چگونگی حمله باج افزاری به یكی از زیرساخت های كشور
وبی كارت: بررسی های اولیه در آزمایشگاه مركز مدیریت راهبردی افتا نشان میدهد كه مبدا اصلی حمله اخیر باج افزاری، اجرای یك كد پاورشل از روی یكی از سرورهای DC سازمان بوده است.
به گزارش وبی کارت به نقل از ایسنا، به دنبال بروز یک حادثه باج افزاری در یکی از زیرساخت های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز مدیریت راهبردی افتای ریاست جمهوری ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.
اقدامات مهاجمین به شکلی بوده است که برخی از فایل های بیشتر کلاینت ها و سرورهای متصل به دامنه، گرفتار تغییر شده اند به نحوی که بعضی از فایل ها فقط پسوندشان تغییر یافته، برخی دیگر فقط قسمتی از فایل و بعضی دیگر بطور کامل رمز شده اند.
بررسی های اولیه در آزمایشگاه مرکز افتا نشان میدهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها معین نیست ولی شواهدی در خصوص سوءاستفاده از لطمه پذیری Zero logon در سرورها وجود دارد. این حمله به صورت File-less انجام شده و در حقیقت هیچ فایلی روی سیستم های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل ازراه دور انجام شده است.
مهاجمان سایبری تنها قسمتی از فایل ها را رمزگذاری و همین فایل ها را در کمترین زمان تخریب کرده اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم عامل، قسمتی از فایل ها و مسیرهای خاص در پروسه رمزگذاری درنظر نگرفته اند. در این حمله باج افزاری، به دلیلهای مختلف همچون عدم جلوگیری از پروسه رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایل های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود.
مهاجمین در پوشه هایی که فایل های آن رمزنگاری شده اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس های ایمیل آنهاست. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این گونه باج افزارها سفارش می کنند حتما کلاینت های کاری بعد از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود. غیرفعال کردن اجرای کد ازراه دور با ابزارهایی مانند Powershell/PsExec و همین طور سیگنال WoL یا Wake-on-LAN در BIOS/UEFI از دیگر سفارش های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.
کارشناسان واحد امداد افتا همین طور از مسئولان و کارشناسان آی تی، خواسته اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت های ۷ و ۹ UDP را ببندند. برای جلوگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی خدمات AD و DC سفارش می شود و برای شناسایی هرگونه ناهنجاری، به صورت دوره ای باید، لاگ های ویندوز بررسی شوند. پشتیبان گیری منظم و انتقال فایل های پشتیبان را به خارج از شبکه، از دیگر راه های مقابله با هر نوع باج افزاری است و لازم است مسئولان و کارشناسان آی تی زیرساخت های کشور، همه این سفارش ها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا انتشار یافته است.
منبع: وبی كارت
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب