KadNap मालवेयर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले KadNap भनेर चिनिने नयाँ उदाउँदो मालवेयर स्ट्रेन पहिचान गरेका छन्, जसले मुख्यतया Asus राउटरहरूलाई लक्षित गर्दछ र तिनीहरूलाई दुर्भावनापूर्ण इन्टरनेट ट्राफिकलाई प्रोक्सी गर्न डिजाइन गरिएको बोटनेटमा भर्ती गर्दछ। अगस्ट २०२५ मा जंगलमा पहिलो पटक अवलोकन गरिएको, मालवेयरले पहिले नै विश्वभर १४,००० भन्दा बढी उपकरणहरूलाई संक्रमित गरिसकेको छ। विश्लेषणले संकेत गर्दछ कि सम्झौता गरिएका प्रणालीहरूको ६०% भन्दा बढी संयुक्त राज्य अमेरिकामा अवस्थित छन्, जबकि संक्रमणका साना समूहहरू ताइवान, हङकङ, रूस, संयुक्त अधिराज्य, अष्ट्रेलिया, ब्राजिल, फ्रान्स, इटाली र स्पेनमा पत्ता लागेका छन्।

यद्यपि Asus राउटरहरू प्राथमिक लक्ष्यहरू देखिन्छन्, अनुसन्धानहरूले देखाउँछन् कि KadNap पछाडिका अपरेटरहरूले एज नेटवर्किङ उपकरणहरूको फराकिलो दायरा समावेश गर्न आफ्नो प्रयासहरू विस्तार गरेका छन्। यो विस्तारले बोटनेट पूर्वाधारको आकार र लचिलोपनलाई अधिकतम बनाउन जानाजानी गरिएको प्रयासलाई सुझाव दिन्छ।

केडेमलिया टेक्नोलोजी मार्फत पियर-टु-पियर लुकाउने

KadNap अपरेशनको एक परिभाषित विशेषता भनेको Kademlia Distributed Hash Table (DHT) प्रोटोकलको परिमार्जित कार्यान्वयनमा यसको निर्भरता हो। यो प्रोटोकल एक पियर-टु-पियर आर्किटेक्चरमा एकीकृत गरिएको छ जसले वितरित नोडहरू भित्र कमाण्ड प्रणालीहरू लुकाएर बोटनेटको पूर्वाधारको स्थान लुकाउँछ।

सम्झौता गरिएका उपकरणहरूले कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरू पत्ता लगाउन र जडान गर्न DHT नेटवर्क मार्फत सञ्चार गर्छन्। विकेन्द्रीकृत वातावरणमा सञ्चार फैलाएर, मालवेयरले एकल पूर्वाधार बिन्दुमा निर्भरताबाट बचाउँछ, जसले परम्परागत पत्ता लगाउने र हटाउने प्रयासहरूलाई उल्लेखनीय रूपमा जटिल बनाउँछ। यो दृष्टिकोणले प्रभावकारी रूपमा दुर्भावनापूर्ण ट्राफिकलाई वैध पियर-टु-पियर नेटवर्क गतिविधिमा मिसाउँछ, जसले गर्दा रक्षकहरूको लागि निगरानी र अवरोध धेरै गाह्रो हुन्छ।

संक्रमण संयन्त्र र निरन्तरता रणनीति

संक्रमण श्रृंखला aic.sh नामक शेल स्क्रिप्टबाट सुरु हुन्छ, जुन IP ठेगाना 212.104.141.140 मा होस्ट गरिएको कमाण्ड सर्भरबाट डाउनलोड गरिन्छ। यो स्क्रिप्टले सम्झौता गरिएको उपकरणलाई बोटनेटको पियर-टु-पियर इकोसिस्टममा एकीकृत गर्ने प्रक्रिया सुरु गर्छ।

