گسترش تروجان‌های ویندوزی Mirai به دستگاه‌های لینوکسی (Windows Trojan Spreads Mirai to Linux Devices)

بدافزار Mirai که مبتنی بر لینوکس است صدها هزار دستگاه مبتنی بر اینترنت اشیا (IoT ) را جهت اجرای یکی از بزرگ‌ترین حملات توزیع شده DDoS مورد استفاده قرار داد. این بدافزار، دارای یک نسخه ویندوزی نیز هست.
Mirai در پاییز گذشته، پس از آن که وبلاگ برایان کربس (Brian Krebs’ blog) و ارائه دهنده خدمات زیرساخت DYN را مورد هدف قرار داد و دو تا از بزرگ‌ترین حملات DDoS تاریخ را ثبت کرد، محبوب شد.
پس از آن کد منبع بدافزار به بیرون درز پیدا کرد و مدل‌های جدیدی از تروجان، ساخته شد که از جمله قابلیت‌های جدید آن بسته‌بندی مانند کرم بود.
اگر چه تا به حال بر روی دستگاه‌های مبتنی بر اینترنت اشیا لینوکسی متمرکز بوده است، همان طور که، محققان امنیتی دکتر وب هشدار می دهند Mirai به تازگی بر روی سیستم‌های ویندوز تمرکز کرده است.
نوع جدیدی از این بدافزار با عنوان Trojan.Mirai.1 شناسایی شده است که با زبان ++C نوشته شده و به نظر می‌رسد قادر به انجام عملیات‌های مختلف خرابکارانه از جمله گسترش بات‌نت Mirai به دستگاه‌های مبتنی بر لینوکس است.
هنگامی که بر روی دستگاه ویندوز آلوده، راه‌اندازی شود، تروجان مایل به اتصال به سرور فرماندهی و کنترل (C & C ) و پس از آن دانلود یک فایل پیکربندی برای استخراج یک لیست از آدرس‌های IP، از آن است.
در مرحله بعد، بدافزار یک اسکنر جهت جستجوی گره‌های شبکه‌های ذکر شده در فایل پیکربندی، راه‌اندازی می‌کند و جهت لاگین به آنها از یک لیست لاگین‌ها و کلمات عبور ترکیبی موجود در همان فایل استفاده می‌کند.
به گفته محققان امنیتی دکتر وب، نسخه‌های ویندوزی Mirai قادر به اسکن و بررسی کردن چندین پورت TCP به طور همزمان هستند (از جمله 22، 23، 135، 445، 1433، 3306، و 3389).
به محض این که تروجان به یکی از گره‌های هدف حمله (از طریق هر یک از پروتکل های موجود) متصل شد، به اجرای یک سری از دستورات مشخص شده در فایل پیکربندی می‌پردازد. با این حال، باید اتصال از طریق پروتکل RDP ساخته شده باشد در غیر این صورت هیچ یک از دستورالعمل‌ها اجرا نمی‌شود.
چه چیزی بیشتر از این‌که اگر این تهدید از طریق پروتکل شبکه راه دور ، موفق به اتصال به یک دستگاه لینوکس شود، از آن برای دانلود یک فایل باینری به آن، تلاش می‌کند. این فایل به این معنی است که بات‌نت Mirai را دانلود و راه‌اندازی کند.
همچنین نسخه‌های ویندوزی Mirai قادرند با استفاده از تکنولوژی ارتباط بین پردازشی (IPC) ، از ابزار مدیریت ویندوز (WMI) جهت اجرای دستورات بر روی میزبان راه دور، سوءاستفاده کنند.
این بدافزار جهت راه‌اندازی پردازش‌های جدید با استفاده از روش Win32_Process.Create، و ایجاد فایل‌های مختلف (مانند پکیج‌های فایل‌های ویندوز که حاوی یک مجموعه خاصی از دستورالعمل‌ها هستند) طراحی‌شده بود.
چنانچه SQL سرور مایکروسافت بر روی دستگاه آلوده نصب شده باشد، این بدافزار قدرت نفوذ به یک سری از فایل‌ها و همچنین یک کاربر که دارای دسترسی مدیر سیستم است را دارد.
در مرحله بعد، بدافزار با سوءاستفاده از این کاربر و سرویس رویداد SQL سرور به اجرای وظایف مخرب مختلفی از جمله راه‌اندازی فایل‌های اجرایی با دسترسی مدیر، حذف فایل‌ها و یا ایجاد یک میانبر در پوشه سیستم برای راه‌اندازی خودکار (همچنین این بدافزار لاگ‌های مربوطه را در رجیستری ویندوز ایجاد کند) می‌پردازد.
پس از اتصال از راه دور به یک سرور MySQL ، تروجان در آن یک کاربر با نام کاربریphpminds و رمز عبور phpgod ، به منظور دستیابی به اهدافی که محققان دکتر وب ذکر کرده‌اند، ایجاد می‌کند. این کاربر امتیازات و دسترسی‌های بعدی از جمله موارد ذیل را دارد:
درج، انتخاب، به‌روزرسانی، حذف، ایجاد، حذف کل ، بارگیری مجدد ، خاموش کردن، پردازش، فایل، اعطا کردن ، منابع، شاخص ، تغییر ، نشان‌دادن db، super ، ایجاد جدول موقت، قفل جداول، اجرا، repl_slave، repl_client، ایجاد دید ، نشان‌دادن دید، ایجاد کار روتین ، alter_routine، ایجاد کاربر، رویداد، trigger و ایجاد جدول tablespace.