مقدمه
به تازگی نسخه جدیدی از بات نت Medusa ظهور یافته که علاوه بر قابلیت انجام حملات DDoS، قابلیت بروت فرس سرویس Telnet و حملات باج افزاری را نیز دارد. این بدافزار از سورس کد منتشر شده mirai اقتباس شده و کاربران لینوکسی را مورد هدف قرار داده است.
اخیرا نسخه جدیدی از باتنت mirai کشف شده که بات نت جدیدی با نام Medusa را دانلود و منتشر میکند. این باتنت قابلیت اجرای حملات منع خدمت در سطوح مختلف سلسله مراتب شبکه شامل لایههای 3، 4 و 7 را دارد. این حملات با استفاده از آدرس IP ماشینهای قربانیان یا آدرسهای IP جعلی انجام میشود. این باتنت همچنین میتواند روی ماشینهای هدف، حملات باجافزاری انجام دهد. برای رمز کردن فایلهای سیستم از الگوریتم رمزنگاری AES 256-bit استفاده و به انتهای فایلهای رمز شده پسوند .medusastealer را اضافه میشود. پس از رمز کردن فایلها، بدافزار به مدت 24 ساعت صبر کرده و سپس تمامی فایلها را از سیستم حذف میکند. در نهایت باجافزار پیام دریافت باج که حاوی راهنمای بازگشایی فایلهای رمز شده است به کاربر نمایش میدهد. البته نمایش این پیام پس از حذف فایلها، باگ بدافزار است که نشان دهنده این است که بدافزار هنوز در حال توسعه است و انتظار نسخههای پیشرفتهتری از آن میرود.
Medusa همچنین میتواند دستگاههای متصل به اینترنت را به منظور شناسایی سرویسهای Telnet اسکن کند و روی سرویسهای Telnet حملات بروت فرس انجام دهد. بدافزار همچنین قابلیت دریافت فرمان FivemBackdoor و sshlogin را دارد که اجازه دسترسی به درب پشتی بر روی سیستم قربانیان را میدهد. Medusa همچنین اطلاعات مختلفی از سیستم شامل نام کاربری، نام میزبان، آدرس IP ، سیستم عامل، مصرف CPU و RAM، تعداد کل هستههای CPU، شناسه یکتای سیستم را جمعآوری و برای سرور راه دور به آدرس hxxps://medusa-stealer[.]cc/add/bot ارسال میکند.
توصیههای امنیتی
- استفاده از رمزعبورهای قوی و استفاده از احراز هویت چندفاکتوره تا جای ممکن
- به روز رسانی و ارتقای رایانه، تلفن همراه و سایر دستگاههای متصل
- خودداری از بازکردن لینکها و ضمیمههای ناشناخته بدون وارسی آنها
منبع خبر
- 234