صفحه نخست دانش بنیان و IT
  • انتشار : 5 - آبان - 1399 - ۱۹:۴۱
  • کد خبر : 83135

    • بررسی تحلیلی حمله باج‌افزاری اخیر به ایران!

    بررسی تحلیلی حمله باج‌افزاری اخیر به ایران! پیرو بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان آن سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است. به گزارش مناقصه‌مزایده به نقل […]

  • انتشار : 5 - آبان - 1399 - ۱۹:۴۱
  • کد خبر : 83135

    • بررسی تحلیلی حمله باج‌افزاری اخیر به ایران!

    پیرو بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان آن سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.

    به گزارش مناقصه‌مزایده به نقل از واحد امداد مرکز مدیریت راهبردی افتا، اقدامات مهاجمین به‌‌گونه‌ای بوده است که بعضی از فایل‌هایِ اکثر کلاینت‌ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر به‌طور کامل رمز شده‌اند.

    پس از بررسی شواهد به جا مانده از حادثه در آزمایشگاه مرکز افتا، در ادامه نکات اصلی این حادثه به جهت انتقال تجربه و جلوگیری از تکرار مجدد شرح داده شده است.

    *مبدأ حملات

    بررسی‌های اولیه نشان می‌دهد که مبدأ اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوء‌استفاده از آسیب‌پذیری Zero logon با شناسه (CVE-۲۰۲۰-۱۴۷۲) در سرورها وجود دارد.

     * بی‌فایل بودن حمله

    این حمله به‌صورت File-less انجام شده است در حقیقت هیچ فایلی بر روی سیستم‌های قربانیان اجراء نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل به نام “p.ps۱از راه دور انجام شده است.

    *ایجاد فایل ReadMe

    ایجاد یک فایل به نام Readme.READ حاوی آدرس‌های ایمیل مهاجمین، در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند.

     *حداکثر تخریب فایل‌ها در کمترین زمان

    تابع رمزگذاری موجود در کد پاورشل، تنهای بخشی از فایل‌ها را رمزگذاری می‌کند. به عبارت دیگر فایل‌هایی که سایزشان بزرگ‌تر از ۴۰۹۶ است انتخاب می‌شوند. اگر مقدار (۱۰/اندازه فایل) بیشتر از ۶۲۲۵۹۲۰ باشد همین اندازه از فایل و در غیر این صورت مقدار ۱۰۲۴/(۱۰/اندازه فایل) از فایل برای رمزگذاری انتخاب می‌شود.

    *در نظر نگرفتن یکسری از فایل‌ها و مسیرهای خاص

    به دلایل مختلف همچون جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرآیند رمزگذاری درنظر گرفته نمی‌شوند.

     *حذف/غیرفعال کردن چند برنامه کاربردی

    به دلایل مختلف همچون عدم جلوگیری از فرآیند رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال می‌شوند.

     *پاک کردن Shadow-Copy و Restore-Point

    به منظور جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوطه پاک می‌شود.

     *روشن کردن کامپیوترهای موجود در شبکه داخلی به کمک سیگنال Wake-on-LAN (WoL)

    برای روشن کردن رایانه‌های موجود در Lan از راه دور لازم است:

    ۱. قابلیت WoL در مادربورد و کارت شبکه فعال باشد

    ۲. رایانه به برق متصل باشد

    ۳. آدرس مک رایانه هدف موجود باشد

    رایانه‌هایی که این قابلیت در آنها «فعال» است منتظر یک “magic packet” هستند که در آن آدرس مک خودشان وجود دارد. معمولاً از پروتکل UDP و پورت ۹ و ۷ برای ارسال این بسته استفاده می‌شود.

    یکی از ویژگی‌های خاص این باج‌افزار، روشن کردن کلاینت‌های خاموش در شبکه برای رمزگذاری آنهاست. با توجه به اینکه در اکثر سیستم‌ها به صورت پیشفرض سیگنال Wake-on-LAN (WoL) فعال است، مهاجم به کمک دستور “arp -a”، مک آدرس قربانی را به‌دست آورده و بسته “MagicPacket” را بر روی پورت۷ قربانی ارسال می‌کند.

     *توصیه‌های امنیتی برای مقابله با این‌گونه باج‌افزارها

     خاموش کردن کلاینت‌های کاری پس از اتمام ساعات کاری و قطع اتصال پاور آن‌ها

     غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec

     غیرفعال کردن سیگنال Wake-on-LAN (WoL) در BIOS/UEFI

     بستن پورت‌های ۷ و ۹ UDP به منظور جلوگیری از ارسال فرمان WOL در شبکه

     مقاوم‌سازی و به‌روزرسانی سرویس‌های AD و DC به منظور جلوگیری از سوء‌استفاده بدافزارها

     بررسی دوره‌ای لاگ‌های ویندوز جهت شناسایی هرگونه ناهنجاری

     پشتیبانگیری منظم

     انتقال فایل‌های پشتیبان به خارج از شبکه

    برچسب ها

    این مطلب بدون برچسب می باشد.