Satori در حال اسکن پورت 8000 دیده‌شد

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره غیر فعال
 

Satori در حال اسکن پورت 8000 دیده‌شد

به گفته پژوهشگران Qihoo ۳۶۰ Netlab، بات‌نت Satori اقدام به اسکن پورت ۸۰۰۰ کرد.

q725

Satori در حال اسکن پورت 8000 دیده‌شد

به گفته پژوهشگران Qihoo ۳۶۰ Netlab، بات‌نت Satori اقدام به اسکن پورت ۸۰۰۰ کرد.

پس از انتشار کد اثبات مفهومی (PoC) مربوط به یک بسته نرم‌افزاری سرور وب مشهور در هشتم ژوئن، بات‌نت Satori از این اکسپلویت در فرایند حملات خود استفاده کرد. این PoC برای یک آسیب‌پذیری سرریز بافر پشته (CVE-۲۰۱۸-۱۰۰۸۸) در بسته سرور وب XionMai منتشر شده‌است که اغلب در داخل firmware روترها و تجهزات IoT ساخته‌شده توسط سازنده‌های چینی یافت می‌شود.

این آسیب‌پذیری به مهاجم اجازه می‌دهد تا یک بسته مخرب را از طریق پورت ۸۰ یا ۸۰۰۰ ارسال کند و کد دلخواه را بر روی دستگاه اجرا کند.

یک روز پس از انتشار کد PoC، جست‌وجو برای دستگاه‌هایی که پورت ۸۰۰۰ آنها از طریق رابط WAN آسیب‌پذیر است، آغاز شد. اسکن‌ها در روز ۱۴ ژوئن متوقف شده‌است. توقف اسکن‌ها به دلیل ناموفق بودن Satori نیست و به گفته کارشناسان، نویسنده‌های بات‌نت پس از افزودن یک اکسپلویت جدید به آن، اسکن ها را متوقف کرده‌اند.

اکسپلویت دوم نیز مبتنی بر یک کد PoC است که به‌صورت آنلاین منتشر شده‌است. این PoC مربوط به یک آسیب‌پذیری در روترهای D-Link DSL-۲۷۵۰B است که از طریق پورت ۸۰ و ۸۰۸۰ می‌توان از آن بهره برد. واضح است که پس از استفاده از این اکسپلویت، اسکن پورت‌های ۸۰ و ۸۰۸۰ نیز افزایش یافته‌است.

بات‌نت Satori پیش‌تر نیز روترهای GPON را هدف گرفته‌بود و با اضافه شدن این دو اکسپلویت به آن در حال گسترش است.

طبق اعلام پژوهشگران Netlab از این بات‌نت برای ربودن کاوشگران ارز دیجیتالی یا انجام حملات مخرب DDoS استفاده شده‌است.

مرجع : مرکز مدیریت راهبردی افتا