شناسایی یک بدافزار ماینینگ جدید

بدافزار Graboid مونرو استخراج می‌کند

سایبربان , 30 مهر 1398 ساعت 14:58

کارشناسان امنیتی پالوآلتو بدافزار جدیدی را به نام گرَبوید (Graboid) شناسایی کرده‌اند که ارز مونرو (Monero) استخراج می‌کند.


کارشناسان امنیتی پالوآلتو بدافزار جدیدی را به نام گرَبوید (Graboid) شناسایی کرده‌اند که ارز مونرو (Monero) استخراج می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به‌تازگی کارشناسان شرکت امنیتی Palo alto Networks بدافزار جدیدی به نام گرَبوید (Graboid) شناسایی کرده‌اند که اقدام به استخراج ارز دیجیتال مونرو (Monero) کرده و برای توزیع از کانتینرهای موتور اصلی داکر (Docker Engine) استفاده‌می‌کند. شرکت Palo alto Networks، یک شرکت امنیت سایبری چندملیتی است که محصولات اصلی آن یک پلتفرم شامل فایروال‌های پیشرفته و پیشنهادهای مبتنی‌بر Cloud است.

کارشناسان این شرکت از طریق موتور جست‌وجوی شودان (Shodan) بیش از ۲۰۰۰ بسته نصب ناامن، موتور اصلی داکر را شناسایی کردند که در دسترس همه کاربران و آلوده به بدافزار گربوید بوده‌اند. این بدافزار برخی مواقع فهرستی از هاست‌های آسیب‌پذیر و بیش از ۲۰۰۰ آدرس آی‌پی را از سرور کنترل و فرمان بارگیری می‌کند که نشان می‌دهد مجرمان اهداف احتمالی خود را شناسایی کرده و به‌صورت تصادفی یکی را گزینش می‌کنند.

مهاجم پس از نفوذ به سیستم موردنظر، کنترل از راه دور انجام داده و فرمان بارگیری تصویر pocosow/centos را از داکر‌هاب (Docker Hub) می‌دهد. این تصویر دارای کلاینت داکر بوده و برای برقراری ارتباط با سایر میزبان‌های داکر مورد استفاده قرار می‌گیرد. عملیات استخراج با کانتینر مجزای gakeaws/nginx انجام می‌گیرد که به‌عنوان وب‌سرور متن‌باز nginx عمل می‌کند. کانتینر pocosow/centos جهت بارگیری چهار اسکریپت از سرور کنترل و اجرای آنها نیز مورد استفاده قرار می‌گیرد.

کرم گربوید از پانزده میزبان آسیب‌دیده دستوراتی دریافت می‌کند که چهارده مورد آنها جزء فهرست آدرس‌های آسیب‌پذیر IP هستند و یکی از آنها نیز بیش از ۵۰ آسیب‌پذیری شناخته‌شده دارد. اپراتور بدافزار به‌منظور هدایت و کنترل آن، این میزبان‌ها را آلوده می‌کند.

کارشناسان معتقدند این ماینر در انتخاب هدف، نامنظم عمل کرده و حتی زمانی که در هاست‌های آلوده نصب می‌شود بلافاصله عمل نمی‌کند که می‌تواند ناشی از توسعه نامطلوب و یا در راستای عدم شناسایی این بدافزار باشد.


کد مطلب: 15926

آدرس مطلب: http://www.aftana.ir/fa/doc/news/15926/بدافزار-graboid-مونرو-استخراج-می-کند

افتانا
  http://www.aftana.ir