شواهد نشان میدهد که از ابتدای سال جاری میلادی #بات_نتی با نام Hide ‘N Seekبا هدف آلودهسازی دستگاههای اینترنت اشیاء شایع شده است. این باتنت که برای انتشار خود رفتاری کرمگونه دارد، از آسیبپذیری CVE-2016-10401 و چندین آسیبپذیری دیگر برای انتشار کد بدخواه خود سوء استفاده میکند.
این باتنت پس از Hajime دومین باتنت است که برای ارتباطات خود از شیوه p2pاستفاده میکند. مقابله با باتنتهایی که از p2pبرای ارتباطات خود استفاده میکنند دشوار است و به همین دلیل HNSدر ماههای اخیر به طور مداوم در حال بهروز رسانی بوده است. برخی از تغییراتی که در این بهروز رسانیها مشاهده شده است عبارتند از:
- افزودن اکسپلویتهایی برای دستگاههای وبکَم AVTECH، روترهای Linksysسیسکو، وب سرور JAWS/1.0و پایگاه دادههای Apache CouchDBو OrientDB.
- آدرس گرههای p2p هاردکُد شده به 171 مورد افزایش یافته است.
- افزودن برنامه cpuminerبرای کاوش پول دیجیتال
- با پشتیبانی از سرورهای پایگاه دادهای OrientDBو CouchDB، HNSباتنتی نه تنها برای اینترنت اشیاء بلکه باتنتی چندسکویی به شمار میرود.
این باتنت برای انتشار در شبکه، با استفاده از کدی مشابه آنچه در باتنت mirai استفاده شده پورتهای TCP شامل (HTTP Web Service)80، (HTTP Web Service) 8080، (OrientDB)2480، (CouchDB) 5984و (Telnet)23 را در شبکه اسکن میکند و سپس با سوءاستفاده از اکسپلویتهای زیر خود را بر روی پورتهای مذکور مستقر میکند:
- TPLink-Routers RCE
- Netgear RCE
- new: AVTECH RCE
- new: CISCO Linksys Router RCE
- new: JAW/1.0 RCE
- new: OrientDB RCE
- new: CouchDB RCE
هر گره HNS با سایر همتاهای p2pخود با استفاده از سه روش زیر ارتباط برقرار میکند:
- 171 آدرس هارد کد شده در برنامه (لیست این 171 آدرس در https://blog.netlab.360.com/file/hns_hardcoded_peer_list.txtموجود است. )
- آرگومان خط فرمان
- سایر همتاهای p2p
برای مقابله و جلوگیری از آلودگی به این باتنت، به روز رسانی سریع دستگاههای اینترنت اشیاء و بستن پورتهای غیر مود نیاز، تغییر پورتهای پیشفرض و نیز تغییر رمزعبورهای پیشفرض ضروری به نظر میرسد.
- 6