حمله بدافزار  GoBruteforcer به وب‌سرورها

بر اساس اخبار منتشر شده، محققان امنیتی اخیراً موفق به کشف یک بدافزار بات‌نت مبتنی بر Golang به نام GoBruteforcer شده‌اند که هدف آن یافتن و آلوده کردن وب سرورهایی است که از سرویس‌هایی نظیر سرویس‌های MySQL، Postgres، FTP و PhpMyAdmin بهره‌برداری می‌کنند. این بدافزار با معماری‌های X64 , X86 , ARM سازگار می‌باشد.

گفته شده بدافزار یاد شده، حملات بروت فورس (یک روش آزمون و خطا برای رمزگشایی داده‌های حساس است. رایج‌ترین حملات بروت فورس شکستن رمزهای عبور و کلید‌های رمزگزاری است. سایر اهداف متداول برای حملات بروت فورس، کلیدهای API و SSH هستند. حملات رمز عبور بروت فورس اغلب توسط اسکریپت‌ها و بات‌هایی انجام می‌شود که صفحات ورود به سیستم یک وبسایت را مورد هدف قرار می‌دهند.)، را بر روی حساب‌های کاربری‌ای که از کلمات عبور ضعیف و یا پیش‌فرض برای آن‌ها استفاده شده است، با هدف نفوذ به تجهیزات nix اجرا می‌نماید. برای انجام موفقیت‌آمیز این حملات، باید شرایط خاصی بر روی سیستم کاربر قربانی فراهم باشد از جمله استفاده از یک سری آرگومان‌های مشخص و نصب بودن سرویس‌های مورد نظر و نیز ضعف گذرواژه تعیین شده بر روی سیستم. به ازاء هر ادر IP هدف، بدافزار اقدام به جستجوی سرویس‌های پیش‌تر یاد شده می‌نماید و پس از یافتن یک پورت باز که ارتباطات را پذیرش می‌کند، بدافزار اقدام به ورود به سیستم با استفاده از اطلاعات حساب‌های کاربری که به صورت Hard-coded می‌باشند، می‌نماید.

پس از ورود، بدافزار اقدام به توزیع یک بات از نوع IRC بر روی سیستم‌های اداری phpMyAdmin یا یک PHP Web Shell (وب شل، یک رابط مبتنی بر پوسته (در سیستم عامل به معنی ایجادکننده ارتباط بین کلاینت و سیستم عامل) است که دسترسی و کنترل از راه دور سرور را ممکن می‌سازد. به این ترتیب هکرها میتوانند با استفاده از یک Web Shell مخرب به فایل‌های شما دسترسی پیدا کنند. وب‌شل‌ها می‌توانند به هر زبانی نوشته شود. Web shell یک اسکریپت مخرب است که توسط یک مهاجم با هدف تشدید و حفظ دسترسی مداوم به یک برنامه وب استفاده می شود. یک Web shell  به خودی خود نمی تواند به یک آسیب پذیری از راه دور حمله کند یا از آن سو استفاده کند ، بنابراین همیشه مرحله دوم حمله است، از این مرحله به عنوان پس از بهره برداری نیز یاد می شود)،  بر روی سرورها می‌نماید. در فاز بعدی حمله، Gobruteforcer به سرور C2 خود متصل خواهد شد و منتظر دریافت دستوراتی که از طریق IRC Bot یا Web Shell از پیش نصب شده منتقل خواهند شد، می‌ماند. بات‌نت‌های استفاده شده در این حملات، از یک ماژول با قابلیت اسکن چندباره به منظور یافتن قربانیان در داخل یک CIDR استفاده می‌کند که این کار، دامنه وسیعی از اهداف برای انتخاب و نفوذ به شبکه را برای مهاجم فراهم می‌سازد. قبل از اسکن آدرس‌های IP، بدافزار مورد بحث، یک بلوک CIDR را انتخاب نموده و تمامی آدرس‌های IP در بلوک انتخاب شده را هدف قرار می‌دهد. به جای هدف قرار دادن یک آدرس IP، Gobruteforcer از اسکن بلوک CIDR استفاده می‌کند تا بدینوسیله، به دامنه وسیعی از هاست‌ها که دارای آدرس‌های IP مختلفی هستند، دسترسی داشته باشد که در نهایت، احتمال موفقیت حمله، افزایش می‌یابد. به نظر می‌رسد این بدافزار در حال توسعه باشد و توسعه‌دهندگان آن به دنبال استفاده از جدیدترین روش‌ها و ارتقاء توانمندی‌های Gobruteforcer باشند.

گفته شده بدافزار مورد بحث در مواردی به صورت از راه دور، اقدام به توزیع گونه‌های مختلفی از بدافزارها از جمله coniminerها در قالب Payloadها نموده است. محققان بر این باورند که تیم‌های هکری در حال بهره‌برداری از این بدافزار در حملات خود هستند و انتظار می‌رود دامنه اهداف و Payloadهای آن، در آینده تغییر کند.