06 خرداد 1397 - 12:13
مرکز ماهر هشدار داد؛

احتمال شیوع بدافزار خطرناک VPNFilter در فضای مجازی ایران

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای نسبت به احتمال شیوع بدافزار خطرناک VPNFilter در فضای مجازی ایران هشدار داد.
کد خبر : ۸۶۴۱۸
بدافزار

به گزارش گزارش خبرنگار ایبِنا، مرکز ماهر متعلق به سازمان فناوری اطلاعات وزارت ارتباطات و فناوری اطلاعات در گزارشی پیرامون بدافزار جدیدی تخت عنوان VPNFilter اعلام کرد که  خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزار VPNFilter در ساعات و روزهای آینده در کشور می‌دهد. گزارش‌های موجود حاکی از آن است که این بدافزار تاکنون بیش از ۵۰۰ هزار قربانی در جهان داشته‌ و این عدد نیز افزایش خواهد داشت. قربانیان این نرم افزار مخرب به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال است.


این مرکز تاکید کرد که تجهیزات و دستگاه های برندهای مختلف شامل Linksys ، Mikrotik  ،NETGEAR و تی پی لینک و همچنین تجهیزات ذخیره سازی QNAP در صورت عدم به‌روز رسانی مستعد آلوده شدن به این بدافزار هستند. با توجه به استفاده بالای برندهای فوق در کشور، هشدار حاضر ارائه دهندگان سرویس ها، مدیران شبکه ها و کاربران را مخاطب قرار می دهد که نسبت به جلوگیری از آلودگی و ایمن سازی، اقدامات لازم را در دستور کار قراردهند. نوع دستگاه های آلوده به این بدافزار بیشتر از نوع دستگاه های غیر زیرساختی (بک بون) هستند و قربانیان اصلی این بدافزار نیز کاربران و شرکت های ISP کوچک و متوسط گزارش شده‌اند. گزارش کامل مرکز ماهر پیرامون این بدافزار به شرح زیر است:


تشریح بدافزار


 VPNFilter (وی پی ان فیلتر) یک بدافزار چندمرحله است که توانایی جمع آوری داده از دستگاه قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می آورد. برخلاف بسیاری از بدافزارها روی دستگاه هایIOT که با راه اندازی دوباره دستگاه از بین می روند، این بدافزار با راه اندازی دوباره از میان نخواهد رفت.


هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است. در مرحله اول، دستورات مختلفی و در برخی اوقات تکراری، جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می شود. در این مرحله آدرسIP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می گیرد.


تشریح بدافزار


VPNFilter یک بدافزار چندمرحله است که توانایی جمع آوری داده از دستگاه قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می آورد. برخلاف بسیاری از بدافزارها روی دستگاه هایIOT که با راه اندازی دوباره دستگاه از بین می روند، این بدافزار با راه اندازی دوباره از میان نخواهد رفت.


هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است. در مرحله اول، دستورات مختلفی و در برخی اوقات تکراری، جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می شود. در این مرحله آدرسIP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می گیرد.


شناسایی قربانیان


براساس بررسی های انجام شده توسط آزمایشگاه ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال است. دستگاه های قربانیان پس از آلودگی شروع به پویش روی درگاه های ۲۳، ۸۰ و  ۲۰۰۰ و ۸۰۸۰ پروتکل TCP می کنند و از این طریق قابل شناسایی است. دستگاه هایی که مداوم این ۴ پورت را پایش می کنند مشکوک به آلودگی هستند.


مقابله با آلودگی


به خاطر ماهیت دستگاه های آلوده شده و هم به سبب نوع آلودگی چندمرحله ای که امکان پاک کردن آن را دشوار می کند ، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است. مشکل از آنجا آغاز می شود که بیشتر این دستگاه ها بدون هیچ دیواره آتش (فایروال) یا ابزار امنیتی به اینترنت متصل هستند. دستگاه های آلوده شده دارای قابلیت های ضدبدافزار داخلی نیز نیستند.


برهمین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده که می تواند جهت جلوگیری از انتشار این آلودگی به دستگاه های شناخته شده مورد استفاده قرار گیرد.


پیشنهادات


۱. در صورت آلودگی، بازگردانی تنظیمات به حالت پیش فرض کارخانه منجر به حذف کدهای غیرمقیم می شود.


۲. میان افزار و لیست تجهیزاتی که در این گزارش قید شده اند حتما به روزرسانی شوند.


۳. شرکتهای ارائه دهنده سرویسهای اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاع رسانی کنند.


۴. مسدود سازی ارتباطات با دامنه ها و آدرس های آپی که در تحلیل های امینتی و گزارشات به آنها اشاره شده است.


۵. با توجه به مقیم بودن مرحله یک بدافزار و احتمال انجام اعمال خرابکارانه مانند پاک کردن میان افزار، عدم اقدام به موقع و سهل انگاری در این زمینه ممکن است باعث عدم پایداری شبکه قربانی شود.


جمع بندی


وی پی ان فیلتر  یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت درحال رشد است. این بدافزار ساختاری پیمانه ای دارد که به آن امکان افزودن قابلیت های جدید و سوء استفاده  از ابزارهای کاربران را فراهم می کند. با توجه به استفاده بسیار زیاد از دستگاه هایی مورد حمله و دستگاه های اینترنت اشیا ( IOT )، عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخش هایی از سرویس ها و خدمات شود.


در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه های متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز دوباره این دستگاه ها خواهد بود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاه های آلوده نیست.


قربانیان


براساس بررسی های انجام شده توسط آزمایشگاه ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار درتمامی مناطق فعال است. دستگاه های قربانیان پس از آلودگی شروع به پویش روی درگاه های ۲۳، ۸۰ و  ۲۰۰۰ و ۸۰۸۰ پروتکل TCP می کنند و از این طریق قابل شناسایی است. دستگاه هایی که مداوم این ۴ پورت را پایش می کنند مشکوک به آلودگی هستند .


مقابله با آلودگی


به خاطر ماهیت دستگاه های آلوده شده و هم به سبب نوع آلودگی چندمرحله ای که امکان پاک کردن آن را دشوار می کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است. مشکل از آنجا آغاز می شود که بیشتر این دستگاه ها بدون هیچ دیواره آتش (فایروال) یا ابزار امنیتی به اینترنت متصل هستند. دستگاه های آلوده شده دارای قابلیت های ضدبدافزار داخلی نیز نیستند.


برهمین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده که می تواند جهت جلوگیری از انتشار این آلودگی به دستگاه های شناخته شده مورد استفاده قرار گیرد.


پیشنهادات


۱. در صورت آلودگی، بازگردانی تنظیمات به حالت پیش فرض کارخانه منجر به حذف کدهای غیرمقیم می‌شود.


۲. میان افزار و لیست تجهیزاتی که در این گزارش قید شده اند حتما به روزرسانی شوند.


۳. شرکتهای ارائه دهنده سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاع رسانی کنند.


۴. مسدود سازی ارتباطات با دامنه ها و آدرس های آپی که در تحلیل های امینتی و گزارشات به آنها اشاره شده است.


۵. با توجه به مقیم بودن مرحله یک بدافزار و احتمال انجام اعمال خرابکارانه مانند پاک کردن میان افزار، عدم اقدام به موقع و سهل انگاری در این زمینه ممکن است باعث عدم پایداری شبکه قربانی شود.


جمع بندی


وی پی ان فیلتر یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت در حال رشد است. این بدافزار ساختاری پیمانه ای دارد که به آن امکان افزودن قابلیت های جدید و سوء استفاده  از ابزارهای کاربران را فراهم می کند. با توجه به استفاده بسیار زیاد از دستگاه هایی مورد حمله و دستگاه های اینترنت اشیا ( IOT )، عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخش هایی از سرویس ها و خدمات شود.


در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه های متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز دوباره این دستگاه ها خواهد بود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاه های آلوده نیست.


ارسال‌ نظر
فیلم و پخش زنده
بیشتر