دستگاه‌های اینترنت اشیاء، هدف جدید درب پشتی Mirai

محققان حوزه اینترنت اشیاء به تازگی خبر از کشف یک درب پشتی تروجانِ لینوکس می‌دهند که به ابزارهای اینترنت اشیاء نفوذ می‌کند. بررسی‌ها در خصوص این تروجان حاکی از این است که شناسایی این تروجان کار مشکلی است و حتی سامانه‌های دارای ساختار x۸۶ نیز این مشکل را دارند.

یافته‌ها نشان می‌دهد که این تروجان به دلیل وجود نمونه‌های بسیار کم برای تحلیل و بررسی بیشتر توسط کارشناسان، باعث بروز مشکلاتی شده است. این تروجان معمولاً به مسیریاب‌ها، دستگاه‌های دیجیتال ضبط فیلم، دوربین‌های WebIP و دیگر ابزارهای لینوکسی حمله می‌کند و همین مسئله باعث شده است که نمونه‌های موجود برای بررسی و تحلیل کم باشد. علاوه بر این، این بدافزار قادر است با حذف خود از دستگاه‌های آلوده‌شده، فرآیند شناسایی و تحلیل را با مشکل مواجه کند.

این تروجان که Mirai نام‌گذاری شده است، با استفاده از SSH سامانه لینوکس و یا حساب‌های Telnet، اقدام به آلوده کردن دستگاه‌ها می‌کند. دلیل استفاده این تروجان از حساب‌های Telnet، این است که برخی از این حساب‌ها کلمه عبور پیش‌فرض را دارند. نفوذگر استفاده‌کننده از این تروجان پس از دسترسی شِل، اقدام به بارگیری و اجرای بدافزار می‌نماید. در طول فرآیند اجرا نیز بدافزار با بازکردن پرونده‌ای با نام /etc/watchdog در حالت خواندن-نوشتن، دایرکتوری کار را تبدیل به دایرکتوری روت می‌کند.

درب پشتی طراحی‌شده در این فرآیند با استفاده از سوکت PF_INET ، درگاه UDP/۵۳ را باز می‌کند و به کارگزار DNS با نشانی ۸.۸.۸.۸ وارد می‌شود و در این بخش یک اتصال ایجاد می‌کند. علاوه بر این، نفوذگر با شناسایی واسط خارجی، یک درگاهTCP تصادفی را با استفاده مجدد از سوکت PF_INET باز می‌کند. در صورتی که فرآیند موفقیت‌آمیز باشد، بدافزار خود اقدام به بستن این سوکت می‌کند.

محققان طی تحلیل این بدافزار، مشاهده کردند که این بدافزار به منظور تعویق شناسایی، فعالیت خود را با کمی تأخیر شروع می‌کند. این بدافزار بلافاصله بعد از آلوده‌سازی دستگاه، برای مدتی غیرفعال باقی می‌ماند. شایان‌ذکر است که در این مدت نیز بررسی‌هایی را در مورد استفاده قرار گرفتن درگاه انجام می‌دهد. در هنگام فرآیند مخرب نیز درب پشتی خود را از دستگاه آلوده‌شده حذف می‌کند. در عین حال، فرآیند شبکه‌ای ادامه دارد و بدافزار با باز کردن سوکت PF_INET برای TCP، ارتباطات رخ‌داده را شنود می‌کند. در این شرایط، فرآیند اصلی در جریان است اما پس از مدتی تبدیل به چند شناسه فرآیند می‌شود. در برخی موارد، این اتفاق رخ نمی‌دهد و به همین دلیل سامانه آلوده نخواهد شد. در دستگاه‌هایی که چندین شناسه فرآیند تولید می‌شود، نفوذگر اقدام به صدور دستورهای مخرب می‌کند.

محققان در بخش دیگری از تحقیقات خود دریافتند که درب پشتی با استفاده از یک تابع پویش telnet، مسیرهای دیگر را پیدا کرده و از این طریق اقدام به آلودگی بیشتر می‌کنند.

این تروجان همچنین با استفاده از نام کاربری و کلمه‌های عبور دارای هاردکد شده، اقدام به انجام حملات جستجوی فراگیر علیه دستگاه‌ها می‌کند و هنگامی که به دسترسی شِل می‌رسد، یک دستور یک‌خطی پوسته را صادر می‌کند و بدافزار را نصب می‌کند. این دستور به بدافزار آموزش می‌دهد که خود را پس از آلودگی پاک کند. محققان در این خصوص معتقدند که این ویژگی باعث شده است که ردیابی و پیدا کردن تروجان Mirai امری سخت باشد.

شرکت MalwareMustDie! نیز با بررسی‌هایی در این خصوص اعلام کرد که درب پشتی مورد استفاده در این فرآیند، نسل بعدی بات‌نت‌ّهای BASHLITE است که جدیداً در میلیون‌ها دستگاه اینترنت اشیاء آلوده‌شده مشاهده شده است. تروجان Mirai به منظور پویش خدمات Telnet طراحی شده است که روی دستگاه‌هایی مانند دستگاه‌های ضبط فیلم، دوربین‌های WebIP در دستگاه‌های Busybox، دیگر انواع دستگاه‌های Busybox دارای جعبه‌های اینترنت اشیاء لینوکس و کارگزارهای لینوکس مشاهده می‌شود. این تروجان این دستگاه‌ها را طی اقدامات خود تبدیل به بات‌نت می‌کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.