افزایش دستگاه‌های آلوده به استخراج ارز دیجیتال در ایران

مرکز ماهر آمار جدیدی از آلودگی روترهای میکروتیک به استخراج رمز و همچنین راه‌هایی برای پاک‌سازی روترهای آلوده منتشر کرده است.

مدتی پیش مرکز ماهر گزارشی را منتشر کرده و تهران در آن، یکی از آلوده‌ترین شهرها به بدافزار استخراج ارز معرفی شده بود. گزارش جدید منتشرشده از سوی این مرکز نشان می‌دهد سوءاستفاده‌ی مهاجمین از روترهای میکروتیک ادامه دارد.


به گزارش مرکز ماهر، تجهیزات ارتباطی شرکت میکروتیک، به‌خصوص روترهای تولیدشده توسط این شرکت در حجم بالا در ایران و معمولا در شبکه‌های کوچک و متوسط مورد استفاده قرار می‌گیرد. از ابتدای سال چندین مورد آسیب‌پذیری حیاتی در مورد این تجهیزات شناسایی و منتشر شده است. آسیب‌پذیری‌ها به اندازه‌ای جدی است که امکان دسترسی کامل مهاجم به تجهیزات، شناسایی رمز عبور و دسترسی به محتوای ترافیک عبوری از روتر را فراهم می‌کند.

دسترسی به ترافیک عبوری، مخاطرات جدی در پی دارد و امکان شنود و بررسی ترافیک شبکه‌ی قربانی را روی پروتکل‌های FTP ،SMTP ،HTTP ،SMB و… فراهم می‌کند که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان جمع‌آوری تمامی رمزهای عبور که به‌صورت متن آشکار در حال تبادل در شبکه‌ی قربانی است را به‌دست می‌آورد.

آمار منتشرشده از سوی مرکز ماهر نشان می‌دهد در تاریخ ۱۰ مرداد ۱۳۹۷ تعداد دستگاه‌های فعال میکروتیک ۶۹،۸۰۵ عدد بوده است؛ تعداد دستگاه‌های آلوده در تاریخ ۱۴ مرداد ۱۳۹۷ به ۱۶/۱۱۴ عدد رسیده که تمامی ‌آن‌ها در معرض نفوذ قرار داشتند. مرکز ماهر با اطلاع‌رسانی مکرر و تأکید درباره‌ی ضرورت بروزرسانی و اقدامات لازم مانند قطع ارتباط از خارج کشور به دستگاه­‌های داخل کشور شامل پورت ۸۲۹۱ (winbox) توانسته است تا حدی مانع افزایش تعداد قربانیان شود.

با این وجود به‌دلیل عدم همکاری استفاده‌کنندگان از این تجهیزات به‌ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره‌بردار بخش عمده‌ی این تجهیزات هستند، تعداد زیادی از روترهای فعال در کشو بروزرسانی نشده‌اند و همچنان آسیب‌پذیر هستند. همچنین بررسی دقیق‌تر این تجهیزات نشان داده است که هر کدام به دفعات مورد نفوذ مهاجمین قرار گرفته‌اند.

در حملات اخیر که CryptoJacking نام دارد، مهاجمین به تجهیزات آسیب‌پذیر میکروتیک کدهای ارزکاوی تزریق کرده و با سوءاستفاده از ظرفیت پردازشی کاربران عبورکننده از این روترها هنگام مرور وب، بهره‌برداری می‌کنند.

به گزارش مرکز ماهر بیش از ۱۷/۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است و ایران پس از کشورهای برزیل، هند و اندونزی در رتبه‌ی چهارم روترهای آلوده به استخراج رمز ارز قرار دارد. بررسی کارشناسان مرکز ماهر نشان می‌دهد منشأ حملات به این تعداد دستگاه حداکثر از سوی ۲۴ مهاجم صورت گرفته است. نکته‌ی قابل توجه این است که تعدادی از قربانیان نفوذ پیشین و سرقت رمز عبور و اخذ دسترسی بعد از به‌روزرسانی firmware هنوز هم تحت کنترل مهاجمین هستند.

شرکت‌های بزرگ و کوچک ارائه‌ی خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

دستورالعمل پاک‌سازی دستگاه‌های آلوده

برای اطمینان از رفع آلودگی احتمالی و جلوگیری از حملات مجدد، بهتر است مراحل زیر انجام شود:

۱- قطع ارتباط روتر از شبکه

۲- بازگردانی به تنظیمات کارخانه‌ای (Factory reset)

۳- بروزرسانی firmware به آخرین نسخه‌ی منتشرشده توسط شرکت میکروتیک

۴- تنظیم مجدد روتر

۵- غیرفعال کردن دسترسی به پورت‌های مدیریتی (web ،winbox ،SSH ،telnet) از خارج شبکه. دسترسی مدیریتی باید از شبکه‌ی داخلی صورت بگیرد و در صورت لزوم برقراری از خارج از شبکه باید از طریق ارتباط VPN انجام شود.

۶- تغییر رمز عبور در روتر و سایر سیستم‌های تحت کنترل به‌دلیل احتمال بالای نشت آن

مراحل ذکرشده از سوی مرکز ماهر توصیه شده‌اند اما چنانچه راه‌اندازی و تنظیم به این روش امکان‌پذیر نباشد، می‌توان این کار را از طریق مراحل زیر انجام داد:

۱- اعمال آخرین بروزرسانی دستگاه‌های میکروتیک

۲- بررسی گروه‌های کاربری و حساب‌های دسترسی

۳- تغییر رمز عبور حساب‌های موجود و حذف نام‌های کاربری اضافی و بدون کاربرد

۴- بررسی فایل‌های webproxy/error.html و flash/webproxy/error.html

  • حذف اسکریپت ارزکاوی (coinhive) از فایل
  • حذف هرگونه تگ اسکریپت اضافه فراخوانی‌شده در این فایل‌ها

۵- حذف تمامی Scheduler Task های مشکوک

۶- حذف تمامی اسکریپت‌های مشکوک در مسیر System/Script

۷- حذف تمامی فایل‌های مشکوک در مسیر فایل سیستم و پوشه‌های موجود

۸- بررسی تنظیمات بخش فایروال و حذف Rule های اضافی و مشکوک

۹- اضافه کردن Rule هایی برای اعمال محدودیت دسترسی از شبکه‌های غیرمجاز

۱۰- بررسی جدول NAT و حذف قوانین اضافی و مشکوک

۱۱- غیرفعال کردن دسترسی Web و Telnet

۱۲- محدود کردن دسترسی‌های مجاز به Winbox

۱۳- غیرفعال کردن دسترسی به پورت‌های مدیریتی از خارج شبکه‌ی داخلی

۱۴- بررسی تنظیمات بخش Sniffer و غیرفعال کردن Capture و Streaming در صورت عدم استفاده

۱۵- غیرفعال کردن تنظیمات web proxy در صورت عدم استفاده

۱۶- غیرفعال کردن تنظیمات Socks در صورت عدم استفاده

مرکز ماهر اعلام کرده است فهرست تجهیزات آلوده‌ی شناسایی‌شده به تفکیک شرکت و سازمان مالک به سازمان تنظیم مقررات رادیویی ارسال شده و در صورت عدم اقدام این شرکت‌ها نسبت به پاک‌سازی و رفع آسیب‌پذیری، راهکارهای قانونی از سوی این سازمان اجرا خواهد شد.

نویسنده مقاله : منبع مقاله :
  • 24 فروردین 1398
  • سعید نوروزی
  • 1185
مطالب مرتبط :
راه اندازی Cache در میکروتیک میکروتیک به عنوان فایل سرور آموزش مسدود کردن دسترسی به اینستاگرام توسط فایروال میکروتیک تکنیک های مختلف فیلترینگ میکروتیک کدام است؟ معماری شبکه point-to-point FTTH چگونه است؟ اتصال میکروتیک به IBSng فعال سازی و تنظیمات IPsec در میکروتیک آموزش تصویری بدست آوردن رنج Ip شبکه در ویندوز اتصال به میکروتیک و پیکر بندی آدرس IP راه اندازی DHCP Server در میکروتیک نصب RouterOS روی Vmware و روتربورد میکروتیک آموزش راه اندازی Tunneling بین روترهای سیسکو و میکروتیک راه اندازی سرویس SNMP در میکروتیک آموزش ارتقاء(Upgrade) سیستم عامل میکروتیک آموزش میکروتیک ( 1 ) چگونه پروتکل VRRP را روی تجهیزات میکروتیک پیکربندی کنیم؟ میکروتیک و نحوه نام گذاری آن راه اندازی سرویس SNMP در میکروتیک ‫ هک هزاران روتر میکروتیک و شنود ترافیک شبکه! آموزش میکروتیک (نصب router os) و نصب از طریق vmware توصیه های اکید میکروتیک برای حفاظت از روتربوردها در مقابل حملات سایبری مقایسه ی سوئیچ های سیسکو و میکروتیک Packet Sniffing در میکروتیک راههای عیب یابی عملکرد میکروتیک آموزش تصویری انتقال کاربران به یک آی پی خاص بر روی میکروتیک اتصال به روتر بورد جهت کانفیگ میکروتیک رادیو وایرلس میکروتیک Groove A 52hpnd گرو چیست ؟ نحوه ی نصب و پیکربندی وایرلس میکروتیک SXT ۹ راهکار برای افزایش امنیت روتر میکروتیک راهنمای تصویری اضافه کردن گیت وی به میکروتیک آموزش تصویری اتصال Usermanager به میکروتیک آموزش میکروتیک ( 2 ) چگونه میکروتیک را در حالت اکسس پوینت تنظیم نماییم؟ نحوه نصب استریسک بروی روتربرد های میکروتیک پیدا کردن مشخصه های اصلی میکروتیک مخفی کردن نمایش میکروتیک در Winbox یا میکروتیک های دیگر آموزش راه اندازی سرویس PPPOE Server میکروتیک بهمراه اکانتیک User Manager و IBSng بررسی و مقایسه رادیوهای سری LHG5 شنود ترافیک شبکه‌های ایرانی با هک روترهای میکروتیک همه چیز در مورد فایروال میکروتیک – قسمت اول چگونه دو لینک موازی را در میکروتیک با هم تجمیع کنیم مسدود کردن دانلود بر اساس پسوند فایل در میکروتیک آموزش متنی بستن ICMP در میکروتیک بهترین روش شناسایی انواع محصولات روتربورد میکروتیک معرفی میکروتیک ارتباط با FTP میکروتیک گام اول : اصول دیواره آتش ( فایروال ) میکروتیک آموزش تصویری راه اندازی فایل سرور بر روی میکروتیک اتصال شبکه به اینترنت از طریق میکروتیک راه اندازی لینک وایرلس - مقدماتی- میکروتیک ویژگی بوت دوگانه روتر و سوئیچ در میکروتیک – Mikrotik Dual Boot ارتقا دادن ( Upgrade ) سیستم عامل میکروتیک گام دوم : بررسی گزینه های دیواره آتش ( فایروال ) میکروتیک آموزش تصویری غیر فعال کردن سرویس های بدون استفاده در میکروتیک ارتقا دادن ( upgrade ) سیستم عامل میکروتیک روش های لود بالانسینگ در میکروتیک هر آنچه که بابد در باره لایسنس های میکروتیک بدانید چگونه دیتای سوئیچ مخابرات را در روتر میکروتیک خود اضافه کنیم؟ میکروتیک به عنوان فایل سرور آموزش متنی محدود کردن تعداد پینگ ها در میکروتیک پورت ناکینگ چیست و چگونه می توان آن را برروی فایروال میکروتیک راه اندازی کرد؟ معرفی و بررسی روتر میکروتیک hAP lite مدل RB941-2nD تنظیمات اولیه میکروتیک (تنظیم IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client مسدود کردن تلگرام در روتر میکروتیک آموزش کامل کانفیگ میکروتیک بررسی و مقایسه رادیوهای سری LHG5 کاربرد و کانفیگ اولیه منگل در میکروتیک همه چیز در مورد فایروال میکروتیک (قسمت دوم)
طراحی سایت : رسانه گستر © 2002 - 2025