مقدمهXoRDDos یک بدافزار به روش تروجان است که سیستم های لینوکس را تحت تأثیر قرار می دهد. در این آموزش در ابتدا به اینکه XoRDDos چیست؟ چگونه به سیستم شما نفوذ می کند و چرا لینوکس مورد حمله این بدافزار قرار می گیرد و راهکارهای پیشگیری از نفوذ می پردازیم سپس در آخر، مراحل حذف این بدافزار را به شما همراهان همیشگی تلاش نت آموزش خواهیم داد.
|
XoRDDos چیست؟
XORDDoS یک بدافزار تروجان لینوکس (سرور مجازی VPS) با قابلیت روت کیت است که برای راه اندازی حملات DDoS دراندازه ای بزرگ مورد استفاده قرار می گیرد. نام آن ناشی از استفاده زیاد از رمزگذاری XOR در بدافزارها و ارتباطات شبکه با C&Cها است و برای چندین معماری لینوکس مانند ARM، x86 و x64 ساخته شده است. نکته قابل توجه در مورد XOR DDoS، توانایی پنهان کردن خود با یک جزء روت کیت آماده شده است که با چندین مرحله نصب به دست می آید.
“روت کیت: مجموعهای از نرمافزارهاست که کنترل یک سیستم رایانهای را به دست میگیرد. در این نوع حمله، کاربر سیستم متوجه حضور روتکیت نخواهد شد و هکر رایانه توانایی تغییر تمامی تنظیمات رایانه را دارد.”
برای دستیابی به دسترسی، یک حمله brute force در جهت یافتن رمز عبور سرویسهای Secure Shell در لینوکس انجام میدهد.هنگامی که اعتبار نامه Secure Shell به دست آمد و ورود موفقیت آمیز بود، از امتیازات ریشه برای اجرای اسکریپتی استفاده می کند که XOR DDoS را دانلود و نصب می کند.بر این باور است که منشاء آسیایی بر اساس اهداف آن است که تمایل دارند در آسیا واقع شوند.
❗ XoRDDos چگونه به سیستم شما نفوذ میکند!
XoRDDos به روش های زیر می تواند به سیستم شما نفوذ کند:
تشکیل بات نت
XoRDDos به اینترنت اشیا و سایر دستگاه های متصل به اینترنت نفوذ می کند و بات نت ها را جمع می کند. این بات نت ها به عنوان یک سلاح قدرتمند برای انجام حملات DDoS عمل می کنند. همانند حمله DDoS عظیم 2.4 ترابیت بر ثانیه را که مایکروسافت در آگوست 2021 خنثی کرد،چنین حملاتی می تواند اختلالات قابل توجهی ایجاد کند.
بردار حمله
XoRDDos با استفاده از حملات brute force Secure Shell (SSH) کنترل از راه دور دستگاه های مورد نظر را به دست می آورد.
“SSH: یک پروتکل در زیرساخت های فناوری اطلاعات، که ارتباطات رمزگذاری شده را برای مدیریت سیستم های از راه دور تسهیل می کند. متأسفانه، برای مهاجمان نیز تبدیل به یک بردار جذاب می شود.”
نصب و ماندگاری
زمانی که SSH توسط XoRDDos مورد شناسایی قرار گرفت، از امتیازات ریشه برای اجرای اسکریپتی استفاده می کند که بدافزار را دانلود و بر روی دستگاه مورد نظر نصب می کند. XorDdos از مکانیسمهای فرار و پایداری استفاده میکند و سعی میکند که عملیات خودرا بصورت قوی و مخفیانه انجام دهد.
تکنیکهای فرار
XoRDDosفعالیتهای خود را بصورت نامشخصی انجام میدهد، از سازوکارهای وابسته به قانون فرار می کند، در کمپینهای اخیر، مشاهده شده است که فایلهای حساس را با بایتهای پوچ بازنویسی میکند تا عملیات مخرب خود را پنهان کند.
زنجیره تحویل بدافزار
حملات DDoS توسط XoRDDos بدون توقف انجام میشود.اغلب به عنوان یک مکانیسم تحویل برای تهدیدات دیگر عمل می کند.
چرا لینوکس در برابر XoRDDos آسیب پذیر است؟
منبع باز بودن لینوکس به این معنی است که معمولاً برای زیرساخت دستگاه های IoT و زیرساخت ابری مورد استفاده قرار میگیرد. اما در مورد امنیت، مشکلاتی به وجود خواهد آورد. میستری میگوید: «لینوکس مانند ویندوز نیست که مایکروسافت آن را کنترل میکند. این واقعیت که منبع باز است به این معنی است که گروههای مختلفی از افراد بیلد پایه را میگیرند و سپس آن را کنار میگذارند و نوع خود را انجام میدهند.»
او میگوید: برای سازندگان سیستم های اینترنت اشیا، ورود سریع به بازار اغلب بر امنیت اولویت دارد، و هنگامی که دستگاه راهاندازی شد، هیچ مسئولیتی بر عهده سازنده برای ارائه بهروزرسانیهای امنیتی نیست. او میگوید: «شما به کسی تکیه میکنید که واقعاً از آن پولی به دست نمیآورد تا مطمئن شوید همه چیز بهروز است». از دیدگاه یک فروشنده، وقتی آن را در بازار عرضه کردم، همین است.»
