کارگزارهای RDP آلوده در حملات باج‌افزارها مورد استفاده قرار می‌گیرند

محققان مرکز Fox-IT حمله جدیدی را از سوی باج‌افزارها یافته‌اند بطوری‎که خود این حمله جدید نیست، اما ترکیب این حمله با «تجزیه و تحلیل مداوم شبکه از قبل» برای فعال کردن باج‌افزار، روشی تازه است.
شرکت امنیتی فناوری و صاحب گروه NCC در پست وبلاگ خود امروز گفته است که سه روش معمول برای گسترش باج‌افزارها وجود دارد: ارسال در ضمیمه‌ها، از طریق پیوندهای فیشنگ در وب‎گاه‎های آلوده و از طریق بدافزارهای تبلیغاتی. با این حال این شرکت می‌گوید که یک روش جدید دیگر نیز یافته است: «فعال کردن یک باج‌افزار از طریق یک کارگزار رومیزی آلوده شده‎ی راه دور».
مهاجمان می‌توانند از این روش استفاده کنند و حملات brute force (جستجوی فراگیر) انجام دهند تا به کارگزارهای رومیزی راه دور که به اینترنت متصل هستند، دسترسی پیدا کنند. یا اینکه فقط یک اعتبارنامه سرقت‎شده را از یک انجمن خریداری کنند. با این حال، Fox-IT اشاره می‌کند که همیشه لازم نیست «حساب کاربری به خطر افتاده به همه داده‎های حساس و اشتراک‌گذاری شده در شبکه دسترسی داشته باشد».
به هر حال مهاجمان امکانات معمول را خواهند داشت: استخراج داده، به کارگیری یک بات‌نت، ارسال هرزنامه و اکنون گرو گرفتن اطلاعات شرکت با باج‌افزار. اگر تدابیر دفاعی داخلی و بخش‌های شبکه بتوانند دسترسی به ایستگاه کاری را محدود کنند، آنگاه تأثیر این باج‌افزار نیز به شدت کاهش پیدا خواهد کرد.
با این حال اگر مهاجم بتواند به کارگزارهای بیشتری از شرکت دست پیدا کند، آنگاه تأثیر و زیان وارده از سوی باج‌افزار بسیار بیشتر خواهد بود.
نکته‎ی این کار، «سرعت تشخیص» توسط کاربر است و این بستگی به اثربخشی سامانه‌های تشخیص قربانی دارد. هر چه که این زمان بیشتر طول بکشد، میزان تخریب به عمل آمده بیشتر خواهد بود. در یکی از نمونه‌هایی که توسط شرکت Fox-IT ارائه شده است، مهاجمان توانسته‌ بودند برای هفته‌ها درون سامانه شبکه قربانی باقی بمانند.
آن‎ها باج‌افزار را به سرعت فعال نکرده بودند. در عوض وقت خود را صرف بررسی و کشف در شبکه کرده و به جستجو می‌پرداختند تا دریابند که پرونده‎های پشتیبان داده‌های شرکت کجا قرار دارند. این کار به آن‎ها اجازه می‌دهد تا تأثیر حمله خود را به حداکثر میزان افزایش دهند.
گزارش Fox-IT می‌گوید: «به محض اینکه باج‌افزار فعال شد، هیچ باج ثابت و مشخصی خواسته نمی‌شود، اما لازم است که از طریق رایانامه مذاکره صورت گیرد. زمانی‎که مهاجمان اطلاعات کاملی از شرکت و شبکه آن پیدا کردند، وضعیت آن‎ها در شرایط مذاکره بسیار قوی‌تر از زمانی خواهد بود که حمله‎ی باج‎افزار توسط یک ضمیمه رایانامه آلوده انجام شود. میزان باج‌ مورد تقاضا، این مورد را بازتاب می‌دهد و می‌تواند به طرز قابل توجهی بالاتر باشد».
این بردار حمله مخرب‌ و جدید نیاز به لایه‌های دفاعی را آشکارتر می‌کند. مرکز Fox-IT پیشنهاد می‌کند که اول از همه، دسترسی به رایانه راه دور حتی‌الامکان باید غیرفعال شود. اگر چنین چیزی ممکن نباشد، دسترسی به حساب کاربری باید با یک گذرواژه قوی ایمن شود و از همه بهتر این است که توسط یک فاکتور دومی نیز این گذرواژه پشتیبانی شود. کانال‌های ارتباطی برای جلوگیری از شنود نیز باید رمزنگاری شود.
با این حال، هنگامی که سامانه آلوده شد، تنها دفاع موجود کشف سریع خطر است. محصولات فراوانی وجود دارند که می‌توانند در این ارتباط کمک کنند: برای مثال، تجزیه و تحلیل مداوم رویدادهای نام، SIEMS، تشخیص ناهنجاری‌ها و تجزیه و تحلیل ترافیک شبکه. خطر اصلی این است که اگر تشخیص صورت نگیرد و یا بسیار طول بکشد، این خطر تنها سرقت اطلاعات نیست، بلکه از دست دادن تمام داده‌ها در سامانه اصلی است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap