Mirai Botnet يعود من جديد

Mirai Botnet

يعود البرنامج الضار Mirai مرة أخرى في هجوم من نوع Botnet حيث يستهدف العشرات من نقاط الضغف في أجهزة D-Link , TP-Link , Tenda , Arris وأستخدامهم ك DDOS.

تم التعرف على البرنامج الضار من قبل باحثين Palo Alto Networks في حملتين جاريتين بدأتا في 14 مارس وازدادت في أبريل ويونيو.

وقد أضاف الباحثون أن مطوري البرنامج الضار يواصلون إضافة تعليمات برمجية جديدة للثغرات القابلة للاستغلال.

Palo Alto Networks | مراحل تطور حملات Mirai من شهر 3 الى شهر 5

يستهدف Mirai ما لا يقل عن 22 ثغرة أمنية معروفة في العديد من المنتجات، والتي تشمل الرواتر ، ومسجلات الفيديو الرقمية (DVRs) ، ووحدات اتصال WiFi (الWi-Fi Adapter) 

Palo Alto Networks | جميع الثغرات التي تم أستغلالها

كيف يعمل Mirai؟

بعدما حلل الباحثون البرنامج الضار Mirai بأستخدام طرق تحليل البرمجيات الضارة توصلوا الى الاتي:

1- يبدء الهجوم بأستغلال ثغرة من التي ذكرناها سابقا (أنظر الجدول أعلاه) مهيئا لتنفيذ shell script.

2- مهمة الـ shell script هيا تنزيل botnet client يتطابق مع بنية الجهاز المخترق على سبيل المثال هل ستكون نسخة arm6 أم x86_64؟

3- بعدما يتم تنزيل الـ botnet client يعمل الـ shell script على حذف الملفات التي تم تنزيلها لكي لا يترك أي أثر وراءه لتصعيب عملية أكتشافه

والجدير بالذكر أن هذه النسخة من Mirai تعمل على الوصول مباشره للنصوص المشفرة في قسم rodata مما يعطي سرعة التخفي وتقليل احتمالية اكتشافها بواسطة ال Anti-Virus.

كما أنه لا يعتمد على ال brute force لمحاولة أستخراج ال credentials من  telnet/SSH login فيجب تنفيذ الثغرة يدويا.

سبيل النجاة

الحل الرئيسي لتقليل احتمالية الأصابة بهذا البرنامج الضار هو تحديث اخر نسخة متاحة من شركات ألاجهزة التي يستهدفها  Mirai التي ذكرناها سابقا.

المصادر:

[1] https://www.bleepingcomputer.com/news/security/mirai-botnet-targets-22-flaws-in-d-link-zyxel-netgear-devices/