مبدأ اصلی حمله باجافزاری به زیرساختهای کشور مشخص شد
نویسنده: فاطمه مختاری جارستان به نقل از زومیت؛ در پی رخدادن حملهی باجافزاری به زیرساختهای کشور، مرکز مدیریت راهبردی افتای ریاستجمهوری گزارش جزئیات حمله را منتشر کرد. ۲۲ مهر فرد یا گروهی به برخی زیرساختهای مهم کشور حملهی باجافزاری کرد. دو دستگاه دولتیِ سازمان بنادر کشور و وزارت راه درگیر این حمله و وبسایت آنها
نویسنده: فاطمه مختاری
جارستان به نقل از زومیت؛ در پی رخدادن حملهی باجافزاری به زیرساختهای کشور، مرکز مدیریت راهبردی افتای ریاستجمهوری گزارش جزئیات حمله را منتشر کرد.
۲۲ مهر فرد یا گروهی به برخی زیرساختهای مهم کشور حملهی باجافزاری کرد. دو دستگاه دولتیِ سازمان بنادر کشور و وزارت راه درگیر این حمله و وبسایت آنها از دسترس خارج شدند. حال مرکز مدیریت راهبردی افتا جزئیات حملهی بدافزاری اخیر را منتشر کرده است.
بهگزارش مرکز مدیریت راهبردی افتای ریاستجمهوری، مبدأ اصلی حمله اجرای کد پاورشل از روی یکی از سرورهای DC بوده است. مهاجمان برخی فایلهای اکثر کلاینتها و سرورهای متصل به دامنه را دچار تغییر کردهاند؛ بهگونهای که پسوند برخی فایلها تغییر یافتند و در برخی موارد بخشی از فایل و در مواردی هم کاملا رمزگذاری شدند.
طبق نتیجهی بررسیهای اولیه در آزمایشگاه مرکز افتا، نحوهی نفوذ به سرورهای DC هنوز مشخص نیست؛ اما شواهدی مبنیبر سوءاستفاده از آسیبپذیری Zero logon وجود دارد. افتا گزارش میدهد که حملهی باجافزاری اخیر بهصورت File-less انجام شد؛ یعنی هیچ فایلی روی سیستم قربانیان اجرا نشد و تمام عملیات مخرب ازطریق اجرای کد پاورشل از راه دور انجام شد.
در گزارش مرکز مدیریت افتا آمده است:
مهاجمان سایبری تنها بخشی از فایلها را رمزگذاری و همین فایلها را در کمترین زمان تخریب کردهاند و برای جلوگیری از ایجاد اختلال در عملکرد خود سیستمعامل، بخشی از فایلها و مسیرهای خاص در فرایند رمزگذاری را در نظر نگرفتهاند.
در زمان حمله، بنا به برخی دلایل مانند جلوگیرینکردن از فرایند رمزگذاری، چند برنامهی کاربردی حذف یا غیرفعال میشوند. همچنین برای جلوگیری از بازگرداندن فایلهای قربانی، Shadow-Copy و Restore-Point سامانه مربوط حذف میشود.
در ادامهی گزارش میخوانیم مهاجمان در پوشههایی که فایلهای آنها رمزنگاری شدهاند، فایلی را بهنام Readme.READ ایجاد کردند که حاوی آدرسهای ایمیلشان است. بنا به توصیهی واحد امداد مرکز مدیریت راهبردی افتا، برای مقابله با این نوع باجافزارها لازم است کلاینتهای کاری پس از اتمام ساعات کاری خاموش و اتصال پاور آنها هم قطع شود. غیرفعالکردن اجرای کد از راه دور با ابزارهایی مانند Powershell/PsExec و سیگنال Wake-on-LAN) WoL) در BIOS/UEFI، بستن پورتهای ۷ و ۹ UDP برای جلوگیری از ارسال فرمان WOL در شبکه، پشتیبانگیری منظم و انتقال فایلهای پشتیبان به خارج از شبکه از دیگر توصیههای امنیتی افتای ریاستجمهوری عنوان شد.
افزونبراین، مقاومسازی و بهروزرسانی سرویسهای AD و DC برای جلوگیری از سوءاستفاده بدافزارها و بررسی دورهای لاگهای ویندوز برای شناسایی هرگونه ناهنجاری نیز توصیه شده است.
برچسب ها :حمله باجافزاری، وب سایت
- نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
- نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
- نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : ۰