تهديد امنيتی Shellshock الگوی جديد بدافزارهای آلوده سيستم عامل Linux

به گفته کارشناسان امنيتی مخاطرات ناشی از بدافزار Shellshock به تنهايی نگران کننده نمی‌باشد بلکه اهميت بيشتر آن به اين خاطر می‌باشد که اين بدافزار می‌تواند در نقش الگو و روشی جديد برای مهاجمين به منظور ايجاد بدافزارهای جديد باشد. نکته مهم در خصوص اين بدافزار تنها داشتن آگاهی از خطرات Mayhem نيست بلکه Shellshock پيشرفته‌ترين متد آسيب پذيری می‌باشد. از ديدگاه علمی و فنی نحوه عمل اين بدافزار فراتر از روش‌ها و تئوری‌های بکار رفته در بدافزارهای پيشين است. دکتر مايک لويد مدير فنی شرکت Redseal خاطر نشان می‌سازد تهديدات اين آسيب پذيری به اساس عمليات رياضی پيچيده در خصوص احتمال وقوع رخداد برای قربانی می‌باشد.

Ron Gula مدير عامل شرکت Tenable Security Center می‌گويد: آسيب پذيری Mayhem با سوء استفاده از دو عامل بوقوع می‌پيوندد.

۱. اولی اجازه به کاربر برای ارسال فايل به سرور لينوکس از طريق پروتکل FTP
۲. دومی ارسال فايل‌های مخرب توسط Shellshock

قبلاً تصور می‌شد فايل‌های دريافتی تنها کد نوشته‌های PHP می‌باشد. ولی در حال حاضر مشخص شده است که آنچه توسط سرور قربانی دريافت می‌شود فايل‌های کتابخانه‌ای ELF مخرب می‌باشند که اين فايل‌ها پلاگين‌های آلوده و رمز نگاری شده را دريافت کرده و سپس از سرور قربانی بعنوان سکوی برای آغار حمله به سايت‌های ديگر استفاده می‌کنند.

به گفته Ron Gula بسياری از سازمان‌ها ارتباطی بين آسيب پذيری با درجه خطر متوسط با ارسال خودسرانه فايل توسط پروتکل FTP با بدافزار Shellshock متصور نمی‌باشند. البته برخی از سازمان‌های که دارای سازوکارهای امنيتی مناسب می‌باشند شايد کد نوشته‌ای که نشان‌دهنده وجود بدافزار Shellshok در داخل سازمان را پيدا نکنند و بطور طبيعی به ديگر مسائل امنيتی توجه نشان داده و ازآنچه که در حال شکل گيری می‌باشد غافل شوند.

Adam Kujawa می‌گويد: خاصيت خود تکثيری ويژگی خطرناک اين نوع بدافزارها می‌باشد. چون بدافزار جديد دارای اين ويژگی بوده و می‌تواند آسيب‌های جدی به سرويس دهنده‌های بدون راهکارهای محافظت کننده همچون آنتی ويروس، وارد نمايد.

به گفته Gula وقتی نمی‌توان بر روی يک سرور وصله‌های به روز رسانی را نصب کرد بايد توسط لايه‌های امنيتی ديگر نظير IPS، فايروال‌ها و Web Applicationها، امنيت سرور را تامين نمود و پروسه نظارت و مانيتورينگ را تقويت کرد. به طور معمول وصله‌های به روز رسانی برای اين کار کافی می‌باشد هر چند آسيب‌های امنيتی مربوط به Shellshock به مرور زمان رو به افزايش می‌باشد. از اقدامات مهم به منظور افزايش سطح امنيت در سيستم‌های لينوکس، مانيتورينگ تمام دستورات ورودی به سيستم و تهيه گزارش می‌باشد و يا محدود کردن کاربران به اجرای دستورات خاص می‌باشد. در صورتی که مهاجم و يا بدافزاری به حساب کاربری يک وب سرور دسترسی پيدا کرد، با شيوه بيان شده می‌توان از اجرای دستورات مخرب آن اطلاع پيدا کرد و آن را تشخيص داد. روش پيشگيری فوق ممکن است نه تنها برای بدافزار Mayhem مفيد بلکه برای حملات با نحوه عمل مشابه هم قابل استفاده باشد.

کارشناسان امنيت بر اين باورند که چه بسا در آينده‌ای نزديک روش بدافزار Shellshock توسط مهاجمين مورد استفاده قرار داده شود دليل اين تمايل به پيروی از متد بکار گرفته شده در اين بدافزار بجای خلق روشی جديد می‌باشد. در واقع مهاجمين نمی‌خواهند نرم افزاهای مخرب خوب را که می‌توان از آن کمک گرفت، در نظر نگيرند بلکه به دنبال افزودن قابليت‌ها و ويژگی‌های بدافزار Shellshock به تهديدات پيشين خود می‌باشند. به نظر Kujawa دور از ذهن نخواهد بود که ويژگی‌های بدافزار Shellshock در ابزارهای نفوذ و تست قابل حصول شود.

به گفته کارشناسان امنيت تا مادامی که ابزارهای کشف نقطه ضعف Shellshock و راهکارهايی برای افزودن قابلت کشف اين نقطه ضعف در ابزارهای قديمی ارائه می‌شود، انتظار عرضه ابزارهای جديد نفوذ بر اساس روش Bash bug کم می‌باشد. بنا به اظهار نظر Rahul Kashyap طراح راهکار و مدير امنيت شرکت Bromium، مهاجمين ابزارهای خود را با هدف استفاده از اين نقطه ضعف تجهيز خواهند کرد. اين دسته از مهاجمين با تغيير ظاهر کد بدافزارهای موجود به آسانی سامانه‌های امنيتی پيشين را گول خواهند زد و در اصل با اين شگرد نيازی به ساختن بدافزاری جديدی نخواهد بود. اگر نتايج کارکرد بدافزار آلوده کننده‌ای مانند بدافزار Mayhem که با ايجاد Botnet کار می‌کند نيازهای مهاجم رابرآورده سازد، امکان استفاده مجدد از Botnet پيشين را بطور گسترده‌تر و موثرتر ممکن خواهد کرد.

Martin Lee مدير تيم امنيت می‌گويد: تمرکز و هدف مهاجمين ايجاد سازگاری ماشين‌های جديد تحت هر شرايطی با بدافزارها و شرايط جديد می‌باشد. با ايجاد اين سازگاری هر بدافزار جديدی می‌تواند از ضعف و نفوذهای پيشين با اطمينان بهره ببرد.

بنا به توصيه‌ی هميشگی کارشناسان امنيت، به روز رسانی سيستم عامل با استفاده از وصله‌های ارائه شده توسط سازنده بسيار ضروری و مفيد می‌باشد و می‌تواند بعنوان اولين و مهمترين راه برای جلوگيری از ورود و نفوذ تهديد امنيتی باشد.

به گفته Mike Spanbauer کارشناس امنيت آزمايشگاه NSS، اگر چه داشتن روال‌های به روز رسانی مشخص و مداوم می‌تواند عامل بازدارنده مهمی برای به دور از خطر گذاشتن سرورها باشد ولی اين راه ممکن است هميشه کار ساز نباشد.

تاريخ: شنبه 3 آبان 1393  ساعت: 12:38

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm