استفاده بات‌نت ماتریوش از دستگاه‌های اندرویدی برای انجام حملات DDoS

۱۷ بهمن ۱۳۹۹
بات‌نت ماتریوش

بر اساس گزارش‌ نت‌لب ۳۶۰، محققان امنیتی این شرکت، یک عملیات نوپای بدافزاری را شناسایی کرده‌اند که دستگاه‌های اندروید را به منظور نصب بات‌نت‌های بهره‌برداری در حملات DDoS در معرض خطر قرار می‌دهد.

این بات‌نت که ماتریوش (Matryosh) نام دارد، پس از آلوده‌سازی دستگاه‌های اندرویدی، از طریق فعال کردن و در معرض اینترنت قرار دادن رابط عیب‌یابی دستگاه (Android Debug Bridge - ADB)، امکان بهره‌برداری‌های آتی مهاجمان را فراهم می‌سازد.

رابط ADB که روی پورت ۵۵۵۵ در دسترس است، یک روش شناخته شده برای عیب‌یابی و یافتن مشکلات متداول در دستگاه‌های اندروید به شمار می‌رود که تنها به تلفن‌های هوشمند محدود نمی‌شود؛ بلکه روی تمام تلوزیون‌های هوشمند، گیرنده دیجیتال و دیگر دستگاه‌ها که از سیستم‌عامل اندروید استفاده می‌کنند نیز قابل فعال‌سازی و استفاده است.

در سال‌های اخیر، خانواده‌های بدافزاری مانند ADB.Miner، Ares، IPStorm، Fbot و Trinity اینترنت را به منظور پیدا کردن دستگاه‌های اندروید با رابط ADB فعال اسکن کرده‌اند؛ این بدافزارها پس از اتصال به سیستم‌های آسیب‌پذیر، پی‌لود‌های مخرب خود را روی دستگاه‌ها دانلود و نصب می‌کردند.
اما بات‌نت ماتریوش که جدیدترین نسخه از این نوع بدافزار‌ها شمرده می‌شود، تفاوت‌هایی قابل توجه با دیگر نمونه‌ها دارد. 

به گفته شرکت نت‌لب ۳۶۰، ماتریوش از شبکه تور برای پنهان کردن سرورهای کنترل و فرمان خود استفاده می‌کند و از فرآیندهای چند لایه برای دسترسی به آدرس این سرور استفاده می‌کند. همچنین این بدافزار برای اجرای حملات DDoS در دستگاه‌های آلوده از طریق پروتکل‌های TCP، UDP و ICMP استفاده می‌کند.

به گفته محققان، در این نوع از حملات کار زیادی از دست کاربران ساخته نیست. با وجود اینکه کاربران تلفن‌های هوشمند می‌توانند قابلیت ADB را از طریق تنظیمات در گزینه‌های سیستم‌عامل اندروید غیرفعال کنند، اما امکان غیرفعال کردن این قابلیت در اکثر دستگاه‌های دیگر مبتنی بر اندروید وجود ندارد.

از این رو بسیاری از دستگاه‌ها همچنان در برابر این بدافزار آسیب‌پذیر خواهند ماند و به بدافزارهایی مانند ماتریوش اجازه سوءاستفاده با روش‌های مختلف از جمله استخراج ارز دیجیتال، سرقت DNS یا حملات DDoS را می‌دهند.

 

توضیحات بیشتر:

Android devices ensnared in DDoS botnet