اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

بررسی بدافزار Stantinko Botnet و چگونگی هدف قرار دادن سرورهای لینوکسی

Stantinko Botnet

بر اساس تحلیل جدیدی که توسط Intezer منتشر شده، Trojan جدید تحت عنوان HTTPd که معمولا یک برنامه‌ی مورد استفاده در سرور‌های لینوکس است، معرفی می‌کند و حالا نسخه جدید بدافزاری است که با عنوان Stantinko شناخته‌ شده و به یک هکر تعلق دارد.

محققان درباره Adware Botnet اینگونه شرح داده­ اند که با فریب کاربرانی که به دنبال نرم افزار Pirated هستند، عمل کرده و آن‌ها را مجاب می‌کند تا برنامه‌های اجرایی مخربی که خودشان را به عنوان Torrent مخفی کردند، دانلود نمایند و افزونه‌های مخرب مرورگر که کارشان Ad Injection و Click Fraud است را نصب کنند.

 این کمپین مخفی که بخش عظیمی از نیم میلیون Bot را کنترل می‌کند، ارتقای قابل توجهی در قالب ماژول Crypto-Mining دریافت کرده که هدف آن کسب سود از کامپیوتر‌های تحت کنترل خود است.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


Stantinko یک بدافزار ویندوزی

اگرچه Stantinko به طور رسمی یک بدافزار ویندوز بوده‌ است، اما گستردگی آن در Toolset برای هدف قرار دادن سیستم عامل لینوکس نیز مورد توجه واقع شد. بدین منظور این بدافزار با کمک ESET یک Linux Trojan Proxy را مشاهده می‌کند که از طریق باینری‌های مخرب در سرور‌های آلوده پیاده‌سازی شده بود.

آخرین تحقیقات Intezer بینش تازه‌ای در مورد این پراکسی لینوکسی ارائه می‌دهد، به­ خصوص نسخه جدید 2.17 از همان بدافزار 1.2 به نام httpd همراه با یک نمونه از بدافزار که از روسیه بر VirusTotal آپلود شده‌است. در هنگام اجرا، httpd یک فایل تنظیم که در etc/pd.d/Proxy.conf قرار دارد و همراه با بدافزار فرستاده شده را تایید کرده و به دنبال آن یک سوکت و یک شنود ایجاد می‌کند، تا پذیرش اتصالات از چیزی که محققان باور دارند سیستم‌های آلوده هستند محقق شود.

بیشتر بخوانید: مقابله با بدافزارها به کمک قابلیت‌های Microsoft Defender ATP

یک درخواست HTTP Post از طرف یک Client آلوده، راه را برای انتقال پراکسی از طریق درخواست به سرور تحت کنترل مهاجم هموار می‌کند، سپس توسط یک Payload مناسب که از طریق پراکسی به Client فرستاده می‌شود، پاسخ می‌دهد.

درصورتیکه یک Client آلوده نشده درخواست HTTP Get را به سرور آلوده ارسال کند، یک تعیین مسیر HTTP 301 به یک URL از پیش تنظیم شده که در فایل پیکربندی مشخص شده است، مجددا ارسال می‌شود.

محققان Intezer با بیان اینکه نسخه جدید این بدافزار فقط به عنوان یک پراکسی عمل می‌کند، اظهار کردند که نسخه جدید چندین Function Name را با نسخه قدیمی به اشتراک می‌گذارد و برخی از مسیر‌های Hardcoded شباهت‌هایی به کمپین‌های قبلی Stantinko دارند.

Stantinko درکنار تهدیداتی همچون Doki ،IPStorm و RansomEXX آخرین بدافزاری است که سرور‌های لینوکس را برای مخفی شدن مورد هدف قرار می‌دهد. به نظر ما این بدافزار بخشی از یک کمپین وسیع‌تر است که از سرورهای لینوکس تحت خطر سواستفاده می‌کند.

پکیج آموزشی VMware NSX شرکت APK