स्क्रिप्टले एक निर्धारित क्रोन कार्य सिर्जना गरेर स्थायित्व स्थापित गर्दछ जसले प्रत्येक घण्टाको ५५-मिनेटको चिन्हमा उही स्क्रिप्ट पुन: प्राप्त गर्दछ। प्रत्येक पटक यो डाउनलोड गर्दा, स्क्रिप्टलाई '.asusrouter' मा पुन: नामाकरण गरिन्छ र कार्यान्वयन गरिन्छ। एक पटक स्थायित्व सुरक्षित भएपछि, स्क्रिप्टले एक दुर्भावनापूर्ण ELF बाइनरी डाउनलोड गर्दछ, यसलाई kad पुन: नामाकरण गर्दछ, र यसलाई चलाउँछ, प्रभावकारी रूपमा KadNap मालवेयर पेलोड तैनाथ गर्दछ। मालवेयरलाई ARM र MIPS प्रोसेसरहरू प्रयोग गरेर उपकरणहरूमा सञ्चालन गर्न इन्जिनियर गरिएको छ, जसले यसलाई राउटर आर्किटेक्चरको विस्तृत दायरा सम्झौता गर्न सक्षम बनाउँछ।

समय-आधारित साथी खोज र नेटवर्क समन्वय

KadNap ले आफ्नो विकेन्द्रीकृत नेटवर्कमा गतिविधि सिङ्क्रोनाइज गर्ने संयन्त्र समावेश गर्दछ। मालवेयरले हालको प्रणाली समय पुन: प्राप्त गर्न नेटवर्क टाइम प्रोटोकल (NTP) सर्भरमा जडान गर्दछ र यसलाई संक्रमित उपकरणको अपटाइम जानकारीसँग संयोजन गर्दछ। यी मानहरू ह्यास उत्पन्न गर्न प्रयोग गरिन्छ जसले संक्रमित उपकरणलाई वितरित नेटवर्क भित्रका साथीहरू पत्ता लगाउन मद्दत गर्दछ।

यो प्रक्रियाले सम्झौता गरिएका प्रणालीहरूलाई केन्द्रीकृत आदेश संरचनामा भर नपरिकन अन्य नोडहरू पत्ता लगाउन, निर्देशनहरू प्राप्त गर्न र थप मालिसियस फाइलहरू डाउनलोड गर्न सक्षम बनाउँछ। fwr.sh र /tmp/.sose जस्ता समर्थन गर्ने स्क्रिप्टहरूले थप कार्यहरू पनि गर्दछन्, जसमा पोर्ट २२, सुरक्षित शेल (SSH) द्वारा प्रयोग गरिएको मानक TCP पोर्ट असक्षम पार्ने, र थप सञ्चारको लागि प्रयोग गरिने C2 सर्भर ठेगाना र पोर्ट संयोजनहरूको सूची निकाल्ने समावेश छ।

प्रोक्सी सेवाहरू मार्फत बोटनेटको व्यावसायीकरण

एक पटक राउटरहरू ह्याक भएपछि, तिनीहरूलाई doppelganger.shop वेबसाइट मार्फत Doppelgänger नामले बजारमा ल्याइने व्यावसायिक प्रोक्सी नेटवर्कमा एकीकृत गरिन्छ। सुरक्षा अनुसन्धानकर्ताहरूले यो सेवालाई TheMoon मालवेयरसँग पहिले सम्बन्धित प्रोक्सी प्लेटफर्म, फेसलेसको पुन: ब्रान्ड गरिएको संस्करणको रूपमा मूल्याङ्कन गर्छन्।

