نفوذ یک باتنت جدید به سرورهای SSH
باتنتها شبکههای رایانه ای آلوده به بدافزارها هستند که هر یک از آنها به تنهایی قابلیت مدیریت خودکار تعداد زیادی از رایانه های آلوده را دارند. مدل غیرمتمرکز یا نظیربهنظیر (P2P) یکی از انواع باتنتها به شمار می رود. در این مدل، مهاجم برای آنکه بتواند کل باتنت را کنترل کند کافی است حداقل به یکی از رایانه ها دسترسی داشته باشد.
به تازگی باتنت نظیربهنظیری با نام “FritzFrog” به بیش از 500 سرور SSH[1] (که برای برقراری اتصال امن میان کاربر و سرور از آن استفاده می شود) از جمله سرورهای مورد استفاده در یک شرکت راهآهن و تعدادی از مؤسسات آموزشی معروف در آمریکا و اروپا نفوذ کرده است.
FritzFrog اولین بار توسط شرکت امنیت سایبری Guardicore Labs شناسایی شد. این شرکت ابتدا متوجه اجرای پردازشهای مخرب ifconfig و nginx توسط این باتنت شد. سپس محققان تیم امنیتی آن اقدام به انجام تحقیقات و بررسی های بیشتر درباره این تهدید کردند. آنها پس از انجام بررسیهای اولیه متوجه شدند که FritzFrog فاقد مرکز فرماندهی و کنترل است. سپس این شرکت یک نرمافزار کلاینت برای تشکیل تعدادی نود و پیوستن به شبکه P2P اجرا کرد که در مجموع شاهد اجرای بیش از 13 هزار حمله بات نت در شبکه FritzFrog بود.
تفاوت FritzFrog با سایر باتنتها
نتایج بیانگر آن است که FritzFrog چند ویژگی متفاوت با سایر باتنتهای نظیربهنظیر دارد. به عنوان مثال این باتنت بدون فایل است و از اشیای باینری بزرگ (BLOB[2]) استفاده میکند. این BLOBها تعدادی مجموعه داده باینری هستند که به صورت یک واحد در حافظه بارگذاری میشوند تا فایلهای این باتنت را جا به جا و سرهم کنند. در این حمله، یک نقشه هم وجود داشته است که هر BLOB را به مقدار هش آن مرتبط می کرده است. به این ترتیب بدافزار میتوانسته فایلهای ذخیره شده در BLOBها را بین نودهای مختلف جا به جا کند.
همچنین در این فرایند، از حملات جستجوی فراگیر شدید بر اساس یک لغتنامه بزرگ استفاده میشد که بعد از نفوذ موفقیت آمیز به سیستمها مهاجم سعی میکرده پایگاه دادهای که از اهداف و ماشینهای آلوده دارد را به روز رسانی کند.
سایر باتنتهای نظیربهنظیر مهم در سال 2020
ویژگیهای ذکر شده، باعث متفاوت شدن FritzFrog نسبت به سایر باتنتهای نظیربهنظیر اخیر شده است. Netlab 360 نیز نتایج مطالعهای که درباره باتنت DDG انجام داده بود را منتشر کرده است. این باتنت در سال 2018 میلادی به دلیل تلاش برای استخراج رمزارز مونرو توجه محققان را جلب نموده و نسخه جدیدی از آن در ژانویه 2019 منتشر شد. این نسخه با سازوکار نظیربهنظیر مبتنی بر Memberlist طراحی شده که آن را تبدیل به یکی از اولین باتنتهای استخراج رمزارزهای نظیربهنظیر میکند.
چند روز بعد، باتنت Mozi ظهور کرد که در آن از ترکیب کد باتنتهای Gafgyt، Mirai و IoT Reaper استفاده شده بود. تفاوت Mozi نسبت به سایر باتنتها عدم استفاده از مرکز فرماندهی و کنترل و استفاده از یک شبکه نظیربهنظیر می باشد. این معماری بیشتر برای آلوده کردن مودمهای خانگی و دستگاههای ضبط تصویر دیجیتال با هدف اجرای حملات محروم سازی از سرویس، استخراج داده و اجرای پیلود انتخاب شده بود.
نحوه مقابله با باتنتهای نظیربهنظیر
از کار انداختن باتنتهایی با شبکههای نظیربهنظیر کار سختی است. عدم وجود یک زیرساخت فرماندهی و کنترل مرکزی باعث میشود باتهای آلوده حتی در صورت از کار افتادن بخش بزرگی از شبکه باتنت باز هم به رعایت فرامین مهاجم ادامه دهند.
بنابراین سازمانها باید برای مقابله با آنها آمادگی لازم را داشته باشند. این کار را می توان با تشکیل یک تیم واکنش به حادثه شروع کرد که مسئول بررسی آلودگیهای احتمالی است. همچنین این تیم میتواند بر فرایندهای مدیریت آسیبپذیری در وسایل هوشمند مورد استفاده در سازمان نظارت داشته باشد.
[1] secure shell
[2] binary large object
منبع: securityintelligence