کِرم Hajime، تهدیدی جدید برای دستگاه‌های IoT

۷محققان امنیتی کِرم جدیدی با نام Hajime را کشف کردند که دستگاه‌های IoT را هدف قرار داده و رفتاری مشترک با بدافزار Mirai دارد ولی می‌توان گفت این بدافزار چیزی پیچیده‌تر از بدافزار قبلی است.
Mirai یک کلمه‌ی ژاپنی به معنی «آینده» است و این نسخه‌ی جدید نیز Hajime نام گرفته که این کلمه نیز ژاپنی بوده و معنی آن «شروع» است.

محققان در حالی‌که در جستجوی Mirai بودند، Hajime را کشف کرده‌اند
در گزارش فنی که آخرهفته‌ی گذشته در مورد جزئیات فعالت Hajime منتشر شد، محققان گفتند بعد از اینکه متوجه شدند نویسنده‌ی این بدافزار کد منبع آن را برخط منتشر کرده، شروع به بررسی Mirai کردند. محققان Mirai را مورد مطالعه قرار دادند تا متوجه شوند چگونه می‌توانند به فعالیت سایر نفوذگران که اینک به کد منبع آن دسترسی دارند، خاتمه دهند.
بعد از انتشار کد منبع Mirai محققان انتظار داشتند اطلاعات زیادی بتوانند از این طریق جمع‌آوری کنند و به همین منظور کارگزارهای تله عسل زیادی را در سطح دنیا ایجاد کردند.

در ۵ اکتبر، تنها ۳ روز پس از انتشار برخط کد منبع، محققان در حال بررسی نوع آلودگی سامانه به Mirai بودند که موجودیت جدیدی را کشف کردند.
این نحوه‌ی کشف کِرم Hajime بود، کِرمی که دستگاه‌های IoT را هدف قرار داده که با وجود شباهت‌های رفتاری که با Mirai دارد، موجودیت جدید و پیچیده‌تری است.

بدافزار Hajime با حملات جستجوی فراگیر گسترش می‌یابد
محققان می‌گویند که Hajime از سازوکار ۳ مرحله‌ای برای آلوده کردن سامانه استفاده می‌کند و ویژگی خود-انتشاری دارد. مرحله‌ی صفرم از ماشین آلوده‌شده شروع می‌شود جایی که این بدافزار پویش تصادفی آدرس‌های IPv۴ را شروع می‌کند. این بدافزار با انجام حمله‌ی جستجوی فراگیر بر روی درگاه ۲۳ در تلاش است تا با ترکیبی از نام‌های کاربری و گذرواژه‌ها که در کد منبع آن هاردکدشده، وارد سامانه شود. اگر بر روی سامانه‌ی مورد نظر درگاه ۲۳ باز نباشد و یا حمله‌ی جستجوی فراگیر با شکست مواجه شود، بدافزار Hajime به سراغ آدرس IP جدید می‌رود.
در صورتی که ارتباط با موفقیت برقرار شود، این بدافزار ۴ دستور زیر را اجرا خواهد کرد:

enable
system
shell
sh
/bin/busybox ECCHI

اجرای این دستورات بیانگر این نکته است که سامانه‌ی آلوده‌شده یک سامانه‌ی لینوکسی است. براساس گفته‌ی محققان Rapidity، بدافزار Hajime می‌تواند بسترهای ARMv۵ ،ARMv۷ ،Intel x۸۶-۶۴ ،MIPS و little-endian را آلوده کند.

کرم Hajime فرآیند آلوده‌سازی ۳ مرحله‌ای دارد
پس از پویش درگاه و اجرای حمله‌ی جستجوی فراگیرِ موفق، بدافزار وارد مرحله‌ی ۱ می‌شود و بارگیری پرونده‌های خارجی، یک برنامه‌ی ELF ۴۸۴ بایتی را شروع می‌کند. ELF ها پرونده‌های باینری لینوکسی هستند شبیه به پرونده‌های EXE که پرونده‌های اجرایی در بستر ویندوز هستند.
کِرم Hajime این پرونده‌ی باینری را اجرا می‌کند که تنها یک هدف دارد و آن ایجاد ارتباط با کارگزار مهاجم است. در طول این ارتباط بدافزار داده‌های دریافتی را در باینری جدید می‌نویسد و پس از اتمام انتقال داده، پرونده‌ی باینری جدید را اجرا خواهد کرد.
در مرحله‌ی ۲ نیز پرونده‌ی باینری از پروتکل DHT برای ارتباط با یک بات‌نت P۲P استفاده می‌کند تا بار داده‌ی بیشتری را از طریق پروتکل uTP بارگیری کند. هر دو پروتکل DHT و uTP پروتکل‌های مهم کارخواه BitTorrent هستند.

