پژوهشگران امنیتی آزمایشگاه SecNiche Security یک بدافزار جدید کشف کردهاند که تلاش میکند دستگاههای اینترنت اشیاء در اروپا را به یک باتنت با قابلیت منع سرویس تبدیل کند. پژوهشگران امنیتی بیان کردند به نظر میرسد باتنت Gucci جدید بوده و قبلاً ثبت نشده است.
باینریهای کشفشده در سرور مهاجم نشان میدهد که این بدافزار معماریهای مختلف ازجمله ARM، x86، MIPS، PPC، M68K و غیره را هدف قرار میدهد. این باینریها از یک سرور مستقر در هلند توزیع میشدند. تجزیه و تحلیل این باینریها نشان میدهد که اپراتورهای این باتنت همهی نشانههای اشکالزدایی را از آنها حذف کردهاند که منجر به کاهش سایز باینریها میشود.
پژوهشگران در حین بررسی این بدافزار کشف کردند که هر باتنت به یک آدرس IP راه دور در پورت TCP ۵۵۵ متصل میشد و همچنین میزبان راه دوری را شناسایی کردند که یک سرویس telnet سفارشی را در درگاه TCP 555 اجرا میکرد. این میزبان دستورات را بهطور مرتب با باتهای Gucci مبادله میکرد. بااینحال هنگامی که تلاش میکرد تا یک اتصال TCP با میزبان برقرار کند، از پژوهشگران درخواست میشد تا یک نام کاربری و گذرواژه برای احراز هویت ارائه دهند.
پژوهشگران بااستفاده از خودکارسازی توانستند تا گواهینامههای موردنیاز را از بین ببرند و به پنل دستور و کنترل دسترسی پیدا کنند. باتنت Gucci با قابلیت پشتیبانی از انواع مختلف حملات منع سرویس توزیعشده طراحی شده است که شامل HTTP null scan، UDP flood، SYN flood، ACK flood، UDP flood با گزینههای پروتکلی کمتر، GRE IP flood و Value Source Engine specific flood است.
به نظر میرسد که این باتنت همهی اتصالهای برقرارشده با سرور دستور و کنترل را تحت نظر میگیرد. به محض اینکه اپراتورها فهمیدند که سرور دستور و کنترل در معرض خطر قرار گرفته است، سرویس TCP را از میزبان حذف و تلاش کردند تا شاخصها را با پاکسازی مسیرها و انجام عملیات دیگر مخفی کنند.
پژوهشگران امنیتی یادآور شدند که اپراتور باتنت بسیار فعال است و کل فرآیند تجزیه و تحلیل و دستیابی به دسترسی سرور دستور و کنترل شبیه یک مسابقهی است. درحالحاضر به نظر میرسد که این باتنت در مراحل اولیهی توسعهی خود قرار دارد و قارهی اروپا را هدف قرار میدهد. این باتنت قادر است حملات هدفمند و گستردهای انجام دهد.