نفوذ یک بات‌نت جدید به سرورهای SSH

کمیته رکن چهارم – بات‌­نت­‌ها شبکه‌­های رایانه ای آلوده به بدافزارها هستند که هر یک از آنها به تنهایی قابلیت مدیریت خودکار تعداد زیادی از رایانه های آلوده را دارند. مدل غیر­متمرکز یا نظیر­به‌نظیر (P2P) یکی از انواع بات‌­نت­‌ها به شمار می رود. در این مدل، مهاجم برای آنکه بتواند کل بات‌­نت­‌ را کنترل کند کافی است حداقل به یکی از رایانه ها دسترسی داشته باشد.

به­ تازگی بات‌نت نظیربه­‌نظیری با نام “FritzFrog” به بیش از ۵۰۰ سرور SSH[۱] (که برای برقراری اتصال امن میان کاربر و سرور از آن استفاده می ­شود) از جمله سرورهای مورد استفاده در یک شرکت راه‌­آهن و تعدادی از مؤسسات آموزشی معروف در آمریکا و اروپا نفوذ کرده است.

FritzFrog اولین بار توسط شرکت امنیت سایبری Guardicore Labs شناسایی شد. این شرکت ابتدا متوجه اجرای پردازش‌های مخرب ifconfig و nginx توسط این بات‌نت شد. سپس محققان تیم امنیتی آن اقدام به انجام تحقیقات و بررسی های بیشتر درباره این تهدید کردند. آنها پس از انجام بررسی­‌های اولیه متوجه شدند که FritzFrog فاقد مرکز فرماندهی و کنترل است. سپس این شرکت یک نرم‌افزار کلاینت برای تشکیل تعدادی نود و پیوستن به شبکه P2P اجرا کرد که در مجموع شاهد اجرای بیش از ۱۳ هزار حمله بات ­نت در شبکه FritzFrog بود.

تفاوت FritzFrog با سایر بات‌نت‌ها

نتایج بیانگر آن است که FritzFrog چند ویژگی متفاوت با سایر بات‌نت‌های نظیربه­‌نظیر دارد. به عنوان مثال این بات‌نت بدون فایل است و از اشیای باینری بزرگ (BLOB[۲]) استفاده می‌کند. این BLOBها تعدادی مجموعه داده باینری هستند که به صورت یک واحد در حافظه بارگذاری می‌شوند تا فایل‌های این بات‌نت را جا به جا و سرهم کنند. در این حمله، یک نقشه هم وجود داشته است که هر BLOB را به مقدار هش آن مرتبط می کرده است. به این ترتیب بدافزار می‌توانسته فایل‌های ذخیره شده در BLOBها را بین نودهای مختلف جا به جا کند.

همچنین در این فرایند، از حملات جستجوی فراگیر شدید بر اساس یک لغتنامه بزرگ استفاده می‌شد که بعد از نفوذ موفقیت آمیز به سیستم‌ها مهاجم سعی می‌کرده پایگاه داده‌ای که از اهداف و ماشین‌های آلوده دارد را به روز رسانی کند.

سایر بات‌نت‌های نظیربه‌­نظیر مهم در سال ۲۰۲۰

ویژگی‌های ذکر شده، باعث متفاوت شدن FritzFrog نسبت به سایر بات‌نت‌های نظیربه­‌نظیر اخیر شده است. Netlab 360 نیز نتایج مطالعه‌ای که درباره بات‌نت DDG انجام داده بود را منتشر کرده است. این بات‌نت در سال ۲۰۱۸ میلادی به دلیل تلاش برای استخراج رمزارز مونرو توجه محققان را جلب نموده و نسخه جدیدی از آن در ژانویه ۲۰۱۹ منتشر شد. این نسخه با سازوکار نظیربه‌­نظیر مبتنی بر Memberlist طراحی شده که آن را تبدیل به یکی از اولین بات‌نت‌های استخراج رمزارزهای نظیربه­‌نظیر می‌کند.

چند روز بعد، بات­­نت Mozi ظهور کرد که در آن از ترکیب کد بات‌نت‌های Gafgyt، Mirai و IoT Reaper استفاده شده بود. تفاوت Mozi نسبت به سایر بات‌نت‌ها عدم استفاده از مرکز فرماندهی و کنترل و استفاده از یک شبکه نظیربه‌­نظیر می باشد. این معماری بیشتر برای آلوده کردن مودم‌های خانگی و دستگاه‌های ضبط تصویر دیجیتال با هدف اجرای حملات محروم سازی از سرویس، استخراج داده و اجرای پی‌لود انتخاب شده بود.

نحوه مقابله با بات‌نت‌های نظیربه‌­نظیر

از کار انداختن بات‌نت‌هایی با شبکه‌های نظیربه‌­نظیر کار سختی است. عدم وجود یک زیرساخت فرماندهی و کنترل مرکزی باعث می‌شود بات‌های آلوده حتی در صورت از کار افتادن بخش بزرگی از شبکه بات‌نت باز هم به رعایت فرامین مهاجم ادامه دهند.

بنابراین سازمان‌ها باید برای مقابله با آنها آمادگی لازم را داشته باشند. این کار را می­ توان با تشکیل یک تیم واکنش به حادثه شروع کرد که مسئول بررسی آلودگی‌های احتمالی است. همچنین این تیم می‌تواند بر فرایندهای مدیریت آسیب‌پذیری در وسایل هوشمند مورد استفاده در سازمان نظارت داشته باشد.

منبع: securityintelligence