نماد سایت اتاق خبر شبکه گستر

Sysrv-hello؛ در حال تشکیل ارتشی از سرورهای هک‌شده

بات نت

یافته‌های دو شرکت جونیپر نت‌ورکز (Juniper Networks, Inc) و لیس‌ورک (Lacework, Inc) نشان می‌دهد که شبکه مخرب (Botnet) Sysrv-hello مجهزتر از قبل، در حال هک سرورهای آسیب‌پذیر مبتنی بر Windows و Linux و اجرای استخراج‌کننده مونرو و بدافزاری با عملکرد “کرم” (Worm) بر روی آنها است.

در این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده خلاصه‌ای از یافته‌های جونیپر نت‌ورکز و لیس‌ورک ارائه شده است.

Sysrv-hello از دسامبر 2020 فعال بوده است.

در حالی که Sysrv-hello در ابتدا از یک معماری چندبخشی (Multi-component) دارای ماژول‌های استخراج‌کننده و تکثیرکننده استفاده می‌کرد در نسخ جدید به یک باینری مستقل با قابلیت همزمان استخراج و انتشار خودکار بدافزار مجهز شده است.

بخش تکثیرکننده به‌طور گسترده اقدام به پویش اینترنت برای شناسایی سامانه‌های آسیب‌پذیر دیگر و الحاق آنها به ارتش دستگاه‌های تسخیرشده Sysrv-hello می‌کند.

از جمله ضعف‌های امنیتی که به‌تازگی به فهرست آسیب‌پذیری‌های مورد سوءاستفاده Sysrv-hello اضافه شده می‌توان به موارد زیر اشاره کرد:

Sysrv-hello، سوءاستفاده از آسیب‌پذیری‌ها و تکنیک‌های زیر را نیز در کارنامه دارد:

 

 

 

پس از رخنه به سرور و ازکارانداختن ابزارهای استخراج‌کننده دیگر، بدافزار با اجرای حملات “سعی و خطا” از طریق بکارگیری کلیدهای خصوصی SSH و اطلاعات فایل‌های موسوم به Bash History، SSH Config و known_hosts تلاش می‌کند تا دامنه آلودگی خود را به دستگاه‌های آسیب‌پذیر دیگر نیز گسترش دهد.

 

 

اطمینان از به‌روز بودن سامانه‌ها و مقاوم‌سازی آنها اصلی‌ترین راهکار در مقابله با این نوع تهدیدات مخرب است.

مشروح گزارش‌های جونیپر نت‌ورکز و لیس‌ورک در لینک‌های زیر قابل مطالعه است:

https://blogs.juniper.net/en-us/threat-research/sysrv-botnet-expands-and-gains-persistence

https://www.lacework.com/sysrv-hello-expands-infrastructure/

خروج از نسخه موبایل