اونا رو پولاشون به هم نزدیک کرد ما رو باورامون
باتنت dark_nexus
شرکت امنیتی Bitdefender اعلام کرده که این باتنت جدید بانام dark_nexus مجهز به امکانات و قابلیتهایی خاص بوده و فراتر از باتنتهای معمول این روزها عمل میکند.
باتنتها، شبکههایی متشکل از ماشینها، محصولات موسوم به اینترنت اشیاء (IoT) و دستگاههای همراه هکشدهای هستند که در سیطره یک کنترلکننده اصلی قرار دارند. در کنار یکدیگر از این دستگاهها میتوان برای اجرای اقدامات مخربی همچون حملات DDoS و کارزارهای ارسال انبوه هرزنامه استفاده کرد.
نام dark_nexus برگرفته از رشته dark_NeXus_Qbot/۴,۰ است که در جریان بهرهجویی (Exploit) بر روی پودمان HTTP مورداشاره این باتنت قرار میگیرد. محققان Bitdefender کلمه Qbot در رشته مذکور را نیز نشانهای از تأثیرپذیری آن از باتنتی با همین نام میدانند.
علیرغم وجود کدهای مشابه با کدهای بکار رفته در باتنتهای Mirai و Qbot محققان Bitdefender اکثر امکانات dark_nexus را مختص آن میدانند. بهعبارتدیگر اگرچه dark_nexus برخی امکانات را با باتنتهای مبتنی بر اینترنت اشیاء به اشتراک میگذارد اما روش توسعه و برنامهنویسی برخی از ماژولهای آن موجب شده که این باتنت بسیار قدرتمندتر و ستبرتر از سایرین باشد.
dark_nexus سه ماه است که فعال و در این مدت سه نسخه متفاوت از آن عرضهشده است. هانیپاتها نشان میدهند که حداقل ۱,۳۷۲ بات عضو dark_nexus هستند.
پس از شناسایی ماشین، باتنت با تکنیک Credential Stuffing و همچنین با بهکارگیری بهرهجوها برای هک کردن آن تلاش میکند. هدف دو ماژول که یکی از آنها بهصورت همزمان و دیگری بهطور غیرهمزمان مورداستفاده قرار میگیرد استفاده از پودمان Telnet و فهرستی از اطلاعات اصالتسنجی برای نفوذ به ماشین است.
همانند اکثر پویشگرهایی که توسط باتنتهای متداول مورداستفاده قرار میگیرند پویشگر dark_nexus نیز از مدل موسوم به ماشینهای حالات متناهی (Finite State Machines) برای بهکارگیری پودمان Telnet و در ادامه گامهای بعدی آلودهسازی پیروی کرده که بر طبق آن، مهاجم فرمان را بر مبنای خروجی فرمانها قبلی صادر میکند.
dark_nexus برای راهاندازی بات از Qbot الگوبرداری کرده است: چندین انشعاب را ایجاد کرده، تعدادی سیگنال را مسدود نموده و در ادامه بات ارتباط خود را با ترمینال قطع میکند. سپس بات مشابه با Mirai درگاه ۷۶۳۰ را باز میکند.
همچنین بات بهمنظور مخفی کردن ماهیت فعالیتهای خود نامش را به /bin/busybox تغییر میدهد.
باتنت دارای کدهای مخربی است که با ۱۲ معماری CPU سازگار بوده و بسته به پیکربندی دستگاه قربانی اجرا میشوند.
dark_nexus از یک رویکرد منحصربهفرد برای محکم کردن جای پای خود بر روی ماشین استفاده میکند. بدین ترتیب که کد بدافزار باتنت حاوی فهرستی از پروسههای مجاز و روشهایی برای شناسایی پروسههاست تا از این طریق پروسههای مزاحم از دید dark_nexus متوقف شوند.
باتنت دارای دو سرور فرماندهی (C۲) است و یک سرور دیگر نیز وظیفه گزارش دهی در خصوص سرویسهای آسیبپذیر شامل IP و شماره درگاههای آنها در فرایند شناسایی را انجام میدهد
نشانیهای سرور یا در کدهای نسبتاً کوچکی که نقش Downloader رادارند تزریقشدهاند و یا در بعضی از نمونهها قابلیت پراکسی معکوس (Reverse Proxy) ارتباطات میان بات و سرورها را برقرار میکند. پراکسی معکوس در dark_nexus موجب تبدیل هر قربانی به یک پراکسی برای سرور میزبان شده و از این طریق بر روی درگاههای تصادفی به سرویسدهی میپردازد.
حملات اجراشده توسط باتنت معمولی گزارششدهاند. البته با ذکر یک استثنا و آن قابلیت اجرای فرمان browser_http_req است که به گفته Bitdefender بسیار پیچیده و قابل پیکربندی بوده و ترافیکهایی نظیر ترافیک مرورگر را عادی جلوه میکند.
امکان جالب دیگر dark_nexus قابلیتی برای جلوگیری از راهاندازی مجدد شدن دستگاه است. بدین منظور سرویس cron هک و متوقفشده و همزمان مجوز فایلهای اجرایی که میتوانند در راهاندازی مجدد ماشین نقش دارند عزل میشود.
محققان معتقدند که توسعهدهنده باتنت، فردی با شناسه greek.Helios است که برای سالها سرویسهای DDoS را در تالارهای گفتگوی اینترنتی مهاجمان تبلیغ میکرده است.
همچنین پراکسیهای socks۵ در چندین نسخه از بدافزار مورداستفاده توسط این باتنت شناساییشده است. قابلیتی که در باتنتهای دیگری همچون نسخههایی از Mirai، TheMoon و Gwmndy استفاده میشود.
فروش دسترسی به این پراکسیها در تالارهای گفتگوی اینترنتی مهاجمان میتواند یکی از انگیزههای گرداننده این باتنت باشد. اگرچه Bitdefender اعلام کرده که سندی برای اثبات این نظریه نیافته است.
مشروح گزارش Bitdefender در لینک زیر قابل دریافت و مطالعه است:
https://www.bitdefender.com/files/News/CaseStudies/study/۳۱۹/Bitdefender-PR-Whitepaper-DarkNexus-creat۴۳۴۹-en-EN-interactive.pdf
نشانههای آلودگی (IoC) این باتنت از آدرس زیر قابل دریافت هستند:
https://github.com/bitdefender/malware-ioc/blob/master/dark_nexus/all_bo...
مطلبی دیگر از این انتشارات
ادعای مایکروسافت درمورد تهاجمیتر شدن روسیه در فضای سایبری
مطلبی دیگر از این انتشارات
هک یک شرکت امریکایی با کارت هدیه جعلی
مطلبی دیگر از این انتشارات
سجاد خواجه علیجانی پولشوی اعظم سایت های قمار ایران