Trickbot بدافزاری از نوع اسب تروا یا همان تروجان است که از زمان پیدایش نخستین نسخه آن در پاییز 1395 بهطور مستمر در حال تکامل بوده است. علیرغم تلاشهای جمعی شرکتهایی همچون Microsoft و چندین شرکت و سازمان امنیتی برای فروپاشی زیرساخت شبکهای و ارتباطی آن، Trickbot همچنان در حال جولان دادن است.
بدافزاری جانسخت
این بدافزار که در ابتدا در نقش یک تروجان بانکی ظهور کرده بود خیلی زود با یک طراحی ماژولار حرفهای مجهز به انواع قابلیتهای مخرب دیگر شد؛ به نحوی که گردانندگان باجافزارهای Ryuk و Conti در قالب خدمات Access-as-a-Service از Trickbot برای توزیع و انتشار این باجافزارها در شبکههای آلوده به آن بهره بردند.
Trickbot معمولا از طریق ایمیلهای ماحیگیری (فیشینگ) منتشر میشود.
از دلایل جانسختی و ماندگاری بالای تریکبات میتوان به سازوکارهای دائما در حال تغییر ارتباطی آن با سروهای فرماندهی و کنترل (C2)، بکارگیری روشهای پیشرفته برای مخفی ساختن خود از دید محصولات ضدویروس و فایروال و دشوار کردن مهندسی معکوس کدهای آن نام برد.
برای مثال، گردانندگان Trickbot، حداقل از سال 1397 با نفوذ به روترهای آسیبپذیر MikroTik از آنها بهعنوان پراکسی ارتباطی دستگاههای آلوده با سرورهای فرماندهی و کنترل خود استفاده میکنند تا از این طریق ردیابی و شناسایی این سرورها توسط سامانههای امنیتی دشوار شود.
تسخیر میکروتیک
بر اساس گزارشی که مایکروسافت به تازگی آن را منتشر کرده گردانندگان Trickbot از روشهای زیر برای هک روترهای میکروتیک بهره میگیرند:
- امتحان کردن گذرواژههای پیشفرض میکروتیک؛
- امتحان کردن گذرواژههایی که ظاهرا مهاجمان در جریان حملاتی دیگر به آنها دست پیدا کردهاند؛
- اجرای حمله بروتفورس؛
- اکسپلویت کردن ضعف امنیتی CVE-2018-14847 که نسخ پیش از 6.42 روترهای میکروتیک در برابر آن آسیبپذیرند؛ CVE-2018-14847 مهاجم را قادر به خواندن فایلهای حساسی همچون user.dat که حاوی پسورد نامهای کاربری است میکند.
در صورت موفقیت مهاجمان در نفوذ به MikroTik، در ادامه اقدامات زیر بر روی روتر هک شده انجام میشود:
- قاعدهای مشابه با یک IPTable ایجاد میشود؛
- قاعده مذکور، ترافیک را از روی پورت 449 دریافت و بر روی پورت 80 آن را به یک سرور هدایت میکند.
بدینترتیب دستگاه آلوده به Trickbot بجای اتصال مستقیم به سرور C2، از طریق پورت 449 به روتر هکشدهای که تحت کنترل مهاجمان است متصل شده و روتر در نقش پراکسی، ترافیک را بر روی پورت 80 به سرور C2 هدایت میکند.
مقابله
تریکبات تنها تهدید سایبری نیست که از تجهیزات میکروتیک سوءاستفاده میکند. مرکز امداد و هماهنگی عملیات رایانهای کشور (ماهر) نیز بارها در خصوص بهرهجویی مهاجمان مختلف از روترهای ساخت این شرکت هشدار صادر کرده است.
توجه به نکات زیر به تمامی راهبران MikroTik توصیه میشود:
- تغییر گذرواژه پیشفرض به گذرواژهای پیچیده؛
- مسدودسازی دسترسی به پورت 8291 از خارج از شبکه؛
- تغییر پورت SSH از 22 به عددی دیگر؛
- اطمینان از بهروز بودن فرمور و اعمال آخرین بهروزرسانیهای امنیتی؛
- پرهیز از در دسترس قرار دادن روتر بر روی اینترنت؛ در صورت لزوم به دسترسی ریموت به روتر از پودمانهایی همچون VPN استفاده شود.
همچنین Microsoft ابزاری را بر روی گیتهاب به اشتراک گذاشته که هک شدن روترهای MikroTik توسط مهاجمان Trickbot را بررسی میکند. ابزار مذکور در اینجا قابل دسترس است.