Site icon تلاش نت

مراحل حذف تروجان XoRDDos در لینوکس

مراحل حذف تروجان XoRDDos در لینوکس

 

 

مقدمه

XoRDDos یک بدافزار به روش تروجان است که سیستم های لینوکس را تحت تأثیر قرار می دهد. در این آموزش در ابتدا به اینکه XoRDDos چیست؟ چگونه به سیستم شما نفوذ می کند و چرا لینوکس مورد حمله این بدافزار قرار می گیرد و راهکارهای پیشگیری از نفوذ می پردازیم سپس در آخر، مراحل حذف این بدافزار را به شما همراهان همیشگی تلاش نت آموزش خواهیم داد.

 

 

XoRDDos چیست؟

XORDDoS یک بدافزار تروجان لینوکس (سرور مجازی VPS) با قابلیت روت کیت است که برای راه اندازی حملات DDoS دراندازه ای بزرگ مورد استفاده قرار می گیرد. نام آن ناشی از استفاده زیاد از رمزگذاری XOR در بدافزارها و ارتباطات شبکه با C&Cها است و برای چندین معماری لینوکس مانند ARM، x86 و x64 ساخته شده است. نکته قابل توجه در مورد XOR DDoS، توانایی پنهان کردن خود با یک جزء روت کیت آماده شده است که با چندین مرحله نصب به دست می آید.

 

“روت کیت: مجموعه‌ای از نرم‌افزارهاست که کنترل یک سیستم رایانه‌ای را به دست می‌گیرد. در این نوع حمله، کاربر سیستم متوجه حضور روت‌کیت نخواهد شد و هکر رایانه توانایی تغییر تمامی تنظیمات رایانه را دارد.”

 

برای دستیابی به دسترسی، یک حمله brute force در جهت یافتن رمز عبور سرویس‌های Secure Shell در لینوکس انجام می‌دهد.هنگامی که اعتبار نامه Secure Shell به دست آمد و ورود موفقیت آمیز بود، از امتیازات ریشه برای اجرای اسکریپتی استفاده می کند که XOR DDoS را دانلود و نصب می کند.بر این باور است که منشاء آسیایی بر اساس اهداف آن است که تمایل دارند در آسیا واقع شوند.

 

❗ XoRDDos چگونه به سیستم شما نفوذ میکند!

XoRDDos به روش های زیر می تواند به سیستم شما نفوذ کند:

تشکیل بات نت

XoRDDos به اینترنت اشیا و سایر دستگاه های متصل به اینترنت نفوذ می کند و بات نت ها را جمع می کند. این بات نت ها به عنوان یک سلاح قدرتمند برای انجام حملات DDoS عمل می کنند. همانند حمله DDoS عظیم 2.4 ترابیت بر ثانیه را که مایکروسافت در آگوست 2021 خنثی کرد،چنین حملاتی می تواند اختلالات قابل توجهی ایجاد کند.

بردار حمله

XoRDDos با استفاده از حملات brute force Secure Shell (SSH) کنترل از راه دور دستگاه های مورد نظر را به دست می آورد.

“SSH: یک پروتکل در زیرساخت های فناوری اطلاعات، که ارتباطات رمزگذاری شده را برای مدیریت سیستم های از راه دور تسهیل می کند. متأسفانه، برای مهاجمان نیز تبدیل به یک بردار جذاب می شود.”

نصب و ماندگاری

زمانی که SSH توسط XoRDDos مورد شناسایی قرار گرفت، از امتیازات ریشه برای اجرای اسکریپتی استفاده می کند که بدافزار را دانلود و بر روی دستگاه مورد نظر نصب می کند. XorDdos از مکانیسم‌های فرار و پایداری استفاده می‌کند و سعی می‌کند که عملیات خودرا بصورت قوی و مخفیانه انجام دهد.

تکنیک‌های فرار

XoRDDosفعالیت‌های خود را بصورت نامشخصی انجام میدهد، از سازوکارهای وابسته به قانون فرار می کند، در کمپین‌های اخیر، مشاهده شده است که فایل‌های حساس را با بایت‌های پوچ بازنویسی می‌کند تا عملیات مخرب خود را پنهان کند.

زنجیره تحویل بدافزار

حملات DDoS توسط XoRDDos بدون توقف انجام میشود.اغلب به عنوان یک مکانیسم تحویل برای تهدیدات دیگر عمل می کند.

چرا لینوکس در برابر XoRDDos آسیب پذیر است؟

منبع باز بودن لینوکس به این معنی است که معمولاً برای زیرساخت دستگاه های IoT و زیرساخت ابری مورد استفاده قرار میگیرد. اما در مورد امنیت، مشکلاتی به وجود خواهد آورد. میستری می‌گوید: «لینوکس مانند ویندوز نیست که مایکروسافت آن را کنترل می‌کند. این واقعیت که منبع باز است به این معنی است که گروه‌های مختلفی از افراد بیلد پایه را می‌گیرند و سپس آن را کنار می‌گذارند و نوع خود را انجام می‌دهند.»

