حمله PDoS

 | تاریخ ارسال: 1396/1/31 | 
PDoS

پژوهشگران نوع جدیدی از حمله سایبری را شناسایی کردند که به جای به دام انداختن دستگاه های هوشمند در باتنت، موجب آسیب به آنها می شود. محرومیت دائم از سرویس (pdos) حمله هایی بسیار آسیب زا هستند که در نتیجه ی آنها نیاز به تعویض یا جای گزینی سخت افزار به وجود می آید.

محققان Radware دونوع  را در 20 مارس سال 2017 مشاهده کردند. یکی از آنها عمر کوتاهی داشت و غیر فعال باقی ماند، در حالی که نوع دیگر مدام کار می کند. اما هر دو هدف مشابهی داشتند: لطمه زدن به دستگاه های هوشمند و خراب کردن storage آنها.

هر دو ربات در تاریخ یکسانی شروع به تلاش های PDoS کردند و این مساله در عرض یک ساعت از هم دیگر کشف شد. با این وجود، در حالی که اولین نوع آن فعالیت  شدید در سراسر عمر کوتاه خود نشان داد، دومین نوع آن شدت کمتری نشان داد ولی در حمله ها کامل تر بود و موقعیت خود را با استفاده ازTOR مخفی میکند. به منظور لطمه زدن به دستگاه ها، BrickerBot از روش    Telnet brute force  که قبلا مرتبط به بات نت Maria بود استفاده می کند. این روشی است که از دستگاه های آلوده برای انجام حمله های DDoS  سو استفاده می کنند.

درست زمانی  که به دستگاه دسترسی پیدا کرد، ربات PDoS مجموعه ای از دستورات را به منظور تخریب sorage اجرا می کند.سپس، اقدام به ایجاد اختلالدر  ارتباطات اینترنت وکارایی دستگاه میکند. و بعلاوه اقدام به پاک کردن همه فایل های موجود بر روی  دستگاه می کند.

پژوهشگران Radware نشان دادند که :" از جمله دستگاه های خاصی که مورد هدف قرار گرفته اند           dev/mtd(Memory Technology Device)  و dev/mtd(MultiMediaCard) هستند".

این حمله، به طور مشخص دستگاه های اینترنت اشیا مبتنی بر Linux/BusyBox-based که Telnet port open  دارند و به طور علنی در معرض اینترنت قرار گرفته اند را مورد هدف قرار داده است.

اینها یک نمونه از دستگاه هایی هستند که باتنت های اینترنت اشیا مرتبط و maria  مورد هدف قرار می دهند.

اقدامات PDoS از تعداد محدودی آدرسهای  IP در سراسر جهان آغاز می شود و با همه دستگاه هایی که پورت 22 (SSH) را در معرض قرار می دهند و یک ورژن قدیمی تر از سرور  Dropbear SSH را اجرا می کنند، سرو کار دارد. این دستگاهها به عنوان دستگاه های شبکه Ubiquiti شناسایی شده اند.

همچنین پژوهشگران ، نوع دومی از اقدامات PDoS را  شناسایی کردند که این اقدامات آدرس های IP منبع خود را در پشت نود های Tor  مخفی می کند.

بعلاوه، این حمله ها برای brute-force ورود تلنت با استفاده از نام کاربری  و کلمه های عبور root/root and root/vizxv   تلاش میکنند  و طیف وسیعی از دستگاه های ذخیره سازی را هدف قرار می دهند.

پژوهشگران می گویند این حمله ها از busybox استفاده نمی کنند اما به هر دوی 'dd' و 'cat' دست می زنند ،هرکدام که در دسترس  باشد.

همچنین این حمله ها اقدام به پاک کردن default gateway  ،پاک کردن دستگاه ها و از کار انداختن مهرهای زمانی tcp میکنند.

با کمک دستورات اضافی، حمله کننده ها تلاش می کنند تا همه ی قواعد NAT   و فایروال iptables  را flush کنند و قاعده ای اضافه کنند تا همه ی بسته های خروجی را حذف کنند.




CAPTCHA
دفعات مشاهده: 6933 بار   |   دفعات چاپ: 695 بار   |   دفعات ارسال به دیگران: 0 بار   |   0 نظر