امنیت و هک, همه مطالب

آلوده شدن به باج افزار کنتی چه پیامد‌هایی می‌تواند داشته باشد؟

باج افزار کنتی
۱۳ آذر

این صحنه را تصور کنید:‌ سرپرست بخش IT هستید و صبح یک روز کاری می‌بینید که تمام سیستم‌ها از کار افتاده‌اند. روی صفحه نمایش کامپیوتر شما یک پیام آمده است که می‌گوید داده‌های شما آلوده به باج افزار کنتی (Conti) شده‌اند و شما باید مقداری باج به مهاجمین پرداخت کنید تا فایل‌هایی را که کدگذاری کرده‌اند، باز کنند.

در این مقاله قصد داریم تا در مورد باج افزار کنتی و راهکارهای مقابله با آن صحبت کنیم.

در ضمن اگر به‌دنبال سایر راههای محافظت از رایانه و اطلاعات شخصی خود، در برابر انواع خطرات هستید، می‌توانید مقاله‌ی ما را در مورد ضرورت استفاده از یک آنتی‌ویروس مطمئن و معتبر، مطالعه کنید.

مهم‌ترین کاری که باید انجام دهید:

1) قرنطینه و خنثی‌سازی

اولین کاری که باید انجام دهید تشخیص آن است که آیا حمله همچنان در جریان است یا خیر.

اگر به شما حمله شد و ابزارهای لازم برای متوقف‌سازی آن را ندارید ابتدا بررسی کنید که کدام دستگاه‌ها آسیب دیده‌اند و آن‌ها را به‌سرعت ایزوله کنید. راحت‌ترین روش، جداسازی کابل شبکه و خاموش کردن روتر بی‌سیم است.

اگر که بیشتر از چند عدد دستگاه آسیب ببینند پس روش بهتر آن است که در سطح سوییچ، شبکه را از کار انداخته و بخش‌های جداگانه شبکه را به‌جای دستگاه‌ها غیرفعال کنید. فقط درصورتی‌که این امکان را نداشتید سراغ خاموش کردن دستگاه‌ها بروید.

سپس باید میزان خسارت را ارزیابی کنید. ببینید کدام مقاصد و کدام سیستم‌عامل‌ها و سرویس‌دهندگان متأثر شده‌اند و چه‌چیزی ازدست‌رفته است؟ آیا نسخه‌های پشتیبان هنوز برقرار هستند یا این‌که آن‌ها نیز از بین رفته‌اند؟ اگر غیر این است سریعاً یک نسخه کپی آفلاین تهیه کنید.

همچنین ببینید کدام سیستم‌ها آسیب ندیدند؟ از این سیستم‌ها می‌توانید به عنوان پله شروع دفاع استفاده کنید.

2) تحقیق و تفحص

پس از آن‌که قرنطینه و خنثی‌سازی را اجرا کردید زمانی را برای تحقیق در مورد این‌که چطور این اتفاق افتاد بگذارید؛ تا حتی‌المقدور از تکرار آن جلوگیری کنید. اگر فکر می‌کنید خودتان به تنهایی از عهده این امر بر نمی‌آیید می‌توانید از افراد متخصص در این زمینه مشورت بگیرید.

مهاجمین به احتمال زیاد از روزها یا هفته‌های قبل روی شبکه شما تسلط داشته‌اند.

باج افزار کنتی توسط انسان‌ها اداره می‌شود. به همین دلیل آن افراد زمانی را برای تحقیق و آماده‌سازی اختصاص می‌دهند تا حداکثر اختلال را ایجاد کنند. زیرا از این طریق می‌توانند مبالغ بالاتری باج‌گیری کنند.

مهاجمین می‌توانند از روش‌های گوناگونی برای نفوذ به شبکه استفاده کنند. این روش‌ها عبارتند از:

روش‌های حمله مهاجمین

روش‌های اولیه ممکن برای نفوذ این باج‌افزار شامل مواردی از این دست می‌شوند: دیواره‌های آتش ناامن، سرویس‌های بازشده ریموت دسکتاپ و کلاهبرداری‌های از طریق ایمیل. مهاجمین به حساب‌های کاربری سرپرست سیستم و دیگر حساب‌ها دسترسی ایجاد کرده‌اند.

حمله به چندین حساب کاربری

مهاجمین معمولاً طی یک حمله به چندین حساب دسترسی پیدا می‌کنند. هدف نهایی آن‌ها دسترسی به حساب‌های سرپرست دامنه است تا بتوانند حملات باج افزاری را از آن طریق ایجاد کنند.

با این حال آن‌ها همچنین حساب‌های کاربری خاص سرپرست‌ها را نیز هدف می‌گیرند که باعث دسترسی به داده‌های حساس و سیستم‌های پشتیبان و کنسول‌های مدیریتی امنیت می‌شوند.

مهاجمین کنتی اغلب از ابزارهایی نظیر Mimikatz استفاده می‌کنند که می‌تواند اطلاعات را از پروسه lass.exe بگیرند که شامل هش نام کاربری و رمز عبور کاربران وارد شده به سیستم می‌باشد.

گاهی اوقات آن‌ها این ابزار را درحال اجرا باقی می‌گذارند و سپس عمداً چیزی را روی سیستم مختل می‌کنند که منجر به وارد شدن سرپرست برای انجام تعمیرات می‌شود. با این روش می‌توانند به اطلاعات ورود سرپرست دسترسی پیدا کنند.

اگر ابزار Mimikatz به‌وسیله نرم‌افزار‌های امنیتی مسدود شود مهاجمین می‌توانند از جایگیزین نظیر Microsoft Process Monitor استفاده کنند که منجر به استخراج اطلاعات حافظه lsass.exe می‌شود.

و درنهایت این اطلاعات را به ماشین‌های خود برده و داده‌های مورد نیاز خود را استخراج می‌کنند. با استفاده از این ابزارMimikatz  می‌توانند رمزهای عبور پیچیده و طولانی را نیز استخراج کنند. چرا که مستقیماً روی اطلاعات موجود در حافظه کار می‌کند.

اسکن شبکه کاربران

همچنین آن‌ها شبکه شما را اسکن می‌کنند. با این اسکن می‌دانند که چند سرویس‌دهنده و مقصد دارید و در چه جاهایی نسخه‌های پشتیبان و داده‌های حساس تجاری و سازمانی را ذخیره می‌کنید.

یکی از اولین کارهایی که مهاجمین اینترنتی بعد از نفوذ انجام می‌دهند، تشخیص میزان دسترسی خود روی ماشین‌های محلی قربانی است. قدم بعدی این است که بفهمند چه ماشین‌های راه دوری وجود دارند و این‌که آیا به آن‌ها دسترسی دارند یا خیر.

مهاجمین از ابزارهای اسکن قانونی نظیر Advanced Port Scanner استفاده می‌کنند زیراکه مؤثر هستند و بعید است که توسط اشخاص مسدود شود. این ابزارهای اسکن لیستی از آدرس‌های IP و نام‌ ماشین‌ها را در اختیار قرار می‌دهند.

این کار را برای مهاجمین آسان می‌کند. زیربناهای حیاتی که معمولاً به‌وسیله ماشین‌هایی مشخص می‌شوند که نام‌های توضیحی دقیق دارند،‌ برای مثالNY-DC1  می‌تواند نام یک ماشینی برای کنترل‌کننده دامنه شهر نیویورک باشد.

دانلود درب‌های پشتی

مهاجمین درب‌های پشتی را در سیستم‌های شما دانلود می‌کنند و نصب کرده‌اند تا بتوانند راحت به شبکه شما رفت‌وآمد می‌کنند و ابزار‌های دیگری نصب کنند.

