مورد حمله قرار گرفتن سیستم‌های ویندوزی و لینوکسی توسط کرم جدید Golang

یک بدافزار مبتنی بر Golang که به تازگی کشف شده و در حال گسترش است، از اوایل دسامبر به طور فعالانه استخراج‌کنندگان رمز ارز XMRig را بر روی سرورهای ویندوزی و لینوکس مستقر می‌کند. این کرم می‌تواند به سرعت انتشار یابد و هدف آن استقرار استخراج‌کننده‌های XMRig در دستگاه‌های آلوده برای استخراج Monero در مقیاس بزرگ‌ می‌باشد.

برای دستیابی به این هدف، بدافزار دارای قابلیت‌های Wormable است. این اصطلاح یعنی مجرمان می‌توانند با یک بار نفوذ به یک سیستم مخرب، مجموعه‌ای زنجیره‌وار از حمله‌ها تشکیل دهند که امکان نفوذ از یک ماشین آسیب‌پذیر را به ماشین آسیب‌پذیر بعدی ممکن می‌کند و هیچ نیازی هم به دستوری از طرف ادمین یا کاربر سیستم آلوده ندارد. این بدان معناست که کرم می‌تواند از طریق سرویس‌هایی که در دسترس عموم هستند به ویژه آن‌ها که دارای گذرواژه ضعیف هستند (مانند MySQL، پنل مدیریتی Tomcat و Jenkins) به سایر دستگاه‌ها منتقل شود. در واقع این کرم با اسکن و اجرای Brute-Force بر روی سرویس‌های عمومی نام‌برده، با استفاده از رمز عبور پیش‌فرض و یا لیستی از اطلاعات ورود معتبر، به سایر سیستم‌ها سرایت می‌کند. این در حالی است که نسخه‌های قدیمی‌تر آن می‌توانند از آسیب‌پذیری CVE-2020-14882 که Oracle WebLogic را تحت تأثیر قرار می‌دهد سوءاستفاده کنند. این بدافزار سرورهای ویندوزی و لینوکسی را هدف قرار داده و می‌تواند به راحتی از یک سیستم‌عامل به سیستم‌عامل دیگر مانور دهد.

تجزیه و تحلیل فنی
این حمله شامل سه مؤلفه است: اسکریپت dropper (به صورت bash یا powershell)، کرم باینری Golang و استخراج‌کننده XMRig (که تمامی آن‌ها در یک سرور C&C میزبانی می‌شوند).
حمله بدین صورت است که بدافزار به محض دست یافتن به سیستم هدف، ابتدا پورت ۵۲۰۱۳ را بررسی می‌کند که آیا پردازشی در دستگاه آلوده روی این پورت شنود می‌کند یا خیر، وجود شنونده بر روی این پورت به عنوان mutex برای بدافزار عمل می‌کند. اگر دستگاه در حال شنود بر رروی پورت مذکور باشد بدافزار بلافاصله خود را از بین می‌برد، و اگر دستگاه در حال شنود روی این پورت نباشد، بدافزار سوکت شبکه‌ی خود را بر روی این پورت باز کرده و فرآیند آلوده نمودن سیستم را آغاز نموده و کرم و XMRig Miner را در سیستم‌های ویندوزی و لینوکسی مستقر می‌سازد. بدین صورت که به محض تسخیر شدن یکی از سرورهای هدف، اسکریپت‌لودر (ld.sh برای لینوکس و ld.ps1 برای ویندوز) را مستقر می‌کند که هم XMRig Miner و هم کرم  باینری مبتنی بر Golang را در سرور وارد می‌کند. لازم به ذکر است که کرم باینری و اسکریپت bash dropper در virustotal قابل شناسایی نیستند.

اقدامات کاهشی
کاربران باید اقدامات امنیتی پیشگیرانه را برای جلوگیری از این حمله اتخاذ کنند. بدین منظور اقدامات زیر توصیه می‌گردد:

• از رمزهای عبور پیچیده استفاده کنید ، تلاش برای ورود را محدود کنید و در صورت امکان از ۲FA (احراز هویت دو عاملی) استفاده کنید.
• استفاده از سرویس‌های عمومی (مانند MySQL، پنل مدیریتی Tomcat و Jenkins) را کاهش دهید.
• اطمینان حاصل کنید که سرورهای شما از طریق اینترنت قابل دسترسی نیستند.
• نرم‌افزارها را همیشه با آخرین وصله‌های امنیتی را به روز نگه دارید.
• برای مشاهده‌ی زمان اجرای کامل کد در سیستم خود و دریافت پیغام هشدار در صورت وجود هر گونه کد مخرب یا غیرمجاز، از یک Cloud Workload Protection Platform ‪(CWPP)‬ مانند Intezer Protect استفاده کنید.

منبع خبر: https://latesthackingnews.com/2021/01/03/new-golang-worm-targets-windows-and-linux-systems-to-mine-monero