مسیریاب‌ها و دستگاه‌های اینترنت اشیا در معرض تهدید بدافزار Remaiten

Images
Images
Images
Images

مسیریاب‌ها و دستگاه‌های اینترنت اشیا در معرض تهدید بدافزار Remaiten

  • عمومی
  • 2,093 بازدید
 
کارشناسان شرکت امنیتی «ESET» درباره خطر جدیدی هشدار داده‌اند که این بار به جای آنکه کامپیوترهای شخصی یا تلفن‌های هوشمند را تهدید کند، سیستم‌های توکار را هدف قرار داده است. بر این اساس، شرکت ESET اعلام کرده است موفق به شناسایی کدهای مخربی شده که سیستم‌های اینترنت اشیا، مسیریا‌ب‌ها، دروازه‌ها (Getways) و اکسس پوینت‌های بی‌سیم را نشانه رفته است.

 این بدافزار جدید که «Remaiten» نام دارد، ترکیبی از بدافزارهای لینوکسی Tsunami و Gafgyt است. اما به‌مراتب قدرتمندتر از نمونه‌های یادشده بوده و همراه با ویژگی‌های جدیدی پا به عرصه ظهور نهاده است. تا زمان نگارش این مقاله سه گونه مختلف از این بدافزار شناسایی شده است. کارشناسان امنیتی در بازبینی کدهای به‌جامانده از این بدافزار، اسامی KTN-Remastered و KTN-RM را از درون آن کشف کرده‌اند. بدافزار لینوکسی Tsunami یک در ‌پشتی دانلودکننده بود که برای آماده‌سازی حملات انسداد سرویس توزیع‌شده (DDoS) و برای ساخت شبکه‌ای از سیستم‌های گوش به فرمان (Botnet) استفاده می‌شد. 

بدافزار لینوکسی Gafgyt نیز به‌عنوان در پشتی از راه دور کنترل و برای پویش Telnet استفاده می‌شد. شیوه کارکرد بدافزار Gafgyt به این صورت بود که آدرس‌های آی‌پی شبکه را بررسی می‌کرد و در ادامه به صورت تصادفی به آدرسی متصل می‌شد. برای این منظور Gafgyt از درگاه 23 که مخصوص Telnet است، استفاده می‌کرد. اگر فرایند اتصال به آدرس آی‌پی با موفقیت انجام می‌شد، بدافزار سعی می‌کرد به روش سعی و خطا اطلاعات اعتباری مورد نیاز برای وارد شدن را که شامل شناسه و گذرواژه است، از درون فهرست توکار استخراج کند. اگر فرایند ورود به دستگاه‌ با موفقیت همراه می‌شد، در ادامه فرمانی را برای دانلود فایل‌های اجرایی اصلی برای معماری‌های مختلف اجرا و سپس سعی می‌کرد بدافزارهای اصلی دانلودشده را اجرا کند.

این راهکار ساده‌ای برای آلوده‌سازی دستگاه‌ها بود که حداقل یکی از فایل‌های اجرایی دانلودشده، متناسب با معماری دستگاهی بود که بدافزار روی آن اجرا می‌شد. اما Remaiten این سازوکار را بهبود بخشیده است و از مکانیزم گسترش سریعی همراه با فایل‌های اجرایی برای معماری‌های مختلف پردازنده‌ها که در دستگاه‌های لینوکسی به طور معمول مبتنی بر آرم و MIPS هستند، استفاده می‌کند. بعد از ورود از طریق Telnet، بدافزار سعی می‌کند نوع پلتفرم دستگاه را شناسایی کند و فقط کدهای مدنظر را انتقال دهد. بعد از شناسایی و دانلود کدها از طریق سرور C&C فایل باینری روی دستگاه قربانی اجرا می‌شود و اقدام به ساخت بات (Bot) دیگری می‌کند که برای انجام فعالیت‌های مجرمانه استفاده می‌شود. شکل بالا نحوه اتصال دانلودکننده به سرور C&C را نشان می‌دهد.

تنها وظیفه‌ای که دانلودکننده بر عهده دارد، ارسال یکی از فرمان‌های Mips، Mipsel، Armeabi و Amreabi به سرور C&C و نوشتن واکنش دریافت‌شده به stdout است. زمانی که فایل اجرا می‌شود، بات در پس‌زمینه به فعالیت می‌پردازد. بدافزار Remaiten با استفاده از فرمان‌های رایج IRC هدایت و کنترل می‌شود. مهم‌ترین فرمان IRC که این بدافزار از آن استفاده می‌کند، فرمان PRIVMSG است. این فرمان به‌منظور هدایت بدافزار برای انجام فعالیت‌های مخربی همچون دانلود فایل‌ها، پویش Telnet و مانند این‌ها استفاده می‌شود. دستوراتی که PRIVMSG ارسال می‌کند، درون یک آرایه ایستا قرار می‌گیرند. شکل زیر نمونه‌ای از فرمان‌های در دسترس این بدافزار را نشان می‌دهد.

فرمان جالب توجه دیگری که این بدافزار استفاده می‌کند، فرمان KILLBOTS است. بدافزار به گونه‌ای طراحی شده است که فهرستی از پردازه‌های مخرب در حال اجرا را بررسی می‌کند و تصمیم می‌گیرد از چه پردازه‌های باید صرف نظر کند و به اجرای کدام پردازه باید خاتمه دهد. این کار بیشتر بر اساس نام پردازه‌ها انجام می‌شود. البته نام پردازه‌ها بر اساس نگارش‌های مختلف بدافزار متفاوت هستند. شایان ذکر است پایه و اساس این بدافزار بر مبنای گذرواژه‌های ضعیف Telnet  قرار دارد. بر همین اساس، مالکان دستگاه‌ها باید از ابزار رایگان آنلاین پویش درگاه‌ها برای بررسی این موضوع که آیا پورت شماره 23 روی روتر آن‌ها باز است یا خیر استفاده کرده و همچنین سرویس Telnet را غیر فعال کنند. هنوز به‌درستی مشخص نیست که هدف از طراحی Remaiten چه بوده است، اما کارشناسان امنیتی بر این باور هستند که این بدافزار با هدف پیاده‌سازی یک حمله انسداد سرویس توزیع‌شده طراحی شده است که در عمل شناسایی آن را از طریق مسیریاب‌ها مشکل می‌سازد.

پست های تصادفی

طوفان فکری با تیم مشاوران آکو

درخواست مشاوره
مشاوره با آکو