سه شنبه ۲۹ اسفند ۱۴۰۲ , 19 Mar 2024
جالب است ۰
بات‌نت جدیدی به نام dark_nexus شناسایی شده‌است که به گفته دانشمندان امنیت سایبری هرچند برخی امکانات را با بات‌نت‌های مبتنی‌بر اینترنت اشیاء به اشتراک می‌گذارد، اما به‌دلیل روش توسعه و برنامه‌نویسی برخی از ماژول‌های آن، بسیار قدرتمندتر از بات‌نت‌های دیگر است.
منبع : مرکز مدیریت راهبردی افتا
بات‌نت جدیدی به نام dark_nexus شناسایی شده‌است که به گفته دانشمندان امنیت سایبری هرچند برخی امکانات را با بات‌نت‌های مبتنی‌بر اینترنت اشیاء به اشتراک می‌گذارد، اما به‌دلیل روش توسعه و برنامه‌نویسی برخی از ماژول‌های آن، بسیار قدرتمندتر از بات‌نت‌های دیگر است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بات‌نت جدیدی در صحنه تهدیدات سایبری ظاهر شده که محققان توانایی فوق‌العاده آن را مایه شرمساری سایر بات‌نت‌ها توصیف کرده‌اند.

شرکت امنیتی Bitdefender اعلام کرد که این بات‌نت جدید با نام dark_nexus مجهز به امکانات و قابلیت‌هایی خاص بوده و فراتر از بات‌نت‌های معمول این روزها عمل می‌کند.

بات‌نت‌ها، شبکه‌هایی متشکل از ماشین‌ها، محصولات موسوم به اینترنت اشیاء (IoT) و دستگاه‌های همراه هک‌شده‌ای هستند که در سیطره یک کنترل‌کننده اصلی قرار دارند. در کنار یکدیگر از این دستگاه‌ها می‌توان برای اجرای اقدامات مخربی همچون حملات DDoS و کارزارهای ارسال انبوه هرزنامه استفاده کرد.

نام dark_nexus برگرفته از رشته dark_NeXus_Qbot/۴,۰ است که در جریان بهره‌جویی (Exploit) بر روی پودمان HTTP مورد اشاره این بات‌نت قرار می‌گیرد. محققان Bitdefender کلمه Qbot در رشته مذکور را نیز نشانه‌ای از تأثیرپذیری آن از بات‌نتی با همین نام می‌دانند.

علی‌رغم وجود کدهای مشابه با کدهای به‌کار رفته در بات‌نت‌های Mirai و Qbot محققان Bitdefender اکثر امکانات dark_nexus را مختص آن می‌دانند. به‌عبارت دیگر اگر چه dark_nexus برخی امکانات را با بات‌نت‌های مبتنی بر اینترنت اشیاء به اشتراک می‌گذارد اما روش توسعه و برنامه‌نویسی برخی از ماژول‌های آن موجب شده که این بات‌نت بسیار قدرتمندتر و ستبرتر از سایرین باشد.

dark_nexus سه ماه است که فعال شده و در این مدت سه نسخه متفاوت از آن عرضه شده‌است. هانی‌پات‌ها نشان می‌دهند که حداقل ۱,۳۷۲ بات عضو dark_nexus هستند.

پس از شناسایی ماشین، بات‌نت با تکنیک Credential Stuffing و همچنین با به‌کارگیری بهره‌جوها برای هک کردن آن تلاش می‌کند. هدف دو ماژول که یکی از آنها به‌صورت هم‌زمان و دیگری به‌طور غیرهم‌زمان مورد استفاده قرار می‌گیرد استفاده از پودمان Telnet و فهرستی از اطلاعات اصالت‌سنجی برای نفوذ به ماشین است.

