شناسایی بات‌نتی که به ماینر ارزهای دیجیتالی نفوذ می‌کند

بات‌نت (Botnet) شبکه‌اي از چندين کامپيوتر است که مخفيانه و بدون اطلاع صاحبانشان، توسط يک بات مستر (Bot Master) براي انجام فعاليت‌هاي مخرب يا ارسال ايميل‌هاي هرزنامه تحت کنترل گرفته شده است. اين بات‌نت‌ها يا دستگاه‌هاي اجيرشده مي‌توانند بسيار مشکل‌ساز باشند.

حمله بات‌ها مانند باج افزارها که سايت‌ها را به طور کامل قفل مي‌کنند، به تازگي بيشتر مطرح شده و منجر به نارضايتي شده‌ است. حمله بات‌ها نامحسوس است، به همان اندازه هم براي يک تجارت ويران‌کننده است،  زيرا حساب‌هاي اعتباري به سرقت مي‌رود و به فروش مي‌رسد، اطلاعات کارت‌ها ناقص مي‌شوند و تصميمات بدي بر اساس داده‌هاي ناقص گرفته مي‌شود. اطمينان بيش از حد به امنيت سايبري، مشاغل را قرباني حمله بات‌ها مي‌کند.

مرکز ماهر (مديريت امداد و هماهنگي رخدادهاي رايانه‌اي) درباره بات‌نت KashmirBlack هشدار داده که به‌طور گسترده پلتفرم‌هاي مديريت محتواي پرکاربرد را آلوده مي‌کند. اين ‫بات‌نت با سوءاستفاده از چندين ‫آسيب‌پذيري شناخته‌شده روي سرور قرباني، به‌طور ميانگين ميليون‌ها حمله را هر روزه و روي چندين هزار قرباني در بيش از ۳۰ کشور انجام مي‌دهد.

بر اساس گزارش تيم Imperva، محققان Imperva پياده‌سازي و سير تکامل اين بات‌نت خطرناک را از ماه نوامبر ۲۰۱۹ تا پايان ماه مي ۲۰۲۰ ميلادي بررسي کرده‌اند. در اين تحقيق چگونگي استفاده بات‌نت از سرويس‌هاي ابري همچون ‌Github ، Pastebin  و Dropbox به‌منظور کنترل و مخفي کردن عمليات بات‌نت و چگونگي نفوذ آن به ماينر ارزهاي ديجيتالي و deface يک سايت گفته شده است.

با توجه به يافته‌هاي Imperva‌، بات‌نت در ابتدا کوچک بوده اما پس از رشد مدوام در طول ماه‌ها تبديل به يک غول پيچيده شده است که همه روزه توانايي حمله به هزاران سايت را دارد. امروزه، بات‌نت KashmirBlack توسط يک سرور C&C مديريت مي‌شود و بيش از ۶۱ سرور قرباني در زيرساخت خود دارد.

بات‌نت KashmirBlack با هدف پيدا کردن سايت‌هايي که نرم‌افزارهاي منسوخ‌شده دارند، اينترنت را پايش کرده و گسترش مي‌يابد و سپس با اکسپلويت آسيب‌پذيريهاي شناخته‌شده، سايت هدف و سرورهاي آن را تحت تاثير قرار مي‌دهد. برخي از سرورهاي هک‌شده در استخراج ارزهاي ديجيتالي و اسپم کاربرد دارند اما برخي ديگر در حمله به سايت‌هاي ديگر و سرپا نگه داشتن بات‌نت ايفاي نقش مي‌کنند.

 از نوامبر ۲۰۱۹ ميلادي اين باتنت از ۱۶ آسيب‌پذيري مختلف استفاده کرده است. اين آسيب‌پذيري‌ها به بات‌نت KashmirBlack اين اجازه را مي‌دهند که به سيستم‌هاي مديريت محتوا از قبيل Drupal، Magneto، PrestaShop، Joomla، WordPress، OpenCart، osCommerce، vBulletin و Yeager حمله کنند.  در برخي از اکسپلويت‌ها فقط به سيستم مديريت محتواي سايت حمله شده اما در برخي ديگر به المان‌هاي داخلي و کتابخانه‌ها نيز حمله مي‌شود.

براي مقابله با اين بات‌نت، مدير سايت بايد اطمينان حاصل کند که فايل‌هاي CMS و ماژول‌هاي سوم شخص هميشه به‌روز بوده و کاملا پيکربندي شده باشند. علاوه بر اين، از دسترسي به فايل‌هاي حساس و مسيرهايي از قبيل php.config-wp, php.install و php.stdin-eval جلوگيري شود.

پيشنهاد مي‌شود که از رمزعبورهاي قدرتمند و خاصي استفاده شود، چون اين رمزعبورها اولين نقطه دفاعي در برابر حملات بروت فورس هستند. همچنين به دليل گسترش جرايم رايانه‌اي و افشاي آسيب‌پذيري‌هاي روزافزون توصيه مي‌شود براي اطمينان کامل از امنيت سايت خود از WAF استفاده کنيد.

در صورتي که سرور شما توسط بات‌نت KashmirBlack آلوده شده باشد، بايد اقداماتي از جمله توقف پروسس‌هاي آلوده، حذف فايل‌هاي آلوده، حذف تسک‌هاي زمانبندي‌شده (Cron Jobs) مشکوک و ناآشنا، حذف پلاگين و تم‌هاي استفاده‌نشده انجام شود.