آرمان داده پویان ارائه دهنده انواع محصولات
باجافزار WannaCrypt در تاریخ ۱۲ می ۲۰۱۷ کار خود را آغاز نموده و کل دنیا را مورد تهدید و حمله قرار داده است. این باج افزار از آسیبپذیری موجود در سرویس SMB سیستم عامل ویندوز با کد MS17-010 استفاده مینماید و آن را مورد حمله قرار میدهد. باج افزار WannaCrypt رفتاری مشابه باجافزارهای دیگر دارد به جز اینکه از اکسپلویت ETERNALBLUE و DOUBLEPULSAR برای انتشار استفاده مینماید. تا کنون اقداماتی که برای مقابله با باجافزار WannaCrypt در اختیار کاربران قرار گرفته است، توانایی لازم برای جلوگیری از آن را داشته است. با این وجود موسسهی دفاع سایبری اورنج توصیه نموده است که به شدت تمهیدات مورد نیاز را لحاظ نموده و نسبت به خطر باجافزار WannaCrypt آگاه باشید.
| خطر | بحرانی – با تاثیرات عمده |
|---|---|
| نوع | باج افزار |
| طریقهی انتشار | از طریق آسیبپذیری SMB، ایمیل و گواهی نامهی bruteforce |
| هدف | Windows XP, Vista, Seven, 8.1 et 8.1RT, 10, Windows Server 2003, 2008 et 2008R2, 2012 et 2012R2, 2016 and Windows Server Core |
رفتارهای WannaCrypt
باجافزار WannaCrypt مانند بقیهی باجافزارها از طریق(وصلهی ایمیل، لینک، اعتبارنامهی RDP و غیره به شبکه نفوذ نموده سپس با یکی از دامنههای زیر ارتباط برقرار مینمایند: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com بعد از برقراری ارتباط، بدافزار بدون آلوده کردن سیستم میزبان ارتباطش را قطع مینماید. باجافزار WannaCrypt یک بد افزار آگاه از پروکسی نمیباشد در نتیجه موسسهی دفاع سایبری اورنج پیشنهاد میدهد که ورودیهای DNS را به صورت محلی و در صورت امکان متصل به یک وب سرور که بر روی پورت ۸۰ ارتباط برقرار مینماید، بسازید. اگر این سوئیچ سروررها در دسترس نباشند، باجافزار WannaCrypt سرویسی خواهد ساخت که این سرویس به پویش تمام زیر شبکهای که سیستم آلوده در آن قرار دارد پرداخته و سیستمهایی که آسیبپذیری SMB داشته را یافته و سپس از طریق CVE-2017-0145 منتشر میگردد. پس از این مرحله باجافزار WannaCrypt شروع به رمز نمودن اطلاعات سیستمهایی که مورد حمله قرار داده مینماید و پس از آن پیغامهای باجخواهی را برای آنها ارسال مینماید. توجه داشته باشید که باجافزار WannaCrypt، سرویس volum shadow copy، MSSQL و Exchange را بر روی سیستم قربانی از کار میانداز و پایگاه داده هایشان را رمز مینماید.
روند توسعهی آلودگی
موسسه دفاع سایبری اورنج شروع به شناسایی variant هایی نموده است که عملیات بررسی kill switch domain را انجام نمیدهند همچنین موسسهی اورنج پیش بینی مینماید که کدام از variant ها ممکن است اکسپلویت CVE-2017-0145 را بر روی میزبانان آسیب پذیری که در خارج از آن زیرشبکه قرار دارند، اجرا نمایند. لازم به ذکر است راهکارهای سنتی ای مانند محدود کردن حقوق مدیریتی کاربران نمیتواند از variant های آینده جلوگیری نماید. علاوه بر این، برخی از آخرین variant های باجافزار WannaCrypt به بررسی وجود یک سری mutex خاص میپردازد. این mutex ها عبارتند از: Global\MsWinZonesCacheCounterMutexA Global\MsWinZonesCacheCounterMutexA0 CCN ابزاری ارائه کرده است که این mutex ها را بر روی ماشین کاربر تنظیم مینماید و از این طریق از آلوده شدن آن سیستم جلوگیری مینماید، اما به دلیل وجود سرورهای kill switch، این راهکار به یک راه حل موقتی و نه اساسی میباشد.
