امنیت

December 12, 2023
14:02 سه شنبه، 21ام آذرماه 1402
کد خبر: 154147

بدافزار HeadCrab و افزایش تهدیدات مخرب آن

منبع: ماهر

نسخه جدید بدافزار HeadCrab امکان دسترسی root به سرورهای Redis (Open Source) را فراهم می‌‌‌‌کند. نوع اول این بدافزار، 1200 سرور و نوع جدید آن، 1100 سرور را آلوده کرده است. بدافزار HeadCrab دستگاه‌های آلوده را برای استفاده در cryptomining و حملات دیگر به یک بات نت اضافه می‌‌‌‌کند. نسخه ابتدایی بدافزار HeadCrab یک روت‌‌‌‌کیت نیست، اما در نسخه جدید، توانایی کنترل و ارسال پاسخ به بدافزار اضافه شده است و به این ترتیب به یک روت‌‌‌‌کیت کامل بدل گشته است. روت‌‌‌‌کیت بدافزاری است که دسترسی ریشه دارد و همه چیز را کنترل می‌کند. به این ترتیب می‌‌‌‌توان آنچه را که کاربر می‌بیند، کنترل نمود.
نوع جدید بدافزار HeadCrab به مهاجم اجازه می‌دهد با حذف دستورات سفارشی و افزودن رمزگذاری به زیرساخت سرور کنترل و فرمان، اقدامات خود را پنهان کند. یکی از عناصر منحصر به فرد HeadCrab یک mini blog است که نویسنده بدافزار، جزئیات فنی بدافزار و یک آدرس ایمیل Proton Mail را جهت ناشناس ماندن در آن نوشته است. محققان Aqua Security از این ایمیل برای تماس با سازنده HeadCrab – با نام رمز Ice9 – استفاده کردند، اما نتوانستند نام یا مکان او را تعیین کنند. با این حال، Ice9 به محققان گفت که آن‌ها اولین افرادی بودند که به او ایمیل زدند. در مکالمات ایمیلی با محققان، Ice9 اذعان داشتند که این بدافزار عملکرد سرور را کاهش نمی‌‌‌‌دهد و می‌‌‌‌تواند سایر بدافزارها را حذف کند. او همچنین یک هش از بدافزار را برای محققان ارسال کرد تا بتوانند آن را بررسی کنند.

محصولات تحت تاثیر
براساس تحقیقات انجام شده، HeadCrab بر آلوده‌‌‌‌سازی سرورهای Redis تمرکز دارد. هنگامی که مهاجم از دستور SLAVEOF استفاده می‌‌‌‌کند، یک ماژول مخرب دانلود شده و دو فایل جدید اجرا می‌‌‌‌شود: یک cryptominer و یک فایل پیکربندی. سپس HeadCrab سرور Redis را آلوده می‌‌‌‌کند. به گفته محققان، این فرآیند شامل دستوری است که به مدیران اجازه می‌دهد تا یک سرور را در یک کلاستر Redis به عنوان salve برای یک سرور master دیگر در خوشه تعیین کنند. پس از آلوده شدن سرور، Ice9 کنترل کامل زیرساخت سرور را در دست دارد. نسخه جدید با توانمندی‌‌‌‌های روت‌‌‌‌کیت، امکان مخفی کردن فعالیت‌های مهاجم و بهبود فرایند رمزنگاری را فراهم می‌‌‌‌کند.

توصیه‌های امنیتی
محققان توصیه کردند که سازمان‌ها، آسیب‌پذیری‌ها و پیکربندی‌های نادرست را در سرورهای خود اسکن کنند و از حالت محافظت شده در Redis استفاده کنند تا احتمال مخاطرات HeadCrab را کاهش دهند.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.