تجزیه و تحلیل ابزارهای استفاده‌شده در پویش‌های سرقت مسیریاب GhostDNS

کد منبع کیت بهره‌برداری GhostDNS توسط پژوهش‌گران کشف و تجزیه و تحلیل شد. از GhostDNS برای سرقت طیف وسیعی از مسیریاب‌ها برای تسهیل فیشینگ گواهی‌نامه‌های بانکی استفاده می‌شود، مسیریاب‌های هدف عمدتاً در امریکای لاتین قرار دارند.

پژوهش‌گران آواست به کد منبع استفاده‌شده در یک پویش GhostDNS دست یافتند. آنتی‌ویروس آواست شامل یک Web Shield برای محافظت از کاربران در برابر محتوای وب مخرب است. یکی از کاربران آن تلاش کرده بود تا یک آرشیو RAR را با محتوای مخرب بارگذاری کند. او فراموش کرده بود که Web Shield و گذرواژه‌ی محافظ RAR را غیرفعال کند. Web Shield آن را مخرب تشخیص داد و به‌طور خودکار محتوا را تجزیه و تحلیل کرد و آن را به‌عنوان یک کیت بهره‌برداری پرچم‌گذاری کرد.

گروه اطلاعات تهدید آواست گزارش می‌دهد که فایل پیوندشده را بارگیری کرده‌اند و کد منبع کامل کیت بهره‌برداری GhostDNS را یافته‌اند. آرشیو RAR با نام KL DNS.rar هدف آن را نشان می‌دهد؛ DNS hijack کاربران را به یک صفحه‌ی فیشینگ هدایت می‌کند که در آن از یک keylogger برای استخراج گواهی‌نامه‌های کاربر یا اطلاعات کارت بانکی استفاده می‌شود.

این آرشیو همه‌ی موارد لازم برای یک پویش DNS hijack، چه از داخل شبکه و چه از اینترنت را شامل می‌شود. حملات داخلی اغلب از طریق تبلیغ‌افزار انجام می‌شوند. تبلیغ‌افزارها به EK اجازه می‌دهند تا حمله به مسیریاب را به‌طور مستقیم از یک رایانه‌ای که از آن مسیریاب استفاده می‌کند، انجام دهد. حملات خارج از اینترنت قبل از انجام حمله به اسکن و یافتن مسیریاب‌های آسیب‌پذیر نیاز دارند. هر چیزی که برای هر دو نوع حمله موردنیاز است، در آرشیو RAR وجود دارد.

بسیاری از پویش‌های GhostDNS مسیریاب‌های مستقر در امریکای لاتین به‌خصوص برزیل را هدف قرار می‌دهند. براساس اطلاعات به دست آمده، ۷۶ درصد از مسیریاب‌های مستقر در برزیل گواهی‌نامه‌های پیش‌فرض یا ضعیفی دارند و این منطقه را به یک هدف سودآور تبدیل می‌کنند.

برای حملاتی که از طریق اینترنت انجام می‌شوند این آرشیو شامل BRUT است که یک اسکنر اینترنت رایگان است که مسیریاب‌هایی با یک آدرس IP عمومی را یافته و به آن‌ها حمله می‌کند و یک درگاه HTTP باز می‌کند. آواست دو نسخه از BRUT را یافته است. یک نسخه تعداد کمی از دستگاه‌ها و درگاه‌ها را با یک فهرست طولانی از گذرواژه‌های پیش‌فرض و معمولی قابل استفاده هدف قرار می‌دهد، درحالی‌که دیگری تعداد زیادی از دستگاه‌ها را با تعداد اندکی از گواهی‌نامه‌های احتمالی هدف قرار می‌دهد. به نظر می‌رسد که دومی نسخه‌ی جدیدتر باشد.

پژوهش‌گران تصور می‌کنند که این ممکن است به این دلیل باشد که بسیاری از کاربران هرگز گواهی‌نامه‌های پیش‌فرض را در مسیریاب‌های SOHO خود تغییر نمی‌دهند و درنتیجه استفاده از تعداد اندکی از گواهی‌نامه‌ها برای انجام حمله می‌تواند به اندازه‌ی کافی مؤثر باشد. گواهی‌نامه‌های کمتر در برابر مدل‌های مسیریاب بیشتر ممکن است مؤثرتر از گواهی‌نامه‌های بیشتر در برابر تعداد محدودی از مسیریاب‌های مختلف باشد.

هر دو مجموعه‌ی گواهی‌نامه‌ها شامل گذرواژه‌ی deadcorp2017 هستند که توسط GhostDNS به‌عنوان یک گذرواژه‌ی جدید در مسیریاب‌های آلوده استفاده می‌شوند. این به این معنا است که پویش‌های جدید می‌توانند به مسیریاب‌هایی که آلوده شده‌اند دسترسی یابند حتی درصورتی‌که گذرواژه‌ی اصلی در پویش فعلی نباشد.

روش اصلی حمله استفاده از درخواست‌های جعل درخواست بین وب‌گاهی (CSRF) برای تغییر تنظیمات DNS در مسیریاب است. این فرآیند یک سرور rogue DNS ایجاد می‌کند که توسط مهاجم برای هر پویش GhostDNS مشخص می‌شود. سه نوع تنظیمات DNS مخرب متفاوت در کد کشف‌شده توسط آواست وجود دارد که هیچ یک از آن‌ها درحال‌حاضر عملیاتی نیستند.

پس از تغییر تنظیمات DNS، می‌توان کاربران را به‌طور مخفیانه به صفحات از پیش ساخته‌شده‌ی pharming هدایت کرد. فایل RAR کشف‌شده توسط آواست نیز شامل کد منبع چند صفحه ازجمله صفحات بزرگ‌ترین بانک‌های برزیل است. این کد منبع نشان می‌دهد که سایر دامنه‌ها آماده به کار هستند، اما صفحات وب فیشینگ پیاده‌سازی نشده‌اند.

حمله‌ی داخلی به یک پویش تبلیغ‌افزاری مرتبط می‌شود که کاملاً متفاوت عمل می‌کند. EK مسیریاب‌هایی با یک درگاه باز را جستجو می‌کند و یک iframe با رمزنگاری BASE64 تولید می‌کند. این iframe یک صفحه وب ساده با یک تابع را نشان می‌دهد که درخواست‌های HTTP را به درخواست‌های WebSocket تغییر می‌دهد. این درخواست‌ها تنظیمات DNS را به آدرس‌های IP مخرب از پیش تعریف‌شده تغییر می‌دهد. تنها ۸ جفت نام کاربری و گذرواژه در این حمله یافت می‌شود، اما شامل پر استفاده‌ترین اطلاعات ورود پیش‌فرض مسیریاب در برزیل هستند.

هنگامی که قربانی با موفقیت به یک صفحه‌ی pharming مخرب هدایت شد، یک keylogger اطلاعات ورود و اطلاعات کارت بانکی را به سرقت می‌برد و آن‌ها را به مهاجم ارسال می‌کند.

منبع

پست‌های مشابه

Leave a Comment

7 + 14 =