افزایش دستگاه‌های آلوده به استخراج ارز دیجیتال در ایران

مرکز ماهر آمار جدیدی از آلودگی روترهای میکروتیک به استخراج رمز و همچنین راه‌هایی برای پاک‌سازی روترهای آلوده منتشر کرده است.

مدتی پیش مرکز ماهر گزارشی را منتشر کرده و تهران در آن، یکی از آلوده‌ترین شهرها به بدافزار استخراج ارز معرفی شده بود. گزارش جدید منتشرشده از سوی این مرکز نشان می‌دهد سوءاستفاده‌ی مهاجمین از روترهای میکروتیک ادامه دارد.


به گزارش مرکز ماهر، تجهیزات ارتباطی شرکت میکروتیک، به‌خصوص روترهای تولیدشده توسط این شرکت در حجم بالا در ایران و معمولا در شبکه‌های کوچک و متوسط مورد استفاده قرار می‌گیرد. از ابتدای سال چندین مورد آسیب‌پذیری حیاتی در مورد این تجهیزات شناسایی و منتشر شده است. آسیب‌پذیری‌ها به اندازه‌ای جدی است که امکان دسترسی کامل مهاجم به تجهیزات، شناسایی رمز عبور و دسترسی به محتوای ترافیک عبوری از روتر را فراهم می‌کند.

دسترسی به ترافیک عبوری، مخاطرات جدی در پی دارد و امکان شنود و بررسی ترافیک شبکه‌ی قربانی را روی پروتکل‌های FTP ،SMTP ،HTTP ،SMB و… فراهم می‌کند که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان جمع‌آوری تمامی رمزهای عبور که به‌صورت متن آشکار در حال تبادل در شبکه‌ی قربانی است را به‌دست می‌آورد.

آمار منتشرشده از سوی مرکز ماهر نشان می‌دهد در تاریخ ۱۰ مرداد ۱۳۹۷ تعداد دستگاه‌های فعال میکروتیک ۶۹،۸۰۵ عدد بوده است؛ تعداد دستگاه‌های آلوده در تاریخ ۱۴ مرداد ۱۳۹۷ به ۱۶/۱۱۴ عدد رسیده که تمامی ‌آن‌ها در معرض نفوذ قرار داشتند. مرکز ماهر با اطلاع‌رسانی مکرر و تأکید درباره‌ی ضرورت بروزرسانی و اقدامات لازم مانند قطع ارتباط از خارج کشور به دستگاه­‌های داخل کشور شامل پورت ۸۲۹۱ (winbox) توانسته است تا حدی مانع افزایش تعداد قربانیان شود.

با این وجود به‌دلیل عدم همکاری استفاده‌کنندگان از این تجهیزات به‌ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره‌بردار بخش عمده‌ی این تجهیزات هستند، تعداد زیادی از روترهای فعال در کشو بروزرسانی نشده‌اند و همچنان آسیب‌پذیر هستند. همچنین بررسی دقیق‌تر این تجهیزات نشان داده است که هر کدام به دفعات مورد نفوذ مهاجمین قرار گرفته‌اند.

در حملات اخیر که CryptoJacking نام دارد، مهاجمین به تجهیزات آسیب‌پذیر میکروتیک کدهای ارزکاوی تزریق کرده و با سوءاستفاده از ظرفیت پردازشی کاربران عبورکننده از این روترها هنگام مرور وب، بهره‌برداری می‌کنند.

به گزارش مرکز ماهر بیش از ۱۷/۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است و ایران پس از کشورهای برزیل، هند و اندونزی در رتبه‌ی چهارم روترهای آلوده به استخراج رمز ارز قرار دارد. بررسی کارشناسان مرکز ماهر نشان می‌دهد منشأ حملات به این تعداد دستگاه حداکثر از سوی ۲۴ مهاجم صورت گرفته است. نکته‌ی قابل توجه این است که تعدادی از قربانیان نفوذ پیشین و سرقت رمز عبور و اخذ دسترسی بعد از به‌روزرسانی firmware هنوز هم تحت کنترل مهاجمین هستند.

شرکت‌های بزرگ و کوچک ارائه‌ی خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

دستورالعمل پاک‌سازی دستگاه‌های آلوده

برای اطمینان از رفع آلودگی احتمالی و جلوگیری از حملات مجدد، بهتر است مراحل زیر انجام شود:

۱- قطع ارتباط روتر از شبکه

۲- بازگردانی به تنظیمات کارخانه‌ای (Factory reset)

۳- بروزرسانی firmware به آخرین نسخه‌ی منتشرشده توسط شرکت میکروتیک

۴- تنظیم مجدد روتر

۵- غیرفعال کردن دسترسی به پورت‌های مدیریتی (web ،winbox ،SSH ،telnet) از خارج شبکه. دسترسی مدیریتی باید از شبکه‌ی داخلی صورت بگیرد و در صورت لزوم برقراری از خارج از شبکه باید از طریق ارتباط VPN انجام شود.

۶- تغییر رمز عبور در روتر و سایر سیستم‌های تحت کنترل به‌دلیل احتمال بالای نشت آن

مراحل ذکرشده از سوی مرکز ماهر توصیه شده‌اند اما چنانچه راه‌اندازی و تنظیم به این روش امکان‌پذیر نباشد، می‌توان این کار را از طریق مراحل زیر انجام داد:

۱- اعمال آخرین بروزرسانی دستگاه‌های میکروتیک

۲- بررسی گروه‌های کاربری و حساب‌های دسترسی

۳- تغییر رمز عبور حساب‌های موجود و حذف نام‌های کاربری اضافی و بدون کاربرد

۴- بررسی فایل‌های webproxy/error.html و flash/webproxy/error.html

  • حذف اسکریپت ارزکاوی (coinhive) از فایل
  • حذف هرگونه تگ اسکریپت اضافه فراخوانی‌شده در این فایل‌ها

۵- حذف تمامی Scheduler Task های مشکوک

۶- حذف تمامی اسکریپت‌های مشکوک در مسیر System/Script

۷- حذف تمامی فایل‌های مشکوک در مسیر فایل سیستم و پوشه‌های موجود

۸- بررسی تنظیمات بخش فایروال و حذف Rule های اضافی و مشکوک

۹- اضافه کردن Rule هایی برای اعمال محدودیت دسترسی از شبکه‌های غیرمجاز

۱۰- بررسی جدول NAT و حذف قوانین اضافی و مشکوک

۱۱- غیرفعال کردن دسترسی Web و Telnet

۱۲- محدود کردن دسترسی‌های مجاز به Winbox

۱۳- غیرفعال کردن دسترسی به پورت‌های مدیریتی از خارج شبکه‌ی داخلی

۱۴- بررسی تنظیمات بخش Sniffer و غیرفعال کردن Capture و Streaming در صورت عدم استفاده

۱۵- غیرفعال کردن تنظیمات web proxy در صورت عدم استفاده

۱۶- غیرفعال کردن تنظیمات Socks در صورت عدم استفاده

مرکز ماهر اعلام کرده است فهرست تجهیزات آلوده‌ی شناسایی‌شده به تفکیک شرکت و سازمان مالک به سازمان تنظیم مقررات رادیویی ارسال شده و در صورت عدم اقدام این شرکت‌ها نسبت به پاک‌سازی و رفع آسیب‌پذیری، راهکارهای قانونی از سوی این سازمان اجرا خواهد شد.

نویسنده مقاله : منبع مقاله :
  • 24 فروردین 1398
  • سعید نوروزی
  • 228
مطالب مرتبط :
پیدا کردن مشخصه های اصلی میکروتیک میکروتیک به عنوان فایل سرور اتصال به روتر بورد جهت کانفیگ میکروتیک شنود ترافیک شبکه‌های ایرانی با هک روترهای میکروتیک نحوه نصب استریسک بروی روتربرد های میکروتیک چگونه دیتای سوئیچ مخابرات را در روتر میکروتیک خود اضافه کنیم؟ آموزش تصویری اتصال Usermanager به میکروتیک ارتقا دادن ( upgrade ) سیستم عامل میکروتیک ویژگی بوت دوگانه روتر و سوئیچ در میکروتیک – Mikrotik Dual Boot راه اندازی Cache در میکروتیک آموزش تصویری انتقال کاربران به یک آی پی خاص بر روی میکروتیک بررسی و مقایسه رادیوهای سری LHG5 هر آنچه که بابد در باره لایسنس های میکروتیک بدانید راه اندازی سرویس SNMP در میکروتیک آموزش تصویری بدست آوردن رنج Ip شبکه در ویندوز بررسی و مقایسه رادیوهای سری LHG5 همه چیز در مورد فایروال میکروتیک – قسمت اول راه اندازی سرویس SNMP در میکروتیک آموزش تصویری راه اندازی فایل سرور بر روی میکروتیک بهترین روش شناسایی انواع محصولات روتربورد میکروتیک همه چیز در مورد فایروال میکروتیک (قسمت دوم) تنظیمات اولیه میکروتیک (تنظیم IP address , DNS , Default Gateway , Time & Date , PPPoE Client , DHCP Client ‫ هک هزاران روتر میکروتیک و شنود ترافیک شبکه! اتصال به میکروتیک و پیکر بندی آدرس IP کاربرد و کانفیگ اولیه منگل در میکروتیک نحوه ی نصب و پیکربندی وایرلس میکروتیک SXT ۹ راهکار برای افزایش امنیت روتر میکروتیک گام دوم : بررسی گزینه های دیواره آتش ( فایروال ) میکروتیک آموزش متنی محدود کردن تعداد پینگ ها در میکروتیک چگونه میکروتیک را در حالت اکسس پوینت تنظیم نماییم؟ معرفی میکروتیک راههای عیب یابی عملکرد میکروتیک آموزش راه اندازی سرویس PPPOE Server میکروتیک بهمراه اکانتیک User Manager و IBSng تکنیک های مختلف فیلترینگ میکروتیک کدام است؟ ارتباط با FTP میکروتیک مسدود کردن دانلود بر اساس پسوند فایل در میکروتیک آموزش میکروتیک ( 1 ) راه اندازی لینک وایرلس - مقدماتی- میکروتیک مقایسه ی سوئیچ های سیسکو و میکروتیک آموزش راه اندازی Tunneling بین روترهای سیسکو و میکروتیک گام اول : اصول دیواره آتش ( فایروال ) میکروتیک آموزش متنی بستن ICMP در میکروتیک چگونه پروتکل VRRP را روی تجهیزات میکروتیک پیکربندی کنیم؟ ارتقا دادن ( Upgrade ) سیستم عامل میکروتیک میکروتیک به عنوان فایل سرور آموزش میکروتیک ( 2 ) روش های لود بالانسینگ در میکروتیک میکروتیک و نحوه نام گذاری آن اتصال میکروتیک به IBSng مسدود کردن تلگرام در روتر میکروتیک آموزش میکروتیک (نصب router os) و نصب از طریق vmware راه اندازی DHCP Server در میکروتیک معماری شبکه point-to-point FTTH چگونه است؟ چگونه دو لینک موازی را در میکروتیک با هم تجمیع کنیم آموزش ارتقاء(Upgrade) سیستم عامل میکروتیک اتصال شبکه به اینترنت از طریق میکروتیک نصب RouterOS روی Vmware و روتربورد میکروتیک Packet Sniffing در میکروتیک مخفی کردن نمایش میکروتیک در Winbox یا میکروتیک های دیگر آموزش مسدود کردن دسترسی به اینستاگرام توسط فایروال میکروتیک رادیو وایرلس میکروتیک Groove A 52hpnd گرو چیست ؟ معرفی و بررسی روتر میکروتیک hAP lite مدل RB941-2nD فعال سازی و تنظیمات IPsec در میکروتیک آموزش کامل کانفیگ میکروتیک توصیه های اکید میکروتیک برای حفاظت از روتربوردها در مقابل حملات سایبری راهنمای تصویری اضافه کردن گیت وی به میکروتیک آموزش تصویری غیر فعال کردن سرویس های بدون استفاده در میکروتیک پورت ناکینگ چیست و چگونه می توان آن را برروی فایروال میکروتیک راه اندازی کرد؟
طراحی سایت : رسانه گستر © 2002 - 2020