روت کیت «Syslogk» بدافزار جدید لینوکس
تاریخ انتشار: ۲۸ خرداد ۱۴۰۱ | کد خبر: ۳۵۲۶۶۳۵۹
ایتنا - به منظور پنهان کردن فرآیندهای مخرب، یک بدافزار جدید روت کیت لینوکس با نام «Syslogk» با استفاده از «بستههای جادویی» ساختهشده خاص و بهرهبرداریهای ویژه ساختهشده برای پیدا کردن یک درب مخفی که روی دستگاه پنهان است، رایانهها را هک میکند.
بدافزار جدید توسط محققان شرکت آنتی ویروس Avast کشف شد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
EHA روت کیت بدافزاری است که به عنوان یک ماژول هسته در هسته سیستم عامل نصب میشود. اکنون برای فیلتر کردن اطلاعاتی که نمیخواهند نمایش داده شوند، دستورات قانونی لینوکس را پس از نصب بر روی دستگاه مورد نظر رهگیری میکنند. در زیر ما تمام اطلاعاتی را که پنهان می کند ذکر کرده ایم:
• فایل ها
• پوشه ها
• فرآیندها
اگر برای اولین بار SyslogK را به عنوان یک ماژول هسته نصب کنید، ماژول خود را از لیست ماژول های نصب شده حذف میکند تا از بازرسی دستی جلوگیری شود. تنها یک نشانه وجود دارد و آن سیستم فایل /proc است که رابط کاربری در معرض نمایش را نمایش می دهد.
روت کیت این توانایی را دارد که فایلهای مخربی را که بر روی سرور رها میکند و همچنین عملکردهای دیگری که به آن اجازه میدهد دایرکتوریهای مخربی را که رها می کند پنهان کند. علاوه بر بارهای مخفی، آواست یک درب مخفی لینوکس به نام Rekoobe نیز پیدا کرد که در کد پنهان شده بود. پس از نصب بر روی سیستم های در معرض خطر، این درب پشتی برای مدت طولانی خاموش می ماند تا زمانی که یک "بسته جادویی" از عامل تهدید آن را قادر به فعال شدن کند.
برنامهای به نام Rekoobe وجود دارد که مبتنی بر TinySHell است که یک برنامه منبع باز است. با استفاده از آن، مهاجم میتواند به یک کنسول خط فرمان که به مهاجم اجازه میدهد از راه دور به آن دسترسی داشته باشد، در ماشین در معرض خطر دسترسی پیدا کند.
تجزیه و تحلیل بیشتر
به طور خاص، Syslogk طوری مهندسی شده است که بسته های TCP حاوی پورت منبع 59318 را دریافت کند تا بدافزار Rekoobe راه اندازی شود. با این حال، اگر میخواهید بارگذاری را متوقف کنید، به بسته TCP نیاز دارید تا شرایط زیر را برآورده کند:
• 0x08 مقداری است که به فیلد رزرو شده هدر TCP اختصاص داده شده است
• منبع باید بین 63400 و 63411 باشد
• لازم به ذکر است که هم آدرس منبع و هم پورتی که در بسته جادویی که برای راه اندازی Rekoobe ارسال شده تنظیم شده است.
• یک کلید در بسته جادویی ("D9sd87JMaij") قرار دارد که به صورت سخت در روت کیت کدگذاری شده است و در بسته جادویی در یک افست متغیر قرار دارد.
کاربران عادی سیستم های لینوکس را زیاد نمی بینند، اما برای برخی از مهم ترین شبکه های شرکتی امروزی حیاتی هستند. عوامل تهدید زمان و تلاش لازم را برای ساخت بدافزار سفارشی برای معماری اختصاص میدهند، بنابراین به نظر میرسد که این یک سرمایهگذاری خطرناک و سودمند باشد. به همین دلیل، مدیران سیستم و شرکتهای امنیتی باید اقداماتی را برای آگاهی از این نوع بدافزارها انجام دهند و اقدامات حفاظتی مناسب را برای محافظت از کاربران خود در اسرع وقت ایجاد کنند.
