اخبار داخلی آرمان داده پویان

مقالات

باج افزار WannaCrypt

آنتی ویروس کسپرسکینمایندگی کسپرسکی ر در ایران

مقابله با باج‌افزار Wannacrypt

باج افزار WannaCrypt

باج‌افزار WannaCrypt در تاریخ ۱۲ می ۲۰۱۷ کار خود را آغاز نموده و کل دنیا را مورد تهدید و حمله قرار داده است. این باج افزار از آسیب‌پذیری موجود در سرویس SMB سیستم عامل ویندوز با کد MS17-010 استفاده می‌نماید و آن را مورد حمله قرار می‌دهد. باج افزار WannaCrypt رفتاری مشابه باج‌افزارهای دیگر دارد به جز اینکه از  اکسپلویت  ETERNALBLUE و DOUBLEPULSAR برای انتشار استفاده می‌نماید.

تا کنون اقداماتی که برای مقابله با باج‌افزار WannaCrypt در اختیار کاربران قرار گرفته است، توانایی لازم برای جلوگیری از آن را داشته است. با این وجود موسسه‌ی دفاع سایبری اورنج توصیه نموده است که به شدت تمهیدات مورد نیاز را لحاظ نموده و نسبت به خطر باج‌افزار WannaCrypt آگاه باشید.

باج افزار WannaCrypt
خطربحرانی – با تاثیرات عمده
نوعباج افزار
طریقه‌ی انتشاراز طریق آسیب‌پذیری SMB، ایمیل و گواهی نامه‌ی bruteforce
هدفWindows XP, Vista, Seven, 8.1 et 8.1RT, 10, Windows Server 2003, 2008 et 2008R2, 2012 et 2012R2, 2016 and Windows Server Core

رفتارهای WannaCrypt

باج‌افزار WannaCrypt مانند بقیه‌ی باج‌افزارها از طریق(وصله‌ی ایمیل، لینک، اعتبارنامه‌ی RDP و غیره  به شبکه نفوذ نموده سپس با یکی از دامنه‌های زیر ارتباط برقرار می‌نمایند:

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

بعد از برقراری ارتباط، بدافزار بدون آلوده کردن سیستم میزبان ارتباطش را قطع می‌نماید.

باج‌افزار WannaCrypt یک بد افزار آگاه از پروکسی نمی‌باشد در نتیجه موسسه‌ی دفاع سایبری اورنج پیشنهاد می‌دهد که ورودی‌های DNS را به صورت محلی و در صورت امکان متصل به یک وب سرور که بر روی پورت ۸۰ ارتباط برقرار می‌نماید، بسازید.

اگر این سوئیچ سروررها در دسترس نباشند، باج‌افزار WannaCrypt سرویسی خواهد ساخت که این سرویس به پویش تمام زیر شبکه‌ای که سیستم آلوده در آن قرار دارد پرداخته و سیستم‌هایی که آسیب‌پذیری SMB داشته را یافته و سپس از طریق CVE-2017-0145 منتشر می‌گردد. پس از این مرحله باج‌افزار WannaCrypt شروع به رمز نمودن اطلاعات سیستم‌هایی که مورد حمله قرار داده می‌نماید و پس از آن پیغام‌های باج‌خواهی را برای آن‌ها ارسال می‌نماید.

توجه داشته باشید که باج‌افزار WannaCrypt، سرویس volum shadow copy، MSSQL و Exchange را بر روی سیستم قربانی از کار می‌انداز و پایگاه داده هایشان را رمز می‌نماید.

روند توسعه‌ی آلودگی

موسسه دفاع سایبری اورنج شروع به شناسایی variant هایی نموده است که عملیات بررسی kill switch domain را انجام نمی‌دهند همچنین موسسه‌ی اورنج پیش بینی می‌نماید که کدام از variant ها ممکن است اکسپلویت CVE-2017-0145  را بر روی میزبانان آسیب پذیری که در خارج از آن زیرشبکه قرار دارند، اجرا نمایند. لازم به ذکر است راه‌کارهای سنتی ای مانند محدود کردن حقوق مدیریتی کاربران نمی‌تواند از variant های آینده جلوگیری نماید.

علاوه بر این، برخی از آخرین variant های باج‌افزار WannaCrypt به بررسی وجود یک سری mutex خاص می‌پردازد. این mutex ها عبارتند از:

Global\MsWinZonesCacheCounterMutexA

Global\MsWinZonesCacheCounterMutexA0

CCN ابزاری ارائه کرده است که این mutex ها را بر روی ماشین کاربر تنظیم می‌نماید و از این طریق از آلوده شدن آن سیستم جلوگیری می‌نماید، اما به دلیل وجود سرورهای kill switch، این راه‌کار به یک راه حل موقتی و نه اساسی می‌باشد.

