انتشار شده در تاریخ 1395/02/19 - 17:33

کارگزارهای RDP و حملات باج افزاری

به گزارش واحد متخصصین سایبربان؛ شرکت امنیتی فناوری و صاحب گروه NCC در پست وبلاگ خود امروز گفته است که سه روش معمول برای گسترش باج‌افزارها وجود دارد: ارسال در ضمیمه‌ها، از طریق پیوندهای فیشنگ در وب‎گاه‎های آلوده و از طریق بدافزارهای تبلیغاتی. بااین‌حال این شرکت می‌گوید که یک روش جدید دیگر نیز یافته است: «فعال کردن یک باج‌افزار از طریق یک کارگزار رومیزی آلوده‌شده‌ی راه دور».

مهاجمان می‌توانند از این روش استفاده کنند و حملات brute force (جستجوی فراگیر) انجام دهند تا به کارگزارهای رومیزی راه دور که به اینترنت متصل هستند، دسترسی پیدا کنند. یا اینکه فقط یک اعتبارنامه سرقت شده را از یک انجمن خریداری کنند. بااین‌حال، Fox-IT اشاره می‌کند که همیشه لازم نیست «حساب کاربری به خطر افتاده به همه داده‎های حساس و اشتراک‌گذاری شده در شبکه دسترسی داشته باشد».

به‌هرحال مهاجمان امکانات معمول را خواهند داشت: استخراج داده، به‌کارگیری یک بات‌نت، ارسال هرزنامه و اکنون گرو گرفتن اطلاعات شرکت با باج‌افزار. اگر تدابیر دفاعی داخلی و بخش‌های شبکه بتوانند دسترسی به ایستگاه کاری را محدود کنند، آنگاه تأثیر این باج‌افزار نیز به‌شدت کاهش پیدا خواهد کرد.

بااین‌حال اگر مهاجم بتواند به کارگزارهای بیشتری از شرکت دست پیدا کند، آنگاه تأثیر و زیان وارده از سوی باج‌افزار بسیار بیشتر خواهد بود.

نکته‎ی این کار، «سرعت تشخیص» توسط کاربر است و این بستگی به اثربخشی سامانه‌های تشخیص قربانی دارد. هر چه که این زمان بیشتر طول بکشد، میزان تخریب به‌عمل‌آمده بیشتر خواهد بود. دریکی از نمونه‌هایی که توسط شرکت Fox-IT ارائه‌شده است، مهاجمان توانسته‌ بودند برای هفته‌ها درون سامانه شبکه قربانی باقی بمانند.

آن‎ها باج‌افزار را به‌سرعت فعال نکرده بودند. در عوض وقت خود را صرف بررسی و کشف در شبکه کرده و به جستجو می‌پرداختند تا دریابند که پرونده‎های پشتیبان داده‌های شرکت کجا قرار دارند. این کار به آن‎ها اجازه می‌دهد تا تأثیر حمله خود را به حداکثر میزان افزایش دهند.

گزارش Fox-IT می‌گوید: «به‌محض اینکه باج‌افزار فعال شد، هیچ باج ثابت و مشخصی خواسته نمی‌شود، اما لازم است که از طریق رایانامه مذاکره صورت گیرد. زمانی که مهاجمان اطلاعات کاملی از شرکت و شبکه آن پیدا کردند، وضعیت آن‎ها در شرایط مذاکره بسیار قوی‌تر از زمانی خواهد بود که حمله‎ی باج‎افزار توسط یک ضمیمه رایانامه آلوده انجام شود. میزان باج‌ موردتقاضا، این مورد را بازتاب می‌دهد و می‌تواند به طرز قابل‌توجهی بالاتر باشد».

این بردار حمله مخرب‌ و جدید نیاز به لایه‌های دفاعی را آشکارتر می‌کند. مرکز Fox-IT پیشنهاد می‌کند که اول‌ازهمه، دسترسی به رایانه راه دور حتی‌الامکان باید غیرفعال شود. اگر چنین چیزی ممکن نباشد، دسترسی به‌حساب کاربری باید با یک گذرواژه قوی ایمن شود و از همه بهتر این است که توسط یک فاکتور دومی نیز این گذرواژه پشتیبانی شود. کانال‌های ارتباطی برای جلوگیری از شنود نیز باید رمزنگاری شود.

بااین‌حال، هنگامی‌که سامانه آلوده شد، تنها دفاع موجود کشف سریع خطر است. محصولات فراوانی وجود دارند که می‌توانند دراین‌ارتباط کمک کنند: برای مثال، تجزیه‌وتحلیل مداوم رویدادهای نام، SIEMS، تشخیص ناهنجاری‌ها و تجزیه‌وتحلیل ترافیک شبکه. خطر اصلی این است که اگر تشخیص صورت نگیرد و یا بسیار طول بکشد، این خطر تنها سرقت اطلاعات نیست، بلکه از دست دادن تمام داده‌ها در سامانه اصلی است.