مهاجرت بدافزار Mirai به سمت دامنه‌های Tor برای افزایش گمنامی

بات‌نت Mirai که در حملات منع سرویس توزیع‌شده استفاده می‌شود، دستگاه‌های اینترنت اشیاء را هدف قرار داده است. این بدافزار اینک پس از استفاده‌ی کوتاه از الگوریتم تولید دامنه‌ی۱ (DGA) خود، برای افزایش انعطاف‌پذیری به سمت دامنه‌های Onion. روی آورده است.

قابلیت DGA بدافزار Mirai تقریباً یک هفته پیش مشخص شد ولی محققان امنیتی می‌گویند بدافزار از این الگوریتم برای بازه‌ی زمانی کوتاهی استفاده کرده است. ویژگی‌های DGA در بات‌نت شماره ۱۴ Mirai وجود داشت و گزارش‌ها حاکی از آن است که تا اواخر ماه نوامبر نزدیک به ۳ میلیون دستگاه را آلوده کرد.

در اواخر ماه نوامبر این بدافزار تلاش کرد ۹۰۰ هزار مسیریاب آلمانی مربوط به شرکت Telekom را از طریق درگاه ۷۵۴۷ آلوده کند. چند روز بعد نیز حمله‌ی بدافزاری دیگری، کاربران TalkTalk و شرکت پست انگلستان را هدف قرار داد. در این حملات از آسیب‌پذیری استاندارد TR-۰۶۴ بهره‌برداری شده بود. از طریق این حمله، مهاجم علاوه بر افزودن مسیریاب به بات‌ت خود، می‌توانست کلیدهای شبکه‌ی وای‌فای را نیز به سرقت ببرد.

محققان چینی از شرکت Qihoo ۳۶۰ که موفق شدند الگوریتم تولید دامنه‌ی Mirai را کرک کنند، هفته‌ی گذشته گزارش دادند که در نمونه‌های بدافزار Mirai مشاهده شد که در این الگوریتم از ۳ دامنه‌ی سطح بالای (TLD) مختلف استفاده شده بود.
در یک پست جدید، محققان امنیتی اعلام کردند که در نمونه‌های جدید بدافزار، مقدار اولیه‌ی۲ قبلی حذف شده و مقدار جدیدی استفاده می‌شود. بنابراین دامنه‌های جدید Mirai با الگوریتم تولید دامنه مطابقت دارند ولی با مقدار اولیه‌ی قبلی که شناسایی شده بود، ایجاد نشده‌اند.

گفته می‌شود این دامنه‌های جدید متعلق به نسخه‌ی جدیدی از بدافزار Mirai هستند چرا که دامنه‌های لایه ۲ همان طول ۱۲ نویسه‌ را دارند، نویسه‌های a-y و تمامی TLD ها برای این دامنه‌ها برای .online ثابت شده است، TLD که در نمونه‌های قبلی نیز مشاهده شده بود. عملکرد جدیدی که وجود دارد این است که بات‌نت بر روی زمان ایجاد دامنه‌ها نظارت زیادی دارد تا مطمئن شود، پنجره‌ی زمانی هم‌پوشانی دامنه‌ها بسیار کوتاه باشد.

محققان موفق شدند بر روی DGA جدید نیز حمله‌ی جستجوی فراگیر انجام دهند. در ادامه نیز محققان توانستند فهرستی از دامنه‌ها را ارائه کنند. بات‌نت Miria قرار بود از این دامنه‌ها در نمونه‌های خود تا پایان سال استفاده کند. با این حال محققان اشاره کردند، حداقل یکی از دامنه‌های تولیدشده نیز هنوز ثبت نشده است.

در انجمن BleepingComputer چیزی که اتفاق افتاده به روشنی توضیح داده شده است: بدافزار Mirai در حال حرکت به سمت دامنه‌های Tor است چرا که از کار انداختن این دامنه‌ها بسیار دشوار است. این اطلاعات از فردی که مدیریت بات‌نت شماره ۱۴ Mirai را برعهده داشت بدست آمده است.

این نفوذگر تأیید کرد که از قابلیت DGA تا اوایل ماه دسامبر و برای مدت زمان کوتاهی استفاده می‌شد و در حال حاضر این قابلیت حذف شده است. در الگوریتم تولید دامنه از هیچ ویژگی احراز هویتی استفاده نمی‌شد و برای این تصمیم گرفته شد با گزینه‌ی بهتری همچون Tor جایگزین شود.

امروزه بسیاری از مهاجمان در فضای مجازی برای اهداف مخرب خود از شبکه‌های Tor استفاده می‌کنند چرا که گمنامی آن‌ها را افزایش داده و امکان کشف و از کار انداختن کارگزارها تحت این شبکه‌ی مخفی بسیار مشکل است. بات‌نت Mirai نیز اولین بات‌نتی نیست که برای ارتباطات خود از Tor استفاده می‌کند. سال‌هاست که بات‌نت‌های دیگر نیز از Tor سوءاستفاده می‌کنند.

۱. Domain Generation Algorithm
۲. seed

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.