شرکت چیهو 360 (.Qihoo 360, Ltd)، در گزارشی در خصوص گونه جدیدی از باتنت DDoS به نام Abcbot هشدار داده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، باتنت مذکور مورد بررسی قرار گرفته است.
به نقل از محققان شرکت چیهو 360، باتنت مذکور دارای قابلیتهای کرم (Wormable Capabilities) بوده و سیستمهای تحت Linux را جهت اجرای حملات DDoS مورد تسخیر قرار میدهد. شرکت امنیتی مذکور در مجموع شش نسخه از باتنت Abcbot را تا به امروز تحلیل کرده است.
در 23 تیر 1400، متخصصان امنیتی یک فایل ELF ناشناخته را کشف کردند که پویش گستردهای را جهت شناسایی سیستمهای تحت Linux انجام میدهد؛ تحلیل فایل مذکور نشان داد که پیادهسازی پویشگر (Scanner) مذکور با زبان برنامهنویسی Go انجام شده است. نامگذاری Abcbot، از مسیر منبع آن یعنی “abc-hello” الهام گرفته شده است.
وجود رشته “dga.go” در مسیر منبع Abcbot نشان میدهد که نویسندگان DGA را در نسخههای بعدی پیادهسازی خواهند کرد.
نسخههای اولیه بدافزار فوق بسیار ساده بودند. Abcbot در نسخههای ابتدایی به عنوان پویشگر برای نفوذ به سیستمهای تحت Linux، از رمزهای عبور ضعیف و آسیبپذیریهای روز صفر سوءاستفاده نموده و بدافزار را همانند کرم منتشر میکرد. با گذشت زمان، Abcbot به تکامل خود ادامه داد و همانطور که انتظار میرفت، ویژگی DGA را در نمونههای بعدی اضافه کرد. جدیدترین نسخهها (8 آبان 1400)، پایگاه دادههای رایج و سرورهای WEB را هدف قرار میدهند.
امروزه Abcbot توانایی خود بهروزرسانی، راهاندازی Webserver، اجرایی حملات DDoS و همچنین انتشار کرم مانند را دارد.
شرکت ترند میکرو (.Trend Micro, Inc) در ماه اکتبر مؤلفههای (Component) مورد استفاده در زنجیره حمله خانواده این بدافزار را در گزارش زیر تحلیل کرد.
در گزارش مذکور به تفصیل حملات صورت گرفته علیه Huawei Cloud برای استخراج رمز ارز (Cryptocurrency mining) بررسی شده است.
بدافزار مذکور پس از نصب بر روی سیستم هدف، اطلاعات سیستم را به سرور کنترل و فرماندهی (C2) گزارش میکند و شروع به پویش درگاههای باز میکند تا دستگاههای دیگر را آلوده کند. این بدافزار زمانی که گردانندگان بات (botmasters) ویژگیهای جدیدی را اضافه میکنند، خود را بهروزرسانی میکند.
Abcbot از تابع “abc_hello_web_StartServer” برای راهاندازی یک WebServer در سیستمهای آلوده استفاده میکند و درگاه 26800 را شنود میکند.
در 29 مهر 1400، گردانندگان آن، یک بهروزرسانی را به منظور افزودن روتکیت منبع باز ATK برای پشتیبانی از اجرای حملات DDoS اعمال کردند، اما با بهروزرسانی جدید در 8 آبان 1400، بهروزرسانی قبلی کنار گذاشته شد، زیرا گردانندگان قابلیت حملات DDoS خود را پیادهسازی کردند.
نتایج تحلیل مذکور حاکی از آن است که پروسه بهروزرسانی در این شش ماه، جهت ارتقاء مداوم ویژگیها نیست، بلکه توازنی بین فناوریهای مختلف است. Abcbot به آرامی به تکامل میرسد. البته همچنان این مرحله، شکل نهایی باتنت مذکور نیست، بدیهی است که در این مرحله ویژگیهای زیادی وجود دارند که باید توسعه یابند.
مشروح گزارش شرکت چیهو 360 و همچنین فهرست نشانههای آلودگی (Indicators of Compromise – به اختصار IoC) باتنت Abcbot در حملات اخیر در نشانی زیر قابل دریافت است: