کمیته رکن چهارم – بدافزار Mirai که مبتنی بر لینوکس است صدها هزار دستگاه مبتنی بر اینترنت اشیا (IoT ) را جهت اجرای یکی از بزرگترین حملات توزیع شده DDoS مورد استفاده قرار داد. این بدافزار، دارای یک نسخه ویندوزی نیز هست.
Mirai در پاییز گذشته، پس از آن که وبلاگ برایان کربس (Brian Krebs’ blog) و ارائه دهنده خدمات زیرساخت DYN را مورد هدف قرار داد و دو تا از بزرگترین حملات DDoS تاریخ را ثبت کرد، محبوب شد.
پس از آن کد منبع بدافزار به بیرون درز پیدا کرد و مدلهای جدیدی از تروجان، ساخته شد که از جمله قابلیتهای جدید آن بستهبندی مانند کرم بود.
اگر چه تا به حال بر روی دستگاههای مبتنی بر اینترنت اشیا لینوکسی متمرکز بوده است، همان طور که، محققان امنیتی دکتر وب هشدار می دهند Mirai به تازگی بر روی سیستمهای ویندوز تمرکز کرده است.
نوع جدیدی از این بدافزار با عنوان Trojan.Mirai.1 شناسایی شده است که با زبان ++C نوشته شده و به نظر میرسد قادر به انجام عملیاتهای مختلف خرابکارانه از جمله گسترش باتنت Mirai به دستگاههای مبتنی بر لینوکس است.
هنگامی که بر روی دستگاه ویندوز آلوده، راهاندازی شود، تروجان مایل به اتصال به سرور فرماندهی و کنترل (C & C ) و پس از آن دانلود یک فایل پیکربندی برای استخراج یک لیست از آدرسهای IP، از آن است.
در مرحله بعد، بدافزار یک اسکنر جهت جستجوی گرههای شبکههای ذکر شده در فایل پیکربندی، راهاندازی میکند و جهت لاگین به آنها از یک لیست لاگینها و کلمات عبور ترکیبی موجود در همان فایل استفاده میکند.
به گفته محققان امنیتی دکتر وب، نسخههای ویندوزی Mirai قادر به اسکن و بررسی کردن چندین پورت TCP به طور همزمان هستند (از جمله ۲۲، ۲۳، ۱۳۵، ۴۴۵، ۱۴۳۳، ۳۳۰۶، و ۳۳۸۹).
به محض این که تروجان به یکی از گرههای هدف حمله (از طریق هر یک از پروتکل های موجود) متصل شد، به اجرای یک سری از دستورات مشخص شده در فایل پیکربندی میپردازد. با این حال، باید اتصال از طریق پروتکل RDP ساخته شده باشد در غیر این صورت هیچ یک از دستورالعملها اجرا نمیشود.
چه چیزی بیشتر از اینکه اگر این تهدید از طریق پروتکل شبکه راه دور ، موفق به اتصال به یک دستگاه لینوکس شود، از آن برای دانلود یک فایل باینری به آن، تلاش میکند. این فایل به این معنی است که باتنت Mirai را دانلود و راهاندازی کند.
همچنین نسخههای ویندوزی Mirai قادرند با استفاده از تکنولوژی ارتباط بین پردازشی (IPC) ، از ابزار مدیریت ویندوز (WMI) جهت اجرای دستورات بر روی میزبان راه دور، سوءاستفاده کنند.
این بدافزار جهت راهاندازی پردازشهای جدید با استفاده از روش Win32_Process.Create، و ایجاد فایلهای مختلف (مانند پکیجهای فایلهای ویندوز که حاوی یک مجموعه خاصی از دستورالعملها هستند) طراحیشده بود.
چنانچه SQL سرور مایکروسافت بر روی دستگاه آلوده نصب شده باشد، این بدافزار قدرت نفوذ به یک سری از فایلها و همچنین یک کاربر که دارای دسترسی مدیر سیستم است را دارد.
در مرحله بعد، بدافزار با سوءاستفاده از این کاربر و سرویس رویداد SQL سرور به اجرای وظایف مخرب مختلفی از جمله راهاندازی فایلهای اجرایی با دسترسی مدیر، حذف فایلها و یا ایجاد یک میانبر در پوشه سیستم برای راهاندازی خودکار (همچنین این بدافزار لاگهای مربوطه را در رجیستری ویندوز ایجاد کند) میپردازد.
پس از اتصال از راه دور به یک سرور MySQL ، تروجان در آن یک کاربر با نام کاربریphpminds و رمز عبور phpgod ، به منظور دستیابی به اهدافی که محققان دکتر وب ذکر کردهاند، ایجاد میکند. این کاربر امتیازات و دسترسیهای بعدی از جمله موارد ذیل را دارد:
درج، انتخاب، بهروزرسانی، حذف، ایجاد، حذف کل ، بارگیری مجدد ، خاموش کردن، پردازش، فایل، اعطا کردن ، منابع، شاخص ، تغییر ، نشاندادن db، super ، ایجاد جدول موقت، قفل جداول، اجرا، repl_slave، repl_client، ایجاد دید ، نشاندادن دید، ایجاد کار روتین ، alter_routine، ایجاد کاربر، رویداد، trigger و ایجاد جدول tablespace.
منبع : certcc.ir