לפני מספר ימים פורסם מידע באינטרנט על א תוכנות זדוניות חדשות המתמקדות במכשירים מבוססי לינוקס. הוטבל כ "Noabot", הוא גרסה מותאמת אישית של מיראי, אשר מתפשרת על מכשירים לפחות מהשנה שעברה וזוהתה על ידי חוקרי אבטחת סייבר.
למי שלא מודע לכך תראה, אתה צריך לדעת שזו תוכנה זדונית שמדביקה התקני IoT מבוססי לינוקס, כגון שרתים, נתבים ומצלמות אינטרנט, ליצירת רשתות בוטים שמבצעות התקפות בקנה מידה גדול, כגון התקפות מניעת שירות (DDoS). קוד המקור של מיראי פורסם ב-2016, מאפשר לאחרים ליצור גרסאות משלהם, כגון Noabot, לבצע התקפות משלהם.
על נואבוט
הסכנה של נואבות טמון ביכולתו להתקין תוכנת כריית מטבעות קריפטוגרפיים על מכשירים שנפגעו, כמו גם היכולת שלהם להסתיר את פעולתם הפנימית, מה שמקשה על זיהוי והסרה.
תראה, הוא ידוע ביכולתו להתפשט ובשימוש בו בהתקפות מניעת שירות מבוזרות (DDoS), והוא נבדל בעיצובו כתולעת, כלומר הוא משכפל את עצמו ברגע שהוא מדביק מכשיר לינוקס. שיטת ההפצה המסורתית שלה כוללת סריקת האינטרנט עבור מכשירים המקבלים חיבורי Telnet, מנסה לפצח ברירת מחדל או סיסמאות נפוצות. ברגע שהוא מדביק מכשיר אחד, הוא מחפש מכשירים אחרים להידבק באותו אופן.
עם זאת, ל-NoaBot יש גישה אחרת, שכן במקום להתמקד בסיסמאות חלשות של Telnet, NoaBot תוקף סיסמאות חלשות המאפשרות חיבורי SSH. יתר על כן, בניגוד למיראי, NoaBot אינו משמש לביצוע התקפות DDoS. במקום זאת, היא מתקינה תוכנת כריית מטבעות קריפטוגרפיים, כמו גרסה שונה של XMRig, כך ששחקני איומים יכולים ליצור מטבעות קריפטוגרפיים באמצעות משאבי הקורבנות.
בנוסף, נעשה שימוש ב-NoaBot להפצת P2PInfect, תולעת עצמאית שנחשפה על ידי חוקרים ב-Palo Alto Networks. ב-12 החודשים האחרונים, Akamai עוקבת אחר NoaBot בסיר דבש המדמה מכשירי לינוקס אמיתיים, ועוקב אחר התקפות שונות בטבע. ההתקפות הגיעו מ-849 כתובות IP שונות, רובן ככל הנראה מארחות מכשירים שכבר נגועים.
"במבט ראשון, NoaBot הוא לא קמפיין מתוחכם במיוחד. זוהי "פשוט" וריאציה של Mirai וכורה מטבעות קריפטוגרפיים XMRig, הנפוצים כיום. עם זאת, ערפול שנוספו לתוכנה הזדונית ותוספות לקוד המקור המקורי מציירים תמונה שונה מאוד של היכולות של שחקני האיום", כתב סטיב קופצ'יק, חוקר אבטחה ראשי ב- Akamai.
לפי חוקרי Akamai, היכולת המתקדמת ביותר של NoaBot היא האופן שבו הבוטנט מתקין את הגרסה שלה של תוכנת כריית המטבעות הקריפטוגרפיים XMRig. NoaBot כולל מספר תכונות חריגות המבדילות אותו מגרסאות תוכנות זדוניות אחרות, כגון Mirai, ומקשות על חוקרי אבטחה לזהות ולנתח:
- הגדרות מוצפנות או מעורפלות- NoaBot מאחסן פרמטרים של תצורה מוצפנים או מעורפלים ומפענח אותם רק ברגע ש-XMRig נטען לזיכרון, מה שמבטיח פרטיות מפני גורמי איומים. מחרוזות הניתנות לקריאה על ידי אדם הכלולים בקוד של NoaBot מעורפלות ולא נשמרות בטקסט רגיל, מה שמקשה על חילוץ פרטים מהקובץ הבינארי.
- באמצעות UClibc: NoaBot מורכב באמצעות ספריית הקוד UClibc במקום ספריית GCC המשמשת את Mirai הרגילה, מה שעשוי לשנות את האופן שבו תוכניות אנטי-וירוס מזהות את NoaBot ומסווגות אותו.
- זיהוי קשה: NoaBot מורכב באופן סטטי וללא סמלים, מה שמקשה על הנדסה לאחור ולנתח תוכנות זדוניות.
- ביצוע אקראי: ה-NoaBot הבינארי פועל מתיקיה שנוצרה באופן אקראי בספריית /lib, מה שמקשה על זיהוי זיהומים במכשירים.
- מילון מותאם אישית- NoaBot מחליף את מילון מיראי הסטנדרטי במילון מותאם אישית גדול יותר, מה שהופך את בדיקת הכוח הגסה לססמאות מסובכת יותר.
- הצבע על SSH: NoaBot מחליפה את סורק ה-Telnet של מיראי בסורק SSH מותאם אישית.
- יכולות חדירה: ל-NoaBot יכולות פוסט-פריצה כגון התקנת מפתח SSH מורשה חדש המאפשר לתוקף לגשת כדלת אחורית כדי להוריד ולהפעיל קבצים בינאריים נוספים או לשדר אותם למכשירים חדשים.
סוף סוף אם אתה מעוניין לדעת יותר על זה, אתה יכול לבדוק את הפרטים ב הקישור הבא.