لينكس

الباب الخلفي للمآخذ الخام يمنح المهاجمين السيطرة الكاملة على بعض خوادم Linuxجيريمي بروكس / فليكر

مستتر الشبح التي لم يتم كشفها من قبل موفري البرامج الضارة هو إعطاء المهاجمين المجهولين السيطرة الكاملة على 100 Linux على الأقل الخوادم التي يبدو أنها تستخدم في بيئات إنتاج الأعمال ، تحذير الباحثين.

في منشور منشور منشور الأربعاء ، GoSecure ومقره مونتريال ادعى أن قطعة من البرمجيات الخبيثة التي يطلق عليها اسم “الفوضى” تصيب بشكل سيء أنظمة آمنة من خلال التخمين كلمات مرور ضعيفة حماية قذيفة آمنة استخدام مسؤولي التطبيق للتحكم عن بعد المستندة إلى يونيكس أجهزة الكمبيوتر. يتم تشغيل حسابات shell أو SSH الآمنة كجذر ، وهذه هي الطريقة التي يكون الباب الخلفي قادرًا على الوصول إليها حسنا. عادة ، تقوم جدران الحماية الموجودة أمام الخوادم بحظر مثل هذه الخلفية من التواصل مع الإنترنت الخارجي. بمجرد تثبيت ، الفوضى يتجاوز تلك الحماية باستخدام ما يعرف باسم “مأخذ التوصيل الخام” لمراقبة سرية جميع البيانات المرسلة عبر الشبكة.

“باستخدام الفوضى مأخذ خام ، يمكن تشغيل الباب الخلفي على الموانئ التي تدير خدمة شرعية موجودة ، “سيباستيان فيلدمان ، طالب درجة الماجستير المتدرب يعمل ل GoSecure ، كتب. “مثل مثال ، خادم ويب من شأنه أن يعرض SSH فقط (22) ، HTTP (80) ، و HTTPS (443) لا يمكن الوصول إليها عبر الباب الخلفي التقليدي بسبب حقيقة أن هذه الخدمات قيد الاستخدام ، ولكن مع الفوضى ذلك يصبح ممكنا “.

بمجرد التثبيت ، تسمح Chaos لمشغلي البرامج الضارة في أي مكان في العالم للسيطرة الكاملة على الخادم عبر قذيفة عكسية. يمكن للمهاجم استخدام جثمهم المميز للتسرب الحساسة البيانات ، أو الانتقال داخل الشبكة المعرضة للخطر ، أو كبديل لـ إخفاء الخارقة على أجهزة الكمبيوتر خارج الشبكة. لتفعيل مستتر ، والمهاجمين إرسال كلمة مرور مشفرة ضعيفة إلى واحدة من منافذ الجهاز المصاب.

قال باحثو GoSecure إن كلمة المرور كانت سهلة بالنسبة لهم الكراك لأنه كان hardcoded في البرامج الضارة باستخدام القديم مخطط تشفير DES. وهذا يعني أن الأجهزة المصابة ليست كذلك يمكن الوصول إليها فقط للأشخاص الذين زرعت الفوضى في الأصل ولكن عن طريق أي شخص ، مثل GoSecure ، يستثمر الموارد المتواضعة المطلوبة كسر كلمة المرور. أجرى الباحثون مسح على شبكة الإنترنت في 19 يناير واكتشف 101 جهازًا مصابًا.

Apathy هو أفضل صديق للبرامج الضارة

أبلغوا النتائج التي توصلوا إليها إلى الحادث السيبراني الكندي مركز الاستجابة على أمل الحصول على المنظمات المتضررة تطهير أنظمتها. مسح يوم الأربعاء ، ومع ذلك ، أظهر ذلك 98 خوادم ظلت مصابة. كانت النظم للخطر تقع في مجموعة متنوعة من خدمات الاستضافة الكبيرة ، بما في ذلك Cloudbuilders ، Rackspace ، المحيط الرقمي ، Linode ، Comcast ، و OVH.

كما حفر الباحثون أكثر في الفوضى ، اكتشفوا ذلك لم تكن البرامج الضارة أكثر من نسخة أعيدت تسميتها من الباب الخلفي التي تم تضمينها في الجذور الخفية المعروفة باسم SEBD – اختصار لـ Simple المشفر Backdoor لنظام التشغيل Linux – الذي تم إصداره علنًا في عام 2013. على الرغم من توافره لأكثر من خمس سنوات ، وهذا VirusTotal يشير الاستعلام إلى أن أيا من 58 الأكثر استخداما لمكافحة البرامج الضارة خدمات الكشف عنها. لاحظ GoSecure كذلك أن المهاجمين هم تجميع الفوضى مع البرامج الضارة لنظام الروبوت الذي يتم استخدامه لإزالة الألغام cryptocurrency المعروف باسم Monero.

الضعف الرئيسي الذي يسمح للفوضى في الانتشار هو استخدام أ كلمة مرور ضعيفة لحماية SSH. أفضل الممارسات تدعو إلى أن يكون SSH محمية مع مفتاح التشفير وكلمة مرور قوية. الأربعاء بلوق وظيفة يوفر مجموعة من المؤشرات التي يمكن للمسؤولين استخدامها لتحديد ما إذا كان أي من أنظمتهم تسوية. إلى جانب تطهير الخوادم المتأثرة ، يجب على مدراء تأكد من أن تطبيقات SSH الخاصة بهم محمية بشكل كاف لمنعها هجمات مماثلة من النجاح مرة أخرى.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: