U3F1ZWV6ZTE1Njg4NDY3OTQ0X0FjdGl2YXRpb24xNzc3Mjg2OTg2NDQ=

تهاجم البرامج الضارة متعددة الأنظمة "ACBackdoor" كل من مستخدمي Windows و Linux -من خلال تنفيذ التعليمات البرمجية التعسفية

تهاجم البرامج الضارة متعددة الأنظمة "ACBackdoor" كل من مستخدمي Windows و Linux -من خلال تنفيذ التعليمات البرمجية التعسفية

إكتشف الباحثون برنامجًا ضارًا لم يتم اكتشافه من قبل متعدد البرامج يسمى ACbackdoor يحتوى على كلا من Linux و Windows Variant لإصابة المستخدمين المعنيين وسرقة المعلومات الحساسة.

لا يشتمل متغير Linux المدعوم ACbackdoor على معدل اكتشاف بشكل كامل بينما يحتوي متغير Windows على معدل اكتشاف أعلى من متغير Linux.
يعتقد الباحثون أن متغير ACbackdoor غير موثق تمامًا لمجتمع infosec ، ولا يوجد دليل على أن البرامج الضارة المرتبطة بأي مجموعات تهديد معروفة.

تحتوي البرامج الضارة على مجموعة متنوعة من الميزات المتطورة مثل التنفيذ التعسفي لأوامر shell ، والتنفيذ الثنائي التعسفي ، والثبات ، وقدرات التحديث.

واجه مؤلفو البرامج الضارة الذين يقفون وراء هذه الحملة في السابق استهداف أنظمة Linux ، والآن يتحولون إلى مهاجمة مستخدمي Windows.

أيضًا ، تمت كتابة متغير Linux بشكل أفضل من Windows من حيث آلية الثبات إلى جانب أوامر الباب الخلفي المختلفة.

عملية عدوى ACbackdoor
يحتوي كل من Linux و Windows variant على مجموعة متنوعة من أوجه التشابه ، على سبيل المثال ، كلا المتغيرات التي تستخدم نفس البروتوكول للتواصل مع خادم الأوامر والتحكم والاختلافات الطفيفة في التنفيذ.

فى التحليل الثنائي ، وجد الباحثون أن الثنائي Linux هو ملف ELF مرتبط بشكل ثابت ، في حين أن ثنائي Windows هو ملف PE مرتبط ديناميكيًا.

تم العثور على أنشطة إصابة متغير Linux في الخادم المضيف الروماني ، ولكن عملية الإصابة والتسليم لم تكن واضحة.

تم الإبلاغ عن إصدار Windows المتغير لـ ACbackdoor في البداية بواسطة nao_sec عبر twitter ، واستخدام Fallout Exploit Kit كوسيلة تسليم.

مستتر وظيفة

على عكس البرامج الضارة الأرامل الأخرى ، فإن إصدار ACbackdoor Windows لا يشكل أي وظيفة كاملة ، ولكن البديل Linux لديه ميزة معقدة من حيث عملية الإصابة.
بعد الإصابة الكاملة ، يقوم متغير Windows بجمع معلومات النظام والنظام وعنوان MAC عن طريق استدعاء وظائف مراسلة واجهة برمجة تطبيقات Windows.
"في الوقت نفسه ، يستخدم Linux Linux أسلوبًا مختلفًا يعتمد بشكل رئيسي على استدعاء نظام uname لاسترداد معلومات النظام والنظام ، بالإضافة إلى مجموعة من مكالمات نظام / socket ioctl لاسترداد عنوان MAC" ، قال Intezer عبر منشور بالمدونة.
ACBackdoor
أوجه التشابه في بنية التعليمات البرمجية بين ACBackdoor Linux و Windows
"سيقوم مثيل Windows بتهيئة إدخال تسجيل حتى يتم تنفيذ البرامج الضارة عند بدء تشغيل النظام. سينشئ مثيل Linux العديد من الروابط الرمزية ويضيف نصًا أوليًا للبرنامج الضار ليتم تشغيله أيضًا عند بدء تشغيل النظام. "
في المرحلة النهائية ، يستخدم كلا الخيارين نفس بروتوكول HTTPS للتواصل مع خادم c2 ومشاركة المعلومات التي تم جمعها من الضحايا.
أدت هذه التفاصيل المحددة إلى جانب التحليل أعلاه إلى استنتاج أن المؤلفين الذين يعملون خلف ACBackdoor أكثر راحة في التشغيل في أنظمة Linux ، في حين أنهم ربما يقومون حاليًا بالتجربة في Windows عن طريق نقل البرامج الضارة الخاصة بهم إلى هذا النظام. Intezer كتب.
ليست هناك تعليقات
إرسال تعليق

إرسال تعليق

اذا اعجبك الموضوع علق بتعليق If you like the subject, comment on the comment