بات نت

Sysrv-hello؛ در حال تشکیل ارتشی از سرورهای هک‌شده

یافته‌های دو شرکت جونیپر نت‌ورکز (Juniper Networks, Inc) و لیس‌ورک (Lacework, Inc) نشان می‌دهد که شبکه مخرب (Botnet) Sysrv-hello مجهزتر از قبل، در حال هک سرورهای آسیب‌پذیر مبتنی بر Windows و Linux و اجرای استخراج‌کننده مونرو و بدافزاری با عملکرد “کرم” (Worm) بر روی آنها است.

در این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده خلاصه‌ای از یافته‌های جونیپر نت‌ورکز و لیس‌ورک ارائه شده است.

Sysrv-hello از دسامبر 2020 فعال بوده است.

در حالی که Sysrv-hello در ابتدا از یک معماری چندبخشی (Multi-component) دارای ماژول‌های استخراج‌کننده و تکثیرکننده استفاده می‌کرد در نسخ جدید به یک باینری مستقل با قابلیت همزمان استخراج و انتشار خودکار بدافزار مجهز شده است.

بخش تکثیرکننده به‌طور گسترده اقدام به پویش اینترنت برای شناسایی سامانه‌های آسیب‌پذیر دیگر و الحاق آنها به ارتش دستگاه‌های تسخیرشده Sysrv-hello می‌کند.

از جمله ضعف‌های امنیتی که به‌تازگی به فهرست آسیب‌پذیری‌های مورد سوءاستفاده Sysrv-hello اضافه شده می‌توان به موارد زیر اشاره کرد:

  • آسیب‌پذیری CVE-2019-10758 در Mongo Express
  • آسیب‌پذیری CVE-2017-11610 در XML-RPC
  • آسیب‌پذیری CVE-2020-16846 در Saltstack
  • آسیب‌پذیری CVE-2019-10758 در Mongo Express
  • آسیب‌پذیری CVE-2018-7600 در Drupal Ajax
  • آسیب‌پذیری RCE در ThinkPHP (فاقد CVE)
  • آسیب‌پذیری RCE در XXL-JOB (فاقد CVE)

Sysrv-hello، سوءاستفاده از آسیب‌پذیری‌ها و تکنیک‌های زیر را نیز در کارنامه دارد:

  • آسیب‌پذیری CVE-2021-3129 در Laravel
  • آسیب‌پذیری CVE-2020-14882 در Oracle Weblogic
  • آسیب‌پذیری CVE-2019-3396 در Atlassian Confluence Server
  • آسیب‌پذیری CVE-2019-0193 در Apache Solr
  • آسیب‌پذیری CVE-2017-9841 در PHPUnit
  • آسیب‌پذیری CVE-2017-12149 در Jboss Application Server
  • آسیب‌پذیری CVE-2019-7238 در Sonatype Nexus Repository Manager
  • حمله “سعی و خطا” (Brute force) به Jenkins
  • حمله “سعی و خطا” به WordPress
  • آسیب‌پذیری YARN ResourceManager در بستر Apache Hadoop (فاقد CVE)
  • آسیب‌پذیری Command Execution در Jupyter Notebook (فاقد CVE)
  • آسیب‌پذیری Unauth Upload Command Execution در Tomcat Manager (فاقد CVE)

 

 

 

پس از رخنه به سرور و ازکارانداختن ابزارهای استخراج‌کننده دیگر، بدافزار با اجرای حملات “سعی و خطا” از طریق بکارگیری کلیدهای خصوصی SSH و اطلاعات فایل‌های موسوم به Bash History، SSH Config و known_hosts تلاش می‌کند تا دامنه آلودگی خود را به دستگاه‌های آسیب‌پذیر دیگر نیز گسترش دهد.

 

 

اطمینان از به‌روز بودن سامانه‌ها و مقاوم‌سازی آنها اصلی‌ترین راهکار در مقابله با این نوع تهدیدات مخرب است.

مشروح گزارش‌های جونیپر نت‌ورکز و لیس‌ورک در لینک‌های زیر قابل مطالعه است:

https://blogs.juniper.net/en-us/threat-research/sysrv-botnet-expands-and-gains-persistence

https://www.lacework.com/sysrv-hello-expands-infrastructure/

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *