محققان هشدار می دهند که نوع جدیدی از بات نت Mirai قادر است بر روی دستگاه های اینترنت اشیاء، سرورهای پروکسی نصب کند. Mirai بدافزاری است که قابلیت انجام حملات منع سرویس توزیع شده را دارا بوده و در اواخر سال ۲۰۱۶ میلادی ظاهر شده است. این بدافزار پس از آلوده کردن دستگاه های اینترنت اشیاء آن ها را به یک بات نت اضافه کرده و از آن ها در راستای حملات شدید منع سرویس توزیع شده در سناریوهای مختلف استفاده کرده است.
بدافزار جدیدی که OMG نام دارد و وجه تسمیه آن وجود رشتهی OOMGA در جداول پیکربندی آن است، نسخهای از بدافزار Mirai محسوب شده و قابلیتهای آن را دارا میباشد ولی با این حال برخی ویژگیهای جدید و منحصربفرد را نیز با قابلیتهای Mirai ترکیب کرده است. برخلاف بدافزار Mirai، در پیکربندی بدافزار OMG، دو رشته برای اضافه کردن قوانین به دیوارهی آتش وجود دارد که تلاش میکند تا اطمینان حاصل کند که بر روی دو پورت تصادفی، به ترافیک اجازهی عبور داده میشود. با این حال ویژگیهای Mirai در این بدافزار وجود داشته و به عبارتی میتواند حملات منع سرویس توزیعشده، جستجوی فراگیر بر روی Telnet و کُشتن پردازهها را اجرا کند.
بدافزار OMG پس از آلوده کردن ماشین قربانی، با سرور دستور و کنترل بر روی پورت ۵۰۰۲۳ ارتباط برقرار میکند. پس از برقراری ارتباط نیز پیامهایی را ارسال میکند تا خود را بهعنوان بات جدید به سرور معرفی کند. سرور در پاسخ یک رشتهی ۵ بایتی ارسال میکند که بایت اول، ادامهی فعالیت بات را مشخص میکند. این بایت اگر ۰ باشد به معنی این است که بر روی ماشین قربانی، باید سرور پروکسی اجرا شود، اگر ۱ بود باید در فاز حمله قرار بگیرد و بیشتر از ۱ به معنی خاتمهی ارتباط است.
محققان امنیتی کشف کردند که این بدافزار از یک نرمافزار متنباز با نام 3proxy برای ایجاد سرور پروکسی استفاده میکند. در فرآیند ایجاد پروکسی، بدافزار دو پورت تصادفی برای http_proxy_port و socks_proxy_port ایجاد کرده و آنها را به سرور دستور و کنترل معرفی کرده و قوانینی برای دیوارهی آتش تعریف میکند تا اجازهی عبور ترافیک از این پورتها داده شود.
پس از اضافه کردن قوانین دیوارهی آتش، بدافزار نرمافزار 3proxy را با پیکربندیهای از پیشتعریفشده که در کد آن وجود دارد، تنظیم میکند. محققان معتقدند که این بدافزار دسترسی به این سرورهای پروکسی را که بر روی دستگاههای اینترنت اشیاء ایجاد کردهاند، به فروش میرسانند. محققان معتقدند اولین باری است که شاهد باتنتی هستند که مبتنی بر Mirai بوده و قابلیتهایی مانند ایجاد سرور پروکسی را نیز دارا میباشد و اعلام کردند در ادامه باید شاهد گسترش باتنتهایی مبتنی بر Mirai باشیم.