IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

DNS

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

آلودگی بیش از 100 میلیون دستگاه اینترنت اشیاء با آسیب پذیری NAME:WRECK

takian.ir iot security

محققان امنیتی 9 آسیب پذیری را شناسایی کرده اند  که با استفاده از چهار استک TCP/IP بیش از 100 میلیون دستگاه که توسط مصرف کنندگان شخصی و یا سازمانی استفاده میشوند، را تحت تأثیر قرار می دهد که این آسیب پذیری می تواند توسط مهاجم برای کنترل سیستم آسیب پذیر مورد سوءاستفاده قرار بگیرد.

به نقل از هکر نیوز، این نقصی که توسط فاراسکات و JSOF با عنوان "NAMED:WRECK" نام برده شده است، در ادامه آخرین سری تحقیقاتی است که به عنوان بخشی ابتکاری به نام Project Memoria برای بررسی امنیت استک های TCP/IP پرکاربرد که توسط تامین کنندگان مختلف جهت ارائه امکانات اتصال به اینترنت و شبکه در سیستم عاملها گنجانده شده، انجام پذیرفته است.

محققان گفته اند: "این آسیب پذیری ها مربوط به پیاده سازی DNS است که باعث DoS یا Denial of Service و یا اجرای کد از راه دور (RCE) می شود و به مهاجمین اجازه می دهد دستگاه های هدف را بصورت آفلاین یا کنترل از راه دور کنترل کنند".

این نام از این واقعیت ناشی می شود که تجزیه نام دامنه ها می تواند پیاده سازی DNS را در استک های TCP/IP بشکند (یعنی "خراب (wreck)" کند) و با اضافه کردن آسیب پذیری های اخیر مانند SigRed ، SAD DNS و DNSpooq از دفترچه تلفن اینترنتی به عنوان وکتوری برای حمله استفاده میکند.

آنها خاطر نشان کردند، این پنجمین بار است که نقاط ضعف امنیتی در استک های پروتکل ها که زیربنای میلیون ها دستگاه متصل به اینترنت هستند، شناسایی میشوند.

  • URGENT/11
  • Ripple20
  • AMNESIA:33
  • NUMBER:JACK

علی الخصوص جدیدترین تحقیقات پیشنهاد میکنند که باید نگاه ریزبینانه تری به "طرح فشرده سازی پیام" مورد استفاده در پروتکل DNS که با هدف کاهش اندازه پیام ها "از تکرار نام دامنه در پیام جلوگیری میکند" باعث کشف چندین نقص در FreeBSD (12.1)، استک هایIPnet (VxWorks 6.6) ، Nucleus NET (4.3) و NetX (6.0.1) میشود، داشت.

takian.ir iot hack

 

در یک سناریوی کامل حمله در حالت واقعی، مهاجمان می توانند با استفاده از این نقایص راه نفوذ خود را از طریق یک دستگاه سازمانی متصل به اینترنت که درخواست های DNS را به یک سرور صادر می کند پیدا کنند و اطلاعات حساس را از بین ببرند یا حتی از آنها به عنوان بنیانی برای خرابکاری در تجهیزات حیاتی استفاده کنند.

به استثنایIPnet ،FreeBSD ، Nucleus NET و NetX، همه بروزرسانی هایی را منتشر کرده اند که تامین کنندگان را ملزم مینماید دستگاه هایی را که از نسخه آسیب پذیر نرم افزاری بهره میبرند، با ارتقای نرم افزاری آنها و نصب بروزرسانی ها، به مشتریان خود عرضه کنند.

اما مانند نقایص قبلی، برای رفع این اشکالات چندین مانع وجود دارد؛ از جمله کمبود اطلاعات در مورد استک TCP/IP که روی دستگاه اجرا می شود؛ مشکل در ارائه بروزرسانی ها به دلیل اینکه دستگاه ها به طور یکپارچه و مرکزی مدیریت نمی شوند یا اینکه نمی توانند به دلیل نقش اصلی آنها در فرایندهای مهم ماموریتی و عملیاتی مانند مراقبت های بهداشتی و سیستم های کنترل صنعتی، آفلاین شوند.

به عبارت دیگر، علاوه بر تلاش لازم برای شناسایی همه دستگاه های آسیب پذیر، ممکن است زمان قابل توجهی طول بکشد تا بروزرسانی های امنیتی از تامین کننده استک به سیستم عامل دستگاه واصل شود.

حتی در بدترین حالت، در بعضی موارد تلاش برای بروزرسانی و یا پچ کردن هرگز عملی نخواهد بود، در نتیجه بسیاری از دستگاههای آسیب دیده به احتمال زیاد تا سالهای آینده یا تا زمانی که از رده خارج نشوند، در معرض حملات قرار می گیرند!

اگرچه ممکن است راه حلی سریع در حال حاضر در دسترس نباشد، اما نکته قابل توجه در این یافته ها وجود مواردی از کاهش خطر است که تشخیص تلاش برای استفاده از این نقص ها را آسان تر می کند. برای شروع، فاراسکات یک اسکریپت متن باز برای شناسایی دستگاه هایی که استک های آسیب دیده را اجرا می کنند، منتشر کرده است. علاوه بر این محققان همچنین توصیه کرده اند تا زمان نصب بروزرسانی ها، كنترل تقسیم بندی شبكه را اعمال کرده و تمام ترافیك شبكه را جهت بررسی بسته های مخربی كه سعی در سوءاستفاده از کاربرهایDNS ، mDNS و DHCP دارند، كنترل كنند.

همچنین انتظار می رود این مطالعه در کنفرانس Black Hat Asia 2021 در تاریخ 6 ماه می سال 2021 ارائه شود.

محققان اعلام کردند: "NAME:WRECK موردی است که در آن، پیاده سازی نادرست یک قسمت خاص از RFC می تواند عواقب فاجعه باری داشته باشد که در نقاط مختلف استک TCP/IP گسترش می یابد و سپس محصولات ز آن استک آسیب دیده استفاده میکنند".

محققین اضافه کردند که: "همچنین جالب است که عدم اجرای پشتیبانی از فشرده سازی (همانطور که به عنوان مثال در lwIP دیده می شود) یک عامل موثر در کاهش خطرات در برابر این نوع آسیب پذیری است. از آنجا که صرفه جویی در پهنای باند مرتبط با این نوع فشرده سازی در دنیای اتصال سریع تقریباً بی معنی است، ما معتقدیم که پشتیبانی از فشرده سازی پیام DNS در حال حاضر مشکلات بیشتری را در قیاس با مواردی که ممکن است حل کند، ایجاد می نماید".

از بین بردن سرورهای DNS معتبر به وسیله نقص جدید TsuNAME

 

محققان امنیتی روز پنجشنبه آسیب پذیری جدیدی را که بر Domain System Name (DNS) تأثیر می گذارد و می تواند توسط مهاجمان برای حملات DoS بازگشتیِ علیه nameserver های معتبر، مورد استفاده قرار گیرد را افشا نمودند.

این نقص که نام 'TsuNAME' به آن اطلاق شده است، توسط محققان SIDN Labs و InternetNZ کشف شد که به ترتیب دامنه های اینترنتی رده بالای ".nl" و ".nz" برای هلند و نیوزیلند را مدیریت می کنند.

محققان اعلام کرده اند که: "TsuNAME هنگامی رخ می دهد که نام های دامنه به شکل ناصحیح و به صورت چرخشی وابسته به رکوردهای DNS پیکربندی شده باشد و هنگامی که ریزالورهای آسیب پذیر به این تنظیمات نادرست دسترسی پیدا کنند، شروع تکرار لوپ میکنند و درخواست های DNS را به سرعت به سرورهای معتبر و سایر ریزالورها می فرستند".

ریزالور بازگشتی DNS یکی از مولفه های اصلی در Resolve DNS است. به عنوان مثال، تبدیل نام هاستی مانند www.google.com به آدرس IP قابل قبول برای کامپیوتر مانند 142.250.71.36. برای نیل به این هدف، تا مادامی که به DNS nameserver شناخته شده برای رکوردهای DNS مورد درخواست دسترسی پیدا کند، به درخواست کاربر برای یک صفحه وب، با ایجاد یک سری از درخواستها پاسخ میدهد. سرور معتبر DNS شبیه دیکشنری است که آدرس IP دقیق دامنه که جستجو شده را در خود جای داده است.

اما در مورد TsuNAME این ایده مطرح است که تنظیمات نادرست هنگام ثبت دامنه می تواند یک چرخه وابستگی ایجاد کند، به طوری که رکوردهای nameserver برای دو منطقه، به سمت یکدیگر تنظیم شوند و باعث میشود ریزالورهای آسیب پذیر به سادگی از قسمتی به قسمت دیگر برگردند، و درخواست های بی وقفه ای را به سرورهای معتبر هر دو نقطه مادر ارسال کنند که به موجب آن سرورهای معتبر منطقه مادر به آنها غلبه می کنند.

در مورد چگونگی وقوع این اتفاق میتوان گفت که زیرا ریزالورهای بازگشتی از چرخه غافل شده و رکوردهای نام وابسته به چرخه را ذخیره نمی نمایند.

takian.ir tsuname dns vulnerability

 

داده های جمع آوری شده از دامنه .nz نشان داده است که دو دامنه با پیکربندی اشتباه منجر به افزایش 50 درصدی حجم کلی ترافیک برای سرورهای معتبر .nz شده است. Google Public DNS (GDNS) و Cisco OpenDNS (که برای هدف قرار دادن دامنه های .nz و .nl در سال 2020 مورد سواستفاده قرار گرفتند) ، از آن زمان در نرم افزار ریزالور DNS خود به این مسئله اشاره کرده اند.

برای کاهش تأثیر TsuNAME در محیط سایبری، محققان ابزار متن بازی به نام CycleHunter منتشر کرده اند که برای اپراتورهای سرور DNS معتبر امکان شناسایی چرخه وابستگی ها را فراهم می کند. این مطالعه همچنین 184 میلیون دامنه را که شامل هفت دامنه بزرگ سطح بالا و 3.6 میلیون رکورد nameserver متمایز است، مورد تجزیه و تحلیل قرار داده است و 44 لوپ وابستگی مورد استفاده توسط 1435 نام دامنه را کشف کرده است.

محققان هشدار داده اند: "با توجه به اینکه سوابق NS می توانند در هر زمان تغییر کنند، هیچ راه حل دائمی برای این مشکل وجود ندارد. به عبارت دیگر، اگر یک منطقه DNS فاقد رکورد NS وابسته به چرخش در زمان t باشد، به این معنی است که این منطقه فقط در آن زمان خاص t آسیب پذیر نیست. از همین رو ما همچنین به ثبت کنندگان توصیه مینماییم به طور مثال، به عنوان بخشی از روند ثبت نام دامنه، CycleHunter را به طور منظم اجرا کنند".

سواستفاده بات نت ها از بلاکچین بیت کوین برای فرار از شناسایی

 

آکامای تحقیقات جدیدی را منتشر کرده و در آن روش های استفاده شده توسط اپراتورهای یک کمپین بات نت استخراج رمزارزها برای فرار از شناسایی که در آن مجرمان اینترنتی با سواستفاده از معاملات بیت کوین برای انجام عملیات غیرقانونی استخراج رمزارز در حالی که تحت نظارت هستند را توضیح میدهد.

از معاملات بلاکچین بیت کوین (BTC) برای پنهان کردن آدرس های سرور C&C پشتیبان بهره برداری میشود تا بات نت ها بتوانند بدون وقفه دستورات و کدهای مهاجمان را دریافت کنند.

چنین سرورهایی به طور مداوم توسط تیم های امنیتی و مقامات نظامی شکار میشوند تا این دست کمپین ها را از کار بی اندازند. با این حال، به دلیل پیشتیبان گیری، غیرفعال کردن آنها ممکن است مشکل زا و سخت باشد.

به گفته محققان آکامای، این یک روش ساده اما "موثر" برای شکست اقدامات امنیتی در راستای حذف است که تاکنون اپراتورهای مهاجم بیش از 30 هزار دلار در مونرو (که قبلتر یک کد استخراج رمزارز آنرا در عکس یک بازیگر هالیوودی مخفی سازی کرده بودند) استخراج کرده اند.

