بررسی بات نت Mirai Okiru

بررسی بات نت Mirai Okiru

تاریخ ایجاد

چشم‌انداز اینترنت اشیا لینوکس به‌سرعت درحال تغییر است، و مهاجمان شروع به هدف قرار دادن دستگاه‌های IoT برپایه‌ی ARC CPU کرده‌اند. این اولین باری است که یک بدافزار، به‌طور خاص سیستم‌های مبتنی بر ARC را هدف قرار می‌دهد. بدافزار Mirai Okiru در زمان کشف برای بیشتر آنتی‌ویروس‌ها غیرقابل تشخیص بوده است.
به‌گفته‌ی محققان تاثیر این بات‌نت می‌تواند خرابکارانه باشد. با توجه به تخمین‌ها، تعداد پردازنده‌های جاسازی‌شده‌ی ARC به‌ازای هر سال به بیش از 1.5 میلیار دستگاه می‌رسد. این به این معنی است که تعداد دستگاه‌هایی که به‌صورت بالقوه در معرض خطر هستند بسیار زیاد است و بنابراین یک بات‌نت قدرتمند می‌تواند برای بسیاری از اهداف خرابکارانه استفاده شود.
پردازنده‌های ARC خانواده‌ای از CPUهای 32 بیتی هستند که توسط ARC International طراحی شده‌اند. آن‌ها به‌طور گسترده در دستگاه‌های SoC برای Storage، home، موبایل و برنامه‌های اینترنت اشیاء استفاده شده‌اند. Mirai Okiru بسیار خطرناک است، و توسعه‌دهنده‌ی آن اصلاحات نوآورانه‌ای را در رمزگذاری آن به‌وجود آورده است و این اولین بدافزاری است که هسته‌ی ARC را هدف قرار می‌دهد.
محققان معتقدند با وجود شباهت‌های بات نت جدید Okiru با بات نت Satori که آن‌هم از نوع Mirai بوده و دستگاه‌های IOT بسیاری را آلوده کرده است، این بات نت جدید کاملاً عملکردی متفاوت از خود ارائه کرده است.
پیکربندی Okiru در دو قسمت رمزگذاری کدهای عبور تل‌نت مورداستفاده قرار می‌گیرد این در حالی است که تروجان Satori در دو مرحله فعالیت خود را پیش نمی‌برد و رمزهای عبور پیش‌فرض را مورداستفاده قرار نمی‌دهد.
بررسی‌ها نشان می‌دهد که Satori به‌عنوان یک ابزار تکراری توزیع‌شده مورداستفاده قرار می‌گیرد که از طریق UDP های تصادفی از TSource Engine Query استفاده می‌کند. این در حالی است که تروجان Okiru از این قاعده پیروی نمی‌کند. پایگاه داده پردازنده مرکزی ARC توسط بدافزار Okiru کامپایل می‌شود؛ این در صورتی است که خطر ساخت بات نت‌ها برای میلیون‌ها دستگاه روزبه‌روز در حال افزایش است.

برچسب‌ها