بدافزار Pygmy Goat یک بدافزار لینوکس است که برای هک فایروال سوفوس(Sophos) مورد استفاده قرار میگیرد.
بدافزار لینوکسی Pigmy Goat برای پشتیبانی دستگاههای فایروال Sophos XG توسط هکرهای چینی ساخته شده است. یکی از بدافزارهای سفارشی مورد استفاده در حملات این بدافزار، یک روت کیت خطرناک است که قراردادهای نامگذاری فایل ها در Sophos را جعل می کند.
این بدافزار که برای به خطر انداختن دستگاه های شبکه طراحی شده است، دارای مکانیسم های پیشرفته برای فرار و دسترسی از راه دور است و ساختار کد و مسیرهای اجرایی نسبتاً پیچیده ای دارد.
تاکتیکها و رویههای بکار رفته در این بدافزار مشابه بدافزار «Castletap» است که آن هم توسط هکرهای دولتی چینی ساخته شده است.
بدافزار Pygmy Goat توسط ابزار backdoor خود، دستگاههای شبکه مبتنی بر لینوکس حاوی فایروالهای Sophos XG را آلوده میکند. همچنین از متغیر محیطی LD_PRELOAD برای بارگیری خود در SSH (sshd) استفاده میکند. بدافزار Pygmy Goat ترافیک SSH را در 23 بایت اول هر بسته نظارت می کند.
هنگامی که این اتصال برقرار شد، بدافزار آن را به سوکت داخلی یونیکس (/tmp/.sshd.ipc) هدایت میکند تا با Command و Control خود (C2) ارتباط برقرار کند.
این بدافزار همچنین به سوکت ICMP نیز گوش میدهد و منتظر بستههای رمزگذاریشده با الگوریتم AES است که اطلاعات IP و پورت را برای ارتباط C2 نگه میدارد. اینکار باعث اتصال از طریق TLS نیز میشود.
Pygmy Goat از طریق TLS با C2 ارتباط برقرار میکند و با استفاده از یک گواهی جعلی شبیهسازی شده از FortiGate CA Fortinet، در محیطهای شبکه که دستگاههای Fortinet در آنها وجود دارد، ارتباط برقرار میکند.
هنگامی که یک اتصال SSH برقرار شد، یک handshake جعلی با پاسخ های از پیش تعیین شده برای ایجاد یک تصویر نادرست در مانیتورهای شبکه نشان داده می شود.
سرور C2 ابزار منبع باز EarthWorm را برای ایجاد یک پراکسی معکوس SOCKS5 استفاده می کند که به ترافیک C2 اجازه می دهد تا شبکه را به صورت ناشناس و غیرقابل مشاهده طی کند.
تشخیص و دفاع
گزارش مرکز ملی امنیت سایبری بریتانیا(NCSC) حاوی هشهای فایل و قوانین YARA و Snort است که توالی بایتهای جادویی و دست دادن جعلی SSH را شناسایی میکند، بنابراین مدیران امنیت میتوانند از آنها برای مشاهده فعالیت Pygmy Goat استفاده کنند.
علاوه بر این، بررسی مسیر /lib/libsophos.so، /tmp/.sshd.ipc، /tmp/.fgmon_cli.ipc، /var/run/sshd.pid، و /var/run/goat.pid، می تواند آلودگی را نشان دهد.
همچنین توصیه میشود نظارت برای فایل های رمزگذاریشده در بستههای ICMP و استفاده از «LD_PRELOAD» در محیط «ssdh» نیز بررسی شود، که رفتار غیرمعمولی رخ ندهد که می تواند نشاندهنده فعالیت Pygmy Goat باشد.
منابع:
NCSC
Bleepingcomputer
hackers-arise