دسته بندی : فن آوری ایران | فن آوری | 1397/08/06 11 : 36 : 24 تعداد بازدید : 3555 شناسه خبر : 969 فناوری ایران فناوری افزایش دستگاههای آلوده به استخراج ارز دیجیتال در ایران مرکز ماهر آمار جدیدی از آلودگی روترهای میکروتیک به استخراج رمز و همچنین راههایی برای پاکسازی روترهای آلوده منتشر کرده است. مدتی پیش مرکز ماهر گزارشی را منتشر کرده و تهران در آن، یکی از آلودهترین شهرها به بدافزار استخراج ارز معرفی شده بود. گزارش جدید منتشرشده از سوی این مرکز نشان میدهد سوءاستفادهی مهاجمین از روترهای میکروتیک ادامه دارد. به گزارش مرکز ماهر، تجهیزات ارتباطی شرکت میکروتیک، بهخصوص روترهای تولیدشده توسط این شرکت در حجم بالا در ایران و معمولا در شبکههای کوچک و متوسط مورد استفاده قرار میگیرد. از ابتدای سال جاری چندین مورد آسیبپذیری حیاتی در مورد این تجهیزات شناسایی و منتشر شده است. آسیبپذیریها به اندازهای جدی است که امکان دسترسی کامل مهاجم به تجهیزات، شناسایی رمز عبور و دسترسی به محتوای ترافیک عبوری از روتر را فراهم میکند. دسترسی به ترافیک عبوری، مخاطرات جدی در پی دارد و امکان شنود و بررسی ترافیک شبکهی قربانی را روی پروتکلهای FTP ،SMTP ،HTTP ،SMB و... فراهم میکند که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان جمعآوری تمامی رمزهای عبور که بهصورت متن آشکار در حال تبادل در شبکهی قربانی است را بهدست میآورد. آمار منتشرشده از سوی مرکز ماهر نشان میدهد در تاریخ ۱۰ مرداد ۱۳۹۷ تعداد دستگاههای فعال میکروتیک ۶۹،۸۰۵ عدد بوده است؛ تعداد دستگاههای آلوده در تاریخ ۱۴ مرداد ۱۳۹۷ به ۱۶/۱۱۴ عدد رسیده که تمامی آنها در معرض نفوذ قرار داشتند. مرکز ماهر با اطلاعرسانی مکرر و تأکید دربارهی ضرورت بهروزرسانی و اقدامات لازم مانند قطع ارتباط از خارج کشور به دستگاههای داخل کشور شامل پورت ۸۲۹۱ (winbox) توانسته است تا حدی مانع افزایش تعداد قربانیان شود. با این وجود بهدلیل عدم همکاری استفادهکنندگان از این تجهیزات بهویژه شرکتهای خدمات اینترنتی که مالک یا بهرهبردار بخش عمدهی این تجهیزات هستند، تعداد زیادی از روترهای فعال در کشو بهروزرسانی نشدهاند و همچنان آسیبپذیر هستند. همچنین بررسی دقیقتر این تجهیزات نشان داده است که هر کدام به دفعات مورد نفوذ مهاجمین قرار گرفتهاند. در حملات اخیر که CryptoJacking نام دارد، مهاجمین به تجهیزات آسیبپذیر میکروتیک کدهای ارزکاوی تزریق کرده و با سوءاستفاده از ظرفیت پردازشی کاربران عبورکننده از این روترها هنگام مرور وب، بهرهبرداری میکنند. همانطور که در نمودار زیر مشاهده میکنید تعداد دستگاههای آلودهشدهی میکروتیک به ارزکاو رو به افزایش است و این نشان میدهد مالکان هیچ توجهی به هشدار و راهکارهای ارائهشده نداشتهاند. همچنین این نمودار نشان میدهد در روزهای اخیر این روند صعودی تسریع شده و تعداد قربانیان بهصورت ساعتی در حال افزایش است. به گزارش مرکز ماهر بیش از ۱۷/۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است و ایران پس از کشورهای برزیل، هند و اندونزی در رتبهی چهارم روترهای آلوده به استخراج رمز ارز قرار دارد. بررسی کارشناسان مرکز ماهر نشان میدهد منشأ حملات به این تعداد دستگاه حداکثر از سوی ۲۴ مهاجم صورت گرفته است. نکتهی قابل توجه این است که تعدادی از قربانیان نفوذ پیشین و سرقت رمز عبور و اخذ دسترسی بعد از بهروزرسانی firmware هنوز هم تحت کنترل مهاجمین هستند. شرکتهای بزرگ و کوچک ارائهی خدمات اینترنت و شماری از سازمانها و دستگاههای دولتی از جمله قربانیان این حمله هستند. در ادامه به بررسی دستورالعمل پاکسازی دستگاههای آلوده که از سوی مرکز ماهر منتشر شده، میپردازیم. دستورالعمل پاکسازی دستگاههای آلوده برای اطمینان از رفع آلودگی احتمالی و جلوگیری از حملات مجدد، بهتر است مراحل زیر انجام شود: ۱- قطع ارتباط روتر از شبکه ۲- بازگردانی به تنظیمات کارخانهای (Factory reset) ۳- بهروزرسانی firmware به آخرین نسخهی منتشرشده توسط شرکت میکروتیک ۴- تنظیم مجدد روتر ۵- غیرفعال کردن دسترسی به پورتهای مدیریتی (web ،winbox ،SSH ،telnet) از خارج شبکه. دسترسی مدیریتی باید از شبکهی داخلی صورت بگیرد و در صورت لزوم برقراری از خارج از شبکه باید از طریق ارتباط VPN انجام شود. ۶- تغییر رمز عبور در روتر و سایر سیستمهای تحت کنترل بهدلیل احتمال بالای نشت آن مراحل ذکرشده از سوی مرکز ماهر توصیه شدهاند اما چنانچه راهاندازی و تنظیم به این روش امکانپذیر نباشد، میتوان این کار را از طریق مراحل زیر انجام داد: ۱- اعمال آخرین بهروزرسانی دستگاههای میکروتیک ۲- بررسی گروههای کاربری و حسابهای دسترسی ۳- تغییر رمز عبور حسابهای موجود و حذف نامهای کاربری اضافی و بدون کاربرد ۴- بررسی فایلهای webproxy/error.html و flash/webproxy/error.html حذف اسکریپت ارزکاوی (coinhive) از فایل حذف هرگونه تگ اسکریپت اضافه فراخوانیشده در این فایلها ۵- حذف تمامی Scheduler Task های مشکوک ۶- حذف تمامی اسکریپتهای مشکوک در مسیر System/Script ۷- حذف تمامی فایلهای مشکوک در مسیر فایل سیستم و پوشههای موجود ۸- بررسی تنظیمات بخش فایروال و حذف Rule های اضافی و مشکوک ۹- اضافه کردن Rule هایی برای اعمال محدودیت دسترسی از شبکههای غیرمجاز ۱۰- بررسی جدول NAT و حذف قوانین اضافی و مشکوک ۱۱- غیرفعال کردن دسترسی Web و Telnet ۱۲- محدود کردن دسترسیهای مجاز به Winbox ۱۳- غیرفعال کردن دسترسی به پورتهای مدیریتی از خارج شبکهی داخلی ۱۴- بررسی تنظیمات بخش Sniffer و غیرفعال کردن Capture و Streaming در صورت عدم استفاده ۱۵- غیرفعال کردن تنظیمات web proxy در صورت عدم استفاده ۱۶- غیرفعال کردن تنظیمات Socks در صورت عدم استفاده مرکز ماهر اعلام کرده است فهرست تجهیزات آلودهی شناساییشده به تفکیک شرکت و سازمان مالک به سازمان تنظیم مقررات رادیویی ارسال شده و در صورت عدم اقدام این شرکتها نسبت به پاکسازی و رفع آسیبپذیری، راهکارهای قانونی از سوی این سازمان اجرا خواهد شد.