مركز افتای ریاست جمهوری اعلام كرد؛ چرایی و چگونگی حمله اخیر باج افزاری به یكی از زیرساخت های كشور به گزارش لینك بخر دات كام مركز مدیریت راهبردی افتا، اعلام نمود: بررسی های اولیه در آزمایشگاه این مركز نشان داده است كه مبدا اصلی حمله اخیر باج افزاری، اجرای یك كد پاورشل از روی یكی از سرورهای DC بوده است. به گزارش لینک بخر دات کام به نقل از مرکز مدیریت راهبردی افتای ریاست جمهوری، به دنبال بروز یک حادثه باج افزاری در یکی از زیرساخت های حیاتی در ماه گذشته، تیم پاسخ به حادثه مرکز افتا ضمن حضور در محل این سازمان و بررسی شواهد حادثه، به کمک کارشناسان همان سازمان، اقدامات لازم را برای مدیریت حادثه انجام داده است. اقدامات مهاجمین بگونه ای بوده است که برخی از فایل هایِ اغلب کلاینت ها و سرورهای متصل به دامنه، گرفتار تغییر شده اند به نحوی که بعضی از فایل ها فقط پسوندشان تغییر یافته، برخی دیگر فقط بخشی از فایل و بعضی دیگر به طور کامل رمز شده اند. بررسی های اولیه در آزمایشگاه مرکز افتا نشان داده است که مبدا اصلی حملات، اجرای یک کد پاورشل از روی یکی از سرورهای DC سازمان بوده است. اما هنوز نحوه نفوذ به این سرورها معلوم نیست ولی شواهدی در خصوص سوءاستفاده از صدمه پذیری Zero logon در سرورها وجود دارد. این حمله به صورت File-less انجام شده است و در حقیقت هیچ فایلی روی سیستم های قربانیان اجرا نشده و تمام عملیات مخرب توسط اجرای یک کد پاورشل از راه دور انجام شده است. مهاجمان سایبری تنها بخشی از فایل ها را رمزگذاری و همین فایل ها را در کمترین زمان تخریب کرده اند و برای پیشگیری از ایجاد اختلال در عملکرد خود سیستم عامل، بخشی از فایل ها و مسیرهای خاص در فرآیند رمزگذاری درنظر نگرفته اند. در این حمله باج افزاری، به علل مختلف همچون عدم پیشگیری از فرآیند رمزگذاری، چند برنامه کاربردی حذف و یا غیرفعال و برای پیشگیری از بازگرداندن فایل های قربانی، Shadow-Copy و Restore-Point سامانه مربوط، پاک می شود. مهاجمین در پوشه هایی که فایل های آن رمزنگاری شده اند، فایلی را به نام Readme.READ ایجاد کردند که حاوی آدرس های ایمیل آنها است. کارشناسان واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این گونه باج افزارها سفارش می کنند حتما کلاینت های کاری بعد از اتمام ساعات کاری خاموش شوند و اتصال پاور آنها قطع شود. غیرفعال کردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و همینطور سیگنال Wake-on-LAN ) WoL) در BIOS/UEFI از دیگر سفارش های امنیتی برای مقابله با این گونه باج افزارها عنوان شده است. کارشناسان واحد امداد افتا همینطور از مسؤلان و کارشناسان آی تی خواسته اند تا برای پیشگیری از ارسال فرمان WOL در شبکه، پورت های ۷ و ۹ UDP را ببندند. برای پیشگیری از سوءاستفاده بدافزارها، مقاوم سازی و به روزرسانی سرویسهای AD و DC سفارش می شود و باید برای شناسایی هر گونه ناهنجاری، به صورت دوره ای لاگ های ویندوز بررسی شوند. مرکز مدیریت راهبردی افتای ریاست جمهوری، پشتیبان گیری منظم و انتقال فایل های پشتیبان را به خارج از شبکه، از دیگر راه های مقابله با هر نوع باج افزاری عنوان می کند و از همه مسؤلان و کارشناسان آی تی زیرساخت های کشور خواسته است تا همه این سفارش ها را به دقت انجام دهند. مشروح بررسی تحلیلی و فنی این باج افزار به همراه مستندات لازم، در سایت مرکز افتا به آدرس https: //afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۱۳۱ انتشار یافته است. منبع: لینك بخر دات كام 1399/08/06 11:08:12 5.0 / 5 1756 تگهای خبر: بدافزار , سایت , سرویس , سیستم این مطلب را می پسندید؟ (1) (0) تازه ترین مطالب مرتبط سرعت اینترنت در کشور با فیبرنوری صدبرابر می شود بهترین چت روم فارسی زبانان خدمات اجاره انواع انبار ضعف مایکروسافت عامل نفوذ هکرها به ایمیل مقامات آمریکا نظرات بینندگان در مورد این مطلب نظر شما در مورد این مطلب نام: ایمیل: نظر: سوال: = ۲ بعلاوه ۲