رونمایی از NKAbuse: یک تهدید جدید چندپلت‌فرمی

13 دی 1402 رونمایی از NKAbuse: یک تهدید جدید چندپلت‌فرمی

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ طی واکنش به رخدادی که دو تیم GERT و GReAT اجرا کردند، تهدید جدید و چندپلت‌فرمی به نام NKAbuse کشف شد. این بدافزار از فناوری NKN برای تبادل داده بین جفت‌ها استفاده کرده، حکم ایمپلنت بالقوه را داشته و به دو قابلیت فلادر و بک‌در مجهز است. با ما همراه بمانید.

این بدافزار، نوشته‌شده به زبان Go آنقدری منعطف هست که باینری‌هایی سازگار با معماری‌های مختلف تولید کند. تحلیل ما نشان می‌دهد هدف اصلی NKAbuse، دسکتاپ‌های لینوکسی باشد اما با مشاهده توانایی‌اش در آلوده کردن سیستم‌های  MISP و ARM همچنین برای دستگاه‌های اینترنت اشیاء هم تهدیدی به حساب می‌آید. NKAbuse با آپلود کردن ایمپلنت در میزبان قربانی، به سیستم‌ها رخنه می‌کند. این بدافزار با کرون جاب[1] و نصب خود در فولدر خانگی میزبان، ایجاد پایداری می‌کند. دامنه قابلیت‌هایش از فلاد کردن تا دسترسی بک‌در به RAT است.

نوع جدیدی از شبکه (NKN)

NKN خلاصه‌ی عبارت «نوع جدیدی از شبکه[2]» حکم P2P و پروتکل شبکه بلاک‌چین محور را دارد که تمرکززدایی و حریم خصوصی را اولویت قرار می‌دهد. شبکه NKN در حال حاضر بیش از 60 هزار نود رسمی دارد و الگوریتم‌های روتینگ پراکنده‌ای طراحی‌شده برای بهینه‌سازی انتقال داده ارائه می‌دهد. این کار با انتخاب کوتاهترین مسیر نود برای رسیدن به مقصد مورد هدفش انجام می‌شود.

از حیث تاریخی، اپراتورهای بدافزار پروتکل‌های جدید و نوظهور ارتباطی را مانند NKN اکسپلویت کرده‌اند تا سرورهای C2 یا اربابان باتیِ خود را لینک کنند. این تهدید از پروتکل بلاک‌چین عمومی NKN برای انجام مجموعه بزرگی از حملات فلاد استفاده کرده و حکم بک‌در داخل سیستم‌های لینوکسی را دارد.

بُردار حمله نه چندان جدید

شواهد جمع‌آوری و تجزیه و تحلیل شده توسط GERT نشان می‌دهد که این حمله از یک آسیب‌پذیری قدیمی مربوط به Struts2 (CVE-2017-5638 – Apache Struts2) سوء استفاده کرده و یک شرکت مالی را هدف قرار داده است.

گزیده ای از گزارش‌های حسابرسی همان گزارش‌هایی هستند در vulhub POC S2-048 به آن اشاره شده است. این آسیب‌پذیری به مهاجمین اجازه می‌دهد تا با ارسال فرمان در سرآیند «شل» و ارسال دستورالعمل‌ها برای اجرا به Bash، دستورات را روی سرور اجرا کنند.  پس از اکسپلویت آسیب‌پذیری، دستوری برای دانلود اسکریپت اولیه بر روی سیستم اجرا می‌شود.

یک ایمپلنت جدید چندپلت‌فرمی

بدافزار معمولاً با اجرای یک اسکریپت پوسته راه دور که محتویات اسکریپت پوسته setup.sh میزبانی شده توسط مهاجم را از راه دور دانلود و اجرا کرده و روی دستگاه قربانی نصب می‌شود. فرآیند راه‌اندازی نوع سیستم‌عامل را بررسی  و بسته به آن، مرحله دوم، که کاشت بدافزار واقعی است را دانلود می‌کند. ایمپلنت از همان سرور دانلود می‌شود. نام آن "app_linux (ARCH) است، که در آن ARCH  معماری سیستم‌عامل هدف است. ایمپلنت دانلود شده در پوشه موقت /tmp قرار می‌گیرد و سپس اجرا می‌شود. هشت معماری بر روی آن سرور میزبانی شده و توسط بدافزار پشتیبانی می شود:

  • 386
  • arm64
  • arm
  • amd64
  • mips
  • mipsel
  • mips64
  • mips64el

این تحلیل بر روی نسخه amd64 (x86-64) متمرکز خواهد شد.

