تستهدف Botnet الجديدة “HEH” خدمات Telnet المكشوفة

Jai Vijayan

يتمثل التهديد الأخير في قائمة متزايدة من البرامج الضارة المطورة بلغة برمجة Go.

ظهرت شبكة الروبوتات من نظير إلى نظير (P2P) التي يحتمل أن تكون مدمرة وتستهدف مجموعة واسعة من أجهزة إنترنت الأشياء (IoT) مع خدمات telnet المكشوفة أو المحمية بشكل ضعيف.

وصف الباحثون في 360NetLab ومقرها الصين ، الذين اكتشفوا مؤخرًا ما يسمى HEH botnet هذا الأسبوع ، البرنامج الضار بأنه قادر على مسح جميع البيانات من الأنظمة المصابة. وفقًا لمورد الأمان ، تشكل الروبوتات تهديدًا لأي جهاز به خدمة telnet مكشوفة بغض النظر عما إذا كان الجهاز يعتمد على x86 أو ARM أو MIPS أو PPC أو أي بنية رقاقة أخرى.

وقد لوحظ انتشار البرمجيات الخبيثة عبر هجمات القوة الغاشمة ضد الخوادم وأجهزة التوجيه والأنظمة الأخرى المتصلة بالإنترنت مع منافذ SSH المكشوفة 23 و 2323. الروبوت – مثل عدد متزايد من أدوات البرامج الضارة – مكتوب في كود GO. يستخدم بروتوكول P2P مملوكًا للتواصل مع الأجهزة المصابة الأخرى وتلقي الأوامر. تحتوي البرامج الضارة على ثلاثة مكونات منفصلة: وحدة P2P ، ووحدة للنشر ، وخدمة HTTP محلية.

عينات البوت 360NetLab تم تحليلها تم تنزيله وتنفيذه عبر برنامج نصي خبيث من برنامج شل. لا تقوم الشفرة الضارة بأي محاولة لتعداد البيئة التي تعمل بها. بدلاً من ذلك ، يقوم فقط بتنزيل البرامج الضارة وتنفيذها لمجموعة متنوعة من بنى وحدة المعالجة المركزية المختلفة ، واحدة تلو الأخرى ، وفقًا لـ 360NetLab. تمت استضافة البرنامج النصي والثنائيات التي حللها بائع الأمان على موقع ويب شرعي ولكن من المحتمل أنه تم اختراقه.

بمجرد البدء ، تقتل البرامج الضارة خدمات متعددة على الجهاز المصاب اعتمادًا على المنفذ (23 أو 2323) الذي تم استخدامه للوصول. ثم يبدأ خادم HTTP يسحب في البداية نسخة من “الإعلان العالمي لحقوق الإنسان” باللغة الصينية وسبع لغات أخرى. قال 360NetLab إن هذا المحتوى الأولي يتم استبداله بسرعة ببيانات مأخوذة من نظير مصاب آخر على شبكة الروبوتات.

وفقًا للبائع ، فإن وظيفة التدمير الذاتي في البرامج الضارة جديرة بالملاحظة بشكل خاص. “عندما يتلقى الروبوت ملف [command] مع الرمز رقم 8 ، سيحاول الروبوت مسح كل شيء على جميع الأقراص “من خلال سلسلة من أوامر شل” ، قال البائع.

لم يقدم تقرير 360NetLab نظرة ثاقبة حول ما إذا كان سيتم استخدام HEH botnet لإطلاق هجمات رفض الخدمة الموزعة (DDoS) ، أو توزيع البريد العشوائي والبرامج الضارة ، أو لأغراض أخرى. في الوقت الحالي ، على الأقل ، لم يتم تنفيذ وظيفة الهجوم في الروبوتات ، مما يشير إلى أن الروبوتات HEH لا تزال قيد التطوير ، كما قال بائع الأمن.

اتجاه مستمر
يعد HEH bot جزءًا من عدد متزايد من أدوات البرامج الضارة التي تستهدف SSH المكتوبة بلغة برمجة Go والتي تمت ملاحظتها مؤخرًا. إنها تمثل تحولًا من البرامج الضارة القديمة لإنترنت الأشياء مثل Mirai التي تم تطويرها C أو لغات برمجة أخرى مثل Perl و C ++. هذا العام وحده ، أبلغ العديد من البائعين والباحثين عن روبوتات إنترنت الأشياء مكتوبة في Go ، بما في ذلك كايجيو IRCfluومؤخرا فريتزفروج، عبارة عن روبوتات من نظير إلى نظير تعمل بنشاط على اختراق خوادم SSH منذ بداية هذا العام.

يقول كريج يونج ، باحث أمن الكمبيوتر في فريق البحث عن نقاط الضعف والتعرض في Tripwire ، إن الشعبية المتزايدة لـ Go بين الجهات الفاعلة في التهديد أمر مثير للاهتمام. إن HEH botnet هي واحدة من سلسلة من شبكات الروبوت القائمة على لغة Go والتي يبدو أنها صادرة من مجموعة صغيرة من مطوري البرامج الضارة. يقترح إما جيلًا جديدًا من مؤلفي البرامج الضارة أو موجة جديدة من القدرات.

يقول يونج: “إن Go هي لغة برمجة قوية جدًا مع مكتبة واسعة من الوحدات المدعومة من المجتمع”.

يُمكِّن Go المطورين من التلاعب بالسلوكيات منخفضة المستوى للغاية ، كما يلاحظ.

يقول: “قد يستفيد مؤلفو البرامج الضارة من ذلك لإحباط محاولات التحليل باستخدام أشكال مخصصة من خوارزميات الضغط أو التشفير”.

في حين أن البرامج الضارة التي تم تطويرها في Go لا تؤدي بالضرورة إلى تعقيد دفاعات المؤسسات ، إلا أنها تتطلب منهم تحديث مجموعات الأدوات الخاصة بهم في بعض الظروف ، كما أشار يونج.

تشكل HEH botnet القليل من المخاطر على المؤسسات بشكلها الحالي. في الوقت الحالي ، تمت ملاحظة البرامج الضارة فقط وهي تستهدف خدمات telnet المكشوفة ، والتي لا ينبغي أن تمتلكها أي منظمة مسؤولة ، كما يقول.

يقول يونج: “بالنسبة لمعظم المؤسسات ، فإن تهديد هذه الروبوتات في هذا الوقت ضئيل للغاية ، لكن من الممكن أن يتطور بالتأكيد”. “يمكن دفع تحديث البرنامج الضار في أي وقت لإدخال تقنيات هجوم وانتشار جديدة.”

جاي فيجايان هو مراسل تقني متمرس يتمتع بخبرة تزيد عن 20 عامًا في الصحافة التجارية لتكنولوجيا المعلومات. شغل مؤخرًا منصب محرر أول في Computerworld ، حيث غطى قضايا أمن المعلومات وخصوصية البيانات للنشر. على مدار 20 عامًا … مشاهدة السيرة الذاتية كاملة

اقتراحات للقراءة:

المزيد من الأفكار

قد يعجبك ايضا