یک هکر کد منبع بدافزار Mirai را منتشر کرد. بدافزاری که برای شکستن رکورد حمله DDoS علیه وبگاه برایان کربس طراحی شده است. اما…
چند هفته پیش هکرهای ناشناخته حمله عظیم منع سرویس توزیعشده (DDoS) علیه وبگاه محقق امنیت سایبری برایان کربس را راهاندازی کردند.
تحقیقات بیشتر نشان داد که یک باتنت قدرتمند متشکل از ۱ میلیون وسیلهی اینترنت اشیاء برای راهاندازی یک حمله DDoS استفاده شده است. این دستگاهها توسط بدافزاری آلوده شدند که اکنون در سرفصل خبرها قرار دارد چرا که کد آن برای عموم فاش شده است.
ارجاع به کد مخرب توسط برایان کربس در انجمن هکرها بررسی و ارائه شده است. کاربر Hackforum با نام «آنا-سنپای۱» پیوند مربوط به کد منبع بدافزار Mirai را به اشتراک گذاشته است.
کربس گزارش داده است: «نشت کد منبع جمعه در انجمن هک انگلیسی زبان Hackforums اعلام شد. این بدافزار با نام Mirai در دستگاههای آسیبپذیر اینترنت اشیاء که توسط گذرواژهها و نام کاربری پیشفرض کارخانه حفاظت میشدند، گسترش مییابد.»
بدافزار Mirai بهطور خاص برای آلوده کردن وسایل اینترنت اشیاء با استفاده از تنظیمات اعتبارنامه کارخانه طراحی شده است. این شرایطی است که در دنیا بسیار رایج است.
اولین تحقیق که تجزیه و تحلیل دقیق بدافزار Mirai را منتشر کرده مربوط به گروه MalwareMustDie است.
ELF Linux/Mirai بسیار موذی است بهطوری که زمانی که تیم MalwareMustDie آن را کشف کرد بسیاری از ضدویروسها قادر به تشخیص این تهدید نبودند.
تجزیه و تحلیل انجامشده در وبلاگ MalwareMustDie بیان میکند: «دلیل عدمتشخیص، نبود ِ نمونه بود که به سختی میتوان از دستگاههای آلودهی اینترنت اشیاء، مسیریابها، برندهای معروف DVR، دوربین وب آیپی، لینوکس با BusyBox باینری تعبیهشده در بسترهای مختلف بدست آورد و فهمید که هدف این تهدید چیست.»
آخرین ELF بررسیشده توسط این وبگاه تروجان لینوکسی Linux.PNScan است که بهطور فعال، مسیریابهای دارای معماری x۸۶ لینوکس را برای نصب درب ِ پشتی هدف قرار داده بود.
اما MalwareMustDie می گوید که Linux/Mirai بسیار بزرگتر از PnScan است.
MalwareMustDie ادامه میدهد: «این تهدید کمپین خود را از اوایل آگوست شروع کرده است در حالیکه این ELF به آسانی قابل تشخیص نبود چرا که فعالیت این تهدید اندکی پس از نصب نشان داده میشود. این تهدید در طول این بازه زمانی یکجا باقی مانده در حالیکه هیچ بدافزار دیگری در سامانه وجود ندارد. همهی آنها تشخیص داده شدهاند به جز بدافزاری که فرآیند آن با تاخیر در حال اجرا شدن است.»
دلیل اینکه بسیاری از افراد این بدافزار را تشخیص نمیدهند این است که ضدویروس فکر میکند این بدافزار نسخهی متنوع دیگری از Gafgyt ،Bashlite یا Bashdoor و یا چیزی مثل LizKebab/Torlus/Gafgyt/Qbots است. پس داشتن نمونهی واقعی از این بدافزار دشوار است و تحلیلگران بدافزار باید برای گرفتن این نمونهها از حافظه بر روی دستگاههای آلوده استفاده کنند و یا شاید CNC را هک کنند.
