استفاده از آدرس IP هگزادسیمال شده توسط ShellBot

استفاده از آدرس IP هگزادسیمال شده توسط ShellBot

تاریخ ایجاد

محققان شرکت AhnLab نوعی از حملات بدافزاری را شناسایی کردند که از آدرس‌های IP تبدیل شده به هگزادسیمال جهت نصب، راه‌ندازی ShellBot و بهره‌برداری از آن استفاده می‌کنند. این بدافزار قادر به دانلود بدافزارهای مخرب دیگر، اجرای حملات DDoS و همچنین استخراج ارزهای دیجیتالی می‌باشد.
مهاجمانی که در پشت ShellBot قرار دارند از آدرس‌های IP تبدیل شده به هگزادسیمال جهت نفوذ به سرورهای SSH لینوکس با مدیریت ضعیف و استقرار بدافزار و اجرای حملات DDoS استفاده می‌کنند.
مرکز پاسخگویی اضطراری امنیتی (ASEC ) شرکت Ahnlab در گزارش جدیدی که منتشر کرده است، بیان کرد که: «جریان کلی حمله همانند سایر حملات است اما آدرس URL دانلودی که مهاجمان جهت نصب ShellBot استفاده می‌کنند، یک آدرس IP معمولی است که به صورت هگزادسیمال تبدیل شده است.»
ShellBot که بعنوان PerlBot نیز شناخته می‌شود به سرورهایی که دارای اعتبارنامه SSH ضعیفی هستند، از طریق حمله دیکشنری ، حملات DDoS خود را اجرا کرده و از آن‌ها جهت استخراج ارزهای دیجیتال استفاده می‌کند.
این بدافزار که در Perl توسعه یافته است، از پروتکل IRC جهت برقراری ارتباط با سرور فرمان و کنترل (C2) استفاده می‌کند.
آخرین حملات مشاهده شده از طریق این بدافزار مربوط به نصب بدافزار از طریق آدرس‌های IP هگزادسیمال شده بصورت hxxp://0x2763da4e می‌‌باشند که با تبدیل آن به آدرس IP معمولی می‌توان مقدار 39.99.218[.]78 را مشاهده کرد. هدف از این تبدیل تلاش برای فرار از امضاهای شناخته شده مبتنی‌بر URL است.
محققان ASEC بیان کردند: «به دلیل استفاده از Curl برای دانلود و توانایی آن جهت پشتیبانی از هگزادسیمال صحیح مانند مرورگرهای وب، ShellBot را می‌توان با موفقیت در یک محیط لینوکس دانلود و از طریق Perl اجرا کرد.»


محصولات تحت تأثیر
شرکت‌‌ها، سازمان و افرادی که از سرور SSH در لینوکس استفاده می‌‌کنند مستعد این حملات هستند و نیاز است که از رمزعبورهای قوی استفاده کرده و آن‌‌ها را بصورت دوره‌‌ای تغییر دهند.

توصیه‌ امنیتی
با توجه به اینکه ShellBot می‌تواند برای نصب بدافزار اضافی یا راه‌اندازی انواع مختلف حملات از سرور آسیب‌دیده استفاده کند، توصیه می‌شود که کاربران از گذرواژه‌های قوی استفاده کرده و بصورت دوره‌ای آنها را تغییر دهند تا در برابر حملات brute-force و dictionary مقاوم باشند.
این خبر زمانی منتشر شد که مهاجمان در تلاش برای توزیع بدافزارهای سرقت اطلاعات مانند Lumma Stealer و نوعی از Redline Stealer که با نام RecordBreaker شناخته می‌‌شود، گواهینامه‌‌های غیرعادی با رشته‌‌های بسیار طولانی برای فیلدهای Subject و Name ایجاد می‌‌کنند.
این نوع بدافزارها از طریق صفحات مخربی که به راحتی از طریق موتورهای وب قابل دسترسی هستند (SEO poisoning)، توزیع می‌‌شوند که تهدیدی برای طیف گسترده‌‌ای از کاربران نامشخص است. این صفحات مخرب در درجه اول از کلمات کلیدی مرتبط با برنامه‌‌های غیرقانونی مانند سریال‌‌ها و کرک‌‌ها استفاده می-کنند.
 

منابع خبر:

[1] https://www.darkreading.com/cloud/shellbot-cracks-linux-ssh-servers-debuts-new-evasion-tactic
[2] https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html