هدف بدافزار Remaiten روترها و وسایل IoT

هدف بدافزار Remaiten روترها و وسایل IoT

محققان ESET در حال فعالانه مانیتور کردن یک بدافزار هستند که سیستم‌های embed شده مانند روتر ها، gateway ها و نقاط دسترسی وایرلس را هدف قرار میدهد. این bot توانایی‌های بدافزارهای Tsunami/Kaiten و Gafgyt را ادغام کرده است و در آن بهبود و چند عملکرد جدید دیده می‌شود. ESET نام این بدافزار را Linux/Remaiten گذاشته است. تابه‌حال سه ورژن (2.0، 2.1، 2.2) آن بر اساس محتوای کد شناسایی‌شده‌اند. این بدافزار جدید را سازنده آن “KTN-Remastered” یا “KTN-RM” نام‌گذاری کرده است. شرح ذیل مکانیزیم توزیع، مشخصات و تفاوت‌های بین ورژن ها را ارائه می‌دهد.

مکانیزم توزیع بهبودیافته
یکی از مشخصه‌های برجسته Linux/Gafgyt اسکن telnet  می‌باشد. در زمان دستور دهی برای اجرا اسکن telnet، این بدافزار سعی بر اتصال به آدرس‌های IP تصادفی در اینترنت از پورت 23 را دارد. اگر اتصال با موفقیت انجام شود، آن سعی می‌کند که اطلاعات login را از لیست embed شده، اسم کاربر/اسم رمز، را حدس بزند. در صورت موفقیت login انجام می‌شود و بدافزار دستور shell برای دانلود کردن بات قابل‌اجرا برای معماری‌های مختلف را صادر می‌کند و سعی بر اجرا آنها می‌کند. با این کار قربانی جدید آلوده می‌شود چون به‌هرحال یکی از binary ها ممکن است قربانی را هک کند.
Linux/Remaiten مکانیزم توزیع را ارتقا و بهبود می‌دهد، چون downloader اجراکننده “معماری‌های CPU” را در وسایل embed شده Linux (مانند ARM و MIPS) حمل می‌کند. پس از login از طریق درخواست telnet در وسیله قربانی، بدافزار سعی می‌کند که پلتفرم وسیله قربانی را مشخص نماید و تنها downloader مناسب را ارسال کند. کار این downloader درخواست کردن معماری مناسب باینری bot Linux/Remaiten از سرور C&C می‌باشد. این binary سپس  بر روی دستگاه قربانی اجرا می‌شود  و یک bot مخرب برای هکرها به وجود می‌آورد.

تحلیل فنی downloader
دانلودرهای Linux/Remaiten برنامه‌های کوچک قابل‌اجرا هستند که در باینری bot ها embed شده‌اند. در زمان اجرا در سیستم قربانی، این دانلودر ها به سرور C&C بات متصل می‌شوند و یکی از دستورات زیر را با یک خط جدید ارسال می‌کنند.
•    mips
•    mipsel
•    armeabi
•    armebeabi
C&C با یک بات باینری EFL
C&C با یک بات باینری ELF معماری درخواستی را ارسال می‌کند. پورت TPC استفاده‌شده برای اتصال به سرور C&C از سرور IRC در بات های بعدی متفاوت است.

 
1- درخواست Downloader یک بات باینری ازC&C

2- اتصال Downloader به C&C

تنها فعالیت دانلودر ارسال یکی از دستورات اجرا به سرور C&C و نوشتن جواب به stdout است. در مورد ذیل این دستور mips می‌باشد.

 
3- درخواست Downloader برای bot معماری mips از C&C

تحلیل Bot
در زمان اجرا و به‌صورت پیش‌فرض، بات در background فعال است. اجرا آن با سویچ”-d” به آن دستور می‌دهد در foreground بماند. پس از شروع پروسه، Bot اسم خود را به موردی موجه عوض می‌کند (مانند –bash یا –sh). ما –bash را در نسخه‌های 2.0 و 2.1 و  را در نسخه 2.2 دیده‌ایم.

4- شروع فعالیت Bot

سپس عملکرد Create daemon یک فایل بانام “.kpid” دریکی از directory های از پیش تعیین‌شده daemon به وجود می‌آورد و PID را به این فایل write می‌کند.

5- directory از پیش تعیین‌شده daemon

اگر فایل “.kdip” وجود داشته باشد پروسه در حال اجرا بدافزاری بر اساس وجود فایل PID متوقف می‌شود، فایل حذف می‌گردد، یک فایل جدید  “.kdip” به وجود می‌آید و پروسه به‌صورت عادی مجدداً اجرا می‌شود.

 
6- به وجود آمدن فایل PID

اتصال به C&C
یک لیست از آدرس‌های IP سرور C&C در بات باینری‌ها وجود دارد. یکی از اینها به‌صورت اتفاقی انتخاب می‌شود و بات آن را با پورت hardcode متصل می‌کند. این پورت در گونه‌ها متفاوت است.

 
7- اتصال بات به سرور C&C

اگر بات با موفقیت با سرور C&C تماس برقرار کند، از طریق کانال IRC “check-in ” می‌کند. C&C سپس با یک پیام خوش‌آمد گویی و دستورات بیشتر پاسخ می‌دهد. این دستورات توسط بات Parse شده و در دستگاه آلوده اجرا می‌شوند.

8- پیام خوش‌آمد گویی بات از C&C

مدیریت دستورات IRC
این بات به دستورات کلی IRC پاسخ می‌دهد و در لیست زیر به همراه function handler آمده‌اند.

