این بدافزار جدید که «Remaiten» نام دارد، ترکیبی از بدافزارهای لینوکسی Tsunami و Gafgyt است. اما بهمراتب قدرتمندتر از نمونههای یادشده بوده و همراه با ویژگیهای جدیدی پا به عرصه ظهور نهاده است. تا زمان نگارش این مقاله سه گونه مختلف از این بدافزار شناسایی شده است. کارشناسان امنیتی در بازبینی کدهای بهجامانده از این بدافزار، اسامی KTN-Remastered و KTN-RM را از درون آن کشف کردهاند. بدافزار لینوکسی Tsunami یک در پشتی دانلودکننده بود که برای آمادهسازی حملات انسداد سرویس توزیعشده (DDoS) و برای ساخت شبکهای از سیستمهای گوش به فرمان (Botnet) استفاده میشد.
مطلب پیشنهادی
بدافزار لینوکسی Gafgyt نیز بهعنوان در پشتی از راه دور کنترل و برای پویش Telnet استفاده میشد. شیوه کارکرد بدافزار Gafgyt به این صورت بود که آدرسهای آیپی شبکه را بررسی میکرد و در ادامه به صورت تصادفی به آدرسی متصل میشد. برای این منظور Gafgyt از درگاه 23 که مخصوص Telnet است، استفاده میکرد. اگر فرایند اتصال به آدرس آیپی با موفقیت انجام میشد، بدافزار سعی میکرد به روش سعی و خطا اطلاعات اعتباری مورد نیاز برای وارد شدن را که شامل شناسه و گذرواژه است، از درون فهرست توکار استخراج کند. اگر فرایند ورود به دستگاه با موفقیت همراه میشد، در ادامه فرمانی را برای دانلود فایلهای اجرایی اصلی برای معماریهای مختلف اجرا و سپس سعی میکرد بدافزارهای اصلی دانلودشده را اجرا کند.
این راهکار سادهای برای آلودهسازی دستگاهها بود که حداقل یکی از فایلهای اجرایی دانلودشده، متناسب با معماری دستگاهی بود که بدافزار روی آن اجرا میشد. اما Remaiten این سازوکار را بهبود بخشیده است و از مکانیزم گسترش سریعی همراه با فایلهای اجرایی برای معماریهای مختلف پردازندهها که در دستگاههای لینوکسی به طور معمول مبتنی بر آرم و MIPS هستند، استفاده میکند. بعد از ورود از طریق Telnet، بدافزار سعی میکند نوع پلتفرم دستگاه را شناسایی کند و فقط کدهای مدنظر را انتقال دهد. بعد از شناسایی و دانلود کدها از طریق سرور C&C فایل باینری روی دستگاه قربانی اجرا میشود و اقدام به ساخت بات (Bot) دیگری میکند که برای انجام فعالیتهای مجرمانه استفاده میشود. شکل بالا نحوه اتصال دانلودکننده به سرور C&C را نشان میدهد.
تنها وظیفهای که دانلودکننده بر عهده دارد، ارسال یکی از فرمانهای Mips، Mipsel، Armeabi و Amreabi به سرور C&C و نوشتن واکنش دریافتشده به stdout است. زمانی که فایل اجرا میشود، بات در پسزمینه به فعالیت میپردازد. بدافزار Remaiten با استفاده از فرمانهای رایج IRC هدایت و کنترل میشود. مهمترین فرمان IRC که این بدافزار از آن استفاده میکند، فرمان PRIVMSG است. این فرمان بهمنظور هدایت بدافزار برای انجام فعالیتهای مخربی همچون دانلود فایلها، پویش Telnet و مانند اینها استفاده میشود. دستوراتی که PRIVMSG ارسال میکند، درون یک آرایه ایستا قرار میگیرند. شکل زیر نمونهای از فرمانهای در دسترس این بدافزار را نشان میدهد.
فرمان جالب توجه دیگری که این بدافزار استفاده میکند، فرمان KILLBOTS است. بدافزار به گونهای طراحی شده است که فهرستی از پردازههای مخرب در حال اجرا را بررسی میکند و تصمیم میگیرد از چه پردازههای باید صرف نظر کند و به اجرای کدام پردازه باید خاتمه دهد. این کار بیشتر بر اساس نام پردازهها انجام میشود. البته نام پردازهها بر اساس نگارشهای مختلف بدافزار متفاوت هستند. شایان ذکر است پایه و اساس این بدافزار بر مبنای گذرواژههای ضعیف Telnet قرار دارد. بر همین اساس، مالکان دستگاهها باید از ابزار رایگان آنلاین پویش درگاهها برای بررسی این موضوع که آیا پورت شماره 23 روی روتر آنها باز است یا خیر استفاده کرده و همچنین سرویس Telnet را غیر فعال کنند. هنوز بهدرستی مشخص نیست که هدف از طراحی Remaiten چه بوده است، اما کارشناسان امنیتی بر این باور هستند که این بدافزار با هدف پیادهسازی یک حمله انسداد سرویس توزیعشده طراحی شده است که در عمل شناسایی آن را از طریق مسیریابها مشکل میسازد.
===========================
شاید به این مطالب هم علاقمند باشید:
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