بات نت Mayhem در حال رشد است

حدود سه سال پیش محققان شرکت Yandex یک تروجان کشف کردند که به Mayhem  مشهور شد که با کامپایل خود به عنوان یک سرویس فعال در سرور قرار می دهد و به نرم افزار های مخرب اجازه می دهد که حتی تحت مجوزهای محدود (restricted privileges) هم اجرا شوند.

Mayhem اساسا یک ربات مخرب برای سرور های وب سایت ها می باشد که قابلیت دریافت دستورات متعدد از یک C&C یا همان مرکز فرماندهی و کنترل بات نت ها را دارد ؛ همچنین با ابزار های استفاده شده در فایل های پنهان سیستمی می تواند سایت های دیگر را جهت بررسی آسیب پذیری ها اسکن نماید، دست به حملات brute force  بزند و یا حتی بخشی از یک حمله DDoS باشد!

تشخیص معماری سرور

این بدافزار هر دو معماری x32 و x64 را هدف قرار می دهد و این قابلیت را دارد که بهترین نسخه سازگار با معماری سیستم را انتخاب و اجرا نماید، اگر چه بسیاری از بد افزار های دیگر هم روش هایی برای شناسایی معماری و نوع سیستم قربانی داشتند اما روش های مورد استفاده Mayhem برای این کار به روز شده اند و شیء مشترک مخرب (malicious shared object) کاهش یافته که احتمالا به منظور فریب آنتی ویروس ها و سیستم های نظارتی بوده است.

تغییر به شیء به اشتراک گذاشته شده

قطعه کدی در این بدافزار مسئول کپی و راه اندازی نرم افزارهای مخرب است.
بر خلاف نمونه های اصلی از سال 2014، هیچ اشاره ای به متغیر سیستم MAYHEM_DEBUG وجود ندارد.

همچنین، نام این shared object از libworker.so به jquery.so تغییر یافت ( استفاده از نام جی کوئری  به عنوان یک روش انحرافی).

نتیجه

این نوع بدافزار نشان می دهد که چگونه نویسندگان بدافزار وب سرورها را به عنوان یک هدف محبوب می بینند چرا که سرورهای وب قدرتمندتر از رایانه های شخصی هستند و اغلب کنترل های ضد ویروس کمتری دارند. که این امر نیاز به اقدامات پیشگیرانه ارائه دهندگان خدمات میزبانی و مدیران سرور ها برای نظارت بیشتر است.

برای جلوگیری از حمله هایی که قصد سو استفاده از آسیب پذیری های وب سایت شما را دارند و همچنین مقابله با حملات brute force و DDoS  پیشنهاد می کنیم با استفاده از فایروال کلود پروتکشن از وب سایت خود محافظت نمایید.