شنبه 15 آذر 1399 - Sat 05 Dec 2020
  • چگونه مدیران کشور با پشت کردن به گذشته خود، به سبک زندگی غربی گرایش پیدا می کنند؟!

  • همراهی صداوسیما، مجلس یازدهم و شورای نگهبان در مقابل دولت روحانی

  • سعید محمد ، رئیس جمهوری با لباس سبز!/ چرا فرمانده قرارگاه خاتم لباس نظامی بر تن کرد؟

  • گلایه حریرچی از سلبریتی‌ها / چرا سکوت کردید؟

  • ایران چه پاسخی به ترور شهید فخری‌زاده می‌دهد؟

  • قیمت روز خودرو‌های داخلی ۱۳۹۹/۰۹/۱۵

  • قیمت ارز، دلار، یورو، طلا و سکه ۱۳۹۹/۰۹/۱۵

  • شرکت «دانش پارسیان» چه نقشی در افشای اطلاعات کشور داشته است؟

  • مؤسسه مطالعات امنیت ملی رژیم صهیونیستی بررسی کرد/ علت اصرار اصلاح‌طلبان بر مذاکره با آمریکا چیست؟

  • نقش واشنگتن وتل آویو در به شهادت رساندن سردارسلیمانی ثابت شده است

  • فیلم/شغل فرزندان شهید فخری زاده چیست؟

  • پرسپولیس به دنبال بستن پرونده ۲ خارجی

  • توافق گسترده‌تر نیاز است زیرا نمی‌توان به ایران اعتماد کرد.

  • ترور«فخری‌زاده»بدون پاسخ نمی‌ماند/ اسرائیل عامل این جنایت بود

  • اعلام شرایط پرداخت وام فوری 135میلیونی از هفته اینده

  • پرداخت حقوق به کارمندان زن BBC همراه با تجاوز

  • پشت پرده ناامنی‌ها در مناطق شمالی عراق چیست؟

  • آشنایی با سازمان ملکه ترور ( مریم رجوی)/شناخت و برسی سازمان منافقین از ابتدا تا به امروز (قسمت اول)

  • توضیح پلیس در مورد صنوف مجاز به فعالیت پایتخت از شنبه

  • حفاظت از شخصیت‌های مهم نظام با چه نهادی است؟ / دردسر احمدی نژاد برای سپاه انصارالمهدی

  • چگونه مدیران کشور با پشت کردن به گذشته خود، به سبک زندگی غربی گرایش پیدا می کنند؟!

  • همراهی صداوسیما، مجلس یازدهم و شورای نگهبان در مقابل دولت روحانی

  • سعید محمد ، رئیس جمهوری با لباس سبز!/ چرا فرمانده قرارگاه خاتم لباس نظامی بر تن کرد؟

  • گلایه حریرچی از سلبریتی‌ها / چرا سکوت کردید؟

  • ایران چه پاسخی به ترور شهید فخری‌زاده می‌دهد؟

  • قیمت روز خودرو‌های داخلی ۱۳۹۹/۰۹/۱۵

  • قیمت ارز، دلار، یورو، طلا و سکه ۱۳۹۹/۰۹/۱۵

  • شرکت «دانش پارسیان» چه نقشی در افشای اطلاعات کشور داشته است؟

  • مؤسسه مطالعات امنیت ملی رژیم صهیونیستی بررسی کرد/ علت اصرار اصلاح‌طلبان بر مذاکره با آمریکا چیست؟

  • نقش واشنگتن وتل آویو در به شهادت رساندن سردارسلیمانی ثابت شده است

  • فیلم/شغل فرزندان شهید فخری زاده چیست؟

  • پرسپولیس به دنبال بستن پرونده ۲ خارجی

  • توافق گسترده‌تر نیاز است زیرا نمی‌توان به ایران اعتماد کرد.

  • ترور«فخری‌زاده»بدون پاسخ نمی‌ماند/ اسرائیل عامل این جنایت بود

  • اعلام شرایط پرداخت وام فوری 135میلیونی از هفته اینده

  • پرداخت حقوق به کارمندان زن BBC همراه با تجاوز

  • پشت پرده ناامنی‌ها در مناطق شمالی عراق چیست؟

  • آشنایی با سازمان ملکه ترور ( مریم رجوی)/شناخت و برسی سازمان منافقین از ابتدا تا به امروز (قسمت اول)

  • توضیح پلیس در مورد صنوف مجاز به فعالیت پایتخت از شنبه

  • حفاظت از شخصیت‌های مهم نظام با چه نهادی است؟ / دردسر احمدی نژاد برای سپاه انصارالمهدی

    • فیلم
    |ف |
    | | | |
    کد خبر: 202643
    تاریخ انتشار: 05/آبان/1399 - 20:24

    حمله باج‌افزاری به یکی از زیرساخت‌ها

    بررسی‌های اولیه در آزمایشگاه مرکز مدیریت راهبردی افتا نشان می‌دهد که مبدا اصلی حمله اخیر باج‌افزاری، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است.

    حمله باج‌افزاری به یکی از زیرساخت‌ها

     در پی بروز یک حادثه باج‌افزاری در یکی از زیرساخت‌های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز مدیریت راهبردی افتای ریاست جمهوری ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است.
    اقدامات مهاجمین به ‌گونه‌ای بوده است که بعضی از فایل‌های اکثر کلاینت‌ها و سرورهای متصل به دامنه، دچار تغییر شده‌اند به نحوی که برخی از فایل‌ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر به‌طور کامل رمز شده‌اند.
    بررسی‌های اولیه در آزمایشگاه مرکز افتا نشان می‌دهد که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها مشخص نیست ولی شواهدی مبنی بر سوءاستفاده از آسیب‌پذیری Zero logon در سرورها وجود دارد. این حمله به‌صورت File-less انجام شده و در حقیقت هیچ فایلی روی سیستم‌های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است.
    مهاجمان سایبری تنها بخشی از فایل‌ها را رمزگذاری  و همین فایل‌ها را در کمترین زمان تخریب کرده‌اند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستم‌عامل، بخشی از فایل‌ها و مسیرهای خاص در فرایند رمزگذاری درنظر نگرفته‌اند. در این حمله باج افزاری، به دلایل مختلف همچون عدم جلوگیری از فرایند رمزگذاری، چند برنامه‌ کاربردی حذف و یا غیرفعال و برای جلوگیری از بازگرداندن فایل‌های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می‌شود.
    مهاجمین در پوشه‌هایی که فایل‌های آن رمزنگاری شده‌اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس‌های ایمیل آنهاست. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این‌گونه باج افزارها توصیه می‌کنند حتما کلاینت‌های کاری پس از اتمام ساعات کاری خاموش شوند و اتصال پاور آن‌ها قطع شود. غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همچنین سیگنال  WoL یا Wake-on-LAN در BIOS/UEFI از دیگر توصیه‌های امنیتی برای مقابله با این گونه باج‌افزارها عنوان شده است.
    کارشناسان واحد امداد افتا همچنین از مسوولان و کارشناسان آی‌تی، خواسته‌اند تا برای جلوگیری از ارسال فرمان WOL در شبکه، پورت‌های ۷ و ۹ UDP  را ببندند. برای جلوگیری از سوءاستفاده بدافزارها، مقاوم‌سازی و به‌روزرسانی سرویس‌های AD و DC توصیه می‌شود و برای شناسایی هرگونه ناهنجاری، به‌صورت دوره‌ای باید، لاگ‌های ویندوز بررسی شوند. پشتیبان‌گیری منظم و انتقال فایل‌های پشتیبان را به خارج از شبکه، از دیگر راه‌های مقابله با هر نوع باج‌افزاری است و لازم است مسوولان و کارشناسان آی‌تی زیرساخت‌های کشور، همه این توصیه‌ها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا منتشر شده است.

    منبع : ایسنا

    مرتبط ها
    نظرات بینندگان
    نظرات شما