او می‌گوید: برای سازندگان سیستم های اینترنت اشیا، ورود سریع به بازار اغلب بر امنیت اولویت دارد، و هنگامی که دستگاه راه‌اندازی شد، هیچ مسئولیتی بر عهده سازنده برای ارائه به‌روزرسانی‌های امنیتی نیست. او می‌گوید: «شما به کسی تکیه می‌کنید که واقعاً از آن پولی به دست نمی‌آورد تا مطمئن شوید همه چیز به‌روز است». از دیدگاه یک فروشنده، وقتی آن را در بازار عرضه کردم، همین است.»
او این چنین استدلال می کند که این بدان معنی است که “صدها میلیون دستگاه هوشمند” در معرض خطر هستند. «شما لامپ دارید، طرفداران دارید، کتری دارید، یخچال دارید، زنگ در دارید»، همه در لینوکس اجرا می‌شوند، اغلب با امنیت ناکافی. و او می گوید: “مشکل در حال رشد است”. او توضیح می‌دهد: «مهم نیست برای دور زدن یا کاهش این موارد چه کاری انجام دهیم، تا زمانی که نرم‌افزار توسعه می‌یابد و ایمن توسعه نمی‌یابد، این مشکل همچنان ادامه خواهد داشت.

 

راهکارهای پیشگیری از نفوذ XoRDDos

به طور منظم دستگاه های مبتنی بر اینترنت اشیا و لینوکس را به روز رسانی و وصله کنید تا از عفونت های اولیه جلوگیری کنید.

اعتبارنامه SSH را تقویت کنید و از احراز هویت مبتنی بر کلید استفاده کنید.

از تجزیه و تحلیل رفتاری برای شناسایی فعالیت های غیرعادی استفاده کنید.

سیستم های حیاتی را از بردارهای حمله بالقوه جدا کنید.

از تهدیدات در حال ظهور و خانواده‌های بدافزار مطلع باشید.

چگونه تروجان XoRDDos را از لینوکس حذف کنیم؟

تشخیص تروجان

قبل از انجام هر کاری، شما باید تشخیص دهید که تروجان در سرور شما وجود دارد یا خیر.

بدین صورت که میبایست وضعیت CPU و پردازش ها را از طریق ابزار TOP مشاهده کنید.اگر نامی عجیب و غریب مانند hgmijazsert روی سرور شما با دسترسی روت در حال اجراست!احتمال اینکه بدافزار، سرور شما را آلوده کرده است و در حال استفاده از منابع است زیاد است. (تمام اطلاعات این تروجان از جمله PID، نام و غیره را یادداشت کنید، زیرا بعداً به آن نیاز خواهید داشت). به طور کلی، از جمله منابعی که با مقادیر بالایی مصرف میشود منبع CPU سرور لینوکس شما میباشد که مورد حمله ان بدافزار قرار گرفته است. هنگامی که مطمئن شدید که تروجان روی سرور شما قرار دارد، باید مراحل زیر را برای حذف آن دنبال کنید.

مرحله اول STOP این فرآیند است که با استفاده از PID مشاهده شده در TOP انجام می شود.

kill -STOP [pid-number]

به جای عبارت pid-number، مانند دستور زیر، عدد pid فرآیند را وارد کنید.

nano file-name

مرحله بعدی این است که به مسیر این تروجان که معمولا در usr / lib / یافت می شود بروید و آن را پیدا کنید.

cd / usr / lib

پس از مراجعه به این آدرس، نام فایلی که می بینید را در دستور “nano” وارد کنید تا محتویات آن را ببینید.

nano file-name

در اینجا باید به نوع کد و روش نوشتن آن توجه کنید.
حال تمام فایل های این قسمت را بررسی کنید و هر کدام که دارای سبک کد مشابه تروجان هستند با دستور زیر پاک شوند.

rm-f ‘file-name’

 

“توجه داشته باشید: به جای file-name، نام فایل هایی را که پیدا می کنید وارد کنید و مراقب باشید فایل های دیگر را به طور تصادفی حذف نکنید.”

 

پس از حذف همه فایل ها از این دایرکتوری، اکنون باید فایل تروجان اصلی که معمولاً libudev.so نامیده می شود را پیدا کرده و حذف کنید (همیشه اینطور نیست). این فایل به طور کلی در دایرکتوری lib / قرار دارد، اما اگر نه، دستور زیر را وارد کنید تا آن را پیدا کنید.

Find / -type f -name libudev.so

پس از یافتن این فایل با دستور rm-f که در مراحل قبل گفته شد آن را حذف کنید. از آنجایی که این فایل در Cron سیستم قرار دارد، باید دسترسی کامل آن را با استفاده از دستور زیر تغییر دهید:

/ chmod 0000 /lib/libudev.so&& rm -rf /lib/libudev.so && chattr + i / lib

حالا به etc / directory بروید و هر دایرکتوری (rc0.d، rc1.d و غیره) را بررسی کنید و تمام Cron های تازه ایجاد شده را بررسی کنید.

 

 “نکته: از دستور ls-lrt برای یافتن آخرین فایل های ایجاد شده و نمایش تاریخ ایجاد آنها استفاده کنید.اکنون باید فایل هایی با نام های عجیب و غریب که اخیرا ایجاد شده اند را بررسی و حذف کنید.”

 

به این ترتیب شما توانسته اید بطور کامل تروجان را حذف نمایید.

 

 

چکیده

در آخر اینکه، یک روند رایج در مورد استفاده از تروجان از طریق حملات Brute Force وجود دارد، بنابراین اگر تروجان در سرور شما وجود داشت، احتمال زیادی وجود دارد که یک یا تعداد زیادی از رمزهای عبور شما به خطر بیفتد. اکیدا به شما پیشنهاد می کنیم که رمزهای عبور سیستم root و همچنین تمام کاربرانی که به Sudo دسترسی دارند را تغییر دهید.

حتما اطمینان حاصل کنید که رمزهای عبور جدید طولانی، پیچیده و حاوی ترکیبی از حروف، اعداد و کاراکترهای خاص هستند.

 

 

” با آرزوی دانش روزافزون برای شما همراهان همیشگی تلاش نت”

 

5/5 - (2 votes)