Pink Botnet؛ بزرگترین بات‌نت سال‌های اخیر

روابط عمومی

3 سال پیش

محققان شرکت چیهو 360 (Qihoo 360, Ltd)، در گزارشی در خصوص بات‌نتی به نام Pink که بیش از 1.6 میلیون دستگاه را آلوده کرده است، هشدار داده‌اند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، چکیده‌ای از گزارش شرکت چیهو 360 در خصوص بات‌نت Pink ارائه شده است.

یک بات‌نت (شبکه مخرب)، شبکه‌ای از کامپیوترهای آلوده به یک بدافزار است که معمولاً برای هدفگیری چندین کامپیوتر مورد استفاده قرار می‌گیرد. بدافزار مربوطه از شبکه دستگاه‌های آلوده برای گسترش فعالیت‌های مخرب و اغلب حملاتDDoS استفاده می‌کند.

از بات‌نت Pink تا به امروز برای راه‌اندازی بیش از 100 حمله منع سرویس توزیع‌شده (Distributed Denial-of-Service – به اختصار DDoS) و درج تبلیغات در ترافیک قانونی HTTP قربانیان استفاده شده است که بیشتر آنها (96 درصد) در چین هستند. به گفته کارشناسان، Pink بزرگترین بات‌نتی است که آن‌ها در شش سال گذشته مشاهده کرده‌اند.

تعداد دستگاه‌های آلوده شده توسط بات‌نت Pink قابل توجه است، در 9 آذر سال 1398، یک شرکت امنیتی در ایالات متحده به شرکت چیهو 360 گزارش داد که روزانه 1,962,308 نشانی IP فعال منحصر به فرد از بات‌نت Pink را مشاهده کرده که سیستم‌های آن‌ها را مورد هدف قرار داده است.

در 12 دی ماه سال 98، CNCERT نیز گزارش داد که تعداد نشانی‌های IP مرتبط با بات‌نت مذکور بیش از 5 میلیون مورد است. از آنجایی که نشانی‌های IP پهنای باند خانگی به صورت پویا اختصاص داده می‌شوند، تعداد واقعی دستگاه‌های آلوده شده را نمی‌توان به طور دقیق تخمین زد و فرض بر این است که تعداد واقعی دستگاه های هک شده میلیون‌ها مورد است.

در 18 دی ماه سال 98، محققان شرکت چیهو 360 با بررسی و کاوش دریافتند که 1.65 میلیون دستگاه آلوده شده است. نشانی‌های IP آلوده بیشتر (96درصد) در چین متمرکز شده‌اند و 33 استان آن را دربر می‌گیرند. بات‌نت مذکور بیش از 80 درصد از مشتریان اپراتور China Unicom و 15 درصد از مشتریان اپراتور China Telecom را آلوده نموده است.

مهاجمان با اجرای کدها به صورت از راه دور اقدام به آلوده کردن سیستم‌ها کرده و پس از آن بر اساس دستورالعمل‌های کد، با سرور مهاجم ارتباط برقرار کرده و انواع مختلفی از فعالیت‌های مخرب را انجام می‌دهند.

معماری Pink

کارشناسان پس از تحلیل نمونه‌ای از بات‌نت مذکور پی بردند که نام Pink از اسامی تعداد زیادی تابع موجود در آن که با “Pink” شروع می‌شوند، الهام گرفته شده است. این بات‌نت از معماری پیشرفته ترکیبی مبتنی بر خدمات ثالث (Third-party services)، P2P و سرورهای کنترل و فرمان‌دهی (Command and Control – به اختصار C2) بر گرفته شده است. معماری مذکور با پشتیبانی فروشندگان دستگاه‌های آلوده جهت مقاوم‌سازی بات‌نت و جلوگیری از حذف توسط نهادهای قانونی و امنیتی اجرا شده است.

همانطور که اشاره شد، بات‌نت Pink دارای معماری ترکیبی است که از “P2P” و “C2” مرکزی برای برقراری ارتباط با بات‌های موجود در شبکه استفاده می‌کند. به طور کلی، دستوراتی که به زمان چندان حساس نیستند (همچون مدیریت پیکربندی اطلاعات)، از طریق P2P ارائه می‌شوند، در حالی که دستورات حساس به زمان (مانند راه‌اندازی حملات DDoS، درج تبلیغات در سایت‌های HTTP که توسط کاربران بازدید می‌شوند) به‌طور مرکزی از طریق C2 توزیع می‌شوند.

هر بار که فروشنده‌ای و یا ارائه‌دهندگان محصولات امنیتی تلاش می‌کنند تا بات‌نت مذکور را منهدم کنند، botmaster به‌روزرسانی‌های میان‌افزاری متعددی را در مسیریاب‌های (Routers) فیبری برای حفظ کنترل آن‌ها انجام می‌دهد.

Pink همچنین از DNS-Over-HTTPS – به اختصار DoH برای توزیع اطلاعات پیکربندی استفاده می‌کند که یا از طریق پروژه‌ای مخفی در GITHUB یا Baidu Tieba یا از طریق یک نام دامنه (Domain Name) تعبیه شده که در برخی از نمونه‌های بات‌نت مذکور جاسازی شده، اجرا می‌شود.

به گفته شرکت امنیت سایبری چینی NSFOCUS که در تحقیقات این بات‌نت مشارکت داشته است، مهاجمان از یک حمله “روز-صفر” استفاده کرده تا دستگاه‌های مدیریت پهنای باند برندهای خاصی را مورد هدف قرار دهند. دستگاه‌های آلوده شده عمدتاً در شمال و شمال شرق چین ارائه شده‌اند و بیشتر در پکن نصب‌ شده‌اند. برخلاف سایر بات‌نت‌ها، بدافزار Pink تنها قادر است معماری MIPS مورد استفاده در دستگاه‌های فوق را مورد هدف قرار دهد.

بات‌نت Pink از مجموعه دستورات زیر پشتیبانی می‌کند:

دانلود فایل
اجرای فرامین سیستمی
حملات DDoS (حملات HTTP و حملات UDP)
پویش (مشخصات پویش را می‌توان با فرامین تنظیم کرد)
گزارش اطلاعات دستگاه (CPU، نوع سیستم، اطلاعات حافظه، نسخه سیستم، اطلاعات سخت‌افزار)
خود به‌روزرسانی (نسخه جدید را در /tmp/client ذخیره نموده و سپس اجرا می‌کند)
همگام‌سازی فهرست نودهای P2P (مجموعه‌ای از نودهای P2P را مستقیماً به بات اعمال می‌کند)
تزریق پیام HTTP (در دستگاه قربانی، تبلیغ اسکریپت‌های js زمانی که نوع ترافیک http باشد، تزریق می‌شود)
سرویس پراکسی Sock5 (تنظیم و راه‌اندازی سرویس پراکسی‌های Sock5 در سمت بات، تنظیم رمز عبور حساب کاربری از طریق فرامین)
دانلود و اجرای فایل
متوقف کردن حمله
تنظیم مجدد ناظر

مشروح گزارش شرکت چیهو 360 در خصوص بات‌نت Pink و نشانه‌های آلودگی (Indicators of Compromise – به اختصار IoC) در نشانی زیر قابل دریافت و مطالعه است:

https://blog.netlab.360.com/pink-en/

نشانه‌های آلودگی (IoC)

سرورهای C2:

cnc.pinklander[.]com

144.202.109.110:40080

144.202.109.110:32876

207.148.70.25:12368

45.32.125.150:12368

45.32.125.188:12368

45.32.174.105:12368

5.45.79.32:12368

نشانی‌های URL:

http[:]//1.198.50.63:1088/dlist.txt

http[:]//1.63.19.10:19010/var/sss/dlist.txt

http[:]//104.207.142.132/dlist.txt

http[:]//108.61.158.59/dlist.txt

http[:]//111.61.248.32:1088/dlist.txt

http[:]//112.26.43.199:81/dlist.txt

http[:]//113.106.175.43:19010/tmp/pinkdown/dlist.txt

http[:]//117.131.10.102:1088/d/dlist.txt

http[:]//123.13.215.89:8005/d/dlist.txt

http[:]//125.74.208.220:81/dlist.txt

http[:]//140.82.24.94/dlist.txt

http[:]//140.82.30.245/d/dlist.txt

http[:]//140.82.53.129/dlist.txt

http[:]//144.202.38.129/dlist.txt

http[:]//149.28.142.167/p/dlist.txt

http[:]//149.28.142.167/p1/dlist.txt

http[:]//155.138.140.245/dlist.txt

http[:]//167.179.110.44/dlist.txt

http[:]//173.254.204.124:81/dlist.txt

http[:]//182.139.215.4:82/dlist.txt

http[:]//207.148.4.202/dlist.txt

http[:]//218.25.236.62:1987/d/dlist.txt

http[:]//218.25.236.62:1988/d/dlist.txt

http[:]//222.216.226.29:81/dlist.txt

http[:]//45.32.26.220/dlist.txt

http[:]//45.76.104.146/dlist.txt

http[:]//45.77.165.83/p1/dlist.txt

http[:]//45.77.198.232/p1/dlist.txt

http[:]//45.88.42.38/p1/dlist.txt

http[:]//61.149.204.230:81/dlist.txt

http[:]//66.42.114.73/dlist.txt

http[:]//66.42.67.148/dlist.txt

http[:]//8.6.193.191/dlist.txt

http[:]//95.179.238.22/dlist.txt

https[:]//***.com/**/dlist.txt

https[:]//raw.githubusercontent.com/pink78day/helloworld/master/dlist.txt

درهم‌ساز MD5:

