بات نت InfectedSlurs
یک بات نت بدافزار اخیراً کشف شده به نام InfectedSlurs از دو آسیبپذیری روز صفر برای اجرای کد از راه دور (RCE) استفاده میکند تا روترها و دستگاههای ضبط ویدیو (NVR) را به خطر بیندازد. این نرمافزار تهدیدکننده کنترل دستگاههای آلوده را در دست میگیرد و آنها را در یک گروه DDoS (Distributed Denial of Service) ترکیب میکند که احتمالاً برای منافع مالی اجاره داده شده است. تحلیلگران پیشنهاد میکنند که اولین نشانههای فعالیت این باتنت به اواخر سال ۲۰۲۲ بازمیگردد، اما اولین بار در اکتبر ۲۰۲۳ کشف شد.
بات نت InfectedSlurs موفق شده بود زیر رادار باقی بماند
تحلیلگران رفتار مشکوکی را شناسایی کردند که شامل پروبهای فرکانس پایین بود که از طریق درخواستهای POST احراز هویت میکردند و به دنبال آن تلاشی برای تزریق دستور انجام میشد. با استفاده از داده های موجود، محققان یک اسکن جامع در سراسر اینترنت انجام دادند و شناسایی کردند که دستگاه های آسیب دیده با یک سازنده NVR خاص مرتبط هستند. یافتههای آنها نشان داد که باتنت از یک آسیبپذیری گزارشنشده اجرای کد از راه دور (RCE) برای ورود غیرمجاز به دستگاه سوء استفاده میکند.
با بررسی دقیق تر، مشخص شد که این بدافزار از اعتبارنامه های پیش فرض موجود در کتابچه راهنمای فروشنده برای محصولات مختلف NVR استفاده می کند. از این اعتبار برای نصب یک کلاینت ربات و انجام سایر اقدامات مخرب استفاده می کند. با بررسی بیشتر در تحقیقات، مشخص شد که بات نت همچنین یک روتر LAN بی سیم پرکاربرد را هدف قرار می دهد که در بین کاربران خانگی و هتل ها محبوب است. این روتر در معرض یک نقص دیگر RCE روز صفر است که توسط بدافزار برای فعالیت های خود مورد سوء استفاده قرار می گیرد.
InfectedSlurs پیشرفت های کمی را نسبت به Mirai نشان می دهد
بدافزار شناساییشده که توسط محققان «InfectedSlurs» نامیده میشود، نام خود را از استفاده از زبان توهینآمیز موجود در دامنههای Command-and-Control (C2, C&C) و رشتههای رمزگذاری شده به دست آورده است. زیرساخت C2، که به نظر می رسد عملیات hailBot را نیز تسهیل می کند، تمرکز قابل توجهی را نشان می دهد. این تهدید به عنوان یک نوع JenX Mirai شناخته می شود. علاوه بر این، تحقیقات یک حساب کاربری تلگرام مرتبط با خوشه را کشف کرده است، اگرچه این حساب از آن زمان حذف شده است.
کاربر پشت حساب اسکرین شات هایی را به اشتراک گذاشت که نزدیک به ده هزار ربات را با استفاده از پروتکل Telnet و 12000 ربات دیگر که انواع دستگاه/برندهای خاص مانند "Vacron"، "ntel" و "UTT-Bots" را هدف قرار می دهند، به اشتراک گذاشت.
پس از تجزیه و تحلیل، حداقل تغییرات کد در مقایسه با بات نت اصلی Mirai شناسایی شد که نشان می دهد InfectedSlurs به عنوان یک ابزار DDoS خود انتشار عمل می کند. از حملاتی که از سیل درخواست SYN، UDP و HTTP GET استفاده می کنند، پشتیبانی می کند.
مشابه Mirai، InfectedSlurs فاقد مکانیزم ماندگاری است. از آنجایی که هیچ وصلهای برای دستگاههای آسیبدیده وجود ندارد، میتوان با راهاندازی مجدد دستگاههای NVR و روتر به طور موقت باتنت را مختل کرد.