ظهور بات‌نت Chalubo و هدف قرار دادن دستگاه‌های اینترنت اشیاء

 

محققان امنیتی اعلام کردند بدافزار جدیدی را شناسایی کرده‌اند که دستگاه‌های اینترنت اشیاء ار هدف قرار داده و قصد دارد آن‌ها را به یک بات‌نت اضافه کند. در ادامه این بات‌ها برای اجرای حملات منع سرویس توزیع‌شده (DDoS) مورد استفاده قرار می‌گیرند. این بدافزار Chalubo نام داشته و کدهای آن شامل Xor.DDoS و بات‌نت معروف Mirai است ولی با این حال بهبودهایی در کد ایجاد شده و قابلیت‌های ضد-تحلیل در این بدافزار را ارتقاء داده است. همچنین نویسندگان این بدافزار دو مولفه‌ی مورد نظر را که اسکریپت‌های Lua  و رمزنگاری ChaCha  هستند، رمزنگاری کرده‌اند.


در اواخر ماه آگوست مشاهده شده بود که مهاجمان از ۳ مولفه‌ی مخرب برای تهدیدات خود استفاده می‌کردند که شامل دانلودکننده، بات اصلی و اسکریپت فرمان Lua  است. این بات بر روی ماشین‌هایی با معماری x86  اجرا می‌شود. چند هفته قبل نیز مهاجمان از نصب‌کننده‌ی Elknot  برای توزیع بدافزار Chalubo استفاده می‌کردند. همچنین نکته‌ی قابل توجهی که وجود داشت، نسخه‌های مختلف از این بدافزار بود که برای هدف قرار دادن سیستم‌ها با معماری‌های مختلف طراحی شده بود. 


در ماه سپتامبر نیز این بدافزار از طریق اجرای حمله‌ی جستجوی فراگیر بر روی سرورهای SSH توزیع می‌شد. این مهاجمان با استفاده از گواهی‌نامه‌های root:admin سعی داشتند سرورها را آلوده کنند. هرچند همان‌طور که گفته شد، بخش‌هایی از کد این بدافزار، از بدافزارهای دیگر کپی شده است ولی بخش‌های جدیدی نیز در کد وجود دارد که برای اجرای حمله‌ی منع سرویس توزیع‌شده که از ارسال سیل‌آسای DNS، UDP و بسته‌های Syn بهره می‌برد. 


اسکریپتLua  که این بات از آن بهره می‌برد برای برقراری ارتباط با سرور دستور و کنترل طراحی شده تا جزئیات ماشین آلوده را ارسال کرده و دستورات بیشتری را از سرور دریافت کند. همان‌طور که اشاره شد، توزیع این بدافزار با بهره‌برداری از گواهی‌نامه‌های پیش‌فرض و ضعیف صورت می‌گیرد. برای همین به تمام مدیران سیستم‌ها توصیه می‌شود بر روی سرورهای SSH پسوردهای پیش‌فرض را به نمونه‌های قوی و منحصربفرد تغییر دهند.

 

منبع
 

پست‌های مشابه

Leave a Comment