چرایی حمله باجافزاری به یکی از زیرساختهای کشور
مرکز مدیریت راهبردی افتای ریاست جمهوری اعلام کرد: بررسیهای اولیه در آزمایشگاه این مرکز نشان میدهد که مبدأ اصلی حمله اخیر باجافزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است.
بهگزارش «ایران»، در پی بروز یک حادثه باجافزاری در یکی از زیرساختهای حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.
اقدامات مهاجمان به گونهای بوده است که بعضی از فایلهای اکثر کلاینتها و سرورهای متصل به دامنه، دچار تغییر شدهاند به نحوی که برخی از فایلها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بهطور کامل رمزگذاری شدهاند.
بررسیهای اولیه در آزمایشگاه مرکز افتا نشان میدهد که مبدأ اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیبپذیری Zero logon در سرورها
وجود دارد.
این حمله بهصورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستمهای قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.
مهاجمان سایبری تنها بخشی از فایلها را رمزگذاری وهمین فایلها را در کمترین زمان تخریب کردهاند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستمعامل، بخشی از فایلها و مسیرهای خاص در فرآیند رمزگذاری درنظر نگرفتهاند.
در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرآیند رمزگذاری، چند برنامه کاربردی حذف یا غیرفعال و برای جلوگیری از بازگرداندن فایلهای قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک میشود.
مهاجمان در پوشههایی که فایلهای آن رمزنگاری شدهاند، فایلی را بهنام Readme.READ ایجاد کردند که حاوی آدرسهای ایمیل آنهاست.
کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با اینگونه باج افزارها توصیه میکنند حتماً کلاینتهای کاری پس از اتمام ساعات کاری خاموش شوند واتصال پاور آنها قطع شود.
غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Power shell/PsExec و همچنین سیگنال(Wake-on-LAN (WoL در BIOS/UEFI از دیگر توصیههای امنیتی برای مقابله با این گونه باج افزارها عنوان شده است.
کارشناسان واحد امداد افتا همچنین از مسئولان و کارشناسان آی تی، خواستهاند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورتهای ۷ و ۹ UDP را ببندند.
مشروح بررسی تحلیلی و فنی این باج افزاربه همراه مستندات لازم، در سایت مرکز افتا به آدرس afta.gov.ir/portal/home/?news/235046/237267/242131 منتشر شده است.
ارسال دیدگاه
- ضمن تشکر از بیان دیدگاه خود به اطلاع شما رسانده می شود که دیدگاه شما پس از تایید نویسنده این مطلب منتشر خواهد شد.
- دیدگاه ها ویرایش نمی شوند.
- از ایمیل شما فقط جهت تشخیص هویت استفاده خواهد شد.
- دیدگاه های تبلیغاتی ، اسپم و مغایر عرف تایید نمی شوند.
ویژه نامه