کد پاورشل؛ علت حمله باجافزاری به یکی از زیرساختهای کشور
گزارش آزمایشگاه مرکز مدیریت راهبردی افتا نشان میدهد مبدا اصلی حمله باجافزاری اخیر به یکی از زیرساختهای کشور، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است.
به گزارش پایگاه خبری بانکداری الکترونیک، اقدامات مهاجمان به گونهای بوده که بعضی از فایلهای اکثر کلاینتها و سرورهای متصل به دامنه، دچار تغییر شدهاند؛ به نحوی که برخی از فایلها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر بهطور کامل رمز شدهاند.
بررسیهای اولیه در آزمایشگاه مرکز افتا نشان میدهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست؛ ولی شواهدی مبنی بر سوءاستفاده از آسیبپذیری Zero logon در سرورها وجود دارد. این حمله بهصورت File-less انجام شده و در حقیقت هیچ فایلی روی سیستم قربانیان اجرا نشده و تمام عملیات مخرب بهوسیله اجرای یک کد پاورشل از راه دور انجام شده است.
مهاجمان سایبری تنها بخشی از فایلها را رمزگذاری کرده و همین فایلها را در کمترین زمان تخریب کردهاند؛ در این حمله باجافزاری، بهدلایل مختلف همچون عدم جلوگیری از فرآیند رمزگذاری، چند برنامه کاربردی حذف یا غیرفعال و برای جلوگیری از بازگرداندن فایلهای قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک میشود. مهاجمان در پوشههایی که فایلهای آن رمزنگاری شدهاند، فایلی را به نام Readme. READ ایجاد کردند که حاوی آدرسهای ایمیل آنهاست. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با اینگونه باجافزارها توصیه میکند حتما کلاینتهای کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود. غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/ PsExec و همچنین سیگنال WoL یا Wake-on-LAN در BIOS/ UEFI از دیگر توصیههای امنیتی برای مقابله با اینگونه باجافزارها عنوان شده است. کارشناسان واحد امداد افتا همچنین از مسوولان و کارشناسان آیتی، خواستهاند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورتهای ۷ و ۹ UDP را ببندند. برای جلوگیری از سوءاستفاده بدافزارها، مقاومسازی و بهروزرسانی سرویسهای AD و DC توصیه میشود و برای شناسایی هرگونه ناهنجاری، بهصورت دورهای باید، لاگهای ویندوز بررسی شوند. پشتیبانگیری منظم و انتقال فایلهای پشتیبان به خارج از شبکه، از دیگر راههای مقابله با هر نوع باجافزاری است و لازم است مسوولان و کارشناسان آیتی زیرساختهای کشور، همه این توصیهها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باجافزار به همراه مستندات لازم، در سایت مرکز افتا منتشر شده است.
منبع: دنیای اقتصاد