شنود در شبکه برای نفوذ به مسیریاب میکروتیک

روش های استراق سمع (شنود اطلاعات)

روش های استراق سمع (شنود)

 

از آغاز عصر دیجیتال ، در دنیای امنیت واژه شنود (استراق سمع) ازاهمیت بالایی برخوردار بوده است . مرکز مدیریت امداد و رخدادهای رایانه ای کشور به حملات گسترده ای به سمت روتر های میکروتیک که در زمینه شناسایی نفوذ به حدود دویست هزار روتر میکروتیک بوده که نمونه هایی از آن توسط کارشناسان کشف و به سازمان مربوطه اطلاع رسانی شد است .
اکنون شرکت امنیتی Qihoo 360 از کشف آسیب پذیری بر روی سیستم Honey Pot تعداد ۳۷۰٫۰۰۰ مسیریاب میکروتیک و کشف ۷۵۰۰ دستگاه که جهت شنود ترافیک شبکه و انجام اعمال مخرب با استفاده از قابلیت Socks4 که یک پراکسی محسوب می شود توسط یک شخص ثالث مخرب به طور فعال در ترافیک شبکه مورد هدف شنود قرار گرفته کشف کرده است .
هدف از فعال نمودن پراکسیSocks4 دریافت مجوز شنود بر روی ترافیک شبکه ، اجرای کنترل و هدایت هزاران آدرس IP است . طبق بررسی ها صورت گرفته مشخص شده است IP Address ، “۳۷٫۱٫۲۰۷٫۱۱۴ ” که مهاجمان بیشتر با ارسال دوره ای IP Address بر روی مسیریاب ها (Routers) سعی داشته‌اند تا استخراج اسکریپت‌های رمز را بر روی دستگاه‌های متصل به مسیریاب های مورد نظر به اجرا در آورند . در صدر انتقال قرار دارد . مهاجمان پورت های ۱۱۰،۲۵،۲۱،۲۰ و ۱۴۴ که به ترتیب مربوط به FTP-data، FTP، SMTP، POP3و IMAP هستند را در نظر دارند و جهت دسترسی به حملات سایبری به دستگاه ، شناسه CVE-2018-14847 مورد استفاده قرار میگیرد .
Winbox برای کاربران ویندوز به‌راحتی پیمایش روترهایی را انجام می‌دهد که فایل‌های DLL را از روتر دانلود می‌کنند و آن‌ها را بر روی یک سیستم اجرا می‌کند.

روش های شنود اطلاعات :

مکالمات دیجیتالی

مهاجمان از روشهای نوین دیگری مانند شنود مکالمات دیجیتالی ، برقرای تماس های صوتی که از ارتباط مبتنی بر IP است به فایل های صوتی تبدیل و با کمک پروتکل های آنلایزر شنود را انجام میدهند

Data Sniffing

روش شنود دیگر، اسنیف کردن اطلاعات است. پیاده سازی این روش عملکرد بهتر بر روی شبکه‌های محلی‌ای که از دستگاه HUB استفاده می‌کنند، دارد. و همه ارتباطات درون شبکه‌ای به تمام پورت‌های شبکه فرستاده می‌شوند . Sniffing به دلیل ارسال اطلاعات به تمام پورت های درون شبکه داده های ورودی را که به صورت bit است قبول میکند . مهاجم به ترافیک داده های شبکه گوش می دهد و بسته های داده را با استفاده از ابزارهای Sniffing بسته ها را ضبط می کند . این نوع حملات به عنوان man-in-the–middle شناخته می شوند .

Spoofing Attack

Spoofing یا حمله جعل یک حمله سایبری شناخته شده است که در آن فرد مهاجم اعتبار یک کاربر را به عنوان یک منبع مورد اعتماد قصد دسترسی به اطلاعات و داده های مهم را دارد که می تواند از طریق وب سایت ها، ایمیل ها، تماس های تلفنی، پیام ها، آدرس های IP و سرورها اتفاق بیفتد.

شنود دیجیتال

یکی دیگر از روش های شنود مهاجمان ، مکالمات تلفنی اشخاص می باشد . عمل ساده استراق‌سمع صحبت دو نفر در دنیای واقعی با استفاده از میکروفن و دستگاه‌های ضبط نیز می‌تواند منجر به دریافت اطلاعات شخصی شود .
متخصصان امنیتی سایبری پیوسته در تلاش برای تامین امنیت مکالمات آنلاین هستند که تا امنیت تامین شود .

مهاجمان به‌منظور دسترسی به روترها از دو نرم افزار ، یکی مربوط به Winbox و دیگری مربوط به Webfig استفاده می کنند .

Winbox به عنوان سرویس مدیریت از راه دور محسوب می شوند که امکان پیکربندی تجهیزات میکروتیک بر روی دستگاه‌های با سیستم عامل Windows فراهم می‌کند .و در مقابل این نرم افزار Webfig ابزاری تحت وب است که عملکر هر دو آنها تا حدودی مشابه هستند . هر دو این نرم افزار به عنوان اجزای مدیریتی در RouterOs محسوب می شود . این ابزار ها از درگاه های TCP/8291و TCP/80 و TCP/8080 استفاده می‌کنند .

میکروتیک جهت بر طرف نمودن آسیب پذیری های با شناسه CVE-2018-14847 نموده است ، اما همچنان ۳۷۰ هزار روتر میکروتیک آسیب‌پذیر در سطح اینترنت فعال می باشند . مهاجمان با فعال‌سازی پراکسی Socks4 بر روی درگاه TCP/4153 با ارسال IP مسیر یاب ،ترافیک تبادل شده که به IP مشخص تحت کنترل آن است را ارسال می کند و حتی اگر IP دستگاه تغییر کند هم مورد کنترل قرار میگیرد .
این آسیب پذیری از مولفه WinBox مسیریاب های میکروتیک است و توسط Chimay Red مورد سوءاستفاده قرار گرفته که مجوز احراز هویت یک مهاجم را میدهد و میتوان فایل های مورد نظر را شنود کند .آسیب پذیری دیگری از نوع اجرای کد از راه دور (RCE) بر روی مولفه Webfig میکروتیک نیز وجود دارد که کشف شده است.

محققان امنیتی Qihoo 360 Netlab بدافزاری را کشف کرده‌اند که با بهره برداری از آسیب‌پذیری های موجود فعالیت‌های مخربی مانند ارسال کد کاوشگر CoinHive، فعال‌سازی پراکسی Socks4 به‌صورت مخفیانه برروی مسیریاب ها می تواند انجام دهند . مهاجم با اجرای پراکسی،درخواست‌های پراکسی مسیریاب را برروی یک صفحه خطا HTTP 403 هدایت می‌کند که در این صفحه یک لینک برای جستجو از طریق CoinHive ارسال می‌شود.از این طریق یک لینک را از سمت web mining code وارد میکند . با انجام مراحل گفته شده web mining مهاجم انتظار دارد تا بر روی ترافیک های پروکسی می توان مراحل را اجرا کند . در صورتی که minig code به این صورت اجرا نمیشود و تمام منابع خارجی وب، ازجمله coinhive.com برای web mining ، توسط ACL های پروکسی که توسط خودشان تعیین‌شده‌اند، مسدود می‌شوند .

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *