حراست

۶ گام برای مقابله با باج افزارها

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

مقدمه

باج افزارها یکی از سه تهدید مهم حال حاضر دنیای فناوری اطلاعات هستند که باتوجه به نقاط ضعف و سهل انگاری ها در زمینه ملاحظات امنیتی، نحوه مقابله با این قبیل حوادث جزء ابهامات و دغدغه­های اصلی کارشناسان ذیربط است. فرض کنید اکنون در سیستم یکی از کاربران علایم باج افزار مشاهده شده و کلیه اطلاعات محلی و شبکه شما رمز شده است. شما بعنوان کارشناس امنیت، اولین اقدامی که انجام خواهید داد، چه خواهدبود؟ با چه مرجعی تماس می گیرید؟ اطلاع رسانی به کارکنان و مشتریان کسب و کارتان چگونه خواهدبود؟ و سوالاتی از این دست که وقتی در بطن ماجرا قرار بگیرید، اهمیت آمادگی و اقدام صحیح و به موقع روشن خواهدشد. در این محتوی سعی شده است، اقدامات عملی و استاندارد مواجهه با این رویداد و اتخاذ تدابیر لازم در زمان وقوع حادثه معرفی شود.

  • آمادگی اولیه
    • دانش خود را در زمینه خط مشی های[١]امنیتی سیستم عاملهای رایج افزایش دهید.
    • دانش خود را در زمینه خط مشی های رایج نمایه[٢]کاربران افزایش دهید.
    • از به­روزبودن محصولات امنیتی داخل و لبه شبکه اطمینان حاصل نمایید.
    • از آنجاکه این تهدید اغلب ازطریق کاربران نهایی درک و گزارش می شود، سعی کنید آگاهی نیروهای پشتیبان فناوری اطلاعات را از این حیث ارتقاء بخشید.
    • نسبت به وجود پشتیبان های جامع، به­روز و در دسترس از داده­های شبکه و محلی کاربران اطمینان حاصل کنید.

 

  • شناسایی تهدید:

 

علایم عمومی ظهور باج افزار

٢-١) دریافت ایمیل­های شغلی عجیب (عموماً در ظاهر مبدل صورتحساب) که دارای پیوست هستند.

٢-٢) ظهور یک پیام باج­خواهی روی دسکتاپ کاربر با مضمون رمزشدن اطلاعات و مطالبه وجه  برای رفع مشکل (شکل ١)

 

شکل ١) پیام باج افزار واناکریپت در دسکتاپ کاربر

 

٢-٣) شکایت کاربران از حذف یا خراب­شدن فایلهای محلی یا شبکه­ یا تغییر عجیب پسوند فایلها (نظیر .abc , .xyz , .aaa )

٢-۴) تغییر تعداد بیشماری از فایل­های شبکه در مدت زمان بسیار کوتاه

 

علایم مبتنی بر میزبان[٣]

٢-۵) جستجو کنید آیا کدهای باینری اجرایی در پروفایل کاربران (%ALLUSERSPROFILE% , %APPDATA%) و نیز %SystemDrive% وجود دارد؟

٢-۶) مضمون پیامهای باج­افزاری و وجود پسوندهای عجیب نظیر بند ٢-٣ را بررسی کنید.

٢-٧) درصورت امکان از حافظه رایانه یک تصویر تهیه کنید[۴].

٢-٨) در خصوص وقوع فرآیندهای غیرمعمول، جستجو و بررسی انجام دهید.

٢-٩) در زمینه وجود الگوهای غیرعادی پیوست ایمیل­ها، بررسی انجام دهید.

٢-١۰) فعالیتهای غیرعادی مرورگر وب یا شبکه­تان خصوصاً تلاش برای ارتباط با آی­پی­های I٢P , Tor و وب­سایتهای پرداخت بیت کوین را بررسی کنید.

 

علایم مبتنی بر شبکه

٢-١١) الگوهای ارتباطی با منابع مخرب[۵] را جستجو و درصورت وجود، بررسی کنید.

٢-١٢) الگوهای ارتباطی با منابع باج­افزاری[۶] را جستجو و درصورت وجود، بررسی کنید.

٢-١٣) در این قسمت نیز موارد ٢-٩ و ٢-١۰ را انجام دهید.

 

  • مهار

٣-١) ارتباط تمام رایانه­هایی که در معرض خطر هستند، از شبکه قطع کنید.

٣-٢) درصورتی­که امکان ایزوله­سازی رایانه­ها وجود ندارد، ارتباط شبکه درایوهای اشتراکی[٧] را قطع نمایید.

٣-٣) ترافیک به سمت سرورهای فرمانی-کنترلی باج­افزارها[٨] را بررسی و مسدود نمایید.

٣-۴) الگوهای ناشناخته مشاهده­شده را برای پشتیبان امنیت نهایی(مشاور امنیت شبکه برون­سازمانی) خود ارسال نمایید.

٣-۵) آدرسهای آی­پی، نامهای دامنه و آدرسهای وب ناشناس مخرب را برای مسئول امنیت داخلی سازمان ارسال کنید.

 

  • ترمیم

۴-١) تمامی کدهای باینری را از پروفایلهای آسیب­دیده (%ALLUSERSPROFILE% , %APPDATA%) و همچنین %SystemDrive%  بیابید و حذف کنید.

۴-٢) اگر مورد فوق مقدور نبود، به ناچار بایستی یک ایمیج پاک از ویندوز برگردانید.

 

  • بازیابی

هدف: بازگشت سیستم به حالت عادی پیش از حمله

۵-١) آنتی ویروس­تان را به نحوی بروزرسانی نمایید که کدهای باینری مخرب را دفع نماید.

۵-٢) اطمینان حاصل نمایید قبل از برقراری ارتباط بین سیستمها هیچ کد باینری مخربی درون آنها موجود نباشد.

۵-٣) مطمئن شوید ترافیک شبکه به حالت عادی اولیه بازگشته باشد.

۵-۴) مستندات و داده های کاربران را از آرشیوها بازگردانید.

تمامی مراحل فوق بایستی گام به گام و همراه با مانیتورینگ فنی انجام شوند.

 

 

 

  • مستندسازی

تهیه گزارش

بایستی پس از رفع آسیبها و بازگشت فعالیتها به روند عادی، یک گزارش از حادثه تهیه شود به­طوری­که در دسترس همه دست­اندرکاران قرار گیرد.

گزارش بهتر است شامل مضامین زیر باشد:

  • نحوه شناسایی اولیه حادثه
  • اقدامات و جداول زمانی عملکردها
  • اقداماتی که بدرستی انجام شدند.
  • اقداماتی که به اشتباه انجام شدند.
  • هزینه حادثه برای سازمان

 

سرمایه­گذاری:

لازم است اقدامات مربوط به بهبود فرآیندهای شناسایی تهدیدات شبکه و بدافزارها تعریف شود تا در راستای این تجربه، سرمایه­گذاری لازم صورت گیرد.

 

 

 

 

منبع:

  • IRM #١٧

Web: https://cert.societegenerale.com

IRM Author: CERT SG / Jean-Philippe Teissier

IRM version: ١.۰

E-Mail: cert.sg@socgen.c

 

[١] Policy

[٢] Profile

[٣] Host

[۴] Capture a memory Image

[۵] Exploit Kits

[۶] Ransomware C&C

 

[٧] Shared Drives

[٨] Ransomeware’s C&C