NoaBot Botnet
តួអង្គគំរាមកំហែងបានប្រើប្រាស់ botnet ដែលទើបនឹងកើតថ្មីដែលមានឈ្មោះថា NoaBot ដែលត្រូវបានបង្កើតឡើងនៅលើក្របខ័ណ្ឌ Mirai ក្នុងគំនិតផ្តួចផ្តើមការជីកយករ៉ែគ្រីបតូ។ វាត្រូវបានគេជឿថាប្រតិបត្តិការបានកំពុងបន្តចាប់តាំងពីយ៉ាងហោចណាស់ចាប់ផ្តើមនៃឆ្នាំ 2023។ NoaBot មានលក្ខណៈពិសេសដូចជាដង្កូវដែលរីករាលដាលដោយខ្លួនឯង និងសោ SSH backdoor ដែលអនុញ្ញាតឱ្យទាញយក និងប្រតិបត្តិប្រព័ន្ធគោលពីរបន្ថែម ឬការផ្សព្វផ្សាយទៅកាន់គោលដៅថ្មីៗ។
តារាងមាតិកា
កូដរបស់ Mirai នៅតែត្រូវបានប្រើប្រាស់សម្រាប់ការបង្កើត Malware ថ្មី។
Mirai botnet គឺជាមេរោគដ៏ល្បីឈ្មោះមួយ ដែលផ្តោតជាចម្បងទៅលើឧបករណ៍ Internet of Things (IoT)។ ការចេញផ្សាយកូដប្រភពបានអនុញ្ញាតឱ្យតួអង្គព្យាបាទផ្សេងទៀត បង្កើតកំណែផ្ទាល់ខ្លួននៃមេរោគ ដែលនាំឱ្យមានការរីករាលដាលនៃ botnets ដែលមានមូលដ្ឋានលើ Mirai ។ ភាពអាចរកបានយ៉ាងទូលំទូលាយនៃកូដប្រភពនេះបានរួមចំណែកដល់ការកើនឡើងនៃចំនួន និងទំហំនៃការវាយប្រហារដែលទាក់ទងនឹង IoT ដែលបង្កបញ្ហាប្រឈមយ៉ាងសំខាន់ចំពោះអ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិត និងក្រុមហ៊ុនផលិតឧបករណ៍។ ជាការពិតណាស់ វ៉ារ្យ៉ង់ជាច្រើន និងការបង្កើនបន្ថយនៃ Mirai botnet បានលេចឡើងចាប់តាំងពីការរកឃើញរបស់វា ដែលនីមួយៗមានការកែប្រែ និងការកែលម្អផ្ទាល់ខ្លួន។ វ៉ារ្យ៉ង់ទាំងនេះច្រើនតែផ្តោតលើភាពងាយរងគ្រោះជាក់លាក់ ឬផ្តោតលើប្រភេទផ្សេងៗនៃឧបករណ៍ IoT ។ botnets ដែលមានមូលដ្ឋានលើ Mirai ដ៏ល្បីល្បាញមួយចំនួនរួមមាន Reaper, Satori និង Okiru ។ មួយក្នុងចំនោម botnets ថ្មីៗនេះដែលប្រើប្រាស់កូដរបស់ Mirai គឺ InfectedSlurs ដែលមានសមត្ថភាពធ្វើការវាយប្រហារ Distributed Denial-of-Service (DDoS) ។
លក្ខណៈជាក់លាក់នៃ NoaBot Botnet
មានការចង្អុលបង្ហាញអំពីការតភ្ជាប់ដ៏មានសក្តានុពលរវាង NoaBot និងយុទ្ធនាការ botnet មួយផ្សេងទៀតដែលទាក់ទងនឹងក្រុមមេរោគដែលមានមូលដ្ឋានលើ Rust ដែលហៅថា P2PInfect។ មេរោគពិសេសនេះថ្មីៗនេះបានទទួលការអាប់ដេតដើម្បីផ្តោតលើការកំណត់គោលដៅលើរ៉ោតទ័រ និងឧបករណ៍ Internet of Things (IoT)។ មូលដ្ឋានសម្រាប់ការតភ្ជាប់នេះស្ថិតនៅក្នុងការសង្កេតដែលតួអង្គគំរាមកំហែងបានពិសោធន៍ជាមួយការជំនួស P2PInfect សម្រាប់ NoaBot ក្នុងការវាយប្រហារនាពេលថ្មីៗនេះលើម៉ាស៊ីនមេ SSH ដោយបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដែលមានសក្តានុពលក្នុងការផ្លាស់ប្តូរទៅជាមេរោគផ្ទាល់ខ្លួន។
ទោះបីជា NoaBot ត្រូវបានចាក់ឬសនៅក្នុង Mirai ក៏ដោយ ម៉ូឌុលផ្សព្វផ្សាយរបស់វាប្រើម៉ាស៊ីនស្កេន SSH ដើម្បីកំណត់អត្តសញ្ញាណម៉ាស៊ីនមេដែលងាយរងការវាយប្រហារដោយវចនានុក្រម ដែលអនុញ្ញាតឱ្យវាធ្វើការប៉ុនប៉ងដោយបង្ខំ។ ជាបន្តបន្ទាប់ មេរោគនេះបន្ថែមសោសាធារណៈ SSH ទៅក្នុងឯកសារ .ssh/authorized_keys ដោយបើកការចូលប្រើពីចម្ងាយ។ ជាជម្រើស NoaBot អាចទាញយក និងប្រតិបត្តិប្រព័ន្ធគោលពីរបន្ថែមបន្ទាប់ពីការកេងប្រវ័ញ្ចជោគជ័យ ឬផ្សព្វផ្សាយខ្លួនវាទៅជនរងគ្រោះថ្មី។
គួរកត់សម្គាល់ថា NoaBot ត្រូវបានចងក្រងជាមួយ uClibc ដោយផ្លាស់ប្តូររបៀបដែលម៉ាស៊ីនសុវត្ថិភាពរកឃើញមេរោគ។ ខណៈពេលដែលវ៉ារ្យ៉ង់ Mirai ផ្សេងទៀតត្រូវបានកំណត់ជាធម្មតាដោយប្រើហត្ថលេខា Mirai ហត្ថលេខាប្រឆាំងមេរោគរបស់ NoaBot ចាត់ថ្នាក់វាជាម៉ាស៊ីនស្កេន SSH ឬ Trojan ទូទៅ។ បន្ថែមពីលើការប្រើប្រាស់យុទ្ធសាស្ត្រធ្វើឱ្យស្មុគស្មាញដល់ការវិភាគ លំដាប់នៃការវាយប្រហារនៅទីបំផុតឈានដល់ការដាក់ពង្រាយកំណែដែលបានកែប្រែរបស់អ្នករុករកកាក់ XMRig ។
NoaBot ត្រូវបានបំពាក់ជាមួយនឹងមុខងារ Obfuscation ដែលប្រសើរឡើង
អ្វីដែលកំណត់បំរែបំរួលថ្មីនេះ ក្រៅពីយុទ្ធនាការដែលមានមូលដ្ឋានលើ Mirai botnet ផ្សេងទៀតគឺការខកខានគួរឱ្យកត់សម្គាល់នៃព័ត៌មានដែលទាក់ទងនឹងអាងរុករករ៉ែ ឬអាសយដ្ឋានកាបូប។ អវត្តមាននេះធ្វើឲ្យវាពិបាកក្នុងការវាស់ស្ទង់ប្រាក់ចំណេញនៃប្រតិបត្តិការរុករករូបិយប័ណ្ណគ្រីបតូខុសច្បាប់។
អ្នករុករករ៉ែមានការប្រុងប្រយ័ត្នបន្ថែមដោយធ្វើឱ្យមានការភាន់ច្រលំការកំណត់រចនាសម្ព័ន្ធរបស់វា និងប្រើប្រាស់អាងរុករករ៉ែតាមតម្រូវការ ទប់ស្កាត់ជាយុទ្ធសាស្រ្តទប់ស្កាត់ការលេចចេញនូវអាសយដ្ឋានកាបូប។ កម្រិតនៃការត្រៀមខ្លួននេះ ដែលបង្ហាញដោយអ្នកគំរាមកំហែង ឆ្លុះបញ្ចាំងពីការខិតខំប្រឹងប្រែងដោយចេតនា ដើម្បីបង្កើនការបំបាំងកាយ និងភាពធន់នៃប្រតិបត្តិការរបស់ពួកគេ។
គិតត្រឹមពេលនេះ អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញអាសយដ្ឋាន IP ជនរងគ្រោះចំនួន 849 ដែលនៅរាយប៉ាយនៅទូទាំងពិភពលោក ដោយមានការប្រមូលផ្តុំគួរឱ្យកត់សម្គាល់នៅក្នុងប្រទេសចិន។ តាមពិត ឧប្បត្តិហេតុទាំងនេះបង្កើតបានជិត 10% នៃការវាយប្រហារទាំងអស់ប្រឆាំងនឹង Honeypots ក្នុងឆ្នាំ 2023 ដោយបញ្ជាក់ពីការឈានទៅដល់សកលលោក និងផលប៉ះពាល់នៃវ៉ារ្យ៉ង់ពិសេសនេះ។
