هشدارهای افتایی
یک گروه مجرم سایبری در حال بهره‌برداری از سرورهای لینوکسی است که در حال اجرای برنامه‌های آسیب‌پذیر Webmin هستند. این سرورها در شبکه بات‌نتی که با نام Roboto ردیابی می‌شود، مورد سوء استفاده قرار گرفته‌اند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بات‌نت Roboto برای اولین بار در تابستان مشاهده شد. این بات‌نت با یک نقص امنیتی بزرگ در یک برنامه وب نصب شده در بیش از 215 هزار سرور ارتباط دارد که زمینه مناسبی برای ساخت یک بات‌نت بزرگ بشمار می‌رود.
در ماه آگوست، تیم توسعه‌دهنده ابزار Webmin، یک برنامه مدیریت از راه دور مبتنی بر وب در سیستم‌های لینوکسی، یک آسیب‌پذیری را اصلاح و اطلاع‌رسانی کرد که به مهاجمین اجازه اجرای کد مخرب با سطح دسترسی روت و تحت کنترل درآوردن نسخه‌های قدیمی Webmin را فراهم می‌کرد. به دلیل قابلیت بهره‌برداری آسان از نقص امنیتی Webmin و وجود تعداد بیشماری از سیستم‌های آسیب‌پذیر، حملات علیه این ابزار بلافاصله پس از افشای این آسیب‌پذیری آغاز شد.
در گزارش منتشر شده توسط تیم Netlab، حملات اخیر بات‌نت جدیدی با نام Roboto مورد بررسی قرار گرفته است. این بات‌نت در سه ماه گذشته سرورهای Webmin را مورد هدف قرار داده است. با توجه به تحقیقات انجام شده، به نظر می‎رسد که تمرکز اصلی بات‌نت بر روی گسترش آن، هم از نظر اندازه و هم از نظر پیچیدگی کد آن است.
در حال حاضر به نظر می‌رسد ویژگی اصلی بات‌نت قابلیت انجام حملات DDoS باشد. از طرف دیگر، در حالی که قابلیت DDoS در کد بات‌نت وجود دارد، اما تیم Netlab گفته که این بات‌نت تاکنون هیچ حمله DDoS را انجام نداده است و این‌طور به نظر می‌رسد که اپراتورهای بات‌نت در ماه‌های گذشته در رشد اندازه بات‌نت متمرکز شده‌اند.
به گزارش Netlab، این بات‌نت می‌تواند از طریق بردارهایی مانند ICMP ، HTTP ، TCP و UDP حملات DDoS انجام دهد. علاوه بر حملات DDoS، بات‌نت Roboto که در سیستم‌های هک شده لینوکس از طریق نقص موجود در Webmin نصب شده است، می‌تواند فعالیت‌های زیر را نیز انجام دهد:
•    به عنوان یک shell معکوس عمل کرده و به مهاجم اجازه دهد تا دستورات shell را روی سرور آلوده اجرا کند،
•    جمع‌آوری اطلاعات شبکه، فرایندهای پردازشی و سیستم از سرور آلوده،
•    بارگذاری داده‌های جمع‌آوری شده در یک سرور از راه دور،
•    اجرای دستور در سیستم لینوکس،
•    اجرای یک فایل دریافت شده از یک URL از راه دور،
•    حذف خود بدافزار از سیستم.
بسیاری از بات‌نت‌های اینترنت اشیا (IoT) و DDoS، ویژگی‌های فوق را دارا هستند و ویژگی خاصی در موارد فوق وجود ندارد. موردی که بات‌نت Roboto را از سایر بات‌نت‌ها متمایز می‌کند ساختار داخلی آن است. بات‌نت Roboto در یک شبکه P2P ساختار یافته است و به جای اتصال هر بات به سرور فرمان و کنترل (C&C)، هر بات فرمان‌هایی که از سرور مرکزی دریافت کند را به سایر بات‌ها ارسال می‌کند. در این ساختار برخی از بات‌ها دارای وظیفه گسترش شبکه بات‌نت و شناسایی سیستم‌های Webmin مخرب دیگر هستند.
کاربران Webmin می‌توانند با بررسی فرایندهای پردازشی و شبکه UDP آلودگی سیستم خود را بررسی کنند. همچنین توصیه می‌شود تا علاوه بر رفع آسیب‌پذیری Webmin با اعمال وصله‌های ارائه شده، دامنه‌ها و IPهای مرتبط با بات‌نت Roboto مورد نظارت قرار گیرند و مسدود شوند.
نشانه‌های آلودگی (IoC):
هش‌:
•    4b98096736e94693e2dc5a1361e1a720
•    4cd7bcd0960a69500aa80f32762d72bc
•    d88c737b46f1dcb981b4bb06a3caf4d7
•    de14c4345354720effd0710c099068e7 - image.jpg
•    69e1cccaa072aedc6a9fd9739e2cdf90 - image2.jpg
•    f47593cceec08751edbc0e9c56cad6ee - roboto.ttc
•    3020c2a8351c35530ab698e298a5735c - roboto.ttf
URL:
•    http[:]//190.114.240.194/boot
•    http[:]//citilink.dev6.ru/css/roboto.ttc
•    http[:]//citilink.dev6.ru/css/roboto.ttf
•    http[:]//144.76.139.83:80/community/uploadxx/1461C493-38BF-4E72-B118-BE35839A8914/image.jpg
•    http[:]//144.76.139.83:80/community/uploadxx/1461C493-38BF-4E72-B118-BE35839A8914/image2.jpg
IP:
•    95[.]216[.]17[.]209 
•    213[.]159[.]27[.]5
•    186[.]46[.]45[.]252
•    120[.]150[.]43[.]45
•    66[.]113[.]179[.]13

منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.