مسیریابهای میکروتیک در چند ماه اخیر با آسیبپذیریهای متعددی مواجه شدند. به دنبال این آسیبپذیریها، حملات به این دستگاهها بهطور قابلتوجهی افزایشیافته است. عدم بهروزرسانی و وصله کردن بهموقع آسیبپذیریها توسط کارشناسان فناوری اطلاعات بر آسیبپذیر بودن این دستگاهها افزوده است و آنها را به یک گزینه مناسب برای مهاجمان تبدیل کرده است.
در آخرین ترفند حملات به مسیریابهای میکروتیک، مهاجمان از صفحات جعلی بهروزرسانی مرورگرها استفاده میکنند. هنگامیکه کاربران این بهروزرسانی جعلی را انجام میدهند کد مخرب بر روی سیستم آنها بارگذاری میشود. این کد مخرب شبکه را برای جستجوی مسیریابهای آسیبپذیر اسکن میکند و تلاش میکند تا از آنها سوءاستفاده کند.
از کاربران MikroTik تقاضا می شود که مسیریابهای خود را در اسرع وقت بهروزرسانی و وصله های امنیتی آن را اعمال نمایند.
تشریح مخاطره
در طی این حمله کاربر برای بهروزرسانی مرورگر خود با صفحهای مشابه شکل زیر مواجه میشود. پیغام نمایش دادهشده یک پیغام جعلی بوده کاربر را مجبور به بهروزرسانی مرورگر میکند.
اطلاعات وبسایت Censys نشان میدهد حدود ۱۱۰۰۰ دستگاه میکروتیک به این صفحه دانلود جعلی هدایتشدهاند. بهروزرسانی جعلی مرورگر از طریق یک سرور FTP مشکوک انجام میگیرد. در شکل زیر این موضوع نشان دادهشده است.
اطلاعات بهدستآمده از آدرس آیپی سرور FTP نشان میدهد که این آیپی متعلق به یک پروکسی وب رایگان متعلق به آمریکا است و از سرورهای FTP مشهور نیست.
دسترسی به Winbox را از طریق فایروال محدود کنید و اطمینان حاصل کنید که فایل پیکربندی پاک باشد
تحلیل عملیات
سربار مخرب در داخل فایل دانلود شده از سرور FTP با نام upd_browser قرار دارد. زمانی که این فایل اجرا میشود کاربر با پیغام زیر مواجه میشود.
در طی نمایش پیغام خطا با رصد ترافیک سیستم مشاهده میشود که برای اتصال به پورت ۸۲۹۱ (پورت پیشفرض Winbox) در آدرسهای IP مختلف تلاش میشود.
پس از بازگشایی و دیکد کردن سربار مخرب مشاهده میشود که هسته اصلی بدافزار مخرب از دو فایل پایتون تشکیلشده است. تابع main یکی از این فایلها بهصورت زیر است.
همانطور که مشاهده میکنید پیغام خطا بدون توجه به وضعیت مرورگر نمایش داده میشود و پسازآن عملیات دیگری در پسزمینه انجام میگیرد.
پسازآن بدافزار آدرس آیپی قربانی را ثبت میکند، این کار با پرس و جوی یک آدرس سختافزاری مربوط به ردیابی به نام ip logger که با استفاده از یک سرویس قانونی ساختهشده است انجام میگیرد. ردیاب شکل یک تصویر با سایز یک پیکسل را میگیرد:
پسازآن، آدرس بارها و بارها در فاصله زمانی تعریفشده پرسیده میشود.
مهمترین کارها در تابعی به نام “scan” انجام میشوند که در نخ (thread)های موازی مختلفی مستقرشده است (بیشترین تعداد نخها بهعنوان thmax = 600 تعریفشده است.). تابع “scan” آدرسهای IP شبه تصادفی تولید میکند و تلاش میکند که به هرکدام از آنها روی پورت ۸۲۹۱ فوقالذکر وصل شود. وقتی تلاش برای اتصال موفق شد، اتصال دیگری را این بار روی یک پورت تصادفی از رنج ۵۶۷۷۸ تا ۵۶۸۸۷ امتحان میکند. وقتیکه این کار با شکست همراه شد، با exploit کردن ادامه میدهد:
تابع “poc” به این معناست که مسیریاب را با استفاده از آسیبپذیریهای شناختهشده آلوده کند. در ابتدا تلاش میکند تا اعتبارنامههایی (credentials) که از آسیبپذیری مسیر عبور اعمالنفوذ میکنند بازیابی کند (CVE-2018-14847).
فایل user.dat انتظار میرود که در فرمت M2 باشد، بنابراین اسکریپت با یک تجزیهکننده داخلی ساختهشده است (تابع load_file):
اگر بازیابی پسورد از فایل user.dat با موفقیت انجام شد، تابع اعتبارنامهها (credenytials) را رمزگشایی کرده واژ آنها برای ایجاد یک backdoor استفاده میکند. backdoor حسابی با پسوردی است که بهصورت تصادفی تولیدشده باشد. این تابع همچنین یک کار (task) برنامهریزیشده تنظیم میکند که توسط مسیریاب انجام شود.
اسکریپتی که در زمانبند تنظیمشده است، از یک نمونهی سختافزاری تولیدشده است (نسخه cleaned آن در اینجا موجود است.). نقش آن این است که تنظیمات مسیریاب را دستکاری کرده و یک صفحهی خطا که در حال بارگیری یک CoinHive miner است را، تنظیم کند.
صفحهی خطا میتواند در دو محل باشد: “webproxy/error.html” یا “flash/webproxy/error.html”.
زمانی که کاربران تلاش میکنند URL ای را ببینند که دسترسی به آن ممنوع است، چنین صفحهای به آنها نمایش داده میشود. اما اسکریپت مخربی که در مسیریاب تنظیمشده است بهگونهای است که اساساً هر درخواست HTTP منجر به خطا میشود. بااینحال، صفحه خطایی که برای خرابکاری ترافیک اصلی طراحیشده است، صفحه درخواست شده را بهعنوان یک iframe نمایش میدهد. بنابراین کاربران، ممکن است همهی صفحات وب را بهصورت معمول مشاهده کنند، بدون اینکه متوجه تغییر شوند. مثال:
در این کد CoinHive miner جاسازیشده است، بنابراین در طول زمان این بار سیستمهای آنها برای استخراج اهداف مورداستفاده قرار میگیرد.
مقابله با مخاطره
از کاربران MikroTik درخواست شده است که مسیریابهای خود را در اسرع وقت تعمیر کنند و اگر از یک نسخه منسوخشده استفاده میکنند، باید فرض کنند که اعتبار احراز هویت آنها به خطر افتاده است. صفحهی دانلود MikroTik توضیح میدهد که چگونه RouterOS را ارتقا دهید.
یک پست وبلاگ از کمپانی درباره CVE-2018-14847 همچنین به کاربران توصیه میکند که دسترسی به Winbox را از طریق فایروال محدود کنند و اطمینان حاصل کنند که فایل پیکربندی پاک باشد (این فایل جایی است که معمولاً اسکریپتها و پراکسیها تزریق خواهند شد).
اطلاع از اینکه این آسیبپذیریها وجود دارند و بهراحتی قابل exploit هستند، مهم است؛ با توجه به اینکه تعمیر مسیریابها چیزی نیست که افراد زیادی آن را انجام داده باشند. بااینحال در بسیاری از موارد کاربران قادر به انجام این کار نیستند، مگر اینکه ارائهدهنده خدمات اینترنت آنها این کار را برایشان انجام دهد.
با این آخرین طرح مهندسی اجتماعی، مشاهده میکنیم که چگونه جنایتکاران تلاش میکنند که کاربران عادی را آلوده کنند و به کامپیوترشان برای اسکن کردن اینترنت برای مسیریابهای آسیبپذیر، نفوذ کنند. این تکنیک هوشمندانه است، چون چنین تلاشی برای اینکه کارآمد باشد نیازمند زمان و منابع است.
منبع: Malwarebytes LABS
