آشنایی با بدافزار VPNFilter و راه های مقابله با آن

مرکز ماهر اعلام کرد خبرهای دریافتی و رصد و پایش انجام گرفته، خبر از منتشر کردن احتمالی بدافزار VPNFilter در ساعات و روزای آینده در کشور می ده. گزارشهای موجود نشون دهنده اون هستش که این بدافزار تا الان بیشتر از ۵۰۰ هزار قربونی در جهان داشتهاست و این عدد هم افزایش داره.

سرفصل محتوا

  • بدافزار VPNFilter چیه؟
  • شناسایی قربانیان:
  • مقابله با آلودگی:
  • جمع بندی:
  • دامنه های در رابطه به مخزن عکس
  • آدرسهای IPها:

بدافزار VPNFilter چیه؟

VPNFilter یه بدافزار چند مرحله س که توانایی جمع آوری داده از دستگاه قربونی و انجام حملات داغون کننده رو داره. در مرحله اول، این بدافزار یه مکان دائمی واسه ذخیره کدهای داغون کننده به دست می آورد.

بر خلاف خیلی از بدافزارها روی دستگاه های IOT که با راه اندازی دوباره دستگاه از بین میرن، این بدافزار با راه اندازی دوباره از بین نمیره! هدف مرحله اول، ایجاد یه بستر جهت اجرای مرحله دوم بدافزاره.

در مرحله اول، دستورات مختلفی(و در بعضی وقتا تکراری) جهت استفاده در مرحله دوم به سیستم عامل دستگاه قربونی اضافه میشه. در این مرحله نشانی IP دستگاه جهت استفاده در مرحله دوم و روش تعامل با دستگاه قربونی در اختیار قرار میگیره. شکل زیر نمایی از چرخه زندگی و ارتباطات بدافزار رو نشون میده.

شناسایی قربانیان:

براساس بررسیای انجام شده به وسیله آزمایشگاهها و محققان امنیتی، قربانیان این بدافزار به یه نقطه جغرافیایی خاص تعلق ندارن و این بدافزار در همه مناطق فعال بوده.

دستگاه های قربانیان پس از آلودگی شروع به پویش روی درگاههای۲۰۰۰, ۸۰, ۲۳ و ۸۰۸۰ قرارداد TCP میکنن و از این روش قابل شناساییه (دستگاههایی که همیشگی این ۴ پورت رو پایش میکنن مشکوک به آلودگی هستن).

این مطلب را هم بخوانید :  میلیاردرهای عرصه تکنولوژی / عکس

مقابله با آلودگی:

به خاطر وجود دستگاه های آلوده شده و هم به دلیل نوع آلودگی چند مرحله ای که امکان پاک کردن اونو سخت میکنه، مقابله با آلودگی مقداری واسه کاربران معمولی سخته، مشکل از اونجا شروع می شه که بیشتر این دستگاه ها بدون هیچ دیواره آتیش یا وسیله امنیتی به اینترنت وصل هستن. دستگاه های آلوده شده دارای قابلیتهای ضد بدافزار داخلی هم نیستن.
بر همین پایه باید به دنبال روشی جهت جلوگیری از منتشر کردن این آلودگی بود. گروه پژوهشی Talos حدود ۱۰۰ امضاء سیستم تشخیص نفوذ اسنورت رو به صورت عمومی منتشر کرده که میتونه جهت جلوگیری از منتشر کردن این آلودگی به دستگاه های شناخته شده استفاده بشه.

پیشنهادات:

• در صورت آلودگی، برگردونی تنظیمات به حالت پیش فرض کارخانه منتهی به حذف کدهای غیرمقیم میشه.
• میان افزار و لیست تجهیزاتی که در ادامه گزارش قید شدهاند حتما بروزرسانی شن.
• شرکتهای ارائه دهندهی سرویسای اینترنتی هم با رصد و پایش ترافیک عبوری، از وجود آلودگی مشتریان خود آگاه و اقدامات بیان شده رو اطلاع رسانی کنن.
• مسدود سازی ارتباطات با دامنه ها و آدرسای آپی که در تحلیلای امینتی و گزارشات به اونا اشاره شده است.(مراجعه به انتهای مطلب)
• با در نظر گرفتن ساکن بودن مرحله ۱ بدافزار و احتمال انجام اعمال خرابکارانه مانند پاک کردن میان افزار، نبود مبادرت به موقع و بی دقتی در این مورد ممکنه باعث نبود پایداری شبکه قربونی شه.

جمع بندی:

VPNFilter یه بدافزار بسیار خطرناک و دارای قدرت زیاد در به کار گیری منابع قربانیه که شدیدا در حال رشد است. این بدافزار ساختاری پیمانه ای داره که به اون امکان اضافه کردن قابلیتهای جدید و سوء به کار گیری وسایل کاربران رو جفت و جور میکنه.

این مطلب را هم بخوانید :  مهمترین درس های زندگی

با در نظر گرفتن استفاده بسیار زیاد از دستگاههایی مورد حمله و دستگاه های IOT نبود توجه به این تهدید ممکن است منتهی به مشکل فلج کننده در بخشهایی از سرویسها و خدمات شه. در بدترین حالت این بدافزار قادر به از کار انداختن دستگاه های وصل به اینترنت کشور و هزینه بسیار زیاد جهت تجهیز دوباره این دستگاه ها شه. توجه به این نکته مهمه که این بدافزار خیلی راحت قابل پاک کردن از دستگاه های آلوده نیس.

دامنه های در رابطه به مخزن عکس

• photobucket.com/user/nikkireed11/library
• photobucket.com/user/kmila302/library
• photobucket.com/user/lisabraun87/library
• photobucket.com/user/eva_green1/library
• photobucket.com/user/monicabelci4/library
• photobucket.com/user/katyperry45/library
• photobucket.com/user/saragray1/library
• photobucket.com/user/millerfred/library
• photobucket.com/user/jeniferaniston1/library
• photobucket.com/user/amandaseyfried1/library
• photobucket.com/user/suwe8/library
• photobucket.com/user/bob7301/library
• toknowall.com

آدرسهای IPها:

• ۹۱٫۱۲۱٫۱۰۹٫۲۰۹
• ۲۱۷٫۱۲٫۲۰۲٫۴۰
• ۹۴٫۲۴۲٫۲۲۲٫۶۸
• ۸۲٫۱۱۸٫۲۴۲٫۱۲۴
• ۴۶٫۱۵۱٫۲۰۹٫۳۳
• ۲۱۷٫۷۹٫۱۷۹٫۱۴
• ۹۱٫۲۱۴٫۲۰۳٫۱۴۴
• ۹۵٫۲۱۱٫۱۹۸٫۲۳۱
• ۱۹۵٫۱۵۴٫۱۸۰٫۶۰
• ۵٫۱۴۹٫۲۵۰٫۵۴
• ۹۱٫۲۰۰٫۱۳٫۷۶
• ۹۴٫۱۸۵٫۸۰٫۸۲
• ۶۲٫۲۱۰٫۱۸۰٫۲۲۹