និមិត្តសញ្ញា Zephyrnet

ភាពវៃឆ្លាតទិន្នន័យជំនាន់

សន្តិសុខ​តាម​ប្រព័ន្ធ​អ៊ីនធឺណិត

Botnets ផ្សេងៗគ្នា Pummel កំហុស TP-Link ដែលមានអាយុមួយឆ្នាំនៅក្នុងការវាយប្រហារ IoT

បោះពុម្ពឡើងវិញដោយផ្លាតូ
បោះពុម្ពឡើងវិញដោយផ្លាតូ

កាលបរិច្ឆេទ:

ទស្សនៈ: 79

botnets មួយចំនួនកំពុងវាយលុកនូវភាពងាយរងគ្រោះនៃ command-injection ដែលមានអាយុជិតមួយឆ្នាំនៅក្នុង routers TP-Link ដើម្បីសម្របសម្រួលឧបករណ៍សម្រាប់ការវាយប្រហារ IoT-driven distribution denial of service (DDoS)។

មានបំណះសម្រាប់កំហុសរួចហើយ តាមដានជា CVE-2023-1389បានរកឃើញនៅក្នុងចំណុចប្រទាក់គ្រប់គ្រងបណ្តាញនៃរ៉ោតទ័រ TP-Link Archer AX21 (AX1800) Wi-Fi និងប៉ះពាល់ដល់ឧបករណ៍កំណែ 1.1.4 Build 20230219 ឬមុន។

ទោះជាយ៉ាងណាក៏ដោយ តួអង្គគំរាមកំហែងកំពុងទាញយកអត្ថប្រយោជន៍ពីឧបករណ៍ដែលមិនបានជួសជុលដើម្បីបញ្ជូន botnets ផ្សេងៗ - រួមមាន Moobot, Miori, AGoent, a វ៉ារ្យ៉ង់ Gafgytនិងបំរែបំរួលនៃ Mirai botnet ដ៏ល្បី - ដែលអាចសម្របសម្រួលឧបករណ៍សម្រាប់ DDoS និងសកម្មភាពមិនសមរម្យបន្ថែមទៀត នេះបើយោងតាម ការប្រកាសកំណត់ហេតុបណ្ដាញ ពី Fortiguard Labs Threat Research ។

"ថ្មីៗនេះ យើងបានសង្កេតឃើញការវាយប្រហារជាច្រើនដែលផ្តោតលើភាពងាយរងគ្រោះក្នុងឆ្នាំនេះ" ដែលពីមុនត្រូវបានកេងប្រវ័ញ្ចរួចហើយដោយនៅក្នុង អេកូម៉ីនណេតនេះបើយោងតាមការបង្ហោះរបស់អ្នកស្រាវជ្រាវ Fortiguard Cara Lin និង Vincent Li ។ ពួកគេបាននិយាយថា telemetry IPS របស់ Fortiguard បានរកឃើញកំពូលចរាចរណ៍ដ៏សំខាន់ ដែលជូនដំណឹងដល់អ្នកស្រាវជ្រាវអំពីសកម្មភាពព្យាបាទ។

កំហុសនេះបង្កើតជាសេណារីយ៉ូដែលមិនមានអនាម័យនៃវាល "ប្រទេស" នៃចំណុចប្រទាក់គ្រប់គ្រងរបស់រ៉ោតទ័រ "ដូច្នេះអ្នកវាយប្រហារអាចកេងប្រវ័ញ្ចវាសម្រាប់សកម្មភាពព្យាបាទ និងទទួលបានការគាំទ្រ" នេះបើយោងតាមក្រុមហ៊ុន TP-Link's ប្រឹក្សាយោបល់អំពីសន្តិសុខ សម្រាប់កំហុស។

Lin និង Li បានពន្យល់ថា "នេះគឺជាភាពងាយរងគ្រោះនៃការបញ្ចូលពាក្យបញ្ជាដែលមិនមានការផ្ទៀងផ្ទាត់នៅក្នុង 'locale' API ដែលមានតាមរយៈចំណុចប្រទាក់គ្រប់គ្រងគេហទំព័រ" Lin និង Li បានពន្យល់។

អ្នកស្រាវជ្រាវបានពន្យល់ថា ដើម្បីកេងប្រវ័ញ្ចវា អ្នកប្រើប្រាស់អាចសាកសួរទម្រង់ "ប្រទេស" ដែលបានបញ្ជាក់ និងធ្វើប្រតិបត្តិការ "សរសេរ" ដែលត្រូវបានគ្រប់គ្រងដោយមុខងារ "set_country" អ្នកស្រាវជ្រាវបានពន្យល់។ មុខងារនោះហៅមុខងារ "merge_config_by_country" ហើយភ្ជាប់អាគុយម៉ង់នៃទម្រង់ដែលបានបញ្ជាក់ "ប្រទេស" ទៅក្នុងខ្សែពាក្យបញ្ជា។ បន្ទាប់មកខ្សែអក្សរនេះត្រូវបានប្រតិបត្តិដោយមុខងារ "popen" ។

អ្នកស្រាវជ្រាវបានសរសេរថា “ចាប់តាំងពីវាល 'ប្រទេស' នឹងមិនទទេ អ្នកវាយប្រហារអាចសម្រេចបាននូវការចាក់បញ្ជា។

Botnets ទៅ Siege

ការណែនាំរបស់ TP-Link នៅពេលដែលកំហុសត្រូវបានបង្ហាញកាលពីឆ្នាំមុនរួមមានការទទួលស្គាល់ការកេងប្រវ័ញ្ចដោយ Mirai botnet ។ ប៉ុន្តែចាប់តាំងពីពេលនោះមក botnets ផ្សេងទៀតក៏ដូចជា Mirai variants ផ្សេងៗក៏បានធ្វើការឡោមព័ទ្ធប្រឆាំងនឹងឧបករណ៍ដែលងាយរងគ្រោះផងដែរ។

មួយគឺ Agoent ដែលជា bot ភ្នាក់ងារដែលមានមូលដ្ឋានលើ Golang ដែលវាយប្រហារដោយការទាញយកឯកសារស្គ្រីប “exec.sh” ពីគេហទំព័រដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលបន្ទាប់មកទាញយកឯកសារដែលអាចប្រតិបត្តិបាន និងអាចភ្ជាប់បាន (ELF) នៃស្ថាបត្យកម្មដែលមានមូលដ្ឋានលើលីនុចផ្សេងៗគ្នា។

បន្ទាប់មក bot ប្រតិបត្តិឥរិយាបថចម្បងពីរ៖ ទីមួយគឺបង្កើតឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់របស់ម៉ាស៊ីនដោយប្រើតួអក្សរចៃដន្យ ហើយទីពីរគឺបង្កើតការតភ្ជាប់ជាមួយពាក្យបញ្ជា និងការគ្រប់គ្រង (C2) ដើម្បីបញ្ជូនព័ត៌មានសម្ងាត់ដែលទើបតែបង្កើតដោយមេរោគសម្រាប់ការកាន់កាប់ឧបករណ៍។ អ្នកស្រាវជ្រាវបាននិយាយ។

botnet ដែលបង្កើតការបដិសេធសេវាកម្ម (DoS) នៅក្នុងស្ថាបត្យកម្មលីនុចដែលហៅថា វ៉ារ្យ៉ង់ Gafgyt ក៏កំពុងវាយប្រហារកំហុស TP-Link ដោយការទាញយក និងប្រតិបត្តិឯកសារស្គ្រីប ហើយបន្ទាប់មកទាញយកឯកសារប្រតិបត្តិស្ថាបត្យកម្មលីនុចជាមួយនឹងឈ្មោះឯកសារបុព្វបទ "ការកើតឡើងវិញ" ។ អ្នកស្រាវជ្រាវបានពន្យល់ថា botnet បន្ទាប់មកទទួលបាន IP គោលដៅសម្របសម្រួល និងព័ត៌មានស្ថាបត្យកម្ម ដែលវាភ្ជាប់ទៅក្នុងខ្សែអក្សរដែលជាផ្នែកមួយនៃសារភ្ជាប់ដំបូងរបស់វា។

អ្នកស្រាវជ្រាវបានសរសេរថា "បន្ទាប់ពីបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ C2 របស់វា មេរោគទទួលបានពាក្យបញ្ជា 'PING' ជាបន្តបន្ទាប់ពីម៉ាស៊ីនមេ ដើម្បីធានាបាននូវភាពស្ថិតស្ថេរលើគោលដៅដែលត្រូវបានសម្របសម្រួល។ បន្ទាប់មកវារង់ចាំពាក្យបញ្ជា C2 ផ្សេងៗដើម្បីបង្កើតការវាយប្រហារ DoS ។

ក្រុមអ្នកស្រាវជ្រាវបាននិយាយថា botnet ដែលមានឈ្មោះថា Moobot ក៏កំពុងវាយលុកកំហុសដើម្បីធ្វើការវាយលុក DDoS លើ IPs ពីចម្ងាយតាមរយៈ command ពី server C2 របស់អ្នកវាយប្រហារ។ ខណៈពេលដែល botnet ផ្តោតលើស្ថាបត្យកម្មផ្នែករឹង IoT ផ្សេងៗ អ្នកស្រាវជ្រាវ Fortiguard បានវិភាគឯកសារប្រតិបត្តិរបស់ botnet ដែលត្រូវបានរចនាឡើងសម្រាប់ស្ថាបត្យកម្ម "x86_64" ដើម្បីកំណត់សកម្មភាពកេងប្រវ័ញ្ចរបស់វា។

A វ៉ារ្យ៉ង់នៃ Mirai អ្នកស្រាវជ្រាវបានកត់សម្គាល់ផងដែរថាកំពុងធ្វើការវាយប្រហារ DDoS ក្នុងការកេងប្រវ័ញ្ចកំហុសរបស់ខ្លួនដោយការផ្ញើកញ្ចប់ព័ត៌មានពីម៉ាស៊ីនមេ C&C ដើម្បីដឹកនាំចំណុចបញ្ចប់ដើម្បីចាប់ផ្តើមការវាយប្រហារ។

ពួកគេបានពន្យល់ថា "ពាក្យបញ្ជាដែលបានបញ្ជាក់គឺ 0x01 សម្រាប់ទឹកជំនន់ Valve Source Engine (VSE) ជាមួយនឹងរយៈពេល 60 វិនាទី (0x3C) ដោយកំណត់គោលដៅទៅលើអាសយដ្ឋាន IP របស់ជនរងគ្រោះដែលបានជ្រើសរើសដោយចៃដន្យ និងលេខច្រក 30129"។

អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា Miori ដែលជាប្រភេទ Mirai មួយផ្សេងទៀតក៏បានចូលរួមផងដែរដើម្បីធ្វើការវាយប្រហារដោយកម្លាំង brute-force លើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ ហើយពួកគេក៏បានសង្កេតឃើញការវាយប្រហារដោយ Condi ដែលនៅតែមានភាពស៊ីសង្វាក់គ្នាជាមួយនឹងកំណែនៃ botnet ដែលសកម្មកាលពីឆ្នាំមុន។

អ្នកស្រាវជ្រាវបាននិយាយថា ការវាយប្រហាររក្សាមុខងារដើម្បីការពារការចាប់ផ្ដើមឡើងវិញដោយការលុបប្រព័ន្ធគោលពីរដែលទទួលខុសត្រូវចំពោះការបិទ ឬចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ ហើយស្កែនដំណើរការសកម្ម និងឯកសារយោងឆ្លងជាមួយនឹងខ្សែអក្សរដែលបានកំណត់ជាមុនដើម្បីបញ្ចប់ដំណើរការដែលមានឈ្មោះដែលត្រូវគ្នា។

បំណះ & ការពារដើម្បីជៀសវាង DDoS

អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា ការវាយប្រហារតាម Botnet ដែលទាញយកគុណវិបត្តិឧបករណ៍ដើម្បីកំណត់គោលដៅបរិស្ថាន IoT គឺ "ឥតឈប់ឈរ" ហើយដូច្នេះអ្នកប្រើប្រាស់គួរតែមានការប្រុងប្រយ័ត្នប្រឆាំងនឹង DDoS botnets" អ្នកស្រាវជ្រាវបានកត់សម្គាល់។ ជាការពិត សត្រូវរបស់ IoT កំពុងជំរុញការវាយប្រហាររបស់ពួកគេដោយ វាយលុកលើកំហុសឧបករណ៍ដែលមិនបានជួសជុល ដើម្បីបន្ថែមរបៀបវារៈនៃការវាយប្រហារដ៏ទំនើបរបស់ពួកគេ។

ការវាយប្រហារប្រឆាំងនឹងឧបករណ៍ TP-Link អាចត្រូវបានកាត់បន្ថយដោយការអនុវត្តបំណះដែលមានសម្រាប់ឧបករណ៍ដែលរងផលប៉ះពាល់ ហើយការអនុវត្តនេះគួរតែត្រូវបានអនុវត្តតាមសម្រាប់ឧបករណ៍ IoT ផ្សេងទៀត "ដើម្បីការពារបរិស្ថានបណ្តាញរបស់ពួកគេពីការឆ្លង ការពារពួកគេពីការក្លាយជា bot សម្រាប់អ្នកគំរាមកំហែងដែលមានគំនិតអាក្រក់"។ អ្នកស្រាវជ្រាវបានសរសេរ។

Fortiguard ក៏រួមបញ្ចូលផងដែរនៅក្នុងការប្រកាសរបស់វានូវសូចនាករផ្សេងៗនៃការសម្របសម្រួល (IoCs) សម្រាប់ការវាយប្រហារ botnet ផ្សេងៗគ្នា រួមទាំងម៉ាស៊ីនមេ C2, URLs និងឯកសារដែលអាចជួយអ្នកគ្រប់គ្រងម៉ាស៊ីនមេកំណត់អត្តសញ្ញាណការវាយប្រហារមួយ។

spot_img

បញ្ញាចុងក្រោយ

spot_img

រក្សាសិទ្ធិ @ 2024 Plato Technologies Inc.