مركز افتای ریاست جمهوری اعلام كرد؛

چرایی و چگونگی حمله اخیر باج افزاری به یكی از زیرساخت های كشور

چرایی و چگونگی حمله اخیر باج افزاری به یكی از زیرساخت های كشور

به گزارش گوپا مركز مدیریت راهبردی افتا، اعلام نمود: بررسی های اولیه در آزمایشگاه این مركز نشان میدهد كه مبدا اصلی حمله اخیر باج افزاری، اجرای یك كد پاورشل از روی یكی از سرورهای DC بوده است.


به گزارش گوپا به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، به دنبال بروز یک حادثه باج افزاری در یکی از زیرساخت های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است. اقدامات مهاجمین بگونه ای بوده است که برخی از فایل هایِ بیشتر کلاینت ها و سرورهای متصل به دامنه، گرفتار تغییر شده اند به نحوی که بعضی از فایل ها فقط پسوندشان تغییر یافته، برخی دیگر فقط قسمتی از فایل و بعضی دیگر به طور کامل رمز شده اند. بررسی های اولیه در آزمایشگاه مرکز افتا نشان داده است که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها معلوم نیست ولی شواهدی در خصوص سوءاستفاده از لطمه پذیری Zero logon در سرورها وجود دارد. این حمله به صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستم های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است. مهاجمان سایبری تنها قسمتی از فایل ها را رمزگذاری و همین فایل ها را در کمترین زمان تخریب کرده اند و برای پیشگیری از ایجاد اختلال در عملکرد خود سیستم عامل، قسمتی از فایل ها و مسیرهای خاص در پروسه رمزگذاری درنظر نگرفته اند. در این حمله باج افزاری، به دلیلهای مختلف همچون عدم پیشگیری از پروسه رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال و برای پیشگیری از بازگرداندن فایل های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود. مهاجمین در پوشه هایی که فایل های آن رمزنگاری شده اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس های ایمیل آنها است. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این گونه باج افزارها سفارش می کنند حتما کلاینت های کاری بعد از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود. غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همین طور سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر سفارش های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است. کارشناسان واحد امداد افتا همین طور از مسئولان و کارشناسان آی تی خواسته اند تا برای پیشگیری از ارسال فرمان WOL در شبکه، پورت های ۷ و ۹ UDP را ببندند. برای پیشگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویسهای AD و DC سفارش می شود و باید برای شناسایی هر گونه ناهنجاری، بصورت دوره ای لاگ های ویندوز بررسی شوند. مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایل های پشتیبان را به خارج از شبکه، از دیگر راه های مقابله با هر نوع باج افزاری عنوان می کند و از همه مسئولان و کارشناسان آی تی زیرساخت های کشور خواسته است تا همه این سفارش ها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا به آدرس https: //afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۱۳۱ انتشار یافته است.


منبع:

1399/08/06
12:30:31
5.0 / 5
349
تگهای خبر: آزمایش , ساخت , سایت , سیستم
این مطلب را می پسندید؟
(1)
(0)

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۱ بعلاوه ۵
گوپا