حمله باج افزاری به زیرساخت های ایران
در ماه گذشته یک رشته حملات سایبری به زیر ساخت های حیاتی ایران انجام شد. اقدامات مهاجمین به گونهای بوده است که بعضی از فایلهایِ اکثر کلاینت ها و سرورهای متصل به دامنه، دچار تغییر شدهاند به نحوی که برخی از فایلها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بطور کامل رمز شدهاند.
بعد از بررسی های انجام شده، جزئیات این حملات به شرح زیر ارائه شده است:
مبدا حملات
بررسیهای اولیه نشان میدهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوء استفاده از آسیب پذیری Zero logon با شناسه (CVE-۲۰۲۰-۱۴۷۲) در سرورها وجود دارد.
حملات از نوع File-less
این حمله بصورت File-less انجام شده است در حقیقت هیچ فایلی بر روی سیستمهای قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل به نام “p.ps۱” از راه دور انجام شده است.
ایجاد فایل ReadMe
ایجاد یک فایل به نام Readme.READ حاوی آدرسهای ایمیل مهاجمین، در پوشههایی که فایلهای آن رمزنگاری شدهاند.
حداکثر تخریب فایلها در کمترین زمان
تابع رمزگذاری موجود در کد پاورشل، تنها بخشی از فایلها را رمزگذاری میکند. به عبارت دیگر فایلهایی که سایزشان بزرگتر از ۴۰۹۶ است انتخاب میشوند. اگر مقدار بیشتر از ۶۲۲۵۹۲۰ باشد همین اندازه از فایل و در غیر این صورت مقدار ۱۰۲۴/(۱۰/اندازه فایل) از فایل برای رمزگذاری انتخاب میشود.
البته بدلیل جلوگیری از ایجاد اختلال در عملکرد خود سیستمعامل، بخشی از فایلها و مسیرهای خاص در فرایند رمزگذاری درنظر گرفته نمیشوند و به دلیل عدم جلوگیری از فرایند رمزگذاری، چند برنامهی کاربردی حذف و یا غیرفعال می شوند.
پاک کردن Shadow-Copy و Restore-Point
به منظور جلوگیری از بازگرداندن فایلهای قربانی، Shadow-Copy و Restore-Point سامانه مربوطه پاک می شود.
روشن کردن کامپیوترها با سیگنال Wake-on-LAN
برای روشن کردن کامپیوترهای موجود در Lan از راه دور لازم است:
۱. قابلیت WoL در مادربورد و کارت شبکه فعال باشد.
۲. رایانه به برق متصل باشد.
۳. آدرس مک رایانه هدف موجود باشد.
کامپیوترهایی که این قابلیت در آنها “فعال” است منتظر یک “magic packet” هستند که در آن آدرس مک خودشان وجود دارد. معمولا از پروتکل UDP و پورت ۹ و ۷ برای ارسال این بسته استفاده میشود.
یکی از ویژگی های خاص این باج افزار، روشن کردن کلاینت های خاموش در شبکه برای رمزگذاری آنها است. با توجه به اینکه در اکثر سیستم ها به صورت پیش فرض سیگنال Wake-on-LAN فعال است، مهاجم به کمک دستور “arp -a”، مک آدرس قربانی را بدست آورده و بسته “MagicPacket” را بر روی پورت ۷ قربانی ارسال می کند.
توصیههای امنیتی
- خاموش کردن کلاینتهای کاری پس از اتمام ساعات کاری و قطع اتصال پاور آنها
- غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec
- غیرفعال کردن سیگنال Wake-on-LAN در BIOS/UEFI
- بستن پورت های ۷ و ۹ UDP به منظور جلوگیری از ارسال فرمان WOL در شبکه
- مقاوم سازی و به روزرسانی سرویس های AD و DC به منظور جلوگیری از سوء استفاده بدافزارها
- بررسی دورهای لاگ های ویندوز
- بکاپ گیری منظم
- انتقال فایل های پشتیبان به خارج از شبکه