حمله‌ی جستجوی فراگیر مبتنی‌بر SSH به لینوکس و دستگاه‌های اینترنت اشیا توسط بات‌نت جدید Kaiji

به گزارش محققان امنیتی، یک بات‌نت جدید که با زبان برنامه‌نویسی Golang توسعه یافته است، سیستم‌های لینوکس، از جمله دستگاه‌های اینترنت اشیا را با استفاده از یک custom implant هدف قرار می‌دهد. این بات‌نت که Kaiji نام گرفته است، در اصل چینی است، منحصراً از طریق حملات جستجوی فراگیر مبتنی‌بر SSH گسترش یافته و تنها کاربر ریشه را هدف قرار می‌دهد. گفته می‌شود، این بدافزار برای ایجاد بسته‌های سفارشی شبکه و فعالیت بدون مانع، به دسترسی ریشه نیاز دارد.

به گفته‌ی محققان امنیتی، بات‌نتKaiji  برای راه‌اندازی حملات منع سرویس توزیع‌شده، از جمله حملات ipspoof و synack، طراحی شده است، اما شامل یک ماژول جستجوی فراگیر مبتنی‌بر SSH برای توزیع و توزیع‌کننده‌ی SSH دوم برای سرقت کلیدهای محلی SSH و آلوده‌کردن میزبان‌هایی که سرور در گذشته به آن‌ها متصل شده بود، نیز می‌باشد.

پس از اجرای برنامه، این بدافزار خود را در مسیر /tmp/Seeintlog کپی کرده و نمونه‌ی دوم را برای شروع عملیات مخرب راه‌اندازی می‌کند. هر یک از این عملیات‌ها در goroutine (واحد اجرایی مستقل در زبان Go) خود اجرا شده و محققان امنیتی در مجموع ۱۳ واحد اجرایی مستقل مرکزی را شناسایی کرده‌اند.

عملیات‌های پشتیبانی‌شده شامل اتصال به یک سرور فرمان و کنترل، دریافت فرمان‌ها از این سرور (دستورالعمل‌های منع سرویس توزیع‌شده و جستجوی فراگیر مبتنی‌بر SSH، اجرای فرمان shell و یا حذف خود)، اتصال به میزبان‌های شناخته‌شده، تداوم در نصب، بررسی استفاده از CPU یا کپی‌کردن بدافزار rootkit در مسیر /etc/32679 و اجرای آن در هر ۳۰ ثانیه، است.

محققان امنیتی دریافتند که بدافزار rootkit تمایل دارد بارها خود را فراخوانی کرده و حافظه‌ی دستگاه را مصرف کند. به گفته‌ی محققان، این واقعیت که سرور فرمان و کنترل برای مدت زمان کوتاهی عملیاتی شده است، نشان می‌دهد که این بدافزار در حال توسعه بوده و هنوز در حال آزمایش است. برای راه‌اندازی حملات منع سرویس توزیع‌شده، این بدافزار هم یک هدف و هم یک روش حمله را از سرور فرمان و کنترل بازیابی می‌کند. روش‌های پشتیبانی‌شده برای انجام این حملات، شامل دو روش TCPFlood implementation (یکی با raw socket)، دو روش UDPFlood implementation (یکی با raw socket) و حملات IPSpoof ،SYNACK ، SYN و ACK هستند.

منبع

پست‌های مشابه

Leave a Comment