آن‌ها پوشه‌هایی را جهت ذخیره‌سازی اطلاعاتی که به سرقت رفته‌اند و کانال‌هایی را برای ایجاد ارتباط با همکارانشان و همچنین هدایت داده‌ها از شبکه شما ایجاد می‌کنند.

این درب‌های پشتی به اشکال گوناگونی ظاهر می‌شوند. بعضی‌ها به مرکز حمله‌کنندگان منتهی می‌شوند که به آن‌ها اجازه صدور دستور برای اجرا روی سیستم‌های قربانی را می‌دهد.

بسیاری از درب‌های پشتی به‌عنوان برنامه‌های قانونی شناخته می‌شوند. مثلاً مهاجمین ممکن است از ابزاری نظیر ریموت دسکتاپ استفاده کنند تا دسترسی به دست بیاورند. حتی اگر که پروتکل RDP به‌شکل پیش‌فرض بسته باشد،‌ برای یک مهاجم که دسترسی سرپرست داشته باشد کاری ندارد تا آن‌ را مجدد فعال نماید.

یک ابزار دیگر متداول anydesk می‌باشد. این به مهاجمین امکان دسترسی مستقیم ماشین قربانی را می‌دهد و این شامل کنترل صفحه‌ کلید، ماوس و همچنین مشاهده صفحه نمایش می‌شود.

یا این‌که می‌توانند از ابزارهای پیشرفته‌ای نظیر Cobalt Strike استفاده کنند که یک ابزار محک‌زنی امنیت پس از حمله می‌باشد. مهاجمین اغلب سعی می‌کنند تا یک به اصطلاح «منور» Cobalt ایجاد کنند تا راحت‌تر بتوانند با سرویس‌دهنده ارتباط برقرار کنند و کنترل ماشین قربانی را نگهدارند. همچنین می‌توان از این روش برای ایجاد منورهای دیگر در ماشین‌های مرتبط استفاده کرد.

برخی مهاجمین، شامل کنتی، همچنین میانجی‌های Tor ایجاد می‌کنند تا بتوانند ترافیک دستور و کنترل را روی شبکه Tor هدایت کنند. شناسایی این حالت معمولاً بسیار دشوار است.

سرقت اطلاعات

اداره کنندگان کنتی علاوه‌بر کدگذاری داده‌ها و اختلال نرم‌افزاری و عملیات، سعی خواهند کرد تا صدها گیگابایت داده‌های سازمانی را قبل از حمله اصلی باج‌افزاری برداشت کنند.

آن‌ها قربانیان را با خطر انتشار داده‌های حساس تهدید می‌کنند، مگر این‌که باج پرداخت شود. برخی از داده‌های حساس اغلب به دیگر مهاجمین برای استفاده در حملات دیگر فروخته می‌شود.

پس از آن‌که یک سرویس‌دهنده فایل شناسایی شد مهاجمین اغلب از ابزاری به‌نام Everything  استفاده کرده که آن‌ها را قادر می‌کند تا عملیات جستجوی سریع فایل روی کل شبکه انجام دهند. مثلاً دنبال عباراتی مثل «حساب کاربری» یا «محرمانه» یا «کد ملی» می‌گردند. پس از شناسایی داده‌ها، روش‌های متفاوتی برای دزدیدن آن‌ها وجود دارد.

برخی از بزرگترین دزدی‌های داده‌ها به‌طور خودکار انجام می‌شوند. مثلاً ممکن است از ابزاری نظیر Rclone استفاده کنند. این یک ابزار مبتنی برخط فرمان است که به تعداد کثیری از سرویس‌دهندگان میزبانی فایل ابری متصل می‌شوند.

یکی از آن‌ها سرویس MEGA است که لایه‌های متعدد گمنامی را ارائه می‌کند که باب طبع مهاجمین است. فقط چند تا دستور کافیست تا مهاجمین بتوانند با استفاده از Rclone  داده‌های کامل پوشه‌ها را به MEGA انتقال دهند.

