محققان امنیتی به تارگی یک ابزار نادر از نرم افزارهای جاسوسی لینوکس را کشف کرده اند که در حال حاضر به طور کامل در تمام محصولات نرم افزاری امنیتی  ضد ویروس شناسایی نشده است و شامل ویژگی های منحصر به فردی نسبت به یشتر بدافزارهای لینوکس است.

این یک واقعیت آشکارییست که تعداد بسیار کمی از انواع بدافزارهای لینوکس در مقایسه با ویروس های ویندوز وجود دارد و دلیلش می تونه  معماری اصلی آن و همچنین  سهم بازار کم باشه

در سال های اخیر، حتی پس از افشای آسیب پذیری های شدید بحرانی در انواع  سیستم عامل ها و نرم افزار لینوکس، مجرمان سایبری نتوانسته اند که  بیشترین استفاده را از حملات خود داشته باشند.

در عوض، تعداد زیادی از بدافزارهایی که لینوکس را هدف قرار می دهند، عمدتا به حملات cryptocurrency mining  و ایجاد بات نت های DDoS به وسیله ربودن سرورهای آسیب پذیر متمرکز بودن.

با این حال، محققان شرکت امنیتی Intezer Labs اخیرا یک backdoor جدید لینوکس را کشف کردند که به نظر می رسد در حال مرحله توسعه و آزمایش است، اما در حال حاضر شامل چندین ماژول مخرب برای جاسوسی بر روی کاربران دسکتاپ لینوکس است.

ابتدا باید ببینیم که malware اساسا چیه. پیشنهاد میکنم ی نگاهی به  *مقاله ی malware چیست* داشته باشین

EvilGnome:  یک ابزار جدید جاسوسی لینوکس

بدافزار EvilGnome، بدافزاریست که به گونه ای طراحی شده است که  میتواند کار های زیادی را انجام دهد از جمله : گرفتن اسکرین شات از دسکتاپ، دزدین فایل ، ضبط صدا از میکروفون کاربر و همچنین دانلود و اجرای سایر ماژولهای مخربی ثانویه.

بر اساس گزارش جدید، Intezer Labs  که قبل از انتشار آن به اشتراک گذاشته است و می تونین بهش سر بزنین — ” آدرس گزارش ” — نمونه ی EvilGnome که در VirusTotal کشف شده است، همچنین دارای یک قابلیت Keylogger ناقصی است، که نشان میدهد توسط برنامه نویس آن به صورت سهوی بارگذاری شده است.

بدافزار EvilGnome خود را به عنوان یک برنامه افزودنی یا extension گنوم قانونی معرفی کرده است، برنامه ای  که اجازه می دهد کاربران لینوکس قابلیت استفاده از دسکتاپ گنوم خود را گسترش دهند.

به گفته محققان، این ابزار به صورت یک اسکریپت شل آرشیو شده ارایه می شود که با “makeself” ایجاد می شود، makeself یک اسکریپت پوسته کوچکی است که یک قایل آرشیو tar امکان اکسترک خودکار یا  self-extractable را می دهد.

این ابزار همیجنین از طریق ابزار Crontab دسترسی دایمی یا persistence را به سیستم شما فراهم میکند تقریبا شبیه ویندوز که از task scheduler سو استفاده می کنند

محققان گفتند: “پایداری این ابزار از طریق ثبت  gnome-shell-ext.sh برای هر دقیقه در crontab است. در نهایت، اسکریپت gnome-shell-ext.sh  اجرا میشود که  باعث اجرای ابزار مخرب اصلی gnome-shell-ext می شود.” .

ماژول های  بدافزار جاسوسی EvilGnome

بدافزار جاسوسی EvilGnome شامل پنج ماژول مخرب به نام “shooter” است که در زیر به آن ها پرداخته ایم:

ShooterSound – این ماژول از PulseAudio برای ضبط صدا از میکروفون کاربر استفاده می کند و داده ها را به سرور فرمان و کنترل اپراتور ارسال می کند.
ShooterImage – این ماژول از کتابخانه منبع باز  Cairo استفاده می کند تا عکس ها را بگیرد و آنها را به سرور C & C آپلود کند. این کار با باز کردن یک اتصال به سرور XOrg Display، که پشت دسکتاپ Gnome است، انجام می شود.
ShooterFile – این ماژول از یک لیست فیلتر برای اسکن سیستم فایل برای فایل های تازه ایجاد شده،  استفاده می کند و آنها را به سرور C & C ارسال می کند.
ShooterPing –  این ماژول دستورات جدیدی از سرور C & C دریافت می کند مانند دانلود و اجرای فایل های جدید، تنظیم فیلتر های جدید برای اسکن فایل، دانلود و تنظیم تنظیمات زمان اجرا جدید و …
ShooterKey – این ماژول هنوز تکمیل نشده و استفاده هم  نشده است، که به احتمال زیاد یک ماژول keylogging ناتمام است.

لازم به ذکر است که ، تمام ماژول های فوق رمزنگاری داده های خروجی و رمزگشایی دستورات دریافت شده از سرور C & C را با یک RC5  کلید “sdg62_AS.sa$die3,”   اصلاح شده از یک کتابخانه منبع باز روسیه، رمزگذاری می شود

نحوه شناسایی بدافزار EvilGnome

برای بررسی اینکه آیا سیستم لینوکس شما با نرم افزار جاسوسی EvilGnome آلوده است، می توانید فایل اجرایی gnome-shell-ext را در پوشه زیر  جستجو کنید.

“~/.cache/gnome-software/gnome-shell-extensions” 

از آنجایی که  محصولات امنیتی و آنتی ویروس در حال حاضر قادر به شناسایی بدافزار EvilGnome نیستند، محققان توصیه می کنند که مدیران لینوکس آدرس IP های فرماندهی و کنترل شده را که در بخش IOCs  این وبلاگ نوشته شده اند، مسدود کند.

نکته مهم دیگه اینه که این ابزار واسه دسکتاپ گنوم تعبیه شده و اگه از گنوم استفاده نمی کنی این ابزار هیچ تهدیدی برای شما نیست اگه از دسکتاپ گنوم استفاده می کنی مطمین باش extensionهایی که نصب می کنی از جای معتبری مانند gnome-look.org یا extensions.gnome.org باشه

 

مقاله “ آیا سیستم عامل Linux بدون Virus است؟ ”  و *مقاله ی malware چیست*  هم می تواند مفید باشد

 

امن باشید

یا حق