 الصاق جزئیات زنجیره

آکامای گزارش میدهد که اولین قدم در زنجیره حمله، بهره برداری از آسیب پذیری های RCE (اجرای کد از راه دور) مانند CVE-2015-1427 و  CVE-2019-9082 (Hadoop Yarn and Elasticsearch)است که بر عملکرد نرم افزار تاثیر میگذارد.

در بعضی حملات به جای ربودن سیستم، RCE ها برای ایجاد اسکنرهای سرور Redis اصلاح میگردند. هدف آنها یافتن اهداف اضافی Redis برای استخراج ارزهای رمزنگاری شده است.

برای ایجاد RCE، یک Script Shell در سیستم آسیب پذیر مستقر میشود تا بدافزار استخراج Skidmap را راه اندازی کند. این اسکریپت میتواند استخراج کنندگان موجود را از بین برده و ویژگی های امنیتی را غیرفعال کند یا کلیدهای SSH را تغییر دهد.

چگونگی مقاوم ماندن

برای ادامه توزیع بدافزار و حفظ پایداری آن، از روت کیت ها و برنامه ریزهای کاری محدودی به نام Cron Jobs استفاده میشود. اما برای آلوده سازی مجدد سیستم هایی که به عنوان هدف مشخص شده اند، از آدرس و دامنه های IP Static استفاده میشود که میگویند معمولا توسط تیم های امنیتی "شناسایی، سوزانده و یا توقیف میشوند".

به همین علت اپراتورها زیرساخت هایی به عنوان پشتیبان در این کمپین گنجانده اند تا آلوده کننده های ناموفق بتوانند آلودگی را ذخیره و بارگذاری کنند، دستگاه آلوده را به روز رسانی کنند و از دامنه ها و زیرساخت های جدید استفاده نمایند.

روش غیرقابل قبول و غیرمشهود

طبق تجزیه و تحلیل محققین آلکامای، در دسامبر سال 2020، اپراتورهای این کمپین ها، آدرس کیف پول بیت کوین را در نسخه جدید بدافزارهای استخراج رمزارز افزودند. آنها همچنین یک Bash یک خطی و یک URL برای یک wallet-checking API اضافه کردند؛ که نشان میدهد داده های کیف پول توسط API ای که برای محاسبه آدرس آی پی استفاده میشده، دریافت میگردیده است.

بعدا این آدرس برای حفظ ماندگاری و مقاومت، مبهم سازی و انباشت داده های پیکربندی بلاک چین استفاده میشود. آنها مقدار کمی بیت کوین را به کیف پول منتقل میکنند تا سیستم های آلوده رها شده را بازیابی کرده و دوباره وارد مدار کنند.

محققان ادعا میکنند که این روش توزیع اطلاعات پیکربندی "به طور موثری غیرمشهود و غیر قابل کنترل است".

تغییر مقادیر ساتوشی

اپراتورها از چهار اسکریپت Bash یک خطی برای تبدیل داده های کیف پول به آدرس آی پی مورد نظر استفاده میکنند. این اسکریپت ها یک درخواست HTTP به جستجوگر API بلاکچین برای کیف پول و مقادیر ساتوشی از دو معامله اخیر که به دستور پیشتیبانی و IP کنترل تبدیل شده اند، ارسال مینماید.

در نتیجه آلودگی از آدرس کیف پول به عنوان یک رکورد DNS استفاده میکند، در حالی که مقادیر تراکنش به عنوان یک رکورد A استفاده میشوند.

متغیر aa شامل آدرس کیف پول بیت کوین، متغیر bb شامل نقطه پایانی API که آخرین دو تراکنش مورد استفاده برای تولید آدرس IP را برمیگرداند و متغیر cc حاوی آدرس IP C2 نهایی پس از اتمام فرآیند تبدیل و تغییر است. برای دستیابی به این تبدیلات و تغییرات، چهار Bash یک خطی تو در تو (به ازای هر هشت عدد، یکی) با هم ترکیب شده اند. در حالی که به سختی میتوان آشفتگی cURL ها، seds، awks و pipes را در اولین نگاه درک کرد، اما این یک تکنیک نسبتا ساده است.