9ec5bd857b998e60663e88a70480b828 /bin/protect

451a3cf94191c64b5cd1be1a80be7799 /bin/tr69c

06d6ad872e97e47e55f5b2777f78c1ba slient_l

07cd100c7187e9f4c94b54ebc60c0965 slient_b

0f25b0d54d05e58f5900c61f219341d3 client_b

0f89e43ea433fdfd18a551f755473388 slient_l

1197994610b2ffb60edbb5ab0c125bc0 client_b

167364ad0d623d17332f09dbb23a980e client_b

175b603082599838d9760b2ab264da6f slient_l

1a6dce9916b9b6ae50c1457f5f1dfbbd slient_l

229503686c854bb39efdc84f05b071b9 slient_b

25a07e3ef483672b4160aa12d67f5201 client_l

262a4e242c9ebeba79aa018d8b38d229 client_l

29d0afd2a244c9941976ebf2f0f6597f client_l

2befedd020748ff6d9470afad41bd28c slient_b

2ca5810744173889b2440e4f25b39bd4 client_l

36e48e141943a67c6fdeaa84d7af21cc client_b

3a620ff356686b461e0e1a12535bea24 slient_l

41bbe8421c0a78067bae74832c375fe8 slient_l

45ee78d11db54acfdda27c19e44c3126 client_l

4830c3950957093dac27d4e87556721e slient_l

484761f281cb2e64d9db963a463efca5 client_l

48a7f2799bf452f10f960159f6a405d3 client_l

494412638dc8d573172c1991200e1399 client_l

4c83ad66189a7c4d2f2afdbfb94d0e65 slient_b

50270de8d5783bb0092bf1677b93c97b slient_l

54aa9e716567bd0159f4751916f7f0d1 client_l

5ae1fec20c2f720269c2dc94732187e8 slient_b

5b62a9bd3431c2fd55283380d81c00fa client_b

5c322610e1845d0be9ccfc8a8b6a4c4f client_l

5c4f8dae67dad8cac141afa00847b418 slient_b

5d0d034845bd69179bf678104c046dc1 client_b

60658ef214c960147200d432eece3e13 slient_l

60a2b1bb02a60ac49f7cc1b47abdf60c client_l

610f0aadba3be1467125607bf2ba2aaf slient_l

66a068fd860bda7950fde8673d1b5511 client_b

6c4de9bd490841f0a6c68638f7253c65 client_b

72c531a813b637af3ea56f288d65cdb7 slient_b

7608b24c8dcf3cd7253dbd5390df8b1f client_b

7645a30a92863041cf93a7d8a9bfba1a client_b

857fc3c7630859c20d35d47899b75699 slient_b

861af6b5a3fea01f2e95c90594c62e9d client_l

8e86be3be36094e0f5b1a6e954dbe7c2 client_l

8fbcd7397d451e87c60a0328efe8cd5d client_b

987a9befb715b6346e7ad0f6ac87201f slient_b

9eb147e3636a4bb35f0ee1540d639a1b slient_b

aa2fc46dd94cbf52aef5e66cdd066a40 client_l

ae8b519504afc52ee3aceef087647d36 slient_b

b0202f1e8bded9c451c734e3e7f4e5d8 slient_b

b6f91ad027ded41e2b1f5bea375c4a42 slient_b

b9935859b3682c5023d9bcb71ee2fece slient_b

b9d1c31f59c67289928e1bb7710ec0ba client_l

bec2f560b7c771d7066da0bee5f2e001 client_b

c2efa35b34f67a932a814fd4636dd7cb slient_l

c839aff2a2680fb5676f12531fecba3b slient_b

c94504531159b8614b95c62cca6c50c9 slient_l

dfe0c9d36062dd3797de403a777577a6 client_b

e19a1106030e306cc027d56f0827f5ce slient_l

f09b45daadc872f2ac3cc6c4fe9cff90 client_b

f5381892ea8bd7f5c5b4556b31fd4b26 client_b

f55ad7afbe637efdaf03d4f96e432d10 slient_b

f62d4921e3cb32e229258b4e4790b63a client_b

f81c8227b964ddc92910890effff179b slient_b

fc5b55e9c6a9ddef54a256cc6bda3804 client_b

fe8e830229bda85921877f606d75e96d slient_l

fee6f8d44275dcd2e4d7c28189c5f5be client_l