تحلیل بدافزار

به‌روزرسانی‌ جعلی در مرورگرها مسیریاب‌های میکروتیک را در معرض خطر قرار می‌دهد

مسیریاب‌های میکروتیک در چند ماه اخیر با آسیب‌پذیری‌های متعددی مواجه شدند. به دنبال این آسیب‌پذیری‌ها، حملات به این دستگاه‌ها به‌طور قابل‌توجهی افزایش‌یافته است. عدم به‌روزرسانی و وصله کردن به‌موقع آسیب‌پذیری‌ها توسط کارشناسان فناوری اطلاعات بر آسیب‌پذیر بودن این دستگاه‌ها افزوده است و آن‌ها را به یک گزینه مناسب برای مهاجمان تبدیل کرده است.

در آخرین ترفند حملات به مسیریاب‌های میکروتیک، مهاجمان از صفحات جعلی به‌روزرسانی مرورگرها استفاده می‌کنند. هنگامی‌که کاربران این به‌روزرسانی جعلی را انجام می‌دهند کد مخرب بر روی سیستم آن‌ها بارگذاری می‌شود. این کد مخرب شبکه را برای جستجوی مسیریاب‌های آسیب‌پذیر اسکن می‌کند و تلاش می‌کند تا از آن‌ها سوءاستفاده کند.

 

از کاربران MikroTik تقاضا می شود که مسیریاب‌های خود را در اسرع وقت به‌روزرسانی و وصله های امنیتی آن را اعمال نمایند.

 

تشریح مخاطره

در طی این حمله کاربر برای به‌روزرسانی مرورگر خود با صفحه‌ای مشابه شکل زیر مواجه می‌شود. پیغام نمایش داده‌شده یک پیغام جعلی بوده کاربر را مجبور به به‌روزرسانی مرورگر می‌کند.

اطلاعات وب‌سایت Censys نشان می‌دهد حدود ۱۱۰۰۰ دستگاه میکروتیک به این صفحه دانلود جعلی هدایت‌شده‌اند. به‌روزرسانی جعلی مرورگر از طریق یک سرور FTP مشکوک انجام می‌گیرد. در شکل زیر این موضوع نشان داده‌شده است.

اطلاعات به‌دست‌آمده از آدرس آی‌پی سرور FTP نشان می‌دهد که این آی‌پی متعلق به یک پروکسی وب رایگان متعلق به آمریکا است و از سرورهای FTP مشهور نیست.

 

دسترسی به Winbox را از طریق فایروال محدود کنید و اطمینان حاصل کنید که فایل پیکربندی پاک باشد

 

تحلیل عملیات

سربار مخرب در داخل فایل دانلود شده از سرور FTP با نام  upd_browser قرار دارد. زمانی که این فایل اجرا می‌شود کاربر با پیغام زیر مواجه می‌شود.

در طی نمایش پیغام خطا با رصد ترافیک سیستم مشاهده می‌شود که برای اتصال به پورت ۸۲۹۱ (پورت پیش‌فرض Winbox) در آدرس‌های IP مختلف تلاش می‌شود.

پس از بازگشایی و دیکد کردن سربار مخرب مشاهده می‌شود که هسته اصلی بدافزار مخرب از دو فایل پایتون تشکیل‌شده است. تابع main یکی از این فایل‌ها به‌صورت زیر است.

همان‌طور که مشاهده می‌کنید پیغام خطا بدون توجه به وضعیت مرورگر نمایش داده می‌شود و پس‌ازآن عملیات دیگری در پس‌زمینه انجام می‌گیرد.

پس‌ازآن بدافزار آدرس‌ آی‌‌پی قربانی را ثبت می‌کند، این کار با پرس و جوی یک آدرس سخت‌افزاری مربوط به ردیابی به نام ip logger که با استفاده از یک سرویس قانونی ساخته‌شده است انجام می‌گیرد. ردیاب شکل یک تصویر با سایز یک پیکسل را می‌گیرد:

پس‌ازآن، آدرس بارها و بارها در فاصله زمانی تعریف‌شده پرسیده می‌شود.

مهم‌ترین کارها در تابعی به نام “scan” انجام می‌شوند که در نخ (thread)های موازی مختلفی مستقرشده است (بیشترین تعداد نخ‌ها به‌عنوان thmax = 600 تعریف‌شده است.). تابع “scan” آدرس‌های IP شبه تصادفی تولید می‌کند و تلاش می‌کند که به هرکدام از آن‌ها روی پورت ۸۲۹۱ فوق‌الذکر وصل شود. وقتی تلاش برای اتصال موفق شد، اتصال دیگری را این بار روی یک پورت تصادفی از رنج ۵۶۷۷۸ تا ۵۶۸۸۷ امتحان می‌کند. وقتی‌که این کار با شکست همراه شد، با exploit کردن ادامه می‌دهد:

تابع  “poc” به این معناست که مسیریاب را با استفاده از آسیب‌پذیری‌های شناخته‌شده آلوده کند. در ابتدا تلاش می‌کند تا اعتبارنامه‌هایی (credentials) که از آسیب‌پذیری مسیر عبور اعمال‌نفوذ می‌کنند بازیابی کند (CVE-2018-14847).

فایل user.dat انتظار می‌رود که در فرمت M2 باشد، بنابراین اسکریپت با یک تجزیه‌کننده داخلی ساخته‌شده است (تابع load_file):

اگر بازیابی پسورد از فایل user.dat با موفقیت انجام شد، تابع اعتبارنامه‌ها (credenytials)  را رمزگشایی کرده واژ آن‌ها برای ایجاد یک backdoor استفاده می‌کند. backdoor حسابی با پسوردی است که به‌صورت تصادفی تولیدشده باشد. این تابع همچنین یک کار (task) برنامه‌ریزی‌شده تنظیم می‌کند که توسط مسیریاب انجام شود.

اسکریپتی که در زمان‌بند تنظیم‌شده است،  از یک نمونه‌ی سخت‌افزاری تولیدشده است (نسخه cleaned آن در اینجا موجود است.). نقش آن این است که تنظیمات مسیریاب را دست‌کاری کرده و یک صفحه‌ی خطا که در حال بارگیری یک CoinHive miner است را، تنظیم کند.

صفحه‌ی خطا می‌تواند در دو محل باشد: “webproxy/error.html” یا “flash/webproxy/error.html”.

زمانی که کاربران تلاش می‌کنند URL ای را ببینند که دسترسی به آن ممنوع است، چنین صفحه‌ای به آن‌ها نمایش داده می‌شود. اما اسکریپت مخربی که در مسیریاب تنظیم‌شده است به‌گونه‌ای است که اساساً هر درخواست HTTP منجر به خطا می‌شود. بااین‌حال، صفحه خطایی که برای خرابکاری ترافیک اصلی طراحی‌شده است، صفحه درخواست شده را به‌عنوان یک iframe نمایش می‌دهد. بنابراین کاربران، ممکن است همه‌ی صفحات وب را به‌صورت معمول مشاهده کنند، بدون اینکه متوجه تغییر شوند. مثال:

در این کد CoinHive miner جاسازی‌شده است، بنابراین در طول زمان این بار سیستم‌های آن‌ها برای استخراج اهداف مورداستفاده قرار می‌گیرد.

 

مقابله با مخاطره

از کاربران MikroTik درخواست شده است که مسیریاب‌های خود را در اسرع وقت تعمیر کنند و اگر از یک نسخه  منسوخ‌شده استفاده می‌کنند، باید فرض کنند که اعتبار احراز هویت آن‌ها به خطر افتاده است. صفحه‌ی دانلود MikroTik توضیح می‌دهد که چگونه RouterOS را ارتقا دهید.

یک پست وبلاگ از کمپانی درباره CVE-2018-14847 همچنین به کاربران توصیه می‌کند که دسترسی به Winbox را از طریق فایروال محدود کنند و اطمینان حاصل کنند که فایل پیکربندی پاک باشد (این فایل جایی است که معمولاً اسکریپت‌ها و پراکسی‌ها تزریق خواهند شد).

اطلاع از اینکه این آسیب‌پذیری‌ها وجود دارند و به‌راحتی قابل exploit هستند، مهم است؛ با توجه به اینکه تعمیر مسیریاب‌ها چیزی نیست که افراد زیادی آن را انجام داده باشند. بااین‌حال در بسیاری از موارد کاربران قادر به انجام این کار نیستند، مگر اینکه ارائه‌دهنده خدمات اینترنت آن‌ها این کار را برایشان انجام دهد.

با این آخرین طرح مهندسی اجتماعی، مشاهده می‌کنیم که چگونه جنایتکاران تلاش می‌کنند که کاربران عادی را آلوده کنند و به کامپیوترشان برای اسکن کردن اینترنت برای مسیریاب‌های آسیب‌پذیر، نفوذ کنند. این تکنیک هوشمندانه است، چون چنین تلاشی برای اینکه کارآمد باشد نیازمند زمان و منابع است.

 

منبع: Malwarebytes LABS

به‌روزرسانی‌ جعلی در مرورگرها مسیریاب‌های میکروتیک را در معرض خطر قرار می‌دهد
To Top