ابزاری برای شناسایی روترهای هک‌شده MikroTik

Trickbot بدافزاری از نوع اسب تروا یا همان تروجان است که از زمان پیدایش نخستین نسخه آن در پاییز 1395 به‌طور مستمر در حال تکامل بوده است. علیرغم تلاش‌های جمعی شرکت‌هایی همچون Microsoft و چندین شرکت و سازمان امنیتی برای فروپاشی زیرساخت شبکه‌ای و ارتباطی آن، Trickbot همچنان در حال جولان دادن است.

بدافزاری جان‌سخت

این بدافزار که در ابتدا در نقش یک تروجان بانکی ظهور کرده بود خیلی زود با یک طراحی ماژولار حرفه‌ای مجهز به انواع قابلیت‌های مخرب دیگر شد؛ به نحوی که گردانندگان باج‌افزارهای Ryuk و Conti در قالب خدمات Access-as-a-Service از Trickbot برای توزیع و انتشار این باج‌افزارها در شبکه‌های آلوده به آن بهره بردند.

Trickbot معمولا از طریق ایمیل‌های ماحیگیری (فیشینگ) منتشر می‌شود.

از دلایل جان‌سختی و ماندگاری بالای تریک‌بات می‌توان به سازوکارهای دائما در حال تغییر ارتباطی آن با سروهای فرماندهی و کنترل (C2)، بکارگیری روش‌های پیشرفته برای مخفی ساختن خود از دید محصولات ضدویروس و فایروال و دشوار کردن مهندسی معکوس کدهای آن نام برد.

برای مثال، گردانندگان Trickbot، حداقل از سال 1397 با نفوذ به روترهای آسیب‌پذیر MikroTik از آنها به‌عنوان پراکسی ارتباطی دستگاه‌های آلوده با سرورهای فرماندهی و کنترل خود استفاده می‌کنند تا از این طریق ردیابی و شناسایی این سرورها توسط سامانه‌های امنیتی دشوار شود.

تسخیر میکروتیک

بر اساس گزارشی که مایکروسافت به تازگی آن را منتشر کرده گردانندگان Trickbot از روش‌های زیر برای هک روترهای میکروتیک بهره می‌گیرند:

• امتحان کردن گذرواژه‌های پیش‌فرض میکروتیک؛
• امتحان کردن گذرواژه‌هایی که ظاهرا مهاجمان در جریان حملاتی دیگر به آنها دست پیدا کرده‌اند؛
• اجرای حمله بروت‌فورس؛
• اکسپلویت کردن ضعف امنیتی CVE-2018-14847 که نسخ پیش از 6.42 روترهای میکروتیک در برابر آن آسیب‌پذیرند؛ CVE-2018-14847 مهاجم را قادر به خواندن فایل‌های حساسی همچون user.dat که حاوی پسورد نام‌های کاربری است می‌کند.

در صورت موفقیت مهاجمان در نفوذ به MikroTik، در ادامه اقدامات زیر بر روی روتر هک شده انجام می‌شود:

• قاعده‌ای مشابه با یک IPTable ایجاد می‌شود؛
• قاعده مذکور، ترافیک را از روی پورت 449 دریافت و بر روی پورت 80 آن را به یک سرور هدایت می‌کند.

بدین‌ترتیب دستگاه آلوده به Trickbot بجای اتصال مستقیم به سرور C2، از طریق پورت 449 به روتر هک‌شده‌ای که تحت کنترل مهاجمان است متصل شده و روتر در نقش پراکسی، ترافیک را بر روی پورت 80 به سرور C2 هدایت می‌کند.

مقابله

تریک‌بات تنها تهدید سایبری نیست که از تجهیزات میکروتیک سوءاستفاده می‌کند. مرکز امداد و هماهنگی عملیات رایانه‌ای کشور (ماهر) نیز بارها در خصوص بهره‌جویی مهاجمان مختلف از روترهای ساخت این شرکت هشدار صادر کرده است.

توجه به نکات زیر به تمامی راهبران MikroTik توصیه می‌شود:

• تغییر گذرواژه پیش‌فرض به گذرواژه‌ای پیچیده؛
• مسدودسازی دسترسی به پورت 8291 از خارج از شبکه؛
• تغییر پورت SSH از 22 به عددی دیگر؛
• اطمینان از به‌روز بودن فرم‌ور و اعمال آخرین به‌روزرسانی‌های امنیتی؛
• پرهیز از در دسترس قرار دادن روتر بر روی اینترنت؛ در صورت لزوم به دسترسی ریموت به روتر از پودمان‌هایی همچون VPN استفاده شود.

همچنین Microsoft ابزاری را بر روی گیت‌هاب به اشتراک گذاشته که هک شدن روترهای MikroTik توسط مهاجمان Trickbot را بررسی می‌کند. ابزار مذکور در اینجا قابل دسترس است.