نوشته‌ها

آنتی ویروس سازمانی شرکتی

بدافزار حذف‌کننده اطلاعات، Meteor سرنخ جدید حملات اخیر به وزارت راه و شهرسازی و سیستم ریلی ایران

روزهای پایانی سومین هفته تیرماه، وزارت راه و شهرسازی و سیستم ریلی ایران مورد حملات سایبری قرار گرفت و تمامی سامانه‌های وزارت راه و شرکت راه آهن از دسترس خارج  شدند.گزارش‌ها حاکی از آن بود که این حمله باعث تعویق صد ها قطار یا لغو آن‌ها شده است. چنانچه تصویر نشان می‌دهد بر تابلوی اعلان برنامه قطارهای راه‌آهن در ایستگاه تهران نوشته شده: «تاخیر زیاد بدلیل حملات سایبری» و از مسافران خواسته شده بود تا برای کسب اطلاعات بیشتر، با شماره‌ای تماس بگیرند که متعلق به دفتر مقام معظم رهبری، حضرت آیت الله خامنه ای بود.

پس از گذشت بیش از ۴۸ ساعت از حمله، از مجموع حدود ۴۰۰ سرور، تنها ۵ سرور شروع به فعالیت کردند و به نظر می‌رسید  نسخه‌های پشتیبان یا وجود نداشت یا به دلایلی امکان فعال شدن نداشتند. درگاه وزارت راه و شهرسازی  پس از چند روز  بالا آمد؛ اطلاعات ۴ ماه اخیر از سایت حذف شده بود. بنابراین به نظر می‌رسد آخرین نسخه پشتیبان در دست مربوط به ۴ ماه قبل است.

به گزارش شرکت امن‌پرداز و سنتینل وان SentinelOne، این حمله نتیجه‌ بدافزاری جدید و قبلاً دیده‌نشده‌ به نام «Meteor» است. در این گزارش‌ها آمده است که این اولین استقرار این بدافزار است؛ ولیکن با توجه به تحلیل‌ بدافزار Meteor، از سه سال گذشته کار خود را آغاز کرده است.

خوان آندرس گوئرر، محقق سنتینل وان SentinelOne، خاطرنشان کرده است: «علی‌رغم عدم وجود مشخصه‌های خاص تسخیر، توانستیم مهم‌ترین مولفه‌های این حمله را بازیابی کنیم و ردپای مهاجمی ناشناس  را پیدا کردیم . این بدافزار  برای فلج کردن سیستم‌های قربانی طراحی شده ‌است و هیچ راه‌حلی برای بهبود از طریق مدیریت دامنه یا بازیابی نسخه‌های پشتیبان باقی نمی‌گذاشت».

به نقل از SentinelOne، زنجیره آلودگی‌ها با سو استفاده از سیاست‌های گروهی یا Group Policy اتفاق افتاده که با وارد کردن ابزارهایی متشکل از فایل های batch که برای هماهنگ کردن اجزای مختلف استفاده می شود، صورت می‌گرفت. این فایل‌ها، خود  از چندین فایل آرشیو  RAR استخراج شده اند که به همدیگر متصل هستند و اجزای رمزنگاری فایل سیستم و تغییرات MBR را تسهیل می‌کنند و باعث قفل سیستم میشود. در این تحلیل، فایل‌های batch دیگری هم پیدا شده‌اند که برای قطع اتصال دستگاه های آلوده از شبکه استفاده می‌شوند و مانع از فعالیت سیستم دفاعی ویندوز می‌شوند؛ تکنیکی که اخیراً مورد توجه گروه‌های تهدید قرار گرفته است.

اولین اقدام بدافزار در رابطه با فایل cache.bat است که بر پاکسازی موانع برای حمله عناصر بعدی است.

cache.bat سه عملکرد اصلی را انجام می دهد ابتدا دستگاه آلوده را از شبکه جدا می کند، سپس بررسی می کند که آیا ضد ویروس کسپرسکی بر روی دستگاه نصب شده است یا خیر، اگر نصب بود در این صورت خارج می شود و در غیر اینصورت فایل cache.Bat باعث حذف Windows Defender می شود و راه را برای یک حمله باز می کند.

دو batch files دیگر نیز وجود دارند که Event Log ها را پاک می نمایند، و همچنین یک Task به صورت زمانبندی شده  توسط اسکریپتی به نام mstask ایجاد و تنظیم می شود بدافزار Meteor Wiper را در پنج دقیقه مانده تا نیمه شب اجرا نماید.

بخش اصلی این حمله یک زنجیره ای که بر عهده یک فایل اجرایی با نام env.exe یا msapp.exe است.

این Wiper قادر است اقدامات ذیل را انجام دهد:

  1.  Change Passwords برای تمام یوزرها
  2.  غیر فعال کردن Screensavers
  3.  Process Termination بر اساس یک لیست از پروسس های هدف
  4. نصب Screen Locker
  5. غیر فعال کردن Recovery Mode
  6. تغییر پالیسی های Boot Policy Error Handling
  7. ایجاد لیستی از برنامه های زمان بندی
  8. Log OFF Local Sessions
  9. Delete Shadow Copies
  10. تغییر تصاویر Lock Screen
  11. اجرای خواسته ها

هنگامی که محققان SentinelOne به صورت عمیق تر نرم افزار Wipe را مورد بررسی قرار دادند متوجه این قضییه شدند که این Wiper توسط Developer های متعددی ایجاد شده است؛ همچنین این گزارش اضافه می کند که این Wiper برای این عملیات خاص ساخته نشده است اما تاکنون نیز حمله مشابهی مشاهده نشده و احتمالا حمله کنندگان تحت حمایت یک دولت می باشند.

محققان موفق نشده اند هک شدن  سایت راه آن ایران را به فرد یا تیم خاصی منتسب نمایند اما توضیح داده اند که سطح حمله کننده متوسط می باشد که اجزای تیم عملیاتی او از افراد مبتدی تا خوب تشکیل شده اند، اگرچه آنها نتوانستند دلیل حمله را مشخص کنند ، اما آنها خاطرنشان کردند که به نظر می رسد مهاجمان با تنظیمات کلی سیستم راه آهن ایران آشنا بوده اند و این بدان معناست که هکرها قبل از شروع به حمله در سیستم های این اداره کلی وقت گذرانده اند.

هشدارهای امنیتی

آموزش غیرفعال کردن پاورشل (PowerShell) از طریق گروپ پالیسی

آموزش غیرفعال کردن پاورشل (PowerShell) از طریق گروپ پالیسی

بسیاری از بدافزار ها با گرفتن دسترسی سطح بالا از پاورشل ویندوز امکان غیر فعال کردن آنتی ویروس، دانلود فایل های مخرب و انجام عملیات خراب کارانه رافراهم میکنند.

چند روش وجود دارد که می توان از طریق گروپ پالیسی دسترسی کاربران را در شبکه به PowerShell بست اما راحت ترین راه برای این کار روش زیر می باشد.

1- وارد کنسول گروپ پالیسی شوید.

  • برای ورود به کنسول گروپ پالیسی روی سرور از دستور gpmc.msc در Run می توانید استفاده کنید.

2-بر روی نام دامنه در کنسول گروپ پالیسی کلیک راست کرده و گزینه اول یعنی Create a GPO in this domain را کلیک کرده و یک نام برای GPO خود انتخاب کنید.

3- بر روی GPO ایجاد شده کلیک کرده در تب اول یعنی Scope در قسمت Security Filtering گروه authenticated users را حذف کرده و گروه کاربرانی که می خواهید این پالیسی به آن اعمال شود را Add کنید.

4-بر روی GPO ایجاد شده کلیلک راست کرده و گزینه Edit را انتخاب کنید و به مسیر زیر بروید:

User Configuration\Policies\Windows Settings\Security Settings\Software Replication Policies

5- برروی فولدر Software Replication Policies کلیک راست کرده و گزینه New Software Replication Policies را کلیک کنید.

6-حال فولدر Software Replication Policies باز کرده و بروی Additional Rules کلیک راست کرده و گزینه New Path Rules انتخاب کنید .

*در قسمت Path این مسیر را وارد کنید:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe و قسمت Security Level روی Disallowed قرار دهید.

*یک بار دیگه گزینه New Path Rules انتخاب کنید :

و در قسمت Path مسیر C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe را وارد و قسمت Security Level روی Disallowed قرار دهید.

کار تمام شد پنجره GPO را ببندید .پشت کلاینت مورد نظر رفته و Run را باز کرده دستور cmd \admin را زده تا پنجره Command Prompt از حالت ادمین اجرا شود و سپس gpupdate /force زده و صبر کنید نا پیغام های successfully نمایان شود .موفق باشید .