شناسایی باتنتی که به ماینر ارزهای دیجیتالی نفوذ میکند
باتنت KashmirBlack شناسایی شده که بهطور گسترده پلتفرمهای مدیریت محتوای پرکاربرد را آلوده میکند و با استفاده از سرویسهای ابری، به ماینر ارزهای دیجیتالی نفوذ میکند.
به گزارش اقتصاد الکترونیکی به نقل از ایسنا، باتنت (Botnet) شبکهای از چندین کامپیوتر است که مخفیانه و بدون اطلاع صاحبانشان، توسط یک بات مستر (Bot Master) برای انجام فعالیتهای مخرب یا ارسال ایمیلهای هرزنامه تحت کنترل گرفته شده است. این باتنتها یا دستگاههای اجیرشده میتوانند بسیار مشکلساز باشند.
حمله باتها مانند باج افزارها که سایتها را به طور کامل قفل میکنند، به تازگی بیشتر مطرح شده و منجر به نارضایتی شده است. حمله باتها نامحسوس است، به همان اندازه هم برای یک تجارت ویرانکننده است، زیرا حسابهای اعتباری به سرقت میرود و به فروش میرسد، اطلاعات کارتها ناقص میشوند و تصمیمات بدی بر اساس دادههای ناقص گرفته میشود. اطمینان بیش از حد به امنیت سایبری، مشاغل را قربانی حمله باتها میکند.
مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) درباره باتنت KashmirBlack هشدار داده که بهطور گسترده پلتفرمهای مدیریت محتوای پرکاربرد را آلوده میکند. این باتنت با سوءاستفاده از چندین آسیبپذیری شناختهشده روی سرور قربانی، بهطور میانگین میلیونها حمله را هر روزه و روی چندین هزار قربانی در بیش از ۳۰ کشور انجام میدهد.
بر اساس گزارش تیم Imperva، محققان Imperva پیادهسازی و سیر تکامل این باتنت خطرناک را از ماه نوامبر ۲۰۱۹ تا پایان ماه می ۲۰۲۰ میلادی بررسی کردهاند. در این تحقیق چگونگی استفاده باتنت از سرویسهای ابری همچون Github ، Pastebin و Dropbox بهمنظور کنترل و مخفی کردن عملیات باتنت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است.
با توجه به یافتههای Imperva، باتنت در ابتدا کوچک بوده اما پس از رشد مدوام در طول ماهها تبدیل به یک غول پیچیده شده است که همه روزه توانایی حمله به هزاران سایت را دارد. امروزه، باتنت KashmirBlack توسط یک سرور C&C مدیریت میشود و بیش از ۶۱ سرور قربانی در زیرساخت خود دارد.
باتنت KashmirBlack با هدف پیدا کردن سایتهایی که نرمافزارهای منسوخشده دارند، اینترنت را پایش کرده و گسترش مییابد و سپس با اکسپلویت آسیبپذیریهای شناختهشده، سایت هدف و سرورهای آن را تحت تاثیر قرار میدهد. برخی از سرورهای هکشده در استخراج ارزهای دیجیتالی و اسپم کاربرد دارند اما برخی دیگر در حمله به سایتهای دیگر و سرپا نگه داشتن باتنت ایفای نقش میکنند.
از نوامبر ۲۰۱۹ میلادی این باتنت از ۱۶ آسیبپذیری مختلف استفاده کرده است. این آسیبپذیریها به باتنت KashmirBlack این اجازه را میدهند که به سیستمهای مدیریت محتوا از قبیل Drupal، Magneto، PrestaShop، Joomla، WordPress، OpenCart، osCommerce، vBulletin و Yeager حمله کنند. در برخی از اکسپلویتها فقط به سیستم مدیریت محتوای سایت حمله شده اما در برخی دیگر به المانهای داخلی و کتابخانهها نیز حمله میشود.
برای مقابله با این باتنت، مدیر سایت باید اطمینان حاصل کند که فایلهای CMS و ماژولهای سوم شخص همیشه بهروز بوده و کاملا پیکربندی شده باشند. علاوه بر این، از دسترسی به فایلهای حساس و مسیرهایی از قبیل php.config-wp, php.install و php.stdin-eval جلوگیری شود.
پیشنهاد میشود که از رمزعبورهای قدرتمند و خاصی استفاده شود، چون این رمزعبورها اولین نقطه دفاعی در برابر حملات بروت فورس هستند. همچنین به دلیل گسترش جرایم رایانهای و افشای آسیبپذیریهای روزافزون توصیه میشود برای اطمینان کامل از امنیت سایت خود از WAF استفاده کنید.
در صورتی که سرور شما توسط باتنت KashmirBlack آلوده شده باشد، باید اقداماتی از جمله توقف پروسسهای آلوده، حذف فایلهای آلوده، حذف تسکهای زمانبندیشده (Cron Jobs) مشکوک و ناآشنا، حذف پلاگین و تمهای استفادهنشده انجام شود.