جستجو برای:
سبد خرید 0
  • خانه
  • دوره ها
  • معرفی ابزارهای لینوکس
  • مقالات
  • تماس با ما
آموزش لینوکس 🐧 آموزش دوآپس 🐋

ورود

گذرواژه خود را فراموش کرده اید؟

ثبت نام

داده های شخصی شما برای پشتیبانی از تجربه شما در این وب سایت، برای مدیریت دسترسی به حساب کاربری شما و برای اهداف دیگری که در سیاست حفظ حریم خصوصی ما شرح داده می شود مورد استفاده قرار می گیرد.

  • 09159612321
  • rfak.it@gmail.com
  • درباره ما
آموزش لینوکس 🐧 آموزش دوآپس 🐋
  • خانه
  • دوره ها
  • معرفی ابزارهای لینوکس
  • مقالات
  • تماس با ما
شروع کنید
0

وبلاگ

آموزش لینوکس 🐧 آموزش دوآپس 🐋مقالاتمقالاتبررسی یک spyware جدید به نام EvilGnome برای لینوکس

بررسی یک spyware جدید به نام EvilGnome برای لینوکس

7 مرداد 1398
ارسال شده توسط عارف اختری
مقالات

محققان امنیتی به تارگی یک ابزار نادر از نرم افزارهای جاسوسی لینوکس را کشف کرده اند که در حال حاضر به طور کامل در تمام محصولات نرم افزاری امنیتی  ضد ویروس شناسایی نشده است و شامل ویژگی های منحصر به فردی نسبت به یشتر بدافزارهای لینوکس است.

این یک واقعیت آشکارییست که تعداد بسیار کمی از انواع بدافزارهای لینوکس در مقایسه با ویروس های ویندوز وجود دارد و دلیلش می تونه  معماری اصلی آن و همچنین  سهم بازار کم باشه

در سال های اخیر، حتی پس از افشای آسیب پذیری های شدید بحرانی در انواع  سیستم عامل ها و نرم افزار لینوکس، مجرمان سایبری نتوانسته اند که  بیشترین استفاده را از حملات خود داشته باشند.

در عوض، تعداد زیادی از بدافزارهایی که لینوکس را هدف قرار می دهند، عمدتا به حملات cryptocurrency mining  و ایجاد بات نت های DDoS به وسیله ربودن سرورهای آسیب پذیر متمرکز بودن.

با این حال، محققان شرکت امنیتی Intezer Labs اخیرا یک backdoor جدید لینوکس را کشف کردند که به نظر می رسد در حال مرحله توسعه و آزمایش است، اما در حال حاضر شامل چندین ماژول مخرب برای جاسوسی بر روی کاربران دسکتاپ لینوکس است.

ابتدا باید ببینیم که malware اساسا چیه. پیشنهاد میکنم ی نگاهی به  *مقاله ی malware چیست* داشته باشین

EvilGnome:  یک ابزار جدید جاسوسی لینوکس

بدافزار EvilGnome، بدافزاریست که به گونه ای طراحی شده است که  میتواند کار های زیادی را انجام دهد از جمله : گرفتن اسکرین شات از دسکتاپ، دزدین فایل ، ضبط صدا از میکروفون کاربر و همچنین دانلود و اجرای سایر ماژولهای مخربی ثانویه.

بر اساس گزارش جدید، Intezer Labs  که قبل از انتشار آن به اشتراک گذاشته است و می تونین بهش سر بزنین — ” آدرس گزارش ” — نمونه ی EvilGnome که در VirusTotal کشف شده است، همچنین دارای یک قابلیت Keylogger ناقصی است، که نشان میدهد توسط برنامه نویس آن به صورت سهوی بارگذاری شده است.


بدافزار EvilGnome خود را به عنوان یک برنامه افزودنی یا extension گنوم قانونی معرفی کرده است، برنامه ای  که اجازه می دهد کاربران لینوکس قابلیت استفاده از دسکتاپ گنوم خود را گسترش دهند.

به گفته محققان، این ابزار به صورت یک اسکریپت شل آرشیو شده ارایه می شود که با “makeself” ایجاد می شود، makeself یک اسکریپت پوسته کوچکی است که یک قایل آرشیو tar امکان اکسترک خودکار یا  self-extractable را می دهد.

این ابزار همیجنین از طریق ابزار Crontab دسترسی دایمی یا persistence را به سیستم شما فراهم میکند تقریبا شبیه ویندوز که از task scheduler سو استفاده می کنند

محققان گفتند: “پایداری این ابزار از طریق ثبت  gnome-shell-ext.sh برای هر دقیقه در crontab است. در نهایت، اسکریپت gnome-shell-ext.sh  اجرا میشود که  باعث اجرای ابزار مخرب اصلی gnome-shell-ext می شود.” .

