info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

نوع جدیدی از Mirai از طریق بیش از یکصد هزار آدرس IP توزیع می‌شود.

خلاصه: یک نوع جدید از بدافزار معروف Mirai به‌سرعت در حال گسترش است. به گفته‌ی محققان انتشار کد اکسپلویت در یک پایگاه‌داده‌ی آسیب‌پذیری‌های عمومی، عامل اصلی افزایش فعالیت‌های مرتبط با بات‌نت Mirai است. کد اکسپلویت منتشرشده ابتدا با استفاده از یکی از دو پسورد پیشفرض از راه دور به دستگاه ZyXEL وارد شده و سپس با استفاده از پسورد su جاسازی شده امتیازهای ریشه را به‌دست می‌آورد.

یک نوع جدید از بدافزار اینترنت اشیای Mirai به‌سرعت در حال گسترش است. به گفته‌ی محققان انتشار کد اکسپلویت در یک پایگاه‌داده‌ی آسیب‌پذیری‌های عمومی، عامل اصلی افزایش فعالیت‌های مرتبط با بات‌نت Mirai است.

پس از انتشار کد اکسپلویت در ۳۱ اکتبر، محققان اسکن‌هایی را با استفاده از آن در ۲۲ نوامبر مشاهده کردند. این اکسپلویت آسیب‌پذیری CVE-2016-10401 را در مسیریاب‌های قدیمی ZyXEL PK5001z راه‌اندازی می‌کند. این مسیریاب‌ دارای یک رمزعبور کاربر جاسازی‌شده است (zyad5001) که می‌تواند برای افزایش دسترسی کاربر به سطح روت استفاده شود. رمز عبور su نمی‌تواند برای ورود به دستگاه استفاده شود.

 به‌هرحال مهاجمان کشف کرده‌اند که تعداد زیادی از دستگاه‌های ZyXEL از admin/CentryL1nk و admin/QwestM0dem به‌عنوان مجوز  پیش‌فرض استفاده می‌کنند.

کد اکسپلویتی که اخیراً منتشر شده‌ است ابتدا با یکی از این دو پسورد، با استفاده از Telnet، از راه دور به دستگاه ZyXEL وارد می‌شود، و سپس از پسورد su جاسازی شده برای بدست‌آوردن امتیازهای root استفاده می‌کند.

از روز چهارشنبه، Netlab چندین اسکن بر روی پورت ۲۳ و ۲۳۲۳ را برای تأیید هویت Telnet کشف کرده است که مهاجمان از اکسپلویت ذکر شده برای آلوده کردن دستگاه‌ها با Mirai استفاده می‌کرده‌اند.

سوءاستفاده از این دو مجوز از حدود ساعت ۱۱ تاریخ ۲۲ نوامبر آغاز شده و در اوایل روز ۲۳ نوامبر به اوج خود رسیده است.

متخصصان Netlab حدود یکصد هزار IP را درحال انجام اسکن کشف کردند. این به این معنی است که بات‌نت جدید Mirai ازحدود ۱۰۰۰۰۰ دستگاه تشکیل شده است که به دنبال دستگاه‌های آسیب‌پذیر ZyXEL می‌باشند.

حدود ۶۵۷۰۰ عدد از این بات‌ها در آرژانتین قرار داشتند . هیچ گزارشی وجود ندارد که کاربران Telefonica از قطع اتصال اینترنت رنج می‌برند، این وضعیت نشان می‌دهد که صاحبان مسیریاب‌های آلوده از آلودگی باخبر نیستند.

محققان تأیید کرده‌اند که بیشتر اسکنرهای IP  از آرژانتین و دقیقاً از شبکه‌ی ISP محلی Telefonica آرژانتین هستند.

خبر خوب اینکه بات‌های Mirai مکانیزم پایداری ندارند و این بدان معنی است که وقتی دستگاه آلوده مجددا راه‌اندازی شود، Mirai می‌تواند ریشه‌کن شود.

این اولین بار نیست که بات‌نت Mirai برای استفاده از دستگاه‌های متعلق به یک شبکه‌ی ISP خاص استفاده می‌شود، در اواخر سال ۲۰۱۶، این بات‌نت برای به‌خطر انداختن بیش‌از ۹۰۰۰۰۰ مسیریاب Deusche Telekom در آلمان مورد استفاده قرار گرفت.