بهره‌برداری بدافزارِ SHELLBIND از آسیب‌پذیری SambaCry برای حمله به دستگاه های اینترنت اشیاء

چگونگی نفوذ بدافزارِ SHELLBIND از آسیب‌پذیری SambaCry

بهره‌برداری بدافزارِ SHELLBIND از آسیب‌پذیری SambaCry برای حمله به دستگاه های اینترنت اشیاء

تقریباً دو ماه قبل از وجود یک آسیب‌پذیری حیاتیِ اجرا کد از راه دور و ۷ ساله در نرم‌افزار شبکه‌ی Samba خبرهایی منتشر شد. بهره‌برداری از این آسیب‌پذیری به یک مهاجم اجازه می‌داد از راه دور، کنترل کامل ماشین‌های آسیب‌پذیرِ لینوکس و یونیکس را در دست بگیرد.  این آسیب‌پذیری SambaCry نام‌گذاری شد چرا که شباهت زیادی به یک آسیب‌پذیری در سرویس SMB ویندوز داشت که توسط باج‌افزار «گریه» مورد بهره‌برداری قرار گرفت. با اینکه این آسیب‌پذیری در ماه می سال جاری وصله شد، همچنان شاهد هستیم که یک بدافزار از آن برای هدف قرار دادن دستگاه‌های اینترنت اشیاء به‌ویژه تجهیزات ذخیره‌سازی ضمیمه‌شده‌ی شبکه NAS استفاده می‌کند.

نرم‌افزار Samba یک نرم‌افزار متن‌باز است که بازسازی جدیدی از پروتکل SMB ویندوز محسوب می‌شود. این نرم‌افزار به کارگزارهای لینوکس و یونیکس، سرویس‌های پرونده و چاپ مبتنی بر ویندوز را ارائه می‌دهد و بر روی اکثر سامانه عامل‌ها در حال اجرا شدن است. بلافاصله پس از اینکه وجود آسیب‌پذیری SambaCry با شناسه‌ی CVE-۲۰۱۷-۷۴۹۴ به‌طور عمومی افشاء شد، بهره‌برداری‌ها از آن در حملات سایبری شروع شد. در یکی از حملات برای استخراج ارز مجازی توسط نرم‌افزار CPUminer، بر روی ماشین‌های لینوکس از این آسیب‌پذیری بهره‌برداری می‌شد. با این حال، آخرین بدافزاری که از این آسیب‌پذیری بهره‌برداری می‌کند، دستگاه‌های NAS را هدف قرار داده و شرکت‌های تجاری کوچک و متوسط را آلوده می‌کند.

چگونگی نفوذ بدافزارِ SHELLBIND از آسیب‌پذیری SambaCry

چگونگی نفوذ بدافزارِ SHELLBIND از آسیب‌پذیری SambaCry

بدافزار اخیر SHELLBIND نام داشته و بر روی معماری‌های مختلف از جمله MIPS ،ARM و PowerPC به‌خوبی کار می‌کند. این بدافزار در داخل پوشه‌ی Samba با یک پرونده‌ی شیء اشتراکی (SO.) استقرار یافته و توسط آسیب‌پذیری SambaCry بارگذاری می‌شود. وقتی بدافزار در داخل سامانه‌ی هدف مستقر شد، با کارگزارهای دستور و کنترل مهاجمان که در آفریقای شرقی قرار دارد، ارتباط برقرار می‌کند. این بدافزار قوانین دیواره‌ی آتش سامانه را تغییر می‌دهد تا مطمئن شود که به‌راحتی می‌تواند با کارگزار دستور و کنترل ارتباط برقرار کند. پس از برقراری ارتباط موفق با کارگزار، دسترسی‌های سامانه به مهاجمان اعطا شده و یک خط فرمان بازِ شِل در اختیار آن‌ها قرار می‌گیرد تا دستورات دلخواه خود را اجرا کنند.

چگونگی نفوذ بدافزارِ SHELLBIND از آسیب‌پذیری SambaCry

مهاجمان برای پیدا کردن دستگاه‌های آسیب‌پذیری که از Samba استفاده می‌کنند، از موتور جستجوی Shodan بهره‌ برده‌اند و پرونده‌های مربوط به بدافزار نیز در داخل پوشه‌های عمومی آن‌ها نوشته شده است. مهاجمان می‌توانند در ابزار Shodan شماره‌ی درگاه ۴۴۵ را به همراه رشته‌ی samba جستجو کرده و دستگاه‌های آسیب‌پذیر را کشف کنند. با این‌حال هنوز اقدامات مهاجمان بر روی ماشین‌های آلوده  و هدف اصلی آن‌ها از آلوده کردن این دستگاه‌ها مشخص نیست. بهره‌برداری از آسیب‌پذیری SambaCry بسیار آسان است و مهاجم می‌تواند کتابخانه‌های مخرب را در بخش اشتراکی سامانه بارگذاری کرده و در ادامه کارگزار نیز کدهای مخرب را بارگذاری و اجرا کند.

    چگونگی نفوذ بدافزارِ SHELLBIND از آسیب‌پذیری SambaCry

بخشی که مسئولیت نگهداری از Samba را برعهده دارد، این آسیب‌پذیری را وصله کرده و ما نیز توصیه می‌کنیم که در در اولین فرصت این نرم‌افزار را بر روی سامانه‌های خود به‌روزرسانی کنید تا وصله‌ها اعمال شوند. همچنین مهاجمان برای بارگذاری کدهای مخرب در بخش اشتراکی سامانه، باید بر روی آن دسترسی‌های نوشتن داشته باشند. همین مسئله ممکن است باعث شود تا نرخ آلودگی به این بدافزار کاهش یابد.

منبع :

www.new.asis.io

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *