مرکز آپا دانشگاه کردستان

هدف قرار گرفتن پردازنده‌ها و معماری‌های جدید، توسط انواع جدیدی از بات‌نت Mirai

مجموعه‌ای جدید از اشکال مختلف بدافزار Mirai، برای اجرا شدن در پردازنده‌ها و معماری‌های جدید گسترش یافته و توسط واحد 42 ازPalo Alto Networks در اواخر ماه فوریه 2019 کشف شده است. طبق گزارش واحد 42، نمونه‌ها و اشکال تازه کشف شده از این بدافزار قابلیت اجرا روی پردازنده‌های Altera Nios II، OpenRISC، Tensilica Xtensa و Xilinx MicroBlaze را دارا هستند و به مهاجمان اجازه گسترش سطح و دامنه حملات و هدف قرار دادن دستگاه‌های جدید را می‌دهند. اگرچه با افزودن اکسپلویت‌های بیشتر، دامنه حملات را می‌توان افزایش داد، اما اضافه کردن پشتیبانی از معماری‌های بیشتر، راه ساده دیگری برای افزایش تعداد دستگاه‌هایی است که می‌توانند به بات‌نتی که آنها کنترل می‌کنند، اضافه شوند. علاوه بر این، محققان واحد 42 اعلام کردند که اگر این آخرین نوآوری‌ها برای گسترش انواع بات‌نت Mirai، باعث افزایش تعداد دستگاه‌های آلوده شود، پس بدان معنی است که مهاجمان بات‌نت Mirai به قدرتی اضافی برای استفاده در حملات منع سرویس دسترسی خواهند داشت. همچنین این انواع جدید Mirai از یک نسخه اصلاح شده از استاندارد XOR بایت استاندارد (مثل استفاده از آن در عملگر toggle_obf) استفاده می‌کند و به شکلی در واقع از کد منبع اصلی Mirai استفاده می‌کند که دارای 11 کلید 8 بایتی است، که معادل با یک XOR با مقدار 0x5A می‌باشد. همچنین، توسعه‌دهندگان این بدافزار، یک گزینه جدید حمله منع سرویس به نام attack_method_ovh را با همان پارامترهای مورد استفاده برای حملات منع سرویس TCP SYN، به کد منبع اصلی Mirai اضافه کرده‌اند. نمونه‌های جدید، توسط واحد 42 در یک دایرکتوری باز و بر روی یک سرور محافظت نشده پیدا شدند که شامل تعدادی از اکسپلویت‌هایی که در نمونه‌های قبلی Mirai نیز یافت می‌شدند بود. علاوه بر این از اکسپلویت‌های اجرای کد از راه دور ThinkPHP و تزریق کد در سیستم‌عامل D-Link DSL2750B برای بهره‌برداری از محصولات Netgear ، Huawei و Realtek هم استفاده می‌شد. طبق تحقیقات انجام شده، اینکه این اکسپلویت‌ها مجدداً در نسخه‌های دوباره کامپایل شده از Mirai استفاده می‌شوند، نشانگر اینست که مهاجمان پشت این حملات همان مهاجمانی هستند که قبلاً از این بات‌نت استفاده می‌کرده‌اند. طبق اخبار مربوطه، فقط در ماه گذشته، واحد 42 ازPalo Alto Networks ، یک نوع جدید از Mirai را کشف کرد که دارای یازده اکسپلویت جدید روی تلویزیون‌های Supersign شرکت LG و سیستم ارائه بی‌سیم WePresent WiPG-1000 بود، که قابل توجه‌ترین دستگاه‌های جدید مورد هدف قرار گرفته می‌باشند. پیش از این، در طول ماه سپتامبر، واحد 42، یک رشته از سویچ‌های مورد هدف Mirai را برای حمله به سرورهای Apache شناسایی کرد که از اکسپلویت‌هایی رخنه امنیتی Equifax در سال گذشته استفاده می‌کردند. همچنین یک نسخه جدید از Gafgyt دیده شد که با حمله به فایروال SonicWall، به عنوان بخشی از حملات گسترده‌تر علیه دستگاه‌های سازمانی شناسایی شد. به گفته یکی از محققان واحد 42، این ویژگی‌های جدید، بات‌نت Mirai را در سطح حمله وسیعی قرار می‌دهد و این بات‌نت، به طور خاص با هدف قرار دادن لینک‌های سازمانی نیز به پهنای باند وسیع‌تری دسترسی پیدا می‌کند و در نهایت باعث افزایش قدرت این بات‌نت طی حملات منع سرویس می‌شود. Mirai یک بدافزار خود گسترش دهنده است و هدف آن حمله به دستگاه‌های اینترنت اشیا مانند روترها، دوربین‌های ضبط فیلم دیجیتال و دوربین‌های IP و تبدیل آن‌ها به بات‌هایی برای استفاده از آن‌ها به عنوان منابعی برای توزیع گسترده حملات منع سرویس است. در سال 2016، مهاجمان مختلف با استفاده از هزاران نوع مختلف بات‌نت Mirai، توانایی حملات منع سرویس را با سرعت بیش از 650 گیگابیت بر ثانیه داشتند و صدها هزار دستگاه در طی این حملات تحت تاثیر قرار گرفتند.