کدگذاری نسخه‌های پشتیبان

آن‌ها تلاش خواهند کرد تا نسخه‌های پشتیبان را کدگذاری یا حذف کنند.

داده‌های پشتیبان شما در معرض دسترسی مهاجمین است مگر آن‌که آن‌ها را به‌شکل آفلاین ذخیره و نگهداری کنید. نسخه پشتیبانی که همیشه آنلاین باشد تنها یک نسخه دیگر از فایل‌هاست که می‌تواند به‌وسیله مهاجمین کدگذاری شود.

تشخیص راهکارهای امنیتی شما

مهاجمین تلاش خواهند کرد تا راهکار‌های امنیتی مورد استفاده شبکه را تشخیص دهند و آن را غیرفعال کنند.

اگر که راحت بتوانند آن را غیرفعال کنند دیگر مهم نیست که راهکار امنیتی شما چقدر خوب باشد.

ابزار‌های پیش‌فرض رایگان مانند Windows Defender می‌تواند آن را توسط هرکسی که دارای مجوز سرپرست باشد غیر فعال کند. اکثر روش‌های باج‌گیری جدید همین کار را انجام می‌دهند.

مهاجمین همچنین سعی می‌کنند تا راه‌های دسترسی به کنسول‌های مدیریتی راه‌کارهای امنیتی پیشرفته‌تر را پیدا کنند تا تمام محافظت آن‌ها را از کار بی‌اندازند.

مخصوصاً کنسول‌های مدیریتی امنیتی محلی در معرض خطر هستند چرا که مهاجمین می‌توانند با حساب‌های کاربری دزدیده شده به آن‌ها دسترسی پیدا کنند.

اعلام حضور

احتمالاً قسمت واضح حمله یعنی اجرای باج‌افزار زمانی انجام می‌شود که هیچ سرپرست یا متخصص امنیتی که روند طولانی کدگذاری فایل‌ها را ببیند آنلاین نیست. مثلاً ممکن است در میانه شب رخ بدهد.

تا این‌جای کار،‌ مهاجمین سعی داشتند که پنهان بمانند اما حالا تاکتیک آن‌ها عوض می‌شود. حالا می‌خواهند حضورشان را اعلام کنند و این‌که چکار کرده‌اند.

به همین دلیل است که تقریباً در تمام حملات سایبری،‌ فایل‌هایی که کدگذاری می‌شوند یک پسوند جدید دارند. مثلاً Myreport.docx تبدیل می‌شود به myreport.docx.encypted .

این نشانه‌ها عمداً ایجاد می‌شود تا باعث اضطراب و آشوب کاربران شود.

حمله به تمام سرویس‌دهندگان آنلاین

باج افزارها به تمام سرویس‌دهندگانی که در زمان حمله آنلاین بودند، حمله کردند.

باج افزار مانند یک برنامه عادی به سیستم‌ها اعزام می‌شود. در اکثر حملات به‌شکل رندم در تمام جهات پخش نمی‌شود.

باج افزار می‌تواند به طرق گوناگون اعزام و پخش شود. یکی از راه‌های متداول،‌ ترکیبی از اسکریپت‌ها و ابزار PsExec ماکروسافت است.

در واقع ابزاری برای اجرای دستورات بر روی ماشین‌های دوردست است. یک مهاجم ممکن است که یک اسکریپت ویندوزی ایجاد کند که در چندین آدرس IP بگردد و به‌وسیله دستور مذکور باج افزار را به هر ماشین اعزام و اجرا کند.

با این‌که اکثر ابزارهای امنیتی جلوی اجرای پروسه مذکور را به‌شکل پیش‌فرض می‌گیرند اما سرپرستان به‌خاطر ماهیت سودمند آن، فعالش می‌کنند و متأسفانه مهاجمین نیز از این امر اطلاع دارند.

هدف نهایی

اجرای باج افزار هدف اصلی نیست.

به‌وسیله درب‌های پشتی که در روند آماده‌سازی ایجاد می‌شوند،‌ مهاجمین می‌توانند همچنان به بررسی وضعیت ادامه دهند. حتی ایمیل شما را جهت آشنایی با نحوه پاسخگویی شما رصد کنند.

مثلاً اگر ایمیلی به رئیس خود می‌فرستید مبتنی‌بر این‌که وضعیت بد نیست زیرا فلان نسخه‌های پشتیبان روی فلان سرویس‌دهنده آسیب ندیده‌اند، در این صورت ممکن است که یک فاجعه رخ دهد. زیرا مهاجمین می‌توانند آن را بخوانند و مطلع شوند.

اقدامات ضروری برای پیشگیری از این حمله

چند قدم پیش‌گیرانه می‌تواند منجر به بهبود امنیت آینده سازمان شود:

  • شبکه را 7 روز هفته و 24 ساعته رصد کنند و دنبال نشانه‌های وقوع حمله باشند.
  • پروتکل اینترنتی RDP را غیرفعال کنید تا دسترسی مجرمین سایبری به شبکه‌ها مسدود شود. اگر که باید از این پروتکل استفاده کنید بهتر است به‌وسیله یک اتصال VPN باشد و همچنین تأیید اعتبار دو مرحله‌ای نیز فعال باشد.
  • به کارکنان در زمینه نشانه‌های کلاهبرداری اینترنتی و هرزنامه‌های بدخواه آموزش دهید و سیاست‌های امنیتی قوی ایجاد کنید.
  • مرتبا از داده‌های حساس خود به‌صورت آفلاین پشتیبان‌گیری کنید. توصیه معمول استاندارد این است که نسخه‌های پشتیبان از روش 1-2-3 پیروی کنند: 3 کپی از داده‌ها، به 2 روش متفاوت که یکی از آن‌ها آفلاین باشد.
  • جلوگیری از دسترسی مهاجمین به راهکار‌های امنیتی: یک راهکار پیشرفته انتخاب کنید که دارای کنسول مدیریتی ابری باشد و همچنین تأیید اعتبار چند مرحله‌ای داشته باشد.
  • یادتان باشد که یک سپر محافظ کامل وجود ندارد و چندین سپر امنیتی لایه‌ای باید ایجاد شود و این سپر چند لایه باید در تمام مقاصد شبکه و سرویس‌دهندهگان ایجاد شود.
  • برنامه پاسخ‌گویی ضربتی داشته باشید و آن را دائماً به‌روز نگهدارید. اگر فکر می‌کنید از عهده آن بر نمی‌آیید می‌توانید از متخصصین امنیتی این زمینه کمک بگیرید.

جمع‌بندی

سروکله زدن با حملات سایبری می‌تواند یک تجربه پر از استرس باشد. شاید راحت‌ترین روش یعنی دفع آن و بستن پرونده وسوسه‌انگیز باشد؛ اما حقیقت این است که با این کار بعید است که بتوانید تمام اثرات حمله را از بین ببرید.

مهم است که زمانی را اختصاص دهید برای شناسایی این‌که مهاجمین چه‌طور وارد می‌شوند. می‌بایست از اشتباهات خود درس بگیرید. اگر غیر از این عمل کنید خطر این‌که همان مهاجم دوباره با همان روش وارد شود را با خود حمل می‌کنید.

دوست عزیز

به انتهای این مقاله رسیدیم. از اینکه تا به اینجای کار با ما همراه بودید، سپاسگزاریم. خوشحال می‌شویم که نظر شما عزیزان را در قسمت کامنت مطالعه کنیم. اگر به مطالب بیشتر در حوزه‌ی امنیت و هک علاقمندید می‌توانید وبلاگ ما را دنبال کنید.

برچسب‌ها:
,
جدیدتر بدافزار‌ اموتت بازگشت.
قدیمی‌تر چطور امکانات پیشرفته امنیتی ویندوز 11 را در ویندوز 10 نیز فعال کنیم؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.