⚠️ آنچه در ادامه میآید، حاصل تجربیات و مشاهداتی است که تیم فارنزیک و پاسخ به رخداد پادویش از حملات سایبری اخیر به سازمانهای مختلف در کشور کسب نموده است.
این مشاهدات، به درخواست کاربران و مدیران محترم سازمانهای مختلف کشور و با هدف افزایش میزان توجه به ارتقا امنیت، برای اولین بار به صورت عمومی منتشر میشود.
در حین مطالعه، لازم است توجه نمایید که مطلب تهیه شده شامل تجمیعی از بیش از دهها حمله مختلف در طول یک سال گذشته میباشد که تیم فارنزیک پادویش در روند بررسیهای حوادث مربوطه حضور داشته است و مربوط به یک سازمان یا یک حمله خاص نمیشود.
اکثر این حملات شامل سازمانهایی میشود که اصلا آنتیویروس پادویش نداشته و تمام یا بخشی از شبکه آنها از آنتیویروسهای خارجی استفاده میکرده است. تعدادی از تجربیات نیز مربوط به سازمانهایی است که مورد نفوذ ابتدایی قرار گرفتند اما سامانه MDR پادویش نفوذ را تشخیص داده و با اعلام هشدار به موقع، از وقوع حوادث ناگوار بعدی جلوگیری شده است.
اغلب حملات یک سال گذشته توسط افرادی انجام شده است که خود را با اسامی مختلف نظیر «گنجشک درنده»، «عدالت علی» و «قیام تا سرنگونی» معرفی کردهاند. شواهد فنی نشان میدهد با احتمال بالایی این سه گروه، یک گروه فنی بوده یا به ابزارهای یکدیگر دسترسی دارند.
اکثر قریب به اتفاق حملات موفق سایبری به سازمانها در سال گذشته به دلیل وجود نقاط ضعف و آسیبپذیریهای ناشی از عدم رعایت مسائل اساسی در تامین امنیت شبکهها به وجود آمده است که برخی از آنها به شرح زیر بوده است:
🔸شبکههای سازمانها علیرغم انتظارات و ادعاهای اعلام شده، همگی به نحوی به اینترنت متصل بودهاند.
🔸در برخی موارد شبکهها نه تنها بدون رعایت کمترین الزامات امنیتی به اینترنت متصل بودهاند، بلکه هیچ روش نظاممندی جهت کنترل اتصالات به شبکههای بیرون سازمان وجود نداشته است و هر بخشی از شبکه به روش مجزایی و بدون نظارت مرکزی به شبکههای بیرونی (اینترنت و اینترانت) متصل بوده است.
🔸در یک مورد، حتی پس از رخداد حمله سایبری و الزام و تاکید سازمانهای بالادستی به قطع نمودن شبکه، همچنان شبکه با حداقل موازین امنیتی به اینترنت متصل بوده و منجر به هشدارهای مکرر بعدی شده است.
🔸در بسیاری موارد باز بودن پورت RDP از بیرون شبکه منجر به نفوذ اولیه شده است. باید توجه نمود در این موضوع، تفاوت چندانی بین شبکه اینترانت ملی و اینترنت وجود ندارد و هر دو محل ورود نفوذگران بودهاند.
🔸 در چند مورد، نفوذگران از سرور آنتیویروس خارجی موجود در سازمان و یا سرور WSUS، جهت انتشار بدافزار استفاده کرده بودند.
🔸استفاده از پسوردهای ضعیف و یا وجود اکانتهای با دسترسی ادمین که وجود آنها فراموش شده است یکی از علل نفوذ به شمار میرود.
🔸در یک مورد نه تنها سرور اصلی اکتیودایرکتوری با پسورد ادمین فوقالعاده ساده از اینترنت در دسترس بوده، بلکه بر روی آن چندین نرمافزار کنترل از راه دور مانند AnyDesk و TeamViewer نیز نصب بوده است.
🔸عدم رعایت اصل بخشبندی و تعریف VLANهای مناسب و محدودسازی دسترسی بین آنها در بسیاری از شبکهها عملیات را برای نفوذگر ساده نموده بود. به عنوان مثال امکان دسترسی به سرورهای مهمی مانند اکتیودایرکتوری یا زیرساخت مجازیسازی و مانند آن به سیستمهای ادمین محدود نشده بود، یا کلیه دوربینها یا پورتهای حساس سیستمهای کاربران از کلیه نقاط شبکه در دسترس بودهاند. در نقطه مقابل، در شبکههایی که محدودسازی مناسب انجام شده بود تخریب و نفوذ بسیار محدودتر انجام شده و بازیابی بسیار ساده بود.
🔸اغلب حملات با تعریف پالیسی روی اکتیودایرکتوری انجام شدهاند، و حتی در برخی موارد دسترسی طولانی مدت (بیش از شش ماه تا یک سال) به اکتیودایرکتوری وجود داشته و نفوذگر بدون آنکه کسی متوجه شود، مدتها روی اکتیودایرکتوری پالیسی تعریف میکرده است.
🔸 استفاده از آسیبپذیریهای شناخته شده و وصله نشده روی وبسرور و سامانههای تحت وب سازمان که از اینترنت در دسترس هستند، یکی از راههای اصلی ورود به شبکه سازمان در حملات اخیر بوده است.
🔸 استفاده از آسیبپذیری PrintNightmare و ZeroLogon و مانند آن جهت افزایش سطح دسترسی و حرکت در شبکه نیز یکی از الگوهای رایج حملات میباشد.
‼️ آسیبپذیری (ZeroLogon (CVE-2020-1472 و روش مقابله با آن:
https://kb.amnpardaz.com/2020/988/
‼️آسیبپذیری اجرای کد از راه دور سرویس Windows Print Spooler (PrintNightmare):
https://kb.amnpardaz.com/2021/1248/
🔸در حملات اخیر سرعت خرابکاری افزایش یافته و بین یک ماه تا دو هفته بعد از دسترسی اولیه، خرابکاری و تخریب اطلاعات انجام میگیرد که نشان میدهد زمان کمتری برای تشخیص و واکنش به نفوذ وجود دارد.
🔸در برخی شبکهها سیاست مناسبی برای بکاپگیری تعریف نشده بود و یا بازبینی صحیحی انجام نمیگرفت که فرایند بازیابی و راهاندازی مجدد سرویسها را با دشواری جدی روبرو کرده بود.
با توجه به موارد فوق، راهکارهای زیر جهت ارتقای امنیت شبکه و مقابله با حملات مشابه توصیه میشود