انتشار شده در تاریخ 1395/08/03 - 00:19

درب‌پشتی لینوکسی FakeFile.1

به گزارش واحد متخصصین سایبربان، بدافزار لینوکسی جدیدی به نام FakeFile.1 شناسایی شده است که به‌صورت درب‌پشتی عمل می‌کند.

معماری لینوکس به دلیل متن‌باز بودن در دسترس است، به همین دلیل مسیر برای پیدا کردن آسیب‌پذیری‌های آن باز است، به‌خصوص سامانه‌های لینوکسی که در تجهیزات اینترنت اشیاء استفاده می‌شوند.

ازآنجاکه سیستم‌عامل‌های لینوکسی در دیتاسنترها، زیرساخت‌های رایانش ابری و حتی تجهیزات اندرویدی استفاده می‌شوند، دسترسی و کشف آسیب‌پذیری در آن‌ها از هدف همیشگی هکرها بوده است.

تروجان Linux.BackDoor.FakeFile.1 یکی از بدافزارهای جدید لینوکسی است که به‌تازگی توسط محققان امنیتی شناسایی شده است. این بدافزار با استفاده از فایل‌های پی.دی.اف و آفیس مایکروسافت در حال گسترش در توزیع‌های مختلف لینوس به جز OpenSUSE است.

هنگامی‌که قربانی فایل آلوده را باز کند، بدافزار اجراشده و خود را در مسیر .gconf/apps/gnome-common/gnome-common سامانه قربانی قرار می‌دهد. این بدافزار هم‌چنین فایل‌های مخفی کاربر را نیز جست‌وجو می‌کند و هر فایلی که شبیه نام خود بدافزار بود، پیداکرده و خود را جای آن قرار می‌دهد. به‌طور مثال یکی از نمونه‌های فایل اجرایی بدافزار A.pdf است. این بدافزار فایل‌های مخفی را برای پیدا کردن A.pdf پیمایش می‌کند و اگر چنین فایلی پیدا شد، خود را به‌جای آن قرار می‌دهد.

این بدافزار با سرور مدیریت (C&C) خود ارتباط برقرار می‌کند و اطلاعات به‌دست‌آمده را به اشتراک می‌گذارد. هم‌چنین اگر بعد از 30 دقیقه اطلاعاتی از سرور ارسال نشد، این ارتباط را قطع می‌کند. این ارتباط از نوع HTTP و به شکل زیر است.