همانند اکثر پویشگرهایی که توسط بات‌نت‌های متدوال مورد استفاده قرار می‌گیرند پویشگر dark_nexus نیز از مدل موسوم به ماشین‌های حالات متناهی (Finite State Machines) برای بکارگیری پودمان Telnet و در ادامه گام‌های بعدی آلوده‌سازی پیروی کرده که بر طبق آن، مهاجم فرمان را بر مبنای خروجی فرامین قبلی صادر می‌کند.

dark_nexus برای راه‌اندازی بات از Qbot الگوبرداری کرده است: چندین انشعاب را ایجاد کرده، تعدادی سیگنال را مسدود کرده و در ادامه بات ارتباط خود را با ترمینال قطع می‌کند. سپس بات مشابه با Mirai درگاه ۷۶۳۰ را باز می‌کند.

همچنین بات به‌منظور مخفی کردن ماهیت فعالیت‌های خود نامش را به /bin/busybox تغییر می‌دهد.

بات‌نت دارای کدهای مخربی است که با ۱۲ معماری CPU سازگار بوده و بسته به پیکربندی دستگاه قربانی اجرا می‌شوند.

dark_nexus از یک رویکرد منحصربه‌فرد برای محکم کردن جای پای خود بر روی ماشین استفاده می‌کند. بدین‌ترتیب که کد بدافزار بات‌نت حاوی فهرستی از فرایندهای مجاز و روش‌هایی برای شناسایی فرایندهاست تا از این طریق فرایندهای مزاحم از دید dark_nexus متوقف شوند.

بات‌نت دارای دو سرور فرماندهی (C۲) است و یک سرور دیگر نیز وظیفه گزارش‌دهی در خصوص سرویس‌های آسیب‌پذیر شامل IP و شماره درگاه‌های آن‌ها در فرایند شناسایی را انجام می‌دهد.

نشانی‌های سرور یا در کدهای نسبتاً کوچکی که نقش Downloader را دارند تزریق شده‌اند و یا در بعضی از نمونه‌ها قابلیت پراکسی معکوس (Reverse Proxy) ارتباطات میان بات و سرورها را برقرار می‌کند. پراکسی معکوس در dark_nexus موجب تبدیل هر قربانی به یک پراکسی برای سرور میزبان شده و از این طریق بر روی درگاه‌های تصادفی به سرویس‌دهی می‌پردازد.

حملات اجرا شده توسط بات‌نت معمولی گزارش شده‌اند. البته با ذکر یک استثنا و آن قابلیت اجرای فرمان browser_http_req است که به گفته Bitdefender بسیار پیچیده و قابل پیکربندی بوده و ترافیک‌هایی نظیر ترافیک مرورگر را عادی جلوه می‌کند.

امکان جالب دیگر dark_nexus قابلیتی برای جلوگیری از راه‌اندازی مجدد شدن دستگاه است. بدین‌منظور سرویس cron هک و متوقف شده و همزمان مجوز فایل‌های اجرایی که می‌توانند در راه‌اندازی مجدد ماشین نقش دارند عزل می‌شود.

محققان معتقدند که توسعه‌دهنده بات‌نت، فردی با شناسه greek.Helios است که برای سال‌ها سرویس‌های DDoS را در تالارهای گفت‌وگوی اینترنتی مهاجمان تبلیغ می‌کرده‌است.

همچنین پراکسی‌های socks5 در چندین نسخه از بدافزار مورد استفاده توسط این بات‌نت شناسایی شده‌است. قابلیتی که در بات‌نت‌های دیگری همچون نسخه‌هایی از Mirai، TheMoon و Gwmndy استفاده‌می‌شود.

فروش دسترسی به این پراکسی‌ها در تالارهای گفت‌وگوی اینترنتی مهاجمان می‌تواند یکی از انگیزه‌های گرداننده این بات‌‌نت باشد. اگر چه Bitdefender اعلام کرده که سندی برای اثبات این نظریه نیافته‌است.
کد مطلب : 16529
https://aftana.ir/vdccopqs.2bqei8laa2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی