ظهور دوباره‌ی بات‌نت Mirai: صد هزار بات‌ در حال اسکن مسیریاب‌های آسیب‌پذیر هستند

 

نسخه ی جدیدی از بدافزار Mirai در حال توزیع است. در ۶۰ ساعت گذشته محققان شاهد بودند نزدیک به ۱۰۰ هزار آدرس IP در حال اسکن مسیریاب های آسیب پذیر ZyXEL PK5001Z هستند.  به گفته ی محققان امنیتی از شرکت Qihoo 360، انتشار بهره برداری اثبات مفهومی در پایگاه داده ی آسیب پذیری ها، یکی از علل اصلی در افزایش فعالیت های بات نت Mirai است. با بارگذاری بهره برداری در تاریخ ۳۱ اکتبر، محققان شاهد افزایش اسکن ها با بهره برداری از این کد از تاریخ ۲۲ نوامبر یعنی روز چهارشنبه بوده اند.


محققان می‌گویند در طول ۶۰ ساعت گذشته اسکن‌ها روی پورت ۲۳۲۳ و ۲۳ به شدت افزایش یافته و با درصد اطمینان بالایی می‌توانند بگویند که نسخه‌ی جدیدی از بدافزار Mirai در راه است. این بدافزار جدید از آسیب‌پذیری با شناسه‌ی CVE-2016-10401 در مسیریاب‌های قدیمی ZyXEL PK5001Z بهره‌برداری می‌کند. این آسیب‌پذیری در ژانویه سال ۲۰۱۶ میلادی به طور عمومی افشاء شده است. در مسیریاب‌های ZyXEL PK5001Z پسوردها هاردکد شده و مهاجم می‌تواند امتیازات خود را تا سطح ریشه ارتقاء دهد. 


از این رو، در حال حاضر تمام مهاجمان می‌دانند که در مسیریاب‌های ZyXEL از نام کاربری و پسوردهای admin/CentryL1nk و admin/QwestM0dem به‌طور پیش‌فرض به عنوان گواهی‌نامه‌های Telnet استفاده می‌شود. کد بهره‌برداری که اخیرا در پایگاه داده‌ی آسیب‌پذیری‌ها بارگذاری شده، ابتدا با استفاده از این پسوردهای Telnet از راه دور به مسیریاب‌های ZyXEL وارد شده و در ادامه از پسوردهای هاردکدشده‌ی su برای ارتقاء امتیازات خود استفاده می‌کند. 


محققان کشف کردند که در حال حاضر نزدیک به ۱۰۰ هزار آدرس IP در حال اسکن آسیب‌پذیری در مسیریاب‌های ZyXEL هستند. به عبارت دیگر بات‌نت جدید Mirai تاکنون حدود ۱۰۰ هزار بات را تحت سلطه‌ی خود در آورده است. ۶۵۷۰۰ مورد از این آدرس‌های IP در آرژانتین واقع شده‌اند چرا که ISP آن‌ها در پروتکل Telnet از پسوردهای پیش‌فرض استفاده می‌کند که در کد بهره‌برداری نیز این پسوردهای پیش‌فرض وجود دارد. 


یک خبر خوب که برای کاربران می‌توانیم داشته باشیم این است که در بات‌های Mirai سازوکار ماندگاری وجود نداشته و به عبارت دیگر اگر دستگاه را مجددا راه‌اندازی کنیم، تمامی آلودگی‌ها ریشه‌کن خواهند شد. این اولین بار نیست که بدافزار Mirai مسیریاب‌های متعلق به یک ISP را هدف قرار داده است. قبلا نیز شاهد بودیم که ۹۰۰ هزار مسیریاب متعلق به شرکت Deutsche در آلمان را آلوده کرده بود.

 


منبع

پست‌های مشابه

Leave a Comment