صفحه 1 از 1

ظهور بات‌نت ایرانیِ Persirai در دنیای اینترنت اشیاء

ارسال شده: پنج‌شنبه می 11, 2017 11:07 am
توسط saman
[IMG]https://news.asis.io/sites/default/file ... k=DkA27oTg[/IMG]

محققان امنیتی از ترندمیکرو هشدار دادند نزدیک به ۱۲۰ هزار دوربین IP که توسط شرکت‌های مختلفی تولید شده‌اند، در برابر آلوده شدن به بات‌نت جدیدی در حوزه‌ی اینترنت اشیاء آسیب‌پذیر هستند. بات‌نت جدید Persirai نام داشته و به نظر می‌رسد مبتنی بر بدافزار Mirai است.

بدافزار Mirai پس از اینکه چندین مورد حمله‌ی منع سرویس توزیع‌شده در سطح گسترده انجام داد، بیش از پیش مورد توجه محققان امنیتی و رسانه‌ها قرار گرفت. بات‌نت Mirai نیز مانند بات‌نت Hajime دستگاه‌های ضبط ویدئوهای دیجیتال (DVR) و دوربین‌های CCTV را هدف قرار می‌دهد.

براساس گزارش ترندمیکرو، بات‌نت جدید بیش از هزار مدل دوربین IP را تحت تأثیر قرار می‌دهد در حالی‌که مالکان این دستگاه‌ها مطلع نیستند که دستگاه آن‌ها در سطح اینترنت قابل دسترسی بوده و در معرض حمله قرار دارد. محققان امنیتی به این نتیجه رسیده‌اند که مهاجمان می‌توانند به‌راحتی و از طریق واسط‌های مبتنی بر وب، بر روی درگاه ۸۱ پروتکل TCP به دستگاه‌های آسیب‌پذیر دسترسی داشته باشند.

دوربین‌های IP به دلیل اینکه از پروتکل UpnP استفاده می‌کنند که اجازه می‌دهد بر روی مسیریاب درگاهی باز شده و دستگاه مانند یک کارگزار عمل کند، برای بدافزارهای اینترنت اشیاء، اهداف ملموس و آسانی به حساب می‌آیند. پس از دسترسی به واسط‌های آسیب‌پذیر بر روی دستگاه، مهاجم می‌تواند به تزریق دستورات پرداخته و دستگاه را مجبور کند تا به وب‌گاه‌های خاصی متصل شده و اسکریپت‌های مخرب شِل را بارگیری و اجرا کند.

پس از اینکه بدافزار Persirai بر روی دستگاه اجرا شد، خود را حذف کرده و تنها در قسمت حافظه به اجرا ادامه می‌دهد. همچنین این بدافزار آسیب‌پذیری روز-صفرم را که از آن بهره‌برداری کرده بود، وصله می‌کند تا دیگر بدافزارها نتوانند به این دوربین دسترسی یابند. به‌خاطر اینکه کد مخرب در داخل حافظه اجرا می‌شود، راه‌اندازی مجددِ دستگاه، آن را در معرض بهره‌برداری دوباره قرار می‌دهد.

مشاهده شده دوربین‌های IP که به این بات‌نت آلوده شده‌اند، به چندین کارگزار دستور و کنترل گزارش می‌دهند. پس از دریافت دستورات از طرف کارگزار، بدافزار بر روی دستگاه، حملات خود را با بهره‌برداری از یک آسیب‌پذیری روز-صفرم آغاز می‌کند. این بهره‌برداری به مهاجم اجازه می‌دهد به پرونده‌ی گذرواژه‌ها دست یافته و به حملات تزریق کد بپردازد.

این بات‌نت می‌تواند حملات منعی سرویس توزیع‌شده را با روشِ ارسال سیل‌آسای بسته‌های UDP انجام دهد و بدون نیاز به جعل آدرس IP و با استفاده از بسته‌های SSDP حملات خود را عملیاتی کند. محققان امنیتی هنگام انتساب این بدافزار به کارگزارهای دستور و کنترل، با دامنه‌های .IR مواجه شدند که محدود به کشور ایران است. علاوه بر این، در کد این بدافزار نویسه‌هایی به زبان فارسی نیز مشاهده شده است.

به نظر می‌رسد بات‌نت Persirai براساس کد منبع بدافزار Mirai نوشته شده است. کد منبع این بدافزار در ماه اکتبر سال گذشته به‌طور عمومی منتشر شد. بات‌نت Persirai دستگاه‌هایی با ثابت‌افزارهای قدیمی را هدف قرار می‌دهد و استفاده از گذرواژه‌های قوی نمی‌تواند مانع از آلودگی دستگاه شود چرا که بات‌نت از یک آسیب‌پذیریِ سرقت گذرواژه‌ها بهره‌برداری می‌کند. بنابراین مالکان این دوربین‌ها باید برای حفاظت از دستگاه‌ها از راه‌کارهای امنیتی دیگری استفاده کنند.

محققان ترندمیکرو گفتند: «امنیت دستگاه‌های اینترنت اشیاء تنها در گروِ توجه کاربران نیست و شرکت‌های تولیدکننده‌ی این دستگاه‌ها نیز باید اطمینان حاصل کنند ثابت‌افزارهای موجود بر روی محصولات، امن و به‌روز هستند. همچنین کاربران نیز باید برای به‌روزرسانی ثابت‌افزار بر روی دستگاه‌های خود اقدام کنند تا آسیب‌پذیری‌های موجود در آن‌ها، توسط چنین بدافزارهایی مورد بهره‌برداری قرار نگیرد.»