اطلاعیه پادویش در خصوص مقابله با حملات سایبری

⚠️ آنچه در ادامه می‌آید، حاصل تجربیات و مشاهداتی است که تیم فارنزیک و پاسخ به رخداد پادویش از حملات سایبری اخیر به سازمان‌های مختلف در کشور کسب نموده است.

این مشاهدات، به درخواست کاربران و مدیران محترم سازمان‌های مختلف کشور و با هدف افزایش میزان توجه به ارتقا امنیت، برای اولین بار به صورت عمومی منتشر می‌شود.

در حین مطالعه، لازم است توجه نمایید که مطلب تهیه شده شامل تجمیعی از بیش از ده‌ها حمله مختلف در طول یک سال گذشته می‌باشد که تیم فارنزیک پادویش در روند بررسی‌های حوادث مربوطه حضور داشته است و مربوط به یک سازمان یا یک حمله خاص نمی‌شود.

اکثر این حملات شامل سازمان‌هایی می‌شود که اصلا آنتی‌ویروس پادویش نداشته و تمام یا بخشی از شبکه آنها از آنتی‌ویروس‌های خارجی استفاده می‌کرده است. تعدادی از تجربیات نیز مربوط به سازمان‌هایی است که مورد نفوذ ابتدایی قرار گرفتند اما سامانه MDR پادویش نفوذ را تشخیص داده و با اعلام هشدار به موقع، از وقوع حوادث ناگوار بعدی جلوگیری شده است.

اغلب حملات یک سال گذشته توسط افرادی انجام شده است که خود را با اسامی مختلف نظیر «گنجشک درنده»، «عدالت علی» و «قیام تا سرنگونی» معرفی کرده‌اند. شواهد فنی نشان می‌دهد با احتمال بالایی این سه گروه، یک گروه فنی بوده یا به ابزارهای یکدیگر دسترسی دارند.

اکثر قریب به اتفاق حملات موفق سایبری به سازمان‌ها در سال گذشته به دلیل وجود نقاط ضعف و آسیب‌پذیری‌های ناشی از عدم رعایت مسائل اساسی ‌در تامین امنیت شبکه‌ها به وجود آمده است که برخی از آنها به شرح زیر بوده است:

🔸شبکه‌های سازمان‌ها علی‌رغم انتظارات و ادعاهای اعلام شده، همگی به نحوی به اینترنت متصل بوده‌اند.

🔸در برخی موارد شبکه‌ها نه تنها بدون رعایت کمترین الزامات امنیتی به اینترنت متصل بوده‌اند، بلکه هیچ روش نظام‌مندی جهت کنترل اتصالات به شبکه‌های بیرون سازمان وجود نداشته است و هر بخشی از شبکه به روش مجزایی و بدون نظارت مرکزی به شبکه‌های بیرونی (اینترنت و اینترانت) متصل بوده است.

🔸در یک مورد، حتی پس از رخداد حمله سایبری و الزام و تاکید سازمان‌های بالادستی به قطع نمودن شبکه، همچنان شبکه با حداقل موازین امنیتی به اینترنت متصل بوده و منجر به هشدارهای مکرر بعدی شده است.

🔸در بسیاری موارد باز بودن پورت RDP از بیرون شبکه منجر به نفوذ اولیه شده است. باید توجه نمود در این موضوع، تفاوت چندانی بین شبکه اینترانت ملی و اینترنت وجود ندارد و هر دو محل ورود نفوذگران بوده‌اند.

🔸 در چند مورد، نفوذگران از سرور آنتی‌ویروس خارجی موجود در سازمان و یا سرور WSUS، جهت انتشار بدافزار استفاده کرده بودند.

🔸استفاده از پسوردهای ضعیف و یا وجود اکانت‌های با دسترسی ادمین که وجود آنها فراموش شده است یکی از علل نفوذ به شمار می‌رود.

🔸در یک مورد نه تنها سرور اصلی اکتیودایرکتوری با پسورد ادمین فوق‌العاده ساده از اینترنت در دسترس بوده، بلکه بر روی آن چندین نرم‌افزار کنترل از راه دور مانند AnyDesk و TeamViewer نیز نصب بوده است.

🔸عدم رعایت اصل بخش‌بندی و تعریف VLANهای مناسب و محدودسازی دسترسی بین آنها در بسیاری از شبکه‌ها عملیات را برای نفوذگر ساده نموده بود. به عنوان مثال امکان دسترسی به سرورهای مهمی مانند اکتیودایرکتوری یا زیرساخت مجازی‌سازی و مانند آن به سیستم‌های ادمین محدود نشده بود، یا کلیه دوربین‌ها یا پورت‌های حساس سیستم‌های کاربران از کلیه نقاط شبکه در دسترس بوده‌اند. در نقطه مقابل، در شبکه‌هایی که محدودسازی مناسب انجام شده بود تخریب و نفوذ بسیار محدودتر انجام شده و بازیابی بسیار ساده بود.

🔸اغلب حملات با تعریف پالیسی روی اکتیودایرکتوری انجام شده‌اند، و حتی در برخی موارد دسترسی طولانی مدت (بیش از شش ماه تا یک سال) به اکتیودایرکتوری وجود داشته و نفوذگر بدون آنکه کسی متوجه شود، مدت‌ها روی اکتیودایرکتوری پالیسی تعریف می‌کرده است.

🔸 استفاده از آسیب‌پذیری‌های شناخته شده و وصله نشده روی وب‌سرور و سامانه‌های تحت وب سازمان که از اینترنت در دسترس هستند، یکی از راه‌های اصلی ورود به شبکه سازمان در حملات اخیر بوده است.

🔸 استفاده از آسیب‌پذیری PrintNightmare‌ و ZeroLogon و مانند آن جهت افزایش سطح دسترسی و حرکت در شبکه نیز یکی از الگوهای رایج حملات می‌باشد.

‼️ آسیب‌پذیری (ZeroLogon (CVE-2020-1472 و روش مقابله با آن:
https://kb.amnpardaz.com/2020/988/

‼️آسیب‌پذیری اجرای کد از راه دور سرویس Windows Print Spooler (PrintNightmare):
https://kb.amnpardaz.com/2021/1248/

🔸در حملات اخیر سرعت خرابکاری افزایش یافته و بین یک ماه تا دو هفته بعد از دسترسی اولیه، خرابکاری و تخریب اطلاعات انجام می‌گیرد که نشان می‌دهد زمان کمتری برای تشخیص و واکنش به نفوذ وجود دارد.

🔸در برخی شبکه‌ها سیاست مناسبی برای بکاپگیری تعریف نشده بود و یا بازبینی صحیحی انجام نمی‌گرفت که فرایند بازیابی و راه‌اندازی مجدد سرویس‌ها را با دشواری جدی روبرو کرده بود.

با توجه به موارد فوق، راهکارهای زیر جهت ارتقای امنیت شبکه و مقابله با حملات مشابه توصیه می‌شود