آشنایی با بدافزار VPNFilter و راه های مقابله با آن

مرکز ماهر اعلام کرد خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از انتشار احتمالی بدافزار VPNFilter در ساعات و روزهای آینده در کشور میدهد. گزارشهای موجود حاکی از آن است که این بدافزار تاکنون بیش از ۵۰۰ هزار قربانی در جهان داشتهاست و این عدد نیز افزایش خواهد داشت.

بیشتر بخوانید: هشدار فوری؛ خطر انتشار بدافزار VPNFilter

بدافزار VPNFilter چیست؟

VPNFilter یک بدافزار چند مرحله است که توانایی جمع آوری داده از دستگاه قربانی و انجام حملات مخرب را دارد. در مرحله اول، این بدافزار یک مکان دائمی برای ذخیره کدهای مخرب به دست می آورد.

بر خلاف بسیاری از بدافزارها روی دستگاههای IOT که با راه اندازی مجدد دستگاه از بین میروند، این بدافزار با راه اندازی مجدد از میان نخواهد رفت! هدف مرحله اول، ایجاد یک بستر جهت اجرای مرحله دوم بدافزار است.

در مرحله اول، دستورات مختلفی(و در برخی اوقات تکراری) جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربانی اضافه میشود. در این مرحله آدرس IP دستگاه جهت استفاده در مرحله دوم و شیوه تعامل با دستگاه قربانی در اختیار قرار میگیرد. شکل زیر نمایی از چرخه حیات و ارتباطات بدافزار را نشان می دهد.

تشریح vpnfilter

شناسایی قربانیان:

بر اساس بررسی های انجام شده توسط آزمایشگاهها و محققان امنیتی، قربانیان این بدافزار به یک نقطه جغرافیایی خاص تعلق ندارند و این بدافزار در تمامی مناطق فعال بوده است.

دستگاههای قربانیان پس از آلودگی شروع به پویش بر روی درگاههای۲۰۰۰, ۸۰, ۲۳ و ۸۰۸۰ پروتکل TCP میکنند و از این طریق قابل شناسایی است (دستگاههایی که مداوم این ۴ پورت را پایش میکنند مشکوک به آلودگی هستند).

مقابله با آلودگی:

به خاطر ماهیت دستگاههای آلوده شده و هم به سبب نوع آلودگی چند مرحله ای که امکان پاک کردن آن را دشوار میکند، مقابله با آلودگی مقداری برای کاربران معمولی دشوار میباشد، مشکل از آنجا آغاز می شود که بیشتر این دستگاهها بدون هیچ دیواره ی آتش یا ابزار امنیتی به اینترنت متصل هستند. دستگاههای آلوده شده دارای قابلیتهای ضد بدافزار داخلی نیز نیستند.
بر همین اساس باید به دنبال روشی جهت جلوگیری از انتشار این آلودگی بود. گروه پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت را به صورت عمومی منتشر کرده است که میتواند جهت جلوگیری از انتشار این آلودگی به دستگاههای شناخته شده مورد استفاده قرار گیرد.

بیشتر بخوانید: کشف بدافزاری که در ۱۰ دقیقه اطلاعات هارد شما را پاک می کند

پیشنهادات:

• در صورت آلودگی، بازگردانی تنظیمات به حالت پیش فرض کارخانه منجر به حذف کدهای غیرمقیم میشود.
• میان افزار و لیست تجهیزاتی که در ادامه گزارش قید شدهاند حتما به روز رسانی شوند.
• شرکتهای ارائه دهندهی سرویس های اینترنتی نیز با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده را اطلاع رسانی نمایند.
• مسدود سازی ارتباطات با دامنه ها و آدرس های آپی که در تحلیل های امینتی و گزارشات به آنها اشاره شده است.(رجوع به انتهای مطلب)
• با توجه به مقیم بودن مرحله ۱ بدافزار و احتمال انجام اعمال خرابکارانه مانند پاک کردن میان افزار، عدم اقدام به موقع و سهل انگاری در این زمینه ممکن است باعث عدم پایداری شبکه قربانی شود.

جمع بندی:

VPNFilter یک بدافزار بسیار خطرناک و دارای قدرت زیاد در به کارگیری منابع قربانی است که به شدت در حال رشد است. این بدافزار ساختاری پیمانه ای دارد که به آن امکان افزودن قابلیتهای جدید و سوء استفاده از ابزارهای کاربران را فراهم میکند.

با توجه به استفاده بسیار زیاد از دستگاههایی مورد حمله و دستگاههای IOT عدم توجه به این تهدید ممکن است منجر به اختلال فلج کننده در بخشهایی از سرویسها و خدمات گردد. در بدترین حالت این بدافزار قادر به از کار انداختن دستگاههای متصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز مجدد این دستگاهها شود. توجه به این نکته مهم است که این بدافزار به راحتی قابل پاک کردن از دستگاههای آلوده نمیباشد.

دامنه های مرتبط به مخزن عکس

• photobucket.com/user/nikkireed11/library
• photobucket.com/user/kmila302/library
• photobucket.com/user/lisabraun87/library
• photobucket.com/user/eva_green1/library
• photobucket.com/user/monicabelci4/library
• photobucket.com/user/katyperry45/library
• photobucket.com/user/saragray1/library
• photobucket.com/user/millerfred/library
• photobucket.com/user/jeniferaniston1/library
• photobucket.com/user/amandaseyfried1/library
• photobucket.com/user/suwe8/library
• photobucket.com/user/bob7301/library
• toknowall.com

آدرسهای IPها:

• ۹۱٫۱۲۱٫۱۰۹٫۲۰۹
• ۲۱۷٫۱۲٫۲۰۲٫۴۰
• ۹۴٫۲۴۲٫۲۲۲٫۶۸
• ۸۲٫۱۱۸٫۲۴۲٫۱۲۴
• ۴۶٫۱۵۱٫۲۰۹٫۳۳
• ۲۱۷٫۷۹٫۱۷۹٫۱۴
• ۹۱٫۲۱۴٫۲۰۳٫۱۴۴
• ۹۵٫۲۱۱٫۱۹۸٫۲۳۱
• ۱۹۵٫۱۵۴٫۱۸۰٫۶۰
• ۵٫۱۴۹٫۲۵۰٫۵۴
• ۹۱٫۲۰۰٫۱۳٫۷۶
• ۹۴٫۱۸۵٫۸۰٫۸۲
• ۶۲٫۲۱۰٫۱۸۰٫۲۲۹

سئو پارسیان

سئو پارسیان با بیش از 10 سال سابقه فعالیت در زمینه طراحی و بهینه سازی سایت برای موتورهای جستجو یا سئو در مشهد , با شماره عضویت ۵۱۰۳۰۴۷۲ سازمان نظام مهندسی رایانه ای خراسان رضوی ، آماده همکاری در قالب مشاور و مجری پروژه های IT شما می باشد.

شما ممکن است این را هم بپسندید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *