Home |

تهديد امنيتي Shellshock الگوي جديد بدافزارهاي آلوده سيستم عامل Linux

به گفته کارشناسان امنيتي مخاطرات ناشي از بدافزار Shellshock به تنهايي نگران کننده نمي‌باشد بلکه اهميت بيشتر آن به اين خاطر مي‌باشد که اين بدافزار مي‌تواند در نقش الگو و روشي جديد براي مهاجمين به منظور ايجاد بدافزارهاي جديد باشد. نکته مهم در خصوص اين بدافزار تنها داشتن آگاهي از خطرات Mayhem نيست بلکه Shellshock پيشرفته‌ترين متد آسيب پذيري مي‌باشد. از ديدگاه علمي و فني نحوه عمل اين بدافزار فراتر از روش‌ها و تئوري‌هاي بکار رفته در بدافزارهاي پيشين است. دکتر مايک لويد مدير فني شرکت Redseal خاطر نشان مي‌سازد تهديدات اين آسيب پذيري به اساس عمليات رياضي پيچيده در خصوص احتمال وقوع رخداد براي قرباني مي‌باشد.

Ron Gula مدير عامل شرکت Tenable Security Center مي‌گويد: آسيب پذيري Mayhem با سوء استفاده از دو عامل بوقوع مي‌پيوندد.

?. اولي اجازه به کاربر براي ارسال فايل به سرور لينوکس از طريق پروتکل FTP
?. دومي ارسال فايل‌هاي مخرب توسط Shellshock

قبلاً تصور مي‌شد فايل‌هاي دريافتي تنها کد نوشته‌هاي PHP مي‌باشد. ولي در حال حاضر مشخص شده است که آنچه توسط سرور قرباني دريافت مي‌شود فايل‌هاي کتابخانه‌اي ELF مخرب مي‌باشند که اين فايل‌ها پلاگين‌هاي آلوده و رمز نگاري شده را دريافت کرده و سپس از سرور قرباني بعنوان سکوي براي آغار حمله به سايت‌هاي ديگر استفاده مي‌کنند.

به گفته Ron Gula بسياري از سازمان‌ها ارتباطي بين آسيب پذيري با درجه خطر متوسط با ارسال خودسرانه فايل توسط پروتکل FTP با بدافزار Shellshock متصور نمي‌باشند. البته برخي از سازمان‌هاي که داراي سازوکارهاي امنيتي مناسب مي‌باشند شايد کد نوشته‌اي که نشان‌دهنده وجود بدافزار Shellshok در داخل سازمان را پيدا نکنند و بطور طبيعي به ديگر مسائل امنيتي توجه نشان داده و ازآنچه که در حال شکل گيري مي‌باشد غافل شوند.

Adam Kujawa مي‌گويد: خاصيت خود تکثيري ويژگي خطرناک اين نوع بدافزارها مي‌باشد. چون بدافزار جديد داراي اين ويژگي بوده و مي‌تواند آسيب‌هاي جدي به سرويس دهنده‌هاي بدون راهکارهاي محافظت کننده همچون آنتي ويروس، وارد نمايد.

به گفته Gula وقتي نمي‌توان بر روي يک سرور وصله‌هاي به روز رساني را نصب کرد بايد توسط لايه‌هاي امنيتي ديگر نظير IPS، فايروال‌ها و Web Applicationها، امنيت سرور را تامين نمود و پروسه نظارت و مانيتورينگ را تقويت کرد. به طور معمول وصله‌هاي به روز رساني براي اين کار کافي مي‌باشد هر چند آسيب‌هاي امنيتي مربوط به Shellshock به مرور زمان رو به افزايش مي‌باشد. از اقدامات مهم به منظور افزايش سطح امنيت در سيستم‌هاي لينوکس، مانيتورينگ تمام دستورات ورودي به سيستم و تهيه گزارش مي‌باشد و يا محدود کردن کاربران به اجراي دستورات خاص مي‌باشد. در صورتي که مهاجم و يا بدافزاري به حساب کاربري يک وب سرور دسترسي پيدا کرد، با شيوه بيان شده مي‌توان از اجراي دستورات مخرب آن اطلاع پيدا کرد و آن را تشخيص داد. روش پيشگيري فوق ممکن است نه تنها براي بدافزار Mayhem مفيد بلکه براي حملات با نحوه عمل مشابه هم قابل استفاده باشد.

کارشناسان امنيت بر اين باورند که چه بسا در آينده‌اي نزديک روش بدافزار Shellshock توسط مهاجمين مورد استفاده قرار داده شود دليل اين تمايل به پيروي از متد بکار گرفته شده در اين بدافزار بجاي خلق روشي جديد مي‌باشد. در واقع مهاجمين نمي‌خواهند نرم افزاهاي مخرب خوب را که مي‌توان از آن کمک گرفت، در نظر نگيرند بلکه به دنبال افزودن قابليت‌ها و ويژگي‌هاي بدافزار Shellshock به تهديدات پيشين خود مي‌باشند. به نظر Kujawa دور از ذهن نخواهد بود که ويژگي‌هاي بدافزار Shellshock در ابزارهاي نفوذ و تست قابل حصول شود.

به گفته کارشناسان امنيت تا مادامي که ابزارهاي کشف نقطه ضعف Shellshock و راهکارهايي براي افزودن قابلت کشف اين نقطه ضعف در ابزارهاي قديمي ارائه مي‌شود، انتظار عرضه ابزارهاي جديد نفوذ بر اساس روش Bash bug کم مي‌باشد. بنا به اظهار نظر Rahul Kashyap طراح راهکار و مدير امنيت شرکت Bromium، مهاجمين ابزارهاي خود را با هدف استفاده از اين نقطه ضعف تجهيز خواهند کرد. اين دسته از مهاجمين با تغيير ظاهر کد بدافزارهاي موجود به آساني سامانه‌هاي امنيتي پيشين را گول خواهند زد و در اصل با اين شگرد نيازي به ساختن بدافزاري جديدي نخواهد بود. اگر نتايج کارکرد بدافزار آلوده کننده‌اي مانند بدافزار Mayhem که با ايجاد Botnet کار مي‌کند نيازهاي مهاجم رابرآورده سازد، امکان استفاده مجدد از Botnet پيشين را بطور گسترده‌تر و موثرتر ممکن خواهد کرد.

Martin Lee مدير تيم امنيت مي‌گويد: تمرکز و هدف مهاجمين ايجاد سازگاري ماشين‌هاي جديد تحت هر شرايطي با بدافزارها و شرايط جديد مي‌باشد. با ايجاد اين سازگاري هر بدافزار جديدي مي‌تواند از ضعف و نفوذهاي پيشين با اطمينان بهره ببرد.

بنا به توصيه‌ي هميشگي کارشناسان امنيت، به روز رساني سيستم عامل با استفاده از وصله‌هاي ارائه شده توسط سازنده بسيار ضروري و مفيد مي‌باشد و مي‌تواند بعنوان اولين و مهمترين راه براي جلوگيري از ورود و نفوذ تهديد امنيتي باشد.

به گفته Mike Spanbauer کارشناس امنيت آزمايشگاه NSS، اگر چه داشتن روال‌هاي به روز رساني مشخص و مداوم مي‌تواند عامل بازدارنده مهمي براي به دور از خطر گذاشتن سرورها باشد ولي اين راه ممکن است هميشه کار ساز نباشد.


تاريخ: شنبه 3 آبان 1393  ساعت: