کشف بدافزار بات‌نت اینترنت اشیای درحال ظهور جدید به نام Dark Nexus

پژوهش‌گران امنیت سایبری یک بات‌نت اینترنت اشیای در حال ظهور جدیدی کشف کرده‌اند که از دستگاه‌های هوشمند آسیب‌دیده برای انجام حملات منع سرویس توزیع‌شده که به‌طور بالقوه در صورت تقاضا در بسترهای ارائه‌ی خدمات DDoS-for-hire اتفاق می‌افتند، استفاده می‌کند. پژوهش‌گران بیت‌دیفندر این بات‌نت را «dark-nexus» نامیده‌اند که با استفاده از حملات credential stuffing علیه انواع دستگاه‌ها مانند مسیریاب‌ها، دستگاه‌های ضبط ویدئو و دوربین‌های حرارتی برای به کار گرفتن آن‌ها کار می‌کند.

تاکنون، dark-nexus حداقل شامل ۱٬۳۷۲ ربات است که به‌عنوان یک پروکسی معکوس عمل می‌کنند و در نقاط مختلفی در چین، کره‌ی جنوبی، تایلند، برزیل و روسیه گسترش می‌یابند.

پژوهش‌گران بیان کردند که اگرچه ممکن است برخی از ویژگی‌های آن با بات‌نت‌های اینترنت اشیای شناخته‌شده در گذشته مشترک باشد، اما روش توسعه‌ی برخی از ماژول‌های این بات‌نت، آن را قدرتمند‌تر می‌کند. به‌عنوان مثال بار داده‌ها برای ۱۲ معماری مختلف پردازنده گردآوری می‌شوند و به‌صورت پویا براساس پیکربندی قربانی توزیع می‌شوند. پژوهش‌گران بیت‌دیفندر با توجه به شباهت‌های dark-nexus به بدافزار بانکی Qbot و Mirai بیان کردند که ماژول‌های اصلی آن همان ماژول‌ها هستند و با انتشار بیش از ۳۰ نسخه در بازه‌ی زمانی بین ماه دسامبر سال ۲۰۱۹ میلادی تا ماه مارس سال ۲۰۲۰ میلادی، به‌طور مکرر به‌روزرسانی می‌شود.

پژوهش‌گران بیان کردند که کد راه‌اندازی این بات‌نت شبیه Qbot است که چند بار منشعب می‌شود، چند سیگنال را مسدود می‌کند و خود را از ترمینال جدا می‌کند. سپس به روش Mirai به یک درگاه ثابت (۷۶۳۰) متصل می‌شود و اطمینان حاصل می‌کند که یک نمونه‌ی واحد از این بات‌نت می‌تواند در دستگاه اجرا شود. این بات‌نت سعی دارد که با تغییر نام خود به «/bin/busybox»، تغییرشکل دهد و خود را پنهان کند و از طریق تماس‌های دوره‌ای ioctl در دستگاه مجازی نظارت را غیرفعال کند.

زیرساخت آن شامل چند سرور دستور و کنترل است که دستورات راه دور را برای ربات‌های آلوده صادر می‌کند و به سرورها گزارش می‌دهد که کدام ربات‌ها اطلاعاتی درباره‌ی خدمات آسیب‌پذیر به اشتراک می‌گذارند. پس از انجام موفقیت‌آمیز حمله‌ی کورکورانه، ربات در سرور c2 که معماری پردازنده‌ی دستگاه را شناسایی می‌کند، ثبت می‌شود تا بار داده‌ی آلوده را از طریق Telnet انتقال دهد و باینری‌های ربات و سایر مؤلفه‌های بدافزار را از یک سرور میزبان بارگیری و اجرا کند.

علاوه‌برآن، برخی از نسخه‌های این بات‌نت (۴٫۰ تا ۵٫۳) با ویژگی پروکسی معکوس عرضه شده‌اند که به قربانی اجازه می‌دهد به‌عنوان یک پروکسی برای سرور میزبان عمل کند، درنتیجه دستگاه آلوده را مجبور می‌کند فایل‌های اجرایی موردنیاز را به‌صورت محلی بارگیری و ذخیره کند. dark-nexus با دستورات دائمی همراه است که با متوقف کردن سرویس cron و حذف مجوزهای خدماتی که ممکن است برای راه‌اندازی مجدد دستگاه موردنظر استفاده شوند، از راه‌اندازی مجدد دستگاه جلوگیری می‌کند.

پژوهش‌گران بیت‌دیفندر مشاهده کردند که dark-nexus به‌طور منحصر به فرد از یک سیستم امتیازدهی مبتنی بر وزن و آستانه استفاده می‌کند تا ارزیابی کند که کدام فرآیند ممکن است خطر ایجاد کند. این سیستم شامل نگه داشتن فهرستی از فرآیندهای لیست سفید و PID آن‌ها و خاتمه دادن فرآیندهای دیگری است که از یک آستانه‌ی مشخص عبور می‌کنند.

این واقعیت که dark-nexus بر پایه‌ی Mirai و Qbot ساخته شده است، اثبات می‌کند که روش‌های درحال تکامل اپراتورهای بات‌نت‌ها و نفوذگران بی‌تجربه به آن‌ها اجازه می‌دهد که با بهره‌برداری از انواع آسیب‌پذیری‌ها در دستگاه‌های اینترنت اشیای با امنیت پایین قابلتیت‌های جدید به بات‌نت‌ها اضافه کنند و ارتش بات‌نت پیشرفته‌ای جمع کنند.

منبع

پست‌های مشابه

Leave a Comment