Noabot، وهو متغير Mirai الذي يؤثر على الأجهزة التي تعمل بنظام التشغيل Linux

منذ عدة أيام، تم نشر معلومات على الإنترنت حول أ برامج ضارة جديدة تستهدف الأجهزة التي تعمل بنظام Linux عمد باسم "Noabot"، هو نسخة مخصصة من Mirai، والتي كانت تهدد الأجهزة منذ العام الماضي على الأقل وتم اكتشافها من قبل باحثي الأمن السيبراني.

لمن لا يعرفون انظر، يجب أن تعلم أن هذا برنامج ضار يصيب أجهزة إنترنت الأشياء التي تعمل بنظام التشغيل Linux، مثل الخوادم وأجهزة التوجيه وكاميرات الويب، لتكوين شبكات الروبوت التي تنفذ هجمات واسعة النطاق، مثل هجمات رفض الخدمة (DDoS). تم نشر كود مصدر Mirai في عام 2016، السماح للآخرين بإنشاء المتغيرات الخاصة بهم، مثل Noabot، لتنفيذ هجماتهم الخاصة.

حول نوابوت

خطر نوابوت تكمن في قدرتها على تثبيت برامج تعدين العملات المشفرة على الأجهزة المخترقة، بالإضافة إلى قدرتها على إخفاء أعمالها الداخلية، مما يجعل من الصعب اكتشافها وإزالتها.

ينظر، وهو معروف بقدرته على الانتشار واستخدامه في هجمات رفض الخدمة الموزعة (DDoS)، ويتميز بتصميمه على شكل دودة، أي أنه يكرر نفسه بمجرد إصابة جهاز يعمل بنظام التشغيل Linux. تتضمن طريقة الانتشار التقليدية الخاصة بها فحص الإنترنت بحثًا عن الأجهزة التي تقبل اتصالات Telnet، محاولة كسر كلمات المرور الافتراضية أو الشائعة. وبمجرد إصابة جهاز واحد، فإنه يبحث عن الأجهزة الأخرى ليصيبها بنفس الطريقة.

ومع ذلك، NoaBot لديه نهج مختلف، فبدلاً من استهداف كلمات مرور Telnet الضعيفة، قام NoaBot يهاجم كلمات المرور الضعيفة التي تسمح باتصالات SSH. علاوة على ذلك، على عكس Mirai، لا يتم استخدام NoaBot لتنفيذ هجمات DDoS. وبدلاً من ذلك، يقوم بتثبيت برنامج تعدين العملات المشفرة، مثل نسخة معدلة من XMRig، بحيث يمكن للجهات الفاعلة في مجال التهديد إنشاء عملة مشفرة باستخدام موارد الضحايا.

بالإضافة إلى ذلك، تم استخدام NoaBot لنشر P2PInfect، وهي دودة مستقلة كشف عنها باحثون في Palo Alto Networks. على مدار الـ 12 شهرًا الماضية، كان Akamai يراقب NoaBot في مصيدة تحاكي أجهزة Linux الحقيقية، ويتتبع الهجمات المختلفة في البرية. جاءت الهجمات من 849 عنوان IP مختلفًا، من المحتمل أن يستضيف معظمها أجهزة مصابة بالفعل.

"للوهلة الأولى، لا تعتبر NoaBot حملة معقدة للغاية. إنه "ببساطة" نسخة مختلفة من Mirai وأداة تعدين العملات المشفرة XMRig، الشائعة اليوم. ومع ذلك، فإن عمليات التشويش المضافة إلى البرامج الضارة والإضافات إلى كود المصدر الأصلي ترسم صورة مختلفة تمامًا عن قدرات الجهات الفاعلة في التهديد.

وفقًا لباحثي Akamai، فإن القدرة الأكثر تقدمًا لـ NoaBot هي كيفية تثبيت الروبوتات لنسختها من برنامج تعدين العملات المشفرة XMRig. يتميز NoaBot بعدد من الميزات غير العادية التي تميزه عن متغيرات البرامج الضارة الأخرى، مثل Mirai، وتجعل من الصعب على الباحثين الأمنيين اكتشافه وتحليله:

1. الإعدادات المشفرة أو المبهمة- يقوم NoaBot بتخزين معلمات التكوين المشفرة أو المبهمة وفك تشفيرها فقط بمجرد تحميل XMRig في الذاكرة، مما يضمن الخصوصية من جهات التهديد. يتم تشويش السلاسل التي يمكن قراءتها بواسطة الإنسان والمضمنة في كود NoaBot بدلاً من حفظها في نص عادي، مما يجعل من الصعب استخراج التفاصيل من الملف الثنائي.
2. باستخدام يوكليبك: تم تجميع NoaBot باستخدام مكتبة كود UClibc بدلاً من مكتبة مجلس التعاون الخليجي التي يستخدمها Mirai القياسي، مما قد يغير كيفية اكتشاف برامج مكافحة الفيروسات لـ NoaBot وتصنيفه.
3. كشف صعب: يتم تجميع NoaBot بشكل ثابت وبدون رموز، مما يجعل من الصعب إجراء هندسة عكسية وتحليل البرامج الضارة.
4. تنفيذ عشوائي: يعمل برنامج NoaBot الثنائي من مجلد تم إنشاؤه عشوائيًا في الدليل /lib، مما يجعل من الصعب اكتشاف الإصابات على الأجهزة.
5. القاموس المخصص- يستبدل NoaBot قاموس Mirai القياسي بقاموس مخصص أكبر، مما يجعل اختبار القوة الغاشمة لكلمات المرور أكثر تعقيدًا.
6. أشر إلى SSH: يقوم NoaBot باستبدال الماسح الضوئي Telnet الخاص بـ Mirai بماسح ضوئي SSH مخصص.
7. قدرات التسلل: يتمتع NoaBot بقدرات ما بعد الاختراق مثل تثبيت مفتاح SSH معتمد جديد يسمح للمهاجم بالوصول كباب خلفي لتنزيل وتنفيذ ثنائيات إضافية أو بثها إلى أجهزة جديدة.

أخيرًا إذا كنت كذلك مهتم بمعرفة المزيد عنها ، يمكنك التحقق من التفاصيل في الرابط التالي.