بدافزار دوربین مداربسته Persirai فرزند Mirai

بدافزار دوربین مداربسته Persirai فرزند Mirai

چهارشنبه 1396.02.27

در بحبوحه هجوم باج افزار WannaCry بتازگی بدافزار جدیدی با نام Persirai در اینترنت منتشر شده است که می تواند دوربین های مداربسته را مورد حمله قرار داده و بعنوان سربازان بات نتی برای حملات DdoS آینده مورد استفاده قرار دهند. انتشار این بدافزار که می تواند دوربین های مداربسته تحت شبکه (IP) را هدف قرار دهد توسط شرکت Trend Micro اطلاع رسانی شده است. Persirai با استفاده از موتور جستجویی تحت پلتفرم اینترنت اشیاء (IoT) Shodan، دوربین های مداربسته تحت شبکه را پیدا کرده و آلوده می سازد.

براساس گزارش شرکت Trend Micro، بیشتر این حملات به ترتیب متوجه چین و ایالات متحده آمریکا می شود که در نقشه زیر بخوبی قابل مشاهده است :

نقشه پراکندگی بدافزار دوربین مداربسته Persirai

نکته جالب در مورد بات نتهای Persirai مربوط به منشاء این بدافزار در ایران است که بخوبی در فرمانهای این بدافزار قابل مشاهده است:

بدافزار بات نت دوربین مداربسته Persirai ایرانی

این بدافزار از کد اینترنتی ایران یا دامین .IR استفاده کرده است که نشان می دهد منشاء ایرانی این بدافزار بیشتر با سرورهای C&C در ایران تمرکز داشته است. بخوبی در تصویر می بینید که عبارت "در حال بارگذاری نسخه" در مراحل کار این بد افزار روی دستگاه WatchDog درحال اجرا است.

بازهم این بدافزار از رمز عبورهای پیش فرض و ضعف امنیتی که از کمبود اطلاعات کاربران دوربین مداربسته نشات می گیرد سوء استفاده کرده و پس از میرای در حال رشد است. بد افزار بات نتی Persirai با استفاده از رابط کاربری تحت وب دوربین مداربسته بر روی پورت 81  و بستر TCP اقدام به نفوذ می کند. جالبتر آنکه این بد افزار می تواند حتی دستگاهها با آخرین فرم ور را نیر آلوده می کند.

آمارهای اولیه حاکی از حملات 1000 دوربین مداربسته با جذب نیروی بات نتی بوده است که بیش از 120 هزار دوربین مداربسته دیگر را نیز تهدید خواهند کرد. قربانی اصلی حملات دوربین مداربسته تحت شبکه IP، DVR ها و NVR ها در بستر CCTV می باشند.

آنطور که شرکتهای امنیتی بیان کرده اند این حملات از طریق سرورهای C&C (اجرای دستورات از راه دور و کنترل) در کشور هلند صورت گرفته است اما دامین های مورد استفاده در خاک ایران و استان خراسان ثبت شده اند. بنظر می آید این بدافزار برپایه کد سورسهای بدافزار میرای ساخته شده اند که سال گذشته منتشر شده و هنوز سرعت رشد آن کاهش نیافته است.

در حال حاضر هم دوربین های مداربسته در ارتش بات نتی بیشتر سرورهای DNS اینترنت و NTP یا سرورهای تنظیم زمان را از کار می اندازند. 120 هزار دوربین مداربسته در خطر فعلا می توانند برای محدودکردن حملات از رمز عبور قدرتمند استفاده کرده و حتما سعی کنند ارتباط مستقیم با اینترنت را از سیستم نظارت تصویری قطع کنند. شرکتهای سازنده دوربین مداربسته بخصوص دستگاههای OEM باید به فکر راه چاره باشند. زیرا 1000 دوربین مداربسته مهاجم اولیه بیشتر از بین دوربین های مداربسته OEM انتخاب شده بودند و حالا بعد از ساعتها سرعت حملات کند نشده است.

در روزهای آینده بیشتر در این باره در سی سی تی وی آنلاین خواهید شنید.

اولین نفری باشید که به این مقاله نظر می دهد!

نام و ایمیل اختیاری است در صورتی که ایمیل را پرکنید ، در سایت عضو شده و میتوانید با نام کاربری (ایمیل) و کلمه عبوری که برایتان ارسال خواهد شد وارد سایت شده و نظرات را با نام خود ثبت کنید و به بقیه نظرات امتیاز دهید.