بدافزار جدید تحت لینوکس از آسیب‌پذیری SambaCry برای ایجاد در پشتی مخفی در دستگاه‌های NAS بهره‌برداری می‌کند.

آیا SambaCry را به خاطر دارید؟

در حدود ۲ ماه پیش گزارشی درباره یک آسیب‌پذیری حیاتی اجرای کد از راه دور در نرم‌افزار شبکه Samba منتشر شد که به یک مهاجم اجازه می‌داد تا از راه دور کنترل کامل دستگاه‌های دارای سیستم‌عامل لینوکس و یونیکس را در دست گیرد.

این آسیب‌پذیری SambaCry نامیده شد چراکه مشابه آسیب‌پذیری SMB در ویندوز بود که توسط باج‌گیر افزار WannaCry مورد بهره‌برداری قرار گرفته بود[۱] و خرابی‌های بسیاری در سطح جهان به وجود آورده بود.

محققان شرکت Trend Micro هشدار داده‌اند بااینکه این آسیب‌پذیری در اواخر ماه می ۲۰۱۷ وصله شده است[۲]، اما این آسیب‌پذیری همچنان توسط بدافزارها و به‌منظور مورد هدف قرار دادن دستگاه‌های اینترنت اشیاء به‌خصوص وسایل خانگی ذخیره‌ساز متصل به شبکه^(۱) مورد استفاده قرار می‌گیرد.

Samba نوعی نرم‌افزار منبع باز است که برای پیاده‌سازی مجدد^(۲) پروتکل شبکه SMB/CIFS مورد استفاده قرار می‌گیرد. این نرم‌افزار بر روی بیشتر سیستم‌عامل‌ها شامل لینوکس، یونیکس، آی‌بی‌ام سیستم ۳۹۰ و OpenVMS قابل‌اجراست و به سرورهای بر پایه لینوکس یا یونیکس اجازه می‌دهد تا فایل‌های بر پایه ویندوز را اجرا کنند.

بلافاصله بعد از افشاسازی عمومی وجود این آسیب‌پذیری، آسیب‌پذیری SambaCry با کد CVE-2017-7494 به‌منظور نصب برنامه‌های cryptocurrency mining بر روی سیستم‌عامل‌های لینوکس مورد بهره‌برداری قرار گرفت، مانند CPUminer که واحد دیجیتالی Monero را استخراج می‌کرد.

بااین‌حال، آخرین کمپینی که از SambaCry استفاده کرده بود توسط محققان شرکت Trend Micro و بلافاصله پس از هدف قرار دادن دستگاه‌های NAS که توسط کسب‌وکارهای کوچک و بزرگ مورد استفاده قرار می‌گیرند، شناسایی شد.

بدافزار SHELLBIND به‌منظور هدف قرار دادن دستگاه‌های NAS از SambaCry بهره‌برداری کرد.

این بدافزار که SHELLBIND نام‌گذاری شده است، بر روی معماری‌های مختلفی عمل می‌کند که شامل MIPS، ARM و PowerPC می‌شوند و به‌عنوان یک فایل شی مشترک^(۳) به فولدرهای عمومی Samaba انتقال داده می‌شود و از طریق آسیب‌پذیری SambaCry اجرا می‌شود.

هنگامی‌که این آسیب‌پذیری بر روی سیستم آسیب‌پذیر پیاده‌سازی می‌شود، این بدافزار به مهاجم اجازه دسترسی به سیستم آلوده را می‌دهد و یک پوسته open command که بر روی دستگاه مربوطه قرار دارد در اختیار مهاجم قرار می‌دهد به‌طوری‌که فرد مهاجم می‌تواند هر تعداد دستوری که بخواهد بر روی سیستم موردنظر اجرا کرده و درنهایت کنترل کامل این سیستم را در دست گیرد.

به‌منظور پیدا کردن دستگاه‌های آلوده‌شده که از Samba استفاده می‌کنند، مهاجمان از موتور جستجوی Shodan استفاده می‌کنند و فایل‌های اصلی بدافزار را بر روی فولدرهای عمومی خود رایت می‌کنند.

محققان در ارتباط با این آسیب‌پذیری این‌گونه توضیح می‌دهند: “این کار کاملاً آسان است که توسط Shodan دستگاه‌های که از Samba استفاده می‌کنند را پیدا کرد به این صورت که برای پورت ۴۴۵ و با رشته samba یک لیست IP قابل‌قبول ایجاد خواهد کرد. در مرحله بعد یک مهاجم به‌سادگی یک ابزار تولید می‌کند که به‌طور خودکار فایل‌های مخرب را بر روی هر IP هایی که در لیست وجود دارد رایت می‌کند. هنگامی‌که فایل‌های موردنظر بر روی فولدرهای عمومی رایت شد، دستگاه‌هایی که دارای آسیب‌پذیری SambaCry هستند می‌توانند به قربانیان ELF_SHELLBIND.A تبدیل شوند.”

به‌هرحال، این کاملاً مشخص نیست که مهاجمان با دستگاه‌های در معرض خطر چه‌کار می‌کنند و انگیزه واقعی آن‌ها در قبال به مخاطره انداختن این دستگاه‌ها چیست.

آسیب‌پذیری SambaCry به‌راحتی قابل بهره‌برداری است و می‌تواند توسط مهاجمان از راه دور برای بارگذاری یک کتابخانه به اشتراک گذاشته مورد استفاده قرار گیرد و سپس موجب می‌شود تا سرور کد مخرب را اجرا کند.

سازندگان Samba در حال حاضر این مشکل را در نسخه‌های ۴٫۶٫۴، ۴٫۵٫۱۰ و ۴٫۴٫۱۴ از نرم‌افزار Samba وصله کرده‌اند، بنابراین به کاربران شدیداً توصیه می‌شود تا دستگاه‌های خود را در برابر این آسیب‌پذیری هر چه سریع‌تر وصله کنند.

همچنین مهاجمان نیازمند این هستند که به یک مکان مشترک بر روی سیستم مورد هدف دسترسی نوشتن داشته باشند تا payload مربوطه را انتقال دهند که این امر می‌تواند به‌عنوان یک عامل نگه‌دارنده دیگر به‌حساب آید که نرخ آلوده شدن را کاهش دهد.

منابع

[۱] https://apa.aut.ac.ir/?p=2580

[۲] https://www.samba.org/samba/security/CVE-2017-7494.html

[۳] http://thehackernews.com/2017/07/linux-malware-sambacry.html

(۱) Network Attached Storage (NAS)
(۲) re-implementation
(۳) shared object (.SO)