چگونگی حمله باج افزاری به یكی از زیرساخت های كشور
به گزارش توسعه نرم افزار بررسی های اولیه در آزمایشگاه مركز مدیریت راهبردی افتا نشان داده است كه مبدا اصلی حمله اخیر باج افزاری، اجرای یك كد پاورشل از روی یكی از سرورهای DC سازمان بوده است.
به گزارش توسعه نرم افزار به نقل از ایسنا، به دنبال بروز یک حادثه باج افزاری در یکی از زیرساخت های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز مدیریت راهبردی افتای ریاست جمهوری ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.
اقدامات مهاجمین بگونه ای بوده است که برخی از فایل های اغلب کلاینت ها و سرورهای متصل به دامنه، گرفتار تغییر شده اند به نحوی که بعضی از فایل ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر به صورت کامل رمز شده اند.
بررسی های اولیه در آزمایشگاه مرکز افتا نشان داده است که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها معلوم نیست ولی شواهدی در خصوص سوءاستفاده از صدمه پذیری Zero logon در سرورها وجود دارد. این حمله به صورت File-less انجام شده و در حقیقت هیچ فایلی روی سیستم های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.
مهاجمان سایبری تنها بخشی از فایل ها را رمزگذاری و همین فایل ها را در کمترین زمان تخریب کرده اند و برای پیشگیری از ایجاد اختلال در عملکرد خود سیستم عامل، بخشی از فایل ها و مسیرهای خاص در فرآیند رمزگذاری درنظر نگرفته اند. در این حمله باج افزاری، به علل مختلف همچون عدم پیشگیری از فرآیند رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال و برای پیشگیری از بازگرداندن فایل های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود.
مهاجمین در پوشه هایی که فایل های آن رمزنگاری شده اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس های ایمیل آنهاست. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این گونه باج افزارها سفارش می کنند حتما کلاینت های کاری بعد از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود. غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همینطور سیگنال WoL یا Wake-on-LAN در BIOS/UEFI از دیگر سفارش های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.
کارشناسان واحد امداد افتا همینطور از مسئولان و کارشناسان آی تی، خواسته اند تا برای پیشگیری از ارسال فرمان WOL در شبکه، پورت های ۷ و ۹ UDP را ببندند. برای پیشگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویسهای AD و DC سفارش می شود و برای شناسایی هرگونه ناهنجاری، به صورت دوره ای باید، لاگ های ویندوز بررسی شوند. پشتیبان گیری منظم و انتقال فایل های پشتیبان را به خارج از شبکه، از دیگر راه های مقابله با هر نوع باج افزاری است و لازم است مسئولان و کارشناسان آی تی زیرساخت های کشور، همه این سفارش ها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا انتشار یافته است.
منبع: devsoft.ir
مطلب توسعه نرم افزار را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط در DevSoft
نظرات بینندگان DevSoft در مورد این مطلب