هشدار: درب پشتی بر روی محصولات NETSARANG

 هشدار: درب پشتی بر روی محصولات NETSARANG هکرها هر روزه در حال پیشرفت هستند و از روشهای جدیدی برای گرفتن قربانیان خود استفاده می کنند. حملات هکری تنها برای نفوذ به سیستم های شخصی و یا گوشی های تلفن همراه هوشمند نیست. بسیاری از این گونه حملات برای دراختیار گرفتن شبکه های بزرگ که دارای اطلاعات مهم بر روی سرورهای خود هستند می باشد. جهت انجام این گونه حملات نفوذگران روشهای مخفی و جالبی را برای موفقیت خود در نفوذ ابداع می کنند.

بر اساس گزارشی که به تازگی توسط محققان امنیت سایبری کمپانی KasperSky منتشر شده است، یک درب پشتی (Backdoor) مخفی بر روی یکی از محصولات مهم شبکه قرار داده شده است. این درب پشتی که با کد نام ShadowPad معرفی شده است بر روی نرم افزار به روز رسانی شده برخی محصولات کمپانی NetSarang کشف شده است که این محصول در کشور ما هم بسیار مورد استفاده قرار می گیرد. توسط این درب پشتی، نفوذگر می توان کنترل کامل بر روی شبکه مخفی پشت این محصولات را در کنترل بگیرد که محصولات این کمپانی، در شبکه های بانکی، شبکه شرکت های داروسازی و پزشکی، ارائه دهندگان خدمات مخابراتی، شرکت های هواپیمایی و غیره... مورد استفاده قرار می گیرند. بر اساس گزارش منتشر شده توسط کاسپراسکی، نفوذگران با دزدیدن مکانیزم به روز رسانی نرم افزارهای این کمپانی، درب پشتی کاملا مخفیانه و حرفه ای را بر روی سیستم software update قرار داده و به صورت خودکار، همراه با مجوز کامل و گواهی قانونی امضا شده (legitimate signed certificate) کد مخرب درب پشتی را بر روی سیستم های قربانی ارسال و نصب می کردند. این Backdoor مخفی در کتابخانه nssock2.dll بر روی نرم افزارهای Xmanager و Xshell قرار داده شده است. در تاریخ 4 جولای کمپانی کاسپراسکی این درب پشتی را بر روی محصولات فوق به کمپانی NetSarang گزارش می دهد که این کمپانی سریعا مشکل را بررسی کرده و رفع نموده است. محصولاتی که این حمله بر روی آنها صورت گرفته است عبارتند از:

•    Xmanager Enterprise 5.0 Build 1232

•    Xmanager 5.0 Build 1045

•    Xshell 5.0 Build 1322

•    Xftp 5.0 Build 1218

•    Xlpd 5.0 Build 1220

این حمله، یادآور حمله ای مشابه توسط سازندگان باج افزار Petya/NotPetya در تیرماه امسال می باشد که توسط تغییراتی که در سیستم به روز رسانی نرم افزاری خاص سیستم امور مالیاتی کشور اوکراین داده شده در سطح وسیعی از ساختارهای مالیاتی آن کشور انتشار یافته است. هکرها این درب پشتی را توسط چندین لایه رمزنگاری آماده سازی و بر روی سیستم به روز رسانی قرار داده اند که تنها در برخی موارد خاص، رمزگشایی آن صورت می گرفته است. این کار برای بهتر کردن عملکرد درب پشتی جهت مخفی ماندن آن می باشد. تا هنگامی که packet های خاصی که حاوی دستورالعمل های اجرایی می باشدن از جانب سرور C&C برای درب پشتی ارسال نشود، این backdoor فعالیت خاصی را از خود نشان نمی دهد تا همچنان مخفی بماند. پس از آن، درب پشتی هر 8 ساعت یکبار اقدام به ارسال برخی اطلاعات سیستم قربانی برای سرور خود می کند. فعال سازی این درب پشتی پس از نصب بر روی سیستم قربانی، توسط یک پیغام DNS TXT Record صورت می گیرد که از یک دامنه خاص برای آن ارسال می گردد که این دامنه در طول ماه گذشته register شده و عملیات DNS lookup بر روی آن انجام می گردد. پس از نصب درب پشتی بر روی سیستم قربانی و معرفی خود به سرور C&C، از طرف سرور کلید رمزگشایی برای انجام قدم های بعدی عملکرد درب پشتی ارسال می شود و درب پشتی را فعال می کند. پس از فعال سازی، این درب پشتی امکان اجرای دستورات از راه دور و همچنین اجرای پروسه های جدید را برای هکر بر روی سیستم قربانی از راه دور فراهم می آورد.  اگر از این محصولات در ساختار شبکه خود استفاده می کنید، جهت مشخص شدن این موضوع که آیا این درب پشتی بر روی سیستم های شما وجود دارد یا خیر، می توانید با چک کردن رکوردهای DNS به دامنه های زیر در داخل شبکه خود، وجود یا عدم وجود درب پشتی را مشخص کنید. در صورت وجود این گونه رکوردها، درخواست ها به دامنه های زیر را حتما در شبکه خود block نمایید:

•    ribotqtonut[.]com

•    nylalobghyhirgh[.]com

•    jkvmdmjyfcvkf[.]com

•    bafyvoruzgjitwr[.]com

•    xmponmzmxkxkh[.]com

•    tczafklirkl[.]com

•    notped[.]com

•    dnsgogle[.]com

•    operatingbox[.]com

•    paniesx[.]com

•    techniciantext[.]com

به یاد داشته باشید که حتما نرم افزارهای آسیب پذیر که در بالا اشاره شد را به روز رسانی کنید، چراکه نسخه به روز شده که این مشکل در آن رفع شده است بر روی وب سایت سازنده جهت دانلود قرار داده شده است.