وبلاگ علی حسین زاده

صفحه شخصی علی حسین زاده در برگیرنده یادداشت‌هایی در رابطه با سیستم‌عامل لینوکس، مدیریت، و...
alihzadeh.blog.ir Weblog Logo

وبلاگ علی حسین زاده

صفحه شخصی علی حسین زاده در برگیرنده یادداشت‌هایی در رابطه با سیستم‌عامل لینوکس، مدیریت، و...

وبلاگ علی حسین زاده

علی حسین زاده هستم؛ در این وبلاگ در مورد علائق و عقایدم می‌نویسم. گاهی هم مطالبی را که برایم جذابند را در اینجا قرار می‌دهم تا بهتر در دسترسم باشند.
»»» باز نشر مطالب با ذکر «وبلاگ علی حسین زاده» و درج لینک به همان مطلب آزاد است مگر اینکه به گونه‌ای دیگر در پائین متن ذکر شده باشد.
»»» لطفا توجه داشته باشید که من نمی‌توانم به پیام‌های خصوصی پاسخ دهم.

آخرین نظرات

کشف تروجان جدیدی به نام HoT در لینوکس

پنجشنبه, ۱۴ شهریور ۱۳۹۲

قسمت جالب توجه این تحلیل، تفاوت عملکرد تروجان HoT در توزیع‌های لینوکسی اوبونتو و فدورا بوده است.

تروجان جدید دست دزد (Hand of Thief - HoT) یک فرم ربا (Form Grabber) و تروجان بانکی Backdoor است که در جولای 2013 فعال شده و توزیع‌های لینوکس را هدف قرار داده است. برنامه نویسی و فروش چنین بدافزارهایی جزو کسب و کارهای بزرگ و پر رونق است که توسط برنامه نویسان شرور انجام شده و بدتر آنکه توسط افراد، سازمان‌ها و گاهی دولت‌ها تشویق نیز می‌شود.

بر اساس تحلیل صورت گرفته توسط یکی از محققان ارشد امنیت به نام Yotam Gottesman در آزمایشگاه RSA بر روی تروجان HoT، این تروجان مانند دیگر بدافزارهای هم نوع خودش به منظور ایجاد آسیب و همزمان با آن جلوگیری از شناسایی خود توسط سیستم امنیتی میزبان طراحی شده است.

تروجان دست دزد HoT

تحلیل او نشان می‌دهد که تروجان HoT آنگونه که تبلیغ شده است فعالیت نمی‌کند یا اینکه حداقل تابحال آنگونه عمل نکرده است؛ قسمت جالب توجه این تحلیل، تفاوت عملکرد تروجان HoT در دو توزیع لینوکسی اوبونتو و فدورا بوده است.

در فدورا ۱۹ با توجه به توانایی‌های تروجان HoT و هدفی که برای آن طراحی شده بود، هیچ ابزار یا تدارک امنیتی خاصی برای جلوگیری از فعالیت آن وجود نداشت.

اما در اوبونتو ۱۲.۰۴ همین تروجان به دلیل وجود یک مکانیزم امنیتی خاص موفق به فعالیت نشد که این محقق دلیل آن را اینگونه بیان می‌کند:

در اوبونتو یک مکانیزم حفاظتی به نام ptrace scope به صورت پیش‌فرض فعال است؛ این مکانیزم از اتصال یک پروسه به پروسه‌ی دیگر حتی زمانی که User-IDها منطبق با یکدیگر باشند جلوگیری می‌کند (بر خلاف رفتار پیش‌فرض لینوکس). این نوع حفاظت جلوی دخالت این تروجان را در سایر پروسه‌های سیستم می‌گیرد که در نتیجه قابلیت‌های فرم ربایی و URL-blocker آن بی اثر می‌شوند.

توانایی این تروجان در قاپیدن داده‌های بامعنی از مرورگرهای مختلف، متفاوت است؛ اما مکانیسم امنیتی موجود در اوبونتو که کارکرد اصلی تروجان HoT را بی اثر کرد باید به صورت پیش‌فرض در تمام  توزیع‌ها فعال گردد.

این تنها یک نمونه از تروجان‌های لینوکسی کشف شده است و احتمالا تعداد بسیار زیاد دیگری نیز وجود دارند که هیچ اطلاعی از آنها در دسترس نیست؛ بنابراین توسعه‌دهندگان توزیع‌های اصلی لینوکس باید این را به مثابه یک زنگ خطر در نظر بگیرند.

ما کاربران لینوکس به گفتن عبارت "لینوکس امن‌تر از ویندوز است" عادت کرده‌ایم اما آیا واقعا آمادگی مقابله با بدافزارهای با کیفیت و هوشمندانه‌ای نظیر HoT را داریم؟

و یک سوال دیگر که انتظار می‌رود توسط محققان پاسخ داده شود این است که چرا SELinux نتوانست جلوی فعالیت این تروجان را در فدورا ۱۹ بگیرد؟

 

لینک ثابت و کوتاه به این مطلب: http://alihzadeh.blog.ir/post/111
توجه: باز نشر مطالب با ذکر "وبلاگ علی حسین‌زاده" و درج لینک به همان مطلب در این وبلاگ آزاد است.

سایر مطالب:

  • ۹۲/۰۶/۱۴
  • علی حسین زاده

امنیت

بدافزار

تروجان

لینوکس

نظرات  (۰)

هیچ نظری هنوز ثبت نشده است
ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
شما میتوانید از این تگهای html استفاده کنید:
<b> یا <strong>، <em> یا <i>، <u>، <strike> یا <s>، <sup>، <sub>، <blockquote>، <code>، <pre>، <hr>، <br>، <p>، <a href="" title="">، <span style="">، <div align="">
تجدید کد امنیتی