Blog News
انتشار Backdoor جدید لینوکسی به نام ChamelDoH
انتشار Backdoor جدید لینوکسی به نام ChamelDoH
محققان امنیتی اخیراً فعالیتهای گروه هکری ChamelGang را رصد کرده و متوجه این موضوع شده اند که این گروه، از یک Implant جدید برای توزیع Backdoor بر روی سیستمهای لینوکسی استفاده کرده است که این موضوع، نمایانگر گسترش تواناییهای گروه مزبور میباشد . این بدافزار که ChamelDoH نامیده شده است، یک ابزار مبتنی بر زبان برنامهنویسی ++C است که برای برقراری ارتباط از طریق DoH Tunneling مورد بهره برداری قرار میگیرد. فعالیتهای گروه ChamelGang برای نخستین بار در ماه سپتامبر سال ٢٠٢١ میلادی کشف شد که طی آن، گروه هکری مزبور حملاتی را علیه صنایع سوخت، انرژی و .... در کشورهایی نظیر آمریکا، روسیه، هند و ... انجام داده بود. در این حملات، از آسیبپذیریهای موجود در سرورهای Exchange و نیز نرمافزار RedHat JBoss Enterprise به منظور اخذ دسترسی اولیه و انجام حملات سرقت اطلاعات با استفاده از یک Passive Backdoor به نام DoorMe، استفاده شده بود.
به گفته محققان، این Backdoor در واقع یک ماژول IIS را تحت تأثیر قرار میدهد که به عنوان یک فیلتر که از طریق آن HTTP Request و Responseها پردازش میشوند، مورد بهره برداری قرار میگیرد؛ این Backdoorصرفاً Requestهایی را پردازش میکند که در آن ها، مقدار پارامتر Cookie به درستی تنظیم شده باشد. این Backdoor با هدف ضبط و ذخیره اطلاعات سیستم طراحی شده و قابلیت انجام عملیات های مختلف با داشتن دسترسی از راه دور (مانند دانلود، آپلود، حذف، اجرای دستورات Shell و ...) را دارا میباشد. چیزی که ChamelDoH را منحصر به فرد میسازد، روش ارتباطی نوین آن در استفاده از DoH میباشد که از آن به منظور انجام DNS Resolution از طریق پروتکل HTTPS برای ارسال DNS TXT Request ها به یک NameServer استفاده میشود.
استفاده از DoH برای فرماندهی و کنترل، مزایای دیگری را برای تیم هکری در پی دارد که از جمله آن میتوان به این مورد اشاره داشت که با توجه به استفاده از پروتکل HTTPS، امکان خواندن درخواستها به واسطه حملات AiTM وجود ندارد. همچنین این بدین معناست که ساز و کارهای امنیتی، قادر به تشخیص و جلوگیری از DoH Requestهای مخرب و نیز محدودسازی ارتباطات نخواهند بود که در نتیجه، آن را به یک کانال رمزنگاری شده بین هاست هدف و سرور ٢C تبدیل میکند. نتیجه این تاکتیک، مشابه با ٢C از طریق Domain Fronting است که در آن، ترافیک به یک سرویس قانونی که بر روی یک CDN میزبانی میشود ارسال میشود ولی در نهایت به واسطه Host Header یک درخواست، به یک سرور ٢C ارسال میشود که در این حالت، کشف و پیشگیری، امری دشوار خواهد بود. تیم امنیتی اعلام کرده است که تاکنون ١٠ نمونه از ChamelDoH را کشف کرده است.