رمزگشایی فایل‌ها از طریق پودمان RDP؟!

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

رمزگشایی فایل‌ها از طریق پودمان RDP؟!
q1055
یک محقق امنیتی از شناسایی باج‌افزاری خبر داده که در اطلاعیه باج‌گیری آن از قربانی خواسته می‌شود تا پس از پرداخت مبلغ اخاذی شده، سرویس Remote Desktop را بر روی دستگاه فعال کرده و اطلاعات اصالت‌سنجی مورد نیاز را به نویسندگان این باج‌افزار ارسال کند.
باج‌افزار مذکور به فایل‌های رمزگذاری شده پسوند این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید].CommonRansom] را الصاق می‌کند.
مبلغ اخاذی شده توسط این باج‌افزار 0.1 بیت‌کوین – معادل 26 میلیون ریال – گزارش شده که پس از طی شدن مراحل پرداخت، می‌بایست ساعت انتقال وجه به همراه اطلاعاتی دیگر در قالب زیر به ایمیل این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید ارسال شود:


1. This ID-[VICTIM_ID]
2. [IP_ADDRESS]:PORT(rdp) of infected machine
3. Username:Password with admin rights
4. Time when you have paid 0.1 btc to this bitcoin wallet:
35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF


بدیهی است که در صورت ارسال اطلاعات اصالت‌سنجی، امکان هر گونه دست‌درازی از جمله نصب بدافزارهای دیگر فراهم خواهد شد.
شماره کیف بیت‌کوین اشاره شده در اطلاعیه باج‌گیری (35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF) نیز در گذشته فعالیت قابل توجهی داشته است. برای مثال مبلغ 65 بیت‌کوین – معادل 17 میلیارد ریال – از این نشانی به نشانی 1CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n منتقل شده است.
همچون همیشه، برای ایمن ماندن از گزند باج‌افزارها، رعایت موارد زیر توصیه می‌شود:
• از ضدویروس قدرتمند و به‌روز استفاده کنید.
• از اطلاعات سازمانی به‌صورت دوره‌ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده‌های حیاتی توصیه می‌شود. بر طبق این قاعده، از هر فایل سه نسخه می‌بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل‌ها باید بر روی دو رسانه ذخیره‌سازی مختلف نگهداری شوند. یک نسخه از فایل‌ها می‌‌بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• از نصب فوری آخرین اصلاحیه‌های امنیتی اطمینان حاصل کنید.
• به دلیل انتشار برخی از باج‌افزارها از طریق سوءاستفاده از قابلیت Dynamic Data Exchange در Office، با استفاده از راهنماهای پیشین نسبت به پیکربندی صحیح آن اقدام کنید.
• با توجه به انتشار بخش قابل توجهی از باج‌افزارها از طریق فایل‌های نرم‌افزار Office حاوی ماکروی مخرب، تنظیمات امنیتی ماکرو را بنحو مناسب پیکربندی کنید.
• ایمیل‌های دارای پیوست ماکرو را در درگاه شبکه مسدود کنید. بدین منظور می‌توانید از تجهیزات دیواره آتش، همچون FORTINET بهره بگیرید.
• آموزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل‌ها داشته باشد.
• با مطالعه این راهنما سازمان را در برابر باج افزارهای مبتنی بر پودمان RDP ایمن نگاه دارید.
Remote Desktop Protocol – به اختصار RDP – از پودمان‌های پراستفاده در سیستم عامل Windows است. علاوه بر مدیران و راهبران شبکه که این پودمان را برای اتصال به سرورها و ایستگاه‌های کاری سازمان به کار می‌گیرند، در بسیاری از سازمان‌های کوچک و متوسط نیز از RDP برای برقرار نمودن ارتباط از راه دور پیمانکاران حوزه فناوری اطلاعات، به سرورهایی همچون حقوق و دستمزد، اتوماسیون اداری و غیره نیز استفاده می‌شود.
در سال‌های اخیر، مهاجمان برای انجام فعالیت‌های مخربی همچون انتشار انواع بدافزارها از جمله باج‌افزارها به‌طور گسترده‌ای از پودمان RDP بهره گرفته‌اند.
برای درک بهتر اینکه مهاجمان چگونه از قابلیت پودمان RDP بهره می‌گیرند، به مثال زیر توجه شود:
1. یکی از کارکنان واحد منابع انسانی در دام یک ایمیل فریبنده افتاده و بدافزاری از نوع درب‌پشتی بر روی دستگاه سازمانی او نصب می‌شود.
2. درب‌پشتی برای دستیابی به اطلاعات اصالت‌سنجی کاربرانی که به دستگاه قربانی دسترسی داشته‌اند و اطلاعات آنها در حافظه دستگاه ذخیره شده، ابزار Mimikatz را به اجرا در می‌آورد.
3. درب‌پشتی یک تونل ارتباطی را با سرور فرماندهی مهاجم برقرار می‌کند.
4. مهاجم از طریق تونل ایجاد شده و پودمان RDP و همچنین رمزعبوری که در مرحله دوم بدست آورده به دستگاه کارمند واحد منابع انسانی وارد می‌شود.
5. مهاجم به‌منظور دستیابی به اطلاعات مالی از دستورات شمارشی Active Directory برای شناسایی دستگا‌ه‌های واحد مالی عضو دامنه استفاده می‌کند.
6. مهاجم از طریق پودمان RDP و با استفاده از اطلاعات اصالت‌سنجی کارمند واحد منابع انسانی که در مرحله دوم بدست آورده به یکی از دستگاه‌های شناسایی شده جدید متصل می‌شود.
7. مشابه مرحله دوم، مهاجم با استفاده از Mimikatz اطلاعات اصالت‌سنجی ذخیره شده در حافظه دستگاه واحد مالی را استخراج می‌کند. به‌عنوان نمونه اطلاعات می‌تواند متعلق به کارمند واحد مالی یا مدیر سیستمی باشد که اخیراً برای رفع عیب دستگاه به آن وارد شده است.
8. اکنون مهاجم از طریق پودمان RDP و با استفاده از حساب کاربری مدیر سیستم، کارمند واحد مالی و یا کارمند واحد منابع انسانی به دستگاه‌های دیگر داخل سازمان وارد می‌شود.
9. مهاجم پس از شناسایی و جمع‌آوری اطلاعات باارزش، آنها را به‌طور موقت بر روی دستگاه کارمند واحد منابع انسانی که مبداء اتصالات RDP در شبکه سازمان هدف قرار گرفته شده است ذخیره می‌کند.
10. در ادامه، مهاجم از طریق قابلیت Copy/Paste فعال شده در پودمان RDP اقدام به انتقال اطلاعات و فایل‌های ذخیره شده بر روی دستگاه واحد منابع انسانی به سیستم خود می‌کند.
q1056
از ابزارهای موسوم به بررسی کننده سایت استفاده شود.
دسترسی به پوشه‌های اشتراکی در حداقل سطح ممکن قرار داده شود.
سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج‌افزار آلوده نمی‌شود.