حمله باتنت جدید به سرورهای SSH

باتنتها شبکههای رایانه ای آلوده به بدافزارها هستند که هر یک از آنها به تنهایی قابلیت مدیریت خودکار تعداد زیادی از رایانه های آلوده را دارند. مدل غیرمتمرکز یا نظیربهنظیر (P2P) یکی از انواع باتنتها به شمار می رود. در این مدل، مهاجم برای آنکه بتواند کل باتنت را کنترل کند کافی است حداقل به یکی از رایانه ها دسترسی داشته باشد.
به تازگی باتنت نظیربهنظیری با نام “FritzFrog” به بیش از ۵۰۰ سرور SSH (که برای برقراری اتصال امن میان کاربر و سرور از آن استفاده می شود) از جمله سرورهای مورد استفاده در یک شرکت راهآهن و تعدادی از مؤسسات آموزشی معروف در آمریکا و اروپا نفوذ کرده است.
FritzFrog اولین بار توسط شرکت امنیت سایبری Guardicore Labs شناسایی شد. این شرکت ابتدا متوجه اجرای پردازشهای مخرب ifconfig و nginx توسط این باتنت شد. سپس محققان تیم امنیتی آن اقدام به انجام تحقیقات و بررسی های بیشتر درباره این تهدید کردند. آنها پس از انجام بررسیهای اولیه متوجه شدند که FritzFrog فاقد مرکز فرماندهی و کنترل است. سپس این شرکت یک نرمافزار کلاینت برای تشکیل تعدادی نود و پیوستن به شبکه P2P اجرا کرد که در مجموع شاهد اجرای بیش از ۱۳ هزار حمله بات نت در شبکه FritzFrog بود.
تفاوت FritzFrog با سایر باتنتها
نتایج بیانگر آن است که FritzFrog چند ویژگی متفاوت با سایر باتنتهای نظیربهنظیر دارد. به عنوان مثال این باتنت بدون فایل است و از اشیای باینری بزرگ (BLOB) استفاده میکند. این BLOBها تعدادی مجموعه داده باینری هستند که به صورت یک واحد در حافظه بارگذاری میشوند تا فایلهای این باتنت را جا به جا و سرهم کنند. در این حمله، یک نقشه هم وجود داشته است که هر BLOB را به مقدار هش آن مرتبط می کرده است. به این ترتیب بدافزار میتوانسته فایلهای ذخیره شده در BLOBها را بین نودهای مختلف جا به جا کند.
همچنین در این فرایند، از حملات جستجوی فراگیر شدید بر اساس یک لغتنامه بزرگ استفاده میشد که بعد از نفوذ موفقیت آمیز به سیستمها مهاجم سعی میکرده پایگاه دادهای که از اهداف و ماشینهای آلوده دارد را به روز رسانی کند.
سایر باتنتهای نظیربهنظیر مهم در سال ۲۰۲۰
ویژگیهای ذکر شده، باعث متفاوت شدن FritzFrog نسبت به سایر باتنتهای نظیربهنظیر اخیر شده است. Netlab 360 نیز نتایج مطالعهای که درباره باتنت DDG انجام داده بود را منتشر کرده است. این باتنت در سال ۲۰۱۸ میلادی به دلیل تلاش برای استخراج رمزارز مونرو توجه محققان را جلب نموده و نسخه جدیدی از آن در ژانویه ۲۰۱۹ منتشر شد. این نسخه با سازوکار نظیربهنظیر مبتنی بر Memberlist طراحی شده که آن را تبدیل به یکی از اولین باتنتهای استخراج رمزارزهای نظیربهنظیر میکند.
چند روز بعد، باتنت Mozi ظهور کرد که در آن از ترکیب کد باتنتهای Gafgyt، Mirai و IoT Reaper استفاده شده بود. تفاوت Mozi نسبت به سایر باتنتها عدم استفاده از مرکز فرماندهی و کنترل و استفاده از یک شبکه نظیربهنظیر می باشد. این معماری بیشتر برای آلوده کردن مودمهای خانگی و دستگاههای ضبط تصویر دیجیتال با هدف اجرای حملات محروم سازی از سرویس، استخراج داده و اجرای پیلود انتخاب شده بود.
نحوه مقابله با باتنتهای نظیربهنظیر
از کار انداختن باتنتهایی با شبکههای نظیربهنظیر کار سختی است. عدم وجود یک زیرساخت فرماندهی و کنترل مرکزی باعث میشود باتهای آلوده حتی در صورت از کار افتادن بخش بزرگی از شبکه باتنت باز هم به رعایت فرامین مهاجم ادامه دهند.
بنابراین سازمانها باید برای مقابله با آنها آمادگی لازم را داشته باشند. این کار را می توان با تشکیل یک تیم واکنش به حادثه شروع کرد که مسئول بررسی آلودگیهای احتمالی است. همچنین این تیم میتواند بر فرایندهای مدیریت آسیبپذیری در وسایل هوشمند مورد استفاده در سازمان نظارت داشته باشد.
secure shell
binary large object
منبع: https://securityintelligence.com/news/botnet-fritzfrog-breaches-over-500-servers/
مطالب زیر را حتما بخوانید:

