جدیدترین اخبار
۷ خرداد ۱۳۹۷ ساعت ۱۱:۱۵ دانش و فناوری کد خبر :291100

بدافزار VPNFilter هنوز از ایرانیان قربانی نگرفته است

بدافزار VPNFilter تاکنون بیش از ۵۰۰ هزار قربانی در جهان داشته و احتمال انتشار آن در ساعات و روزهای آینده در کشور هست.

مرکز ماهر طی گزارشی اعلام کرد خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزار VPNFilter در ساعات و روزهای آینده در کشور می‌دهد.

گزارش‌های موجود حاکی از آن است که این بدافزار تاکنون بیش از ۵۰۰ هزار قربانی در جهان داشته است و این عدد نیز افزایش خواهد داشت.

لازم به ذکر است که قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال است.

تجهیزات و دستگاه‌های برندهای مختلف شامل NETGEAR Mikrotik Linksys و TP- Link و همچنین تجهیزات ذخیره‌سازی QNAP در صورت عدم بروزرسانی مستعد آلوده شدن به این بدافزار هستند.

با توجه به استفاده بالای برندهای فوق در کشور، هشدار حاضر ارائه‌دهندگان سرویس‌ها، مدیران شبکه‌ها و کاربران را مخاطب قرار می‌دهد که نسبت به جلوگیری از آلودگی و ایمن‌سازی، اقدامات لازم را که در ادامه به آنها اشاره شده است در دستور کار قرار دهند.
لازم به ذکر است نوع دستگاه‌های الوده به این بدافزار بیشتر از نوع دستگاه‌های غیر Backbone هستند و قربانیان اصلی این بدافزار، کاربران و شرکت‌های ISP کوچک و متوسط هستند.

در این گزارش شرح مختصری از شیوه عمل این بدافزار و روش‌های مقابله با آن ارائه خواهد شد.

تشریح بدافزار

VPNFilter یک بدافزار چند مرحله است که توانایی جمع‌آوری داده از دستگاه قربانی و انجام حملات مخرب را دارد؛ در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می‌آورد.

بر خلاف بسیاری از بدافزارها روی دستگاه‌های IoT که با راه‌اندازی مجدد دستگاه از بین می‌روند، این بدافزار با راه‌اندازی مجدد از میان نخواهد رفت! هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است.

در مرحله اول، دستورات مختلفی (و در برخی اوقات تکراری) جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه می‌شود. در این مرحله آدرس IP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار می‌گیرد.

شکل زیر نمایی از چرخه حیات و ارتباطات بدافزار را نشان می‌دهد:

شناسایی قربانیان

بر اساس بررسی‌های انجام شده توسط آزمایشگاه‌ها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص
تعلق ندارند و این بدافزار در تمامی مناطق فعال بوده است.

دستگاه‌های قربانیان پس از آلودگی شروع به پویش بر روی درگاه‌های ۲۰۰۰ ,۸۰ ,۲۳ و ۸۰۸۰ پروتکل TCP می‌کنند و از این طریق قابل شناسایی است (دستگاه‌هایی که مداوم این چهار پورت را پایش می‌کنند مشکوک به آلودگی هستند.)

مقابله با آلودگی

به خاطر ماهیت دستگاه‌های الوده شده و هم به سبب نوع آلودگی چند مرحله‌ای که امکان پاک کردن آن را دشوار می‌کند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است، مشکل از آنجا آغاز می‌شود که بیشتر این دستگاه‌ها بدون هیچ دیواره‌ی آتش با ابزار امنیتی به اینترنت متصل هستند.

دستگاه‌های آلوده شده دارای قابلیت‌های ضدبدافزار داخلی نیز نیستند.

بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود؛ گروه پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که می‌تواند جهت جلوگیری از انتشار این آلودگی به دستگاه‌های شناخته شده مورد استفاده قرار گیرد.

پیشنهادات

در صورت آلودگی، بازگردانی تنظیمات به حالت پیش قرض کارخانه منجر به حذف کدهای غیرمقیم می‌شود؛ میان‌افزار و لیست تجهیزاتی که در ادامه گزارش قید شده‌اند حتما بروز رسانی شوند؛ شرکت‌های ارائه‌دهنده‌ی سرویس‌های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاع‌رسانی نمایند؛ مسدودسازی ارتباطات با دامنه‌ها و آدرس‌های آبی که در تحلیل‌های امینتی و گزارشات به آنها اشاره شده است.
با توجه به مقیم بودن مرحله ۱ بدافزار و احتمال انجام اعمال خرابکارانه مانند پاک کردن میان افزار، عدم اقدام به موقع و سهل انگاری در این زمینه ممکن است باعث عدم پایداری شبکه قربانی شود.

جمع‌بندی

VPNFilter یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت در حال رشد است. این بدافزار ساختاری پیمانه‌ای دارد که به آن امکان افزودن قابلیت‌های جدید و سوءاستفاده از ابزارهای کاربران را فراهم می‌کند.

با توجه به استفاده بسیار زیاد از دستگاه‌های مورد حمله و IOT عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخش‌هایی از سرویس‌ها و خدمات شود.

به گزارش تسنیم ،در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه‌های متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز مجدد این دستگاه‌ها شود؛ توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاه‌های آلوده نیست.

روی خط خبر

  • هر روز یک رکورد تاریخی برای سکه و ارز/ خیز دلار و پوند برای ۹ و ۱۲ هزار تومان در پایان تیرماه
  • بعد از سپنتا نیکنام نوبت مینو خالقی است؟ / علی مطهری: مجمع تشخیص بحث منع رد صلاحیت منتخب مردم از سوی شورای نگهبان را در دستور کار قرار دهد
  • چه کسانی واقعا از تحریم ایران سود می‌برند؟
  • من اگر به جای وزیر علوم بودم استعفا می دادم/ لابی های سنگین، مانع از به نتیجه رسیدن تغییرات در کابینه است
  • مشاور وزیر ارتباطات از حضور زنان کارآفرین در الکامپ خبر داد
  • دستگیری ۳۰۰ نفر از اخلالگران بازار سکه و ارز
  • توافق ترامپ – پوتین – نتانیاهو درباره سوریه
  • ۳۶ میلیون یورو ارز دولتی هم تب قیمتی موز را پایین نیاورد
  • اتمام فاز اول پروژه مطالعه سیمای پوشش گیاهی پارک ملی توران
  • سکه‌های پیش‌فروش ذخیره شد؛ حباب سکه بزرگ‌تر!
  • «اولادقباد» رییس فراکسیون زنان شد
  • خنثی شدن ۴ عملیات تروریستی در بغداد
  • سفیر ایران در بغداد: قطع برق عراق از سوی تهران واقعیت ندارد
  • وزیر برگزیت انگلیس به اتحادیه اروپا هشدار داد
  • ترامپ موقعیت اروپا- آمریکا را به مخاطره می اندازد
  • پیشنهاد تسویه ۲۵۰ میلیون دلار پول نفت ایران با چای سریلانکا
  • آمریکا بزرگترین بانک آلمان را ۷۵ میلیون دلار جریمه کرد
  • خبری از وام بانکی برای گازرسانی روستایی نیست
  • لاریجانی: اروپا رویکرد خود برای اجرای توافق هسته ای را ارائه کند
  • سپنتا نیکنام: مخالفان رأی مجمع را به رعایت قانون دعوت می‌کنم
  • سخنگوی صنعت برق: برای ماه آینده، شرایط خوبی گزارش نشده
  • مدیر اطلاعات ملی آمریکا پس از اقدام جنجالی در تلویزیون: قصد بی‌احترامی به ترامپ نداشتم
  • حال استاد شجریان خوب است
  • دستورالعمل نقل و انتقال فرهنگیان شهر تهران اعلام شد
  • اطلاعیه وزارت اطلاعات درباره فعالیت دوتابعیتی‌ها در دولت
  • ۴ پیشنهاد وزیر برای حمایت از مستاجران
  • عارف: باید محصورین را به جامعه برگردانیم
  • آموزش کنترل خشم و اخلاق حرفه‌ای برای شهربانان و حریم‌بانان منطقه ۲
  • ادعای بی‌اساس خالد بن سلمان علیه ایران
  • خود تحریمی علیه خودرو سازان