مرکز تخصصی آپا خوارزمی- اخبار تخصصی امنیت
بات نت Ttint یک Mirai جدید که قابلیت های جاسوسی را به خود اضافه کرده است

حذف تصاویر و رنگ‌ها  | تاریخ ارسال: 1399/8/16 | 
دو آسیب پذیری روز صفر در  Tenda router سابق باعث گسترش یک بات نت مبتنی بر Mirai به نام Ttint هستند. این نوع بات نت همچنین علاوه بر حملات انکار سرویس (DoS)، دارای تروجان قابلیت دسترسی از راه دور (RAT) و قابلیت های جاسوسی است. طبق ۳۶۰Netlab ، این بات نت از چند جهت غیر معمول است. برای اولین بار ، در جلو RAT ، محققان گفتند که این بات نت ۱۲ عملکرد دسترسی از راه دور را پیاده سازی می کند، که با دستورات و کنترل های سفارشی سرور C۲ ترکیب می شود تا وظایفی مانند تنظیم پروکسی Socket۵ برای دستگاه های روتر ، دستکاری در DNS روتر، تنظیم iptables و دستورات سفارشی سیستم را انجام دهند.
علاوه بر این ، Ttint همچنین از کانال های رمزگذاری شده برای برقراری ارتباط با C۲ (به طور خاص ، با استفاده از پروتکل WebSocket over TLS (WSS) ) استفاده می کند. محققان در این باره گفته اند که این امر باعث می شود تا تافیک در هنگام ایجاد امنیت بیشتر، از شناسایی جلوگیری کند. اولین بار ۳۶۰Netlab، مهاجمان را با استفاده از IP سرویس Cloud Google، قبل از سوئیچ کردن به یک ارائه دهنده میزبانی در هنگ کنگ مشاهده کرد.

ttint botnet mirai variant zero days

Zero-Days
روترهای Tenda در فروشگاه ها (big-box) موجود است و در خانه ها و دفاتر کوچک استفاده می شود. اولین آسیب پذیری مورد استفاده برای انتشار نمونه های Ttint (CVE-۲۰۱۸-۱۴۵۵۸) حداقل از نوامبر سال گذشته مورد بهره برداری قرار گرفت، اما تا ژوئیه فاش نشد. در حال حاضر یک نسخه به روزرسانی میان افزار برای رفع آن موجود است. این اشکال یک آسیب پذیری مهم در تزریق دستور است که از مقیاس شدت آسیب پذیری ۸/۹ از ۱۰ بر CvSS برخوردار است. این موضوع به مهاجمین اجازه می دهد تا دستورات سیستم عامل خودسرانه را از طریق یک درخواست goform / setUsbUnload دستکاری شده اجرا کنند. در واقع این امر به این دلیل بوجود می آید که تابع “formsetUsbUnload” یک تابع dosystemCmd را با ورودی غیرقابل اعتماد اجرا می کند. در اواخر ماه اوت ، دومین آسیب پذیری مهم روتر Tenda (CVE-۲۰۲۰-۱۰۹۸۷) در این کارزار ظاهر شد. همچنین دارای امتیاز ۸/۹ از ۱۰ است و در ابتدا در ماه ژوئیه پس از آنکه از ژانویه سعی در دریافت پچ از Tenda داشت، توسط ارزیابی کنندگان امنیت مستقل اعلام شد. این شرکت توانست از این اشکال استفاده کند تا شرایط DoS را ایجاد کند.
این مشکل به این دلیل است که endpoint goform / setUsbUnload در Tenda مدل AC۱۵ AC۱۹۰۰ نسخه ۱۵.۰۳.۰۵.۱۹ به مهاجمان از راه دور اجازه می دهد تا دستورات سیستم دلخواه را از طریق پارامتر deviceName POST، مطابق توضیحات CVE، اجرا کنند. ۳۶۰Netlab همچنین سعی کرد Tenda را در مورد مشکلات موجود در این اشکال )این بار برای استفاده در نفوذهای بات نت) هشدار دهد. محققان عنوان کردند که: "در تاریخ ۲۸ آگوست سال ۲۰۲۰ ، جزئیات آسیب پذیری Zero-day دوم و PoC را از طریق ایمیل به سازنده روتر Tenda گزارش دادیم ، اما سازنده هنوز پاسخی نداده است." Threatpost برای اطلاعات بیشتر با تولید کننده تماس گرفته است.

Ttint RAT
Ttint به عنوان یک بدافزار می تواند ۱۰ دستورالعمل معمول حمله Mirai DDoS (از جمله چندین وکتور حمله) را همراه با ۱۲ دستور RAT و ۲۲ دستور C۲ سفارشی که با هم کار می کنند، انجام دهد. طبق گفته محققان "به طور کلی، در سطح میزبان ، رفتار Ttint نسبتاً ساده است.
هنگام اجرا، پرونده ها (فایل های) خود را پاک می کند، دیده بان را دستکاری می کند و از راه اندازی مجدد دستگاه جلوگیری می کند، با اتصال پورت به عنوان یک نمونه واحد اجرا می شود. سپس نام فرآیند را تغییر می دهد تا کاربر را گیج کند. سرانجام با C۲ رمزگشایی شده ارتباط برقرار می کند، اطلاعات دستگاه را گزارش می دهد، منتظر دستورالعمل C۲ می ماند و حملات مربوطه یا عملکردهای سفارشی را اجرا می کند. " محققان گفتند، دستور اتصال پورت خاص صادر شده توسط C۲ برای فعال کردن سرویس پروکسی Socket۵، از مهمترین توابع RAT است. این تابع به مهاجمین اجازه می دهد تا از راه دور به اینترانت روتر دسترسی پیدا کنند و در شبکه پرسه بزنند. به طور کلی، Ttint چندین عملکرد سفارشی را برای دستیابی به اهداف خاص حمله ترکیب خواهد کرد.
محققان توضیح دادند: "دو دستور مجاور را که شناسایی کرده ایم را بگیرید، اولین دستور iptables -I INPUT -p tcp -dport ۵۱۵۹۹ -j ACCEPT است، تا دسترسی به پورت ۵۱۵۹۹ دستگاه آسیب دیده امکان پذیر شود. دستور بعدی فعال کردن عملکرد پروکسی Socket۵ در پورت ۵۱۵۹۹ دستگاه آسیب دیده است. ترکیبی از این دو دستور فعال شده و به مهاجم اجازه می دهد تا از پروکسی Socket۵ استفاده کند." دستور دیگری به بدافزار می گوید که با مداخله در پرونده resolv.conf در DNS روتر دستکاری کند و به آن امکان می دهد که دسترسی شبکه هر یک از کاربران روتر را بدزدد. به این ترتیب، به مهاجمین امکان می دهد تا اطلاعات حساس را رصد یا سرقت کنند.
در همین حال، با تنظیم iptables، اپراتورها می توانند به مسیر ترافیک و تبدیل آدرس هدف دست یابند، که می تواند خدمات شبکه داخلی را نشان دهد و منجر به افشای اطلاعات شود. همچنین با اجرای پوسته معکوس از طریق سوکت، نویسنده Ttint می تواند پوسته دستگاه مسیریابی آسیب دیده را به عنوان پوسته محلی کار کند. سرانجام، دستورات سفارشی به بدافزار اجازه می دهد تا خود به روز شود و خود را از بین ببرد. محققان گفتند، اطلاعات C۲ نمونه Ttint Bot رمزگذاری شده و در جدول اطلاعات پیکربندی در قالب Mirai محافظت می شود که با یک کلید XOR محافظت می شود.
به گفته محققان: "هنگامی که ربات در حال اجرا است، رمزگشایی می شود تا آدرس C۲ را بدست آورد و سپس از طریق پروتکل TSL از طریق WebSocket با C۲ ارتباط برقرار می کند. هنگامی که Ttint C۲ با کد پاسخ ۱۰۱ به ربات پاسخ می دهد، به این معنی است که همراهی پروتکل تکمیل شده است و سپس ربات می تواند با استفاده از پروتکل WebSocket ارتباط برقرار کند." اخیراً بازخیزی (تجدید فعالیت) بدافزار مبتنی بر Mirai وجود دارد که می تواند از طریق بهره برداری از دستگاه های اینترنت اشیا poor با امنیت ضعیف بات نت های بزرگی بسازد. این امر باعث افزایش قابل توجهی در تعداد حملات توزیع شده انکار سرویس (DDoS) در نیمه اول سال در مقایسه با مدت مشابه سال قبل شده است.
بهر حال، افزودن دستورات RAT و مربوط به C۲ ، تغییر در دنیای Mirai است. این شرکت در یک وبلاگ اخیر نوشت: "دو تابع Zero-Days، ۱۲ عملکرد دسترسی از راه دور برای روتر، پروتکل ترافیکی رمزگذاری شده و IP زیرساختی که در اطراف حرکت می کند." لذا به نظر نمی رسد که این botnet یک پخش کننده خیلی معمولی باشد.

منبع threatpost
نشانی مطلب در وبگاه مرکز تخصصی آپا خوارزمی:
http://khu.ac.ir/find-74.8879.58952.fa.html
برگشت به اصل مطلب