یک تروجان جدیدِ بر پایه ویندوز، بدافزار MIRAI را به منظور مورد حمله قرار دادن دستگاه‌های اینترنت اشیاء به طور گسترده پخش کرده است.

Mirai به احتمال زیاد بزرگ‌ترین بدافزار بر پایه اینترنت اشیاست که در سال گذشته منتشر شد و باعث قطع گسترده اینترنت به علت حملات DDoS علیه DNS provider Dyn، در ماه اکتبر سال گذشته شد[۱].

در حال حاضر، این بدافزار خود را به‌روزرسانی کرده به‌گونه‌ای که سرعت گسترده شدن آن افزایش پیدا کرده است.

محققانی از شرکت امنیت سایبری روسی Dr.Web در حال حاضر یک تروجان بر پایه ویندوز را شناسایی کردند که تنها هدف آن کمک به مهاجمان برای آلوده کردن دستگاه‌های بیشتری به بدافزار Mirai است[۲].

Mirai نوعی نرم‌افزار مخرب برای دستگاه‌های اینترنت اشیائی است که بر پایه لینوکس هستند و بدین صورت عمل می‌کند که دستگاه‌های اینترنت اشیاء ناامن را پیدا کرده و آن‌ها را در یک شبکه botnet محبوس می‌کند و سپس از آن‌ها استفاده می‌کند تا حملات DDoS را انجام داده و توسط Telnet و با استفاده از اختیارات دستگاه خود را می‌گستراند.

تمام این اتفاقات از اوایل اکتبر سال گذشته (۲۰۱۶) آغاز شد؛ هنگامی‌که یک مهاجم کد منبع Mirai را به صورت عمومی منتشر کرد.

این تروجان جدید که Trojan.Mirai.1 نام گرفته است، کامپیوترهای دارای سیستم‌عامل ویندوز را مورد هدف قرار داده و شبکه کاربران متصل به آن را بررسی می‌کند تا دستگاه‌های اینترنت اشیاء دارای سیستم‌عامل لینوکس و آسیب‌پذیر را پیدا کند.

هنگامی‌که این تروجان بر روی یک کامپیوتر نصب شود، این تروجان به سرور فرمان و کنترل متصل شده و فایل تنظیمات مورد نیاز را دانلود می‌کند که شامل گستره‌ای از آدرس‌های IP است که برای احراز هویت بر روی چندین پورت مانند ۲۲ (SSH)، ۲۳ (Telnet) ،۱۳۵ ،۴۴۵ ،۱۴۳۳ ،۳۳۰۶ و ۳۳۸۹ تلاش می‌کند.

یک احراز هویت موفق به این بدافزار اجازه می‌دهد تا دستورات خاصی را که در فایل تنظیمات قرار دارند و به نوع سیستم قربانی بستگی دارند را اجرا کند.

درصورتی‌که سیستم‌های بر پایه لینوکس از طریق پروتکل Telnet قابل دسترسی باشند، تروجان یک فایل binary را بر روی دستگاه در معرض خطر دانلود می‌کند که متعاقباً Linux.Mirai را دانلود و اجرا می‌کند.

این شرکت امنیتی در گزارشی که به‌تازگی منتشر شده است بیان می‌کند: “اسکنر Trojan.Mirai.1 می‌تواند چندین پورت TCP را به صورت هم‌زمان بررسی کند. درصورتی‌که این تروجان به صورت موفقیت‌آمیز به node مورد حمله قرار گرفته از طریق هرکدام از پروتکل‌های در دسترس متصل شود، این تروجان یک سری از دستورات را به صورت متوالی اجرا می‌کند.”

هنگامی‌که این تروجان در یک دستگاه در معرض خطر فعال شود می‌توان خودش را به دیگر دستگاه‌های دارای سیستم‌عامل ویندوز منتقل کند و از این طریق به مهاجمان کمک می‌کند تا دستگاه‌های بیشتری را مورد حمله قرار دهند.

علاوه بر این، محققان این نکته را یادآور شده‌اند که این بدافزار می‌تواند سرویس‌های پایگاه‌های داده را که بر روی پورت‌های مختلف در حال اجرا هستند شامل MySQL و Microsoft SQL را شناسایی کرده و در معرض خطر قرار دهد. این بدافزار در سرویس‌های اشاره شده یک ادمین جدید به نام phpminds می‌سازد و کلمه عبور آن را phpgodwith قرار می‌دهد و به مهاجمان اجازه می‌دهد تا پایگاه داده مرتبط با آن را بدزدند.

در حال حاضر، شخص یا گروهی که این تروجان را ساخته باشند شناسایی نشده‌اند، اما طراحی این حمله این موضوع را به اثبات می‌رساند که دستگاه‌های اینترنت اشیاء شما که به صورت مستقیم به اینترنت دسترسی ندارند نیز می‌توانند مورد حمله قرار گرفته و به ارتش Mirai botnet ملحق شوند.

منابع

[۱] https://apa.aut.ac.ir/?p=1672

[۲] http://news.drweb.com/show/?i=11140&c=5&lng=en&p=0

[۳] http://thehackernews.com/2017/02/mirai-iot-botnet-windows.html