به گفته پژوهشگران Qihoo ۳۶۰ Netlab، باتنت Satori اقدام به اسکن پورت ۸۰۰۰ کرد.
منبع : مرکز مدیریت راهبردی افتا
به گفته پژوهشگران Qihoo ۳۶۰ Netlab، باتنت Satori اقدام به اسکن پورت ۸۰۰۰ کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پس از انتشار کد اثبات مفهومی (PoC) مربوط به یک بسته نرمافزاری سرور وب مشهور در هشتم ژوئن، باتنت Satori از این اکسپلویت در فرایند حملات خود استفاده کرد. این PoC برای یک آسیبپذیری سرریز بافر پشته (CVE-۲۰۱۸-۱۰۰۸۸) در بسته سرور وب XionMai منتشر شدهاست که اغلب در داخل firmware روترها و تجهزات IoT ساختهشده توسط سازندههای چینی یافت میشود.
این آسیبپذیری به مهاجم اجازه میدهد تا یک بسته مخرب را از طریق پورت ۸۰ یا ۸۰۰۰ ارسال کند و کد دلخواه را بر روی دستگاه اجرا کند.
یک روز پس از انتشار کد PoC، جستوجو برای دستگاههایی که پورت ۸۰۰۰ آنها از طریق رابط WAN آسیبپذیر است، آغاز شد. اسکنها در روز ۱۴ ژوئن متوقف شدهاست. توقف اسکنها به دلیل ناموفق بودن Satori نیست و به گفته کارشناسان، نویسندههای باتنت پس از افزودن یک اکسپلویت جدید به آن، اسکن ها را متوقف کردهاند.
اکسپلویت دوم نیز مبتنی بر یک کد PoC است که بهصورت آنلاین منتشر شدهاست. این PoC مربوط به یک آسیبپذیری در روترهای D-Link DSL-۲۷۵۰B است که از طریق پورت ۸۰ و ۸۰۸۰ میتوان از آن بهره برد. واضح است که پس از استفاده از این اکسپلویت، اسکن پورتهای ۸۰ و ۸۰۸۰ نیز افزایش یافتهاست.
باتنت Satori پیشتر نیز روترهای GPON را هدف گرفتهبود و با اضافه شدن این دو اکسپلویت به آن در حال گسترش است.
طبق اعلام پژوهشگران Netlab از این باتنت برای ربودن کاوشگران ارز دیجیتالی یا انجام حملات مخرب DDoS استفاده شدهاست.