حمله بات¬نت KashmirBlack به سیستم¬های مدیریت محتوای معروف

حمله بات¬نت KashmirBlack به سیستم¬های مدیریت محتوای معروف بر اساس گزارش تیم Imperva، بات¬نت KashmirBlack به¬طور گسترده پلت¬فرم¬های مدیریت محتوای پرکاربرد را آلوده می¬کند. این بات¬نت با سوءاستفاده از چندین آسیب¬پذیری شناخته شده بر روی سرور قربانی، بطور میانگین میلیون¬ها حمله را هر روزه و بر روی چندین هزار قربانی در بیش از 30 کشور انجام می¬دهد.

در این گزارش محققان Imperva پیاده­سازی و سیر تکامل این بات­نت خطرناک را از ماه نوامبر 2019 تا پایان ماه  می 2020 میلادی بررسی کرده­اند. در این تحقیق چگونگی استفاده بات­نت از سرویس­های ابری همچون Github، Pastebin و Dropbox به منظور کنترل و مخفی کردن عملیات بات­نت و چگونگی نفوذ آن به ماینر ارزهای دیجیتالی و deface یک سایت گفته شده است.  همچنین نشانه­های حمله در اینجا نمایش داده شده است. جدول 1 مشخصات این بات­نت پیچیده را نمایش می­دهد.

 

 

 

جدول 1- مشخصه­های بات­نت KashmirBlack

مشخصه ها

توضیحات

زمان شروع فعالیت

نوامبر 2019

مدت فعالیت

حداقل 11 ماه و همچنان ادامه دارد.

پلت­فرم­­های تاثیر حمله

پلتفرم­های مدیریت محتوای پرکاربرد مانند: WordPress, Joomla!, PrestaShop, Magneto, Drupal, Vbulletin, OsCommerence, OpenCart, Yeager

کشورهای مورد حمله

بیش از 30 کشور، عمدتا در ایالات متحده امریکا

نوع حمله

آپلود فایل بدون محدودیت، اجرای کد از راه دور، پیمایش مسیر، Brute Force یا Account takeover

تعداد بات­ها

285 مورد IP مشاهده شده اما به­نظر می­رسد که چند صد هزار مورد باشد.

نحوه گسترش بات­نت

استفاده از زیرساخت های پیچیده و well-designed برای گسترش

 

.

 

شکل1 نمایش ساده­ای از پیچیدگی بات­نت و موجودیت­های درگیر در عملیات بات­نت را نشان می­دهد. رنگ هر کدام از موجودیت­ها معین کننده مشخصه­های آن است. بدین ترتیب که رنگ قرمز برای سرویس­های آلوده­ای است که توسط مالک بات­نت درست شده، رنگ نارنجی قربانیان مورد سوء­استفاده واقع شده و رنگ سبز هم نشان دهنده سیستم مدیریت محتوای آلوده نشده است که هدف حمله می باشند. در ادامه توضیحاتی مبنی بر هر کدام از موجودیت­ها ارائه شده است:

  • سرورC&C : یک ماشین مرکزی است که وظیفه کنترل ماشین­هایی را برعهده دارد که اجزای بات­نت را تشکیل می دهند.
  • Repository A: اسکریپت­های بات­نت آلوده را به منظور ارتباط با سرور C&C  نگهداری می­کند.
  • : Repository B ملزومات مرتبط با اکسپلویت و payloadها را نگهداری می­کند.
  • Spreading bot­: به طور مداوم با سرور C&C  در ارتباط است تا دستور العمل­های حمله به قربانیان دیگر را دریافت نماید. در صورت موفقیت­آمیز بودن حمله، بات گزارشی مبنی بر آن که قربانی جدید به ‘Pending bot’  تبدیل شده است به سرور C&C ارسال می­کند.
  • : Pending bot منتظر سرور C&C می­ماند تا نقش این بات جدید را در سناریو حمله مشخص کند.

 

بر اساس تحقیقات تیم Imperva عملیات بات­نت KashmirBlack در نوامبر 2019 میلادی شروع شد. این تیم دو سرنخ دارند که نشانه صحت ادعای آنهاست. اولین سرنخ، از  داده­های شرکت Imperva مبنی بر تلاش­هایی برای اکسپلویت برخی از مشتریان Imperva سرچشمه گرفته است. شواهدی از تلاش­هایی برای اکسپلویت آسیب­پذیری PHPUnit RCE با شناسه CVE-2017-9841 توسط با­ت­نت KashmirBlack در اوایل نوامبر وجود داشته است و سرنخ دوم مربوط به تاریخ یکی از اکسپلویت­ها ­(6 نوامبر 2019 میلادی) در ‘repository B’ است.

