نماد سایت اتاق خبر شبکه گستر

Abcbot؛ بات‌نت جدید DDoS

بات نت

شرکت چیهو 360 (.Qihoo 360, Ltd)، در گزارشی در خصوص گونه جدیدی از بات‌نت DDoS به نام Abcbot هشدار داده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، بات‌نت مذکور مورد بررسی قرار گرفته است.

به نقل از محققان شرکت چیهو 360، بات‌نت مذکور دارای قابلیت‌های کرم (Wormable Capabilities) بوده و سیستم‌های تحت Linux را جهت اجرای حملات DDoS مورد تسخیر قرار می‌دهد. شرکت امنیتی مذکور در مجموع شش نسخه از بات‌نت Abcbot را تا به امروز تحلیل کرده است.

در 23 تیر 1400، متخصصان امنیتی یک فایل ELF ناشناخته را کشف کردند که پویش گسترده‌ای را جهت شناسایی سیستم‌های تحت Linux انجام می‌دهد؛ تحلیل فایل مذکور نشان داد که پیاده‌سازی پویشگر (Scanner) مذکور با زبان برنامه‌نویسی Go انجام شده است. نامگذاری Abcbot، از مسیر منبع آن یعنی “abc-hello” الهام گرفته شده است.

وجود رشته “dga.go” در مسیر منبع Abcbot نشان می‌دهد که نویسندگان DGA را در نسخه‌های بعدی پیاده‌سازی خواهند کرد.

نسخه‌های اولیه بدافزار فوق بسیار ساده بودند. Abcbot در نسخه‌های ابتدایی به عنوان پویشگر برای نفوذ به سیستم‌های تحت Linux، از رمزهای عبور ضعیف و آسیب‌پذیری‌های روز صفر سوءاستفاده نموده و بدافزار را همانند کرم منتشر می‌کرد. با گذشت زمان، Abcbot به تکامل خود ادامه داد و همانطور که انتظار می‌رفت، ویژگی DGA را در نمونه‌های بعدی اضافه کرد. جدیدترین نسخه‌ها (8 آبان 1400)، پایگاه‌‌ داده‌های رایج و سرورهای WEB را هدف قرار می‌دهند.

امروزه Abcbot توانایی خود به‌روزرسانی، راه‌اندازی Webserver، اجرایی حملات DDoS و همچنین انتشار کرم‌ مانند را دارد.

شرکت ترند میکرو (.Trend Micro, Inc) در ماه اکتبر مؤلفه‌های (Component) مورد استفاده در زنجیره حمله خانواده این بدافزار را در گزارش زیر تحلیل کرد.

https://www.trendmicro.com/en_us/research/21/j/actors-target-huawei-cloud-using-upgraded-linux-malware-.html

در گزارش مذکور به تفصیل حملات صورت گرفته علیه Huawei Cloud برای استخراج رمز ارز (Cryptocurrency mining) بررسی شده است.

بدافزار مذکور پس از نصب بر روی سیستم هدف، اطلاعات سیستم را به سرور کنترل و فرمان‌دهی (C2) گزارش می‌کند و شروع به پویش درگاه‌های باز می‌کند تا دستگاه‌های دیگر را آلوده کند. این بدافزار زمانی که گردانندگان بات (botmasters) ویژگی‌های جدیدی را اضافه می‌کنند، خود را به‌روزرسانی می‌کند.

Abcbot از تابع “abc_hello_web_StartServer” برای راه‌اندازی یک WebServer در سیستم‌های آلوده استفاده می‌کند و درگاه 26800 را شنود می‌کند.

در 29 مهر 1400، گردانندگان آن، یک به‌روزرسانی را به منظور افزودن روت‌کیت منبع باز ATK برای پشتیبانی از اجرای حملات DDoS اعمال کردند، اما با به‌روزرسانی جدید در 8 آبان 1400، به‌روزرسانی قبلی کنار گذاشته شد، زیرا گردانندگان قابلیت حملات DDoS خود را پیاده‌سازی کردند.

نتایج تحلیل مذکور حاکی از آن است که پروسه به‌روزرسانی در این شش ماه، جهت ارتقاء مداوم ویژگی‌ها نیست، بلکه توازنی بین فناوری‌های مختلف است. Abcbot به آرامی به تکامل می‌رسد. البته همچنان این مرحله، شکل نهایی بات‌نت مذکور نیست، بدیهی است که در این مرحله ویژگی‌های زیادی وجود دارند که باید توسعه یابند.

مشروح گزارش شرکت چیهو 360 و همچنین فهرست نشانه‌های آلودگی (Indicators of Compromise – به اختصار IoC) بات‌نت Abcbot در حملات اخیر در نشانی زیر قابل دریافت است:

 

https://blog.netlab.360.com/abcbot_an_evolving_botnet_en/

خروج از نسخه موبایل