محققان همچنین یک بات نت مبتنی بر Mirai را با نام Zhtrap شناسایی کردهاند که از سیستمهای هانیپات برای به دام انداختن قربانیان بیشتر استفاده میکند. این بدافزار جدید همچنین قابلیتهایی از جمله قابلیتهای باتنت Matryosh را دارا است. در حالیکه از سیستمهای هانیپات برای به دام انداختن مهاجمان و کشف شیوههای حملات آنها استفاده میشود، باتنت ZHtrap از تکنیک مشابهی استفاده کرده و از یک ماژول اسکن آدرس IP برای شناسایی آدرسهای IP اهداف خود بهره میبرد. در ادامه نیز سیستمهای شناساییشده را هدف حمله قرار میدهد.
این باتنت بر روی ۲۳ پورت به ارتباطات گوش داده و آدرسهای IP سیستمهایی که به این پورتها متصل میشوند را جمعآوری کرده و در ادامه بار داده را با بهرهبرداری از ۴ آسیبپذیری زیر، به این سیستمها تزریق میکند.
- آسیبپذیری اجرای کد از راه دور بدون نیاز به احراز هویت در MVPower DVR Shell
- آسیبپذیری اجرای کد از راه دور بدون نیاز به احراز هویت در Netgear DGN1000 Setup.cgi
- چندین آسیبپذیری اجرای کد از راه دور در محصولات CCTV DVR
- آسیبپذیری اجرای دستور در Realtek SDK miniigd SOAP (شناسهی CVE-2014-8361)
بهطور کلی این بدافزار بر روی سیستمی که آلوده کرده یک سیستم هانیپات نصب کرده و اهداف بعدی خود را برای گسترش هرچه بیشتر و بزرگتر کردن باتنت از این طریق شناسایی میکند. این شیوهی جالب، کاربردی و جدیدی برای گسترش یک باتنت است. بدافزار پس از آلوده کردن سیستم از قابلیت ارتباطات Tor که از بات نت Matryosh وام گرفته است، برای ارتباط با سرور دستور و کنترل برای دریافت و دانلود بدافزارهای دیگر استفاده میکند. از زمانیکه کد باتنت Mirai از سال ۲۰۱۶ میلادی بهطور متنباز منتشر شد، شاهد پیشرفت و خلاقیت مهاجمان سایبری در توسعه و راهاندازی باتنتهای جدید بودهایم. باتنت ZHtrap از جدیدترین این باتنتها است. شماتیکی از ماژولها و کارکرد این باتنت در شکلهای زیر نشان داده شده است.