در این بخش می‌توانید در رابطه با شبكه، امنيت و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید
Major II

Major II



no avatar
پست ها

459

تشکر کرده: 88 مرتبه
تشکر شده: 449 مرتبه
تاريخ عضويت

يکشنبه 6 تیر 1389 19:04

آرشيو سپاس: 6 مرتبه در 2 پست

استفاده از پروتکل رومیزیِ راه دور برای نصب باج‌افزار CRYSIS

توسط IrIsT » چهارشنبه 27 بهمن 1395 19:30

محققان امنیتی ترندمیکرو هشدار دادند باج‌افزار CRYSIS که سال قبل کشف شد، توسط پروتکل رومیزی راه دور۱ (RDP) و حملات جستجوی فراگیر۲ توزیع می‌شود.
در شهریور ماه سال جاری، محققان امنیتی بدافزار جدیدی را مشاهده کردند که از طریق حملات جستجوی فراگیر و پروتکل رومیزی راه دور توزیع می‌شود  و شرکت‌های تجاری در استرالیا و نیوزیلند را هدف قرار داده است. اخیراً و تقریباً شش ماه بعد، همان روش برای هدف قرار دادن سازمان‌های مختلف در سراسر جهان مورد استفاده قرار می‌گیرد.

علاوه بر این، تعداد حملات در دی ماه، نسبت به ماه‌های قبل دو برابر شده است. ترندمیکرو گزارش داده بسیاری از این حملات بخش‌های سلامت و بهداشت را در آمریکا هدف قرار داده است. محققان امنیتی می‌گویند: «ما معتقدیم که همان گروه نفوذ قبلی، سری جدید حملات را انجام داده‌اند. نام پرونده‌هایی که در این حملات مورد استفاده قرار گرفته با هر منطقه‌ای سازگار است. سایر بخش‌های این حمله نیز با حمله‌ی قبلی مطابقت دارد.»

پس از بررسی حمله‌ی RDP، محققان امنیتی کشف کردند که یک پوشه‌ی اشتراکی بر روی یک رایانه‌ی راه دور برای انتقال بدافزار از ماشین مهاجم به ماشین قربانیان استفاده می‌شود. این شیوه‌ی توزیع بدافزار، منابع موجود بر روی ماشین قربانی را بر روی ماشین‌های آلوده در معرض خطر قرار می‌دهد. برعکس این سناریو نیز صادق است.

بر روی سامانه‌های انتهایی که از طریق اینترنت قابل دسترسی هستند، هیچ محدودیتی در بر روی پروتکل RDP در تنظیمات اعمال نشده است. مهاجمان سامانه‌های جدیدی را هدف حملات جستجوی فراگیر قرار می‌دهند که از نام کاربری و گذرواژه‌های پیش‌فرض استفاده می‌کنند. پس از اینکه با حمله‌ی جستجوی فراگیر دسترسی به ماشین هدف مهیا شد، مهاجم می‌تواند در بازه‌ی زمانی کوتاهی چندین بار به این سامانه مراجعه کرده و آن را با باج‌افزار آلوده کند.

بر روی سامانه‌ی انتهایی که مورد آزمایش قرار گرفته بود، باج‌افزار CRYSIS شش بار در بازه‌ی ۱۰ دقیقه‌ای در سامانه قرار داده شد. محققان امنیتی می‌گویند این نمونه‌های نصب‌شده بر روی سامانه‌ی قربانی، در بازه‌های زمانی متفاوتی در یک ماه گذشته، همزمان با آغاز این پویش، توسعه داده شده‌اند. به‌نظر می‌رسد مهاجمان چندین پرونده در اختیار داشته‌اند و با ترکیب بار داده‌های مختلف تلاش می‌کردند باج‌افزاری با بهترین عملکرد را توزیع کنند.

به سازمان‌هایی که هدف این حملات قرار گرفته‌اند توصیه می‌شود تنظیمات مناسبی را بر روی پروتکل RDP اعمال کنند تا دسترسی به منابع و دستگاه‌های اشتراکی محدود شود. مدیران سامانه‌ها باید آدرس‌های IP متخلف را شناسایی کرده و رکوردهای ثبت‌شده توسط نمایشگر رویداد را مورد بررسی قرار داده و آدرس IP مهاجم را بدست آورند.

منبع :  لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 
 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 
 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 
 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 
)
 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 


 لينکها براي کاربران مهمان قابل دسترسي نيست، براي مشاهده ي لينکها لطفا ثبت نام کرده و وارد شويد 

آیدی تلگرام : [url]@AmirAm67[/url]    -   ایمیل :  iedb.team@gmail.com

 


  • موضوعات مشابه
    پاسخ ها
    بازديدها
    آخرين پست

چه کسي حاضر است ؟

کاربران حاضر در اين انجمن: بدون كاربران آنلاين و 1 مهمان