بات‌نت Mirai در کمین هوآوی‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q405

 

به گفته کارشناسان امنیتی، نسخه‌ Satori بات‌نت Mirai مسیریاب‌های هوآوی را هدف گرفته‌است.

به گزارش كارشناسان دژپاد ، پژوهشگران امنیتی چک‌پوینت هشدار دادند: «در طول ماه گذشته صدها هزار تلاش برای بهره‌برداری از یک آسیب‌پذیری تازه در مسیریاب‌های خانگی هوآوی HG۵۳۲ دیده شده‌است.»

آنها می‌گویند: «این حملات سعی در نصب Satori داشته‌اند، Satori یک نسخه‌ جدید از بات‌نت مشهور Mirai است که در اواخر سال ۲۰۱۶ میلادی دستگاه‌های زیادی را تحت تاثیر قرار داد. این حملات که درگاه ۳۷۲۱۵ در دستگاه‌های هوآوی HG۵۳۲ هدف قرار می‌دهند در سراسر جهان ازجمله آمریکا، ایتالیا، آلمان و مصر دیده‌شده‌اند.»

تلاش برای بهره‌برداری از یک آسیب‌پذیری روز-صفرم در مسیریاب خانگی هوآوی با شناسه‌ CVE-۲۰۱۷-۱۷۲۱۵ در این حوادث مشترک است و این مسئله نشان‌دهنده‌ این حقیقت است که استاندارد گزارش فنی TR-۰۶۴ که به‌منظور پیکربندی شبکه‌ محلی طراحی شده‌است، از طریق درگاه ۳۷۲۱۵ در شبکه‌های WAN (اینترنت عمومی) قابل دسترسی است. این استاندارد به مهندسان اجازه می‌دهد تنظیمات اولیه‌ دستگاه و یا اقدامات مربوط به به‌روزرسانی‌های ثابت‌افزارها را در شبکه داخلی انجام دهند.

شرکت چک‌پوینت می‌گوید: «یک مهاجم با بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری می‌تواند یک بار کاری مخرب را در دستگاه‌های آسیب‌دیده بارگیری و اجرا کند. در این مورد، بار کاری بات‌نت Satori است.»

شرکت هوآوی در ۲۷ نوامبر از این آسیب‌پذیری مطلع شد. این شرکت طی چند روز به‌منظور تایید این آسیب‌پذیری و اطلاع‌رسانی به کاربران درباره‌ اقدامات قابل انجام برای جلوگیری از سوءاستفاده از این اشکال، مشاوره‌نامه‌ای منتشر کرد. این شرکت به کاربران خود توصیه کرده‌است که از قابلیت دیوار آتش داخلی دستگاه آسیب‌پذیر استفاده کنند، گذرواژه‌های پیش‌فرض را تغییر دهند و یک دیوار آتش در سمت حامل راه‌اندازی کنند.

شرکت هوآوی اظهار کرد: «مشتریانی که می‌توانند نسل جدید دیوار آتش هوآوی به نام Huawei NGFWs را راه‌اندازی کنند و پایگاه‌ داده‌ امضای IPS را به آخرین نسخه که IPS_H۲۰۰۱۱۰۰۰_۲۰۱۷۱۲۰۱۰۰ نام دارد و اول دسامبر سال ۲۰۱۷ میلادی منتشر شده‌است، ارتقا دهند تا بتوانند سوءاستفاده از این آسیب‌پذیری را که از طریق اینترنت آغاز شده‌است، تشخیص دهند و با آن مقابله کنند.»

در این حمله‌ Satori، هر بات به گونه‌ای برنامه‌ریزی شده‌است تا سیل عظیمی از بسته‌های جعلی TCP یا UDP را به دستگاه‌های هدف ارسال کند. هر بات ابتدا تلاش می‌کند که آدرس آی‌پی یک کارگزار دستور و کنترل را با استفاده از درخواست DNS با یک نام دامنه که در کد آن به‌صورت ثابت مشخص شده‌است به دست آورد و تلاش می‌کند تا از طریق TCP به درگاه ۷۶۴۵ متصل شود.

کارگزار دستور و کنترل تعداد بسته‌های مورد استفاده در این عمل ارسال زیاد بسته‌ها و پارامترهای متناظر آنها را فراهم می‌کند و همچنین می‌تواند یک آی‌پی اختصاصی و یا یک زیرشبکه برای این حمله جعل کند.

پژوهشگران کشف کرده‌اند که باینری این بات‌ها شامل مقدار زیادی رشته‌ متنی استفاده‌ نشده‌است که ظاهرا از یک بات دیگر و یا از نسخه‌ قبلی به این بات‌ها به ارث رسیده‌است.

یک پروتکل سفارشی که برای ارتباط کارگزار دستور و کنترل مورد استفاده قرار می‌گیرد، شامل دو درخواست برای بررسی در کارگزار است که به نوبه‌ خود با پارامترهایی برای راه‌اندازی حملات منع سرویس توزیع‌شده پاسخ می‌دهد.

پژوهشگران با تجزیه‌وتحلیل این حادثه که شامل بهره‌برداری از یک آسیب‌پذیری روز-صفرم و استفاده از تعداد زیادی کارگزار برای حمله به دستگاه‌های هوآوی است، متوجه شدند که نفوذگری که پشت بات‌نت Satori قرار دارد احتمالا از نام برخط NexusZeta استفاده می‌کند.

پژوهشگران توانستند که فعالیت این نفوذگر را در چندین انجمن نفوذ ردیابی کند و همچنین متوجه شدند که NexusZeta در شبکه‌های اجتماعی به‌ویژه در توییتر و گیت‌هاب فعال است و دارای حساب کاربری با نام Caleb Wilson در اسکایپ و SoundCloud است، اما آنها نتوانستند که نام واقعی این مهاجم را مشخص کنند.

محققان بر این باورند که این مهاجم یک نفوذگر پیشرفته نیست، بلکه یک مبتدی است که انگیزه‌ زیادی دارد. چیزی که پژوهشگران امنیتی نمی‌توانند متوجه شوند این است که آسیب‌پذیری روز-صفرم چگونه در اختیار این فرد قرار گرفته‌است.

شرکت چک‌پوینت استنتاج کرد: «همان‌طور که در سال‌های گذشته نیز شاهد بوده‌ایم، مشخص است که وقتی نفوذگران غیرمتخصص از ترکیبی از کدهای مخرب منتشر‌شده با امنیت اینترنت اشیاء ضعیف و قابل بهره‌برداری استفاده‌می‌کنند، می‌توانند حوادث خطرناکی را به بار آورند.»