بدافزار DNSChanger مسیریاب‌های آسیب‌پذیر را هدف قرار داده است

سری بعد وقتی در وب‌گاهی بودید و تبلیغِ محصول مورد علاقه‌ی خود را دیدید، حتی اگر وب‌گاه مورد نظر قانونی هم باشد، به هیچ‌وجه روی این تبلیغ کلیک نکنید چون این تبلیغات نه تنها دستگاه و سامانه‌ی شما را آلوده می‌کند، بلکه سایر دستگاه‌ها بر روی شیکه را نیز آلوده خواهد کرد.

چند روز پیش گزارشی مربوط به یک کیت بهره‌برداری با نام Stegano منتشر شد که کد مخرب در داخل بنر تبلیغات چرخشی در وب‌گاه‌های مختلفی مخفی شده بود. اینک محققان امنیتی کیت بهره‌برداری با نام DNSChanger را کشف کرده‌اند که از طریق تبلیغات توزیع می‌شود. کد مخرب این کیت در داخل داده‌های تصویری ذخیره شده است. آیا نام DNSChanger را بخاطر دارید؟ بله بدافزاری که در سال ۲۰۱۲ میلیون‌ها رایانه را در سرتاسر جهان آلوده کرد.

این بدافزار ورودی‌های کارگزار DNS را تغییر می‌دهد تا بجای اشاره به کارگزارهای DNS که توسط سازمان‌ها و ISP تعیین شده به کارگزارهای مخرب که تحت کنترل مهاجمان هستند، اشاره کند. بنابراین در یک سامانه‌ی آلوده وقتی کاربر در اینترنت وب‌گاه خاصی را جستجو می‌کند، کارگزار DNS مخرب او را به سمت یک وب‌گاه فیشینگ هدایت خواهد کرد. در نتیجه مهاجمان می‌توانند تبلیغاتی را نمایش دهند، نتایج جستجوها را تغییر دهند و یا اقدام به نصب بدافزار از طریق راه‌اندازی با بارگیری۱ کنند.

بخش نگران‌کننده‌ی قضیه اینجاست که مهاجمان در پویش تبلیغاتی خود دو تهدید را با هم ترکیب کرده‌اند. آن‌ها کیت بهره‌برداری DNSChanger را با روش Stegno توزیع می‌کنند و زمانی‌که وارد رایانه‌ی شما شد، بجای آلوده کردن سامانه‌ی شما، مسیریاب ناامن و آسیب‌پذیر شبکه را هدف قرار می‌دهد.

محققان امنیتی پروف‌پوینت نمونه‌ی منحصربفردِ کیت بهره‌برداری DNSChanger را بر روی ۱۶۶ مدل مسیریاب کشف کردند. این کیت منحصربفرد است چرا که بدافزار آن مرورگرها را هدف قرار نداده و مسیریاب‌ها را برای حمله انتخاب کرده است. این مسیریاب‌ها معمولاً از ثابت‌افزارهای به‌روزرسانی‌نشده استفاده کرده و با استفاده از گذرواژه‌های ضعیف حفاظت می‌شوند.

این حمله چگونه کار می‌کند؟
ابتدا در وب‌گاه مورد نظر، کد مخفی که در داخل تصاویر تبلیغات وجود دارد، کاربر را به وب‌گاه دیگری هدایت می‌کند. بر روی این وب‌گاه کیت بهره‌برداری DNSChanger میزبانی می‌شود. در ادامه نیز این کیت بهره‌برداری مسیریاب آسیب‌پذیر را هدف قرار می‌دهد.

زمانی‌که مسیریاب آلوده شد، بدافزار DNSChanger خود را طوری پیکربندی می‌کند تا از کارگزار DNS تحتِ کنترل مهاجمان استفاده کند. این موضوع باعث می‌شود تعداد زیادی از رایانه‌های سطح شبکه از کارگزارهای مخرب بازدید کنند.

این تبلیغات حاوی کد مخرب جاوا اسکریپت هستند که آدرس IP محلی کاربر را آشکار می‌کنند و یک درخواست WebRTC را به کارگزار STUN موزیلا ارسال می‌کنند. WebRTC یک پروتکل ارتباطی در سطح وب است. در ادامه کارگزار STUN پیامی حاوی آدرس IP و شماره درگاه کارخواه را برمی‌گرداند. اگر آدرس IP کاربر در بازه‌‌ی آدرس‌های IP هدف‌گذاری‌شده باشد، قربانی یک تبلیغ جعلی حاوی کد بهره‌برداری دریافت خواهد کرد. کد بهره‌برداری در فراداده‌ی تصوویر PNG ذخیره و مخفی شده است.

کد مخرب موجود در تصاویر، کاربر را به وب‌گاه دیگری هدایت خواهد کرد که در آن بدافزار DNSChanger میزبانی می‌شود. در این وب‌گاه دوم نیز کد بهره‌برداری از مسیریاب در تصویر دیگر ذخیره شده است.

فهرست مسیریاب‌هایی که تحت تأثیر قرار گرفته‌اند
در ادامه‌ی حمله، مسیریاب آلوده با اثرانگشت ۱۶۶ مدل مسیریاب آسیب‌پذیر مقایسه می‌شود تا بررسی شود که آیا مسیریاب آلوده نیز دارای آسیب‌پذیری هست یا خیر. به گزارش محققان امنیتی تعدادی از مسیریاب‌های آسیب‌پذیر عبارتند از:
• D-Link DSL-۲۷۴۰R
• NetGear WNDR۳۴۰۰v۳
• Netgear R۶۲۰۰
• COMTREND ADSL Router CT-۵۳۶۷ C۰۱_R۱۲
• Pirelli ADSL۲/۲+ Wireless Router P.DGA۴۰۰۱N

در حال حاضر مشخص نیست این پویش تبلیغاتی برای چند نفر به نمایش درآمده و چه مدت زمانی است که این پویش در حال اجرا است. اما محققان پروف‌پوینت اعلام کردند مهاجمان این پویش، قبلاً در عرض یک روز ۱ میلیون رایانه را آلوده کرده بودند. پروف‌پوینت نام هیچ شبکه‌ی تبلیغاتی یا وب‌گاهی را در این خصوص افشاء نکرده است.

به کاربران توصیه شده حتماً به‌روز بودن ثابت‌افزار مسیریاب‌ها را بررسی کرده و از گذرواژه‌های قوی استفاده کنند. برای حفاظت بیشتر نیز کاربران می‌توانند کارهای زیر را انجام دهند:
• غیرفعال کردن قابلیت‌های مدیریت از راه دور
• تغییر دادن آدرس IP محلی پیش‌فرض
• هاردکد کردن یک کارگزار DNS قابل اعتماد در تنظیمات شبکه‌ی سامانه عامل

۱. drive-by downloads

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap