في أواخر أبريل ،
اكتشف باحثو أمن المعلومات من Bitdefender LABS إصدارًا جديدًا من Hide and Seek botnet (HNS) ، والذي أصبح
معروفًا في بداية عام 2018. يستخدم بروتوكول P2P مخصص وهو أول بوت نت "للبقاء على قيد الحياة" حتى بعد إعادة تشغيل الجهاز الذي تم إصلاحه عليه.
سنخبرك كيف تقوم HNS بذلك وكيف تحمي أجهزة إنترنت الأشياء منه.
/ Flickr / chris yiu / ccكانت البوت نت "
تلعب الغميضة" مع خبراء الأمن منذ 10 يناير: في ذلك الوقت ، كانت شبكة Hide and Seek تتكون من 12 جهازًا فقط. كان معظمها كاميرات IP تم تصنيعها من قبل الشركة الكورية Focus H&S ، وتمت كتابة عناوين IP الخاصة بها بشكل واضح في الرمز.
بعد "إخفاء" الروبوتات وجدت نفسها فقط في 20 يناير ، لكنها تضمنت بالفعل 14 ألف جهاز مصاب. بعد ذلك واصلت البوت نت توزيعها النشط
وتمكنت من إصابة حوالي 90 ألف جهاز فريد. وهكذا ، في أبريل ، ظهرت نسخته الجديدة.
كيف تعمل البوت نت؟
يحتوي الإصدار الجديد من الروبوتات على عدد من التحسينات في آليات التوزيع. على سبيل المثال ، تعلم كيفية استغلال نقطتي ضعف إضافيتين لكاميرات IP (مزيد من التفاصيل
هنا وهنا ) ، مما سمح بزيادة حقوق الوصول في النظام والتحكم في الجهاز. بالإضافة إلى ذلك ، يمكن لـ HNS اكتشاف نوعين جديدين من الأجهزة والوصول إليهما عن طريق تسجيلات الدخول القوية وكلمات المرور (باستخدام قائمة كلمات المرور التي تم تعيينها افتراضيًا).
تشبه آلية انتشار HNS كيف تتكاثر ديدان الشبكة. أولاً ، ينشئ البوت قائمة بعناوين IP العشوائية لاختيار الضحايا. ثم يرسل طلب SYN إلى كل مضيف ويواصل "الاتصال" مع أولئك الذين ردوا على الطلب على المنافذ 23 2323 و 80 و 8080. بمجرد إنشاء الاتصال ، تبحث البرامج الضارة عن رسالة "تسجيل الدخول إلى buildroot" وتحاول تسجيل الدخول باستخدام بيانات الاعتماد المحددة مسبقًا. في حالة الفشل ، تطبق HNS مطابقة
القاموس في القائمة المشفرة.
بعد الاتصال ، يحدد الروبوتات الجهاز المستهدف ويحدد الطريقة المناسبة للتسوية. على سبيل المثال ، إذا كان البوت موجودًا على نفس شبكة LAN مع الضحية ، فإنه يقوم بتكوين خادم TFTP ، مما يسمح للهدف بتنزيل عينة البرامج الضارة مباشرة. إذا كان الضحية "موجودًا" على الإنترنت ، فستحاول الروبوتات استخدام طرق مختلفة للتسليم عن بُعد لـ "الحزمة الضارة". يتم تكوين جميع برمجيات إكسبلويت مسبقًا وتخزينها في موقع ذاكرة موقعة رقميًا لمنع الوصول غير المصرح به. يمكن تحديث قائمة الأساليب عن بعد وتوزيعها على المضيفين المصابين.
وجد باحثو أمن المعلومات أن الروبوتات تحتوي على عشرة ثنائيات مجمعة لمنصات مختلفة: x86 و x64 و ARM (Little Endian و Big Endian) و SuperH و PPC وغيرها.
ومن أجل الحصول على موطئ قدم بشكل موثوق في النظام ، بعد إصابة ناجحة للجهاز المستهدف ، يقوم برنامج bot بنسخ نفسه إلى /etc/init.d/ وينشط وظيفة التحميل التلقائي مع بدء تشغيل نظام التشغيل (يحدث التفاعل مع الضحية عبر Telnet ، حيث أن الجذر مطلوب لنسخ الثنائيات إلى دليل init.d -حق). ثم يفتح HNS منفذ UDP عشوائيًا سيحتاج مجرمو الإنترنت إلى الاتصال بالجهاز.
/ Flickr / pascal / PDشبكات الروبوت الكبيرة الأخرى
يمكن تسمية واحدة من أشهر روبوتات إنترنت الأشياء بـ
Mirai . مثل HNS ، كانت هذه الروبوتات تبحث عن أجهزة إنترنت الأشياء ذات منافذ Telnet المفتوحة. قام مؤلفو Mirai ومعجبو Minecraft وأنيمي (Mirai باللغة اليابانية
تعني "المستقبل" ، تكريمًا لمانغا "Diary of the Future") ، في عام 2016 ، شنوا العديد من هجمات DDoS القوية على مواقع الويب وخوادم المزود (في
سبتمبر وأكتوبر )
وأصابوا 300 ألف جهاز إنترنت الأشياء (هنا يمكنك العثور على تحليل مفصل لشفرة المصدر لـ Mirai).
حالة أخرى معروفة هي هاجيمي (ترجمت من اليابانية تعني "البداية"). استولت هذه الروبوتات على 300 ألف جهاز إنترنت الأشياء باستخدام هجمات القوة الغاشمة. استهدفت هجمات Hajime في الغالب مسجلات الفيديو الرقمية وكاميرات الويب والموجهات. وفقًا لدراسة كاسبرسكي لاب ، فإن الروبوتات أصابت بشكل رئيسي الأجهزة من فيتنام (20٪) وتايوان (13٪) والبرازيل (9٪). في الوقت نفسه ، تجنب هاجيمي "بوعي" الشبكات الخاصة (بما في ذلك تلك التابعة لوزارة الدفاع الأمريكية ، وهيوليت باكارد ، وجنرال إلكتريك ، وغيرها).
كيف تحمي نفسك
وفقا لممثلي Bitdefender ، لا تزال الروبوتات HNS في "مرحلة النمو". يحاول مشغلوها التقاط أكبر عدد ممكن من الأجهزة. لذلك ، لم يتم تنفيذ الهجمات بمشاركته حتى الآن. ولكن هناك احتمال أن يقوم المتسللون قريبًا بإضافة "فرق قتالية" إلى الملفات الثنائية.
لحماية أجهزة إنترنت الأشياء من هجمات HNS و botnets بشكل عام ،
يوصي خبراء أمان Trend Micro باتباع هذه الخطوات البسيطة والمألوفة إلى حد ما:
- قم بتغيير كلمة المرور الافتراضية لجهاز إنترنت الأشياء إلى كلمة مرور أكثر تعقيدًا (كل شيء على النحو المعتاد: 15 حرفًا على الأقل ، وحالة أحرف مختلفة ، بالإضافة إلى الأرقام والعلامات) ؛
- قم بتثبيت التحديثات بانتظام ، خاصة تلك المتعلقة بالأمان ؛
- استخدم حلول البرامج لحماية الشبكة ، وتشفير حركة المرور ، وما إلى ذلك.
ستسمح لك هذه الطرق البسيطة بحماية نفسك من العديد من البرامج الخبيثة التي "تجند" إنترنت الأشياء في صفوفها.
مجموعة مختارة من المواد من مدونة شركتنا: