مالکان دستگاه‌های IoT با بدافزار جدیدی به نام IRCTelnet دست و پنجه نرم‌ می‌کنند

۹خانواده‌ی نرم‌افزارهای مخرب نوشته‌شده توسط فردی که به نظر می‌رسد یک رمزنگار با تجربه باشد، دستگاه‌های IoT مبتنی بر لینوکس را هدف حمله قرار داده است؛ این خانواده‌ی بدافزاری سعی دارد این دستگاه‌ها را به بات‌نتی اضافه کند و حملات انسداد سرویس توزیع‌شده را به جریان بندازد.
این خانواده‌ی جدید که توسط محقق امنیتی MalwareMustDie کشف شده، Linux/IRCTelnet نام دارد و به زبان C++ نوشته شده است.
محقق کاشف این خانواده‌ی بدافزاری می‌گوید که نرم‌افزار مخرب با آلوده‌سازی دستگاه‌های تحت لینوکسی کار می‌کند که پورت‌های تل‌نت آ‌ن‌ها در معرض اینترنت قرار دارند و از گذرواژه‌های ضعیفی استفاده می‌نمایند.

IRCTelnet از سایر بدافزارهای حوزه‌ی اینترنت اشیاء قرض می‌گیرد
IRCTelnet پورت‌های تل‌نت یک دستگاه را مورد حملات جست‌وجوی فراگیر قرار می‌دهد، سامانه‌ی عامل تجهیزات را آلوده می‌سازد، و آن تجهیزات را به بات‌نتی اضافه می‌کند که از طریق IRC کنترل می‌شود. این بدان معناست که هر ربات آلوده‌ای به یک کانال IRC وصل می‌شود، و دستورات ارسالی در چت‌روم اصلی را می‌خواند.
این مفهوم دور از ذهن نیست، بسیاری از بدافزارهای اینترنت اشیاء، لینوکس و ویندوز هم به همین منوال عمل می‌کنند.
MalwareMustDie می‌گوید IRCTelnet از سایر نرم‌افزارهای مخرب بسیار الهام گرفته است. مفهوم به‌کارگیری از IRC برای مدیریت ربات‌ها به وضوح از Kaiten قرض گرفته شده است؛ Kaiten بدافزاری است که بیشترین موفقیت را با این شیوه کسب کرده است.
به‌طور مشابه، ایده‌ی پویش‌گر تل‌نت و سامانه‌ی جست‌وجوی فراگیر هم از GafGyt گرفته شده، GafGyt را شاید با اسامی Torlus، Lizkebab، Bashlite یا Bashdoor بشناسید. این در حالی است که فهرست اطلاعات محرمانه‌ی پیش‌فرض تل‌نت از بدافزار بسیار جدید Mirai گرفته شده است.

IRCTelnet از سیلاب‌های IPv۶ پشتیبانی می‌نماید
MalwareMustDie می‌گوید این بدافزار قادر است هر دستگاهی را که نسخه‌ی ۲.۶.۳۲ یا بالاتر از کرنل لینوکس را اجرا می‌کند، آلوده سازد.
این پشتیبانی برای راه‌اندازی حملات DDoS با آدرس‌های جعلی IPv۴ و IPv۶ صورت گرفته است، اما پویش‌گر تل‌نت تنها می‌تواند از طریق IPv۴ به IPها حمله نماید.
MalwareMustDie می‌گوید که مکان‌های متعددی در کد منبع این بدافزار وجود دارد که نویسندگان این کد از زبان ایتالیایی در آن استفاده کرده‌اند.

این با‌ت‌نت در حال حاضر فقط ۳۴۰۰ ربات دارد
نرخ تشخیص ویروس‌توتال برای این بدافزار در حال حاضر بسیار پایین است، به‌طوری که تعداد اندکی از شرکت‌های تولیدکننده آن را به عنوان یک بدافزار مستقل می‌شناسند و آن را دسته‌ی GafGyt قرار نمی‌دهند.
MalwareMustDie گزارش داد که پویش‌های اولیه نشان می‌دهد که این بدافزار از IPهای واقع در ترکیه، مولدووا، و فیلیپین نشأت گرفته است.
هنگامی که این محقق به کانال IRC این بات‌نت وصل شد، موفق به کشف ۳۴۰۰ ربات گردید.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter