Kaiji، بات‌نت جدید اینترنت اشیاء

به گزارش کارگروه حملات سایبری سایبربان به نقل از پایگاه اینترنتی ZDNet، این بدافزار مهاجمان را قادر به اجرای حملات Distributed Denial-of-Service – به‌اختصار DDoS – می‌کند. درحالی‌که این روزها اکثر بدافزارهای ویژه اینترنت اشیاء به یکی زبان‌های C و C++ نوشته می‌شوند، Kaiji با زبان Go برنامه‌نویسی شده است.
دلیل عدم استقبال از Go، نه ناکارآمدی آن، که به‌رایگان قابل‌دسترس بودن پروژه‌های متعدد تحت C و C++ در انباره‌های GitHub و تالارهای گفتگوی نفوذ گران است. پروژه‌هایی که به‌سادگی امکان ساخت بات‌نت‌های مبتنی بر اینترنت اشیاء را فراهم می‌کنند.
کمتر نویسنده بدافزاری را می‌توان یافت که صفرتا صد کد نویسی بات‌نت را خود انجام داده باشد. در حقیقت اکثر بات‌نت‌های اینترنت اشیاء ترکیبی از اجزا و ماژول‌های مختلف مورداستفاده در نمونه‌های دیگر هستند که در قالب گونه‌ای جدید اما بر پایه همان کدهای قدیمی عمل می‌کنند.
درعین‌حال، اکوسیستم بات‌نت‌های اینترنت اشیاء توسط محققان امنیتی به‌خوبی مستند شده است.
اگرچه در حال حاضر این بات‌نت توانایی از بهره‌جویی (Exploit) برای آلوده‌سازی دستگاه‌های آسیب‌پذیر را ندارد، اما قادر به اجرای حملات "سعی و خطا" (Brute-force) برای رخنه به آن دسته از دستگاه‌های اینترنت اشیاء و سرورهای با سیستم‌عامل Linux که پودمان SSH آن‌ها در معرض اینترنت قرار دارد است.
نسخه فعلی Kaiji تنها حساب کاربری root را هدف قرار می‌دهد. مهیا شدن دسترسی root بر روی دستگاه آلوده، بستر را برای دست‌درازی به بسته‌های خام شبکه‌ای باهدف اجرای حملات DDoS و سایر اعمال مخرب فراهم می‌کند.
به‌طور خلاصه به‌محض دسترسی یافتن به‌حساب کاربری root، بدافزار Kaiji از آن برای انجام سه اقدام زیر بهره می‌گیرد:

• اجرای حملات DDoS
• اجرای حملات سعی‌وخطا بر ضد دستگاه‌های دیگر
• سرقت کلیدهای SSH و آلوده‌سازی سایر دستگاه‌هایی که حساب کاربری هک‌شده root پیش‌تر آن‌ها را مدیریت می‌کرده است

علیرغم آنکه Kaiji توانایی اجرای شش نوع حمله DDoS را دارد اما به نظر می‌رسد که پروژه‌ای در دست اقدام بوده و هنوز نهایی نشده است.
در بخش‌های مختلف کد Kaiji، کلمه "demo" به چشم می‌خورد. در برخی مواقع نیز ماژول روت‌کیت Kaiji، آن‌قدر خود را فراخوانی می‌کند که حافظه دستگاه کاملاً اشغال‌شده و سیستم از کار می‌افتد.
همچنین سرورهای فرماندهی Kaiji در بسیاری مواقع غیرفعال هستند؛ موضوعی که سبب سرگردانی دستگاه‌های آلوده به این بدافزار شده و حتی به‌صورت بالقوه می‌تواند موجب تسخیر آن‌ها توسط بات‌نت‌های دیگر شود.
Kaiji به‌آرامی در حال انتشار بوده و در حال حاضر بدافزاری شاخص تلقی نمی‌شود؛ اما با توجه به توسعه‌های مستمر آن در ماه‌های اخیر انتظار می‌رود که در آینده‌ای نزدیک به تهدیدی جدی تبدیل شود.
باید توجه داشت که دورانی که بات‌نت‌ها ۱۰۰ تا ۵۰۰ هزار دستگاه را تحت سیطره داشتند سپری‌شده است. تعداد دستگاه‌های در تسخیر بات‌نت‌های حتی پیشرفته و موفق فعلی در دامنه ۱۵ تا ۲۰ هزار مورد است.
به دلیل فراگیری کیت‌های کدباز، هرروز صدها بات‌نت برای آلوده‌سازی مجموعه‌ای واحد از دستگاه‌های اینترنت اشیاء با یکدیگر رقابت می‌کنند. درنتیجه بازار بات‌نت‌های اینترنت اشیاء در بین تعداد بسیار زیادی از بازیگران کوچک‌تر تقسیم‌شده است.
Mozi یکی از بزرگ‌ترین بات‌نت‌های موجود است که بر اساس گزارش زیر ۱۶ هزار دستگاه را ظرف چهار ماه گذشته به خود آلوده کرده است.

https://blog.centurylink.com/new-mozi-malware-family-quietly-amasses-iot-bots/

از دیگر بات‌نت‌های برجسته اخیر می‌توان از Hoaxcalls، Mukashi و dark_nexus نام برد.

نشانه‌های آلودگی (IoC):
درهم‌ساز

• ۴e۸d۴۳۳۸cd۳b۲۰cb۰۲۷a۸daf۱۰۸c۶۵۴c۱۰۸۴۳e۵۴۹c۳f۳da۶۶۴۶ac۲bb۸ffbe۲۴d

• ۹۱۹۸۸۵۳b۸۷۱۳۵۶۰۵۰۳a۴b۷۶d۹b۸۵۴۷۲۲۱۸۳a۹۴f۶e۹b۲a۴۶c۰۶cd۲۸۶۵ced۳۲۹f۷

• ۹۸aee۶۲۷۰۱d۳a۸a۷۵aa۱۹۰۲۸۴۳۷bc۲d۱۱۵۶eb۹bfc۰۸۶۶۱c۲۵db۵c۲e۲۶e۳۶۴dca

• ۰ed۰a۹b۹ce۷۴۱۹۳۴f۸c۷۳۶۸cdf۳۴۹۹b۲b۶۰d۸۶۶f۷cc۷۶۶۹f۶۵d۰۷۸۳f۳d۷e۹۸f۷

• f۴a۶۴ab۳ffc۰b۴a۹۴fd۰۷a۵۵۵۶۵f۲۴۹۱۵b۷a۱aaec۵۸۴۵۴df۵e۴۷d۸f۸a۲eec۲۲a

• ۹f۰۹۰a۲۴۱eec۷۴a۶۹e۰۶a۵ffed۸۷۶c۷a۳۷a۲ff۳۱e۱۷۱۹۲۴۶۷۳b۶bb۵f۱۵۵۲۸۱۴c

• ۳۷۰efd۲۸a۸c۷ca۵۰۲۷۵۹۵۷b۴۷۷۷۴d۷۵۳aabb۶d۷c۵۰۴f۰b۸۱a۹۰c۷f۹۶c۵۹۱ae۹۷

• ۳۵۷acbacdb۹۰۶۹b۸۴۸۴f۴fdead۱aa۹۴۶e۲eb۴a۵۰۵۵۸۳۰۵۸f۹۱f۴۰۹۰۳۵۶۹fe۳f۳

• ۷۳eeb۸bbe۶cc۷۴b۱۶۶۰cf۵۸۷۰۲۰۶۴f۵۰a۴۴۸bc۹۲e۱۲d۵۷f۲ad۷۰b۱۷۲a۸۳۵bb۵۰

سرور فرماندهی

• cu.versiondat[.]xyz

• ۱.versionday[.]xyz

• www.aresboot[.]xyz

• www,۶×۶۶[.]com

• www,۲s۱۱[.]com