وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • چگونه در مقابل باج افزار از اطلاعات محافظت کنیم؟

    بهنام بهادری شنبه ۲۰ شهریور ۱۳۹۵ امنیت

    ransomware

     

    باج افزار یک تهدید گسترده و مخرب برای کاربران کامپیوتر می‌باشد. شاید بتوان آنرا جدیدترین نوع بدافزارها دانست که اولین گونه‌ی آن به نام CryptoLocker در سال ۲۰۱۳ کشف شد. هدف در باج افزارها دریافت وجه(پول) از قربانیان است، باج افزار پس از اجرا شدن در کامپیوتر قربانی، اطلاعات مهم و حساس کاربر را شناسایی کرده و آنها را با روش‌های پیچیده رمزگذاری می‌کند، این رمزها با تکنولوژی امروز غیرقابل نفوذ می‌باشند و تنها راهکار دسترسی مجدد به اطلاعات برای قربانی پرداخت وجه به تولید کننده باج افزار خواهد بود. تولید کنندگان باج افزار مبالغ اخاذی شده را از طریق ارزهای الکترونیکی مانند بیت کوین دریافت می‌نمایند که کاملا ناشناس و غیرقابل رهگیری می‌باشد.

    چرا حملات باج افزار موفقند؟

    بزرگترین قربانی باج افزارها سازمان‌ها و شرکت‌ها هستند، در این دسته از قربانیان اغلب امنیت به شکل سطحی و ابتدایی پیاده سازی می‌شود. پرسنل به درستی برای برخورد با مسایل امنیتی آموزش نمی‌بینند و از همه مهمتر، اطلاعات مهم و حیاتی به شکل مداوم و صحیح Backupگیری نمی‌شود.

    باج افزارها بصورت معمول از دو روش به سیستم یا شبکه قربانی نفوذ می‌کنند:

    – استفاده از آسیب پذیری‌های نرم افزاری:

    براساس آمار امنیتی موجود بسیاری از بدافزارها و باج افزارها از طریق اشکالات امنیتی بی شمار در FLASH Player و Java به سیستم‌های قربانیان نفوذ می‌کنند. هنوز هم بسیاری از کاربران از فلش پلیر برروی مرورگر وب خود استفاده میکنند و این موضوع سیستم آنها را برای نفوذ مستعد می‌نمایند. کاربران میل سیری ناپذیری برای ورود به سایتهای نمایش فیلم یا دانلود رایگان موسیقی دارند، بدون توجه به اینکه چرا مالک یک سایت باید به آنها خدمات رایگان ارایه کند؟یکی از دلایل ارایه خدمات رایگان نفوذ به سیستم شماست! مهمترین توصیه در این زمینه استفاده از وب سایتهای معتبر می‌باشد.

    – استفاده از مهندسی اجتماعی:

    مهندسی اجتماعی هنوز هم محبوبترین روش است، سیستم و شبکه شما به سادگی و با گشودن یک ایمیل کاملا تحت اختیار نفوذگران قرار می‌گیرد. متاسفانه بسیاری از افراد گمان میکنند که ایمیل‌های حاوی ویروس و بدافزار فقط به زبان انگلیسی ارسال می‌شوند، به عکس زیر توجه نمایید!چند روز پیش به دست من رسید!

    AAA

    کافیست “اینجا کلیک کنید”!!!

    دریافت ایمیل‌هایی با عناوین زیر نیز مرسوم است:

    “نیازمندی های سازمان در فایل ضمیمه وجود دارد، لطفا آن را بررسی و نتیجه را اعلام کنید”

    بازکردن فایل پیوست برابر است با دسترسی کامل نفوذگر به اطلاعات سیستم و شبکه‌ی شما. این موضوع واقعا ممکن است بیش از آنچه تصور کنید به شما آسیب برسد.

    سال گذشته یکی از دانشگاه‌های بزرگ کشور بدلیل همین موضوع با مشکل بزرگی مواجه شد. تمام اطلاعات مالی آنها کدگذاری شد و هیچکس نتوانست به آنها کمک کند! این مدل از نفوذ را فقط و فقط باید با پیشگیری تحت کنترل درآورد!پس از وقوع کاری از دست کسی برنخواهد آمد.

    حفره های امنیتی آسیب پذیر شرکت چیست؟

    – استراتژی های بک آپ گیری ناکافی و غیر مطمئن (حتما باید از بک آپ گیری خارج از مجموعه و خارج از سرورهای نگهداری کننده وب سایت استفاده کرد)

    – عدم بروزرسانی یا patch کردن سیستم عامل و نرم افزارهای در حال استفاده در زمان مناسب ( به سرعت باید بروزرسانی ها انجام شود)

    – کاربران خطرناک یا مجوز دسترسی ها بالا مانند دسترسی admin سیستم برای کاربران معمولی ( نیازی نیست به همه کاربران دسترسی کامل در سطح admin  داد)

    – عدم آموزش کافی امنیتی به کاربران و کارمندان ( چگونه اسناد را باز شود؟ در کجا ذخیره شود؟ چگونه تشخیص دهم این فایل مخرب است یا خیر!؟ )

    – استفاده از سیستم های امنیتی (اسکنر ویروس، فایروال ها، IPS و …) به شرطی که درست پیکربندی شده باشند و بروز شوند.

    – عدم وجود شبکه بندی مناسب در محیط کار ( سرورها و ایستگاه های کاری نباید در یک شبکه قابل دسترس باشند)

    – فقدان دانش امنیتی در سازمان ( عدم وجود اطلاعات کافی برای پرسنل و کاربران در استفاده از ابزارها و نرم افزارها)

    – رواج اشتباهات متدوال ( ما میدانیم این روش امن نیست اما چون سایر مردم با این روش کار میکنند متداول شده است مانند استفاده از SSL Invalid )

    عدم وجود فن آوری پیشگیری پیشرفته

    – بسیاری از سازمان ها فقط از نوعی حفاظت عمومی بهره میبرند، باید توجه داشت هر نوع تهدید نیازمند استفاده از استراتژی خاص است.

    – باج افزارها بصورت مدوام در حال بروز شدن جهت جلوگیری از شناسایی می باشد. ( به عنوان مثال باج افزارها پس از رمزنگاری فایل ها، خود را سریعا حذف میکنند!)

    – نیاز به راه حل خاص طراحی شده برای مقابله با باج افزارها میباشد و نمیتوان مانند سایر بدافزارها مانند ویروس با آن ها مقابله کرد.

    چگونه یک حمله باج افزار اتفاق می افتد؟

    دو راه اصلی برای شروع حمله وجود دارد.

    – از طریق ایمیل با یک ضمیمه آلوده

    – مراجعه به یک وب سایت خطرناک

    ایمیل های مخرب

    مجرمان امروز از روش هایی استفاده میکنند که ایمیل واقعی از غیر واقعی امری غیر قابل تشخیص می شود.

    ( حداقل از اطلاعات ظاهری ایمیل نمیتوان به غیرواقعی بودن و وجود مشکل پی برد)

    نمونه اول:

    BBBBB

    هنگامی که شما فایل  zip پیوست شده را باز میکنید به نظر میرسد این فایل TXT  معمولی است.

    CCCCCCCCCCCCC

    زمانی که فایل اجرا شد باج افزار بروی سیستم شما نصب و اجرا می شود. در این مثال در واقع یک فایل جاوا اسکریپت در قالب یک فایل TXT است و اما تغییرات مخرب در قالب یک کلمه Word  با استفاده از قابلیت ماکرو یا یک (shortcut (.lnk (میان بر) ، عملیات را خود به خود انجام خواهد داد.

     

    نمونه دوم:
    DDDDDD

    تصویر بالا باج افزار Nemucod که از طریق ایمیل با پیوست مخرب ارسال شده است.

     

    EEE

     

    محتوای فایل فشرده شده یک اسکریپ JavaScript است که پسوند آن به doc تغییر داده شده است. کد JavaScript بشدت مبهم سازی (Obfuscation) شده تا علاوه بر دشوار نمودن تحلیل، احتمال شناسایی شدن توسط نرم افزارهای ضدبدافزار را نیز کاهش دهد.

    با توجه به اینکه دستگاه های با سیستم عامل Windows بصورت پیش فرض فاقد PHP هستند، با اجرای فایل JavaScript دو فایل مربوط به یک PHP Interpreter از اینترنت دریافت می شود.

      وب سایت های مخرب

     روش دیگر یک سایت آلوده که البته ممکن است یک سایت قانونی و یا حتی محبوب باشد که بطور موقت دچار مشکل و آسیب دیدگی شده است. این اتفاق ممکن است با کلیک بروی یک لینک و یا آگهی و یا گاهی حتی کافی است شما تماشاگر وب سایت باشید اما فایل مخرب بروی سیستم شما باگذاری شود در حالی که هیچ نشانه قابل مشاهده ای از اتفاقات وجود ندارد!

     در ادامه چه اتفاقی خواهد افتاد؟

     اطلاعات در مورد سیستم آلوده شده برای مهاجم ارسال میشود و یک کلید عمومی (public key) شخصی برای سیستم فرد قربانی ارسال و دانلود میشود.

    انواع فایل های خاص ( بر اساس نوع باج افزار) مانند اسناد آفیس، فایل های پایگاه داده، فایلهای PDF، اسناد CAD، HTML، XML، و غیره، در سیستم local ، دستگاه های قابل حمل متصل و حتی درایورهای شبکه موجود با کلید موجود رمزنگاری می شود.

    نسخه های بک آپ ویندوز (shadow copies) اغلب بصورت خودکار حذف میشوند تا قابلیت بازگردانی اطلاعات وجود نداشته باشند.

    یک پیغام بروی دسکتاپ نمایش داده میشود که چگونگی پرداخت باج را توضیح میدهد.

    در نهایت باج افزار خود را حدف میکند!

    FFFFFFF

     

    ۱۰  شیوه امنیتی مناسب برای شرکت ها

     مقابله با باج افزار تنها با داشتن آخرین ابزارها و راهارهای امنیتی امکان پذیر نیست و دلخوش بودن به استفاده از ابزارهایی مانند آنتی ویروس یا فایروال تنها یک اشتباه استراتژیک است تا یک راهکار کامل و بدون نقص!

    وجود بک آپ های منظم بصورت off-line و off-site

    اتفاقات دیگری به جز باج افزار میتواند اطلاعات را حذف کند، مانند آتش سوزی، سیل، سرقت و…

    بنابراین بک آپ گیری را نباید فراموش کرد.

    file extensions را فعال کنید!

    بصورت پیش فرض در Windows  این قابلیت غیرفعال است، پس شما نیمتوانید پسوند فایل ها را مشاهده کنید. با این روش حداقل میتوانید به فایل ها نظارت کنید و مشکوک شوید.

    فایل های JavaScript (.JS) را notepad باز کنید.

    محتویات را بررسی کنید تا مطمئن شوید فایل های مخربی وجود نداشته باشد.

    در فایل های ضمیمه شده در ایمیل Macro ها را فعال نکنید

    ماکروسافت مدت هاست این ویژگی را به علت مسائل امنیتی غیرفعال کرده است.

    فایل های ضمیمه شده یا پیوست را محتاطانه بررسی و باز کنید.

    بیش از حد مورد نیاز لاگین نباشید.

    در سیستم ها و اکانت های خود در صورتی که نیازی به لاگین وجود ندارد، بهتر است صفحه لاگین خارج شوید و با دسترسی های بالا مانند admin  به مدت طولانی لاگین نباشید.

    از ابزارهای مشاهده document ها بجای Microsoft Office  استفاده کنید.

    viewer applications اجاز میدهد تا اسناد را بدون باز کردن محتوا آن با ابزار هایی مانند Word  و Exel مشاهده کنید. بطور خاص این نرم افزار های Macro  را پشتیبانی نمیکنند.

    Patch اولیه و patch  مداوم

    فایل های مخرب معمولا از باگ های موجود در نرم افزارهایی مانند Microsoft Office و مرورگر ها یا  Flash Player استفاده میکنند. بنابراین همیشه بروزرسانی را نصب کنید.

    بروز باشید و از ابزارهای امنیتی جدید و بروز رسانی آن ها در برنامه ها و ابزارهای خود استفاده کنید.

    از لینوکس استفاده کنید.

    این موضوع شاید یک راهکار نباشد اما واقعا مشکلات را تا حدود زیادی کاهش میدهد. اگر در سیستمی فقط ایمیل دریافت میکنید و یا اسناد را ویرایش و ذخیره میکنید از لینوکس استفاده کنید.

    در نهایت ابزارهایی برای مقابله با باج افزار ها تولید شده است ( مانند MalwareBytes Anti Ransomware یا Hitmanpro Alert) که میتوانید از آن ها نیز استفاده کنید. در نمودار زیر گزارشی از انواع آن ها وجود دارد.

    GGGGGGG

     

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *