گذرواژه‌های ضعیف RDP راه ورود باج‌افزار می‌شوند

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q317

 

 

محققان امنیتی یک‌سری حملات باج‌افزاری شناسایی کرده‌اند که از آسیب‌پذیری گذرواژه‌های ضعیف که در بسیاری از شبکه‌های کسب‌وکار معمول است، بهره‌برداری می‌کنند.

 

به گزارش كارشناسان دژپاد، شرکت امنیتی كسپرسكي گزارش داد: «مجموعه‌ای از حملات باج‌افزار در برابر شرکت‌های کوچک و متوسط از پروتکل مدیریت راه دور میزکار (RDP) برای دسترسی به سامانه‌های آلوده استفاده می‌کنند.»

 

به عنوان بخشی از این حملات، عاملان مخرب از یک آسیب‌پذیری معمول در بسیاری از شبکه‌های کسب‌وکار بهره‌برداری می‌کنند: «گذرواژه‌های ضعیف». مهاجمان پس از دسترسی به سامانه از طریق پروتکل مدیریت راه دور میزکار و شکستن گذرواژه به‌راحتی می‌توانند بدافزار خود را در سامانه‌های شرکت نصب کرده و امیدوار باشند که بتوانند مبلغی به عنوان باج جمع‌آوری کنند.

 

شرکت KASPERSKY توضیح می‌دهد: «کشف درگاه‌های RDP که در اینترنت افشا شده‌اند، اصلا کار سختی نیست. مجرمان سایبری می‌توانند موتورهای جست‌وجوی اختصاصی مانند موتور کشف آسیب‌پذیری Shodan را برای این کار مورد استفاده قرار دهند و سپس از ابزارهای عمومی یا خصوصی برای دسترسی به سامانه‌های شناسایی‌شده بهره‌برداری کنند.»

 

شرکت KASPERSKY گفت: «با تجزیه‌وتحلیل بخشی از این حملات مشخص شده‌است که مهاجمان با استفاده از یک ابزار به نام NLBrute سعی می‌کنند با امتحان کردن گذرواژه‌های RDP مختلف به سامانه‌ هدف دسترسی پیدا کنند. هنگامی که مهاجمان توانستند که گذرواژ‌ه‌ درست را پیدا کنند، به سرعت به شبکه‌ وارد شده و حساب‌های مدیریت خود را ایجاد می‌کنند.»

 

با انجام این‌کار حتی اگر گذرواژه‌ مدیری که مهاجمان برای نخستین‌بار برای دسترسی به شبکه مورد استفاده قرار دادند، تغییر یابد، آنها می‌توانند دوباره به شبکه متصل شوند. پژوهشگران می‌گویند: «مهاجمان در این حالت، دارای حساب‌های پشتیبان هستند که می‌توانند بعداً از آنها استفاده کنند.»

 

در مرحله‌ بعد، پس از اینکه مهاجمان برنامه‌های ضدبدافزار را خاموش کردند و یا تنظیمات این برنامه‌ها را تغییر دادند، یک نرم‌افزار سامانه کم‌حجم مانند Process Hacker را بارگیری و نصب می‌کنند. آنها همچنین تلاش می‌کنند تا در طول بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده ازجمله آسیب‌پذیری‌های CVE-۲۰۱۷-۰۲۱۳ و CVE-۲۰۱۶-۰۰۹۹ که مدت زیادی طول کشید تا توسط مایکروسافت وصله شوند، استفاده کنند.

 

مهاجمان همچنین سرویس‌های پایگاه داده را خاموش می‌کنند تا بدافزار آنها بتواند پایگاه داده‌ها را نیز هدف قرار دهد و همچنین سرویس پشتیبان زنده‌ی ویندوز به نام Volume Shadow Copy را خاموش کرده و پشتیبان‌های موجود را نیز پاک می‌کنند تا قربانیان نتوانند بدون پرداخت باج پرونده‌های آسیب‌دیده را بازیابی کنند. بعد آنها باج‌افزار خود را بارگذاری و اجرا می‌کنند.

 

به گفته‌ شرکت KASPERSKY، این مهاجمان از قربانیان خود باجی به مبلغ یک بیت‌کوین (هر بیت‌کوین هم‌اکنون هشت هزار دلار قمیت دارد) درخواست کرده‌اند. با اینکه شرکت‌های زیادی تحت تاثیر این حملات قرار گرفته‌اند، کیف پول بیت‌کوین مهاجمان فقط یک تراکنش را نشان می‌دهد که با باج درخواستی تطابق دارد. محققان امنیتی می‌گویند: «یا قربانیان مبلغ درخواست شده را پرداخت نکرده‌اند و یا توانسته‌اند روی مبلغ کمتری با مهاجمان به توافق برسند.»

 

شرکت KASPERSKY می‌گوید: «قربانیان این نوع حملات تقریباً همیشه شرکت‌های کوچک و متوسط هستند در بررسی‌های ما بزرگ‌ترین کسب‌وکار دارای ۱۲۰ کارمند بود، اما بیشتر آنها ۳۰ نفر و یا کمتر کارمند داشتند.»

 

به سازمان‌ها توصیه می‌شود برای اینکه در برابر این حملات از خود محافظت کنند، RDP را خاموش کرده و یا اگر نیاز دارند که به‌صورت منظم از این پروتکل استفاده کنند، راهکارهای حفاظتی خوبی را به کار گیرند. سازمان‌ها همچنین باید توجه داشته‌باشند که برای برقراری ارتباط با شبکه‌های خارجی یک شبکه‌ خصوصی مجازی (VPN) و احراز هویت دو مرحله‌ای را مورد استفاده قرار دهند و همچنین هرچه سریع‌تر وصله‌های در دسترس را نصب کنند تا مطمئن شوند که سامانه‌های آنها محافظت‌شده باقی می‌مانند.

 

پول دوکلین، یکی از پژوهشگران ارشد شرکت KASPERSKY ، گفت: «احتمالاً شنیده‌اید که می‌گویند اگر می‌خواهید کاری درست انجام شود، خودتان آن را انجام دهید. متاسفانه کلاهبرداران سایبری برای انجام اقدامات مخرب خود به این توصیه عمل کرده‌اند؛ اگر شما به‌طور نادرستی دسترسی از راه دور به شبکه‌ خود را راه‌اندازی کنید، مهاجمان می‌توانند به شبکه‌ شما وارد شده و مانند هر کاربر قانونی دیگری فعالیت کنند به‌سادگی با اجرای مستقیم باج‌افزار و بدون نیاز به برنامه‌ مدیریت یا کارگزار کنترل و فرمان سامانه‌های شما را آلوده کنند. این بدان معنی است که مجرمان سایبری برای راه‌اندازی این حملات نیازی به به‌کارگیری رایانامه‌ها، مهندسی اجتماعی یا ضمیمه‌های مخرب ندارند.»

 

با این حال، استفاده از RDP برای توزیع بدافزار یک شیوه‌ جدید نیست. در حقیقت، این روش حمله در اوایل سال جاری بسیار محبوب بود در حدی که تقریباً جای استفاده از ایمیل برای توزیع باج‌افزار را پر کرده‌بود.

 

ماه گذشته، یکی از مشتقات باج‌افزار BTCware به نام Payday مشاهده شد که از همین روش برای توزیع استفاده می‌کرد. پژوهشگران امنیتی با بررسی این حملات کشف کردند که متصدیان این بدافزار از حملات جست‌وجوی فراگیر (brute-force) برای شکستن گذرواژه‌های RDP و تحت‌تاثیر قرار دادن سامانه‌هایی که دارای امنیت ضعیفی هستند، استفاده می‌کنند.

 

محققان امنیتی یک‌سری حملات باج‌افزاری شناسایی کرده‌اند که از آسیب‌پذیری گذرواژه‌های ضعیف که در بسیاری از شبکه‌های کسب‌وکار معمول است، بهره‌برداری می‌کنند.

به گزارش كارشناسان دژپاد، شرکت امنیتی كسپرسكي گزارش داد: «مجموعه‌ای از حملات باج‌افزار در برابر شرکت‌های کوچک و متوسط از پروتکل مدیریت راه دور میزکار (RDP) برای دسترسی به سامانه‌های آلوده استفاده می‌کنند

به عنوان بخشی از این حملات، عاملان مخرب از یک آسیب‌پذیری معمول در بسیاری از شبکه‌های کسب‌وکار بهره‌برداری می‌کنند: «گذرواژه‌های ضعیف». مهاجمان پس از دسترسی به سامانه از طریق پروتکل مدیریت راه دور میزکار و شکستن گذرواژه به‌راحتی می‌توانند بدافزار خود را در سامانه‌های شرکت نصب کرده و امیدوار باشند که بتوانند مبلغی به عنوان باج جمع‌آوری کنند.

شرکت KASPERSKY توضیح می‌دهد: «کشف درگاه‌های RDP که در اینترنت افشا شده‌اند، اصلا کار سختی نیست. مجرمان سایبری می‌توانند موتورهای جست‌وجوی اختصاصی مانند موتور کشف آسیب‌پذیری Shodan را برای این کار مورد استفاده قرار دهند و سپس از ابزارهای عمومی یا خصوصی برای دسترسی به سامانه‌های شناسایی‌شده بهره‌برداری کنند

شرکت KASPERSKY گفت: «با تجزیه‌وتحلیل بخشی از این حملات مشخص شده‌است که مهاجمان با استفاده از یک ابزار به نام NLBrute سعی می‌کنند با امتحان کردن گذرواژه‌های RDP مختلف به سامانه‌ هدف دسترسی پیدا کنند. هنگامی که مهاجمان توانستند که گذرواژ‌ه‌ درست را پیدا کنند، به سرعت به شبکه‌ وارد شده و حساب‌های مدیریت خود را ایجاد می‌کنند

با انجام این‌کار حتی اگر گذرواژه‌ مدیری که مهاجمان برای نخستین‌بار برای دسترسی به شبکه مورد استفاده قرار دادند، تغییر یابد، آنها می‌توانند دوباره به شبکه متصل شوند. پژوهشگران می‌گویند: «مهاجمان در این حالت، دارای حساب‌های پشتیبان هستند که می‌توانند بعداً از آنها استفاده کنند

در مرحله‌ بعد، پس از اینکه مهاجمان برنامه‌های ضدبدافزار را خاموش کردند و یا تنظیمات این برنامه‌ها را تغییر دادند، یک نرم‌افزار سامانه کم‌حجم مانند Process Hacker را بارگیری و نصب می‌کنند. آنها همچنین تلاش می‌کنند تا در طول بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده ازجمله آسیب‌پذیری‌های CVE-۲۰۱۷-۰۲۱۳ و CVE-۲۰۱۶-۰۰۹۹ که مدت زیادی طول کشید تا توسط مایکروسافت وصله شوند، استفاده کنند.

مهاجمان همچنین سرویس‌های پایگاه داده را خاموش می‌کنند تا بدافزار آنها بتواند پایگاه داده‌ها را نیز هدف قرار دهد و همچنین سرویس پشتیبان زنده‌ی ویندوز به نام Volume Shadow Copy را خاموش کرده و پشتیبان‌های موجود را نیز پاک می‌کنند تا قربانیان نتوانند بدون پرداخت باج پرونده‌های آسیب‌دیده را بازیابی کنند. بعد آنها باج‌افزار خود را بارگذاری و اجرا می‌کنند.

به گفته‌ شرکت KASPERSKY، این مهاجمان از قربانیان خود باجی به مبلغ یک بیت‌کوین (هر بیت‌کوین هم‌اکنون هشت هزار دلار قمیت دارد) درخواست کرده‌اند. با اینکه شرکت‌های زیادی تحت تاثیر این حملات قرار گرفته‌اند، کیف پول بیت‌کوین مهاجمان فقط یک تراکنش را نشان می‌دهد که با باج درخواستی تطابق دارد. محققان امنیتی می‌گویند: «یا قربانیان مبلغ درخواست شده را پرداخت نکرده‌اند و یا توانسته‌اند روی مبلغ کمتری با مهاجمان به توافق برسند

شرکت KASPERSKY می‌گوید: «قربانیان این نوع حملات تقریباً همیشه شرکت‌های کوچک و متوسط هستند در بررسی‌های ما بزرگ‌ترین کسب‌وکار دارای ۱۲۰ کارمند بود، اما بیشتر آنها ۳۰ نفر و یا کمتر کارمند داشتند

به سازمان‌ها توصیه می‌شود برای اینکه در برابر این حملات از خود محافظت کنند، RDP را خاموش کرده و یا اگر نیاز دارند که به‌صورت منظم از این پروتکل استفاده کنند، راهکارهای حفاظتی خوبی را به کار گیرند. سازمان‌ها همچنین باید توجه داشته‌باشند که برای برقراری ارتباط با شبکه‌های خارجی یک شبکه‌ خصوصی مجازی (VPN) و احراز هویت دو مرحله‌ای را مورد استفاده قرار دهند و همچنین هرچه سریع‌تر وصله‌های در دسترس را نصب کنند تا مطمئن شوند که سامانه‌های آنها محافظت‌شده باقی می‌مانند.

پول دوکلین، یکی از پژوهشگران ارشد شرکت KASPERSKY ، گفت: «احتمالاً شنیده‌اید که می‌گویند اگر می‌خواهید کاری درست انجام شود، خودتان آن را انجام دهیدمتاسفانه کلاهبرداران سایبری برای انجام اقدامات مخرب خود به این توصیه عمل کرده‌اند؛ اگر شما به‌طور نادرستی دسترسی از راه دور به شبکه‌ خود را راه‌اندازی کنید، مهاجمان می‌توانند به شبکه‌ شما وارد شده و مانند هر کاربر قانونی دیگری فعالیت کنند به‌سادگی با اجرای مستقیم باج‌افزار و بدون نیاز به برنامه‌ مدیریت یا کارگزار کنترل و فرمان سامانه‌های شما را آلوده کنند. این بدان معنی است که مجرمان سایبری برای راه‌اندازی این حملات نیازی به به‌کارگیری رایانامه‌ها، مهندسی اجتماعی یا ضمیمه‌های مخرب ندارند

با این حال، استفاده از RDP برای توزیع بدافزار یک شیوه‌ جدید نیست. در حقیقت، این روش حمله در اوایل سال جاری بسیار محبوب بود در حدی که تقریباً جای استفاده از ایمیل برای توزیع باج‌افزار را پر کرده‌بود.

ماه گذشته، یکی از مشتقات باج‌افزار BTCware به نام Payday مشاهده شد که از همین روش برای توزیع استفاده می‌کرد. پژوهشگران امنیتی با بررسی این حملات کشف کردند که متصدیان این بدافزار از حملات جست‌وجوی فراگیر (brute-force) برای شکستن گذرواژه‌های RDP و تحت‌تاثیر قرار دادن سامانه‌هایی که دارای امنیت ضعیفی هستند، استفاده می‌کنند.