پیشنهادات موسسه‌ی دفاع سایبری اورنج برای جلوگیری از گسترش نفوذ WannaCrypt

موسسه‌ی دفاع سایبری اورنج راه کاره‌های زیر را پیشنهاد می‌نماید:

  • تمامی سیستم هایی که سیستم‌عاملشان ویندوز است را پویش نموده و از نصب وصله‌ی  MS-17-010 بر روی آن‌‌ها اطمینان حاصل نمایید.(این وصله سیستم را در برابر ETERNALBLUE محافظت می‌نماید.)
  • تمامی سیستم هایی که سیستم‌عاملشان ویندوز است را پویش نموده و بررسی نمایید که  DOUBLEPULSAR بر روی آن‌ها وجود دارد یا خیر. این کار پیشنهاد می‌شود زیرا WannaCry در برخی موارد از DOUBLEPULSAR استفاده می‌نماید.
  • (https://github.com/countercept/doublepulsar-detection-script),
  • نصب وصله‌ی امنیتی MS-17-010 برای فایل سرورها، سرورهای زیرساخت مانند دامین کنترل‌ها و سرورهای exchange را در الویت قرار دهید.
  • نصب وصله‌ی امنیتی MS-17-010 برای ایستگاه‌های کاری که در خارج از سازمان فعالیت دارند را در الویت قرار دهید.
  • تنها SMB ورژن یک آسیب پذیر می‌باشد پس اگر سیستم عامل شما از این نسخه استفاده می‌نماید آن‌را غیر‌فعال نمایید
  • اگر بر روی سروری در شبکه نمی‌توانید وصله‌ی امنیتی نصب نمایید و یا نمی‌توانید SMBv1 را غیرفعال نمایید، آن سرور را از شبکه جدا نمایید.
  • دسترسی SMB از طریق اینترنت را غیرفعال نمایید(حداقل به صورت موقت) و سعی نمایید این دسترسی را از طریق VPN پیاده سازی نمایید.
  • اگر شما بتوانید از ترافیک SMB میان ایستگاه‌های کاری جلوگیری نمایید می‌توانید از ارتباط میان ایستگاه‌های کاری بین سیستم‌های آلوده و سیستم‌هایی که آسیب‌پذیر هستند جلوگیری نمایید.
  • اگر کاربرانی که هنوز بر روی سیستم‌هایشان وصله نصب نگردیده است از سایت سازمان خارج شده و به سایت‌های دیگری رفته‌اند در هنگام بازگشت قبل از اتصال مجدد سیستم‌هایشان به شبکه، سیستمشان را بررسی و در صورت حصول اطمینان از آلوده نبودن آن‌ها اجازه‌ی اتصال به شبکه را بدهید.
  • سرورهای kill switch را به صورت محلی پیاده‌سازی نمایید.
  • بر روی سیستم‌هایی که وصله‌ی امنیتی بر رویشان نصب نگردیده است، mutex هایی که در پیش‌تر راجع بهشان توضیح دادیم را راه‌اندازی نمایید.

اقدامات عمومی برای مقابله با باج‌افزارها

  • فیلتر نمودن ایمیل‌هایی که محتویاتشان رمزگذاری شده و یا اجرایی می‌باشد.
  • تهیه‌ی نسخه‌ی پشتیبان
  • محدود کردن حقوق مدیریتی کاربران
  • تهیه‌ی یک لیست سفید موقتی برای دسترسی به تارنماها

راهنمای قربانیان

  • باج ندهید
  • اگر رمزگشای مورد اطمینانی دارید از فایل‌هایی که رمز شده است یک نسخه‌ی پشتیبان تهیه نمایید.
  • در صورت امکان، سیستم را hibernate نمایید در این حالت ممکن است کلید RSA در حافظه باقی مانده باشد.

تحلیل فنی

موسسه‌ی دفاع سایبری اورنج از یک سیستم sandbox برای تحلیل فنی استفاده می‌نماید. این تحلیل فعلا محدود به نمونه‌های موجود می‌باشد. دوشنبه ۱۵ می،۲۰۱۷

درخت پردازش WannaCrypt

چگونه متوجه شوید که مورد حمله قرار گرفته‌اید

از آنجایی که WannaCrypt یک باج‌افزار می‌باشد، یک سری علائم مشخص در هنگامی که به سیستم کاربر حمله می‌نماید از خود نشان می‌دهد. این علائم را در تصویر زیر میتوانید مشاهده نمایید.

علائم دیگری که وجود دارد عبارت است از:

تمامی IOC های شناخته شده در آن لحظه اعم از آدرس IP، فایل‌های درهم‌شده و غیره در شبکه‌ای که باج افزار در آن در حال انتشار است قرار میگیرند و زمانی که تمامی این IOC ها شناخته شدند مجبور می‌شوند که تغیر نمایند.

فایل‌هایی که باج‌افزار WannaCrypt مورد حمله قرار می‌دهد

تمامی این فایل‌ها رمزگذاری و با پسوند .WNCRYT ذخیره می‌گردند.

آرمان داده پویان تامین کننده برترین تجهیزات و راهکارهای امنیتی

تعداد بازدید: 189


تازه ترین ها