آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

بات‌نت جدیدی دستگاه‌های اینترنت اشیاء را به کار می‌گیرد

عنوانبات‌نت جدیدی دستگاه‌های اینترنت اشیاء را به کار می‌گیرد
گروه اصلیOther
شرح خبر

طبق یافته Radware، یک بات‌نت جدید با سوءاستفاده از دو آسیب‌پذیری، که در حال حاضر میان بات‌نت‌های اینترنت اشیاء محبوبیت دارد، دستگاه‌های جدیدی را به کار می‌گیرد.

 

این بات‌نت که اصطلاحا JenX نامیده می‌شود، آسیب‌پذیری‌های دارای شناسه CVE-2014-8361
(Realtek SDK Miniigd UPnP SOAP Command Execution) و CVE-2017–17215
(Huawei Router HG532 – Arbitrary Command Execution) را مورد سوءاستفاده قرار می‌دهد. هر دو این معضلات امنیتی پیش‌تر توسط Satori، یکی از انواع بات‌نت Mirai، مورد سوءاستفاده قرار گرفته بودند.

تهدید جدید همچنین از تکنیک‌های مربوط به PureMasuta، از مشتقات Mirai، که اخیرا کد منبع آن در یک انجمن خصوصی غیر مجاز منتشر شده بود، استفاده می‌کند.

به‌گفته محققان Radware، سرویس‌دهنده فرمان و کنترل (C&C) بات‌نت، سرویس‌دهنده‌هایی نیز برای بازی‌های رایانه‌ای ویدئویی فراهم می‌آورد و خدمات عدم ارائه خدمت (DDoS) را توزیع می‌کند.

قابلیت DDoS شامل بردارهای حمله‌ای مانند Valve Source Engine Query و 32bytes floods، اسکریپت‌های TS3، و یک گزینه Down OVH (احتمالاً اشاره‌ای به حمله Mirai به ارائه‌دهنده میزبان ابر OVH در سپتامبر سال 2016) می‌باشد. مهاجمان حملاتی با حجم 290-300 گیگابیت بر ثانیه را تضمین می‌کنند، که به‌نظر می‌رسد قدرت بات‌نت جدید را تحت تأثیر قرار می‌دهد.

بر خلاف بات‌نت‌های اینترنت اشیاء که پیش‌تر مشاهده شده بود، مانند Mirai، Hajime، Persirai، Reaper، Satori، و Masuta، که سیستم‌های آلوده را به عنوان اهرمی برای پویش و بهره‌برداری مورد سوءاستفاده قرار می‌دادند (همچنین باعث رشد نمایی بات‌نت می‌شدند)، JenX، با استفاده از سرویس‌دهنده‌ها، عملیات پویش و بهره‌برداری را انجام می‌دهد.

به‌گفته Radware، از آن‌جایی که این بات‌نت در برگیرنده داده‌های پویش و بهره‌برداری نیست، کد JenX در زمان تحویل ساده‌تر و سبک‌تر است. با قابلیت پویش و بهره‌برداری متمرکز، اپراتورها انعطاف‌پذیری را افزایش می‌دهند تا بدون تأثیرگذاری بر روی اندازه بات‌نت، عملکرد را توسعه داده و بهبود ببخشند.

از آن‌جایی که گره‌های کمتری عملیات پویش و بهره‌برداری را انجام می‌دهند، بات‌نت کم ‌سر و صداتر است و می‌تواند به نحو بهتری از شناسایی خود جلوگیری کند. به گفته محققان امنیت، بدون دسترسی به سرویس‌دهنده C&C، این مسأله تخمین اندازه بات‌نت را دشوارتر می‌کند. از همه مهم‌تر، هنگامی‌که بات‌نت دستور انجام حمله را دریافت می‌کند، تنها بر روی اتصال شبکه قربانی تأثیر می‌گذارد.

Radware یادآور می‌شود، «زیان رویکرد متمرکز، کمتر از رشد خطی با تعداد سرویس‌دهنده‌های مستقر می‌باشد. در مقایسه با نرخ رشد نمایی بسیار کندتر بوده و نسبت به بات‌نت‌های پویش توزیع‌شده حالت تهاجمی کمتری دارد.»

این بدافزار با شناسایی ضد-اشکال‌زدایی  (Anti-Debugging Detection)محافظت می‌شود و کد دودویی آن سه فرآیند ایجاد می‌کند، که مشابه Mirai، باعث ایجاد ابهام در جدول فرآیندها می‌شود. تمامی فرآیندها به یک درگاه متصل به localhost گوش می‌دهند، تا یکی از آن‌ها یک سوکت TCP را، در آدرس 80.82.70.202، بر روی درگاه 127، به سرویس‌دهنده C&C باز کند. این بات‌نت از ابهام XOR، با کلیدهایی دقیقاً مشابه با  PureMasuta استفاده می‌کند.

هنگام اجرا، بدافزار با استفاده از جلسه TCP، به سرویس‌دهنده C&C، که توسط نام میزبان ‘skids.sancalvicie.com’ مکان‌یابی می‌شود، متصل می‌گردد (دامنه در Calvos S.L. ثبت شده است). فرض بر این است که سرویس‌دهنده یک واسط خط فرمان فراهم می‌آورد.

احتمالاً به‌دلیل سرویس‌دهنده‌های چندکاربره GTA San Andreas بر روی دامنه ، کد، دارای شاخص‌هایی از داده حمله Valve Source Engine Query می‌باشد. بردار حمله در کد اصلی Mirai، که در ماه اکتبر سال 2016 منتشر شد، گنجانده شده است، و Radware معتقد است این بات‌نت، توسط گروه هکر San Calvicie ساخته شده و از طریق وب‌گاه Clearnet آن‌ها، خدمات خود را انجام می‌دهد.

Pascal Geenens از Radware افزود: «مادامی که شما مکرراً بازی GTA San Andreas را انجام ندهید، احتمالاً به‌طور مستقیم تحت تأثیر قرار نخواهید گرفت. به نظر می‌رسد بات‌نت برای خدمت به هدف خاصی طراحی شده و برای ایجاد اختلال در خدمات سرویس‌دهنده‌های رقابتی چند کاربره GTA SA استفاده می‌شود. من اعتقاد ندارم این بات‌نت در حدی باشد که بتواند اینترنت را به نابودی بکشاند! اما در برگیرنده تکامل‌های جدید و جالبی می‌باشد و به لیست بات‌نت‌های اینترنت اشیائی اضافه می‌شود، که هر ماه بیشتر و سریع‌تر شد می‌کنند.»

به گفته Geenens، دو فراهم‌آورنده‌ای که در رابطه با این معضل به آن‌ها اطلاع‌رسانی شده بود، سرویس‌دهنده‌های بهره‌برداری در مراکز داده خود را، از کار انداخته‌اند، اما برخی سرویس‌دهنده‌ها همچنان فعال هستند و بات‌نت هنوز عملیاتی است. با این حال، اگر مهاجمین تصمیم به انتقال سرویس‌دهنده‌های بهره‌برداری خود به شبکه تاریک داشته باشند، از بین بردن بات‌نت بسیار دشوارتر خواهد بود، همانطور که در مورد BrickerBot اتفاق افتاد.

به گفته Geenens ، «JenX، می‌تواند به‌راحتی در برابر نابود شدن مقاومت کند. از آن‌جایی که مهاجمان الگوی پویش و بهره‌برداری متمرکز را انتخاب کرده‌اند، می‌توانند به‌سادگی عملیات بهره‌برداری خود را، به فراهم‌آورندگان میزبانی منتقل کنند که VPSهای ناشناخته ارائه می‌دهند و سرویس‌دهنده‌ها را از نواحی offshore عرضه می‌کنند. این فراهم‌آورندگان به سوءاستفاده اهمیتی نمی‌دهند.»

آدرس اینترنتی خبرhttp://www.securityweek.com/new-botnet-recruiting-iot-devices
تاریخ درج خبر1396-11-17
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست