هشدار: بات‌نت (Hide ‘N Seek (HNS

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

هشدار: بات‌نت (Hide ‘N Seek (HNS

q762

شواهد نشان می‌دهد که از ابتدای سال جاری میلادی ‫بات‌_نتی با نام Hide ‘N Seekبا هدف آلوده‌سازی دستگاه‌های اینترنت اشیاء شایع شده است. این بات‌نت که برای انتشار خود رفتاری کرم‌گونه دارد، از آسیب‌پذیری CVE-2016-10401و چندین آسیب‌پذیری دیگر برای انتشار کد بدخواه خود سوء استفاده می‌کند.

این بات‌نت پس از Hajimeدومین بات‌نت است که برای ارتباطات خود از شیوه p2pاستفاده می‌کند. مقابله با بات‌نت‌هایی که از p2pبرای ارتباطات خود استفاده می‌کنند دشوار است و به همین دلیل HNSدر ماه‌های اخیر به طور مداوم در حال به‌روز رسانی بوده است. برخی از تغییراتی که در این به‌روز رسانی‌ها مشاهده شده است عبارتند از:

افزودن اکسپلویت‌هایی برای دستگاه‌های وب‌کَم AVTECH، روترهای Linksysسیسکو، وب سرور JAWS/1.0و پایگاه داده‌های Apache CouchDBو OrientDB.
آدرس گره‌های p2pهاردکُد شده به 171 مورد افزایش یافته است.
افزودن برنامه cpuminerبرای کاوش پول دیجیتال
با پشتیبانی از سرورهای پایگاه داده‌ای OrientDBو CouchDB، HNSبات‌نتی نه تنها برای اینترنت اشیاء بلکه بات‌نتی چندسکویی به شمار می‌رود.

این بات‌نت برای انتشار در شبکه، با استفاده از کدی مشابه آنچه در بات‌نت miraiاستفاده شده پورت‌های TCPشامل (HTTP Web Service)80، (HTTP Web Service)8080، (OrientDB)2480، (CouchDB )5984و (Telnet)23را در شبکه اسکن می‌کند و سپس با سوءاستفاده از اکسپلویت‌های زیر خود را بر روی پورت‌های مذکور مستقر می‌کند:

TPLink-Routers RCE
Netgear RCE
new: AVTECH RCE
new: CISCO Linksys Router RCE
new: JAW/1.0 RCE
new: OrientDB RCE
new: CouchDB RCE

هر گره HNSبا سایر همتاهای p2pخود با استفاده از سه روش زیر ارتباط برقرار می‌کند:

171 آدرس هارد کد شده در برنامه (لیست این 171 آدرس در https://blog.netlab.360.com/file/hns_hardcoded_peer_list.txtموجود است. )
آرگومان خط فرمان
سایر همتاهای p2p
برای مقابله و جلوگیری از آلودگی به این بات‌نت، به روز رسانی سریع دستگاه‌های اینترنت اشیاء و بستن پورت‌های غیر مود نیاز، تغییر پورت‌های پیش‌فرض و نیز تغییر رمزعبورهای پیش‌فرض ضروری به نظر می‌رسد.

منبع:ماهر