کشف نمونه جدید باتنت Mirai با قابلیت مخفی شدن در شبکه Tor
تاریخ انتشار: ۱۹ مرداد ۱۳۹۸ | کد خبر: ۲۴۷۱۱۰۰۲
به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از پایگاه اینترنتی ZDNet، این باتنت تلاش میکند تا دستگاههای IoT از جمله مسیریابها، دوربینهای مداربسته، لوازم خانگی هوشمند و وسایل نقلیه را از طریق حملات جستجو فراگیر (brute-force) و استفاده از اطلاعات احرازهویت پیش فرض، تحت تصرف خود درآورد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
پس از استفاده از باتنت Mirai برای حمله به یکی از سایتهای شناخته شده، کد منبع آن به صورت عمومی منتشر شد تا سایر عوامل مخرب نیز بتوانند آن را توسعه دهند و نسخههای مربوط به خود را ایجاد کنند. نسخههای تکامل یافته Mirai شامل موارد Okiru، Satori، Masuta، PureMasuta و Miori هستند.
پژوهشگران Trend Micro اخیرا نسخه جدیدی از این باتنت را کشف کردهاند که دارای كاركردهای مشابه سایر نمونهها است. این موارد شامل دسترسی و کنترل از راه دور از طریق پورتهای آسیبپذیر، باز و دارای اطلاعات احرازهویت پیشفرض و همچنین امکان انجام حملات DDoS و سیل UDP میباشند. آخرین نمونه Mirai روی پورتهای ۹۵۲۷ و ۳۴۵۶۷ TCP تمرکز دارد که میتواند نشان دهنده تمایل برای تصاحب دوربینهای IP و DVRها باشد. نکته جالب در مورد این نمونه، مخفی شدن سرورهای فرمان و کنترل (C&C) آن در آدرسهای onion و شبکه Tor است. در نمونههای مختلف Mirai معمولا از یک الی چهار سرور C&C استفاده میشود، اما در این نمونه ۳۰ آدرس IP وجود دارد. همچنین در این نمونه از پراکسیهای Socks۵ برای ارتباط با سرورها در شبکه Tor استفاده شده است. در صورتیکه یک ارتباط ناموفق باشد، باتنت از سرور دیگری از لیست خود استفاده میکند.
این باتنت اولین بدافزاری نیست که برای مخفی کردن خود از شبکه Tor استفاده میکند، اما میتواند الگوی مناسبی برای تکامل سایر بدافزارهای IoT باشد.
نشانههای آلودگی (IoC):
هشها:
• bc۵۶b۷aa۷۸b۷۱a۳d۰bcf۵fa۱۴eeeb۸۷eea۴۲b۵۲۹۸۸b۱۳bee۸d۳a۲۷baa۳۳۷۰a۳a
• eeae۰۱f۴۷۱۷f۴d۶۲۴۸ee۹e۹e۶d۵۳d۸۴۱c۶۴۸e۳۵۲۵۹۷۱۶dfe۷۴cac۶۳۰e۱۵f۱۸۱۱
• ۴d۴۶ad۴۶۰۲b۴۸۶ff۷۱۴۶a۱۴۱۶۵۹۴۸f۴۶a۷۰bf۴۱۳۲۳e۶bb۶۱۹cc۲ff۰۸ad۰۲f۲ee
• ۷d۲f۵f۵efb۴aa۸e۵dca۵۴۳۷۳۴۸۲۹ac۴eb۹d۸۹۸۸۵d۷e۶۰aed۶af۴d۳۵۵۰۸ded۲۱c
URLها:
• nd۳rwzslqhxibkl۷[.]onion:۱۳۵۶
• hxxp://۱۸۵[.]۱۰۰[.]۸۴[.]۱۸۷/t/
• hxxp://۸۹[.]۲۴۸[.]۱۷۴[.]۱۹۸/main/
منابع:
https://www.zdnet.com/article/new-mirai-botnet-lurks-in-the-tor-network-to-stay-under-the-radar/
https://blog.trendmicro.com/trendlabs-security-intelligence/keeping-a-hidden-identity-mirai-ccs-in-tor-network/
انتهای پیام/
منبع: باشگاه خبرنگاران
کلیدواژه: نرم افزار مشکلات اینترنت
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.yjc.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «باشگاه خبرنگاران» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۴۷۱۱۰۰۲ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
وزیر : مودم تولید داخل نمیتواند سرعت بالا داشته باشد
به گزارش صدای ایران از شفقنا، عیسی زارعپور درباره «پیرو اظهارات اخیر مدیر یکی از اپراتورهای اینترنتی که مشکل شبکه را ناشی از استفاده از مودمهای تولید داخل دانسته است، آیا این موضوع را بهانه تراشی اپراتورها برای واردات مودمهای ارزان قیمت و کارکرده چینی نمیدانید؟ و در راستای حمایت از تولید داخل چه برخوردی با این اپراتور داشته اید؟» گفت: بحثی که ایشان مطرح کرده در مورد مودمهای فیبرنوری است که کلاً ۴۰۰ تا ۵۰۰ هزار مشترک دارد.
وی ادامه داد: موضوعی که مدیر این اپراتور مطرح کرده، عمومیت ندارد و دغدغه شخصی ایشان بوده از سوی دیگر مودمهای تولید داخل قابلیتهایی که دارند، قابلیتهایی نیست که بتوانند سرعتهای بالا داشته باشند.
زارع پور گفت: بخشی از صحبتهای این مدیر اپراتور درست است، چون همین الان مودمهای خارجی هم اگر نتوانند در فرکانس ۲.۴ کار کنند که فرکانس معمول وای فای است، سرعت بیش از ۱۰۰ گیگاهرتز را نمیتوانند ارایه دهند. فرکانس ۶.۵ که استاندار وای فای ۶ و ۷ هست، میتواند از طریق سرعتهای تا یک گیگ هم ارایه دهد. در حال حاضر وای فای ۷ استاندارد جدید تا ۱۰ گیک هم میتواند ارایه دهد. مودم باید مودمی باشد که این قابلیت را داشته باشد.
وی توضیح داد: برخی از مودمهای تولید داخل این فرکانسها را ساپورت نمیکنند، ولی اکنون در برنامه تولید شرکت یا سازنده مودم هست و باید هم حواسمان به تولید داخل باشد و هم از سوی دیگر باید محصولی که تولید میشود، کیفیت داشته باشد و قابلیتهایی که دارد قابلیتهایی باشد که متناسب با نیاز کاربران باشد.
زارع پور بیان کرد: مشکل از مودم نیست، در حال حاضر شبکه این قابلیت را دارد پیدا میکند و در شهرهایی که فیبرنوری راه میافتد، مشترکینی که فیبرنوری میگیرند میتوانند سرعت تا هزار بگیرند، اما مودم فعلی که اکنون در بازار هست، ممکن است که این قابلیت را پشتیبانی نکند لذا نیازمند این هستیم که هم تولیدکنندگان محصولات خود را ارتقا دهند و اگر هم نیاز بود، تا وقتی تولید داخل به نقطهای میرسد که این نیاز را برطرف کند، از طریق واردات، نیازها تأمین میشود.