باجافزار جدید؛ ۹۰ میلیون تومان بدهید تا سیستم آزاد شود! مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای نسبت به تشدید حملات باجافزاری از طریق پروتکل دسترسی از راه دور (RDP) در سازمانها و مراکز اداری هشدار داد. مرکز ماهر در اطلاعیهای اعلام کرد: درخواستهای متعدد امداد از مرکز ماهر و تحلیل حوادث به وجود […]
باجافزار جدید؛ ۹۰ میلیون تومان بدهید تا سیستم آزاد شود!
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای نسبت به تشدید حملات باجافزاری از طریق پروتکل دسترسی از راه دور (RDP) در سازمانها و مراکز اداری هشدار داد.
مرکز ماهر در اطلاعیهای اعلام کرد: درخواستهای متعدد امداد از مرکز ماهر و تحلیل حوادث به وجود آمده در بعضی از سازمانها در روزهای اخیر نشان داده است، حملات باجافزاری از طریق نفوذ به سرویس پروتکل دسترسی از راه دور یا همان پروتکل RDP به شکل روزافزونی در حال افزایش است.
متأسفانه مشاهده میشود که در بعضی از سازمانها و شرکتها، هنوز حفاظت کافی در استفاده از پروتکل RDP انجام نگرفته است. قربانیان این حمله معمولاً مراکزی هستند که برای ایجاد دسترسی به منظور دریافت پشتیبانی برای نرمافزارهای اتوماسیون (اداری، مالی، کتابخانه، آموزشی و…) از این روش استفاده میکنند.
بررسی الگوی این حملات و مشاهدات بهعمل آمده در امداد به ۲۴ مورد از رخدادهای باجافزاری اخیر که توسط پروتکل مذکور صورت گرفته است، نشان میدهد خسارت ناشی از آنها، بدون احتساب مبالغ احتمالی باج پرداخت شده توسط بعضی از قربانیان، بهطور میانگین حدود ۹۰۰ میلیون ریال برای هر رخداد بوده است.
مرکز ماهر به کلیه سازمانها، شرکتها و مخصوصاً مجموعههای پشتیبانی نرمافزارها توصیه اکید کرد که استفاده از سرویسRDP بر بستر اینترنت بسیار پرمخاطره بوده و راه را برای انجام بسیاری از حملات، مخصوصاً حملات باجافزاری هموار میکند.
بر این اساس پیشنهاد شده است که اقدامات زیر برای پیشگیری از وقوع این حملات به صورت فوری در دستور کار مدیران فناوری اطلاعات سازمانها و شرکتها قرار گیرد.
اما پروتکل RDP چیست؟!
پروتکل RDP که مخفف (Remote Desktop Protocol)است یک پروتکل انحصاری مایکروسافت است که به کمک آن میتوان از طریق شبکه به یک سیستم دیگر به صورت گرافیکی وصل شد و آن را کنترل کرده و از امکانات آن بهره برد.
در حالت پیشفرض، سرویسRDP از پورتtcp 3389استفاده میکند. توجه داشته باشید که اگر firewall پورت ۳۳۸۹ را ببندد شما دیگر نمیتوانید از Remote Desktop استفاده کنید. البته میتوان شماره پورت RDP را با استفاده از رجیستری به سادگی تغییر داد.
اولین نسخه از(RDP) که منتشر شد RDP 4.1 بود که برای ویندوز NT 4.0 ارایه شد و آخرین نسخه هم RDP 7.0 است که برای ویندوز سرور ۲۰۰۸ و ویندوز ۷ معرفی شده است. امکانات ارتباطی، عملکردی و امنیتی در هر نسخه نسبت به نسخه قبلی تغییرات قابل ملاحظهای داشته است.
قابلیت Remote Desktop این اجازه را میدهد که کاربران به تمامی برنامهها، منابع و متعلقات سیستم عامل کامپیوتر خود، از راه دور دسترسی پیدا کنند اما باید به این نکته توجه داشت که خصیصهRemote Desktop در نسخهHome Edition(مصارف خانگی) غیرقابل دسترس است و اگر از این نسخه استفاده میکنید باید آن را به نسخه Pro ارتقا دهید.
