استفاده از پروتکل رومیزیِ راه دور برای نصب باج‌افزار CRYSIS

در این بخش می‌توانید در رابطه با شبكه، امنيت و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید

مدیران انجمن: SHAHRAM, شوراي نظارت

ارسال پست
Major II
Major II
پست: 470
تاریخ عضویت: یک شنبه 6 تیر 1389, 8:04 pm
محل اقامت: تربت حیدریه
سپاس‌های ارسالی: 104 بار
سپاس‌های دریافتی: 570 بار
تماس:

استفاده از پروتکل رومیزیِ راه دور برای نصب باج‌افزار CRYSIS

پست توسط IrIsT » چهار شنبه 27 بهمن 1395, 7:30 pm

محققان امنیتی ترندمیکرو هشدار دادند باج‌افزار CRYSIS که سال قبل کشف شد، توسط پروتکل رومیزی راه دور۱ (RDP) و حملات جستجوی فراگیر۲ توزیع می‌شود.
در شهریور ماه سال جاری، محققان امنیتی بدافزار جدیدی را مشاهده کردند که از طریق حملات جستجوی فراگیر و پروتکل رومیزی راه دور توزیع می‌شود و شرکت‌های تجاری در استرالیا و نیوزیلند را هدف قرار داده است. اخیراً و تقریباً شش ماه بعد، همان روش برای هدف قرار دادن سازمان‌های مختلف در سراسر جهان مورد استفاده قرار می‌گیرد.

علاوه بر این، تعداد حملات در دی ماه، نسبت به ماه‌های قبل دو برابر شده است. ترندمیکرو گزارش داده بسیاری از این حملات بخش‌های سلامت و بهداشت را در آمریکا هدف قرار داده است. محققان امنیتی می‌گویند: «ما معتقدیم که همان گروه نفوذ قبلی، سری جدید حملات را انجام داده‌اند. نام پرونده‌هایی که در این حملات مورد استفاده قرار گرفته با هر منطقه‌ای سازگار است. سایر بخش‌های این حمله نیز با حمله‌ی قبلی مطابقت دارد.»

پس از بررسی حمله‌ی RDP، محققان امنیتی کشف کردند که یک پوشه‌ی اشتراکی بر روی یک رایانه‌ی راه دور برای انتقال بدافزار از ماشین مهاجم به ماشین قربانیان استفاده می‌شود. این شیوه‌ی توزیع بدافزار، منابع موجود بر روی ماشین قربانی را بر روی ماشین‌های آلوده در معرض خطر قرار می‌دهد. برعکس این سناریو نیز صادق است.

بر روی سامانه‌های انتهایی که از طریق اینترنت قابل دسترسی هستند، هیچ محدودیتی در بر روی پروتکل RDP در تنظیمات اعمال نشده است. مهاجمان سامانه‌های جدیدی را هدف حملات جستجوی فراگیر قرار می‌دهند که از نام کاربری و گذرواژه‌های پیش‌فرض استفاده می‌کنند. پس از اینکه با حمله‌ی جستجوی فراگیر دسترسی به ماشین هدف مهیا شد، مهاجم می‌تواند در بازه‌ی زمانی کوتاهی چندین بار به این سامانه مراجعه کرده و آن را با باج‌افزار آلوده کند.

بر روی سامانه‌ی انتهایی که مورد آزمایش قرار گرفته بود، باج‌افزار CRYSIS شش بار در بازه‌ی ۱۰ دقیقه‌ای در سامانه قرار داده شد. محققان امنیتی می‌گویند این نمونه‌های نصب‌شده بر روی سامانه‌ی قربانی، در بازه‌های زمانی متفاوتی در یک ماه گذشته، همزمان با آغاز این پویش، توسعه داده شده‌اند. به‌نظر می‌رسد مهاجمان چندین پرونده در اختیار داشته‌اند و با ترکیب بار داده‌های مختلف تلاش می‌کردند باج‌افزاری با بهترین عملکرد را توزیع کنند.

به سازمان‌هایی که هدف این حملات قرار گرفته‌اند توصیه می‌شود تنظیمات مناسبی را بر روی پروتکل RDP اعمال کنند تا دسترسی به منابع و دستگاه‌های اشتراکی محدود شود. مدیران سامانه‌ها باید آدرس‌های IP متخلف را شناسایی کرده و رکوردهای ثبت‌شده توسط نمایشگر رویداد را مورد بررسی قرار داده و آدرس IP مهاجم را بدست آورند.

منبع : [لینک خارجی برای کاربران مهمان مخفی است، لطفا برای مشاهده لینک ثبت نام نموده و یا وارد سایت شوید]
[لینک خارجی برای کاربران مهمان مخفی است، لطفا برای مشاهده لینک ثبت نام نموده و یا وارد سایت شوید]
[لینک خارجی برای کاربران مهمان مخفی است، لطفا برای مشاهده لینک ثبت نام نموده و یا وارد سایت شوید]
[لینک خارجی برای کاربران مهمان مخفی است، لطفا برای مشاهده لینک ثبت نام نموده و یا وارد سایت شوید]
[لینک خارجی برای کاربران مهمان مخفی است، لطفا برای مشاهده لینک ثبت نام نموده و یا وارد سایت شوید] 

[لینک خارجی برای کاربران مهمان مخفی است، لطفا برای مشاهده لینک ثبت نام نموده و یا وارد سایت شوید]

  تلگرام : [url]@AmirAm67[/url] - ایمیل : iedb.team@gmail.com 

ارسال پست

بازگشت به “امنيت و شبكه”