بازار آریا

آخرين مطالب

چگونگی حمله باج‌ افزاری به یکی از زیرساخت‌ها اقتصاد ايران

  بزرگنمايي:

بازار آریا - بررسی‌های اولیه در آزمایشگاه مرکز مدیریت راهبردی افتا نشان می‌دهد که مبدا اصلی حمله اخیر باج‌افزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است.
ایسنا: بررسی‌های اولیه در آزمایشگاه مرکز مدیریت راهبردی افتا نشان می‌دهد که مبدا اصلی حمله اخیر باج‌افزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است.
در پی بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز مدیریت راهبردی افتای ریاست جمهوری ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.
اقدامات مهاجمین به ‌گونه‌ای بوده است که بعضی از فایل‌های اکثر کلاینت‌ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر به‌طور کامل رمز شده‌اند.
بررسی‌های اولیه در آزمایشگاه مرکز افتا نشان می‌دهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیب‌پذیری Zero logon در سرورها وجود دارد. این حمله به‌صورت File-less انجام شده و در حقیقت هیچ فایلی روی سیستم‌های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.
مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری و همین فایل‌ها را در کمترین زمان تخریب کرده‌اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرایند رمزگذاری درنظر نگرفته‌اند. در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرایند رمزگذاری، چند برنامه‌ کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می‌شود.
مهاجمین در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس‌های ایمیل آنهاست. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این‌گونه باج افزارها توصیه می‌کنند حتما کلاینت‌های کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آن‌ها قطع شود. غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همچنین سیگنال WoL یا Wake-on-LAN در BIOS/UEFI از دیگر توصیه‌های امنیتی برای مقابله با این گونه باج‌افزارها عنوان شده است.
کارشناسان واحد امداد افتا همچنین از مسوولان و کارشناسان آی‌تی، خواسته‌اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت‌های 7 و 9 UDP را ببندند. برای جلوگیری از سوءاستفاده بدافزارها، مقاوم‌سازی و به‌روزرسانی سرویس‌های AD و DC توصیه می‌شود و برای شناسایی هرگونه ناهنجاری، به‌صورت دوره‌ای باید، لاگ‌های ویندوز بررسی شوند. پشتیبان‌گیری منظم و انتقال فایل‌های پشتیبان را به خارج از شبکه، از دیگر راه‌های مقابله با هر نوع باج‌افزاری است و لازم است مسوولان و کارشناسان آی‌تی زیرساخت‌های کشور، همه این توصیه‌ها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا منتشر شده است.


نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

ترامپ با آغاز روند انتقال قدرت به بایدن موافقت کرد

ابتکار: لایحه تامین امنیت زنان به دولت می‌رود

جنجال تازه در روابط ترکیه-آلمان

هشدار پلیس درباره کلاهبرداریِ کرونایی

اقدام جدید آمریکا علیه ایران

آیا نتانیاهو واقعا به عربستان رفت؟

چرا هوای تهران هنوز آلوده است؟

رویترز: یلین وزیر خزانه‌داری بایدن می‌شود

تله ناتو برای روسیه

نیم قرن با سکه‌ای در بینی!

سناریو ترامپ برای خروج نیروهای آمریکایی از عراق

واکنش فعال اصولگرا به توئیت سردار سعید محمد

رشد ارزش سهام عدالت در روز صعود بورس

افزایش نرخ سود اوراق دولتی در همه سررسیدها

کاهش مصرف بنزین در کشور با اجرای محدودیت‌های کرونا

آینده مبهم صنعت خودروسازی جهان در سایه کرونا

انتقاد نماینده مجلس از افزایش 50 درصدی قیمت لاستیک خودرو

سازمان صمت تهران: قیمت مرغ تا هفته آینده متعادل می‌شود

رفتار احتیاطی معامله‌گران در بازار ارز

صف سنگین فروش مسکن در بازار / رشد 4 برابری فایل‌های فروش خانه

رونق بازار خودروهای تصادفی / لاشه خودرو خارجی گران‌تر از خودرو صفر داخلی

اهمیت صنعت خودرو با چندآمار از "خودرو و خسایا" /درخواست تغییر روش تامین مالی

محاسبه آخرین ارزش روز و بازده سهام 4 پالایشگاه بورسی در ETF دوم

بازارگردانی سهام " فخوز، غزر" و 8 شرکت بورسی دیگر شروع شد

انتشار آخرین فهرست بازارگردان سهام ‌429 شرکت بورسی و فرابورسی

استفاده از 30 درصد سرمایه مردم در بورس برای حمایت از پترو پالایشی ها

نقشه ترافیک تهران در سومین شب محدودیت‌ها

قتل نوجوان 14ساله در نزاع در پاکدشت

زندگی در مریخ در گنبدهای شیشه‌ای

آیفون 70میلیونی در بازار ایران

کنایه‌های ریز و درشت توئیتری‌ها به گرانی مرغ

بازداشت 3 متخلف بدون ماسک در دنا

سه راه پیشنهادی اشتون برای احیای برجام

تأسیسات نفتی عربستان هدف قرار گرفت

ارتباط درهم تنیده آرتریت روماتوئید و سرطان

نتیجه انتخابات آمریکا در آریزونا تایید می‌شود؟

لودریان: مانع دستیابی ایران به سلاح اتمی می‌شویم

جان کری هم در دولت جو بایدن سمت گرفت

کنایه محمدجواد لاریجانی به مصاحبه ظریف

برای سلامتی حسن ناهید دعا کنید

گرفتگی بینی، ویروس را بیشتر پخش می‌کند

وعده برخورد با گران‌فروشانِ مرغ

تلاش برای بازگرداندن کارگردان ناراضیِ «زیرخاکی»

علامت‌های اعتیاد به شکر

تغییرات عجیب در قیمت مرغ

جریمه چه خودروهایی پاک خواهد شد؟

خوانندگی رضا رشیدپور روی آنتن زنده

آمریکا به دنبال تحریم بیش از 100 شرکت روسی و چینی

رتبه اول کسب درآمد در پهنه الف برای منطقه 12

آمادگی نیروهای خدمات شهری شهرداری منطقه 16 برای مقابله با آبگرفتگی