با این وجود میتوان از نسخهHome Edition به عنوان guest استفاده کرد و به کامپیوتری که بر روی آن قابلیت remote desktopفعال شده است، متصل شد.
برنامه Remote Desktop از سرویس RDP استفاده کرده و کامپیوتر شخصی را تبدیل به یک ترمینال گرافیکی میکند .
فراموش نکنید فاصله در ریموت دسکتاپ هیچ اهمیتی ندارد!
ویژگیهای پروتکل RDP
پشتیبانی از عمق رنگ ۳۲ بیتی (۸، ۱۶ و ۲۴ و سایر modeها نیز پشتیبانی میشود.)
رمزنگاری ۱۲۸ بیتی بر مبنای الگوریتم رمزنگاری RC4. (در این امنیت پیشفرض، کلاینتهای قدیمیتر ممکن است از الگوریتمهایی با قدرت کمتر استفاده کنند.) به دلیل تهدیدman-in-the-middle در بسیاری از موارد، ترافیک میتواند در طول مسیر رمزگشایی شود. (تهدیدman-in-the-middle نوعی حمله است که در آن حملهکننده توانایی read, insertوmodify بین دو ارتباط را دارد. حملهکننده باید قادر به دیدن و جلوگیری کردن از پیامهایی که بین دو قربانی رد و بدل میشود، باشد.)
پشتیبانی از (Transport Layer Security) TLS به همراه SSLیا ((Secure Sockets Layerکه پروتکلهای رمزنگاری شدهای هستند که ارتباطات امن را از طریق اینترنت برای مواردی مثل Web Browsing، E-Mail و… فراهم میکنند.
ویژگی صدا بهکاربران این امکان را میدهد که یک برنامه صوتی را در کامپیوتر Remote اجرا کنند و صدای آن را در کامپیوتر Local خود داشته باشند.
File System Redirectionبهکاربران این امکان را میدهد که از فایلهای Local خود بر روی کامپیوتر Remote با استفاده از یک Terminal Session استفاده کنند.
Printer Redirection به کاربران اجازه میدهد تا از پرینتر Localشان از طریق Terminal Session به صورت Local Printer یا Network Shared Printer استفاده کنند.
Port Redirection به نرمافزارها اجازه میدهد تا از طریق Terminal Session به پورتهای Serial و parallel سیستم Local، دسترسی مستقیم داشته باشند.
Clipboard یا حافظه موقت که میتواند بین کامپیوتر Local و Remote به صورت Share استفاده شود.
همچون دیگر سرویسهای TCP/IP، RDP نیز از دو بخش تشکیل شده .
الف) RDP Client: که به Terminal Client نیز معروف بوده و در مایکروسافت، همان برنامه Remote Desktop است. mstsc.exe
ب) RDP Server: که به Terminal Server نیز مشهور بوده و در مایکروسافت، همان سرویس Remote_Desktop است.
اقدامات پیشنهاد شده ماهر
۱- با توجه به ماهیت پروتکل RDP اکیداً توصیه میشود که این پروتکل بهصورت امن و کنترل شده استفاده شود، مانند ایجاد تونلهای ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات؛ همچنین توصیه میشود از قراردادن آدرس IP عمومی به صورت مستقیم روی سرویسدهندهها خودداری شود.
۲- تهیه منظم نسخههای پشتیبان از اطلاعات روی رسانههای متعدد و انجام آزمون صحت پشتیبانگیری در هر مرحله و نگهداری اطلاعات پشتیبان بهصورت غیر برخط.
۳- اجبار به انتخاب رمز عبور سخت و تغییر دورهای آن توسط مدیران سیستمها.
۴- محدودسازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم.
۵- هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصاً رویدادهای ورود به سیستم در ساعات غیرمتعارف.
۶- توجه و بررسی فهرست کاربران سیستمها و سطح دسترسی آنها.
۷- توصیه میشود در صورت بروز این حمله در سازمانها، مدیران فناوری اطلاعات ضمن اجتناب در پرداخت باج درخواستی سریعاً با مرکز ماهر تماس گرفته شود.
این مطلب بدون برچسب می باشد.
دیدگاه بسته شده است.