محققان یک تروجان جدید لینوکس به نام “EvilGnome” باقابلیتهایی که قبلاً قابلمشاهده نبوده است کشف کردند که قادر به ایجاد یک در پشتی و جاسوسی از کاربران دسکتاپ لینوکس هستند.
بر اساس شواهد و شباهتهای عملیاتی، این بدافزار احتمالاً توسط گروه Gamareon، یک گروه تهدید روسیهای که از سال ۲۰۱۳ فعال بوده است، توزیعشده است.
Gamareon Group با استفاده از انواع مختلف ضمیمههای مخرب، تکنیکهای فیشینگ و استفاده از ابزارهای سرقت اطلاعات به قربانیان حمله میکند. این نرمافزار مخرب از گسترش Gnome خودداری میکند، بهطوریکه محققان نام EvilGnome را برای آن در نظر گرفتهاند که توسط تمامی نرمافزارهای امنیتی شناساییشده است.
ازآنجاکه حدود ۷۰ درصد از سهم بازار وب سرور در ایران و دیگر کشورها با سیستمعاملهای مبتنی بر لینوکس اشغالشده است، بدافزارهای لینوکسی توسط ابزارهای باج افزار و بات نتهای منجر به حملات DDoS در جهت آسیبپذیریهای سرورهای هدف مورداستفاده قرار میگیرند .
نحوه توزیع :
EvilGnome از تکنیکها و ماژولهای SFX، ابزارهای سرقت اطلاعات استفاده میکند. محققان دریافتند که هکرهایی که پشت EvilGnome هستند از یک ارائهدهندهی میزبانی وب که توسط گروه Gamerateon برای یک سال استفاده میشده، استفاده کردهاند.
تحقیقات بیشتر در مورد سرور کنترل و فرماندهی نشان میدهد که از سرویس SSH روی پورت ۳۴۳۶ استفاده کرده است.
نحوه عملکرد :
در ابتدا، EvilGnome یک فایل آرشیو از Shell Script خود را میسازد که دارای چهار فایل است :
۱. gnome-shell-ext – the spy agent executable
۲. gnome-shell-ext.sh – checks if gnome-shell-ext is already running and if not, executes it
۳. rtp.dat– configuration file for gnome-shell-ext
۴. setup.sh – the setup script that is run by makeself after unpacking
۱. gnome-shell-ext : فایل اجرایی عامل جاسوسی
۲. gnome-shell-ext.sh : چک میکند که آیا gnome-shell-ext در حال اجرا است و اگرنه، آن را اجرا میکند.
۳. rtp.dat : فایل پیکربندی برای gnome-shell-ext
۴. setup.sh : اسکریپت نصب بدافزار که پس از باز کردن فایل آرشیو خود را اجرا می کند
محققان در تجزیهوتحلیل عامل جاسوسی متوجه شدند که این کد هرگز توسط سیستم مشاهده نشده و در C++ ساختهشده است.
محققان Intezer با بررسی عمیقتر عامل جاسوسی کشف کردند که این بدافزار از پنج ماژول جدید به نام ” Shooters” استفاده میکند که میتوانند فعالیتهای مختلف را با دستورات مربوطه انجام دهند:
ShooterSound : ضبط صدا از میکروفون کاربر و ارسال آن به سرور کنترل و فرماندهی
ShooterImage : ضبط تصاویر و آپلود به سرور کنترل و فرماندهی
ShooterFile : سیستم فایل را برای فایلهای تازه ایجادشده اسکن میکند و آنها را به سرور کنترل و فرماندهی ارسال میکند
ShooterPing : دستورات جدیدی را از سرور کنترل و فرماندهی دریافت میکند
ShooterKey : بهاحتمالزیاد یک ماژول برای ثبت کلیدهای فشردهشده کاربر است
تحلیل نهایی :
ازآنجاکه حدود ۷۰ درصد از سهم بازار وب سرور در ایران و دیگر کشورها با سیستمعاملهای مبتنی بر لینوکس اشغالشده است و همانطور که توضیح داده شد، با یک کلیک ساده، روی ضمیمه موجود در ایمیلهای جعلی، یا حتی کلیک روی لینکهای مخرب در صفحات وب، یا حملات فیشینگ بهراحتی به سیستم کاربران نفوذ خواهند کرد .
بنابراین توصیه میشود کاربران دقت بیشتری روی ضمیمههای ایمیلهای ناشناس داشته باشند و از بهروزترین آنتیویروسها و سیستمعاملها استفاده کنند .
همچنین با توجه به اینکه این بدافزار از سرویس SSH برای ارتباط با سرور فرماندهی و کنترل استفاده میکند بهتر است این سرویس مسدود شود. همچنین آخرین وصلههای امنیتی سیستمعاملهای لینوکسی را دریافت و اعمال کنند.
به کاربران پیشنهاد میگردد که برای کاهش خطرات مرتبط با این بدافزار، این توصیهها را در نظر بگیرند:
• ﻧﺼﺐ ﻳک برنامهی ﺿﺪوﻳﺮوس ﻛﻪ ﭘﻴﻮﺳﺘﻪ ﺳﻴﺴﺘﻢ شمارا زﻳﺮ ﻧﻈﺮ داﺷﺘﻪ ﺑﺎﺷﺪ و آن را بهطور ﻣﺮﺗﺐ Update ﻛﺮد.
• تهیهی نسخههای پشتیبان در ﻓﻮاﺻﻞ زﻣﺎنی ﻣﻨﻈﻢ.
• ﻋﺪم ارﺗﺒﺎط ﺑﺎ ﺳﺎﻳﺖﻫﺎ و شبکههای ﻣﺸﻜﻮک
• ﺑﺎزﻧﻜﺮدنﻧﺎﻣﻪﻫﺎی اﻟﻜﺘﺮوﻧﻴﻜﻲ ﻛﻪ ﻣﻮﺿﻮع و فرستندهی آنها ناشناس هستند.
• Download نکردن فایلهایی ﻛﻪ از ﻣﻮﺿﻮع آنها بیخبر ﻫﺴﺘﻴﺪ.
• تاﻳﻴﺪﻧﻜﺮدنﺗﻘﺎﺿﺎﻫﺎیﻣﺸﻜﻮک اﻳﻨﺘﺮﻧﺘﻲ
• بستن پورتهای بلااستفاده روی سیستم
