NyaDrop: تروجان لینوکسی جدید که اینترنت اشیاء را تهدید می‌کند

۷حمله‌ی انسداد توزیع‌شده‌ی Krebs نشان داد که چشم‌انداز اینترنت اشیاء مثل زمین حاصل‌خیزی است که بات‌نت‌های بزرگ می‌توانند حملات انسداد سرویس خود را در آن پیاده کنند. به همین خاطر جای تعجب وجود ندارد که توسعه‌دهندگان بدافزار همه‌ی تلاش خود را روی این بخش متمرکز کرده‌اند و تهدیدهای تازه‌ای را به امید ساخت بات‌نت Mirai بعدی وارد حوزه‌ی IoT نموده‌اند.
یکی از جدیدترین موارد الحاقی به بازار بدافزارهای اینترنت اشیاء تروجانی موسوم به Linux/NyaDrop است، که اخیراً توسط MalwareMustDie مهندسی معکوس شده است؛ MalwareMustDie همان محققی است که موفق به کشف بدافزار Mirai شد.

NyaDrop از طریق حملات جست‌وجوی فراگیر به پورت‌های تل‌نت حمله می‌کند
MalwareMustDie در تحقیقاتش به این نکته اشاره داشته که سر و کله‌ی این کد در ماه می پیدا شده است، اما تا حدودی ساده بوده و این موضوع طبیعی نیست. اما بعد از حمله‌ی انسداد توزیع‌شده‌ی Krebs ورق برگشت، و یک گونه‌ی جدید از بدافزار مورد نظر کشف شد.
امروزه نویسندگان NyaDrop هم مانند بیشتر بدافزارهای دیگر مربوط به IoT، سعی دارند به واسطه‌ی حملات جست‌وجوی فراگیر به دستگاه‌های رایج در حوزه‌ی اینترنت اشیاء که در معرض اینترنت قرار دارند توسط اطلاعات محرمانه‌‌ی پیش‌فرض نفوذ نمایند.
MalwareMustDie در توییتر خود نوشت که این حملات روی پورت‌های تل‌نت دستگاه‌ها انجام گرفته‌اند، که این روش در مورد حملات اینترنت اشیاء رایج است.

نقش NyaDrop رها کردن بدافزار Nya است
در حملات جست‌وجوی فراگیر نفوذگران سعی می‌کنند هویت خود را روی دستگاه مدنظرشان تأیید نمایند؛ یک اسکریپت یک سری از دستورات خودکار را به اجرا درمی‌آورد که این دستورات کد NyaDrop را بارگیری و اجرا می‌نمایند.

یک حمله‌ی جست‌وجوی فراگیر موفقیت‌آمیز برای ورود به سامانه منجر به رها شدن بدافزار NyaDrop توسط مهاجمان می‌شود
تروجان NyaDrop از نظر اندازه بسیار کوچک است، شاید به این خاطر که NyaDrop فقط یک «رهاساز» است، این اصطلاح در مورد بدافزاری به کار می‌رود که اقدام به بارگیری بدافزارهای قوی‌تر می‌نماید.
به کار گرفتن رهاسازها برای بارگیری محتوای مخرب نهایی یک عمل مشترک میان بدافزارهای رومیزی است و این‌طور نیست که همواره برای بدافزارهای اینترنت اشیاء به کار گرفته شود.
هدف NyaDrop بررسی سامانه و تصمیم‌گیری برای بارگیری یا عدم بارگیری بدافزار واقعی است؛ بدافزار واقعی این داستان یک کد ELF ویژه‌ی لینوکس به نام nya است؛ به همین خاطر این بدافزار NyaDrop نام گرفته است.

NyaDrop فقط معماری‌های MIPS را هدف حمله قرار می‌دهد
MalwareMustDie می‌گوید که بدافزار NyaDrop یک در پشتی را روی دستگاه آلوده باز می‌کند و در صورتی که این دستگاه IoT از یک معماری ۳۲ بیتی MIPS در پردازنده‌ی خود برخوردار باشد، تروجان Nya را بارگیری می‌نماید.
پردازنده‌های مبتنی بر MIPS اغلب در دستگاه‌هایی مانند مسیریاب‌ها، DVRها، دوربین‌های CCTV، و سایر سامانه‌های توکار یافت می‌شوند.
دلیل بررسی وجود یا عدم وجود معماری MIPS احتمالاً این است که توسعه‌دهنده‌ی NyaDrop یک محتوای مخرب کاملاً کاربردی را برای سایر بسترهای اینترنت اشیاء ایجاد نکرده و می‌خواهد از آلوده‌سازی بسترهای «بی‌فایده»، به هدر دادن پهنای باند، و بر جای گذاشتن کدهای عجیب و غریب روی سامانه‌هایی که هیچ استفاده‌ای ندارند جلوگیری نماید.
اما مشکلی که اینجا مطرح است همان طرح رهاسساز محتوای مخرب است. نسخه‌های آتی را به کمک استفاده از این روی‌کرد ماژولار می‌توان برای همه‌‌چیز به کار برد. نویسنده‌ی NyaDrop می‌تواند تصمیم بگیرد تا محتوای جدیدی را به دستگاه‌های آلوده به NyaDrop وارد نماید، محتوایی که می‌تواند قابلیت‌های مختلفی از راه‌اندازی حملات انسداد سرویس توزیع‌شده گرفته تا عمل‌کردن به عنوان پروکسی برای هرگونه ترافیک وب و مخفی نگه‌ داشتن موقعیت مکانی نفوذگر را داشته باشد.

نویسنده‌ی NyaDrop بسیار مراقب است که به دام نیافتد
این بدافزار هم حاصل تلاش نویسنده‌ای روسی است. محققان می‌گویند NyaDrop قادر است محیط‌های هانی‌پات را شناسایی کند؛ در واقع NyaDrop در هانی‌پات از حرکت متوقف می‌شود.
MalwareMustDie می‌گوید که کلاه‌بردار پشت این بدافزار بسیار مراقب هست تا این بدافزار گسترش پیدا نکند. به همین دلیل دست پیدا کردن به یک نمونه از این بدافزار کار بسیار سختی است. MalwareMustDie می‌گوید بسیار خوش‌شانس بوده که توانسته در نهایت به طرح NyaDrop پی ببرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.