‫ حملات بدافزار لینوکس Migo ، امنیت را غیرفعال می‌کند

بدافزار جدید Migo سرورهای لینوکس را هدف قرار می دهد و از Redis برای سرقت رمزارز سوء استفاده می کند. استفاده از روت کیت حالت کاربر، فعالیت آن را پنهان می کند و تشخیص را دشوار می کند.

پژوهشگران Cado Security Labs فاش کردند که یک کمپین بدافزار پیچیده لینوکس کشف شده است که Redis، یک سیستم محبوب فروشگاه داده را هدف قرار می دهد تا با استفاده از "دستورات تضعیف سیستم" دسترسی اولیه را به دست آورد.

محققان Cado فاش کردند که بدافزاری که Migo نام دارد، از Redis برای سرقت رمزارز سوء استفاده می کند. مهاجمان دستوراتی را روی سرورهای Redis هدف خود اجرا می‌کنند تا گزینه‌های پیکربندی را غیرفعال کنند و قبل از استقرار بارگذاری، آنها را آسیب‌پذیر کنند.

محموله اصلی، Migo، یک باینری Golang ELF است که یک نصب کننده XMRig را از GitHub بازیابی می کند. دستورات تضعیف سیستم Redis برای غیرفعال کردن گزینه‌های پیکربندی، مانند حالت محافظت شده و فقط خواندنی، با استفاده از دستورات CLI برای اجرای بارهای مخرب از منابع خارجی مانند Pastebin برای استخراج ارز دیجیتال در پس‌زمینه استفاده می‌شود.

حالت محافظت شده یک حالت عملکرد سرور Redis است که در نسخه 3.2.0 برای کاهش قرار گرفتن در معرض شبکه بالقوه معرفی شده است. این فقط اتصالات را از رابط حلقه بک می پذیرد و احتمالاً در دسترسی اولیه غیرفعال است تا به مهاجمان اجازه ارسال دستورات اضافی را بدهد.

برعکس، ویژگی Replica-read-Only در Redis از نوشتن تصادفی روی کپی‌ها که ممکن است منجر به عدم همگام‌سازی شوند، جلوگیری می‌کند. محققان Cado گزارش می دهند که از این ویژگی برای تحویل محموله مخرب استفاده می کند و مهاجمان Migo احتمالاً آن را برای بهره برداری سرور Redis در آینده غیرفعال می کنند.

Migo از مبهم سازی زمان کامپایل و روت کیت حالت کاربر "libprocesshider" برای مخفی کردن فرآیندها و مصنوعات استفاده می کند، که تشخیص و کاهش تهدید را برای تحلیلگران امنیتی دشوار می کند. هنگامی که ماینر نصب شد، Migo پیکربندی XMRig را برای جستجوی اطلاعات سیستم، از جمله کاربران وارد شده و محدودیت های منابع تنظیم می کند.

همچنین تعداد صفحات عظیم موجود در سیستم را با استفاده از پارامتر vm.nr_hugepages روی 128 تنظیم می کند. مت مویر، محقق امنیتی Cado Security در یک پست وبلاگ خاطرنشان کرد: این اقدامات برای بدافزارهای رمزنگاری کاملاً معمولی هستند.

دستورات پوسته را برای کپی کردن باینری، غیرفعال کردن SELinux، شناسایی اسکریپت های حذف، اجرای ماینر، کشتن فرآیندهای رقیب، ثبت ماندگاری و جلوگیری از ترافیک خروجی به آدرس های IP خاص و دامنه‌ها اجرا می کند.

علاوه بر این، Migo برای تداوم به سرویس سیستم و تایمر متکی است و توسعه‌دهندگان نمادها و رشته‌ها را در ساختار pclntab مبهم کرده‌اند تا فرآیند تحلیل بدافزار را پیچیده کنند. دخالت یک روت کیت حالت کاربر همچنین پزشکی قانونی پس از حادثه میزبان های در معرض خطر را پیچیده می کند و libprocesshider مصنوعات روی دیسک را پنهان می کند.

ظهور Migo نشان می دهد که مهاجمان متمرکز بر ابر به طور مداوم تکنیک های خود را اصلاح می کنند و بر بهره برداری از خدمات وب سایت متمرکز هستند. محققان نتیجه گرفتند که آنها از دستورات تضعیف سیستم Redis برای غیرفعال کردن ویژگی های امنیتی استفاده کردند، حرکتی که قبلاً در کمپین‌هایی که از Redis برای دسترسی اولیه استفاده می کردند گزارش نشده بود.