به تازگی نوع جدیدی از باتنت Mirai کشف شده است که از شبکه Tor برای جلوگیری از توقیف یا تصرف سرور فرمان و کنترل استفاده میکند. Mirai یک باتنت اینترنت اشیاء (IoT) است که در گذشته در حملات انکار سرویس توزیع شده (DDoS) علیه وب سایتهای برجسته مورد استفاده قرار گرفته است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، این باتنت تلاش میکند تا دستگاههای IoT از جمله مسیریابها، دوربینهای مداربسته، لوازم خانگی هوشمند و وسایل نقلیه را از طریق حملات جستجو فراگیر (brute-force) و استفاده از اطلاعات احرازهویت پیش فرض، تحت تصرف خود درآورد.
پس از استفاده از باتنت Mirai برای حمله به یکی از سایتهای شناخته شده، کد منبع آن به صورت عمومی منتشر شد تا سایر عوامل مخرب نیز بتوانند آن را توسعه دهند و نسخههای مربوط به خود را ایجاد کنند. نسخههای تکامل یافته Mirai شامل موارد Okiru، Satori، Masuta، PureMasuta و Miori هستند.
پژوهشگران Trend Micro اخیرا نسخه جدیدی از این باتنت را کشف کردهاند که دارای كاركردهای مشابه سایر نمونهها است. این موارد شامل دسترسی و کنترل از راه دور از طریق پورتهای آسیبپذیر، باز و دارای اطلاعات احرازهویت پیشفرض و همچنین امکان انجام حملات DDoS و سیل UDP میباشند. آخرین نمونه Mirai روی پورتهای 9527 و 34567 TCP تمرکز دارد که میتواند نشان دهنده تمایل برای تصاحب دوربینهای IP و DVRها باشد. نکته جالب در مورد این نمونه، مخفی شدن سرورهای فرمان و کنترل (C&C) آن در آدرسهای onion و شبکه Tor است. در نمونههای مختلف Mirai معمولا از یک الی چهار سرور C&C استفاده میشود، اما در این نمونه 30 آدرس IP وجود دارد. همچنین در این نمونه از پراکسیهای Socks5 برای ارتباط با سرورها در شبکه Tor استفاده شده است. در صورتیکه یک ارتباط ناموفق باشد، باتنت از سرور دیگری از لیست خود استفاده میکند.
این باتنت اولین بدافزاری نیست که برای مخفی کردن خود از شبکه Tor استفاده میکند، اما میتواند الگوی مناسبی برای تکامل سایر بدافزارهای IoT باشد.
نشانههای آلودگی (IoC):
هشها:
• bc56b7aa78b71a3d0bcf5fa14eeeb87eea42b52988b13bee8d3a27baa3370a3a
• eeae01f4717f4d6248ee9e9e6d53d841c648e35259716dfe74cac630e15f1811
• 4d46ad4602b486ff7146a14165948f46a70bf41323e6bb619cc2ff08ad02f2ee
• 7d2f5f5efb4aa8e5dca543734829ac4eb9d89885d7e60aed6af4d35508ded21c
URLها:
• nd3rwzslqhxibkl7[.]onion:1356
• hxxp://185[.]100[.]84[.]187/t/
• hxxp://89[.]248[.]174[.]198/main/
منابع: