کد پاورشل؛ علت حمله باج‌افزاری به یکی از زیرساخت‌های کشور - پایگاه خبری بانکداری الکترونیک

کد پاورشل؛ علت حمله باج‌افزاری به یکی از زیرساخت‌های کشور

گزارش آزمایشگاه مرکز مدیریت راهبردی افتا نشان می‌دهد مبدا اصلی حمله باج‌افزاری اخیر به یکی از زیرساخت‌های کشور، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است.

به گزارش پایگاه خبری بانکداری الکترونیک، اقدامات مهاجمان به گونه‌ای بوده که بعضی از فایل‌های اکثر کلاینت‌ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند؛ به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر به‌طور کامل رمز شده‌اند.

بررسی‌های اولیه در آزمایشگاه مرکز افتا نشان می‌دهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست؛ ولی شواهدی مبنی بر سوءاستفاده از آسیب‌پذیری Zero logon در سرورها وجود دارد. این حمله به‌صورت File-less انجام شده و در حقیقت هیچ فایلی روی سیستم‌ قربانیان اجرا نشده و تمام عملیات مخرب به‌وسیله اجرای یک کد پاورشل از راه دور انجام شده است.

مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری کرده و همین فایل‌ها را در کمترین زمان تخریب کرده‌اند؛ در این حمله باج‌افزاری، به‌دلایل مختلف همچون عدم جلوگیری از فرآیند رمزگذاری، چند برنامه کاربردی حذف یا غیرفعال و برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می‌شود. مهاجمان در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند، فایلی را به نام Readme. READ ایجاد کردند که حاوی آدرس‌های ایمیل آنهاست. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این‌گونه باج‌افزارها توصیه می‌کند حتما کلاینت‌های کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود. غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/ PsExec و همچنین سیگنال WoL یا Wake-on-LAN در BIOS/ UEFI از دیگر توصیه‌های امنیتی برای مقابله با این‌گونه باج‌افزارها عنوان شده است. کارشناسان واحد امداد افتا همچنین از مسوولان و کارشناسان آی‌تی، خواسته‌اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت‌های ۷ و ۹ UDP را ببندند. برای جلوگیری از سوءاستفاده بدافزارها، مقاوم‌سازی و به‌روزرسانی سرویس‌های AD و DC توصیه می‌شود و برای شناسایی هرگونه ناهنجاری، به‌صورت دوره‌ای باید، لاگ‌های ویندوز بررسی شوند. پشتیبان‌گیری منظم و انتقال فایل‌های پشتیبان به خارج از شبکه، از دیگر راه‌های مقابله با هر نوع باج‌افزاری است و لازم است مسوولان و کارشناسان آی‌تی زیرساخت‌های کشور، همه این توصیه‌ها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باج‌افزار به همراه مستندات لازم، در سایت مرکز افتا منتشر شده است.

 

منبع: دنیای اقتصاد


خبر پیشنهادی
کارنامه مالی بانک های ملت، تجارت و صادرات

کرونا و افزایش نسبت درآمد به هزینه بانک ها

گفت‌وگو با آرمان امینی، مدیرعامل مستربیتکس

نقش صرافی‌های آنلاین در توسعه بازار رمزارز/ چالشی به نام متولی


این مطلب را به اشتراک بگذارید
خبر پیشنهادی