ثغرة أمنية خطيرة تتيح لـ NKAbuse شن هجمات DDoS ضخمة

وقالت شركة الأمن السيبراني الروسية كاسبرسكي: "تستخدم البرمجيات الخبيثة تقنية NKN لتبادل البيانات بين أقرانها، وتعمل بمثابة غرسة قوية، ومجهزة بقدرات الفيضان والباب الخلفي

متابعه_مكسي نيوز 

NKAbuse…تهديد جديد متعدد المنصات يسمى NKAbuse تم اكتشافه باستخدام بروتوكول اتصال شبكة لامركزي من نظير إلى نظير يُعرف باسم إن كي إن (اختصار لنوع جديد من الشبكة) كقناة اتصالات.

وقالت شركة الأمن السيبراني الروسية كاسبرسكي: “تستخدم البرمجيات الخبيثة تقنية NKN لتبادل البيانات بين أقرانها، وتعمل بمثابة غرسة قوية، ومجهزة بقدرات الفيضان والباب الخلفي”.

قال في تقرير الخميس

NKN، التي لديها أكثر من 62000 عقدة، هي الموصوفة باعتبارها “شبكة تراكب برمجية مبنية على شبكة الإنترنت الحالية والتي تمكن المستخدمين من مشاركة النطاق الترددي غير المستخدم وكسب مكافآت رمزية.” وهو يشتمل على طبقة blockchain أعلى مكدس TCP/IP الحالي.

في حين أنه من المعروف أن الجهات الفاعلة في مجال التهديد تستفيد من بروتوكولات الاتصال الناشئة لأغراض القيادة والتحكم (C2) وتتجنب الكشف، فإن NKAbuse تستفيد من تقنية blockchain لتنفيذ هجمات رفض الخدمة الموزعة (DDoS) وتعمل كزرع داخل الأنظمة المعرضة للخطر. .

على وجه التحديد، يستخدم البروتوكول للتحدث مع رئيس الروبوت وتلقي/إرسال الأوامر.

يتم تنفيذ البرمجيات الخبيثة بلغة البرمجة Go، وتشير الأدلة إلى أنها تستخدم في المقام الأول لاستهداف أنظمة Linux، بما في ذلك أجهزة إنترنت الأشياء، في كولومبيا والمكسيك وفيتنام.

ليس من المعروف حاليًا مدى انتشار الهجمات، ولكن إحدى الحالات التي حددتها Kaspersky تستلزم استغلال ثغرة أمنية خطيرة عمرها ست سنوات في Apache Struts (CVE-2017-5638، درجة CVSS: 10.0) لاختراق شركة مالية لم يذكر اسمها. .

يتبع الاستغلال الناجح تسليم برنامج نصي أولي مسؤول عن تنزيل البرنامج المزروع من خادم بعيد، ولكن ليس قبل التحقق من نظام التشغيل للمضيف المستهدف.

يضم الخادم الذي يستضيف البرمجيات الخبيثة ثمانية إصدارات مختلفة من NKAbuse لدعم مختلف بنيات وحدة المعالجة المركزية: i386، وarm64، وarm، وamd64، وmips، وmipsel، وmips64، وmips64el.

جانب آخر ملحوظ هو افتقارها إلى آلية الانتشار الذاتي، مما يعني أن البرامج الضارة يجب أن يتم تسليمها إلى الهدف من خلال مسار وصول أولي آخر، على سبيل المثال من خلال استغلال العيوب الأمنية.

وقال كاسبيرسكي: “إن NKAbuse يستخدم وظائف cron للبقاء على قيد الحياة في عمليات إعادة التشغيل”.

“ولتحقيق ذلك، يجب أن يكون جذرًا. فهو يتحقق من أن معرف المستخدم الحالي هو 0، وإذا كان الأمر كذلك، فإنه يتابع تحليل crontab الحالي، ويضيف نفسه لكل عملية إعادة تشغيل.”

يشتمل NKAbuse أيضًا على مجموعة من ميزات الباب الخلفي التي تسمح له بإرسال رسالة نبضية بشكل دوري إلى رئيس الروبوت، والتي تحتوي على معلومات حول النظام، والتقاط لقطات شاشة للشاشة الحالية، وتنفيذ عمليات الملفات، وتشغيل أوامر النظام.

وقال كاسبرسكي: “يبدو أن هذه الغرسة المحددة قد تم تصميمها بدقة لدمجها في شبكة الروبوتات، ومع ذلك يمكنها التكيف للعمل كباب خلفي في مضيف معين”.

“علاوة على ذلك، فإن استخدامها لتقنية blockchain يضمن الموثوقية وعدم الكشف عن هويتها، مما يشير إلى إمكانية توسع شبكة الروبوتات هذه بشكل مطرد بمرور الوقت، ويبدو أنها خالية من وحدة تحكم مركزية يمكن تحديدها.”

وقال تشنغ “بروس” لي، المؤسس المشارك لـ NKN، لصحيفة The Hacker News: “لقد فوجئنا برؤية NKN تستخدم بهذه الطريقة”.

“لقد قمنا ببناء NKN لتوفير اتصال حقيقي بين نظير إلى نظير يكون آمنًا وخاصًا ولامركزيًا وقابلاً للتطوير على نطاق واسع. ونحن نحاول معرفة المزيد حول التقرير لمعرفة ما إذا كان بإمكاننا معًا جعل الإنترنت آمنًا ومحايدًا.”

Exit mobile version