عامل تهدید (ChamelDoH) معروف به ChamelGang با استفاده از ایمپلنتی که قبلاً مستند نشده بود در سیستمهای لینوکس پشتی مشاهده شده است که نشانگر گسترش جدیدی از قابلیتهای عامل تهدید است.
این بدافزار که توسطStairwell با عنوان ChamelDoH نامگذاری شده است[۱]، ابزاری مبتنی بر C++ برای برقراری ارتباط از طریق تونل DNS-over-HTTPS (DoH) است[۲].
ChamelGang اولینبار[۳] توسط شرکت امنیت سایبری روسی Positive Technologies در سپتامبر ۲۰۲۱ خارج شد و جزئیات حملات خود به صنایع تولید سوخت، انرژی و هوانوردی در روسیه، ایالات متحده، هند، نپال، تایوان و ژاپن را شرح داد.
زنجیرههای حمله نصبشده توسط مهاجم، از آسیبپذیریها در سرورهای Microsoft Exchange و Red Hat JBoss Enterprise Application استفاده کردهاند تا به دسترسی اولیه و انجام حملات سرقت دادهها با استفاده از درب پشتی غیرفعال به نام DoorMe دست یابند.
Positive Technologies در آن زمان گفت: “این یک ماژول بومی IIS است[۴] که بهعنوان فیلتری ثبت میشود که از طریق آن درخواستها و پاسخهای HTTP پردازش میشوند. اصل عملکرد آن غیرعادی است: درب پشتی تنها درخواستهایی را پردازش میکند که در آنها پارامتر کوکی صحیح تنظیم شده باشد.”
درب پشتی لینوکس که توسط Stairwell کشف شد، به نوبه خود برای ضبط اطلاعات سیستم طراحی شده است و قادر به عملیات دسترسی از راه دور مانند آپلود فایل، دانلود، حذف و اجرای دستورات پوسته است.
چیزی که ChamelDoH را منحصربهفرد میکند، روش ارتباطی جدید آن برای استفاده از DoH است که برای انجام پردازش DNS از طریق پروتکل HTTPS، برای ارسال درخواستهای DNS TXT[5] به یک nameserver[6] سرکش استفاده میشود.
Daniel Mayer، محقق Stairwell در این باره گفت: «با توجه به اینکه این ارائهدهندگان DoH معمولاً از سرورهای DNS [یعنی Cloudflare و Google] برای ترافیک قانونی استفاده میکنند، نمیتوان آنها را بهراحتی در سراسر سازمان مسدود کرد.»
استفاده از DoH برای فرمان و کنترل (C2) همچنین مزایای بیشتری را برای عامل تهدید ارائه میکند، زیرا به دلیل استفاده از پروتکل HTTPS، نمیتوان درخواستها را با استفاده از حمله مردی در میان (AitM) رهگیری کرد.
این همچنین به این معنی است که راهحلهای امنیتی نمیتوانند درخواستهای مخرب DoH را شناسایی و منع و ارتباطات را قطع کنند، در نتیجه آن را به یک کانال رمزگذاری شده بین میزبان آسیبدیده و سرور C2 تبدیل میکنند.
Mayer توضیح داد: «نتیجه این تاکتیک شبیه به C2 از طریق fronting دامنه است، جایی که ترافیک به یک سرویس قانونی میزبانی شده در CDN ارسال میشود، اما از طریق هدر Host درخواست به سرور C2 هدایت میشود – هم تشخیص و هم پیشگیری مشکل است.
این شرکت امنیت سایبری مستقر در کالیفرنیا گفت که در مجموع ۱۰ نمونه ChamelDoH را در VirusTotal شناسایی کرده است که یکی از آنها در ۱۴ دسامبر ۲۰۲۲ بارگذاری شده است.
Mayer گفت: جدیدترین یافتهها نشان میدهد که «این گروه همچنین زمان و تلاش قابلتوجهی را به تحقیق و توسعه یک مجموعه ابزار به همان اندازه قوی برای نفوذهای لینوکس اختصاص داده است».
منابع
[۱] https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant
[۲] https://thehackernews.com/2021/01/nsa-suggests-enterprises-use-designated.html
[۳] https://thehackernews.com/2021/10/a-new-apt-hacking-group-targeting-fuel.html
[۴] https://thehackernews.com/2021/08/several-malware-families-targeting-iis.html
[۵] https://www.cloudflare.com/learning/dns/dns-records/dns-txt-record
[۶] https://www.cloudflare.com/learning/dns/dns-records/dns-ns-record
[۷] https://thehackernews.com/2023/06/chameldoh-new-linux-backdoor-utilizing.html
ثبت ديدگاه