Glutton یک بدافزار پیچیده مبتنی بر PHP است که اخیراً شناسایی شده است. Glutton ساخته یک گروه چینی معروف به Winnti یا APT41 است و یک معماری ماژولار را نشان میدهد که این امر این بدافزار را قادر میسازد تا طیف وسیعی از فعالیتهای مخرب را انجام دهد. از جمله حذف داده، نصب backdoor و تزریق کد در فریم ورک های محبوب PHP مانند Laravel و ThinkPHP. تغییر استراتژیک توسط گروه Winnti به سمت بهره برداری از آسیب پذیری ها در خود اکوسیستم جرایم سایبری است.
جزئیات کلیدی بدافزار Glutton
شیوه آلودگی: بهره برداری از آسیب پذیری های شناخته شده بر روی فریم ورک های PHP و توزیع کد مخرب بر روی آن.
هدف: سیستمهایی که فریم ورک های PHP را اجرا میکنند، بهویژه آنهایی که در خدمات فناوری اطلاعات، عملیات تجاری و بخشهای امنیت اجتماعی استفاده میشوند.
استخراج داده ها: اطلاعات سیستم از جمله نسخه سیستم عامل، نسخه PHP و داده های حساس را جمع آوری می کند.
نصب backdoor: از backdoorهای مبتنی بر ELF و PHP برای حفظ دسترسی دائمی استفاده می کند.
تزریق کد: کدهای مخرب را به فریم ورک های محبوب PHP تزریق می کند تا بهره برداری بیشتر از آن آسیب پذیری ها را تسهیل کند.
مبهم سازی: در فرآیندهای PHP یا PHP-FPM عمل می کند و مخفی کاری را افزایش دهد.
Glutton از یک چارچوب ماژولار استفاده می کند که به آن اجازه می دهد با محیط های مختلف سازگار شود و مجموعه ای از وظایف را برای به خطر انداختن سیستم های هدف اجرا کند. اجزای اولیه این بدافزار شامل:
task_loader: محیط اجرا را ارزیابی می کند و ابزارهای مرحله بعد را دانلود می کند.
init_task: کارهای حیاتی مانند نصب backdoor از Winnti مبتنی بر ELF و آلوده کردن فایل های PHP را انجام می دهد.
client_loader: نسخه بازسازیشده init_task با ویژگیهای اضافی، از جمله استقرار یک کلاینت مبتنی بر PHP است.
client_task: backdoorی به زبان PHP را مدیریت می کند و به صورت دوره ای ابزارهای دیگری را واکشی و دانلود می کند.
عامل آلودگی سیستم ها به این بدافزار، آسیب پذیری های شناخته شده در فریم ورک های پرکاربرد PHP و سیستم های آسیب پذیری و نا ایمن با کد مخرب است. این رویکرد دامنه ی آلودگی سیستم ها به این بدافزار را گسترش می دهد و هدف گذاری بر روی آنها برای هکرها را تسهیل می کند.
هش فایل (MD5):
17dfbdae01ce4f0615e9a6f4a12036c4
8fe73efbf5fd0207f9f4357adf081e35
722a9acd6d101faf3e7168bec35b08f8
f8ca32cb0336aaa1b30b8637acd8328d
00c5488873e4b3e72d1ccc3da1d1f7e4
ac290ca4b5d9bab434594b08e0883fc5
دامنه ها:
cc.thinkphp1[.]com
v6.thinkphp1[.]com
v20.thinkphp1[.]com
jklwang[.]com
آدرس های اینترنتی:
v6.thinkphp1[.]com/php?
v20.thinkphp1[.]com/v20/init?
v20.thinkphp1[.]com/v20/fetch?
راه های پیشگیری از آلودگی به بدافزار Glutton
آگاهی دادن به کاربران: به کاربران در مورد خطرات مرتبط با دانلود و نصب نرم افزار از منابع نامعتبر آموزش دهید، به ویژه در انجمن هایی که به دلیل توزیع ابزارهای جرایم سایبری معروف هستند.
فیلتر کردن ایمیل: برای جلوگیری از تلاشهای فیشینگ که ممکن است به عنوان یک عامل اصلی آلودگی در نظر گرفته شود، فیلتری قوی بر روی محتویات ایمیل قرار دهید.
آنتی ویروس: از اسکن دوره ای آنتیویروس های پیشرفته و بروز با قابلیت شناسایی بدافزار مبتنی بر PHP و نظارت بر رفتارهای غیرعادی که نشاندهنده بدافزار بدون فایل است استفاده نمایید.
احراز هویت دو مرحله ای (2FA): اجرای 2FA یا Two-Factor Authentication در تمام سیستم های حیاتی برای جلوگیری از دسترسی غیرمجاز، حتی اگر اطلاعات حساب آنها قبلا به خطر افتاده باشد.
مانیتورینگ: بهطور منظم لاگ سرور و برنامهها را برای نشانههایی از فعالیت غیرمعمول، مانند اجرای غیرمنتظره فرآیند PHP یا تغییرات غیرمجاز در فایلهای PHP بررسی نمایید.
بهروزرسانیهای منظم: اطمینان حاصل کنید که همه سیستمها، بهویژه سیستمهایی که فریم ورک های PHP مانند Laravel و ThinkPHP را اجرا میکنند، بهسرعت بهروزرسانی میشوند تا آسیبپذیریهای شناخته شده را برطرف کنند.
ارزیابی ریسک بدافزار Glutton
بدافزار Glutton به دلیل طراحی پیشرفته ماژولار، قابلیت های مخفیانه و تغییر استراتژیک هدف قرار دادن سیستم های مهم و سایر مجرمان سایبری، یک تهدید قابل توجه است. توانایی آن برای کار بدون فایل در کدهای PHP، تشخیص آن ها را برای همگان چالش برانگیز می کند. همچنین قرارگیری دو backdoor مبتنی بر ELF و PHP راه های متعددی را برای دسترسی دائمی فراهم می کند. فقدان ارتباط رمزگذاریشده C2 و استفاده از کد متن ساده، رابطه ای جالب بین پیچیدگی عملیاتی و پنهانسازی را نشان میدهد، اما این عوامل خطر کلی ناشی از این بدافزار را کاهش نمیدهند.