Mirai به احتمال زیاد بزرگترین بدافزار بر پایه اینترنت اشیاست که در سال گذشته منتشر شد و باعث قطع گسترده اینترنت به علت حملات DDoS علیه DNS provider Dyn، در ماه اکتبر سال گذشته شد[۱].
در حال حاضر، این بدافزار خود را بهروزرسانی کرده بهگونهای که سرعت گسترده شدن آن افزایش پیدا کرده است.
محققانی از شرکت امنیت سایبری روسی Dr.Web در حال حاضر یک تروجان بر پایه ویندوز را شناسایی کردند که تنها هدف آن کمک به مهاجمان برای آلوده کردن دستگاههای بیشتری به بدافزار Mirai است[۲].
Mirai نوعی نرمافزار مخرب برای دستگاههای اینترنت اشیائی است که بر پایه لینوکس هستند و بدین صورت عمل میکند که دستگاههای اینترنت اشیاء ناامن را پیدا کرده و آنها را در یک شبکه botnet محبوس میکند و سپس از آنها استفاده میکند تا حملات DDoS را انجام داده و توسط Telnet و با استفاده از اختیارات دستگاه خود را میگستراند.
تمام این اتفاقات از اوایل اکتبر سال گذشته (۲۰۱۶) آغاز شد؛ هنگامیکه یک مهاجم کد منبع Mirai را به صورت عمومی منتشر کرد.
این تروجان جدید که Trojan.Mirai.1 نام گرفته است، کامپیوترهای دارای سیستمعامل ویندوز را مورد هدف قرار داده و شبکه کاربران متصل به آن را بررسی میکند تا دستگاههای اینترنت اشیاء دارای سیستمعامل لینوکس و آسیبپذیر را پیدا کند.
هنگامیکه این تروجان بر روی یک کامپیوتر نصب شود، این تروجان به سرور فرمان و کنترل متصل شده و فایل تنظیمات مورد نیاز را دانلود میکند که شامل گسترهای از آدرسهای IP است که برای احراز هویت بر روی چندین پورت مانند ۲۲ (SSH)، ۲۳ (Telnet) ،۱۳۵ ،۴۴۵ ،۱۴۳۳ ،۳۳۰۶ و ۳۳۸۹ تلاش میکند.
یک احراز هویت موفق به این بدافزار اجازه میدهد تا دستورات خاصی را که در فایل تنظیمات قرار دارند و به نوع سیستم قربانی بستگی دارند را اجرا کند.
درصورتیکه سیستمهای بر پایه لینوکس از طریق پروتکل Telnet قابل دسترسی باشند، تروجان یک فایل binary را بر روی دستگاه در معرض خطر دانلود میکند که متعاقباً Linux.Mirai را دانلود و اجرا میکند.
این شرکت امنیتی در گزارشی که بهتازگی منتشر شده است بیان میکند: “اسکنر Trojan.Mirai.1 میتواند چندین پورت TCP را به صورت همزمان بررسی کند. درصورتیکه این تروجان به صورت موفقیتآمیز به node مورد حمله قرار گرفته از طریق هرکدام از پروتکلهای در دسترس متصل شود، این تروجان یک سری از دستورات را به صورت متوالی اجرا میکند.”
هنگامیکه این تروجان در یک دستگاه در معرض خطر فعال شود میتوان خودش را به دیگر دستگاههای دارای سیستمعامل ویندوز منتقل کند و از این طریق به مهاجمان کمک میکند تا دستگاههای بیشتری را مورد حمله قرار دهند.
علاوه بر این، محققان این نکته را یادآور شدهاند که این بدافزار میتواند سرویسهای پایگاههای داده را که بر روی پورتهای مختلف در حال اجرا هستند شامل MySQL و Microsoft SQL را شناسایی کرده و در معرض خطر قرار دهد. این بدافزار در سرویسهای اشاره شده یک ادمین جدید به نام phpminds میسازد و کلمه عبور آن را phpgodwith قرار میدهد و به مهاجمان اجازه میدهد تا پایگاه داده مرتبط با آن را بدزدند.
در حال حاضر، شخص یا گروهی که این تروجان را ساخته باشند شناسایی نشدهاند، اما طراحی این حمله این موضوع را به اثبات میرساند که دستگاههای اینترنت اشیاء شما که به صورت مستقیم به اینترنت دسترسی ندارند نیز میتوانند مورد حمله قرار گرفته و به ارتش Mirai botnet ملحق شوند.
منابع
[۱] https://apa.aut.ac.ir/?p=1672
[۲] http://news.drweb.com/show/?i=11140&c=5&lng=en&p=0
[۳] http://thehackernews.com/2017/02/mirai-iot-botnet-windows.html
ثبت ديدگاه