ماژول های  بدافزار جاسوسی EvilGnome

بدافزار جاسوسی EvilGnome شامل پنج ماژول مخرب به نام “shooter” است که در زیر به آن ها پرداخته ایم:

ShooterSound – این ماژول از PulseAudio برای ضبط صدا از میکروفون کاربر استفاده می کند و داده ها را به سرور فرمان و کنترل اپراتور ارسال می کند.
ShooterImage – این ماژول از کتابخانه منبع باز  Cairo استفاده می کند تا عکس ها را بگیرد و آنها را به سرور C & C آپلود کند. این کار با باز کردن یک اتصال به سرور XOrg Display، که پشت دسکتاپ Gnome است، انجام می شود.
ShooterFile – این ماژول از یک لیست فیلتر برای اسکن سیستم فایل برای فایل های تازه ایجاد شده،  استفاده می کند و آنها را به سرور C & C ارسال می کند.
ShooterPing –  این ماژول دستورات جدیدی از سرور C & C دریافت می کند مانند دانلود و اجرای فایل های جدید، تنظیم فیلتر های جدید برای اسکن فایل، دانلود و تنظیم تنظیمات زمان اجرا جدید و …
ShooterKey – این ماژول هنوز تکمیل نشده و استفاده هم  نشده است، که به احتمال زیاد یک ماژول keylogging ناتمام است.

لازم به ذکر است که ، تمام ماژول های فوق رمزنگاری داده های خروجی و رمزگشایی دستورات دریافت شده از سرور C & C را با یک RC5  کلید “sdg62_AS.sa$die3,”   اصلاح شده از یک کتابخانه منبع باز روسیه، رمزگذاری می شود

نحوه شناسایی بدافزار EvilGnome

برای بررسی اینکه آیا سیستم لینوکس شما با نرم افزار جاسوسی EvilGnome آلوده است، می توانید فایل اجرایی gnome-shell-ext را در پوشه زیر  جستجو کنید.

“~/.cache/gnome-software/gnome-shell-extensions” 

از آنجایی که  محصولات امنیتی و آنتی ویروس در حال حاضر قادر به شناسایی بدافزار EvilGnome نیستند، محققان توصیه می کنند که مدیران لینوکس آدرس IP های فرماندهی و کنترل شده را که در بخش IOCs  این وبلاگ نوشته شده اند، مسدود کند.

نکته مهم دیگه اینه که این ابزار واسه دسکتاپ گنوم تعبیه شده و اگه از گنوم استفاده نمی کنی این ابزار هیچ تهدیدی برای شما نیست اگه از دسکتاپ گنوم استفاده می کنی مطمین باش extensionهایی که نصب می کنی از جای معتبری مانند gnome-look.org یا extensions.gnome.org باشه

 

مقاله “ آیا سیستم عامل Linux بدون Virus است؟ ”  و *مقاله ی malware چیست*  هم می تواند مفید باشد

 

امن باشید

یا حق

برچسب ها: EvilGnomeEvilGnome spywareEvilGnome:  یک ابزار جدید جاسوسی لینوکسShooterImageShooterSoundspywareبدافزار EvilGnomeبدافزار جاسوسی EvilGnomeبررسی یک spyware جدید به نام EvilGnomeشناسایی بدافزار EvilGnomeماژول های  بدافزار جاسوسی EvilGnomeنحوه شناسایی بدافزار EvilGnomeیک ابزار جدید جاسوسی لینوکس
قبلی بررسی فایروال Iptables بهمراه یکسری نکات و دستورات
بعدی مدیریت سرویس‌ها توسط systemctl

دیدگاهتان را بنویسید لغو پاسخ

جستجو برای:
پشتیبانی
دسته‌ها
  • مقالات
برچسب‌ها
debian fedora freebsd glusterfs in linux kali learnlinux learn linux Linux linux academy linux and unix linux Desktop linux enthusiastic linuxlearn linux learn linuxlearnorg linuxorg linux passion linux server linuxtutor linuxtutorial linuxuser plasma tutorial tutorial video zabbix آشنایی با توزیع های لینوکس آغاز کار با لینوکس آموزش تخصصی لینوکس آموزش سرور لینوکس آموزش لینوکس آنتی ویروس اموزش لینوکس اوبونتو بات نت بهترین توزیع لینوکس توزیع های لینوکس دبیان سرور لینوکس سودو فدورا لینوکس لینوکس لرن لینوکس چیست نرم افزار
  • محبوب
  • جدید
  • دیدگاه ها
    پشتیبانی

    لینوکس لرن حاصل تلاش یک تیم متخصص و علاقه مند است که سعی می کند آموزش ها را با نهایت کیفیت به مشتریان ارائه نماید. ارائه خدمات پیشتاز امضاء بزرگی بر شعار لینوکس لرن یعنی ” تحولی بزرگ در ارائه خدمات لینوکس ” می باشد.

    • ایران - مشهد
    • 09159612321
    • info@linuxlearn.org
    دسترسی سریع
    • خانه
    • مقالات
    • معرفی ابزارهای لینوکس
    • دوره ها
    • مدرسان
    • کتابخانه لینوکس لرن
    • سیاست حریم خصوصی
    • وبینار ها
    • پذیرش پروژه های Sysadmin , Devops
    • تماس با ما
    • درباره ما
    خبرنامه
    لوگوی اعتماد
    ❤️ Made with
    اشتراک گذاری در شبکه های اجتماعی
    ارسال به ایمیل
    https://linuxlearn.org/?p=20328
    علاقمندی ها 0
    صفحه علاقمندی های من ادامه خرید
    مرورگر شما از HTML5 پشتیبانی نمی کند.