عوامل مختلف زیادی از جمله رشد و توسعه زیرساختهای فناوری اطلاعات همچون استفاده از سرویس های ابری، سرویسهای بدون سرور و نقاط انتهایی خارج از شبکه باعث ایجاد فشار بیشتر...

یکی از چالش برانگیزترین مراحل هنگام اجرای برنامهbug bounty ، اغلب تعیین میزان پاداش است. دلیل این امر این است که عوامل بسیاری در این فرآیند دخیل هستند. هدف اصلی...

جیمی سندرز، مدیر امنیت شرکت Netflix DVD و رئیس شعبه سانفرانسیسکوی اتحادیه امنیت سیستمهای اطلاعاتی (ISSA) به دنبال یک تیم امنیتی است که بتواند اقدامات پیش رو، از پشتیبانی راهبرد...

منظور از هکرهای کلاه سفید چیست؟ در این مطلب قصد بررسی این موضوع را داریم. یک هکر کلاه سفید عملکردی متفاوت دارد و هدف او از هک نیز چیز دیگری...

محققان امنیتی خبر از یک طرح کلاهبرداری بزرگ در فیسبوک داده اند. هکرها در این کلاهبرداری از موتور تحلیل و جستجوی Elasticsearch استفاده کرده و پس از این که به...

گزارش یک باگ نیازمند رعایت نکاتی است که، تخطی از آن میتواند درک باگ را از روی گزارش دچار ابهام کند. گزارشی که تمام این نکات را در خود بگنجاند،...

CERT یا CSIRT واحد خدماتی است که مسئول دریافت، مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای مربوط به مشکلات و رخدادهای کامپیوتری است. سرویس های این واحد معمولا برای...

تکنیک به کارگیری گواهینامههای دیجیتال و کلیدهای رمزنگاری (مثل SSL/TLS و SSH) به منظور احراز هویت و امن سازی رایانه ها و تجهیزاتی که با هم ارتباط برقرار میکنند، «هویت...

حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این...

Bug Bounty (باگ باونتی) لبه اصلی خدمات امنیت سایبری است. در ابتدا از زبان ویکی پدیا باگ باونتی برای شما تعریف می کنیم : به زبان ساده Bug Bounty...

در بیشتر مواقع هنگام صحبت در مورد امنیت سایبری، اصطلاح رِد تیم و بُلو تیم (Red team & Blue team) شنیده میشود. این اصطلاحات برای توصیف گروههایی هست که از...

آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) پس از نفوذ یک مهاجم سایبری به یکی از نهادهای فدرال آمریکا اطلاعیه ای صادر کرد. CISA در بیانیهای که منتشر کرد،...

- جهت دانلود سریع از VPN استفاده نکنید..
- تمامی فایل ها قبل از درج بررسی شده اند.
- لینک دانلود از دو سرور مختلف است.
- امکان قطع دانلود فایل ها وجود دارد.
- جهت دانلود از IDM استفاده کنید..
- در صورت نیاز با ما تماس بگیرید.
اندازه فایل
نوع فایل
قوانین ارسال دیدگاه در سایت