در این گزارش محققان Imperva پیاده­سازی و سیر تکامل این بات­نت خطرناک را از ماه نوامبر 2019 تا پایان ماه  می 2020 میلادی بررسی کرده­اند. در این تحقیق چگونگی استفاده بات­نت از سرویس­های ابری همچون Github، Pastebin و Dropbox به منظور کنترل و مخفی کردن عملیات بات­نت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است.  همچنین نشانه­های حمله در اینجا نمایش داده شده است. جدول 1 مشخصات این بات­نت پیچیده را نمایش می­دهد.

جدول 1- مشخصه­های بات­نت KashmirBlack

.

شکل1 نمایش ساده­ای از پیچیدگی بات­نت و موجودیت­های درگیر در عملیات بات­نت را نشان می­دهد. رنگ هر کدام از موجودیت­ها معین کننده مشخصه­های آن است. بدین ترتیب که رنگ قرمز برای سرویس­های آلوده­ای است که توسط مالک بات­نت درست شده، رنگ نارنجی قربانیان مورد سوء­استفاده واقع شده و رنگ سبز هم نشان دهنده سیستم مدیریت محتوای آلوده نشده است که هدف حمله می باشند. در ادامه توضیحاتی مبنی بر هر کدام از موجودیت­ها ارائه شده است:

• سرورC&C : یک ماشین مرکزی است که وظیفه کنترل ماشین­هایی را برعهده دارد که اجزای بات­نت را تشکیل می دهند.
• Repository A: اسکریپت­های بات­نت آلوده را به منظور ارتباط با سرور C&C  نگهداری می­کند.
• : Repository B ملزومات مرتبط با اکسپلویت و payloadها را نگهداری می­کند.
• Spreading bot­: به طور مداوم با سرور C&C  در ارتباط است تا دستور العمل­های حمله به قربانیان دیگر را دریافت نماید. در صورت موفقیت­آمیز بودن حمله، بات گزارشی مبنی بر آن که قربانی جدید به ‘Pending bot’  تبدیل شده است به سرور C&C ارسال می­کند.
• : Pending bot منتظر سرور C&C می­ماند تا نقش این بات جدید را در سناریو حمله مشخص کند.

بر اساس تحقیقات تیم Imperva عملیات بات­نت KashmirBlack در نوامبر 2019 میلادی شروع شد. این تیم دو سرنخ دارند که نشانه صحت ادعای آنهاست. اولین سرنخ، از  داده­های شرکت Imperva مبنی بر تلاش­هایی برای اکسپلویت برخی از مشتریان Imperva سرچشمه گرفته است. شواهدی از تلاش­هایی برای اکسپلویت آسیب­پذیری PHPUnit RCE با شناسه CVE-2017-9841 توسط با­ت­نت KashmirBlack در اوایل نوامبر وجود داشته است و سرنخ دوم مربوط به تاریخ یکی از اکسپلویت­ها ­(6 نوامبر 2019 میلادی) در ‘repository B’ است.

با توجه به یافته­های Imperva، بات­نت در ابتدا کوچک بوده اما پس از رشد مدوام در طول ماه­ها تبدیل به یک غول پیچیده شده است که همه روزه توانایی حمله به هزاران سایت را دارد. بزرگترین تغییر ساختار این بات­نت در ماه می سال جاری میلادی رخ داده است، زمانی که بات­نت موجودیت جدید ‘repository A load balancer’ را به ساختار خود اضافه کرد و چندین repositories برای گسترش ‘repository A’ و ‘repository B’ افزود. امروزه، بات­نت KashmirBlack توسط یک سرور C&C مدیریت می­شود و بیش از 60 سرور قربانی در زیرساخت خود دارد.

بات­نت KashmirBlack با هدف پیدا کردن سایت­هایی که نرم­افزارهای منسوخ شده دارند، اینترنت را پایش کرده و گسترش می­یابد و سپس با اکسپلویت آسیب­پذیری­های شناخته شده، سایت هدف و سرورهای آن را تحت تاثیر قرار می­دهد.

برخی از سرورهای هک شده در استخراج ارزهای دیجیتالی و اسپم کاربرد دارند اما برخی دیگر در حمله به سایت­های دیگر و سرپا نگه داشتن بات­نت ایفای نقش می­کنند. از نوامبر 2019 میلادی این بات­نت از 16 آسیب­پذیری مختلف استفاده کرده ­است. این آسیب­پذیری­ها به بات­نت KashmirBlack این اجازه را می­دهند که به سیستم­های مدیریت محتوا از قبیل:WordPress ,Joomla ,PrestaShop ,Magneto ,Drupal vBulletin ,osCommerce ,OpenCart  و Yeager حمله کنند. در برخی از اکسپلویت­ها فقط به سیستم مدیریت محتوای سایت حمله شده اما در برخی دیگر به المان­های داخلی و کتابخانه ها نیز حمله می­شود.

از 16 آسیب­پذیری مذکور ، تنها یک اکسپلویت مربوط به آسیب­پذیری PHPUnit RCE  با شناسه CVE-2017-9841 است که به مهاجم این اجازه را می­دهد تا کدهای php را به منظور اجرا در سرور قربانی تزریق نماید و منجر به تبدیل سایت قربانی به ‘spreading bot’ ­شود. 14 آسیب­پذیری در جریان آلوده­سازی، منجر به تبدیل سایت قربانی به ‘pending bot’ می­شود که در ادامه لیست شده است و یک مورد آسیب­پذیری باقی­مانده با استفاده از  ضعف WebDAV که در اینجا شرح داده شده است منجر به Defacement می­شود.

• JQuery file upload vulnerability – CVE-2018-9206
• ELFinder Command Injection – CVE-2019-9194
• Joomla! remote file upload vulnerability
• Magneto Local File Inclusion – CVE-2015-2067
• Magento Webforms Upload Vulnerability
• CMS Plupload Arbitrary File Upload
• Vulnerability – CVE-2015-7571 and many unregistered
• Multiple vulnerabilities including File Upload & RCE for many plugins in multiple platforms here
• WordPress TimThumb RFI Vulnerability – CVE-2011-4106
• Uploadify RCE vulnerability
• vBulletin Widget RCE – CVE-2019-16759
• WordPress install.php RCE
• WordPress xmlrpc.php Login Brute-Force attack
• WordPress multiple Plugins RCE (see full list in appendix A)
• WordPress multiple Themes RCE (see full list in appendix B)

مدیر سایت بایستی اطمینان حاصل نماید که فایل­های CMS و ماژول­های سوم شخص همیشه به­روز بوده و به طول کامل پیکر­بندی شده باشند. علاوه بر این، از دسترسی به فایل­های حساس و مسیرهایی از قبیل install.php, wp-config.php و eval-stdin.php جلوگیری شود. پیشنهاد می­شود که از رمزعبورهای قدرتمند و خاصی استفاده گردد چون این رمزعبورها اولین نقطه دفاعی در برابر حملات بروت فورس هستند. همچنین به دلیل گسترش جرایم رایانه­ای و افشای آسیب­پذیری­های روز افزون توصیه می­شود برای اطمینان کامل از امنیت سایت خود از WAF استفاده نمایید.

در صورتی که سرور شما توسط بات نت KashmirBlack آلوده شده باشد، بایستی اقدامات ذیل را انجام دهید:

• توقف پروسس­های آلوده
• حذف فایل­های آلوده
• حذف تسک­های زمانبندی شده (Cron Jobs) مشکوک و ناآشنا
• حذف پلاگین و تم­های استفاده نشده

1. https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-i
2. https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-ii/