بات‌نت اینترنت اشیاء Gucci اروپا را هدف قرار داده است

پژوهش‌گران امنیتی آزمایشگاه SecNiche Security یک بدافزار جدید کشف کرده‌اند که تلاش می‌کند دستگاه‌های اینترنت اشیاء در اروپا را به یک بات‌نت با قابلیت منع سرویس تبدیل کند. پژوهش‌گران امنیتی بیان کردند به نظر می‌رسد بات‌نت Gucci جدید بوده و قبلاً ثبت نشده است.

باینری‌های کشف‌شده در سرور مهاجم نشان می‌دهد که این بدافزار معماری‌های مختلف ازجمله ARM، x86، MIPS، PPC، M68K و غیره را هدف قرار می‌دهد. این باینری‌ها از یک سرور مستقر در هلند توزیع می‌شدند. تجزیه و تحلیل این باینری‌ها نشان می‌دهد که اپراتورهای این بات‌نت همه‌ی نشانه‌های اشکال‌زدایی را از آن‌ها حذف کرده‌اند که منجر به کاهش سایز باینری‌ها می‌شود.

پژوهش‌گران در حین بررسی این بدافزار کشف کردند که هر بات‌نت به یک آدرس IP راه دور در پورت TCP ۵۵۵ متصل می‌شد و همچنین میزبان راه دوری را شناسایی کردند که یک سرویس telnet سفارشی را در درگاه TCP 555 اجرا می‌کرد. این میزبان دستورات را به‌طور مرتب با بات‌های Gucci مبادله می‌کرد. بااین‌حال هنگامی که تلاش می‌کرد تا یک اتصال TCP با میزبان برقرار کند، از پژوهش‌گران درخواست می‌شد تا یک نام کاربری و گذرواژه برای احراز هویت ارائه دهند.

پژوهش‌گران بااستفاده از خودکارسازی توانستند تا گواهی‌نامه‌های موردنیاز را از بین ببرند و به پنل دستور و کنترل دسترسی پیدا کنند. بات‌نت Gucci با قابلیت پشتیبانی از انواع مختلف حملات منع سرویس توزیع‌شده طراحی شده است که شامل HTTP null scan، UDP flood، SYN flood، ACK flood، UDP flood با گزینه‌های پروتکلی کمتر، GRE IP flood و Value Source Engine specific flood است.

به نظر می‌رسد که این بات‌نت همه‌ی اتصال‌های برقرارشده با سرور دستور و کنترل را تحت نظر می‌گیرد. به محض این‌که اپراتورها فهمیدند که سرور دستور و کنترل در معرض خطر قرار گرفته است، سرویس TCP را از میزبان حذف و تلاش کردند تا شاخص‌ها را با پاک‌سازی مسیرها و انجام عملیات دیگر مخفی کنند.

پژوهش‌گران امنیتی یادآور شدند که اپراتور بات‌نت بسیار فعال است و کل فرآیند تجزیه و تحلیل و دست‌یابی به دسترسی سرور دستور و کنترل شبیه یک مسابقه‌ی است. درحال‌حاضر به نظر می‌رسد که این بات‌نت در مراحل اولیه‌ی توسعه‌ی خود قرار دارد و قاره‌ی اروپا را هدف قرار می‌دهد. این بات‌نت قادر است حملات هدفمند و گسترده‌ای انجام دهد.

منبع

پست‌های مشابه

Leave a Comment