يقوم أحد ممثلي التهديد باختراق خوادم NGINX في حملة تخطف حركة مرور المستخدم وتعيد توجيهها عبر البنية التحتية الخلفية للمهاجم.
NGINX هو برنامج مفتوح المصدر لإدارة حركة مرور الويب. فهو يتوسط الاتصالات بين المستخدمين والخوادم ويستخدم لخدمة الويب، وموازنة التحميل، والتخزين المؤقت، والوكيل العكسي.
الحملة الخبيثة التي اكتشفها الباحثون في”https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/” الهدف=”_blank” rel=”nofollow noopener”> مختبرات DataDog الأمنية، يستهدف عمليات تثبيت NGINX ولوحات إدارة استضافة Baota التي تستخدمها المواقع ذات نطاقات المستوى الأعلى الآسيوية (.in و.id و.pe و.bd و.th) والمواقع الحكومية والتعليمية (.edu و.gov).
“https://www.bleepstatic.com/c/w/GitLab-970×250.png” البديل=”Wiz”>
يقوم المهاجمون بتعديل ملفات تكوين NGINX الموجودة عن طريق حقن ملفات ضارة ‘موقع’ الكتل التي تلتقط الطلبات الواردة على مسارات URL التي حددها المهاجم.
ثم يقومون بإعادة كتابتها لتضمين عنوان URL الأصلي الكامل، وإعادة توجيه حركة المرور عبر ملف “proxy_pass” التوجيه إلى المجالات التي يسيطر عليها المهاجم.
عادةً ما يتم استخدام التوجيه الذي تمت إساءة استخدامه لموازنة التحميل، مما يسمح لـ NGINX بإعادة توجيه الطلبات من خلال مجموعات خوادم الواجهة الخلفية البديلة لتحسين الأداء أو الموثوقية؛ ومن ثم، فإن إساءة استخدامه لا تؤدي إلى أي تنبيهات أمنية.
طلب رؤوس مثل “المضيف”، “X-Real-IP”، “وكيل المستخدم”، و “المرجع” يتم الاحتفاظ بها لجعل حركة المرور تبدو مشروعة.
يستخدم الهجوم مجموعة أدوات مكتوبة متعددة المراحل لإجراء عمليات حقن تكوين NGINX. تعمل مجموعة الأدوات على خمس مراحل:
- المرحلة 1 – zx.sh: يعمل بمثابة البرنامج النصي للتحكم الأولي، وهو المسؤول عن تنزيل وتنفيذ المراحل المتبقية. يتضمن آلية احتياطية ترسل طلبات HTTP الأولية عبر TCP في حالة عدم توفر curl أو wget.
- المرحلة الثانية – بت.ش: يستهدف ملفات تكوين NGINX التي تديرها لوحة Baota. فهو يختار قوالب الحقن ديناميكيًا استنادًا إلى قيمة اسم_الخادم، ويستبدل التكوين بأمان، ويعيد تحميل NGINX لتجنب توقف الخدمة.
- المرحلة 3 – 4zdh.sh: تعداد مواقع تكوين NGINX الشائعة مثل sites-enabled وconf.d وsites-available. ويستخدم أدوات التحليل مثل csplit وawk لمنع تلف التكوين، ويكتشف عمليات الحقن السابقة عبر التجزئة وملف التعيين العام، ويتحقق من صحة التغييرات باستخدام nginx -t قبل إعادة التحميل.
- المرحلة 4 – zdh.sh: يستخدم أسلوب استهداف أضيق يركز بشكل أساسي على /etc/nginx/sites-enabled، مع التركيز على نطاقات .in و.id. وهو يتبع نفس عملية اختبار التكوين وإعادة التحميل، مع استخدام إعادة التشغيل القسري (pkill) كإجراء احتياطي.
- المرحلة 5 – ok.sh: يقوم بمسح تكوينات NGINX المخترقة لإنشاء خريطة للنطاقات المختطفة وقوالب الحقن وأهداف الوكيل. يتم بعد ذلك نقل البيانات المجمعة إلى خادم القيادة والتحكم (C2) على الرقم 158.94.210.[.]227.
المصدر: داتادوج
يصعب اكتشاف هذه الهجمات لأنها لا تستغل ثغرة NGINX؛ وبدلاً من ذلك، يقومون بإخفاء التعليمات الضارة في ملفات التكوين الخاصة بهم، والتي نادرًا ما يتم فحصها.
بالإضافة إلى ذلك، لا تزال حركة مرور المستخدم تصل إلى الوجهة المقصودة، غالبًا بشكل مباشر، لذلك من غير المرجح أن يتم ملاحظة المرور عبر البنية التحتية للمهاجم ما لم يتم إجراء مراقبة محددة.
مستقبل البنية التحتية لتكنولوجيا المعلومات هنا
تتحرك البنية التحتية الحديثة لتكنولوجيا المعلومات بشكل أسرع مما يمكن لسير العمل اليدوي التعامل معه.
في دليل Tines الجديد هذا، تعرف على كيف يمكن لفريقك تقليل التأخيرات اليدوية المخفية، وتحسين الموثوقية من خلال الاستجابة الآلية، وإنشاء مسارات عمل ذكية وتوسيع نطاقها بالإضافة إلى الأدوات التي تستخدمها بالفعل.