GitHub

در نشانه‌ای از اینکه محققان امنیت سایبری همچنان تحت رادار عوامل مخرب قرار دارند، یک اثبات ادعا (PoC) در GitHub کشف شده است که یک درب پشتی را با روش پایداری crafty پنهان می‌کند.

Nischay Hegde و Siddartha Malladi از محققان Uptycs می‌گویند[۱]: «در این مثال، PoC یک گرگ در لباس گوسفند است که قصد بدی را تحت پوشش یک ابزار یادگیری بی‌ضرر دارد. با عملکرد به‌عنوان یک دانلود کننده، بی‌سروصدا یک اسکریپت bash لینوکس را تخلیه و اجرا می‌کند، درحالی‌که عملیات خود را به‌عنوان یک فرایند در سطح هسته پنهان می‌کند.»

این مخزن[۲] به‌عنوان یک PoC برای CVE-2023-35829، یک نقص با شدت بالا در هسته لینوکس به‌تازگی فاش شده است. PoC دیگری[۳] که توسط همان حساب به اشتراک گذاشته شده است، ChriSanders22، برای CVE-2023-20871، یک اشکال تشدید امتیاز که بر VMware Fusion تأثیر می‌گذارد، دو بار fork شد.

Uptypcs همچنین یک نمایه GitHub دوم[۴] حاوی یک PoC جعلی برای CVE-2023-35829 شناسایی کرد. این نمایه هنوز از زمان نگارش در دسترس است و ۱۹ بار fork شده است. بررسی دقیق‌تر تاریخچه commit نشان می‌دهد[۵] که تغییرات توسط ChriSanders22 انجام شده است که نشان می‌دهد از مخزن اصلی جدا شده است.

GitHub

درب پشتی دارای طیف وسیعی از قابلیت‌ها برای سرقت داده‌های حساس از میزبان‌های در معرض خطر است و همچنین به یک عامل تهدید اجازه می‌دهد با افزودن کلید SSH خود به فایل .ssh/authorized_keys دسترسی از راه دور داشته باشد.

محققان توضیح دادند: “PoC قصد دارد دستور make را اجرا کنیم که یک ابزار اتوماسیون است که برای کامپایل و ساخت فایل‌های اجرایی از فایل‌های کد منبع استفاده می‌شود. اما در Makefile قطعه کدی وجود دارد که بدافزار را می‌سازد و اجرا می‌کند. بدافزار فایلی به نام [۶]kworker را نام‌گذاری کرده و اجرا می‌کند که مسیر $HOME/.local/kworker را در $HOME/.bashrc اضافه می‌کند و در نتیجه پایداری آن را ثابت می‌کند.”

این توسعه تقریباً یک ماه پس از آن صورت می‌گیرد که VulnCheck تعدادی حساب‌های جعلی GitHub را کشف کرد[۷] که به‌عنوان محققان امنیتی برای توزیع بدافزار تحت پوشش بهره‌بردارهای PoC برای نرم‌افزارهای محبوبی مانند Discord، Google Chrome، Microsoft Exchange Server، Signal و WhatsApp ظاهر می‌شوند.

به کاربرانی که PoCها را دانلود و اجرا کرده‌اند توصیه می‌شود کلیدهای SSH غیرمجاز و فایل kworker را حذف کنند، مسیر kworker را از فایل bashrc پاک کنند و /tmp/.iCE-unix.pid را برای تهدیدات احتمالی بررسی کنند.

محققان می‌گویند: «درحالی‌که تشخیص PoCهای قانونی از موارد فریبنده می‌تواند چالش‌برانگیز باشد، اما اتخاذ روش‌های ایمن مانند آزمایش در محیط‌های ایزوله (مانند ماشین‌های مجازی) می‌تواند لایه‌ای از محافظت را فراهم کند.»

 

منابع

[۱] https://www.uptycs.com/blog/new-poc-exploit-backdoor-malware

[۲] https://github.com/ChriSanders22/CVE-2023-35829-poc

[۳] https://github.com/ChriSanders22/CVE-2023-20871-poc

[۴] https://github.com/apkc/CVE-2023-35829-poc

[۵] https://github.com/apkc/CVE-2023-35829-poc/commits/main

[۶] https://medium.com/@boutnaru/the-linux-process-journey-kworker-f947634da73

[۷] https://thehackernews.com/2023/06/fake-researcher-profiles-spread-malware.html

[۸] https://thehackernews.com/2023/07/blog-post.html