خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزار VPNFilter در ساعات و روزهای آینده در کشور میدهد.

هشدار فوری مرکز ماهر در خصوص رواج احتمالی بدافزار VPNFilter در فضای مجازی کشوربه گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان؛ گزارشهای موجود حاکی از آن است که بدافزار VPNFilter تاکنون بیش از 500 هزار قربانی در جهان داشته است و این عدد نیز افزایش خواهد داشت. الزم به ذکر است که قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال است.

تجهیزات و دستگاههای برندهای مختلف شامل Linksys ،Mikrotik ،NETGEAR و Link-TP و همچنین تجهیزات ذخیره سازی QNAP در صورت عدم بروز رسانی مستعد آلوده شدن به این بدافزار هستند. با توجه به استفاده ی بالای برندهای فوق در کشور، هشدار حاضر ارائه دهندگان سرویسها، مدیران شبکهها و کاربران را مخاطب قرار می دهد که نسبت به جلوگیری از آلودگی و ایمن سازی، اقدامات لازم را که در ادامه به آنها اشاره شده است در دستور کار قراردهند. لازم به ذکر است نوع دستگاههای آلوده به این بدافزار بیشتر از نوع دستگاههای غیر Backbone هستند و قربانیان اصلی این بدافزار، کاربران و شرکتهای ISP کوچک و متوسط هستند. در این گزارش شرح مختصری از شیوه عمل این بدافزار و روشهای مقابله با آن ارایه خواهد شد.

هشدار فوری مرکز ماهر در خصوص رواج احتمالی بدافزار VPNFilter در فضای مجازی کشور

تشریح بدافزار:

VPNFilterیک بدافزار چند مرحله است که توانایی جمع آوری داده از دستگاه قربانی و انجام حمالت مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می آورد. بر خلاف بسیاری از بدافزارها روی دستگاههای IOT که با راه اندازی مجدد دستگاه از بین میروند، این بدافزار با راه اندازی مجدد از میان نخواهد رفت! هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است. در مرحله اول، دستورات مختلفی (و در برخی اوقات تکراری )جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه میشود. در این مرحله آدرس IP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار میگیرد. شکل زیر نمایی از چرخه حیات و ارتباطات بدافزار را نشان می دهد.

شناسایی قربانیان:
بر اساس بررسیهای انجام شده توسط آزمایشگاهها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال بوده است. دستگاههای قربانیان پس از آلودگی شروع به پویش بر روی درگاههای2000, 80, 23 و 8080 پروتکل TCP میکنند و از این طریق قابل شناسایی است (دستگاههایی که مداوم این ۴ پورت را پایش میکنند مشکوک به آلودگی هستند).

مقابله با آلودگی:
به خاطر ماهیت دستگاههای آلوده شده و هم به سبب نوع آلودگی چندمرحله ای که امکان پاک کردن آن را دشوار میکند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار است، مشکل از آنجا آغاز میشود که بیشتر این دستگاهها بدون هیچ دیواره آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاههای آلوده شده دارای قابلیتهای ضدبدافزار داخلی نیز نیستند.

بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه پژوهشی Talos حدود ۱00 امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که میتواند جهت جلوگیری از انتشار این آلودگی به دستگاههای شناخته شده مورد استفاده قرار گیرد.

پیشنهادات:
• در صورت آلودگی، بازگردانی تنظیمات به حالت پیش فرض کارخانه منجر به حذف کدهای غیرمقیم میشود.
• میان افزار و لیست تجهیزاتی که در ادامه گزارش قید شده اند حتما به روز رسانی شوند.
• شرکتهای ارائه دهنده ی سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاع رسانی نمایند.
• مسدود سازی ارتباطات با دامنه ها و آدرس های آپی که در تحلیل های امینتی و گزارشات به آنها اشاره شده است. (رجوع به انتهای گزارش حاضر)
• با توجه به مقیم بودن مرحله ۱ بدافزار و احتمال انجام اعمال خرابکارانه مانند پاک کردن میان افزار، عدم اقدام به موقع و سهل انگاری در این زمینه ممکن است باعث عدم پایداری شبکه قربانی شود.

جمع بندی:
VPNFilterیک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت در حال رشد است. این بدافزار ساختاری پیمانه ای دارد که به آن امکان افزودن قابلیتهای جدید و سوء استفاده از ابزارهای کاربران را فراهم میکند. با توجه به استفاده بسیار زیاد از دستگاههایی مورد حمله و دستگاههای IOT عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخشهایی از سرویسها و خدمات گردد. در بدترین حالت این بدافزار قادر به از کار انداختن دستگاههای متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز مجدد این دستگاهها شود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاههای آلوده نیست.

دامنه های مرتبط به مخزن عکس
• photobucket.com/user/nikkireed11/library
• photobucket.com/user/kmila302/library
• photobucket.com/user/lisabraun87/library
• photobucket.com/user/eva_green1/library
• photobucket.com/user/monicabelci4/library
• photobucket.com/user/katyperry45/library
• photobucket.com/user/saragray1/library
• photobucket.com/user/millerfred/library
• photobucket.com/user/jeniferaniston1/library
• photobucket.com/user/amandaseyfried1/library
• photobucket.com/user/suwe8/library
• photobucket.com/user/bob7301/library
• toknowall.com

آدرسهای IPها:

• 91.121.109.209
• 217.12.202.40
• 94.242.222.68
• 82.118.242.124
• 46.151.209.33
• 217.79.179.14
• 91.214.203.144
• 95.211.198.231
• 195.154.180.60
• 5.149.250.54
• 91.200.13.76
• 94.185.80.82
• 62.210.180.229

انتهای پیام/

اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.
نظرات کاربران
انتشار یافته: ۱۴
در انتظار بررسی: ۰
Iran (Islamic Republic of)
ناشناس
۱۶:۱۴ ۰۶ خرداد ۱۳۹۷
ما که هییییچی از این مطلب نفهمیدیم نهایتا اگه موبایلم ویروسی شد و سوخت میندا زمش بره عکس وفیلم خونوادگیم تدوش ندارم که بترسم.
Iran (Islamic Republic of)
ناشناس
۱۳:۳۱ ۰۶ خرداد ۱۳۹۷
خب حالا چیکار کنیم کجا فرار کنیم کجا پناه ببریم؟
Iran (Islamic Republic of)
ناشناس
۱۱:۳۳ ۰۶ خرداد ۱۳۹۷
باید خیلی مراقب فرزندانمون باشیم که آسیب نبینند
Iran (Islamic Republic of)
ناشناس
۰۹:۱۲ ۰۶ خرداد ۱۳۹۷
خدا همه ی ما را هدایت کنه
Iran (Islamic Republic of)
ناشناس
۰۸:۵۵ ۰۶ خرداد ۱۳۹۷
فیلترشکن ها کلا گوشی ها رو داغون کردن.بچه ها هم تو هر سایتی میرن الان با فیلترشکن
Iran (Islamic Republic of)
ناشناس
۰۷:۱۰ ۰۶ خرداد ۱۳۹۷
ما سیستمامونم بترکه مجبوریم از فیلتر شکن استفاده کنیم
Netherlands
ناشناس
۰۶:۲۴ ۰۶ خرداد ۱۳۹۷
باید پیام رسانهای خارجی فیلتر شوند
Iran (Islamic Republic of)
ناشناس
۰۲:۰۵ ۰۶ خرداد ۱۳۹۷
ما که نفهمیدیم چی گفت
Iran (Islamic Republic of)
ناشناس
۰۱:۳۱ ۰۶ خرداد ۱۳۹۷
واقعا جای بسی تاسف داره
Iran (Islamic Republic of)
ناشناس
۰۰:۴۵ ۰۶ خرداد ۱۳۹۷
اینترنتی خریدم ،
Asus t100t
تبلت است ، یه هارد عجیب هم خریدم ،

Western digital

بسته ندارد هردو دست دوم است
Iran (Islamic Republic of)
ناشناس
۲۳:۵۳ ۰۵ خرداد ۱۳۹۷
خدا به فریاد همه ی ما برسه
Iran (Islamic Republic of)
ناشناس
۲۳:۱۷ ۰۵ خرداد ۱۳۹۷
خدایا حالا چیکار باید کرد
Iran (Islamic Republic of)
ناشناس
۲۳:۰۰ ۰۵ خرداد ۱۳۹۷
همه این بلاها از زمان فیلترشدن تلگرام و استفاده از فیلترشکن اغاز شد
Iran (Islamic Republic of)
ناشناس
۲۲:۴۱ ۰۵ خرداد ۱۳۹۷
الان جمع بندی چی شد چکار کنیم سیستممون آلوده نشه؟
آخرین اخبار