सेवाद्वारा प्रकाशित प्रचार सामग्री अनुसार, नेटवर्कले ५० भन्दा बढी देशहरूमा आवासीय प्रोक्सी पहुँच प्रदान गर्दछ र प्रयोगकर्ताहरूको लागि '१००% गुमनामता' को विज्ञापन गर्दछ। प्रमाणले सुझाव दिन्छ कि प्लेटफर्म मे वा जुन २०२५ को आसपास सुरु गरिएको थियो। पूर्वाधारले प्रकार र मोडेलद्वारा संक्रमित उपकरणहरूलाई विभाजन गर्दछ, किनकि प्रत्येक सम्झौता गरिएको उपकरणले प्रत्येक कमाण्ड सर्भरसँग सञ्चार गर्दैन। यो विभाजनले संरचित र स्केलेबल बोटनेट व्यवस्थापन रणनीतिलाई संकेत गर्दछ।

प्रोक्सी नेटवर्क पहिले नै धेरै खतरा अभिनेताहरू द्वारा शोषण गरिएको अवलोकन गरिएको छ। यद्यपि, एट्रिब्युशन गाह्रो रहन्छ किनभने नेटवर्कमा संलग्न राउटरहरू कहिलेकाहीं एकै साथ थप मालवेयर परिवारहरूबाट संक्रमित हुन्छन्, जसले गर्दा विशिष्ट दुर्भावनापूर्ण गतिविधिहरूको लागि कुन अभिनेता जिम्मेवार छ भन्ने कुरा अस्पष्ट हुन्छ।

राउटर मालिकहरूको लागि रक्षात्मक उपायहरू

KadNap को उदयले घर र साना-कार्यालय दुवै वातावरणमा कमजोर सुरक्षित एज उपकरणहरूले निम्त्याउने बढ्दो जोखिमलाई प्रकाश पार्छ। नेटवर्क डिफेन्डरहरू र व्यक्तिगत प्रयोगकर्ताहरूले धेरै सुरक्षा अभ्यासहरू अपनाएर जोखिमलाई उल्लेखनीय रूपमा कम गर्न सक्छन्:

• राउटर र नेटवर्किङ उपकरणहरूलाई नवीनतम फर्मवेयर र सुरक्षा अपडेटहरू सहित कायम राख्नुहोस्।
• लागू भएमा अस्थायी दुर्भावनापूर्ण प्रक्रियाहरू खाली गर्न समय-समयमा उपकरणहरू रिबुट गर्नुहोस्।
• पूर्वनिर्धारित प्रमाणपत्रहरूलाई बलियो, अद्वितीय पासवर्डहरूले बदल्नुहोस्।
• प्रशासनिक व्यवस्थापन इन्टरफेसहरूलाई सीमित र सुरक्षित गर्नुहोस्।
• म्याद सकिएका र विक्रेता सुरक्षा अपडेटहरू प्राप्त नगर्ने राउटरहरूलाई रिटायर गर्नुहोस् र बदल्नुहोस्।

चोरीको लागि डिजाइन गरिएको विकेन्द्रीकृत बोटनेट

KadNap ले विकेन्द्रीकृत पियर-टु-पियर आर्किटेक्चरको प्रयोग मार्फत बेनामी प्रोक्सी सेवाहरूलाई समर्थन गर्ने धेरै परम्परागत बोटनेटहरूबाट आफूलाई अलग गर्छ। Kademlia DHT प्रोटोकलको लाभ उठाएर, बोटनेटले सजिलै पहिचान गर्न सकिने केन्द्रीकृत सर्भरहरूमा भर पर्नुको सट्टा संक्रमित उपकरणहरूमा नियन्त्रण वितरण गर्दछ।

यो वास्तुकलाले अपरेटरहरूलाई लचिलो सञ्चार च्यानलहरू प्रदान गर्दछ जुन पत्ता लगाउन, ब्लक गर्न वा भत्काउन धेरै गाह्रो हुन्छ। रणनीतिक लक्ष्य स्पष्ट छ: सञ्चालन निरन्तरता कायम राख्ने, सुरक्षा अनुगमनबाट बच्ने, र साइबर सुरक्षा टोलीहरूको लागि रक्षात्मक प्रतिक्रिया प्रयासहरूलाई जटिल बनाउने।