توزیع باج‌افزار با بهره‌برداری از پروتکل RDP

 

محققان امنیتی کشف کردند که برخی از باج افزارها از پروتکل دسکتاپ راه دور (RDP) برای آلوده کردن سیستم های قربانیان استفاده می کنند. در بخش هایی از این حملات، مهاجمان از عمومی و معمول ترین نقص در شرکت ها استفاده می کنند  و آن هم پسوردهای ضعیف است. پس از شکستن پسوردهای RDP، مهاجمان می توانند بدافزار خود را بر روی شبکه ی سازمان ها نصب کرده و از آن ها باج دریافت کنند.


محققان امنیتی توضیح می‌دهند که پیدا کردن پورت‌های RDP که در سطح اینترنت قابل دسترسی هستند خیلی کار سختی نیست. مهاجمان سایبری می‌توانند از ابزارهای جستجویی مانند Shodan برای این منظور استفاده کنند و در ادامه به سیستمی که آن را کشف کرده‌اند، با استفاده از ابزارهای خصوصی یا عمومی، نفوذ کنند. در حملاتی که توسط محققان مورد بررسی قرار گرفت، مهاجمان از ابزاری به نام NLBrute برای انجام حمله‌ی جستجوی فراگیر و شکستن پسوردهای RDP استفاده کرده‌اند. مهاجمان پس از اینکه پسورد درست را کشف کردند، به سرعت وارد سیستم شده و برای خود حساب کاربری با امتیازات مدیریتی ایجاد می‌کنند.


در ادامه مهاجمان می‌توانند نرم‌افزارهای مورد نظر خود مانند Process Hacker را بر روی سیستم دانلود و نصب کنند. این عمیات پس از آن انجام می‌شود که مهاجم برنامه‌های ضدبدافزاری را غیرفعال کرده و یا آن‌ها را مجددا به دلخواه خود پیکربندی می‌کند. مهاجمان همچنین از آسیب‌پذیری‌هایی با شناسه‌های CVE-2017-0213 و CVE-2016-0099 که خیلی وقت قبل‌تر توسط مایکروسافت وصله شده، بهره‌برداری می‌کنند تا امتیازات خود را ارتقاء دهند. 


مهاجمان می‌توانند پایگاه داده‌ها و سرویس‌های مربوط به آن را غیرفعال کرده و آن‌ها را هدف قرار دهند. مهاجمان همچنین سرویس پشتیبان‌گیری ویندوز با نام Volume Shadow Copy را از کار انداخته و هرچه فایل پشتیبان وجود دارد حذف می‌کنند تا کاربران نتوانند فایل‌های خود را بازیابی کنند. در ادامه نیز مهاجمان باج‌افزار خود را بارگذاری و اجرا می‌کنند. 


به گفته‌ی محققان، این باج‌افزار از قربانیان ۱ بیت‌کوین درخواست می‌کند. محققان می‌گویند هرچند شرکت‌های متعددی به این باج‌افزار آلوده شده‌اند ولی در کیف پول مهاجمان تنها یک تراکنش مشاهده می‌شود. به عبارتی قربانیان باج را نپرداخته و یا برای مقادیر کمتر وارد مذارکره شده‌اند. محققان به شرکت‌ها برای حفاظت در برابر چنین حملاتی توصیه می‌کنند تا در صورتی که به RDP نیازی ندارند آن را غیرفعال کنند و یا اگر لازم دارند، به‌طور مناسبی از آن محافظت کنند. اگر نیاز به ارتباط بیرون از شبکه وجود دارد، بهتر است از VPN استفاده شود. احراز هویت دو عاملی فعال شده و به محض انتشار وصله‌ها، آن‌ها را نصب کنند. 
 

منبع

Related posts

Leave a Comment

شانزده − 6 =