باتنت جدیدی در صحنه تهدیدات سایبری ظاهر شده که محققان توانایی فوقالعاده آن را مایه شرمساری سایر باتنتها توصیف کردهاند.
به گزارش تماس نیوز از مرکز افتا، شرکت امنیتی Bitdefender اعلام کرده که این باتنت جدید با نام dark_nexus مجهز به امکانات و قابلیتهایی خاص بوده و فراتر از باتنتهای معمول این روزها عمل میکند.
باتنتها، شبکههایی متشکل از ماشینها، محصولات موسوم به اینترنت اشیاء (IoT) و دستگاههای همراه هکشدهای هستند که در سیطره یک کنترلکننده اصلی قرار دارند. در کنار یکدیگر از این دستگاهها میتوان برای اجرای اقدامات مخربی همچون حملات DDoS و کارزارهای ارسال انبوه هرزنامه استفاده کرد.
نام dark_nexus برگرفته از رشته dark_NeXus_Qbot/۴,۰ است که در جریان بهرهجویی (Exploit) بر روی پودمان HTTP مورد اشاره این باتنت قرار میگیرد. محققان Bitdefender کلمه Qbot در رشته مذکور را نیز نشانهای از تأثیرپذیری آن از باتنتی با همین نام میدانند.
علیرغم وجود کدهای مشابه با کدهای بکار رفته در باتنتهای Mirai و Qbot محققان Bitdefender اکثر امکانات dark_nexus را مختص آن میدانند. بهعبارت دیگر اگر چه dark_nexus برخی امکانات را با باتنتهای مبتنی بر اینترنت اشیاء به اشتراک میگذارد اما روش توسعه و برنامهنویسی برخی از ماژولهای آن موجب شده که این باتنت بسیار قدرتمندتر و ستبرتر از سایرین باشد.
dark_nexus سه ماه است که فعال و در این مدت سه نسخه متفاوت از آن عرضه شده است. هانیپاتها نشان میدهند که حداقل ۱,۳۷۲ بات عضو dark_nexus هستند.
پس از شناسایی ماشین، باتنت با تکنیک Credential Stuffing و همچنین با بکارگیری بهرهجوها برای هک کردن آن تلاش میکند. هدف دو ماژول که یکی از آنها بهصورت همزمان و دیگری بهطور غیرهمزمان مورد استفاده قرار میگیرد استفاده از پودمان Telnet و فهرستی از اطلاعات اصالتسنجی برای نفوذ به ماشین است.
همانند اکثر پویشگرهایی که توسط باتنتهای متدوال مورد استفاده قرار میگیرند پویشگر dark_nexus نیز از مدل موسوم به ماشینهای حالات متناهی (Finite State Machines) برای بکارگیری پودمان Telnet و در ادامه گامهای بعدی آلودهسازی پیروی کرده که بر طبق آن، مهاجم فرمان را بر مبنای خروجی فرامین قبلی صادر میکند.
dark_nexus برای راهاندازی بات از Qbot الگوبرداری کرده است: چندین انشعاب را ایجاد کرده، تعدادی سیگنال را مسدود نموده و در ادامه بات ارتباط خود را با ترمینال قطع میکند. سپس بات مشابه با Mirai درگاه ۷۶۳۰ را باز میکند.
همچنین بات بهمنظور مخفی کردن ماهیت فعالیتهای خود نامش را به /bin/busybox تغییر میدهد.
باتنت دارای کدهای مخربی است که با ۱۲ معماری CPU سازگار بوده و بسته به پیکربندی دستگاه قربانی اجرا میشوند.
dark_nexus از یک رویکرد منحصربهفرد برای محکم کردن جای پای خود بر روی ماشین استفاده میکند. بدینترتیب که کد بدافزار باتنت حاوی فهرستی از پروسههای مجاز و روشهایی برای شناسایی پروسههاست تا از این طریق پروسههای مزاحم از دید dark_nexus متوقف شوند.
باتنت دارای دو سرور فرماندهی (C۲) است و یک سرور دیگر نیز وظیفه گزارشدهی در خصوص سرویسهای آسیبپذیر شامل IP و شماره درگاههای آنها در فرایند شناسایی را انجام میدهد.
نشانیهای سرور یا در کدهای نسبتاً کوچکی که نقش Downloader را دارند تزریق شدهاند و یا در بعضی از نمونهها قابلیت پراکسی معکوس (Reverse Proxy) ارتباطات میان بات و سرورها را برقرار میکند. پراکسی معکوس در dark_nexus موجب تبدیل هر قربانی به یک پراکسی برای سرور میزبان شده و از این طریق بر روی درگاههای تصادفی به سرویسدهی میپردازد.
حملات اجرا شده توسط باتنت معمولی گزارش شدهاند. البته با ذکر یک استثنا و آن قابلیت اجرای فرمان browser_http_req است که به گفته Bitdefender بسیار پیچیده و قابل پیکربندی بوده و ترافیکهایی نظیر ترافیک مرورگر را عادی جلوه میکند.
امکان جالب دیگر dark_nexus قابلیتی برای جلوگیری از راهاندازی مجدد شدن دستگاه است. بدین منظور سرویس cron هک و متوقف شده و همزمان مجوز فایلهای اجرایی که میتوانند در راهاندازی مجدد ماشین نقش دارند عزل میشود.
محققان معتقدند که توسعهدهنده باتنت، فردی با شناسه greek.Helios است که برای سالها سرویسهای DDoS را در تالارهای گفتگوی اینترنتی مهاجمان تبلیغ میکرده است.
همچنین پراکسیهای socks۵ در چندین نسخه از بدافزار مورد استفاده توسط این باتنت شناسایی شده است. قابلیتی که در باتنتهای دیگری همچون نسخههایی از Mirai، TheMoon و Gwmndy استفاده میشود.
فروش دسترسی به این پراکسیها در تالارهای گفتگوی اینترنتی مهاجمان میتواند یکی از انگیزههای گرداننده این باتنت باشد. اگر چه Bitdefender اعلام کرده که سندی برای اثبات این نظریه نیافته است.
مشروح گزارش Bitdefender در این لینک قابل دریافت و مطالعه است.
