بدافزار جدید درد قالب پروسه مجاز Nginx بر روی سرورهای تجارت الکترونیک

دسته بندی ها : آسیب پذیری ۱۶ آذر ۱۴۰۰ آپا دانشگاه تبریز 309 بازدید
بدافزار NginRAT در Nginx

یک بدافزار جدید درد قالب پروسه مجاز Nginx بر روی سرورهای تجارت الکترونیک پنهان می شود

بدافزار دسترسی از راه دور NginRAT سرورهای تجارت الکترونیک را هددف قرار داده است. این بدافزار بر روی سرورهای Nginx پنهان می‌گردد و در تنیجه عملا برای راه حل های امنیتی نامرئی است.

این تهدید NginRAT نامگذاری شده است. این نام ترکیبی است از برنامه‌ای که هدف قرار می‌دهد و قابلیت دسترسی از راه دوری که فراهم می‌کند. از این تهدید در حملات سمت سرور برای سرقت اطلاعات کارت‌های بانکی از فروشگاه‌های اینترنتی استفاده می‌شود.

NginRAT روی سرورهای e-commerce در آمریکای شمالی و اروپا پیدا شده که آلوده به CronRAT بودند. CronRAT یک تروجان دسترسی از راه دور است که پیلود را در تسک‌های تعیین شده برای تاریخ‌های نامعتبر تقویم پنهان می‌کند تا اجرا شوند.

NginRAT سرورهایی را در آمریکا، آلمان و فرانسه آلوده‌ کرده است. این تهدید به گونه‌ای داخل پروسه‌های Nginx تزریق می‌شود که امکان تشخیص آن در میان پروسس‌های مجاز ممکن نیست؛ درنتیجه می‌تواند ناشناخته بماند.

 

RAT ها اصلاح کد سمت سرور را فعال می‌کنند

طبق توضیحات محققان شرکت امنیتی Sansec این بدافزار جدید، نوع پیشرفته CronRAT است‌. هرچند این دو بدافزار عملکرد یکسانی دارند و قابلیت دسترسی از راه دور به سیستم را فراهم می‌سازند.

ویلیام د گروت، رئیس تحقیقات در حوزه تهدید در Sansec به سایت BleepingComputer گفته است:

«با این که این دو بدافزار از تکنیک‌های مختلف برای پنهان ماندن خود استفاده می‌کنند، اما به نظر می‌رسد که این دو RAT نقش مشابهی دارند و به عنوان یک پشتیبان برای حفظ دسترسی از راه دور عمل می‌کنند.»

هرکسی که در انتشار این نوع از بدافزارها نقش دارد، از آن ها برای تغییر کدهای سمت سرور استفاده می‌کند که به آن ها اجازه می‌دهد داده‌های ارسالی کاربران (درخواست‌های متد POST) را ذخیره کنند.

Sansec پس از ایجاد یک CronRAT سفارشی و نظاره کردن تبادلات آن‌ با سرور فرمان و کنترل (C2) واقع در چین، توانست NginRAT را مورد بررسی قرار دهد.

محققان C2 را فریب دادند تا یک پیلود کتابخانه مشترک را به عنوان بخشی از یک تعامل مخرب عادی ارسال، اجرا و NginRAT، “قطعه پیشرفته‌ تر بدافزار” را پنهان کنند.

«NginRAT اساسا میزبان برنامه Nginx است تا ناشناخته بماند. برای این کار، NginRAT کارکرد اصلی سیستم میزبان لینوکس را تغییر می‌دهد. هنگامی که وب سرور مجاز  Nginx از چنین قابلیتی استفاده می‌کند (مانند dlopen)، NginRAT در میان راه مداخله کرده و به این پروسه اضافه می‌شود.” – Sansec

در پایان، پروسه Nginx بدافزار دسترسی از راه دور را به شیوه‌ای جاسازی می‌کند که عملا تشخیصش را از یک پروسه مجاز، غیر ممکن می‌سازد.

NginRAT در پروسس Nginx

NginRAT در پروسس Nginx

 

Sansec به موارد فنی اشاره می‌کند. NginRAT به کمک CronRAT و فرمان «dwn» کتابخانه مخرب سیستم لینوکس را در آدرس «dev/shm/php-shared/» دانلود میکند. و این گونه وارد سیستم به خطر افتاده می‌شود.

در ادامه، کتابخانه با استفاده از ویژگی LD_PRELOAD برای دیباگ کردن در لینوکس راه اندازی می‌شود، که معمولا برای آزمایش کتابخانه‌های سیستم مورد استفاده قرار می‌گیرد.

همچنین برای پوشش اجرای فرمان، حمله کننده چندین بار گزینه help را در پایان اضافه می‌کند. اجرای فرمان، NginRAT را به برنامه میزبان Nginx تزریق می‌کند.

تزریق NginRAT

تزریق NginRAT

 

نحوه تشخیص

NginRAT به عنوان یک پروسه Nginx عادی پنهان می‌شود و کد آن فقط در حافظه سرور موجود است. در نتیجه تشخیص آن دشوار می‌سازد.

با این حال، بدافزار بااستفاده از دو متغیر LD_PRELOAD و LD_L1BRARY_PATH راه اندازی می‌شود. مدیران می‌توانند با اجرای دستور زیر برای تشخیص پروسه‌های مخرب فعال استفاده کنند.

دستور لینوکسی برای یافتن پروسه‎ های مخرب در میان پروسه های سیستم

دستور لینوکسی برای یافتن پروسه‎ های مخرب در میان پروسه های سیستم

 

Sansec خاطرنشان می‌کند که اگر NginRAT در سرور یافت شود، مدیران باید تسک cron را نیز بررسی کنند. چون به احتمال زیاد بدافزار که توسط CronRAT اضافه شده، در آنجا نیز پنهان شده است.

 

برای اخبار و آسیب پذیری های بیشتر بخش آسیب پذیری های وبسایت مرکز آپای دانشگاه تبریز را دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :