کارشناسان امنیت سوفوس حمله جدیدی را شناسایی کردهاند که به انتقال بدافزار کاوشگر رمزارز به سرور Apache Tomcat میپردازد.
۰
منبع : مرکز مدیریت راهبردی افتا
کارشناسان امنیت سوفوس، حمله جدیدی را شناسایی کردهاند که به انتقال بدافزار کاوشگر رمزارز به سرور Apache Tomcat میپردازد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Sophos اخیرا روش حمله جدیدی را مشاهده کردهاند که در آن یک وبسرور اجراکننده Apache Tomcat هدف قرار گرفتهاست. تلاش مهاجمان در این حمله انتقال بدافزار کاوشگر رمز ارز به سرور قربانی بودهاست.
دلیل اصلی وقوع این حمله استفاده از گذرواژههایی که بهراحتی قابل حدسزدن هستند یا گذرواژههای ضعیف در صفحه مدیریت Tomcat است. مرحله اول حمله با بهرهبرداری از روش جستوجوی فراگیر (brute-force) در پنل ادمین Tomcat انجام شدهاست.
پس از حدس گذرواژه سرور، مهاجمان یک درخواست HTTP POST به سرور ارسال میکنند. درخواست POST به صفحه ادمین Tomcat انجاممیشود که این صفحه دارای قابلیت بارگذاری برنامههای وب به سرور است. این برنامهها در قالب فایلهایی با پسوند war هستند. سپس مهاجم یک فایل war دلخواه با نام admin-manager.war به سرور ارسال میکند که حاوی یک فایل JSP مخرب با نام admin.jsp است. این فایل دارای سه قابلیت ایجاد اطلاعات پروفایل سیستمی، ساخت فایل جدید روی سرور Apache یا اجرای دستور در سرور است.
در حمله مشاهدهشده توسط Sophos، مهاجمان دستوراتی را بهمنظور راهاندازی کاوشگر رمز ارز در سیستم، اجرا کردند. این دستورات در ابتدا فرایندهای پردازشی WMIC.exe، RegSvr۳۲.exe و PowerShell.exe را متوقف میکند و سپس وجود PowerShell ۱,۰ در مسیر %systemroot%\System۳۲\WindowsPowerShell\v۱.۰\PowerShell.exe را بررسی میکند که مهاجم از آن برای اجرای اسکریپت استفاده میکند. در صورت عدم وجود این فایل از فایل RegSvr۳۲.exe استفادهمیشود.
اسکریپتهای مخرب مهاجم که بهصورت زنجیرهای اجرا میشوند درنهایت منجر به انتقال یک payload به نام Neutrino میشوند. این payload با دستکاری مسیر system۳۲ و فایل HOSTS، رکوردهای DNS استخرهای کاوش رمز ارز را بررسی و در صورت نیاز این فایل را ویرایش میکند. همچنین لیستی از فرایندهای پردازشی نیز توسط این payload بررسی میشوند که در صورت وجود متوقف شوند. Payload اصلی کاوشگر در مرحله آخر منتقل میشود و با استفاده از منابع سرور، به استخراج رمز ارز میپردازد.
با توجه به روش نفوذ اولیه مهاجمان با استفاده از گذرواژههای قوی و مناسب میتوان از این نوع حمله جلوگیری کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Sophos اخیرا روش حمله جدیدی را مشاهده کردهاند که در آن یک وبسرور اجراکننده Apache Tomcat هدف قرار گرفتهاست. تلاش مهاجمان در این حمله انتقال بدافزار کاوشگر رمز ارز به سرور قربانی بودهاست.
دلیل اصلی وقوع این حمله استفاده از گذرواژههایی که بهراحتی قابل حدسزدن هستند یا گذرواژههای ضعیف در صفحه مدیریت Tomcat است. مرحله اول حمله با بهرهبرداری از روش جستوجوی فراگیر (brute-force) در پنل ادمین Tomcat انجام شدهاست.
پس از حدس گذرواژه سرور، مهاجمان یک درخواست HTTP POST به سرور ارسال میکنند. درخواست POST به صفحه ادمین Tomcat انجاممیشود که این صفحه دارای قابلیت بارگذاری برنامههای وب به سرور است. این برنامهها در قالب فایلهایی با پسوند war هستند. سپس مهاجم یک فایل war دلخواه با نام admin-manager.war به سرور ارسال میکند که حاوی یک فایل JSP مخرب با نام admin.jsp است. این فایل دارای سه قابلیت ایجاد اطلاعات پروفایل سیستمی، ساخت فایل جدید روی سرور Apache یا اجرای دستور در سرور است.
در حمله مشاهدهشده توسط Sophos، مهاجمان دستوراتی را بهمنظور راهاندازی کاوشگر رمز ارز در سیستم، اجرا کردند. این دستورات در ابتدا فرایندهای پردازشی WMIC.exe، RegSvr۳۲.exe و PowerShell.exe را متوقف میکند و سپس وجود PowerShell ۱,۰ در مسیر %systemroot%\System۳۲\WindowsPowerShell\v۱.۰\PowerShell.exe را بررسی میکند که مهاجم از آن برای اجرای اسکریپت استفاده میکند. در صورت عدم وجود این فایل از فایل RegSvr۳۲.exe استفادهمیشود.
اسکریپتهای مخرب مهاجم که بهصورت زنجیرهای اجرا میشوند درنهایت منجر به انتقال یک payload به نام Neutrino میشوند. این payload با دستکاری مسیر system۳۲ و فایل HOSTS، رکوردهای DNS استخرهای کاوش رمز ارز را بررسی و در صورت نیاز این فایل را ویرایش میکند. همچنین لیستی از فرایندهای پردازشی نیز توسط این payload بررسی میشوند که در صورت وجود متوقف شوند. Payload اصلی کاوشگر در مرحله آخر منتقل میشود و با استفاده از منابع سرور، به استخراج رمز ارز میپردازد.
با توجه به روش نفوذ اولیه مهاجمان با استفاده از گذرواژههای قوی و مناسب میتوان از این نوع حمله جلوگیری کرد.
کد مطلب : 15423
https://aftana.ir/vdcexe8z.jh8nwi9bbj.htmlaftana.ir/vdcexe8z.jh8nwi9bbj.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