منبع: پایگاه اطلاعرسانی پلیس فتا
منبع: ايتنا
کلیدواژه: لینوکس بدافزار بسته جادویی روت کیت
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.itna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۵۲۶۶۳۵۹ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
آمریکا در پشت نقاب حقوق بشر پنهان شده است
ایسنا/لرستان رئیس جهاد دانشگاهی لرستان گفت: آمریکا در پشت نقاب حقوق بشر پنهان شده است.
فرهاد فرامرزیان در گفتوگو با ایسنا ضمن محکوم کردن رفتار وحشیانه پلیس آمریکا در ضرب و شتم و بازداشت دانشجویان معترض به جنایات رژیم صهیونیستی، بیان کرد: این اعتراضات مورد توجه جامعه بینالملل قرار گرفته است اما رسانههای بیگانه اقدام به پنهان کردن خشنونت پلیس آمریکا و سانسور یا کوچکنمایی اعتراضات دانشجویی به جنایات رژیم صهیونیستی میکنند.
وی با بیان اینکه بعد از حملات وحشیانه شجره خبیثه رژیم صهیونیستی و حمایت آمریکا و استکبار جهانی از آن شاهد موج جدیدی از بیداری اسلامی و اعتراضات جامعه دانشگاهی در کشورهای جهان به ویژه در اروپا و آمریکا هستیم، خاطرنشان کرد: استکبار جهانی میداند که فریاد حق طلبی و انسانهای آزاده در حمایت از مردم مظلوم فلسطین هرگز خاموش نخواهد شد.
رئیس جهاد دانشگاهی استان لرستان با بیان اینکه رفتار آمریکا در سرکوب اعتراضات دانشجویی به کشتار مردم بیگناه فلسطین نشان داد که ادعای حقوق بشری آمریکا دروغی بیش نیست، ادامه داد: استکبار جهانی در رأس آن آمریکا همواره در پشت نقاب حقوق بشر پنهان شده است اما امروز جامعه جهان متوجه این امر شد.
وی با تأکید بر اینکه ضرب و شتم دانشجویان توسط پلیس آمریکا نشان داد حقوق بشر آمریکایی در حد یک شعار است، تصریح کرد: دانشجویان معترض به جنایات رژیم صهیونیستی خواهان قطع ارتباط و حمایت آمریکا از رژیم صهیونیستی هستند.
فرامرزیان گفت: امروزه دانشجویان و مجموعه دانشگاهها که به فرموده حضرت امام مبدا تحولات کشور هستند باید با بهرهگیری از تمام ظرفیتها در جهت دفاع از مردم فلسطین و آزادی قدس تلاش کرده و ضمن ابراز همدردی با مردم غزه، حمایت خود را ازاقدام ضد صهیونیستی دانشجویان دانشگاههای جهان اعلام کنند.
رئیس جهاددانشگاهی لرستان با یادآوری اینکه حضور نظامیان در دانشگاه و اخراج و بازداشت اساتید و دانشجویان رفتاری خلاف قوانین آموزشی در جهان است ، گفت: این رفتار برحقانیت نظام جمهوری اسلامی ایران در خصوص حقوق بشر دروغین آمریکا مهر تایید زد.
وی ادامه داد: جمهوری اسلامی برای آزاداندیشی، حق گویی و حق طلبی حرمت قائل است و آمریکا باید حقوق بشر را از جمهوری اسلامی ایران یاد بگیرد.
فرامرزیان با اشاره به اینکه عملیات طوفان الاقصی و عملیات وعده صادق پایهها و ستون استکبار جهانی را به لرزه درآورده است، گفت: به فضل خدا بهزودی شاهد نابودی رژیم کودککش صهیونیستی و آزادی قدس شریف خواهیم بود.
انتهای پیام