اخبار

بات نت “قایم موشک” اولین بات نت IoT که پس از ریبوت سیستم همچنان فعال است.

محققان حوزه امنیت اولین بات نت IoT را کشف کردند که می‌تواند فعالیت های مجدد سیستم را حفظ کند و بعد از حمله اولیه در دستگاه آلوده باقی بماند.

این یک تغییر بزرگ در حوزه IoT و بدافزار مسیریاب است. تا به امروزه، مالکان تجهیزات مسیریاب و IoT می توانستند بدافزار بات نت IoT را از ابزار هوشمند خود (مودم ها و روتر ها) از طریق راه اندازی دوباره سیستم حذف کنند.

عملیات راه اندازی مجدد حافظه سیستم را خالی می کند، به طوری که سیستم تمام اطلاعات مورد استفاده مثل رشته‌های بدافزار IoT را نگه می دارد.

بات نت “قایم موشک – HNS خود را در مسیر etc/init.d/ کپی می کند.

اما امروزه، محققان بیت دیفندر اعلام کردند که یک رشته بدافزار IoT یافته اند که در شرایط خاص خودش را در پوشه etc/init.d/ کپی می کند، در این پوشه رشته های معیوب در سیستم های فعال لینوکسی مثل رهیاب ها و ابزار IoT قرار می گیرند.

این بدافزار با قرار دادن خودش در این مسیر باعث می شود تا سیستم عامل بدافزار بات نت را به صورت اتوماتیک بعد از فعال شدن سیستم آغاز کند.

این بات نت (NHS) به جایی رسید که حتی بات نت میرای – Mirai هم نتوانست به آن برسد.

بات نت های HNS در چند ماه گذشته به طور چشمگیری تکامل یافته اند

بیت دیفندر اولین بدافزار شناخته شده HNS و بات نت های مجاور آن را در اوایل ژانویه امسال گزارش کرد و این بات نت تا پایان همان ماه به ۳۲۰۰۰ بات افزایش یافته بود. کارشناسان می گویند HNS حدود ۹۰۰۰۰  ابزار مختلف را از زمان کشف تا الان آلوده کرده است.

هکرهای کنترل کننده این بات نت از دو مورد استخراجی برای ایجاد بات نت اولیه استفاده می کنند که از سایر بات نت های فعال متمایز هستند زیرا از پروتکل P2P برای کنترل سیستم های آلوده استفاده می کنند.

اکنون، کارشناسان نسخه های جدید از HNS را یافته اند که تکامل یافته تر هستند و هکرها در حال استفاده از آنها برای حملات خود هستند.

محققان می گویند که مسئولان HNS زمان دارند تا طرح استفاده ناشیانه از کامپیوتر را تنظیم کنند زیرا بدافزار می تواند حداقل دو نوع ابزار را شناسایی کند و تلاش کند تا با استفاده از تنظیمات کارخانه به جای استفاده از رمز عبور حدسی وارد سیستم ها شوند.

علاوه بر این، پایگاه کدهای HNS هم به روز رسانی می شوند و بعد از به روز رسانی بات دارای ده موردکپی دوگانه برای ۱۰ طراحی مختلف خواهد بود.

تمام بات های HNS در برابر بوت کردن مقاوم نیستند

اما HNS توانایی دریافت مجوز بوت کردن در تمام ابزار آلوده را ندارد. با توجه تحلیل انجام شده تحلیلگر ارشد خطرات الکترونیک بیت دیفندر با نام Bogdan Botezatu، “برای رسیدن به پایداری آلودگی می بایست از طریق تل نت ارتباط برقرار شود و در تجهیزات دسترسی روت برای کپی کردن فایل باینری در مسیر init.d لازم است.”

همچنین کارشناس امنیتی اضافه کردند که بات نت HNS هنوز در حال تکامل است و در حال حاضر حملات DDoS انجام نمی‌دهد.

با این وجود، عملکردهای مرتبط با سرقت اطلاعات و اجرای کدها در ابزار آلوده انجام می شود، بدین معنا که بات نت از سیستم متصل به برق پشتیبانی می کند و می‌تواند در نقطه‌ای با هر نوع کد معیوب گسترش یابد.

دیدگاهتان را بنویسید