إستخدام ShellBot ضد Protocol SSH في نظام Linux

News
تعرض خوادم Linux التي تستخدم SSH لحملات هجومية خبيثة تسمى Shellbot.
Omnia
March 24, 2023, 10:02 p.m.
omnia
إستخدام ShellBot ضد Protocol SSH  في نظام Linux

حملات الهجوم ضد SSH Linux Server

استخدام بروتوكول Secure Shell (SSH) شائع في أنظمة Linux للوصول والتحكم عن بعد. ومع ذلك، مع استخدامه على نطاق واسع، أصبح هدفًا شائعًا لمجرمي الإنترنت. في السنوات الأخيرة، لوحظ عدد من الحملات الهجومية التي تستهدف خوادم Linux SSH، بهدف الحصول على وصول غير مصرح به والسيطرة عليها.إحدى هذه الحملات الهجومية هي برنامج Shellbot الضار، الذي ظهر و بمتغيرات جديدة. ينتشر البرنامج الضار من خلال المسح الضوئي لخوادم SSH الضعيفة وبيانات اعتماد تسجيل الدخول الـ brute-forcing. بمجرد اختراق الخادم، يقوم البرنامج الضار بإنشاء Backdoor ، مما يسمح للمهاجم بالتحكم في الخادم عن بُعد.

 

ما هو ShellBot ؟

هو  نوع من الـ Malware  التي تستهدف الخوادم القائمة على Linux ويمكن استخدامها للقيام بأنشطة ضارة مختلفة مثل هجمات DDoS و data exfiltration، وتركيب برامج ضارة إضافية على الأنظمة المخترقة.  و المتغيرات الجديدة من البرامج الضارة تستمر في الظهور بميزات وقدرات جديدة، مما يسلط الضوء على أهمية الممارسات الأمنية القوية وتحديثات النظام المنتظمة لمنع وتخفيف تأثير هذه الأنواع من الهجمات.

لاختراق الخادم، يستخدم المهاجمون طريقة تسمى هجوم الـ dictionary ، حيث يستخدمون مجموعة من بيانات اعتماد تسجيل دخول SSH المحددة. بمجرد حدوث خرق ناجح، يرسلون عبر الكود الضار  أو حمولتهم الضارة. من أجل التواصل مع host آخر عن بُعد، يستفيدون من بروتوكول IRC (Internet Relay Chat).

يعتبر ShellBot برنامجًا ضارًا يستخدم بروتوكول IRC للتواصل مع خوادم C&C، وهو برنامج مصمم للاستخدام على أنظمة Linux. ويعتبر IRC بروتوكولًا للدردشة على الإنترنت، و تم تطويره في الوقت الفعلي في عام 1988، حيث يتمكن المستخدمون من تسجيل الدخول إلى قنوات محددة على خوادم IRC والتواصل مع مستخدمين آخرين في الوقت الفعلي.


 

يعتبر IRC Bot برنامجًا ضارًا يستخدم خدمة IRC للتواصل مع خوادم C&C، حيث يتم تثبيته على الأجهزة المصابة، ويقوم بالتواصل مع قناة خادم IRC المحددة بروتوكوليًا. وعندما يتلقى هذا البرنامج أمرًا معينًا، فإنه يقوم بتنفيذ السلوك الضار المحدد. ومن المعروف أن استخدام بروتوكول IRC يتميز بالموثوقية والسهولة، مما يشجع البرامج الضارة على استخدامه للتواصل مع خوادم C&C، حيث يتم الاستفادة من البروتوكول والخادم الذي يأتي مدمجًا في النظام دون الحاجة إلى تطوير خوادم C&C منفصلة، وعلى الرغم من أن استخدام برامج IRC Bot كان يقل في الماضي، إلا أن هذا النوع من البرامج الضارة مازال موجودًا ومنتشرًا على أنظمة Linux.

خادم C&C: خادم القيادة والتحكم [C&C] هو جهاز كمبيوتر يتحكم فيه مهاجم أو مجرم إلكتروني يستخدم لإرسال أوامر إلى الأنظمة التي تتعرض للخطر بسبب البرامج الضارة وتلقي البيانات المسروقة من شبكة مستهدفة.

قدرات ShellBot

تمتلك ShellBot العديد من القدرات التي تجعلها تشكل تهديدًا كبيرًا لخوادم Linux. أولاً، إنه قادر على تجاوز بعض التدابير الأمنية واستهداف أنواع إضافية من الأجهزة. يمكن لـ ShellBot أيضًا تنزيل وتنفيذ برامج ضارة أخرى، مما يعرض أمن النظام المصاب للخطر. علاوة على ذلك، يمكن أن تعمل البرامج الضارة كـ backdoor، مما يسمح للجهات الفاعلة المهددة بالوصول إلى الأنظمة المصابة والسيطرة عليها عن بُعد.

 

و في الختام قد تعرفنا أن  ShellBot هو برنامج ضار شديد التطور والخطورة يستهدف خوادم Linux. استخدامه لبروتوكول IRC للتواصل مع خوادم C&C يجعله فريدًا مقارنة بالبرامج الضارة الأخرى التي تستهدف أنظمة Linux. لحماية أنفسهم من ShellBot والبرامج الضارة الأخرى، يجب على مستخدمي Linux والمسؤولين التأكد من تأمين أنظمتهم بشكل صحيح مع آخر التحديثات والتدابير الأمنية. بالإضافة إلى ذلك، يجب على المؤسسات وضع وإنفاذ سياسات أمنية تحظر استخدام كلمات مرور ضعيفة أو يمكن تخمينها بسهولة، لأن هذه إحدى الطرق الأساسية التي تستخدمها ShellBot للوصول إلى الأنظمة.

References:


ShellBot DDOS Linux SSH IRC