این بدین معنی است که تجزیه و تحلیل اینچنینی در حوزهی جرمشناسی میتواند مشکل باشد اگر دستگاه آلوده خاموش شده باشد چرا که تمام اطلاعات از دست خواهد رفت و این امر نیاز به شروع مجدد فرآیند آلودگی دارد.
اجازه دهید به اصل ماجرا برگردیم و آگهی ارائه شده توسط «آنا سپنای» را بخوانیم.
«زمانی که من وارد عرصه و صنعت حملات منع سرویس توزیعشده شدم، قصد نداشتم که برای مدت طولانی در این حوزه بمانم. من پول خود را بدست آورده بودم و میدیدم که تمام توجهها به اینترنت اشیاء متمرکز شده است پس تصمیم گرفتم آن را هدف قرار دهم. و اینک یک نسخهی شگفتانگیز برای شما دارم. من از طریق بدافزار Mirai نزدیک به ۳۸۰ کیلو بات تنها از طریق پروتکل telnet ایجاد میکنم. با این حال پس از حملهی منع سرویس توزیعشده علیه وبگاه کربس، ISP ها به آرامی از کار خواهند افتاد. امروزه حداکثر کشش در حد ۳۰۰ کیلو بات است.»
در حالی که بسیاری از کارشناسان در حال بررسی دلیل انتشار برخط بدافزار Mirai توسط هکرها هستند، کارشناسان حرفهای در صحت آن شک و تردید دارند.
برخی معتقدند که دلیل این گسترش این بوده تا محققان به سختی بتوانند آخرین نسخه و رشتهی مربوط به این بدافزار را تشخیص دهند.
کربس نوشت: «بسیاری از عوامل نویسندهی بدافزار زمانی که مراجع قانونی و شرکتهای امنیتی به دنبال بررسی بدافزار هستند تا منشأ آن را پیدا کنند، کد منبع بدافزار خود را بهطور عمومی منتشر میکنند. گسترش عمومی کد بدافزار باعث میشود تا نویسندهی بدافزار تنها منشأ پردازش این بدافزار نباشد زمانی که مراجع قانونی در حال جستجو و تحت پیگرد قرار دادن عوامل هستند.»
محققان MalwareMustDie میگویند: «زمانی که اولین بار بدافزار Mirai منتشر شد در صدر خبرها قرار داشت و هماکنون اکثر افراد میدانند که کد منبع این بدافزار منتشر شده است. در این مرحله این کد هنوز کاری انجام نداده است. این کد در اصل توسط یک بخش ثالث کد زده شده و برای سرویسها و تغییرات گوناگون مورد استفاده قرار میگیرد.
به گمان ما این یک نسخهی اصلی نیست ولی یک نسخهی تغییر داده شده و جزئی است که این بدافزار را نشت میدهد. این بدافزار خیرخواهانه به اشتراک گذاشته نشده است. اگر یک هکر کلاه سیاه کدی در چنین سطح را افشاء کند، تجربه ثابت کرده که حتماً یک چیزی پشت آن درست نیست. او میخواست تا ما باور کنیم که این کد اصلی و درست است ولی من از شما یک سوال میپرسم: شما چگونه به یک عامل مهاجم اعتماد میکنید؟»
بیانیهی بالا این حس را ایجاد میکند که در این انجمن کد بدافزار که منتشر شده را ببینیم. یک آزمون ساختگی که با دستورات نشت پیدا کرده توسط عامل شرور با موفقیت انجام شده باشد، به سختی پیدا میشود.
بنابراین از MalwareMustDie سوال شد که هدف از افشاء چیزی که موقع اجرا حتی به درستی کار نمیکند چیست؟ پاسخ به این شکل بود:
«بله! کد به بیرون درز کرده تا حدودی شبیه به قابلیتهای Mirai است اما آیا این همهی کد است؟ من به این موضوع مشکوکم و فکر نمیکنم اینطور باشد… چه کسی به گفتههای یک عامل حمله و مخرب اعتماد میکند؟ من از این عامل میخواهم قبل از هرگونه اطلاعیهی اضافی، خود را به مراجع قانونی تسلیم نماید.»
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.