ظهور بات‌نت جدید در حوزه‌ی اینترنت اشیاء با نام Hide ‘N Seek

 

محققان امنیتی گزارش کرده اند یک بات نت اینترنت اشیاء که توزیع کرم گونه ای دارد، در عرض چند روز گذشته توانسته است ۲۰ هزار دستگاه را آلوده کند. این بات نت Hide N Seek نام داشته و اولین بار در تاریخ ۱۰ ژانویه مورد بررسی قرار گرفته که دوربین های اینترنتی که ساخت  یک شرکت کره ای بودند را هدف قرار داده بود ولی چند روز بعد از بین رفت. ولی در تاریخ ۲۰ ژانویه این بات نت ویژگی های خود را بهبود بخشیده و مجددا ظاهر شد و گفته می شود به سرعت در حال توزیع است. 


این بدافزار برای سرقت اطلاعات، اجرای کدهای مخرب و ایجاد اختلال در عملیات دستگاه‌ها طراحی شده است. ساختار ارتباطی این بات‌نت با سرورهای دستور و کنترل یک ساختار پیچیده و توزیع‌شده است و از آسیب‌پذیری با شناسه‌ی CVE-2016-10401 برای آلوده کردن دستگاه‌های بهره‌برداری می‌کند. این همان آسیب‌پذیری است که بات‌نت قبلی اینترنت اشیاء با نام Reaper از آن استفاده می‌کرد.


ویژگی کرم‌گونه‌ی این بات‌نت باعث می‌شود تا فهرستی از آدرس‌های تصادفی IP را تولید کرده و ارتباط SYN با آن‌ها برقرار کند. این ارتباط به‌گونه‌ای ایجاد می‌شود که از پورت‌های ۲۳، ۲۳۲۳، ۸۰ و ۸۰۸۰ استفاده می‌شود. پس از برقرار ارتباط، بدافزار سعی می‌کند با استفاده از گواهی‌نامه‌ها و پسوردهای پیش‌فرض وارد دستگاه شود و اگر این حمله با شکست مواجه شد، حمله‌ی دیکشنری را اجرا می‌کند.


در مرحله‌ی بعد بدافزار تلاش می‌کند تا به بهترین نحو دستگاه قربانی را شناسایی کرده و از بهترین شیوه برای آلوده کردن آن استفاده کند. به‌طور مثال اگر قربانی در شبکه‌ی LAN قرار داشته باشد، یک سرور TFTP ممکن است روی آن نصب شود ولی اگر قربانی به اینترنت دسترسی داشته باشد، می‌تواند بار داده‌ی یک بدافزار را از راه دور و از طریق اینترنت دانلود کند. ولی با این حال بدافزار ویژگی ماندگاری بر روی سیستم را نداشته و به محض اینکه دستگاه مجددا راه‌اندازی شود، آلودگی از بین می‌رود.


بعد از بات‌نت Hajime، بات‌نت Hide ‘N Seek دومین بدافزاری است که از ارتباطات توزیع‌شده و نظیر به نظیر استفاده می‌کند. تنها تفاوت آن‌ها در این بود که بات‌نت Hajime برای ارتباطات نظیر به نظیر از پروتکل بیت‌تورنت استفاده می‌کرد ولی بات‌نت فعلی از یک پروتکل ویژه استفاده می‌کند. این بدافزار قوانینی را بر روی دیواره‌ی آتش نصب کرده و پورت‌های مشخصی را باز می‌کند و اجازه‌ی ورود ترافیک به دستگاه را می‌دهد. این بات‌نت دارای ویژگی دریافت چند دستور همزمان از طرف سرور دستور و کنترل است.
 

منبع

پست‌های مشابه

Leave a Comment