mirai
۶ اردیبهشت ۱۳۹۷

OMG یک بات نت مبتنی بر mirai

/
نظرات0
/
برچسب ها, , ,
از زمان انتشار کد منبع بات‏نت Mirai، بات‏نت‏های دیگری بر اساس آن انتشار یافته‌اند. در این بات‏نت‏ها از تکنیک‏های دیگری نیز استفاده شده است که در ادامه به بخشی از آن ها خواهیم پرداخت. Mirai برای انجام حملات تکذیب سرویس توزیع‏شده طراحی گردید، اما در نسخ جدیدتر، از زامبی‏ها برای اقداماتی با صرفه اقتصادی بیشتر استفاده می‏کنند. به‏عنوان مثال می‏توان به کاوش رمز ارزهایی مانند اتریوم اشاره نمود. این مقاله درباره یکی از همین بات‏نت‏ها به‏نام OMG است. این بات‏نت وسایل اینترنت اشیا را به سرویس‏دهنده پراکسی تبدیل می‏کند. نخستین سؤالی که مطرح می‏شود، این است که چرا به سرویس‏دهنده پراکسی تبدیل انجام می شود؟ جواب این سؤال را می‏توان در انگیزه‏های مالی یافت. حال سؤال دیگری که مطرح می‏شود این است که چگونه می‏توان از این روش، کسب درآمد نمود؟ کسب درآمد به این شیوه از طریق فروش حق دسترسی به این سرویس‏دهنده‏ها است. معمولاً مشتری این سرویس، سایر مجرمان فضای مجازی هستند. مجرمان فضای مجازی تمایل زیادی به ناشناس ماندن و مخفی نمودن هویت خود دارند. زیرا آن‏ها نمی‏خواهند برای اعمال مجرمانه خود (مانند سرقت، نفوذ غیر قانونی و ...) شناسایی شوند و تحت پیگرد قرار گیرند. چگونگی استفاده از اشیا به‏عنوان سرویس‏دهنده در شکل زیر قابل مشاهده است در ادامه به نحوه عملکرد این بات‏نت پرداخته می‏شود. اولین نکته این است که OMG تمامی ماژول‏های Mirai را حفظ نموده است. بنابراین تمامی توانایی‏های Mirai (مانند از بین بردن پروسه‏ها و حملات تکذیب سرویس) را در اختیار دارد. همچنین OMG برخی پیکربندی‏های Mirai را حذف و برخی پیکربندی‏های جدید را به آن اضافه می‏کند. پس از تعریف آغازین ماژول‏ها، OMG به سرویس‏دهنده دستور و کنترل، متصل می‏شود. برای این کار آدرس IP و پورت سرویس‏دهنده در جدول پیکربندی آمده است. توضیحات تصویر: طریقه استفاده از وسایل اینترنت اشیا به‏عنوان سرویس‏دهنده پراکسی جدول به‏صورت رمزشده دخیره شده است. روند رمزگشایی از این جدول در OMG مشابه با روند رمزگشایی در Mirai است. پس از اتصال، OMG یک پیام از پیش تعیین شده به سرویس‏دهنده می‏فرستد تا دستگاه را به‏عنوان زامبی جدید معرفی نماید. سپس سرویس‏دهنده یک رشته ۵ بایتی برای دستگاه ارسال می‏کند. اولین بایت رشته مشخص کننده وظیفه دستگاه است. اگر این بایت صفر بود یعنی دستگاه باید به سرویس‏دهنده پراکسی تبدیل شود. اگر یک بود یعنی دستگاه قرار است جهت حمله تکذیب سرویس استفاده شود. مقادیر بیش از یک به معنای پایان دادن به ارتباط است. OMG از ۳Proxy برای تبدیل دستگاه به سرویس‏دهنده پراکسی استفاده می‏کند. برای تنظیم ۳Proxy دو پورت به‏صورت تصادفی انتخاب و به‏عنوان پورت HTTP و پورت socks قرار می‏گیرند. همچنین برای استفاده موفق از پراکسی باید یک قانون دیوار آتش افزوده شود تا پورت‏های انتخاب شده باز شوند. این دستور نیز در جدول پیکربندی آورده شده است. یکی از تفاوت‏های Mirai و OMG در همین دستور است که به‏دلیل مساعد کردن شرایط برای تبدیل زامبی‏ها به سرویس‏دهنده پراکسی اضافه شده است. حال با تنظیمات ساده و روتین ۳Proxy می‏توان دستگاه آلوده را به سرویس‏دهنده پراکسی تبدیل نمود. OMG نخستین بات‏نت مبتنی بر Mirai است که علاوه‏بر حمله تکذیب سرویس از طریق زامبی‏ها، قابلیت تبدیل آن‏ها به سرویس‏دهنده پراکسی را هم دارد.
OMG-mirai

منابع

تیم پشتیبانی آپا دانشگاه گیلان