ظهور باتنت ایرانیِ Persirai در دنیای اینترنت اشیاء
ارسال شده: پنجشنبه می 11, 2017 11:07 am
[IMG]https://news.asis.io/sites/default/file ... k=DkA27oTg[/IMG]
محققان امنیتی از ترندمیکرو هشدار دادند نزدیک به ۱۲۰ هزار دوربین IP که توسط شرکتهای مختلفی تولید شدهاند، در برابر آلوده شدن به باتنت جدیدی در حوزهی اینترنت اشیاء آسیبپذیر هستند. باتنت جدید Persirai نام داشته و به نظر میرسد مبتنی بر بدافزار Mirai است.
بدافزار Mirai پس از اینکه چندین مورد حملهی منع سرویس توزیعشده در سطح گسترده انجام داد، بیش از پیش مورد توجه محققان امنیتی و رسانهها قرار گرفت. باتنت Mirai نیز مانند باتنت Hajime دستگاههای ضبط ویدئوهای دیجیتال (DVR) و دوربینهای CCTV را هدف قرار میدهد.
براساس گزارش ترندمیکرو، باتنت جدید بیش از هزار مدل دوربین IP را تحت تأثیر قرار میدهد در حالیکه مالکان این دستگاهها مطلع نیستند که دستگاه آنها در سطح اینترنت قابل دسترسی بوده و در معرض حمله قرار دارد. محققان امنیتی به این نتیجه رسیدهاند که مهاجمان میتوانند بهراحتی و از طریق واسطهای مبتنی بر وب، بر روی درگاه ۸۱ پروتکل TCP به دستگاههای آسیبپذیر دسترسی داشته باشند.
دوربینهای IP به دلیل اینکه از پروتکل UpnP استفاده میکنند که اجازه میدهد بر روی مسیریاب درگاهی باز شده و دستگاه مانند یک کارگزار عمل کند، برای بدافزارهای اینترنت اشیاء، اهداف ملموس و آسانی به حساب میآیند. پس از دسترسی به واسطهای آسیبپذیر بر روی دستگاه، مهاجم میتواند به تزریق دستورات پرداخته و دستگاه را مجبور کند تا به وبگاههای خاصی متصل شده و اسکریپتهای مخرب شِل را بارگیری و اجرا کند.
پس از اینکه بدافزار Persirai بر روی دستگاه اجرا شد، خود را حذف کرده و تنها در قسمت حافظه به اجرا ادامه میدهد. همچنین این بدافزار آسیبپذیری روز-صفرم را که از آن بهرهبرداری کرده بود، وصله میکند تا دیگر بدافزارها نتوانند به این دوربین دسترسی یابند. بهخاطر اینکه کد مخرب در داخل حافظه اجرا میشود، راهاندازی مجددِ دستگاه، آن را در معرض بهرهبرداری دوباره قرار میدهد.
مشاهده شده دوربینهای IP که به این باتنت آلوده شدهاند، به چندین کارگزار دستور و کنترل گزارش میدهند. پس از دریافت دستورات از طرف کارگزار، بدافزار بر روی دستگاه، حملات خود را با بهرهبرداری از یک آسیبپذیری روز-صفرم آغاز میکند. این بهرهبرداری به مهاجم اجازه میدهد به پروندهی گذرواژهها دست یافته و به حملات تزریق کد بپردازد.
این باتنت میتواند حملات منعی سرویس توزیعشده را با روشِ ارسال سیلآسای بستههای UDP انجام دهد و بدون نیاز به جعل آدرس IP و با استفاده از بستههای SSDP حملات خود را عملیاتی کند. محققان امنیتی هنگام انتساب این بدافزار به کارگزارهای دستور و کنترل، با دامنههای .IR مواجه شدند که محدود به کشور ایران است. علاوه بر این، در کد این بدافزار نویسههایی به زبان فارسی نیز مشاهده شده است.
به نظر میرسد باتنت Persirai براساس کد منبع بدافزار Mirai نوشته شده است. کد منبع این بدافزار در ماه اکتبر سال گذشته بهطور عمومی منتشر شد. باتنت Persirai دستگاههایی با ثابتافزارهای قدیمی را هدف قرار میدهد و استفاده از گذرواژههای قوی نمیتواند مانع از آلودگی دستگاه شود چرا که باتنت از یک آسیبپذیریِ سرقت گذرواژهها بهرهبرداری میکند. بنابراین مالکان این دوربینها باید برای حفاظت از دستگاهها از راهکارهای امنیتی دیگری استفاده کنند.
محققان ترندمیکرو گفتند: «امنیت دستگاههای اینترنت اشیاء تنها در گروِ توجه کاربران نیست و شرکتهای تولیدکنندهی این دستگاهها نیز باید اطمینان حاصل کنند ثابتافزارهای موجود بر روی محصولات، امن و بهروز هستند. همچنین کاربران نیز باید برای بهروزرسانی ثابتافزار بر روی دستگاههای خود اقدام کنند تا آسیبپذیریهای موجود در آنها، توسط چنین بدافزارهایی مورد بهرهبرداری قرار نگیرد.»
محققان امنیتی از ترندمیکرو هشدار دادند نزدیک به ۱۲۰ هزار دوربین IP که توسط شرکتهای مختلفی تولید شدهاند، در برابر آلوده شدن به باتنت جدیدی در حوزهی اینترنت اشیاء آسیبپذیر هستند. باتنت جدید Persirai نام داشته و به نظر میرسد مبتنی بر بدافزار Mirai است.
بدافزار Mirai پس از اینکه چندین مورد حملهی منع سرویس توزیعشده در سطح گسترده انجام داد، بیش از پیش مورد توجه محققان امنیتی و رسانهها قرار گرفت. باتنت Mirai نیز مانند باتنت Hajime دستگاههای ضبط ویدئوهای دیجیتال (DVR) و دوربینهای CCTV را هدف قرار میدهد.
براساس گزارش ترندمیکرو، باتنت جدید بیش از هزار مدل دوربین IP را تحت تأثیر قرار میدهد در حالیکه مالکان این دستگاهها مطلع نیستند که دستگاه آنها در سطح اینترنت قابل دسترسی بوده و در معرض حمله قرار دارد. محققان امنیتی به این نتیجه رسیدهاند که مهاجمان میتوانند بهراحتی و از طریق واسطهای مبتنی بر وب، بر روی درگاه ۸۱ پروتکل TCP به دستگاههای آسیبپذیر دسترسی داشته باشند.
دوربینهای IP به دلیل اینکه از پروتکل UpnP استفاده میکنند که اجازه میدهد بر روی مسیریاب درگاهی باز شده و دستگاه مانند یک کارگزار عمل کند، برای بدافزارهای اینترنت اشیاء، اهداف ملموس و آسانی به حساب میآیند. پس از دسترسی به واسطهای آسیبپذیر بر روی دستگاه، مهاجم میتواند به تزریق دستورات پرداخته و دستگاه را مجبور کند تا به وبگاههای خاصی متصل شده و اسکریپتهای مخرب شِل را بارگیری و اجرا کند.
پس از اینکه بدافزار Persirai بر روی دستگاه اجرا شد، خود را حذف کرده و تنها در قسمت حافظه به اجرا ادامه میدهد. همچنین این بدافزار آسیبپذیری روز-صفرم را که از آن بهرهبرداری کرده بود، وصله میکند تا دیگر بدافزارها نتوانند به این دوربین دسترسی یابند. بهخاطر اینکه کد مخرب در داخل حافظه اجرا میشود، راهاندازی مجددِ دستگاه، آن را در معرض بهرهبرداری دوباره قرار میدهد.
مشاهده شده دوربینهای IP که به این باتنت آلوده شدهاند، به چندین کارگزار دستور و کنترل گزارش میدهند. پس از دریافت دستورات از طرف کارگزار، بدافزار بر روی دستگاه، حملات خود را با بهرهبرداری از یک آسیبپذیری روز-صفرم آغاز میکند. این بهرهبرداری به مهاجم اجازه میدهد به پروندهی گذرواژهها دست یافته و به حملات تزریق کد بپردازد.
این باتنت میتواند حملات منعی سرویس توزیعشده را با روشِ ارسال سیلآسای بستههای UDP انجام دهد و بدون نیاز به جعل آدرس IP و با استفاده از بستههای SSDP حملات خود را عملیاتی کند. محققان امنیتی هنگام انتساب این بدافزار به کارگزارهای دستور و کنترل، با دامنههای .IR مواجه شدند که محدود به کشور ایران است. علاوه بر این، در کد این بدافزار نویسههایی به زبان فارسی نیز مشاهده شده است.
به نظر میرسد باتنت Persirai براساس کد منبع بدافزار Mirai نوشته شده است. کد منبع این بدافزار در ماه اکتبر سال گذشته بهطور عمومی منتشر شد. باتنت Persirai دستگاههایی با ثابتافزارهای قدیمی را هدف قرار میدهد و استفاده از گذرواژههای قوی نمیتواند مانع از آلودگی دستگاه شود چرا که باتنت از یک آسیبپذیریِ سرقت گذرواژهها بهرهبرداری میکند. بنابراین مالکان این دوربینها باید برای حفاظت از دستگاهها از راهکارهای امنیتی دیگری استفاده کنند.
محققان ترندمیکرو گفتند: «امنیت دستگاههای اینترنت اشیاء تنها در گروِ توجه کاربران نیست و شرکتهای تولیدکنندهی این دستگاهها نیز باید اطمینان حاصل کنند ثابتافزارهای موجود بر روی محصولات، امن و بهروز هستند. همچنین کاربران نیز باید برای بهروزرسانی ثابتافزار بر روی دستگاههای خود اقدام کنند تا آسیبپذیریهای موجود در آنها، توسط چنین بدافزارهایی مورد بهرهبرداری قرار نگیرد.»