9- دستورات IRC

جالب‌ترین دستور “PRIVMSG” می‌باشد. آن را برای دستور دادن به بات برای اجرا انواع عملیات مخرب مانند flooding، دانلود نمودن فایل‌ها، اسکن telnet و غیره استفاده می‌کنند.این دستورات می‌توانند به‌صورت آرایه استاتیک (static array) ارسال شوند.

10- دستورات بات موجود

بیشتر این توانایی‌ها از Linux/Tsunami و بقیه از Linux/Gafgyt برداشته‌شده‌اند. در شکل زیر نمونه‌های رشته‌های باینری (binary strings) مربوط به رفتار مخرب آمده است. آنها توضیحات بهتری برای عملکرد خوددارند.

 
11- توانایی‌های Flooding

12- اسکن کردن Telnet، دانلود کردن یک فایل، کشتن بات های دیگر

دانلودر embed شده
Linux/Remaiten به دلیل اینکه میتواند چندین دانلودر کوچک را حمل کند و به دستگاه قربانی آپلود کند، درصورتی‌که معماری‌های وسیله و downloader باهم هماهنگ باشند. در زمان اجرا، downloader از سرور C&C درخواست یک بات باینری می‌کند.

 
13- Embedded payloads

14- ساختار payload

اسکنر Telnet

15- حدس زدن شناسه login در telnet

اسکنر telnet بدافزار Remaiten  وقتی‌که سرور C&C دستور “QTWLNET” را صادر می‌کند شروع به کار می‌کند. تحلیل نشان می‌دهد که شرح دستور سازنده بدافزار درست است و آن نسخه بهبودیافته اسکنر telnet موجود در بدافزار Gafgyt  می‌باشد.
اسکن Telnet در مراحل زیر انجام می‌شود:
1.    انتخاب یک آدرس IP  اتفاقی عمومی و اتصال به آن از پورت 23
2.    امتحان انواع ترکیب‌های اسم کاربر و اسم رمز
3.    کشف ساختار معماری قربانی
4.    ارسال و اجرا معماری مناسب
معماری با اجرا فرمان “cat $SHELL” در سیستم قربانی و Parse کردن نتایج کشف می‌شود. متغیر محیط SHELL دارای مسیر به اجراکننده فعلی ” command line interpreter” می‌باشد. اگر این فایل یک ELF قابل‌اجرا باشد، Header آن نیز برای تعیین معماری parse می‌شود.

16- کشف پلتفرم قربانی و چک کردن با downloader برای موجود بودن این پلتفرم

17- قسمتی از عملکرد که EFL Header را Parse می‌کند

سپس بات payload مناسب را انتخاب می‌کند و به‌وسیله قربانی ارسال می‌کند.

18- عملکردی که payload را بر اساس معماری سیستم قربانی انتخاب می‌کند

اولین قدم پیدا کردن یک directory قابل write است. Linux/Remaiten یک لیست مسیرهای عمومی و قابل write را دارد.

 
19- لیست directory هایی که در ]ن ممکن است downloader  ذخیره شود

چندین فایل اجرایی خالی ساخته می‌شود (“.t” و “retrieve” و “binary”). فایل “retrieve” دارای downloader می‌باشد و فایل “binary” bot درخواست شده از سرور C&C می‌باشد. فایل “.t” به نظر میاید که در نسخه‌های بعد از 2.2 استفاده‌شده است.

 
20- اماده‌سازی payload برای انتقال و اجرا

Linux/Remaiten روشی عجیب برای ساختن یک فایل قابل‌اجرا خالی دارد: آن باینری busybox را که اکثر وسایل embed شده است را کپی می‌کند و سپس با دستور >file خالی می‌کند. Downloader از طریق telnet، با ارسال دستورات echo با هر بایت hex-encoded و با سکانس فرار “/x”، انتقال میابد. این تکنیک قبلاً برای توزیع بدافزار در وسایل لینوکس embed شده دیده‌شده است.

 
21- انتقال payload hexstring با echo

پس از انتقال downloader، آن اجرا می‌شود تا  payload کامل Linux/Remaiten را دانلود کند. downloader یک بات  باینری از C&C درخواست می‌کند و آن را به Standard output رایت (write) می‌کند و آن را به فایل باینری هدایت می‌کند. در آخر فایل باینری اجرا می‌گردد و بات IRS فعال است.

 
22- اجراشدن Downloader و بات

ارسال وضعیت به C&C
قبل از شروع اسکن telnet، بات مقدار پیشرفت خود را به اطلاع سرور C&C می‌رساند. بات اطلاعات آدرس IP دستگاه قربانی، اسم کاربر و اسم رمز استخراج‌شده و اینکه آیا دستگاه دیگری را آلوده کرده است را ارسال می‌کند.

 
23- اطلاع‌رسانی وضعیت به C&C

Kill بات های دیگر
یکی دیگر از دستورات جالب “KILLBOTS” می‌باشد. در زمان صدور، بات پروسه‌های در حال اجرا (running processes) را شمرده و تصمیم می‌گیرد بر اساس شاخص‌های محدود خود کدام را kill کند اما بیشتر بر روی اسم آنها تأکید دارد. اسم پروسه‌ها در ورژن های مختلف بات ها متفاوت است.

 
24- لیست اسامی پروسه‌ها برای kill

25- لیست اسامی پروسه‌های نادیده گرفته‌شده

Linux/Remaiten فقط پروسه‌هایی را قطع می‌کند که از interactive shell شروع‌شده‌اند و به شماره tty پروسه در وسیله نگاه می‌کند. سپس بات اسامی پروسه‌های kill شده را به سرور C&C ارسال می‌کند.

26- پروسهkill بات های دیگر