By | 21 آبان 1403

بدافزار Pygmy Goat یک بدافزار لینوکس است که برای هک فایروال سوفوس(Sophos) مورد استفاده قرار میگیرد.

بدافزار لینوکسی Pigmy Goat برای پشتیبانی دستگاه‌های فایروال Sophos XG توسط هکرهای چینی ساخته شده است. یکی از بدافزارهای سفارشی مورد استفاده در حملات این بدافزار، یک روت کیت خطرناک است که قراردادهای نامگذاری فایل ها در  Sophos را جعل می کند.

این بدافزار که برای به خطر انداختن دستگاه های شبکه طراحی شده است، دارای مکانیسم های پیشرفته برای فرار و دسترسی از راه دور است و ساختار کد و مسیرهای اجرایی نسبتاً پیچیده ای دارد.

تاکتیک‌ها و رویه‌های بکار رفته در این بدافزار مشابه بدافزار «Castletap» است که آن هم توسط هکرهای دولتی چینی ساخته شده است.

بدافزار Pygmy Goat توسط ابزار backdoor خود، دستگاه‌های شبکه مبتنی بر لینوکس حاوی فایروال‌های Sophos XG را آلوده میکند. همچنین از متغیر محیطی LD_PRELOAD برای بارگیری خود در SSH (sshd) استفاده می‌کند. بدافزار Pygmy Goat ترافیک SSH را در 23 بایت اول هر بسته نظارت می کند.

هنگامی که این اتصال برقرار شد، بدافزار آن را به سوکت داخلی یونیکس (/tmp/.sshd.ipc) هدایت می‌کند تا با Command و Control خود (C2) ارتباط برقرار کند.

این بدافزار همچنین به سوکت ICMP نیز گوش می‌دهد و منتظر بسته‌های رمزگذاری‌شده با الگوریتم AES است که اطلاعات IP و پورت را برای ارتباط C2 نگه می‌دارد. اینکار باعث اتصال از طریق TLS نیز می‌شود.

بدافزار Pygmy Goat

Pygmy Goat از طریق TLS با C2 ارتباط برقرار می‌کند و با استفاده از یک گواهی جعلی شبیه‌سازی شده از FortiGate CA Fortinet، در محیط‌های شبکه که دستگاه‌های Fortinet در آنها وجود دارد، ارتباط برقرار می‌کند.

هنگامی که یک اتصال SSH برقرار شد، یک handshake جعلی با پاسخ های از پیش تعیین شده برای ایجاد یک تصویر نادرست در مانیتورهای شبکه نشان داده می شود.

بدافزار Pygmy Goat

سرور C2 ابزار منبع باز EarthWorm را برای ایجاد یک پراکسی معکوس SOCKS5 استفاده می کند که به ترافیک C2 اجازه می دهد تا شبکه را به صورت ناشناس و غیرقابل مشاهده طی کند.

تشخیص و دفاع

گزارش مرکز ملی امنیت سایبری بریتانیا(NCSC) حاوی هش‌های فایل و قوانین YARA و Snort است که توالی بایت‌های جادویی و دست دادن جعلی SSH را شناسایی می‌کند، بنابراین مدیران امنیت می‌توانند از آن‌ها برای مشاهده فعالیت Pygmy Goat استفاده کنند.

علاوه بر این، بررسی مسیر /lib/libsophos.so، /tmp/.sshd.ipc، /tmp/.fgmon_cli.ipc، /var/run/sshd.pid، و /var/run/goat.pid، می تواند آلودگی را نشان دهد.

همچنین توصیه می‌شود نظارت برای فایل های رمزگذاری‌شده در بسته‌های ICMP و استفاده از «LD_PRELOAD» در محیط «ssdh» نیز بررسی شود، که رفتار غیرمعمولی رخ ندهد که می تواند نشان‌دهنده فعالیت Pygmy Goat باشد.

 

 

منابع:

NCSC

Bleepingcomputer

hackers-arise

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *