روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ دستگاههایی که مرز بین اینترنت و شبکه سازمانی داخلی هستند –خصوصاً آنهایی که وظیفهشان امنیت و مدیریت ترافیک شبکه است- اغلب اولویتِ مجرمان سایبری هستند. آنها موقع ارسال حجم بالایی از ترافیک خارجی شکها را برنمی انگیزند و در عین حال به منابع سازمان و نیز بخش قابلتوجهی از ترافیک داخلی دسترسی دارند. برای همین است که دستکاری روتر به طعمه چرب و نرمی برای aptهای سرشناسی چون Slingshot، APT28 و Camaro Dragon تبدیل شده است. اما این روزها عاملین کمتر پیچیده هم میتوانند از آن استفاده کنند؛ خصوصاً اگر شرکت مورد هدف از مدلهای رده خارج روترهای کوچک/خانگی/اداری استفاده کنند که به طور غیررسمی پشتیبانی میشوند. حملات به این روترها و فایروالها معمولاً آسیبپذیریهایی را اکسپلویت میکند که صد افسوس با ترتیب و نظم ثابتی کشف میشوند.
گاهی چنین آسیبپذیریهایی بسیار جدی هستند و در عین حال برای مهاجمین ساده به نظر میرسند. تا جایی که متخصصین میمانند آیا بکدرها به طور خودخواسته در سفتافزارها قرار گرفتهاند. اما حتی اگر همه آسیبپذیریهای شناختهشده فیکس شوند، برخی خطاهای پیکربندی یا صرفاً برخی ویژگیهای غیرقابل درمان روترهای مدل پایین میتوانند به چنین آلودگی منتج شوند. آژانسهای امنیت سایبری آمریکا و ژاپن اخیراً توصیهای مفصل منتشر کردند در مورد یک حمله پیشرفته از این نوع که محوریت فعالیتهایش گروه aptBlackTech بوده است (منظور T-APT-03، Circuit Panda و Palmerworm است). این تحلیل ttp گروه را در شبکه آلوده پوشش میدهد اما تمرکز ما روی جذابترین وجه این گزارش توصیهمحور است: سفتافزار آلوده.
حمله BlackTech به لینک ضعیف در لایههای دفاعی سازمانی
حمله با هجوم به شرکت تارگت با نفوذ به یکی از شعبات منطقهایاش آغاز میشود. عاملین BlackTech تاکتیکهای سنتی را برای این امر انتخاب میکنند –از فیشینگ گرفته تا اکسپلویت آسیبپذیریها- و اینها درحالیست که هنوز حمله به روتر صورت نگرفته. آنها از این حقیقت که دفاتر شعبه اغلب از سختافزار استفاده میکنند و خطمشی امنیت اطلاعات و آیتی سفت و سختی را دنبال نمیکنند بهره میبرند. BlackTech سپس حضورش را در شبکه شعبه پررنگتر کرده و امتیازات ادمین را برای روتر و فایروال بدست میآورد. مهاجمین که حالا چنین تجهیز شدند سفتافزار را آلوده کرده و از آن بعنوان وضعیتی قابل اعتماد برای شروع حمله به مقرهای اصلی شرکت استفاده مینمایند.
ساز و کار دستکاری روتر
سفتافزار قانونی اما از رده خارج در دستگاه لود میشوند. درست بعد از ریبوت، هکرها برنامه لودشده در رم دستگاه را دستکاری کرده (با پچ نکردن) تا قابلیتهای امنیتی را که در حالت نرمال جلوی لود اجزای دستکاریشده (ROMmon) میگرفتند غیرفعال کنند. برای پیادهسازی این ترفند است که نسخه قدیمی سفتافزار باید ابتدا اجرا گردد. بعد از غیرفعال کردن ROMmon سفتافزار دستکاریشده (و در برخی موارد بوتلودر دستکاریشده دستگاه) در روتر آپلود میشود. بعد از یک ریبوت دیگر، روتر تماماً در اختیار مهاجمین قرار میگیرد. سفتافزار دستکاریشده به ترافیک داخل بسته جادویی که بکدر را بیدار میکند گوش میدهد. به محض دریافت بسته، دستگاه به مهاجمین دسترسی کامل به قابلیتهایش را میدهد؛ علیرغم اینکه این قابلیتها در فهرست Access Control نیستند. این اتصال به سشن ssh را با نام کاربری خاص اما بدون نیاز به پسورد ممکن میسازد.
چطور مهاجمین روتر را اکسپلویت میکنند؟
سفتافزار روترهای مخرب نه تنها بستر امنی را در شبکه هدف برای متجاوزان فراهم میکند، بلکه به حل طیف وسیعی از مشکلات تاکتیکی نیز کمک میکند:
- پنهان کردن تغییرات پیکربندی؛
- عدم ثبت دستورات و اقدامات مهاجم؛
- مسدود کردن اجرای برخی از دستورات قانونی در کنسول روتر، مانع از بررسی رخداد.
این گزارش بر روی سیستمافزار مخرب روترهای سیسکو در پلتفرم IOS تمرکز دارد، اما اشاره میکند که BlackTech سایر مدلهای تجهیزات شبکه را به روشی مشابه به خطر میاندازد. باید اضافه کنیم که رخدادهای قبلی دستکاری، Fortinet، SonicWall، TP-Link و Zyxel را تحتالشعاع قرار داد.
مقابله با حملات به روترها و فایروالها
واضحاً سازمان اگر از مدلهای رده خارج دستگاههای شبکهای، سفتافزار مدل پایین یا غیررسمی (این فقط مختص تجهیزات Cisco نیست) استفاده کند در خطر است. اما حتی اگر روتر جدید با سفتافزار نو هم استفاده شود باز میتواند ابزاری کارا برای مهاجم باشد پس توصیههای مختلف نویسندگان توصیهنامه ارزش این را دارد که در هر شبکهای اجرایی شوند.
- سیستمهای ادین را روی VLAN (شبکه مجازی منطقه لوکال) جداگانه بگذارید.
- همه ترافیکهای غیرقانونی دستگاههای شبکه که مقصودشان VLAN غیرادمینی است بلاک کنید.
- دسترسی به خدمات ادمین را در آدرسهای آیپی ادمینهای قانونی محدود سازید.
- به فهرستهایی که میتوانند روی همه خطوط تلهتایپ مجازی (VTY) و خدمات خاص ادمین پیادهسازی شوند دسترسی داشته باشید. برای روترهای Cisco توصیه میشود ارتباط با سیستمهای خارجی برای VTYها را با استفاده از فرمان transport output none محدود کنید.
- هر دو اقدام موفق و ناموفق به دسترسی ادمین روتر را تحت نظارت قرار دهید.
- به طور منظم گزارشهای دستگاه شبکه را برای رویدادهایی مانند راهاندازی مجدد غیرمنتظره، تغییرات نسخه سیستم عامل، تغییرات پیکربندی یا تلاشهای بهروزرسانی میانافزار بررسی کنید. برنامههای بهروزرسانی نرمافزار بخش فناوری اطلاعات را بررسی کنید تا مطمئن شوید که هر رویداد مجاز است.
- اتصالات شبکه ورودی و خروجی "عجیب" را از دستگاهها نظارت کنید. به طور معمول، دستگاههای شبکه اطلاعات مسیریابی و توپولوژی شبکه را فقط با دستگاههای نزدیک به اشتراک میگذارند و مدیریت، نظارت، احراز هویت و همگامسازی زمانی تنها با تعداد کمی از رایانههای اداری انجام میشود.
- همه پسوردها و کلیدهایی که ذرهای مشکوک هستند تغییر دهید.
- سختافزار را آپگرید کنید. شاید این از همه توصیههای دیگر سختتر و مأیوسکنندهتر باشد.
- به سازمانهایی که از مدلهای رده پایین استفاده میکنند و فناوریهای بوت امن را پشتیبانی نمیدهند توصیه میشود برای آپگرید سختافزار در کوتاهترین زمان ممکنه برنامه طرح کرده و بودجه تخصیص دهند.
- موقع انتخاب تجهیزات جدید، باید اولویت با فروشندگانی باشد که متودولوژیهای امن را پیادهسازی کرده و رویکردشان «امنیت در همان لحظه طراحی» است.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
