اخیرا بدافرازی مبتنی بر زبان برنامه¬نویسی Go شناسایی شده است که از اوایل ماه دسامبر سال 2020 میلادی رو به گسترش است. این بدافزار برنامه استخراج کننده رمز ارز XMRig را جهت استخراج رمز ارز Monero برروی سرورهای ویندوزی و لینوکسی مستقر می¬نماید. بدافزار چند پلت¬فرمی مذکور، قابلیتی مشابه کرم¬های کامپیوتری دارد که امکان گسترش به سیستم¬های جدید را با استفاده از بروت-فورس سرویس¬های عمومی فراهم می¬آورد.
این بدافزار با اسکن و سپس بروت-فورس سرویسهای عمومی مانند MYSQL، Tomcat، Jenkinsو WebLogic گسترش مییابد. همچنین نسخههای قدیمی این بدافزار قابلیت اکسپلویت آسیبپذیری با شناسه CVE-2020-14882 را که منجربه اجرای کد از راه دور در Oracle WebLogic میشد، دارند. بدافزار بعد از تحت تاثیر قرار دادن یکی از سرورهای هدف، اسکریپت لودر خود (در لینوکسld.ps1 و در ویندوز ld.sh) را در سیستم هدف قرار میدهد. این اسکریپت جهت استقرار کد باینری کرم و ماینر XMRig در سیستم هدف مورد استفاده قرار میگیرد.
در زمان نگارش این خبر (10 دی 1399) امکان شناسایی کد باینری ELF کرم و اسکریپت مربوط به لودر بدافرار توسط VirusTotal وجود نداشته است. این موضوع نشان میدهد که خطر این بدافزار در سیستمهای لینوکسی بسیار بیشتر است.
شکل 1- عدم شناسایی فایل ELF در VirusTotal
هکرهای پشتیبان این بدافزار به صورت فعال قابیلتهای این بدافزار را از طریق سرور (C2) command-and-control به روزرسانی مینمایند. برای محافظت از سیستمهای خود در برابر این بدافزار لازم است:
- گذرواژههای پیچیده را انتخاب کنید، تعداد تلاشهای ناموفق ورود به سیستم را محدود کرده و از روشهای احراز هویت دو فاکتور استفاده نمایید.
- سرویسهای با دسترسی عمومی غیر ضروری را از دسترس خارج کنید.
- نرمافزارهای خود را به روز نگه دارد و وصلههای لازم را اعمال نمایید.
منبع:
https://www.bleepingcomputer.com/news/security/new-worm-turns-windows-linux-servers-into-monero-miners