پس از اجرا، بدافزار بررسی می‌کند که آیا تنها نمونه در حال اجرا است یا خیر و به جای اینکه در فهرست فرار /tmp باقی بماند، خود را به مکانی امن منتقل می‌کند. دایرکتوری انتخاب شده توسط ایمپلنت برای اقامت در آن /root/.config/StoreService/ است. مجموعه دیگری از دایرکتوری‌های ایجاد شده در مسیر مقصد، فایل‌ها و .cache است. سپس ایمپلنت آدرس IP دستگاه آلوده را با ارسال یک درخواست GET به ifconfig.me بازیابی، پیکربندی پیش‌فرض را بارگیری می‌کند؛ کاری که مشخص می‌کند آیا در دایرکتوری cache. قرار دارد یا خیر، و در غیر این صورت، تنظیمات سخت کد شده خاصی بارگیری می‌شود. سپس این پیکربندی در یک ساختار کش جدید ذخیره می‌شود، که سایر تنظیمات مهم و مکرر استفاده‌شده مانند کلید خصوصی تولید شده را در خود نگه می‌دارد.

NKAbuse از کرون جاب‌ها برای زنده ماندن در راه اندازی مجدد استفاده می‌کند. برای رسیدن به آن، نیاز به روت بودن دارد. بررسی می‌کند که شناسه کاربر فعلی 0 باشد و اگر چنین باشد، به تجزیه crontab فعلی ادامه می دهد و برای هر راه اندازی مجدد، خود را اضافه می‌کند.

ارتباطی جدید

NKAbuse از پروتکل NKN برای برقراری ارتباط با ربات اصلی و دریافت/ارسال اطلاعات استفاده می‌کند. برای انجام این کار، کاشت بدافزار یک حساب کاربری جدید و یک چند مشتری جدید ایجاد می‌کند که به آن امکان می‌دهد داده‌ها را از چندین مشتری به طور همزمان ارسال و دریافت کند و قابلیت اطمینان ارتباطات خود با ربات اصلی را افزایش دهد. حساب NKN با گزینه‌های پیکربندی پیش‌فرض ایجاد و سپس چند مشتری با یک شناسه مقداردهی اولیه می‌شود که در نمونه ما یک رشته 64 کاراکتری و نشان‌دهنده کلید عمومی و آدرس راه دور مورد استفاده بدافزار است. به محض راه‌اندازی شدن کلاینت و آماده بودنش برای دریافت و ارسال داده، بدافزار هندلری تهیه می‌بیند برای پذیرش مسیج‌های دریافتی ارسال‌شده توسط مستر بات. هندلر شامل 42 مورد یا بیشتر می‌شود که هر کدام بسته به "کد" ارسال شده، اقدامات متفاوتی را انجام می‌دهند و منتظر دریافت پیام های بیشتری هستند.

NKAbuse حاوی زرادخانه بزرگی از حملات انکار سرویس توزیع شده DDoS)  ) است. همه این بارهای پرداختی در طول تاریخ توسط بات‌نت‌ها استفاده می‌شده‌اند، بنابراین، هنگامی که با NKN به عنوان پروتکل ارتباطی ترکیب می‌شوند، بدافزار می‌تواند به‌طور ناهمزمان منتظر مستر برای راه‌اندازی یک حمله ترکیبی باشد. توجه به این نکته مهم است که آخرین نوع حمله بارگذاری از سایرین منحرف می شود. NKAbuse سرور DNS را با درخواست‌های ناخواسته DNS سرریز می‌کند (نوع AAAA ) و باعث می‌شود که سعی کند زیر دامنه‌های {JUNK}.google.com  را حل کند، جایی که JUNK  یک نام زیر دامنه‌ای است که به‌طور تصادفی در قالب 0-9a-zA-Z ایجاد شده است.

بک‌در جدید با قابلیت‌های RAT

NKAbuse دارای چندین ویژگی است که آن را به یک بک‌در قدرتمند یا یک تروجان دسترسی از راه دور  RAT)  ) تبدیل می کند، نه فقط یک ابزار DDoS. در واقع، بیشتر دستورات پیام ذکر شده در بالا، به هر طریقی، برای تداوم، اجرای دستور، یا جمع آوری اطلاعات استفاده می‌شوند. کاشت بدافزار ساختاری به نام Heartbeat ایجاد می‌کند که در فواصل زمانی منظم با مستر بات صحبت می‌کند. این شامل تعدادی ساختار دیگر است که اطلاعات مربوط به میزبان آلوده را ذخیره می‌کند: PID، آدرس IP قربانی، حافظه آزاد، پیکربندی فعلی و غیره. یکی دیگر از ویژگی‌های این بدافزار امکان تهیه اسکرین شات از دستگاه آلوده است. از یک پروژه منبع باز برای تعیین محدوده نمایش و سپس گرفتن تصویری از صفحه فعلی استفاده می‌کند تا آن را به PNG تبدیل و به ربات اصلی ارسال کند.

