حذرت مايكروسوفت من تقنيات متطورة في اختراق خوادم لينكس، حيث يستغل القراصنة ملفات الكوكيز للتحكم السري في البرمجيات الخبيثة المزروعة.
تعتبر خوادم لينكس العمود الفقري لمعظم مواقع الإنترنت والتطبيقات السحابية اليوم. لذلك، كشف تقرير حديث من فريق الأبحاث الأمنية عن تحول خطير في تكتيكات مجرمي الإنترنت للسيطرة على هذه البيئات الحيوية.
أوضح الخبراء أن المهاجمين يتجهون بشكل متزايد لتأسيس قنوات تحكم خفية وغير تقليدية. يتم تحقيق ذلك من خلال الاعتماد على أوامر برمجية يتم تمريرها عبر قيم محددة داخل ملفات تعريف الارتباط بدلاً من الطرق التقليدية المكشوفة.
كيف يتم اختراق خوادم لينكس عبر الكوكيز؟
في العادة، يعتمد القراصنة على إرسال الأوامر عبر روابط الموقع (URLs) أو من خلال جسم الطلبات. لكن هذه الأساليب أصبحت مكشوفة بسهولة أمام أنظمة الحماية الحديثة التي تراقب حركة البيانات بدقة.
لتجاوز هذه العقبات، ابتكر القراصنة طريقة جديدة تضمن التخفي التام داخل حركة المرور الطبيعية للموقع. يظل الكود الخبيث المكتوب بلغة PHP خاملاً تماماً، ولا يتفعل إلا عند تلقي طلبات HTTP تحمل قيماً دقيقة ومحددة مسبقاً.
- استغلال المتغيرات: يتم قراءة الأوامر وتنفذيها فوراً عبر المتغير العام
$_COOKIEفي بيئة خوادم PHP. - التخفي الذكي: تندمج هذه العمليات الخبيثة مع حركة زوار الموقع الطبيعية دون إثارة أي جرس إنذار.
- تنفيذ الأوامر: تتيح هذه الثغرة للمهاجم تفعيل وظائف خبيثة والسيطرة على الخادم عن بعد بكل سهولة.
ما هي خطورة هذه الهجمات على أنظمة PHP؟
تكمن الخطورة الحقيقية لهذه الهجمات في تقنيات الإصلاح الذاتي أو ما يعرف بالهندسة العكسية للاستمرار. يبدأ الهجوم عادة بحصول المخترق على وصول مبدئي للنظام، إما عبر بيانات اعتماد مسروقة أو استغلال ثغرة أمنية.
تقنية الاستمرار عبر المهام المجدولة Cron
بمجرد الدخول، يقوم القراصنة بإعداد مهام مجدولة (Cron Jobs) داخل نظام التشغيل. هذه المهام مسؤولة عن استدعاء نص برمجي خفي يعيد إنتاج وبناء البرمجية الخبيثة بشكل دوري ومستمر.
وحسب تحليل خبراء تيكبامين، فإن هذه التقنية المعقدة تسمح بإعادة إنشاء الأكواد الخبيثة تلقائياً. حتى إذا قام مديرو النظام باكتشاف الملف الخبيث وحذفه، ستقوم المهمة المجدولة بإعادته فوراً، مما يوفر قناة اتصال لا تنقطع للمخترقين.
لماذا يصعب اكتشاف هذه البرمجيات الخبيثة؟
يعتمد المهاجمون على التشفير والتشويش المعقد لإخفاء الوظائف الحساسة داخل الأكواد البرمجية. هذا التشويش يجعل من شبه المستحيل على برامج مكافحة الفيروسات التقليدية التعرف على بصمة الملف الخبيث.
إلى جانب ذلك، فإن فصل آليات الاستمرار عن آليات التنفيذ يقلل بشكل كبير من الضوضاء التشغيلية. هذا الانفصال يقلل من المؤشرات التي يمكن رصدها في سجلات التطبيق الروتينية، مما يطيل من عمر الاختراق وتأثيره السلبي.
كيف تحمي خوادمك وفقاً لخبراء تيكبامين؟
لمواجهة محاولات اختراق خوادم لينكس المتطورة، يجب على مديري الأنظمة ومطوري الويب تبني استراتيجية أمنية شاملة ومتعددة الطبقات لحماية البنية التحتية الخاصة بهم.
- المصادقة الثنائية (MFA): تفعيلها فوراً على جميع لوحات تحكم الاستضافة وحسابات الإدارة.
- مراقبة المهام المجدولة: فحص ومراجعة مهام Cron بشكل دوري لرصد أي أوامر غير مصرح بها.
- تحديث الأنظمة: المبادرة بترقية إصدارات PHP وسد الثغرات الأمنية وتحديث الإضافات باستمرار.
- تحليل السجلات: استخدام أدوات متقدمة لمراقبة حركة المرور واكتشاف الأنماط غير المعتادة.
كما يفضل تقييد صلاحيات تنفيذ الأوامر داخل بيئة الخادم وتطبيق مبدأ الصلاحيات الأقل. هذا يضمن تقليل حجم الضرر المحتمل في حال نجح المهاجم في تسريب ملفات خبيثة إلى مساحة الاستضافة.
في الختام، يؤكد تيكبامين أن مشهد التهديدات السيبرانية يتطور بشكل مرعب. الوعي بأساليب التخفي المتقدمة التي تستهدف أنظمة لينكس، هو خط الدفاع الأول لمنع تسريب البيانات الحساسة وضمان استقرار الخدمات الرقمية.
