بدافزار VPNfilter
تیم امنیتی سیسکو تالوس، روز چهارشنبه 2 خرداد97 از وجود یک بدافزار خبر داد که از مدت ها قبل مشغول بررسی آن بوده است .
این بدافزار که VPNfilter نام گذاشته شده است، برخی تجهیزات شبکه از جمله مودم/روترهای خانگی را هدف قرار میدهد.
این بررسی ها همچنان ادامه دارد. طبق تخمین تالوس و شرکای آن، حدود 500 هزار دستگاه در 54 کشور آلوده شده اند. به نظر میرسد هدف اصلی این حمله کشور اکراین بوده است. این دستگاه ها اکثرا تجهیزات شبکه Linksys, Mikrotik, NETGEAR, TP-Link بوده اند که در خانه ها و دفاتر کوچک به کار میروند. همچنین دستگاه های ذخیره سازی شبکه ( NAS برند QNAP ).
این بدافزار که VPNfilter نامگذاری شده است، قابلیتهای مخرب بسیاری دارد مثل سرقت اطلاعات کاربری وبسایت ها، رصد پروتکلهای Modbus SCADA و حتی از کار انداختن دستگاه آلوده. مقابله با این بدافزار نیز دشوار است، زیرا دستگاه های در معرض خطر معمولا از نوعی هستند که هیچ سیستم ضدویروس یا ضدنفوذی برای آنها وجود ندارد.
VPN filter در دو مرحله عمل میکند. در مرحله اول آدرس آی پی یک سرور فرمان و کنترل( C&C ) را جستجو میکند و در مرحله دوم با این سرور ارتباط برقرار کرده و از آن دستوراتی را دریافت میکند. یکی از راه های مورد استفاده در مرحله اول این است که بدافزار به یک سایت اشتراک گذاری عکس Photobucket.com متصل میشود و یک عکس خاص را از آن دانلود میکند. آی پی سرور مورد نظر در این عکس نهان نگاری ( steganography ) شده است، به این صورت که بایت های آدرس آی پی در محل فیلدهای مختصات جغرافیایی عکس جاسازی شده اند .( این فیلدها به عنوان metadata در برخی عکس ها قرار میگیرند. ) بدین شکل امکان استفاده از سرورهایی با آی پی های مختلف وجود دارد.
در مرحله دوم، بدافزار در یک حلقه، دائما دستوراتی را از سرور مربوطه دریافت کرده و اجرا میکند. این دستورات، قابلیت های مختلفی دارند ،مثل ارسال فایل از دستگاه به سرور یا از کار انداختن دستگاه (احتمالا به دلیل پاک کردن منشا حمله) .
علاوه بر دو مرحله فوق، مرحله سومی نیز مشاهده شده که این امکانات بدافزار با افزودن ماژولهایی افزایش می یابد. مرحله دوم و سوم پس از ریبوت شدن دستگاه پاک میشوند، اما مرحله اول چنین نیست.
همان طور که گفته شد، مقابله با این بدافزار مشکل است و هنوز راه حل کاملی برای آن ارائه نشده است، اما تالوس توصیه میکند اقدامات زیر انجام شوند:
▪️ دستگاه های در معرض خطر به تنظیمات کارخانه ریست شده و ریبوت شوند.
▪️آی اس پی ها، این ریست را برای روترهای مشترکان خانگی خود انجام دهند.
▪️ کاربران با کمک ISP، آخرین وصله های امنیتی را روی دستگاه اعمال کنند.
مکانیزم عمل نرم افزار
انواع دستگاه های آلوده که تا کنون مشاهده شده اند:
LINKSYS DEVICES:
E1200
E2500
WRVS4400N
MIKROTIK ROUTEROS VERSIONS FOR CLOUD CORE ROUTERS:
1016
1036
1072
NETGEAR DEVICES:
DGN2200 R6400
R7000
R8000 WNR1000
WNR2000
QNAP DEVICES:
TS251
TS439 Pro
Other QNAP NAS devices running QTS software
TP-LINK DEVICES:
R600VPN امکان دارد دستگاه هایی از
مدلهای دیگر نیز در معرض خطر باشند .
منبع :
https://blog.talosintelligence.com/2018/05/VPNFilter.html?m=1