اخبار امنیتفناوری اطلاعات

حمله باج افزاری به زیرساخت های ایران

تصویر ادمین ادمین ارسال ایمیل ۵ آبان ۱۳۹۹آخرین به روز رسانی: ۵ آبان ۱۳۹۹
۰ 423 خواندن این مطلب 2 دقیقه زمان میبرد
باگ امنیتی در وردپرس

در ماه گذشته یک رشته حملات سایبری به زیر ساخت های حیاتی ایران انجام شد. اقدامات مهاجمین به ‌گونه‌ای بوده است که بعضی از فایل‌هایِ اکثر کلاینت ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بطور کامل رمز شده‌اند.

بعد از بررسی های انجام شده، جزئیات این حملات به شرح زیر ارائه شده است:

مبدا حملات

بررسی‌های اولیه نشان می‌دهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوء استفاده از آسیب پذیری Zero logon با شناسه (CVE-۲۰۲۰-۱۴۷۲) در سرورها وجود دارد.

حملات از نوع File-less

این حمله بصورت File-less انجام شده است در حقیقت هیچ فایلی بر روی سیستم‌های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل به نام “p.ps۱” از راه دور انجام شده است.

ایجاد فایل ReadMe

ایجاد یک فایل به نام Readme.READ حاوی آدرس‌های ایمیل مهاجمین، در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند.

حداکثر تخریب فایل‌ها در کمترین زمان

تابع رمزگذاری موجود در کد پاورشل، تنها بخشی از فایل‌ها را رمزگذاری می‌کند. به عبارت دیگر فایل‌هایی که سایزشان بزرگتر از ۴۰۹۶ است انتخاب می‌شوند. اگر مقدار بیشتر از ۶۲۲۵۹۲۰ باشد همین اندازه از فایل و در غیر این صورت مقدار ۱۰۲۴/(۱۰/اندازه فایل) از فایل برای رمزگذاری انتخاب می‌شود.

البته بدلیل جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرایند رمزگذاری درنظر گرفته نمی‌شوند و به دلیل عدم جلوگیری از فرایند رمزگذاری، چند برنامه‌ی کاربردی حذف و یا غیرفعال می شوند.

پاک کردن Shadow-Copy و Restore-Point

به منظور جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوطه پاک می شود.

روشن کردن کامپیوترها با سیگنال Wake-on-LAN

برای روشن کردن کامپیوترهای موجود در Lan از راه دور لازم است:
۱. قابلیت WoL در مادربورد و کارت شبکه فعال باشد.
۲. رایانه به برق متصل باشد.
۳. آدرس مک رایانه هدف موجود باشد.

کامپیوترهایی که این قابلیت در آنها “فعال” است منتظر یک “magic packet” هستند که در آن آدرس مک خودشان وجود دارد. معمولا از پروتکل UDP و پورت ۹ و ۷ برای ارسال این بسته استفاده می‌شود.

یکی از ویژگی های خاص این باج افزار، روشن کردن کلاینت های خاموش در شبکه برای رمزگذاری آنها است. با توجه به اینکه در اکثر سیستم ها به صورت پیش فرض سیگنال Wake-on-LAN فعال است، مهاجم به کمک دستور “arp -a”، مک آدرس قربانی را بدست آورده و بسته “MagicPacket” را بر روی پورت ۷ قربانی ارسال می کند.

توصیه‌های امنیتی

  • خاموش کردن کلاینت‌های کاری پس از اتمام ساعات کاری و قطع اتصال پاور آن‌ها
  • غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec
  • غیرفعال کردن سیگنال Wake-on-LAN در BIOS/UEFI
  • بستن پورت های ۷ و ۹ UDP به منظور جلوگیری از ارسال فرمان WOL در شبکه
  • مقاوم سازی و به روزرسانی سرویس های AD و DC به منظور جلوگیری از سوء استفاده بدافزارها
  • بررسی دوره‌ای لاگ های ویندوز
  • بکاپ گیری منظم
  • انتقال فایل های پشتیبان به خارج از شبکه
تصویر ادمین ادمین ارسال ایمیل ۵ آبان ۱۳۹۹آخرین به روز رسانی: ۵ آبان ۱۳۹۹
۰ 423 خواندن این مطلب 2 دقیقه زمان میبرد
نمایش بیشتر
تصویر ادمین

ادمین

نوشته های مشابه

CLS چیست؟

پارامتر CLS و اهمیت آن در سئوی سایت

۷ اردیبهشت ۱۴۰۱
الگوریتم mobile first index چیست

الگوریتم Mobile First Index گوگل

۱۴ تیر ۱۳۹۹
الگوریتم پاندا چیست

الگوریتم پاندا گوگل

۱۷ تیر ۱۳۹۹

معرفی افزونه BuddyPress در وردپرس

۱ شهریور ۱۳۹۹

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

استفاده از مطالب این سایت برای عموم آزاد است.
دکمه بازگشت به بالا