کد منبع بات‌نت اینترنت اشیاء با نام Mirai به‌طور برخط افشاء شد! آیا به آن اعتماد می‌کنید؟

نوشته شده در تاریخ توسط

۴یک هکر کد منبع بدافزار Mirai را منتشر کرد. بدافزاری که برای شکستن رکورد حمله DDoS علیه وب‌گاه برایان کربس طراحی شده است. اما…
چند هفته پیش هکرهای ناشناخته حمله عظیم منع سرویس توزیع‌شده (DDoS) علیه وب‌گاه محقق امنیت سایبری برایان کربس را راه‌اندازی کردند.
تحقیقات بیشتر نشان داد که یک بات‌نت قدرتمند متشکل از ۱ میلیون وسیله‌ی اینترنت اشیاء برای راه‌اندازی یک حمله DDoS استفاده شده است. این دستگاه‌ها توسط بدافزاری آلوده شدند که اکنون در سرفصل خبرها قرار دارد چرا که کد آن برای عموم فاش شده است.

ارجاع به کد مخرب توسط برایان کربس در انجمن هکرها بررسی و ارائه شده است. کاربر Hackforum با نام «آنا-سنپای۱» پیوند مربوط به کد منبع بدافزار Mirai را به اشتراک گذاشته است.
کربس گزارش داده است: «نشت کد منبع جمعه در انجمن هک انگلیسی زبان Hackforums اعلام شد. این بدافزار با نام Mirai در دستگاه‌های آسیب‌پذیر اینترنت اشیاء که توسط گذرواژه‌ها و نام کاربری پیش‌فرض کارخانه حفاظت می‌شدند، گسترش می‌یابد.»

بدافزار Mirai به‌طور خاص برای آلوده کردن وسایل اینترنت اشیاء با استفاده از تنظیمات اعتبارنامه کارخانه طراحی شده است. این شرایطی است که در دنیا بسیار رایج است.
اولین تحقیق که تجزیه و تحلیل دقیق بدافزار Mirai را منتشر کرده مربوط به گروه MalwareMustDie است.

ELF Linux/Mirai بسیار موذی است به‌طوری که زمانی که تیم MalwareMustDie آن را کشف کرد بسیاری از ضدویروس‌ها قادر به تشخیص این تهدید نبودند.
تجزیه و تحلیل انجام‌شده در وبلاگ MalwareMustDie بیان می‌کند: «دلیل عدم‌تشخیص، نبود ِ نمونه بود که به سختی می‌توان از دستگاه‌های آلوده‌ی اینترنت اشیاء، مسیریاب‌ها، برندهای معروف DVR، دوربین وب آی‌پی، لینوکس با BusyBox باینری تعبیه‌شده در بسترهای مختلف بدست آورد و فهمید که هدف این تهدید چیست.»

آخرین ELF بررسی‌شده توسط این وب‌گاه تروجان لینوکسی Linux.PNScan است که به‌طور فعال، مسیریاب‌های دارای معماری x۸۶ لینوکس را برای نصب درب ِ پشتی هدف قرار داده بود.
اما MalwareMustDie می گوید که Linux/Mirai بسیار بزرگ‌تر از PnScan است.

MalwareMustDie ادامه می‌دهد: «این تهدید کمپین خود را از اوایل آگوست شروع کرده است در حالی‌که این ELF به آسانی قابل تشخیص نبود چرا که فعالیت این تهدید اندکی پس از نصب نشان داده می‌شود. این تهدید در طول این بازه زمانی یک‌جا باقی مانده در حالی‌که هیچ بدافزار دیگری در سامانه وجود ندارد. همه‌ی آن‌ها تشخیص داده شده‌اند به جز بدافزاری که فرآیند آن با تاخیر در حال اجرا شدن است.»

دلیل اینکه بسیاری از افراد این بدافزار را تشخیص نمی‌دهند این است که ضدویروس فکر می‌کند این بدافزار نسخه‌ی متنوع دیگری از Gafgyt ،Bashlite یا Bashdoor و یا چیزی مثل LizKebab/Torlus/Gafgyt/Qbots است. پس داشتن نمونه‌ی واقعی از این بدافزار دشوار است و تحلیلگران بدافزار باید برای گرفتن این نمونه‌ها از حافظه بر روی دستگاه‌های آلوده استفاده کنند و یا شاید CNC را هک کنند.

این بدین معنی است که تجزیه و تحلیل این‌چنینی در حوزه‌ی جرم‌شناسی می‌تواند مشکل باشد اگر دستگاه آلوده خاموش شده باشد چرا که تمام اطلاعات از دست خواهد رفت و این امر نیاز به شروع مجدد فرآیند آلودگی دارد.
اجازه دهید به اصل ماجرا برگردیم و آگهی ارائه شده توسط «آنا سپنای» را بخوانیم.
«زمانی که من وارد عرصه و صنعت حملات منع سرویس توزیع‌شده شدم، قصد نداشتم که برای مدت طولانی در این حوزه بمانم. من پول خود را بدست آورده بودم و می‌دیدم که تمام توجه‌ها به اینترنت اشیاء متمرکز شده است پس تصمیم گرفتم آن را هدف قرار دهم. و اینک یک نسخه‌ی شگفت‌انگیز برای شما دارم. من از طریق بدافزار Mirai نزدیک به ۳۸۰ کیلو بات تنها از طریق پروتکل telnet ایجاد می‌کنم. با این حال پس از حمله‌ی منع سرویس توزیع‌شده علیه وب‌گاه کربس، ISP ها به آرامی از کار خواهند افتاد. امروزه حداکثر کشش در حد ۳۰۰ کیلو بات است.»

در حالی که بسیاری از کارشناسان در حال بررسی دلیل انتشار برخط بدافزار Mirai توسط هکرها هستند، کارشناسان حرفه‌ای در صحت آن شک و تردید دارند.
برخی معتقدند که دلیل این گسترش این بوده تا محققان به سختی بتوانند آخرین نسخه و رشته‌ی مربوط به این بدافزار را تشخیص دهند.

کربس نوشت: «بسیاری از عوامل نویسنده‌ی بدافزار زمانی که مراجع قانونی و شرکت‌های امنیتی به دنبال بررسی بدافزار هستند تا منشأ آن را پیدا کنند، کد منبع بدافزار خود را به‌طور عمومی منتشر می‌کنند. گسترش عمومی کد بدافزار باعث می‌شود تا نویسنده‌ی بدافزار تنها منشأ پردازش این بدافزار نباشد زمانی که مراجع قانونی در حال جستجو و تحت پیگرد قرار دادن عوامل هستند.»

محققان MalwareMustDie می‌گویند: «زمانی که اولین بار بدافزار Mirai منتشر شد در صدر خبرها قرار داشت و هم‌اکنون اکثر افراد می‌دانند که کد منبع این بدافزار منتشر شده است. در این مرحله این کد هنوز کاری انجام نداده است. این کد در اصل توسط یک بخش ثالث کد زده شده و برای سرویس‌ها و تغییرات گوناگون مورد استفاده قرار می‌گیرد.
به گمان ما این یک نسخه‌ی اصلی نیست ولی یک نسخه‌ی تغییر داده شده و جزئی است که این بدافزار را نشت می‌دهد. این بدافزار خیرخواهانه به اشتراک گذاشته نشده است. اگر یک هکر کلاه سیاه کدی در چنین سطح را افشاء کند، تجربه ثابت کرده که حتماً یک چیزی پشت آن درست نیست. او می‌خواست تا ما باور کنیم که این کد اصلی و درست است ولی من از شما یک سوال می‌پرسم: شما چگونه به یک عامل مهاجم اعتماد می‌کنید؟»

بیانیه‌ی بالا این حس را ایجاد می‌کند که در این انجمن کد بدافزار که منتشر شده را ببینیم. یک آزمون ساختگی که با دستورات نشت پیدا کرده توسط عامل شرور با موفقیت انجام شده باشد، به سختی پیدا می‌شود.
بنابراین از MalwareMustDie سوال شد که هدف از افشاء چیزی که موقع اجرا حتی به درستی کار نمی‌کند چیست؟ پاسخ به این شکل بود:
«بله! کد به بیرون درز کرده تا حدودی شبیه به قابلیت‌های Mirai است اما آیا این همه‌ی کد است؟ من به این موضوع مشکوکم و فکر نمی‌کنم این‌طور باشد… چه کسی به گفته‌های یک عامل حمله و مخرب اعتماد می‌کند؟ من از این عامل می‌خواهم قبل از هرگونه اطلاعیه‌ی اضافی، خود را به مراجع قانونی تسلیم نماید.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.