پیشنهادات موسسهی دفاع سایبری اورنج برای جلوگیری از گسترش نفوذ WannaCrypt
موسسهی دفاع سایبری اورنج راه کارههای زیر را پیشنهاد مینماید:
- تمامی سیستم هایی که سیستمعاملشان ویندوز است را پویش نموده و از نصب وصلهی MS-17-010 بر روی آنها اطمینان حاصل نمایید.(این وصله سیستم را در برابر ETERNALBLUE محافظت مینماید.)
- تمامی سیستم هایی که سیستمعاملشان ویندوز است را پویش نموده و بررسی نمایید که DOUBLEPULSAR بر روی آنها وجود دارد یا خیر. این کار پیشنهاد میشود زیرا WannaCry در برخی موارد از DOUBLEPULSAR استفاده مینماید.
- (https://github.com/countercept/doublepulsar-detection-script),
- نصب وصلهی امنیتی MS-17-010 برای فایل سرورها، سرورهای زیرساخت مانند دامین کنترلها و سرورهای exchange را در الویت قرار دهید.
- نصب وصلهی امنیتی MS-17-010 برای ایستگاههای کاری که در خارج از سازمان فعالیت دارند را در الویت قرار دهید.
- تنها SMB ورژن یک آسیب پذیر میباشد پس اگر سیستم عامل شما از این نسخه استفاده مینماید آنرا غیرفعال نمایید
- اگر بر روی سروری در شبکه نمیتوانید وصلهی امنیتی نصب نمایید و یا نمیتوانید SMBv1 را غیرفعال نمایید، آن سرور را از شبکه جدا نمایید.
- دسترسی SMB از طریق اینترنت را غیرفعال نمایید(حداقل به صورت موقت) و سعی نمایید این دسترسی را از طریق VPN پیاده سازی نمایید.
- اگر شما بتوانید از ترافیک SMB میان ایستگاههای کاری جلوگیری نمایید میتوانید از ارتباط میان ایستگاههای کاری بین سیستمهای آلوده و سیستمهایی که آسیبپذیر هستند جلوگیری نمایید.
- اگر کاربرانی که هنوز بر روی سیستمهایشان وصله نصب نگردیده است از سایت سازمان خارج شده و به سایتهای دیگری رفتهاند در هنگام بازگشت قبل از اتصال مجدد سیستمهایشان به شبکه، سیستمشان را بررسی و در صورت حصول اطمینان از آلوده نبودن آنها اجازهی اتصال به شبکه را بدهید.
- سرورهای kill switch را به صورت محلی پیادهسازی نمایید.
- بر روی سیستمهایی که وصلهی امنیتی بر رویشان نصب نگردیده است، mutex هایی که در پیشتر راجع بهشان توضیح دادیم را راهاندازی نمایید.
اقدامات عمومی برای مقابله با باجافزارها
- فیلتر نمودن ایمیلهایی که محتویاتشان رمزگذاری شده و یا اجرایی میباشد.
- تهیهی نسخهی پشتیبان
- محدود کردن حقوق مدیریتی کاربران
- تهیهی یک لیست سفید موقتی برای دسترسی به تارنماها
راهنمای قربانیان
- باج ندهید
- اگر رمزگشای مورد اطمینانی دارید از فایلهایی که رمز شده است یک نسخهی پشتیبان تهیه نمایید.
- در صورت امکان، سیستم را hibernate نمایید در این حالت ممکن است کلید RSA در حافظه باقی مانده باشد.
تحلیل فنی
موسسهی دفاع سایبری اورنج از یک سیستم sandbox برای تحلیل فنی استفاده مینماید. این تحلیل فعلا محدود به نمونههای موجود میباشد. دوشنبه ۱۵ می،۲۰۱۷
چگونه متوجه شوید که مورد حمله قرار گرفتهاید
از آنجایی که WannaCrypt یک باجافزار میباشد، یک سری علائم مشخص در هنگامی که به سیستم کاربر حمله مینماید از خود نشان میدهد. این علائم را در تصویر زیر میتوانید مشاهده نمایید. علائم دیگری که وجود دارد عبارت است از: تمامی IOC های شناخته شده در آن لحظه اعم از آدرس IP، فایلهای درهمشده و غیره در شبکهای که باج افزار در آن در حال انتشار است قرار میگیرند و زمانی که تمامی این IOC ها شناخته شدند مجبور میشوند که تغیر نمایند.
فایلهایی که باجافزار WannaCrypt مورد حمله قرار میدهد
تمامی این فایلها رمزگذاری و با پسوند .WNCRYT ذخیره میگردند.