امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

 

محققان امنیتی بدافزار جدیدی با نام Hajime را کشف کردند که دستگاه‌های IoT را هدف قرار داده و رفتاری مشترک با بدافزار Mirai دارد ولی می توان گفت این بدافزار پیچیده‌تر از بدافزار قبلی است.

Mirai یک کلمه‌ی ژاپنی به معنی «آینده» است و این نسخه‌ی جدید نیز Hajime نام گرفته که این کلمه نیز ژاپنی بوده و معنی آن «شروع» است. در گزارش فنی که در مورد جزئیات فعالت Hajime منتشر شده است، محققان اعلام کردند بعد از اینکه متوجه شدند نویسنده‌ی این بدافزار کد منبع آن را منتشر کرده، شروع به بررسی Mirai کردند. محققان Mirai را مورد مطالعه قرار دادند تا متوجه شوند چگونه می‌توانند به فعالیت سایر نفوذگران که هم اکنون به کد منبع آن دسترسی دارند، خاتمه دهند. بعد از انتشار کد منبع Mirai محققان انتظار داشتند اطلاعات زیادی از این طریق جمع‌آوری کنند و به همین منظور کارگزارهای زیادی را در سطح دنیا ایجاد کردند.

در ۵ اکتبر، تنها ۳ روز پس از انتشار کد منبع، محققان در حال بررسی نوع آلودگی سامانه به Mirai بودند که موجودیت جدیدی را کشف کردند. این نحوه‌ی کشف بدافزار Hajime بوده است، بدافزاری که دستگاه‌های IoT را هدف قرار داده و با وجود شباهت‌های رفتاری بسیاری که با Mirai دارد، موجودیت جدید و پیچیده تری دارد.

 

بدافزار Hajime با حملات جستجوی فراگیر گسترش می یابد

محققان می گویند که Hajime از ساز و کار سه مرحله‌ای برای آلوده کردن سامانه استفاده می کند و ویژگی خود انتشاری دارد. مرحله‌ی صفرم از ماشین آلوده‌شده شروع می شود، جایی که این بدافزار جستجوی تصادفی آدرس‌های IPv4 را شروع می کند. این بدافزار با انجام حمله‌ی جستجوی فراگیر بر روی درگاه ۲۳ (Telnet Port) در تلاش است تا با ترکیبی از نام‌های کاربری و گذرواژه‌ها که در کد منبع آن هاردکد شده، وارد سامانه شود. نمونه ای از این نام کاربری و گذرواژه ها در جدول زیر آمده است.

Hajime Malware

اگر بر روی سامانه‌ی مورد نظر درگاه ۲۳ باز نباشد و یا حمله‌ی جستجوی فراگیر با شکست مواجه شود، بدافزارHajime به سراغ آدرس IP جدید می رود.

در صورتی که ارتباط با موفقیت برقرار شود، این بدافزار دستورات زیر را اجرا خواهد کرد:

enable

system

shell

sh

/bin/busybox ECCHI

اجرای این دستورات بیانگر این نکته است که سامانه ی آلوده شده یک سامانه ی لینوکسی است. براساس گفته ی محققان Rapidity، بدافزار Hajime می تواند بسترهای ARMv5 ،ARMv7 Intel x86-64،MIPS و little-endian را آلوده کند.

 

بدافزار Hajime فرآیند آلوده سازی سه مرحله‌ای دارد

 

پس از جستجوی درگاه و اجرای حمله‌ی جستجوی فراگیرِ موفق، بدافزار وارد مرحله یک و بارگیری یک پرونده‌ُ خارجی با پسوند ELF و حجم۴۸۴ بایت می شود. ELF ها پرونده های باینری لینوکسی شبیه به پرونده های EXE در بستر ویندوز هستند. بدافزار Hajime این پرونده ی باینری را اجرا می کند که تنها یک هدف دارد و آن ایجاد ارتباط با کارگزار مهاجم است. در طول این ارتباط بدافزار داده های دریافتی را در باینری جدید می نویسد و پس از اتمام انتقال داده، پرونده ی باینری جدید را اجرا خواهد کرد. در مرحله ی دوم نیز پرونده ی باینری از پروتکل DHT برای ارتباط با یک بات نت P2P استفاده می‌کند تا بار داده‌ی بیشتری را از طریق پروتکل UTP بارگیری کند. هر دو پروتکل DHT و UTP پروتکل های مهم کارخواه BitTorrent هستند.

 

بدافزار Hajime شبیه بسیاری از خانواده‌های بدافزار IoT است ولی متفاوت است

 

 به نظر می رسد بدافزار Hajime از روش‌های مشابه بدافزارهای دیگر نیز استفاده می کند. Hajime از پروتکل DHT برای اتصال به یک بات‌ نت P2P استفاده می کند درست شبیه بدافزار Rex. از فهرستی از نام‌های کاربری و گذرواژه ها‌ی ترکیبی برای انجام حمله‌ی جستجوی فراگیر بر روی IP های تصادفی استفاده می کند تا گسترش یابد درست شبیه به بدافزارMirai . همچنین شبیه به بدافزار NyaDrop از فرآیند آلوده سازی چند مرحله‌ای استفاده می کند.

تفاوت هایی هم وجود دارد از جمله اینکه Hajime با زبان C نوشته شده برخلاف Rex که با زبان Go نوشته شده است. برخلاف بدافزار Mirai که از ارتباط مستقیم با کارگزار دستور و کنترل بهره می برد، Hajime از شبکه ی P2P استفاده می کند. همچنین بسترهای بسیار زیادی را آلوده می کند و این وجه تمایز این بدافزار با NyaDrop است که تنها معماری MIPS را آلوده می کند. بدین ترتیب شاهد این هستیم که بدافزار Hajime از بهترین ویژگی های بدافزارهای دیگر استفاده کرده و امروز یکی از پیچیده ترین بدافزارهای تهدیدکننده‌ ی دستگاه های IoT است.

 

بدافزار Hajime دوربین های IP، سامانه های DVR و CCTV را هدف قرار داده است

    

با توجه به گواهی نامه های هاردکد شده در کد منبع، این بدافزار Router ها، DVR ها و سامانه های CCTV را مشابه بدافزارهای Mirai و NyaDrop هدف قرار داده است.

بدافزار Hajime مخصوصاً تجهیزات ساخت شرکت هایDahua Technologies ،ZTE و XiongMai Technologies که DVR های با برچسب White Lable را به فروش می‌ رساند، هدف قرار داده است.

 

راهکارهای جلوگیری از بدافزار Hajime
 

برای اینکه از آلودگی تجهیزات به بدافزار Hajime جلوگیری شود، محققان Rapidy سه روش را پیشنهاد می کنند تا فرآیند آلودگی تشخیص داده شده و احتمال آن کاهش یابد:

۱. هر بسته‌ی UDP که حاوی پیام تبادل کلید Hajime باشد را مسدود کنید.

۲. درگاه TCP شماره ۴۶۳۶ که در مرحله‌ی یک آلودگی استفاده می‌شود را مسدود کنید.

۳. هر ترافیک Session های Telnet که دستور شِل ِ bin/busybox ECCHI/را اجرا می‌کند، مسدود کنید.

4. طبق اعلام سایت Virusradar.com ضدویروس ESET از تاریخ 2016/10/30 با شماره بروزرسانی 14363 قادر به شناسایی این بدافزار می ‏باشد.

 

Hajime Malware

 

با تحلیل و بررسی سامانه های آلوده به این بدافزار، محققان Rapidity یک نظریه دارند: «تحلیل برچسب زمانی بدافزار نشان می دهد که نویسنده ی بدفزار بین ساعات ۲۳-۱۵ UTC بسیار فعال است و بین ساعات ۵-۰ فعالیتی ندارد و این تقریباً با الگوی خواب افراد در اروپا مطابقت دارد.»

همچنین این محققان کشف کردند که فعالیت بدافزار Hajime به سال ۲۰۱۳ برمی‌گردد ولی ظهور گسترده ی این بدافزار از سپتامبر گذشته شروع شده است. محققان افزودند: «در حالی‌که دو بدافزار Hajime و Mirai الگوی آلودگی یکسانی را استفاده می کنند تا سامانه‌ های جدید را آلوده کنند، منطق انتشار و پویش اصلی این دو بدافزار به نظر می رسد از qBot گرفته شده باشد. اگر تخمین زمان اجرای این بدافزار (سپتامبر ۲۰۱۶) درست باشد، عملیات Hajime چند روز قبل از انتشار کد منبع Mirai شروع شده است و بعید است که حاوی کد منبع اصلی Mirai باشد.»

 

 

 

 

 

 

به امید موفقیت

امور پشتیبانی مشترکین    

شرکت مهندسی و ایمنی شبکه دژپاد

تهران   شهرک غرب، خیابان ارغوان غربی، خیابان پرتو، نبش خیابان پامچال 2، پلاک 19، واحد 1

تلفن : 26654823(21)  , 22137612(21)

نمابر :115- 22137612(21)

پست الکترونیک : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید

وب سایت : www.dejpaad.com