چرایی و چگونگی حمله اخیر باج‌افزاری به یکی از زیرساخت‌های کشور

مرکز مدیریت راهبردی افتا، اعلام کرد: بررسی‌های اولیه در آزمایشگاه این مرکز نشان می‌دهد که مبدا اصلی حمله اخیر باج‌افزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC بوده است.

به گزارش مشرق به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، در پی بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.

اقدامات مهاجمین به ‌گونه‌ای بوده است که بعضی از فایل‌هایِ اکثر کلاینت ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بطور کامل رمز شده‌اند.

بررسی‌های اولیه در آزمایشگاه مرکز افتا نشان می‌دهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیب پذیری Zero logon در سرورها وجود دارد.

این حمله به صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستم‌های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.

مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری و همین فایل‌ها را در کمترین زمان تخریب کرده‌اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرایند رمزگذاری درنظر نگرفته‌اند.

در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرایند رمزگذاری، چند برنامه‌ کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود.

مهاجمین در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس‌های ایمیل آنها است.

کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این‌گونه باج افزارها توصیه می کنند حتما کلاینت‌های کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آن‌ها قطع شود.

غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همچنین سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر توصیه‌های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.

کارشناسان واحد امداد افتا همچنین از مسئولان و کارشناسان آی تی خواسته اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت‌های ۷ و ۹ UDP را ببندند.

برای جلوگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویس های AD و DC توصیه می شود و باید برای شناسایی هر گونه ناهنجاری، بصورت دوره ای لاگ های ویندوز بررسی شوند.

مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایل‌های پشتیبان را به خارج از شبکه، از دیگر راه‌های مقابله با هر نوع باج افزاری عنوان می‌کند و از همه مسئولان و کارشناسان آی تی زیرساخت‌های کشور خواسته است تا همه این توصیه‌ها را به دقت انجام دهند.

مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا به آدرس https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۱۳۱ منتشر شده است.

نظر شما

شما در حال پاسخ به نظر «» هستید.
captcha

نظرات

  • انتشار یافته: 6
  • در انتظار بررسی: 0
  • غیر قابل انتشار: 0
  • ایرانی IR ۰۰:۳۴ - ۱۳۹۹/۰۸/۰۶
    9 3
    چرا این زیرساخت‌ صنعتی ، از ویندوز سرور استفاده میکنه!؟ چرا از لینوکس یا بهتر از اون ، از FreeBSD (یونیکس) استفاده نمیکنید؟ در خود امریکا هم به ویندوز سرور اعتماد ندارند و تمام کامپیوترهای سرور ، اداری و نظامی شون یا سیستم عامل FreeBSD (سیستم عامل یونیکس بیس) هستند یا لینوکس RedHat. اونوقت ما در فلان زیرساخت صنعتی مون از ویندوز مایکروسافت که معروف به سوراخ! هست استفاده میکنیم...
  • حقدوست IR ۰۳:۳۱ - ۱۳۹۹/۰۸/۰۶
    0 1
    بنده متخصص نیستم اما یکی از بهترین راه ها در کنار راهای دیگر همین پشتیبان گیری در خارج از شبکه است انها چند پشتیبان
  • IR ۰۷:۳۹ - ۱۳۹۹/۰۸/۰۶
    3 0
    اون زیرساخت اسم هم داره؟
  • IR ۰۹:۴۵ - ۱۳۹۹/۰۸/۰۶
    0 1
    خب پاور شل رو ببندین
  • IR ۱۱:۴۸ - ۱۳۹۹/۰۸/۰۶
    1 2
    باید یک فکر اساسی بکنید.هر چند سخت و افتادنها داره.خودتان یک سیستم عامل درست کنید.از این به بعد تا دنیا بر پا هست زندگی ما براساس این سیستم عاملها هست.چه گووشی و چه کامپیوتر.خارجی که خودی نیست دلش برامون بسوزه.ان میفروشه و بجاش ممکنه سواستفاده کنه.پس یا علی بگید یک یا چند سیستم عامل درست کنید.
  • حسين DE ۱۵:۲۱ - ۱۳۹۹/۰۸/۰۶
    0 0
    من هيچ گونه تخصصى در اين زمينه ندارم و تنها يك پرسش مطرح ميكنم كه اميدوارم پاسخ مستدلى دريافت كنم،آيا با توجه به پيشرفت نسبى ما در عرصه علوم فضائى آيا وقت آن فرا نرسيده كه ما داراى شبكه اينترنت ملى باشيم ؟تا بتوانيم ضريب امنيتى خودمان را بالا ببريم.

این مطالب را از دست ندهید....

فیلم برگزیده

برگزیده ورزشی

برگزیده عکس