تجارت الکترونیک

فناوری اطلاعات

October 30, 2020
11:49 جمعه، 9ام آبانماه 1399
کد خبر: 117601

شناسایی بات‌نتی که به ماینر ارزهای دیجیتالی نفوذ می‌کند

 
 
بات‌نت KashmirBlack شناسایی شده که به‌طور گسترده پلتفرم‌های مدیریت محتوای پرکاربرد را آلوده می‌کند و با استفاده از سرویس‌های ابری، به ماینر ارزهای دیجیتالی نفوذ می‌کند.
 
بات‌نت (Botnet) شبکه‌ای از چندین کامپیوتر است که مخفیانه و بدون اطلاع صاحبانشان، توسط یک بات مستر (Bot Master) برای انجام فعالیت‌های مخرب یا ارسال ایمیل‌های هرزنامه تحت کنترل گرفته شده است. این بات‌نت‌ها یا دستگاه‌های اجیرشده می‌توانند بسیار مشکل‌ساز باشند.
 
حمله بات‌ها مانند باج افزارها که سایت‌ها را به طور کامل قفل می‌کنند، به تازگی بیشتر مطرح شده و منجر به نارضایتی شده‌ است. حمله بات‌ها نامحسوس است، به همان اندازه هم برای یک تجارت ویران‌کننده است،  زیرا حساب‌های اعتباری به سرقت می‌رود و به فروش می‌رسد، اطلاعات کارت‌ها ناقص می‌شوند و تصمیمات بدی بر اساس داده‌های ناقص گرفته می‌شود. اطمینان بیش از حد به امنیت سایبری، مشاغل را قربانی حمله بات‌ها می‌کند.
 
مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) درباره بات‌نت KashmirBlack هشدار داده که به‌طور گسترده پلتفرم‌های مدیریت محتوای پرکاربرد را آلوده می‌کند. این ‫بات‌نت با سوءاستفاده از چندین ‫آسیب‌پذیری شناخته‌شده روی سرور قربانی، به‌طور میانگین میلیون‌ها حمله را هر روزه و روی چندین هزار قربانی در بیش از ۳۰ کشور انجام می‌دهد.
 
بر اساس گزارش تیم Imperva، محققان Imperva پیاده‌سازی و سیر تکامل این بات‌نت خطرناک را از ماه نوامبر ۲۰۱۹ تا پایان ماه می ۲۰۲۰ میلادی بررسی کرده‌اند. در این تحقیق چگونگی استفاده بات‌نت از سرویس‌های ابری همچون ‌Github ، Pastebin  و Dropbox به‌منظور کنترل و مخفی کردن عملیات بات‌نت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است.
 
با توجه به یافته‌های Imperva‌، بات‌نت در ابتدا کوچک بوده اما پس از رشد مدوام در طول ماه‌ها تبدیل به یک غول پیچیده شده است که همه روزه توانایی حمله به هزاران سایت را دارد. امروزه، بات‌نت KashmirBlack توسط یک سرور C&C مدیریت می‌شود و بیش از ۶۱ سرور قربانی در زیرساخت خود دارد.
 
بات‌نت KashmirBlack با هدف پیدا کردن سایت‌هایی که نرم‌افزارهای منسوخ‌شده دارند، اینترنت را پایش کرده و گسترش می‌یابد و سپس با اکسپلویت آسیب‌پذیریهای شناخته‌شده، سایت هدف و سرورهای آن را تحت تاثیر قرار می‌دهد. برخی از سرورهای هک‌شده در استخراج ارزهای دیجیتالی و اسپم کاربرد دارند اما برخی دیگر در حمله به سایت‌های دیگر و سرپا نگه داشتن بات‌نت ایفای نقش می‌کنند.
 
 از نوامبر ۲۰۱۹ میلادی این باتنت از ۱۶ آسیب‌پذیری مختلف استفاده کرده است. این آسیب‌پذیری‌ها به بات‌نت KashmirBlack این اجازه را می‌دهند که به سیستم‌های مدیریت محتوا از قبیل Drupal، Magneto، PrestaShop، Joomla، WordPress، OpenCart، osCommerce، vBulletin و Yeager حمله کنند.  در برخی از اکسپلویت‌ها فقط به سیستم مدیریت محتوای سایت حمله شده اما در برخی دیگر به المان‌های داخلی و کتابخانه‌ها نیز حمله می‌شود.
 
برای مقابله با این بات‌نت، مدیر سایت باید اطمینان حاصل کند که فایل‌های CMS و ماژول‌های سوم شخص همیشه به‌روز بوده و کاملا پیکربندی شده باشند. علاوه بر این، از دسترسی به فایل‌های حساس و مسیرهایی از قبیل php.config-wp, php.install و php.stdin-eval جلوگیری شود.
 
پیشنهاد می‌شود که از رمزعبورهای قدرتمند و خاصی استفاده شود، چون این رمزعبورها اولین نقطه دفاعی در برابر حملات بروت فورس هستند. همچنین به دلیل گسترش جرایم رایانه‌ای و افشای آسیب‌پذیری‌های روزافزون توصیه می‌شود برای اطمینان کامل از امنیت سایت خود از WAF استفاده کنید.
 
در صورتی که سرور شما توسط بات‌نت KashmirBlack آلوده شده باشد، باید اقداماتی از جمله توقف پروسس‌های آلوده، حذف فایل‌های آلوده، حذف تسک‌های زمانبندی‌شده (Cron Jobs) مشکوک و ناآشنا، حذف پلاگین و تم‌های استفاده‌نشده انجام شود.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.