بات‌نت Zhtrap –مبتنی بر Mirai- قربانیان جدید را از طریق سیستم هانی‌پات به تله می‌اندازد!

محققان همچنین یک بات نت مبتنی بر Mirai را با نام Zhtrap شناسایی کرده‌اند که از سیستم‌های هانی‌پات برای به دام انداختن قربانیان بیشتر استفاده می‌کند. این بدافزار جدید همچنین قابلیت‌هایی از جمله قابلیت‌های بات‌نت Matryosh را دارا است. در حالی‌که از سیستم‌های هانی‌پات برای به دام انداختن مهاجمان و کشف شیوه‌های حملات آن‌ها استفاده می‌شود، بات‌نت ZHtrap از تکنیک مشابهی استفاده کرده و از یک ماژول اسکن آدرس IP برای شناسایی آدرس‌های IP اهداف خود بهره می‌برد. در ادامه نیز سیستم‌های شناسایی‌شده را هدف حمله قرار می‌دهد.

این بات‌نت بر روی ۲۳ پورت به ارتباطات گوش داده و آدرس‌های IP سیستم‌هایی که به این پورت‌ها متصل می‌شوند را جمع‌آوری کرده و در ادامه بار داده را با بهره‌برداری از ۴ آسیب‌پذیری زیر، به این سیستم‌ها تزریق می‌کند.

  • آسیب‌پذیری اجرای کد از راه دور بدون نیاز به احراز هویت در MVPower DVR Shell
  • آسیب‌پذیری اجرای کد از راه دور بدون نیاز به احراز هویت در Netgear DGN1000 Setup.cgi
  • چندین آسیب‌پذیری اجرای کد از راه دور در محصولات CCTV DVR
  • آسیب‌پذیری اجرای دستور در Realtek SDK miniigd SOAP (شناسه‌ی CVE-2014-8361)

به‌طور کلی این بدافزار بر روی سیستمی که آلوده کرده یک سیستم هانی‌پات نصب کرده و اهداف بعدی خود را برای گسترش هرچه بیشتر و بزرگ‌تر کردن بات‌نت از این طریق شناسایی می‌کند. این شیوه‌ی جالب، کاربردی و جدیدی برای گسترش یک بات‌نت است. بدافزار پس از آلوده کردن سیستم از قابلیت ارتباطات Tor که از بات نت Matryosh وام گرفته است، برای ارتباط با سرور دستور و کنترل برای دریافت و دانلود بدافزارهای دیگر استفاده می‌کند. از زمانی‌که کد بات‌نت Mirai از سال ۲۰۱۶ میلادی به‌طور متن‌باز منتشر شد، شاهد پیشرفت و خلاقیت مهاجمان سایبری در توسعه و راه‌اندازی بات‌نت‌های جدید بوده‌ایم. بات‌نت ZHtrap از جدیدترین این بات‌نت‌ها است. شماتیکی از ماژول‌ها و کارکرد این بات‌نت در شکل‌های زیر نشان داده شده است.

پست‌های مشابه

Leave a Comment