نسخه‌ای از بات‌نت Mirai بر روی دستگاه‌های آلوده سرور پروکسی نصب می‌کند

 

محققان هشدار می دهند که نوع جدیدی از بات نت Mirai قادر است بر روی دستگاه های اینترنت اشیاء، سرورهای پروکسی نصب کند. Mirai بدافزاری است که قابلیت انجام حملات منع سرویس توزیع شده را دارا بوده و در اواخر سال ۲۰۱۶ میلادی ظاهر شده است. این بدافزار پس از آلوده کردن دستگاه های اینترنت اشیاء آن ها را به یک بات نت اضافه کرده و از آن ها در راستای حملات شدید منع سرویس توزیع شده در سناریوهای مختلف استفاده کرده است. 


بدافزار جدیدی که OMG نام دارد و وجه تسمیه آن وجود رشته‌ی OOMGA در جداول پیکربندی آن است، نسخه‌ای از بدافزار Mirai محسوب شده و قابلیت‌های آن را دارا می‌باشد ولی با این حال برخی ویژگی‌های جدید و منحصربفرد را نیز با قابلیت‌های Mirai ترکیب کرده است. برخلاف بدافزار Mirai، در پیکربندی بدافزار OMG، دو رشته برای اضافه کردن قوانین به دیواره‌ی آتش وجود دارد که تلاش می‌کند تا اطمینان حاصل کند که بر روی دو پورت تصادفی، به ترافیک اجازه‌ی عبور داده می‌شود. با این حال ویژگی‌های Mirai در این بدافزار وجود داشته و به عبارتی می‌تواند حملات منع سرویس توزیع‌شده، جستجوی فراگیر بر روی Telnet و کُشتن پردازه‌ها را اجرا کند.


بدافزار OMG پس از آلوده کردن ماشین قربانی، با سرور دستور و کنترل بر روی پورت ۵۰۰۲۳ ارتباط برقرار می‌کند. پس از برقراری ارتباط نیز پیام‌هایی را ارسال می‌کند تا خود را به‌عنوان بات جدید به سرور معرفی کند. سرور در پاسخ یک رشته‌ی ۵ بایتی ارسال می‌کند که بایت اول، ادامه‌ی فعالیت بات را مشخص می‌کند. این بایت اگر ۰ باشد به معنی این است که بر روی ماشین قربانی، باید سرور پروکسی اجرا شود، اگر ۱ بود باید در فاز حمله قرار بگیرد و بیشتر از ۱ به معنی خاتمه‌ی ارتباط است.


محققان امنیتی کشف کردند که این بدافزار از یک نرم‌افزار متن‌باز با نام  3proxy برای ایجاد سرور پروکسی استفاده می‌کند. در فرآیند ایجاد پروکسی، بدافزار دو پورت تصادفی برای http_proxy_port و socks_proxy_port ایجاد کرده و آن‌ها را به سرور دستور و کنترل معرفی کرده و قوانینی برای دیواره‌ی آتش تعریف می‌کند تا اجازه‌ی عبور ترافیک از این پورت‌ها داده شود.


پس از اضافه کردن قوانین دیواره‌ی آتش، بدافزار نرم‌افزار  3proxy را با پیکربندی‌های از پیش‌تعریف‌شده که در کد آن وجود دارد، تنظیم می‌کند. محققان معتقدند که این بدافزار دسترسی به این سرورهای پروکسی را که بر روی دستگاه‌های اینترنت اشیاء ایجاد کرده‌اند، به فروش می‌رسانند. محققان معتقدند اولین باری است که شاهد بات‌نتی هستند که مبتنی بر Mirai بوده و قابلیت‌هایی مانند ایجاد سرور پروکسی را نیز دارا می‌باشد و اعلام کردند در ادامه باید شاهد گسترش بات‌نت‌هایی مبتنی بر Mirai باشیم.
 

منبع

پست‌های مشابه

Leave a Comment