🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
- اكتشفت إنتيزر شبكة بوت نت جديدة من أصل صيني تستهدف الخوادم وأجهزة إنترنت الأشياء عبر التأثير الغاشم لـ SSH.
- على عكس شبكات الروبوت الشائعة التي تستخدم عمليات الزرع من أدوات الويب المفتوحة المصدر الشائعة أو أدوات الويب المظلمة، يستخدم Kaiji غرسات مخصصة.
- لقد تم بناؤه من الصفر بلغة برمجة Golang، وهو أمر غير شائع في شبكات إنترنت الأشياء.
- على الرغم من بساطتها، إلا أن Kaiji لديها القدرة على إطلاق:
- هجمات DDoS المتعددة مثل هجمات ipspoof وهجمات synack
- وحدة SSH بروتيفورسر لمواصلة الانتشار
- موزع SSH يقوم باختطاف مفاتيح SSH المحلية لإصابة المضيفين الذين اتصل بهم الخادم سابقًا.
العدوى الأولية
- ينتشر Kaiji عبر التأثير الغاشم لـ SSH من خلال استهداف مستخدمي الجذر.
- نظرًا لأنه يتطلب إمكانية صياغة الحزم، والتي لا يمكن تنفيذها إلا عبر مستخدم أساسي، فإنه يستهدف المستخدم الجذر فقط.
التنفيذ
- بعد إنشاء اتصال SSH، يقوم بتنفيذ برنامج bash لإعداد البيئة للبرامج الضارة.
- ثم يتم إنشاء دليل /usr/bin/lib.
- ويتم تثبيت البرامج الضارة تحت اسم الملف 'netstat' أو 'ps' أو 'ls' أو أي اسم آخر لأدوات النظام.
- بمجرد التنفيذ، يتم نسخ Kaiji إلى /tmp/seeintlog ويطلق المثيل الثاني الذي يبدأ عملياته. تتكون عمليات الزرع من 13 عملية جراحية مركزية.
- يقوم روتين DoLink بفك تشفير عنوان C2 وتسجيل الخادم المصاب باستخدام خادم الأوامر.
- ثم تقوم بتشغيل الروتينات الخاصة بـ doTask و RotKit.
- يجلب روتين Main_dotask أوامر من C2، بما في ذلك:
- تعليمات DDoS
- تعليمات SSH bruteforce، بما في ذلك نطاق المضيف وكلمة المرور لمحاولة تسجيل الدخول
- قم بتشغيل أمر shell
- استبدال خوادم C2
- احذف نفسها وأزل كل المثابرة
- لتنفيذ هجوم DDoS، فإنه يسترجع أسلوب الهجوم والهدف، بما في ذلك:
- تطبيقان لـ TCPflood (أحدهما بمقابس أولية)
- تطبيقان لـ UdpFlood (أحدهما بمقابس أولية)
- هجوم انتحال بروتوكول الإنترنت
- هجوم سيناك
- هجوم SYN
- هجوم ACK
- يحاول روتين DDos_rotkit الاتصال بالمضيفين المعروفين عبر مفاتيح SSH RSA أو عناوين IP الموجودة في سجل bash.
إصرار
تقوم البرامج الضارة بتثبيت الثبات من خلال خدمات rc.d و Systemd:
- main_runghost: يقوم بتثبيت الثبات من خلال /etc/profile.d (/etc/profile.d/linux.sh)
- main_rundingshi: يثبت الثبات من خلال crontab
- main_runganran: الباب الخلفي للبرنامج النصي الأولي لـ SSH /etc/init.d/ssh لاستدعاء rootkit عند بدء التشغيل
- main_runshouhu: يقوم بنسخ الروتكيت إلى /etc/32679 وتشغيله كل 30 ثانية.
- main_runkaiji: يقوم بتثبيت المزيد من ملفات init.d ذات الثبات، على سبيل المثال: /etc/init.d/boot.local
- ddos_rdemokill: يفحص وحدة المعالجة المركزية بشكل دوري ويقتلها إذا كانت أعلى من 85٪.
مؤشرات التسوية
- 4e8d4338 cd3b20cb027a8d108c654c10843e549c3f3f3dd6646 ac2b8ffbe24d
- 9198853b8713560503 a4b76d9b854722183a94f6e9b2a46c06cd2865c329 f7
- 98ae62701d3a8a75a19028437 bc2d1156eb9bfc08661 c25d5c2e26e364
- 0ed0a9b9ce741934 f8c7368 cf3499b2b60d866f7cc7669f65d0783f3d7e98f7
- F4A64AB3FFC0B4A94FD07a55565F24915B7A1 AAEC58454 DF5E47D8F8A2EE22A
- 9f090a241 eec74a69e06a5ffed876c7a372ff31e 171924673b6b5f1552814c
- 370 قدم مربع 28 ساعة 8 ج 7 سا 50275957 ب 47774 د 753 أ ب 6 د 7 ج 504 ف 0 ب 81 ج 90 ج 7 ج 96 ج 591 أ 97
- 357 acbacdb9069b8484f4fdead 1a946e2eb4a505583058f91 f40903569 f3f3
- تاريخ إصدار cu [.] xyz
- 1. يوم الإصدار [.] xyz
- www.aresboot [.] xyz
- www.6×66 [.] com
- www.2s11 [.] com
