امنیت

فناوری اطلاعات

June 2, 2019
14:12 یکشنبه، 12ام خردادماه 1398
کد خبر: 99930

نفوذ به وب سرور آپاچی برای انتقال بدافزار استخراج رمزارز

پژوهشگران امنیتی در Sophos اخیرا روش حمله جدیدی را مشاهده کرده‌اند که در آن یک وب سرور اجراکننده Apache Tomcat هدف قرار گرفته است. تلاش مهاجمین در این حمله انتقال بدافزار استخراج رمز ارز به سرور قربانی بوده است.
 
به گزارش لابراتوار امنیتی Sophos، دلیل اصلی وقوع این حمله استفاده از گذرواژه‌هایی که به راحتی قابل حدس زدن هستند یا گذرواژه‌های ضعیف در صفحه مدیریت Tomcat است. مرحله اول حمله با بهره‌برداری از روش جستجوی فراگیر (brute-force) در پنل ادمین Tomcat انجام شده است.
 
پس از حدس گذرواژه سرور، مهاجمین یک درخواست HTTP POST به سرور ارسال می‌کنند. درخواست POST به صفحه ادمین Tomcat انجام می‌شود که این صفحه دارای قابلیت بارگذاری برنامه‌های وب به سرور است. این برنامه‌ها در قالب فایل‌هایی با پسوند war هستند. سپس، مهاجم یک فایل war دلخواه با نام admin-manager.war به سرور ارسال می‌کند که حاوی یک فایل JSP مخرب با نام admin.jsp است. این فایل دارای سه قابلیت ایجاد اطلاعات پروفایل سیستمی، ساخت فایل جدید روی سرور Apache یا اجرای دستور در سرور است.
 
در حمله مشاهده شده توسط Sophos، مهاجمین دستوراتی را به منظور راه‌اندازی کاوش‌گر رمز ارز در سیستم، اجرا کردند. این دستورات در ابتدا فرایندهای پردازشی WMIC.exe، RegSvr۳۲.exe و PowerShell.exe را متوقف می‌کند و سپس وجود PowerShell ۱,۰ در مسیر %systemroot%System۳۲WindowsPowerShellv۱.۰PowerShell.exe را بررسی می‌کند که مهاجم از آن برای اجرای اسکریپت استفاده می‌کند. در صورت عدم وجود این فایل، از فایل RegSvr۳۲.exe استفاده می‌شود.
 
اسکریپت‌های مخرب مهاجم که بصورت زنجیره‌ای اجرا می‌شوند، در نهایت منجر به انتقال یک payload به نام Neutrino می‌شوند. این payload با دستکاری مسیر system۳۲ و فایل HOSTS، رکوردهای DNS استخرهای کاوش رمز ارز را بررسی و در صورت نیاز این فایل را ویرایش می‌کند. همچنین، لیستی از فرایندهای پردازشی نیز توسط این payload بررسی می‌شوند که در صورت وجود متوقف شوند. Payload اصلی کاوش‌گر در مرحله آخر منتقل می‌شود و با استفاده از منابع سرور، به استخراج رمز ارز می‌پردازد.
 
با توجه به روش نفوذ اولیه مهاجمین، با استفاده از گذرواژه‌های قوی و مناسب، می‌توان از این نوع حمله جلوگیری کرد.
 
نشانه‌های آلودگی (IoC):
دامنه‌ها و آدرس IP:
•    ۱۳۴,۱۷۵.۳۳.۷۱
•    xmr.usa-۱۳۸.com
•    wk.ctosus.ru
•    down.ctosus.ru
•    blog.ctoscn.ru
•    down,۹ni.top
•    down.sxly۵۱۸.xyz
•    gowel.top
•    m۴.rui۲.net
 
URLها:
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/PSN/_DL.ps۱
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴_VMP.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶_VMP.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/_WMI.ps۱
 
هش فایل DL.php:
•    ۲F۹۰۸ECDC۲۰۹۲۳D۷۰۳F۰۵DA۶EEDE۷۶EB۱۴DCA۲۹۶
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.