او این چنین استدلال می کند که این بدان معنی است که “صدها میلیون دستگاه هوشمند” در معرض خطر هستند. «شما لامپ دارید، طرفداران دارید، کتری دارید، یخچال دارید، زنگ در دارید»، همه در لینوکس اجرا میشوند، اغلب با امنیت ناکافی. و او می گوید: “مشکل در حال رشد است”. او توضیح میدهد: «مهم نیست برای دور زدن یا کاهش این موارد چه کاری انجام دهیم، تا زمانی که نرمافزار توسعه مییابد و ایمن توسعه نمییابد، این مشکل همچنان ادامه خواهد داشت.
راهکارهای پیشگیری از نفوذ XoRDDos
-
بهداشت دستگاه
به طور منظم دستگاه های مبتنی بر اینترنت اشیا و لینوکس را به روز رسانی و وصله کنید تا از عفونت های اولیه جلوگیری کنید.
-
امنیت SSH
اعتبارنامه SSH را تقویت کنید و از احراز هویت مبتنی بر کلید استفاده کنید.
-
نظارت بر رفتار
از تجزیه و تحلیل رفتاری برای شناسایی فعالیت های غیرعادی استفاده کنید.
-
تقسیم بندی شبکه
سیستم های حیاتی را از بردارهای حمله بالقوه جدا کنید.
-
هوش تهدید
از تهدیدات در حال ظهور و خانوادههای بدافزار مطلع باشید.
چگونه تروجان XoRDDos را از لینوکس حذف کنیم؟
تشخیص تروجان
قبل از انجام هر کاری، شما باید تشخیص دهید که تروجان در سرور شما وجود دارد یا خیر.
بدین صورت که میبایست وضعیت CPU و پردازش ها را از طریق ابزار TOP مشاهده کنید.اگر نامی عجیب و غریب مانند hgmijazsert روی سرور شما با دسترسی روت در حال اجراست!احتمال اینکه بدافزار، سرور شما را آلوده کرده است و در حال استفاده از منابع است زیاد است. (تمام اطلاعات این تروجان از جمله PID، نام و غیره را یادداشت کنید، زیرا بعداً به آن نیاز خواهید داشت). به طور کلی، از جمله منابعی که با مقادیر بالایی مصرف میشود منبع CPU سرور لینوکس شما میباشد که مورد حمله ان بدافزار قرار گرفته است. هنگامی که مطمئن شدید که تروجان روی سرور شما قرار دارد، باید مراحل زیر را برای حذف آن دنبال کنید.
مرحله اول STOP این فرآیند است که با استفاده از PID مشاهده شده در TOP انجام می شود.
|
kill -STOP [pid-number] |
به جای عبارت pid-number، مانند دستور زیر، عدد pid فرآیند را وارد کنید.
|
nano file-name |
مرحله بعدی این است که به مسیر این تروجان که معمولا در usr / lib / یافت می شود بروید و آن را پیدا کنید.
|
cd / usr / lib |
پس از مراجعه به این آدرس، نام فایلی که می بینید را در دستور “nano” وارد کنید تا محتویات آن را ببینید.
|
nano file-name |
در اینجا باید به نوع کد و روش نوشتن آن توجه کنید.
حال تمام فایل های این قسمت را بررسی کنید و هر کدام که دارای سبک کد مشابه تروجان هستند با دستور زیر پاک شوند.
|
rm-f ‘file-name’ |
“توجه داشته باشید: به جای file-name، نام فایل هایی را که پیدا می کنید وارد کنید و مراقب باشید فایل های دیگر را به طور تصادفی حذف نکنید.”
پس از حذف همه فایل ها از این دایرکتوری، اکنون باید فایل تروجان اصلی که معمولاً libudev.so نامیده می شود را پیدا کرده و حذف کنید (همیشه اینطور نیست). این فایل به طور کلی در دایرکتوری lib / قرار دارد، اما اگر نه، دستور زیر را وارد کنید تا آن را پیدا کنید.
|
Find / -type f -name libudev.so |
پس از یافتن این فایل با دستور rm-f که در مراحل قبل گفته شد آن را حذف کنید. از آنجایی که این فایل در Cron سیستم قرار دارد، باید دسترسی کامل آن را با استفاده از دستور زیر تغییر دهید:
|
/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so && chattr + i / lib |
حالا به etc / directory بروید و هر دایرکتوری (rc0.d، rc1.d و غیره) را بررسی کنید و تمام Cron های تازه ایجاد شده را بررسی کنید.
“نکته: از دستور ls-lrt برای یافتن آخرین فایل های ایجاد شده و نمایش تاریخ ایجاد آنها استفاده کنید.اکنون باید فایل هایی با نام های عجیب و غریب که اخیرا ایجاد شده اند را بررسی و حذف کنید.”
به این ترتیب شما توانسته اید بطور کامل تروجان را حذف نمایید.
چکیدهدر آخر اینکه، یک روند رایج در مورد استفاده از تروجان از طریق حملات Brute Force وجود دارد، بنابراین اگر تروجان در سرور شما وجود داشت، احتمال زیادی وجود دارد که یک یا تعداد زیادی از رمزهای عبور شما به خطر بیفتد. اکیدا به شما پیشنهاد می کنیم که رمزهای عبور سیستم root و همچنین تمام کاربرانی که به Sudo دسترسی دارند را تغییر دهید. حتما اطمینان حاصل کنید که رمزهای عبور جدید طولانی، پیچیده و حاوی ترکیبی از حروف، اعداد و کاراکترهای خاص هستند.
|
” با آرزوی دانش روزافزون برای شما همراهان همیشگی تلاش نت”