بدافزار Hajime شبیه بسیاری از خانواده‌های بدافزار IoT است ولی متفاوت است
به نظر می‌رسد بدافزار Hajime بسیاری از روش‌های بدافزارهای دیگر را قرض گرفته است. Hajime از پروتکل DHT برای اتصال به یک بات‌نت P۲P استفاده می‌کند درست شبیه بدافزار Rex. از فهرستی از نام‌های کاربری و گذرواژه‌ی ترکیبی برای انجام حمله‌ی جستجوی فراگیر بر روی IP های تصادفی استفاده می‌کند تا گسترش یابد درست شبیه به بدافزار Mirai. همچنین شبیه به بدافزار NyaDrop از فرآیند آلوده‌سازی چند مرحله‌ای استفاده می‌کند.
تفاوت‌هایی هم که وجود دارد این است که Hajime با زبان سی نوشته شده برخلاف Rex که با زبان Go نوشته شده است. برخلاف بدافزار Mirai که از ارتباط مستقیم با کارگزار دستور و کنترل بهره می‌برد، Hajime از شبکه‌ی P۲P استفاده می‌کند. همچنین بسترهای بسیار زیادی را آلوده می‌کند و این وجه تمایز این بدافزار با NyaDrop است که تنها معماری MIPS را آلوده می‌کند. در این مرحله شاهد این هستیم که بدافزار Hajime از بهترین ویژگی‌های بدافزارهای دیگر استفاده کرده و امروز یکی از پیچیده‌ترین بدافزارهای تهدیدکننده‌ی دستگاه‌های IoT است.

بدافزار Hajime دوربین‌های IP، سامانه‌های DVR و CCTV را هدف قرار داده است
با توجه به گواهی‌نامه‌های هاردکد شده در کد منبع، این بدافزار مسیریاب‌ها، DVR ها و سامانه‌های CCTV را مشابه بدافزارهای Mirai و NyaDrop هدف قرار داده است.
بدافزار Hajime مخصوصاً تجهیزات ساخت شرکت‌های Dahua Technologies ،ZTE و XiongMai Technologies که DVR ها با برچسب-سفید را به فروش می‌رساند، هدف قرار داده است.

برای اینکه از آلودگی تجهیزات به کِرم Hajime جلوگیری شود، محققان Rapidy سه روش را پیشنهاد می‌کنند تا فرآیند آلودگی تشخیص داده شده و احتمال آن کاهش یابد:
۱. هر بسته‌ی UDP که حاوی پیام تبادل کلید Hajime باشد را مسدود کنید.
۲. درگاه TCP شماره ۴۶۳۶ که در مرحله‌ی ۱ آلودگی استفاده می‌شود را مسدود کنید.
۳. هر ترافیک جلسه‌ی Telnet که دستور شِل ِ bin/busybox ECCHI/ را اجرا می‌کند، مسدود کنید.

با تحلیل و بررسی سامانه‌های آلوده به این بدافزار، محققان Rapidity یک نظریه دارند: «تحلیل برچسب زمانی بدافزار نشان می‌دهد که نویسنده‌ی بدفزار بین ساعات ۲۳-۱۵ UTC بسیار فعال است و بین ساعات ۵-۰ فعالیتی ندارد و این تقریباً با الگوی خواب افراد در اروپا مطابقت دارد.»
همچنین این محققان کشف کردند که فعالیت کرم Hajime به سال ۲۰۱۳ برمی‌گردد ولی ظهور گسترده‌ی این بدافزار از سپتامبر گذشته شروع شده است. محققان افزودند: «در حالی‌که دو بدافزار Hajime و Mirai الگوی آلودگی یکسانی را استفاده می‌کنند تا سامانه‌های جدید را آلوده کنند، منطق انتشار و پویش اصلی این دو بدافزار به نظر می‌رسد از qBot گرفته شده باشد. اگر تخمین زمان اجرای این بدافزار (سپتامبر ۲۰۱۶) درست باشد، عملیات Hajime چند روز قبل از انتشار کد منبع Mirai شروع شده است و بعید است که حاوی کد منبع اصلی Mirai باشد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter