روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ همه میدانیم که باجافزارها بسیار خطرناک هستند اما حقیقتاً برای مصون ماندن از گزند آنها باید چه کرد؟ یا به بیانی دیگر باید مهمتر از همه از چه چیزی در برابر باجافزارها محافظت کرد؟ اغلب ایستگاهها کاری ویندوز، سرورهای اکتیو دایرکتوری[1] و سایر محصولات مایکروسافت، کاندیداهای اصلی هستند و این رویکرد معمولاً موجه است. اما باید این را نیز در نظر داشت که تاکتیکهای مجرمان سایبری همیشه در حال پیشرفت و تکمیل است و ابزارهای مخرب اکنون دارند برای سرورهای لینوکسی و سیستمهای مجازیسازی[2] توسعه داده میشوند. در سال 2022، تعداد کلی حملات به سیستمهای لینوکس چیزی حدود 75 درصد افزایش داشت. انگیزه پشت چنین حملاتی هم واضح است: محبوبیت منبع باز و مجازیسازی رو به رشد است و این یعنی سرورهای بیشتری دارند لینوکس یا VMWare ESXi را اجرا میکنند. اینها اغلب کلی اطلاعات حیاتی را ذخیره میکنند که اگر رمزگذاری شوند میتوانند آناً عملیاتهای یک شرکت را از کار بیاندازند. از آنجایی که امنیت سیستمهای ویندوزی از قدیم مورد توجه بوده، سرورهای غیرویندوزی خیلی راحت میتوانند مورد حمله قرار گیرند.
حملات در سالهای 2022-2023
- در فوریه 2023 بسیاری از دارندگان سرورهای VMware ESXi مورد حمله باجافزار ESXiArgs قرار گرفتند که داشت از آسیبپذیری CVE-2021-21974 سوءاستفاده میکرد. مهاجمین ماشینهای مجازی را غیرفعال کردند و فایلهای .vmxf, .vmx, .vmdk, .vmsd و .nvram را نیز رمزگذاری نمودند.
- گروه بدنام Clop–معروف به حملات در مقیاس بزرگ روی سرویسهای آسیبپذیر انتقال فایل Fortra GoAnywhere از طریق CVE-2023-0669– دسامبر 2022 شناسایی شد. این گروه از نسخه لینوکسی باجافزار خود (البته به روشی محدود) استفاده کرده بود. اما این حمله با همتای ویندوزیاش تفاوت دارد (نبود برخی بهینهسازیها و ترفندهای دفاعی) اما برای مجوزهای لینوکسی و انواع کاربران سازگار شده و مشخصاً فولدرهای پایگاه داده اوراکل را هدف قرار میدهد.
- نسخه جدیدی از باجافزار BlackBasta نیز به طور خاص برای حملاتی روی هایپرویزورهای ESXi طراحی شده است. نقشه رمزگذاری از الگوریتم ChaCha20 در حالت چندریسمانی[3] که شامل چندین پردازنده میشود استفاده میکند. از آنجایی که مزارع ESXi معمولاً چندپردازندهای هستند، این الگوریتم زمان لازم برای رمزگذاری کل محیط را کاهش میدهد.
- کمی پیش از فروپاشیاش، گروه هکریِ Conti همچنین خود را به باجافزاری که صرفاً به ESXi حمله میکرد مجهز کرد. متأسفانه با توجه به اینکه بخش زیادی از کد Conti نشت شد، توسعهی آنها اکنون در دسترس طیف وسیعی از مجرمان سایبری قرار دارد.
- باجافزار BlackCat نوشتهشده به زبان Rust همچنین قادر است ماشینهای مجازی ESXi را غیرفعال و پاک کند. از جهات دیگر این کد مخرب کمی با نسخه ویندوزی متفاوت است.
- باجافزار Luna که سال 2022 شناسایی شد پلتفرمی چندگانه بود که میتوانست روی ویندوز، لینوکس و سیستمهای ESXi اجرا شود و البته گروه LockBit این ترند را براحتی نادیده گرفت: گروه سایبری مذکور نیز شروع به عرضه نسخههای ESXi بدافزارشان به شرکتهای وابسته کرد.
- در مورد حملات قدیمیتر (اما افسوس که مؤثر بودند) همچنین کمپینهای RansomEXX و QNAPCrypt وجود داشتند که به شدت به سرورهای لینوکس آسیب زدند.
تاکتیکهای حمله به سرور
نفوذ به سرورهای لینوکس معمولاً بر پایهی اکسپلویت کردن آسیبپذیریهاست. حملات میتوانند آسیبپذیریها را در سیستمعامل، سرورهای وبی و سایر اپهای پایه به سلاح تبدیل کنند؛ همینطور در اپهای تجازی، پایگاههای اطلاعاتی و سیستمهای مجازیسازی. سال گذشته آنچه توسط Log4Shell به ما نشان داده شد این بود که آسیبپذیریها در اجزای منبع باز نیازمند توجه ویژهای هستند. بعد از نقض اولیه بسیاری از رشته باجافزارها از ترفندهای اضافی یا آسیبپذیریهای دیگر برای افزایش مزیتها و رمزگذاری سیستم استفاده میکنند.
راهکارهای امنیتی ارجح برای سرورهای لینوکس
به منظور کاهش شانس حملاتی که سرورهای لینوکس را هدف قرار میدهند توصیه میکنیم:
- سریعاً نسبت به پچ کردن آسیبپذیریها اقدام کنید.
- تعداد پورتها و کانکشنهای اینترنتی را به حداقل برسانید.
- روی سرورها ابزارهای امنیتی تخصصی به کار ببرید تا هم از خود سیستمعامل محافظت شود هم از ماشینهای مجازی و کانتینرهایی که روی سرور میزبانی میشوند.
[1] Active Directory
[2] Virtualization
[3] multi-threaded، وانایی یک برنامه در تقسیم شدن به چند ریسمان (زیربرنامه) است که میتوانند جداگانه و در عین حال همزمان توسط رایانه اجرا شوند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
