‼️ بررسی نکات مهم حمله سایبری مهر 1399 بر اساس گزارش مرکز افتا :
متن اطلاعیه مرکز افتا در خصوص حمله سایبری مهر 99
اخبار و جزئیات این حمله پیشتر در لینک های زیر در سایت کامیران منتشر شده است :
93-ZeroLogonCyberAttack.html
95-Detection_Zerologon.html
▪️ همانند بسیاری از حملات باج افزاری دیگر که پیشتر در کانال آموزش داده ایم، این حمله نیز با دسترسی PowerShell انجام شده است. پیشتر هم در سال 2018 حملات GandCrab 5.0.3 از همین روش استفاده کرده بودند که در ا
ین پست ، به شرح آنها پرداختیم.
▪️ این حملات اصطلاحا File-Less هستند و فایلی در سرور قربانی بارگذاری یا کپی نمیشود. همانطور که در
فیلم های شبیه سازی حمله Zerologon هم دیدید کل حمله میتواند به وسیله چند فرمان و اسکریپت از یک کلاینت ساماندهی و اجرا شود.
▪️ هکر برای اجرای این حملات نیاز به بازبودن یک پورت آسیب پذیر همانند RDP,SQL,Oracle و ... دارد. البته با توجه به اینکه در این حملات از آسیب پذیری Zerologon برای کنترل DC استفاده شده است حتی یک سیستم آلوده و فاقد آنتی ویروس کارامد هم میتواند سکوی فرماندهی هکر در شبکه قربانی باشد.
▪️ نکته جالب این گروه باج افزاری تلاش برای روشن کردن سایر سیستم ها از طریق فرمان Wake-on-LAN میباشد که در نوع خود جالب بوده و نشان از خلاقیت بالای هکر دارد.
▪️ در مجموع به غیر از استفاده از آسیب پذیری Zerologon برای هک DC و تلاش نفوذگر برای روشن کردن سایر سیستم ها، بقیه موارد این گزارش همانند سایر حملات باج افزاری چندین سال اخیر میباشد و تکنیک خاص جدیدی توسط هکر استفاده نشده است.
‼️ آیا مشترکین کامیران در برابر این حملات سایبری ایمن هستند ؟
▪️ مشترکین ESET کامیران مشروط بر نصب آنتی ویروس فعال و آپدیت شده ESET Endpoint نسخه 7 بر روی کلیه کلاینتها و File Security For Server نسخه 7 بر روی کلیه سرورها، از گزند این حملات کاملا در امان خواهند بود. زیرا طبق
این ویدئو اجرای فرامین PowerShell و Script ها در سیاست های چند لایه HIPS Antiransomware مسدود هستند و هکر امکان اجرای دستورات از سیستم های محافظت شده را نخواهد داشت. همچنین همانطور که در
این ویدیو دیدید آسیب پذیری Zerologon توسط ESET IDS بر روی سرور های DC و همچنین کلاینت ها مسدود میشود. لذا امکان اجرای این حمله سایبری با وجود ESET نگارش 7 سازمانی تقریبا صفر است.
چه سرویس هایی در سیاست های ضد باج افزاری ESET مسدود شده اند ؟
مشترکین Kaspersky و Bitdefender هم با همان شرط محافظت شدن کل سیستم های شبکه توسط آنتی ویروس و نصب پچ Zerologon بر روی DC ها میتوانند خطر این حملات را به حداقل برسانند.
‼️ باز هم اکیدا هشدار میدهیم نسخه های 4 ، 5 یا حتی 6 ESET به دلیل نداشتن HIPS Antiransomware و IDS روی سرورها و سایر ماژول های امنیتی جدید، امکان مقابله با حملات این چنینی را ندارند. لذا فقط از نسخه های ESET7 به بالا برای امنیت شرکت و سازمان خود استفاده نمائید.
‼️ طرق همیشگی تماس با پشتیبانی:
تلگرام: @KamiranSupport ، واتساپ 09332050007 ، مرکز تماس 02147251 ، سامانه www.47251.ir
برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :
لابراتوآر ويروس شناسی شركت مهندسي كاميران
____________________________________________________