شناسایی باتنتی که به ماینر ارزهای دیجیتالی نفوذ میکند

ايسنا/ باتنت KashmirBlack شناسايي شده که بهطور گسترده پلتفرمهاي مديريت محتواي پرکاربرد را آلوده ميکند و با استفاده از سرويسهاي ابري، به ماينر ارزهاي ديجيتالي نفوذ ميکند.
باتنت (Botnet) شبکهاي از چندين کامپيوتر است که مخفيانه و بدون اطلاع صاحبانشان، توسط يک بات مستر (Bot Master) براي انجام فعاليتهاي مخرب يا ارسال ايميلهاي هرزنامه تحت کنترل گرفته شده است. اين باتنتها يا دستگاههاي اجيرشده ميتوانند بسيار مشکلساز باشند.
حمله باتها مانند باج افزارها که سايتها را به طور کامل قفل ميکنند، به تازگي بيشتر مطرح شده و منجر به نارضايتي شده است. حمله باتها نامحسوس است، به همان اندازه هم براي يک تجارت ويرانکننده است، زيرا حسابهاي اعتباري به سرقت ميرود و به فروش ميرسد، اطلاعات کارتها ناقص ميشوند و تصميمات بدي بر اساس دادههاي ناقص گرفته ميشود. اطمينان بيش از حد به امنيت سايبري، مشاغل را قرباني حمله باتها ميکند.
مرکز ماهر (مديريت امداد و هماهنگي رخدادهاي رايانهاي) درباره باتنت KashmirBlack هشدار داده که بهطور گسترده پلتفرمهاي مديريت محتواي پرکاربرد را آلوده ميکند. اين باتنت با سوءاستفاده از چندين آسيبپذيري شناختهشده روي سرور قرباني، بهطور ميانگين ميليونها حمله را هر روزه و روي چندين هزار قرباني در بيش از ۳۰ کشور انجام ميدهد.
بر اساس گزارش تيم Imperva، محققان Imperva پيادهسازي و سير تکامل اين باتنت خطرناک را از ماه نوامبر ۲۰۱۹ تا پايان ماه مي ۲۰۲۰ ميلادي بررسي کردهاند. در اين تحقيق چگونگي استفاده باتنت از سرويسهاي ابري همچون Github ، Pastebin و Dropbox بهمنظور کنترل و مخفي کردن عمليات باتنت و چگونگي نفوذ آن به ماينر ارزهاي ديجيتالي و deface يک سايت گفته شده است.
با توجه به يافتههاي Imperva، باتنت در ابتدا کوچک بوده اما پس از رشد مدوام در طول ماهها تبديل به يک غول پيچيده شده است که همه روزه توانايي حمله به هزاران سايت را دارد. امروزه، باتنت KashmirBlack توسط يک سرور C&C مديريت ميشود و بيش از ۶۱ سرور قرباني در زيرساخت خود دارد.
باتنت KashmirBlack با هدف پيدا کردن سايتهايي که نرمافزارهاي منسوخشده دارند، اينترنت را پايش کرده و گسترش مييابد و سپس با اکسپلويت آسيبپذيريهاي شناختهشده، سايت هدف و سرورهاي آن را تحت تاثير قرار ميدهد. برخي از سرورهاي هکشده در استخراج ارزهاي ديجيتالي و اسپم کاربرد دارند اما برخي ديگر در حمله به سايتهاي ديگر و سرپا نگه داشتن باتنت ايفاي نقش ميکنند.
از نوامبر ۲۰۱۹ ميلادي اين باتنت از ۱۶ آسيبپذيري مختلف استفاده کرده است. اين آسيبپذيريها به باتنت KashmirBlack اين اجازه را ميدهند که به سيستمهاي مديريت محتوا از قبيل Drupal، Magneto، PrestaShop، Joomla، WordPress، OpenCart، osCommerce، vBulletin و Yeager حمله کنند. در برخي از اکسپلويتها فقط به سيستم مديريت محتواي سايت حمله شده اما در برخي ديگر به المانهاي داخلي و کتابخانهها نيز حمله ميشود.
براي مقابله با اين باتنت، مدير سايت بايد اطمينان حاصل کند که فايلهاي CMS و ماژولهاي سوم شخص هميشه بهروز بوده و کاملا پيکربندي شده باشند. علاوه بر اين، از دسترسي به فايلهاي حساس و مسيرهايي از قبيل php.config-wp, php.install و php.stdin-eval جلوگيري شود.
پيشنهاد ميشود که از رمزعبورهاي قدرتمند و خاصي استفاده شود، چون اين رمزعبورها اولين نقطه دفاعي در برابر حملات بروت فورس هستند. همچنين به دليل گسترش جرايم رايانهاي و افشاي آسيبپذيريهاي روزافزون توصيه ميشود براي اطمينان کامل از امنيت سايت خود از WAF استفاده کنيد.
در صورتي که سرور شما توسط باتنت KashmirBlack آلوده شده باشد، بايد اقداماتي از جمله توقف پروسسهاي آلوده، حذف فايلهاي آلوده، حذف تسکهاي زمانبنديشده (Cron Jobs) مشکوک و ناآشنا، حذف پلاگين و تمهاي استفادهنشده انجام شود.