به گزارش محققان امنیتی، یک باتنت جدید که با زبان برنامهنویسی Golang توسعه یافته است، سیستمهای لینوکس، از جمله دستگاههای اینترنت اشیا را با استفاده از یک custom implant هدف قرار میدهد. این باتنت که Kaiji نام گرفته است، در اصل چینی است، منحصراً از طریق حملات جستجوی فراگیر مبتنیبر SSH گسترش یافته و تنها کاربر ریشه را هدف قرار میدهد. گفته میشود، این بدافزار برای ایجاد بستههای سفارشی شبکه و فعالیت بدون مانع، به دسترسی ریشه نیاز دارد.
به گفتهی محققان امنیتی، باتنتKaiji برای راهاندازی حملات منع سرویس توزیعشده، از جمله حملات ipspoof و synack، طراحی شده است، اما شامل یک ماژول جستجوی فراگیر مبتنیبر SSH برای توزیع و توزیعکنندهی SSH دوم برای سرقت کلیدهای محلی SSH و آلودهکردن میزبانهایی که سرور در گذشته به آنها متصل شده بود، نیز میباشد.
پس از اجرای برنامه، این بدافزار خود را در مسیر /tmp/Seeintlog کپی کرده و نمونهی دوم را برای شروع عملیات مخرب راهاندازی میکند. هر یک از این عملیاتها در goroutine (واحد اجرایی مستقل در زبان Go) خود اجرا شده و محققان امنیتی در مجموع ۱۳ واحد اجرایی مستقل مرکزی را شناسایی کردهاند.
عملیاتهای پشتیبانیشده شامل اتصال به یک سرور فرمان و کنترل، دریافت فرمانها از این سرور (دستورالعملهای منع سرویس توزیعشده و جستجوی فراگیر مبتنیبر SSH، اجرای فرمان shell و یا حذف خود)، اتصال به میزبانهای شناختهشده، تداوم در نصب، بررسی استفاده از CPU یا کپیکردن بدافزار rootkit در مسیر /etc/32679 و اجرای آن در هر ۳۰ ثانیه، است.
محققان امنیتی دریافتند که بدافزار rootkit تمایل دارد بارها خود را فراخوانی کرده و حافظهی دستگاه را مصرف کند. به گفتهی محققان، این واقعیت که سرور فرمان و کنترل برای مدت زمان کوتاهی عملیاتی شده است، نشان میدهد که این بدافزار در حال توسعه بوده و هنوز در حال آزمایش است. برای راهاندازی حملات منع سرویس توزیعشده، این بدافزار هم یک هدف و هم یک روش حمله را از سرور فرمان و کنترل بازیابی میکند. روشهای پشتیبانیشده برای انجام این حملات، شامل دو روش TCPFlood implementation (یکی با raw socket)، دو روش UDPFlood implementation (یکی با raw socket) و حملات IPSpoof ،SYNACK ، SYN و ACK هستند.