لینوکس ویروس نداره ! امکان نداره روی سیستمای لینوکس بد افزار بیفته یا تروجان نصب شه ! لینوکس خیلی امنه . اصلا رگ غیرتم باد کرد !!!! نه شوخی بود 🙂 . آره امکانش هست به خاطر سهل انگاری خودمون رو سیستم لینوکسیمون بدافزار نصب کنیم یا یکی رو سیستممون نصب کنه .Stantinko یکی از قدیمی ترین بات نت هایی که هنوز در حال فعالیت هست و یه آپدیت جدید برای بد افزار های گنو/لینوکس ش منتشر کرده . تو این آپدیت تروجان نصب شده روی میزبان خودشو به عنوان وب سرور آپاچی نشون میده تا پیدا کردنش سخت تر بشه .
تاریخچه Stantinko
باتنت Stantinko برای اولین با سال ۲۰۱۲ شناسایی شد . گروهی که پشت این باتنت بود شروع به پخش کردن تروجانشون از طریق باندل های نرم افزاری یا برنامه هایی که دزدیده بودن کردن . اولایل فقط کاربرای ویندوز مورد هدف بودن ، روی سیستم هایی که آلودش کرده بودن تبلیغ نشون میدادن یا ماینر ارز دیجیتال نصب می کردن .
بعد که کمی بزرگتر شد در سال ۲۰۱۷ آپدیتی براش اومد که این بدافزار رو روی سیستم های لینوکسی هم قابل اجرا می کرد . ورژن لینوکسی به عنوان پروکسی ساکس عمل می کرد و سیستم های لینوکسی رو تبدیل به نود هایی از یک شبکه بزرگ پروکسی می کرد . هر کدوم از این سیستم ها برای عملیات بروت فورس (Brute-force ) در مقابل سیستم های مدیریت محتوا (CMSs) و سیستم های تحت وب دیگه استفاده می شد .
بعد از اینکه این سیستمارو به دست گرفت ،Stantinko به سیستم عامل های سرور نفوذ می کرد و یه کپی از خودش و یه ماینر نصب می کرد تا سود بیشتری براشون داشته باشه .
ورژن جدید بدافزار Stantinko
اما باتنت هایی که ماین می کنن تعداشون خیلی زیاده و به اندازه باج افزارهایی مثل Emotet یا Trickbot قوی نیستن . آخرین ورژن لینوکسی Stantinko که در سال ۲۰۱۷ کشف شد ، ۱٫۲ بود . ولی گزارش جدیدی منتشر شده که نشون میده ورژن جدید این بد افزار ۲٫۱۷ هست . قدم خیلی بزرگیه بعد از سه سال ! ولی این بد افزار برخلاف بد افزارهای عادی که سال به سال خطرناک تر میشن و کارای بیشتری روی سیستمای آلوده انجام میدن ، ورژن جدید این بد افزار نسبت به نسخه قبل ویژگی های کمتری داره .
یکی از دلایل این می تونه باشه که تیم پشت این بدافزار تصمیم گرفته ویژگی های بدردنخورو کنار بزاره ، و فقط ویژگی های که بیشتر ب دردشون میخوره رو نگه داشته باشن که منطقی هم هست تصمیمشون . تو ورژن جدید ویژگی پروکسی که واسه عملیات بروت فورسشون کاربرد داره . ولی دلیل دیگه می تونه این باشه که می خواستن نشانه و فینگرپرینت های بد افزار رو کاهش بدن تا آنتی ویروس ها سختتر پیداشون کنن .
و موفق هم شدن ،تو ورژن جدید احتمال شناساییش خیلی اومده پایین و به راحتی می تونه بدون که شناسایی بشه کاراشو انجام بده .
نقش بازی کردن به عنوان آپاچی
تو ورژن جدید ، اسم پروسس این بد افزار هم به httpd تغییر کرده که بیشتر توسط وب سرور هایی مثل آپاچی استفاده می شه . اینکار باعث میشه ادمینای سرور نتونن به راحتی تشخیصش بدن . یه پروسس به اسم httpd که تو سروری که آپاچی هم روش نصبه در حال اجراس ، کی شک می کنه ؟؟ مثل همه مورد های دیگه این باتنت هم به خاطر تنظیمات بد به سرورا نفوذ می کنه ، مثلا پسورد ضعیف برای دیتابیس و CMS . در واقع اکثر اوقات بدافزارا اینطوری سیستمارو آلوده می کنن یه پسورد ضعیف ، باز گذاشتن یه پورت دقت نکردن به تنظیمات و از این قیبل مسایل .
در کل بد افزا رها بیشتر از راه های زیر سیستمارو آلوده می کنن :
- تنظیمات بد برنامه ها که پورت ها رو باز گذاشته یا پنل های ادمین
- نرم افزاری هایی که آپدیت نشدن و وصله های امنیتشون قدیمیه
- سیستم ها یا برنامه هایی که با سروریس های وب کار می کنن و پسورد ضعیفی دارن
- مهندسی اجتماعی
- استفاده از باگ های برنامه ها
خیلی کم پیش میاد که بدافزار ها از باگ ها یا آسیب پذیری های سیستم عامل ها استفاده کنن . در واقع این باگ ها بعد از این سیستم آلوده به بد افزار شد استفاده میشن ،تا بد افزار دسترسی بیشتری به دست بیاره و کنترل سیستم رو به دست بگیره . در مورد سیستم عامل های گنو/لینوکس به دست آوردن دسترسی روت می تونه خطرناک باشه پس بهتره همیشه آپدیت بمونیم در واقع تنها کاری که لازمه انجام بدید به عنوان ادمین سرور یا کاربری عادی تر استفاده از پسورد های قوی تر ، آپدیت نگه داشتن برنامه ها و البته فریب نخوردن در برابر روش های مهندسی اجتماعی هست .
باتنت (Botnet) : تعدادی از دیوایس ها که از طریق اینترنت بهم وصل هستن و یک یا چند بد افزار روشون نصب هست . وبرای عملیات توزیع شده مثل DDOS استفاده می شن .
باج افزار (ransomware) : بد افزاری که عملکرد سیستم تونو مختل می کنه و یه پیام نشون میده که اینهمه پول بده تا سیستمتو به حالت عادی برگردونم مثلا باج افزار Wannacry