حمله باج افزاری Makop
تاریخ : سه شنبه، 27 اسفند ماه ، 1398
موضوع : اخبار باج افزاری
حملات باج افزاری Makop با استفاده از پورت های Oracle Weblogic:
کارشناسان لابراتوآر کامیران امروز حمله باج افزاری جدیدی از گروه Makop را آنالیز کردند که در آن هکر با استفاده از پورت Oracle Weblogic که از 7001 به 9001 تغییر داده شده بود دسترسی Administrator سرور را به مدت 2 ماه دردست داشته است. براي اطلاعات بيشتر بر روي ادامه خبر كليك نمائيد.
▪️ تصویر فوق گزارش آنتی ویروس این سرور است که نشان میدهد هکر با دسترسی Administrator از نرم افزار certutil.exe برای دانلود فایل های خود استفاده کرده که درخواست های او توسط آنتی ویروس مسدود شده است.
▪️ فایل این باج افزار با نام Japan.exe که در حمله دیروز مورد استفاده قرار گرفته تا این لحظه توسط 27 آنتی ویروس قابل شناسائی است:
🔗 https://www.virustotal.com/gui/file/3c301dbc9fbd49e6c0d85d4ba25a94692b5af0f2477529a1670ea6b55b90490c/detection
▪️ هکر پس از 2 ماه دسترسی به این سرور در نهایت با دسترسی Administrator آنتی ویروس را غیر فعال کرده و فایل فوق را اجرا نموده است که منجر به کد شدن اطلاعات سرور با پسوند Makop گردید.
‼️ همانطور که قبلا آموزش دادیم باز بودن پورت Oracle Weblogic دسترسی مدیر سرور را به هکر تقدیم مینمایدکه باید توسط IpWhiteList در فایروال یا VPN ایمن شود.
‼️ مسدود کردن حملات certutil.exe با استفاده از AntiRansomware Policy در ESET :
▪️ همانطور که در آنالیز حمله قبلی دیدید هکر با استفاده از پورت اوراکل و با استفاده از certutil.exe اقدام به دانلود فایل در سرور نموده است. لذا در پالیسی های ضد باج افزاری 7.2 اجرای certutil.exe مسدود خواهد شد که شما میتوانید با اضافه کردن دو عبارت زیر به پالیسی های 7.0 و 7.1 در بخش HIPS -> Rules این برنامه را مسدود نمائید :
AntiRansomware: Deny script processes started by AnyApplications
%windir%System32certutil.exe
%windir%SysWOW64certutil.exe
▪️ اگر پالیسی های ضدباج افزاری شما توسط کنسول، مدیریت میشوند موارد فوق باید از داخل کنسول ECMC انجام شود.
▪️ این ترفند برای دانلود فایل های مخرب در مقاله زیر تشریح شده است. البته هکر برای این نوع حمله نیاز به دسترسی Administrator یا دسترسی های بالا دارد که پورت های آسیب پذیر این امکان را فراهم میکنند:
🔗 https://www.bleepingcomputer.com/news/security/certutilexe-could-allow-attackers-to-download-malware-while-bypassing-av/
‼️ کاربران Oracle Weblogic با اولویت بالا برای ارتقای پالیسی های ضد باج افزاری کنسول های خود با واحد پشتیبانی کامیران با مرکز تماس 02147251 و یا سامانه www.47251.ir و همچنین @KAMIRANSupport به صورت شبانه روزی تماس حاصل نمایند.
برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :
لابراتوآر ويروس شناسی شركت مهندسي كاميران
____________________________________________________
باج افزار Makop حمله سایبری Oracle Weblogic
| 