با توجه به یافته­های Imperva، بات­نت در ابتدا کوچک بوده اما پس از رشد مدوام در طول ماه­ها تبدیل به یک غول پیچیده شده است که همه روزه توانایی حمله به هزاران سایت را دارد. بزرگترین تغییر ساختار این بات­نت در ماه می سال جاری میلادی رخ داده است، زمانی که بات­نت موجودیت جدید ‘repository A load balancer’ را به ساختار خود اضافه کرد و چندین repositories برای گسترش ‘repository A’ و ‘repository B’ افزود. امروزه، بات­نت KashmirBlack توسط یک سرور C&C مدیریت می­شود و بیش از 60 سرور قربانی در زیرساخت خود دارد.

بات­نت KashmirBlack با هدف پیدا کردن سایت­هایی که نرم­افزارهای منسوخ شده دارند، اینترنت را پایش کرده و گسترش می­یابد و سپس با اکسپلویت آسیب­پذیری­های شناخته شده، سایت هدف و سرورهای آن را تحت تاثیر قرار می­دهد.

برخی از سرورهای هک شده در استخراج ارزهای دیجیتالی و اسپم کاربرد دارند اما برخی دیگر در حمله به سایت­های دیگر و سرپا نگه داشتن بات­نت ایفای نقش می­کنند. از نوامبر 2019 میلادی این بات­نت از 16 آسیب­پذیری مختلف استفاده کرده ­است. این آسیب­پذیری­ها به بات­نت KashmirBlack این اجازه را می­دهند که به سیستم­های مدیریت محتوا از قبیل:WordPress ,Joomla ,PrestaShop ,Magneto ,Drupal vBulletin ,osCommerce ,OpenCart  و Yeager حمله کنند. در برخی از اکسپلویت­ها فقط به سیستم مدیریت محتوای سایت حمله شده اما در برخی دیگر به المان­های داخلی و کتابخانه ها نیز حمله می­شود.

از 16 آسیب­پذیری مذکور ، تنها یک اکسپلویت مربوط به آسیب­پذیری PHPUnit RCE  با شناسه CVE-2017-9841 است که به مهاجم این اجازه را می­دهد تا کدهای php را به منظور اجرا در سرور قربانی تزریق نماید و منجر به تبدیل سایت قربانی به ‘spreading bot’ ­شود. 14 آسیب­پذیری در جریان آلوده­سازی، منجر به تبدیل سایت قربانی به ‘pending bot’ می­شود که در ادامه لیست شده است و یک مورد آسیب­پذیری باقی­مانده با استفاده از  ضعف WebDAV که در اینجا شرح داده شده است منجر به Defacement می­شود.

  • JQuery file upload vulnerability – CVE-2018-9206
  • ELFinder Command Injection – CVE-2019-9194
  • Joomla! remote file upload vulnerability
  • Magneto Local File Inclusion – CVE-2015-2067
  • Magento Webforms Upload Vulnerability
  • CMS Plupload Arbitrary File Upload
  • Vulnerability – CVE-2015-7571 and many unregistered
  • Multiple vulnerabilities including File Upload & RCE for many plugins in multiple platforms here
  • WordPress TimThumb RFI Vulnerability – CVE-2011-4106
  • Uploadify RCE vulnerability
  • vBulletin Widget RCE – CVE-2019-16759
  • WordPress install.php RCE
  • WordPress xmlrpc.php Login Brute-Force attack
  • WordPress multiple Plugins RCE (see full list in appendix A)
  • WordPress multiple Themes RCE (see full list in appendix B)

مدیر سایت بایستی اطمینان حاصل نماید که فایل­های CMS و ماژول­های سوم شخص همیشه به­روز بوده و به طول کامل پیکر­بندی شده باشند. علاوه بر این، از دسترسی به فایل­های حساس و مسیرهایی از قبیل install.php, wp-config.php و eval-stdin.php جلوگیری شود. پیشنهاد می­شود که از رمزعبورهای قدرتمند و خاصی استفاده گردد چون این رمزعبورها اولین نقطه دفاعی در برابر حملات بروت فورس هستند. همچنین به دلیل گسترش جرایم رایانه­ای و افشای آسیب­پذیری­های روز افزون توصیه می­شود برای اطمینان کامل از امنیت سایت خود از WAF استفاده نمایید.

در صورتی که سرور شما توسط بات نت KashmirBlack آلوده شده باشد، بایستی اقدامات ذیل را انجام دهید:

  • توقف پروسس­های آلوده
  • حذف فایل­های آلوده
  • حذف تسک­های زمانبندی شده (Cron Jobs) مشکوک و ناآشنا
  • حذف پلاگین و تم­های استفاده نشده
  1. https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-i
  2. https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-ii/