16:20 | پنجشنبه 8 آذر 1403
Research Analysis Debriefing Day
شناسایی بات‌نتی که به ماینر ارزهای دیجیتالی نفوذ می‌کند

1399/08/09 20:37

شناسایی بات‌نتی که به ماینر ارزهای دیجیتالی نفوذ می‌کند

نماد برتر- بات‌نت KashmirBlack شناسایی شده که به‌طور گسترده پلتفرم‌های مدیریت محتوای پرکاربرد را آلوده می‌کند و با استفاده از سرویس‌های ابری، به ماینر ارزهای دیجیتالی نفوذ می‌کند.


به گزارش نماد برتر، بات‌نت (Botnet) شبکه‌ای از چندین کامپیوتر است که مخفیانه و بدون اطلاع صاحبانشان، توسط یک بات مستر (Bot Master) برای انجام فعالیت‌های مخرب یا ارسال ایمیل‌های هرزنامه تحت کنترل گرفته شده است. این بات‌نت‌ها یا دستگاه‌های اجیرشده می‌توانند بسیار مشکل‌ساز باشند.



حمله بات‌ها مانند باج افزارها که سایت‌ها را به طور کامل قفل می‌کنند، به تازگی بیشتر مطرح شده و منجر به نارضایتی شده‌ است. حمله بات‌ها نامحسوس است، به همان اندازه هم برای یک تجارت ویران‌کننده است،  زیرا حساب‌های اعتباری به سرقت می‌رود و به فروش می‌رسد، اطلاعات کارت‌ها ناقص می‌شوند و تصمیمات بدی بر اساس داده‌های ناقص گرفته می‌شود. اطمینان بیش از حد به امنیت سایبری، مشاغل را قربانی حمله بات‌ها می‌کند.



مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) درباره بات‌نت KashmirBlack هشدار داده که به‌طور گسترده پلتفرم‌های مدیریت محتوای پرکاربرد را آلوده می‌کند. این ‫بات‌نت با سوءاستفاده از چندین ‫آسیب‌پذیری شناخته‌شده روی سرور قربانی، به‌طور میانگین میلیون‌ها حمله را هر روزه و روی چندین هزار قربانی در بیش از ۳۰ کشور انجام می‌دهد.



بر اساس گزارش تیم Imperva، محققان Imperva پیاده‌سازی و سیر تکامل این بات‌نت خطرناک را از ماه نوامبر ۲۰۱۹ تا پایان ماه می ۲۰۲۰ میلادی بررسی کرده‌اند. در این تحقیق چگونگی استفاده بات‌نت از سرویس‌های ابری همچون ‌Github ، Pastebin  و Dropbox به‌منظور کنترل و مخفی کردن عملیات بات‌نت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است.



با توجه به یافته‌های Imperva‌، بات‌نت در ابتدا کوچک بوده اما پس از رشد مدوام در طول ماه‌ها تبدیل به یک غول پیچیده شده است که همه روزه توانایی حمله به هزاران سایت را دارد. امروزه، بات‌نت KashmirBlack توسط یک سرور C&C مدیریت می‌شود و بیش از ۶۱ سرور قربانی در زیرساخت خود دارد.



بات‌نت KashmirBlack با هدف پیدا کردن سایت‌هایی که نرم‌افزارهای منسوخ‌شده دارند، اینترنت را پایش کرده و گسترش می‌یابد و سپس با اکسپلویت آسیب‌پذیریهای شناخته‌شده، سایت هدف و سرورهای آن را تحت تاثیر قرار می‌دهد. برخی از سرورهای هک‌شده در استخراج ارزهای دیجیتالی و اسپم کاربرد دارند اما برخی دیگر در حمله به سایت‌های دیگر و سرپا نگه داشتن بات‌نت ایفای نقش می‌کنند.



 از نوامبر ۲۰۱۹ میلادی این باتنت از ۱۶ آسیب‌پذیری مختلف استفاده کرده است. این آسیب‌پذیری‌ها به بات‌نت KashmirBlack این اجازه را می‌دهند که به سیستم‌های مدیریت محتوا از قبیل Drupal، Magneto، PrestaShop، Joomla، WordPress، OpenCart، osCommerce، vBulletin و Yeager حمله کنند.  در برخی از اکسپلویت‌ها فقط به سیستم مدیریت محتوای سایت حمله شده اما در برخی دیگر به المان‌های داخلی و کتابخانه‌ها نیز حمله می‌شود.



برای مقابله با این بات‌نت، مدیر سایت باید اطمینان حاصل کند که فایل‌های CMS و ماژول‌های سوم شخص همیشه به‌روز بوده و کاملا پیکربندی شده باشند. علاوه بر این، از دسترسی به فایل‌های حساس و مسیرهایی از قبیل php.config-wp, php.install و php.stdin-eval جلوگیری شود.



پیشنهاد می‌شود که از رمزعبورهای قدرتمند و خاصی استفاده شود، چون این رمزعبورها اولین نقطه دفاعی در برابر حملات بروت فورس هستند. همچنین به دلیل گسترش جرایم رایانه‌ای و افشای آسیب‌پذیری‌های روزافزون توصیه می‌شود برای اطمینان کامل از امنیت سایت خود از WAF استفاده کنید.



در صورتی که سرور شما توسط بات‌نت KashmirBlack آلوده شده باشد، باید اقداماتی از جمله توقف پروسس‌های آلوده، حذف فایل‌های آلوده، حذف تسک‌های زمانبندی‌شده (Cron Jobs) مشکوک و ناآشنا، حذف پلاگین و تم‌های استفاده‌نشده انجام شود.