خبر

بات‌نت جدیدی که پورت‌ باز دستگاه‌های اندروید را هدف گرفته است

شرکت Trend Micro هشدار داده که موج جدیدی از حملات سایبری، دستگاه‌های اندروید با پورت باز ۵۵۵۵ را هدف گرفته است که احتمالا هدف از این حمله استفاده از این دستگاه‌ها در یک بات‌نت است.

پورت ۵۵۵۵ TCP برای فراهم آوردن امکان مدیریت دستگاه‌ها از طریق Android Debug Bridge (پل دیباگ اندروید یا به اختصار ADB) طراحی شده است که از جمله امکانات Android SDK است که به توسعه‌دهندگان امکان برقراری ارتباط با دستگاه‌های اندروید جهت اجرای فرامینی روی آن‌ها یا به دست گرفتن کنترل کامل آن‌ها را می‌دهد.

قرار بوده که پورت ADB روی دستگاه‌های تجاری غیرفعال باشد و برای فعال کردن آن نیاز به اتصال به USB باشد؛ اما ماه گذشته یک محقق امنیتی به نام کوین بومونت افشا کرد که پورت ADB بسیاری از دستگاه‌ها از همان ابتدا و در هنگام عرضه به بازار فعال هستند که همین امر آن‌ها را در معرض حملات مختلف قرار می‌دهد.

حملات اسکن و پویشی‌ای که پورت ADB را هدف گرفته‌اند از ماه ژانویه یعنی بهمن ماه سال ۱۳۹۶ مشاهده شدند. در اوایل سال ۲۰۱۹ یا سال ۱۳۹۸شمسی، یک کرم از یک نسخه‌ی ویرایش شده از کد Mirai استفاده کرده بود تا دستگاه‌هایی را که پورت ۵۵۵۵ آن‌ها باز است شناسایی کرده و از آن‌ها برای ماین کردن ارزهای دیجیتال استفاده کند.

حالا شرکت Trend Micro اعلام کرده که یک اکسپلویت جدید، پورت ۵۵۵۵ را هدف گرفته است. این شرکت جهش ناگهانی در فعالیت این اکسپلویت را در تاریخ نهم و دهم ماه جولای میلادی یا هجدهم و نوزدهم تیرماه سال ۱۳۹۷ مشاهده کرده که اکثر ترافیک مربوط به آن از چین و امریکا بوده و موج دوم که در ۱۵ جولای یعنی ۲۴ تیر شروع شده، عمدتا کشور کُره را درگیر کرده است.

Trend Micro توضیح می‌دهد که: «ما با تحلیل بسته‌های شبکه متوجه شدیم که این بدافزار از طریق اسکن پورت‌های ADB باز منتشر می‌شود. سپس shell script مرحله ۱ را از طریق کانکشن ADB ارسال کرده و روی سیستم مورد هدف راه‌اندازی می‌کند. سپس این اسکریپت، دو shell script مرحله ۲ را دانلود می‌کند تا توابع باینری مرحله ۳ را راه‌اندازی ‌کند.»

این بدافزار پس از آلوده کردن دستگاه‌ها، به یکسری از پردازش‌های آن‌ها خاتمه داده و پردازش‌های فرزند خودش را راه‌اندازی می‌کند که یکی از آن‌ها مسئول انتشار این بدافزار به صورت یک کرم است. همچنین یک اتصال با سرور و کنترل و فرمان برقرار می‌کند.

این پی‌لود حاوی یک هدر با تعدادی هدف و بسته‌هایی از نوع IP است که باید فرستاده شوند و این نشان می‌دهد که این بدافزار برای راه‌اندازی حملات محروم‌سازی از سرویس توزیع شده طراحی شده است. (این بدافزار می‌تواند بسته‌های UDP ،TCP SYN TCP ACK (با یک پی‌لود تصادفی دارای طول تصادفی)، UDP با پی‌لود تصادفی ای که از طریق پروتکل Generic Routing Encapsulation تونل می‌زند و TCP SYN را ارسال کند).

همچنین شرکت Trend Micro متوجه شده که باینری‌های دانلود شده، به سرور کنترل و فرمانی که آدرس آن ۹۵[.]۲۱۵[.]۶۲[.]۱۶۹ است، متصل می‌شوند که ظاهرا با نسخه‌ Satori بات‌نت Mirai ارتباط دارد.

یکی از محققین شرکت Trend اعلام کرد «این نتیجه‌گیری که طراح این نمونه و Satori یک نفر باشد، منطقی است.»

همچنین شرکت Trend Micro خاطرنشان کرد که قابلیت انتشار کرم مانندِ این بدافزار، نشان می‌دهد که ممکن است پس از این شاهد افزایش ناگهانی در فعالیت‌های آن و حملات دیگری نیز باشیم. همچنین ممکن است سازندگان این بدافزار در حال «تست کارایی ابزارها و تاکتیک‌هایشان برای راه‌اندازی یک حمله جدی‌تر بوده باشند.»

یک جستجوی آنلاین نشان می‌دهد که بیش از ۴۸ هزار دستگاه اینترنت اشیا در برابر سو‌استفاده‌های ADB آسیب‌پذیر هستند اما ممکن است همه آن‌ها در این حمله تحت خطر قرار نگرفته باشند زیرا احتمالا بعضی از آن‌ها با مکانیزم برگردان آدرس شبکه (Network Address Translation یا به اختصار NAT) پشت روترها قرار گرفته‌اند؛ اما با این وجود ممکن است تنظیمات نادرست باعث شود که این دستگاه‌ها از طریق اینترنت قابل دسترس بوده و بنابراین تبدیل به هدفی آسان برای بدافزارها شوند.

Trend Micro در نهایت نتیجه‌گیری می‌کند که «تمام دستگاه‌های چند رسانه‌ای، تلویزیون‌های هوشمند، گوشی‌های موبایل و سایر دستگاه‌هایی که مکانیزم محافظتی لازم را ندارند، صرف‌نظر از میزان قوی بودن پسورد کاربر، اهداف آسانی برای این بدافزار هستند.»

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک + 15 =

دکمه بازگشت به بالا
بستن
بستن