مركز افتای ریاست جمهوری اعلام كرد؛

چرایی و چگونگی حمله اخیر باج افزاری به یكی از زیرساخت های كشور

چرایی و چگونگی حمله اخیر باج افزاری به یكی از زیرساخت های كشور

به گزارش توسعه نرم افزار مركز مدیریت راهبردی افتا، اعلام نمود: بررسی های اولیه در آزمایشگاه این مركز نشان میدهد كه مبدا اصلی حمله اخیر باج افزاری، اجرای یك كد پاورشل از روی یكی از سرورهای DC بوده است.


به گزارش توسعه نرم افزار به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، به دنبال بروز یک حادثه باج افزاری در یکی از زیرساخت های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است. اقدامات مهاجمین به شکلی بوده است که برخی از فایل هایِ بیشتر کلاینت ها و سرورهای متصل به دامنه، گرفتار تغییر شده اند به نحوی که بعضی از فایل ها فقط پسوندشان تغییر یافته، برخی دیگر فقط قسمتی از فایل و بعضی دیگر به طور کامل رمز شده اند. بررسی های اولیه در آزمایشگاه مرکز افتا نشان میدهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها معین نیست ولی شواهدی در خصوص سوءاستفاده از لطمه پذیری Zero logon در سرورها وجود دارد. این حمله به صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستم های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل ازراه دور انجام شده است. مهاجمان سایبری تنها قسمتی از فایل ها را رمزگذاری و همین فایل ها را در کمترین زمان تخریب کرده اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم عامل، قسمتی از فایل ها و مسیرهای خاص در پروسه رمزگذاری درنظر نگرفته اند. در این حمله باج افزاری، به دلیلهای مختلف همچون عدم جلوگیری از پروسه رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایل های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود. مهاجمین در پوشه هایی که فایل های آن رمزنگاری شده اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس های ایمیل آنها است. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این گونه باج افزارها سفارش می کنند حتما کلاینت های کاری بعد از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود. غیرفعال کردن اجرای کد ازراه دور با ابزارهایی مانند Powershell/PsExec و همین طور سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر سفارش های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است. کارشناسان واحد امداد افتا همین طور از مسئولان و کارشناسان آی تی خواسته اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت های ۷ و ۹ UDP را ببندند. برای جلوگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی خدمات AD و DC سفارش می شود و باید برای شناسایی هر گونه ناهنجاری، بصورت دوره ای لاگ های ویندوز بررسی شوند. مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایل های پشتیبان را به خارج از شبکه، از دیگر راه های مقابله با هر نوع باج افزاری عنوان می کند و از همه مسئولان و کارشناسان آی تی زیرساخت های کشور خواسته است تا همه این سفارش ها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا به آدرس https: //afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۱۳۱ انتشار یافته است.


منبع:

1399/08/06
22:42:24
5.0 / 5
1576
تگهای خبر: برنامه , خدمات , سایت , سیستم
مطلب توسعه نرم افزار را می پسندید؟
(1)
(0)

تازه ترین مطالب مرتبط در DevSoft
نظرات بینندگان DevSoft در مورد این مطلب
لطفا شما هم نظر دهید
= ۲ بعلاوه ۱
devsoft