شواهد نشان میدهد که از ابتدای سال جاری میلادی #بات_نتی با نام Hide ‘N Seekبا هدف آلودهسازی دستگاههای اینترنت اشیاء شایع شده است. این باتنت که برای انتشار خود رفتاری کرمگونه دارد، از آسیبپذیری CVE-2016-10401و چندین آسیبپذیری دیگر برای انتشار کد بدخواه خود سوء استفاده میکند.
این باتنت پس از Hajimeدومین باتنت است که برای ارتباطات خود از شیوه p2pاستفاده میکند. مقابله با باتنتهایی که از p2pبرای ارتباطات خود استفاده میکنند دشوار است و به همین دلیل HNSدر ماههای اخیر به طور مداوم در حال بهروز رسانی بوده است. برخی از تغییراتی که در این بهروز رسانیها مشاهده شده است عبارتند از:
افزودن اکسپلویتهایی برای دستگاههای وبکَم AVTECH، روترهای Linksysسیسکو، وب سرور JAWS/1.0و پایگاه دادههای Apache CouchDBو OrientDB.
آدرس گرههای p2pهاردکُد شده به ۱۷۱ مورد افزایش یافته است.
افزودن برنامه cpuminerبرای کاوش پول دیجیتال
با پشتیبانی از سرورهای پایگاه دادهای OrientDBو CouchDB، HNSباتنتی نه تنها برای اینترنت اشیاء بلکه باتنتی چندسکویی به شمار میرود.
این باتنت برای انتشار در شبکه، با استفاده از کدی مشابه آنچه در باتنت miraiاستفاده شده پورتهای TCPشامل (HTTP Web Service)80، (HTTP Web Service)8080، (OrientDB)2480، (CouchDB )5984و (Telnet)23را در شبکه اسکن میکند و سپس با سوءاستفاده از اکسپلویتهای زیر خود را بر روی پورتهای مذکور مستقر میکند:
TPLink-Routers RCE
Netgear RCE
new: AVTECH RCE
new: CISCO Linksys Router RCE
new: JAW/1.0 RCE
new: OrientDB RCE
new: CouchDB RCE
هر گره HNSبا سایر همتاهای p2pخود با استفاده از سه روش زیر ارتباط برقرار میکند:
۱۷۱ آدرس هارد کد شده در برنامه (لیست این ۱۷۱ آدرس در https://blog.netlab.360.com/file/hns_hardcoded_peer_list.txtموجود است. )
آرگومان خط فرمان
سایر همتاهای p2p
برای مقابله و جلوگیری از آلودگی به این باتنت، به روز رسانی سریع دستگاههای اینترنت اشیاء و بستن پورتهای غیر مود نیاز، تغییر پورتهای پیشفرض و نیز تغییر رمزعبورهای پیشفرض ضروری به نظر میرسد.
