بدافزار دوربین مداربسته Persirai فرزند Mirai 1397/01/27


در بحبوحه هجوم باج افزار WannaCry بتازگی بدافزار جدیدی با نام Persirai در اینترنت منتشر شده است که می تواند دوربین های مداربسته را مورد حمله قرار داده و بعنوان سربازان بات نتی برای حملات DdoS آینده مورد استفاده قرار دهند. انتشار این بدافزار که می تواند دوربین های مداربسته تحت شبکه (IP) را هدف قرار دهد توسط شرکت Trend Micro اطلاع رسانی شده است. Persirai با استفاده از موتور جستجویی تحت پلتفرم اینترنت اشیاء (IoT) Shodan، دوربین های مداربسته تحت شبکه را پیدا کرده و آلوده می سازد.
براساس گزارش شرکت Trend Micro، بیشتر این حملات به ترتیب متوجه چین و ایالات متحده آمریکا می شود

نکته جالب در مورد بات نتهای Persirai مربوط به منشاء این بدافزار در ایران است .
این بدافزار از کد اینترنتی ایران یا دامین .IR استفاده کرده است که نشان می دهد منشاء ایرانی این بدافزار بیشتر با سرورهای C&C در ایران تمرکز داشته است. بخوبی در تصویر می بینید که عبارت "در حال بارگذاری نسخه" در مراحل کار این بد افزار روی دستگاه WatchDog درحال اجرا است.

بازهم این بدافزار از رمز عبورهای پیش فرض و ضعف امنیتی که از کمبود اطلاعات کاربران دوربین مداربسته نشات می گیرد سوء استفاده کرده و پس از میرای در حال رشد است. بد افزار بات نتی Persirai با استفاده از رابط کاربری تحت وب دوربین مداربسته بر روی پورت 81  و بستر TCP اقدام به نفوذ می کند. جالبتر آنکه این بد افزار می تواند حتی دستگاهها با آخرین فرم ور را نیر آلوده می کند.

آمارهای اولیه حاکی از حملات 1000 دوربین مداربسته با جذب نیروی بات نتی بوده است که بیش از 120 هزار دوربین مداربسته دیگر را نیز تهدید خواهند کرد. قربانی اصلی حملات دوربین مداربسته تحت شبکه IP، DVR ها و NVR ها در بستر CCTV می باشند.
آنطور که شرکتهای امنیتی بیان کرده اند این حملات از طریق سرورهای C&C (اجرای دستورات از راه دور و کنترل) در کشور هلند صورت گرفته است اما دامین های مورد استفاده در خاک ایران و استان خراسان ثبت شده اند. بنظر می آید این بدافزار برپایه کد سورسهای بدافزار میرای ساخته شده اند که سال گذشته منتشر شده و هنوز سرعت رشد آن کاهش نیافته است.

در حال حاضر هم دوربین های مداربسته در ارتش بات نتی بیشتر سرورهای DNS اینترنت و NTP یا سرورهای تنظیم زمان را از کار می اندازند. 120 هزار دوربین مداربسته در خطر فعلا می توانند برای محدودکردن حملات از رمز عبور قدرتمند استفاده کرده و حتما سعی کنند ارتباط مستقیم با اینترنت را از سیستم نظارت تصویری قطع کنند. شرکتهای سازنده دوربین مداربسته بخصوص دستگاههای OEM باید به فکر راه چاره باشند. زیرا 1000 دوربین مداربسته مهاجم اولیه بیشتر از بین دوربین های مداربسته OEM انتخاب شده بودند و حالا بعد از ساعتها سرعت حملات کند نشده است.

تماس با ما

09198817991