شرکت چیهو ۳۶۰ (.Qihoo ۳۶۰, Ltd)، در گزارشی در خصوص گونه جدیدی از باتنت DDoS به نام Abcbot هشدار داده است.
به گزارش مرکز مدیریت راهبردی افتا، به نقل از محققان شرکت چیهو ۳۶۰، این باتنت دارای قابلیتهای کرم (Wormable Capabilities) بوده و سیستمهای تحت Linux را جهت اجرای حملات DDoS مورد تسخیر قرار میدهد. این شرکت امنیتی در مجموع شش نسخه از باتنت Abcbot را تا به امروز تحلیل کرده است.
در ۲۳ تیر ۱۴۰۰، متخصصان امنیتی یک فایل ELF ناشناخته را کشف کردند که پویش گستردهای را جهت شناسایی سیستمهای تحت Linux انجام میدهد؛ تحلیل این فایل نشان داد که پیادهسازی پویشگر (Scanner) مذکور با زبان برنامهنویسیGo انجامشده است. نامگذاری Abcbot، از مسیر منبع آن یعنی “abc-hello” الهام گرفتهشده است.
وجود رشته “dga.go” در مسیر منبع Abcbot نشان میدهد که نویسندگان DGA را در نسخههای بعدی پیادهسازی خواهند کرد.
نسخههای اولیه بدافزار فوق بسیار ساده بودند. Abcbot در نسخههای ابتدایی بهعنوان پویشگر برای نفوذ به سیستمهای تحت Linux، از رمزهای عبور ضعیف و آسیبپذیریهای روز صفر سوءاستفاده کرده و بدافزار را همانند کرم منتشر میکرد. باگذشت زمان،Abcbot به تکامل خود ادامه داد و همانطور که انتظار میرفت، ویژگی DGA را در نمونههای بعدی اضافه کرد. جدیدترین نسخهها (۸ آبان ۱۴۰۰)، پایگاهدادههای رایج و سرورهای WEB را هدف قرار میدهند.
امروزه Abcbot توانایی خود بهروزرسانی، راهاندازی Webserver، اجرایی حملات DDoS و همچنین انتشار کرممانند را دارد.
شرکتترند میکرو (Trend Micro, Inc.) در ماه اکتبر مؤلفههای (Component) مورداستفاده در زنجیره حمله خانواده این بدافزار را در گزارش زیر تحلیل کرد.
در این گزارش بهتفصیل حملات صورت گرفته علیه Huawei Cloud برای استخراج رمز ارز (Cryptocurrency mining) بررسیشده است.
این بدافزار پس از نصب بر روی سیستم هدف، اطلاعات سیستم را به سرور کنترل و فرماندهی (C۲) گزارش میکند و شروع به پویش درگاههای باز میکند تا دستگاههای دیگر را آلوده کند. این بدافزار زمانی که گردانندگان بات (botmasters) ویژگیهای جدیدی را اضافه میکنند، خود را بهروزرسانی میکند.
Abcbot از تابع “abc_hello_web_StartServer” برای راهاندازی یک WebServer در سیستمهای آلوده استفاده میکند و درگاه ۲۶۸۰۰ را شنود میکند.
در ۲۹ مهر ۱۴۰۰، گردانندگان آن، یک بهروزرسانی را بهمنظور افزودن روتکیت منبعباز ATK برای پشتیبانی از اجرای حملات DDoS اعمال کردند، اما با بهروزرسانی جدید در ۸ آبان ۱۴۰۰، بهروزرسانی قبلی کنار گذاشته شد، زیرا گردانندگان قابلیت حملات DDoS خود را پیادهسازی کردند.
نتایج این تحلیل حاکی از آن است که پروسه بهروزرسانی در این شش ماه، جهت ارتقاء مداوم ویژگیها نیست، بلکه توازنی بین فناوریهای مختلف است. Abcbot بهآرامی به تکامل میرسد. البته همچنان این مرحله، شکل نهایی این باتنت نیست، بدیهی است که در این مرحله ویژگیهای زیادی وجود دارند که باید توسعه یابند.
مشروح گزارش شرکت چیهو ۳۶۰ در نشانی زیر قابل دریافت است:
https://blog.netlab,۳۶۰.com/abcbot_an_evolving_botnet_en/
(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)
دیدگاه شما