NKAbuse همچنین می‌تواند فایل‌هایی با محتوای خاص ایجاد، فایل‌ها را از سیستم فایل حذف و یک لیست فایل را از یک مسیر خاص واکشی کند. می‌تواند فهرستی از فرآیندهای در حال اجرا در سیستم و حتی فهرست دقیقی از رابط‌های شبکه موجود را دریافت کند. یکی دیگر از ویژگی های رایج که این ایمپلنت را به یک بک‌در کامل تبدیل می‌کند، امکان اجرای دستورات سیستم است. اینها از طرف کاربر فعلی اجرا و خروجی از طریق NKN به botmaster ارسال می‌شود.

تهدید جدید

اگرچه نسبتاً نادر است اما فلادرها و بک‌درهای جدید مانند NKAbuse از طریق استفاده از پروتکل‌های ارتباطی کمتر متداول خود را برجسته می‌کنند. به نظر می رسد این ایمپلنت خاص به دقت برای ادغام در یک بات نت ساخته شده اما می‌تواند به عنوان بک‌در در یک میزبان خاص عمل کند. علاوه بر این، استفاده آن از فناوری بلاکچین هم قابلیت اطمینان و هم ناشناس بودن را تضمین می‌کند، که نشان‌دهنده پتانسیل این بات‌نت برای گسترش پیوسته در طول زمان بوده و ظاهراً فاقد هندلر مرکزی قابل شناسایی است. علاوه بر این، تأیید شده که این بدافزار هیچ عملکرد خود انتشاری ندارد، به این معنی که ناقل آلودگی اولیه توسط شخصی که از یک آسیب‌پذیری برای استقرار نمونه سوء استفاده می‌کند، تحویل داده می‌شود. داده های تله متری ما نشان می‌دهد که قربانیانی در کلمبیا، مکزیک و ویتنام وجود دارد. همه محصولات کسپرسکی این تهدیدها را از چشم NKAbuse می‌بینند و این بدافزار را مقصر می‌دانند.

شاخص‌های دستکاری

بر پایه میزبان:

فایل‌های ساخته‌شده:

  • /root/.config/StoreService
  • /root/.config/StoreService/app_linux_amd64
  • /root/.config/StoreService/files
  • /root/.config/StoreService/.cache

 

 

[1] قابلیتی است در سیستم عامل‌های بر مبنای یونیکس که وظیفهٔ اجرای برنامه در زمان بندی‌های خاص را بر عهده دارد. کرون جاب این قابلیت را برای کاربران ایجاد می‌کند تا بتوانند کارها (دستورها و شل اسکریپت) به صورت زمان بندی شده و در دوره‌های مشخص اجرا کند.

[2] New Kind of Network

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    8,077,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    12,119,800 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,211,980 ریال12,119,800 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    80,842,300 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    11,434,500 ریال22,869,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    16,397,150 ریال32,794,300 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    17,540,600 ریال35,081,200 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    72,761,150 ریال145,522,300 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    232,840,300 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    87,314,150 ریال174,628,300 ریال
    خرید
  • Kaspersky Small Office Security

    279,733,300 ریال
    خرید
  • Kaspersky Small Office Security

    101,867,150 ریال203,734,300 ریال
    خرید
  • Kaspersky Small Office Security

    325,817,800 ریال
    خرید
  • Kaspersky Small Office Security

    116,420,150 ریال232,840,300 ریال
    خرید
  • Kaspersky Small Office Security

    372,710,800 ریال
    خرید
  • Kaspersky Small Office Security

    130,973,150 ریال261,946,300 ریال
    خرید
  • Kaspersky Small Office Security

    418,795,300 ریال
    خرید
  • Kaspersky Small Office Security

    133,398,650 ریال266,797,300 ریال
    خرید
  • Kaspersky Small Office Security

    426,880,300 ریال
    خرید
  • Kaspersky Small Office Security

    187,972,400 ریال375,944,800 ریال
    خرید
  • Kaspersky Small Office Security

    601,516,300 ریال
    خرید
  • Kaspersky Small Office Security

    242,546,150 ریال485,092,300 ریال
    خرید
  • Kaspersky Small Office Security

    776,152,300 ریال
    خرید
  • Kaspersky Small Office Security

    293,077,400 ریال586,154,800 ریال
    خرید
  • Kaspersky Small Office Security

    937,852,300 ریال
    خرید
  • Kaspersky Small Office Security

    555,839,900 ریال1,111,679,800 ریال
    خرید
  • Kaspersky Small Office Security

    1,778,692,300 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد