بات نت Echobot از طریق 26 اکسپلویت انتشار یافته و نرم افزارهای Oracle و VMware را هدف قرار می دهد

بات نت Echobot از طریق 26 اکسپلویت انتشار یافته و نرم افزارهای Oracle و VMware را هدف قرار می دهد

تعداد اکسپلویت های یک بات نت (Botnet) نسبتاً جدید به نام Echobot به 26 مورد می رسد. بیشتر کدهای این اکسپلویت برای دستگاه های اینترنت اشیاء (IoT) استفاده می شود، اما برنامه های سازمانی Oracle WebLogic و VMware SD-Wan نیز جزء اهدافش می باشند.

تعداد اکسپلویت های یک بات نت (Botnet) نسبتاً جدید به نام Echobot به 26 مورد می رسد. بیشتر کدهای این اکسپلویت برای دستگاه های اینترنت اشیاء (IoT) استفاده می شود، اما برنامه های سازمانی Oracle WebLogic و VMware SD-Wan نیز جزء اهدافش می باشند.

Echobot مانند صدها بات نت دیگر مبتنی بر نرم افزار مخرب Mirai می باشد که پس از عمومی شدن کد منبع در دسترس قرار گرفتند. این اکسپلویت از ابتدای این ماه توسط محققان در Palo Alto Networks کشف وافشا شد (https://unit42.paloaltonetworks.com/new-mirai-variant-adds-8-new-exploits-targets-additional-iot-devices).

دستگاه های IoT اهداف اصلی هستند

Larry Cashdollar از تیم Akamai's Security Intelligence Response Team (SIRT) نسخه جدیدی از بات نت Echobot را مشاهده کرد که برای کمک به انتشار خود، یک هاست از هشت اکسپلویت جدید اضافه می کند.

Cashdollar می گوید، من 26 اکسپلویت مختلف شمردم که برای گسترش این بات نت مورد استفاده قرار گرفتند. اکثر آنان کامندهای اجرایی آسیب پذیر شناخته شده ای بودند که در دستگاه های مختلف داخل شبکه موجود هستند.

اهداف جدید Echobot، عبارتند از network-attached storage devices (NAS)، روترها، network video recorders (NVR)، دوربین های آیپی، تلفن های آیپی و سیستم های ارائه دهنده وایرلس.

باگ های دهه های گذشته اکسپلویت شدند

Cashdollar در شناسایی آسیب پذیری هایی که توسط بات نت انجام می گرفت مشکل داشت، زیرا برخی از آنها توصیه های عمومی داشتند ولی هیچ شماره ردیابی به آنها اختصاص داده نشده بود.

او با مشورت MITRE مشکل را حل کرد و به هر عفونتی که شماره شناسایی (CVE) نداشت یه شماره اختصاص داد.

این تلاش نه تنها برای تحقیقاتش مفید است، بلکه همچنین برای سایر متخصصانی که آسیب پذیری های اکسپلویت شده تحت عنوان شماره CVE (یک طبقه بندی استاندارد که توسط infosec community مورد استفاده قرار می گیرد) پیدا می کنند، مفید می باشد.

Cashdollar همچنین یک لیست از باگ ها که توسط نسخه جدید Echobot بوجود آمد، گردآوری کرده است:

یکی از جنبه های جالب که محققان اشاره کردند این است که نویسنده های بات نت، لیستی از اهدافی فراتر از دنیای IoT  ایجاد کردند و اکسپلویت هایی را برای سرور Oracle WebLogic و نرم افزار شبکه VMware SD-WAN اضافه کرده اند که برای ارائه دسترسی به سرویس های ابری، دیتا سنترهای خصوصی و نرم افزارهای سازمانی مبتنی بر SaaS (Software as a Service) استفاده می شوند.

آسیب پذیری های دهه های گذشته نیز در لیست وجود دارد و نشان می دهد که نویسندگان بدافزار تا زمانیکه تعداد قابل توجهی از دستگاه های به روز رسانی نشده وجود داشته باشد، به سن یک نقص اهمیت نمی دهند.

این نشان می دهد که بسیاری از سیستمهای آسیب پذیر هنوز در حال استفاده هستند و احتمال دارد تا زمانیکه اتصال آنها به خوبی قطع شود، باقی بمانند.

تحقیقات Cashdollar نشان داد که Echobot از همان کدی که در حمله Mirai استفاده شده، نشأت گرفته است و تنها تفاوت آن اکسپلویت هایی می باشد که به انتشار آن کمک می کند.

او متوجه شد که سرورهای کنترل و فرمان برای دامنه های akumaiotsolutions[.]pw و akuma[.]pw تنظیم شده اند، هرچند آنها آدرس آیپی را تحلیل نمی کنند.

منبع: Bleepingcomputer.com