مقدمه
باج افزارها یکی از سه تهدید مهم حال حاضر دنیای فناوری اطلاعات هستند که باتوجه به نقاط ضعف و سهل انگاری ها در زمینه ملاحظات امنیتی، نحوه مقابله با این قبیل حوادث جزء ابهامات و دغدغههای اصلی کارشناسان ذیربط است. فرض کنید اکنون در سیستم یکی از کاربران علایم باج افزار مشاهده شده و کلیه اطلاعات محلی و شبکه شما رمز شده است. شما بعنوان کارشناس امنیت، اولین اقدامی که انجام خواهید داد، چه خواهدبود؟ با چه مرجعی تماس می گیرید؟ اطلاع رسانی به کارکنان و مشتریان کسب و کارتان چگونه خواهدبود؟ و سوالاتی از این دست که وقتی در بطن ماجرا قرار بگیرید، اهمیت آمادگی و اقدام صحیح و به موقع روشن خواهدشد. در این محتوی سعی شده است، اقدامات عملی و استاندارد مواجهه با این رویداد و اتخاذ تدابیر لازم در زمان وقوع حادثه معرفی شود.
- آمادگی اولیه
- دانش خود را در زمینه خط مشی های[١]امنیتی سیستم عاملهای رایج افزایش دهید.
- دانش خود را در زمینه خط مشی های رایج نمایه[٢]کاربران افزایش دهید.
- از بهروزبودن محصولات امنیتی داخل و لبه شبکه اطمینان حاصل نمایید.
- از آنجاکه این تهدید اغلب ازطریق کاربران نهایی درک و گزارش می شود، سعی کنید آگاهی نیروهای پشتیبان فناوری اطلاعات را از این حیث ارتقاء بخشید.
- نسبت به وجود پشتیبان های جامع، بهروز و در دسترس از دادههای شبکه و محلی کاربران اطمینان حاصل کنید.
- شناسایی تهدید:
علایم عمومی ظهور باج افزار
٢-١) دریافت ایمیلهای شغلی عجیب (عموماً در ظاهر مبدل صورتحساب) که دارای پیوست هستند.
٢-٢) ظهور یک پیام باجخواهی روی دسکتاپ کاربر با مضمون رمزشدن اطلاعات و مطالبه وجه برای رفع مشکل (شکل ١)
شکل ١) پیام باج افزار واناکریپت در دسکتاپ کاربر
٢-٣) شکایت کاربران از حذف یا خرابشدن فایلهای محلی یا شبکه یا تغییر عجیب پسوند فایلها (نظیر .abc , .xyz , .aaa )
٢-۴) تغییر تعداد بیشماری از فایلهای شبکه در مدت زمان بسیار کوتاه
علایم مبتنی بر میزبان[٣]
٢-۵) جستجو کنید آیا کدهای باینری اجرایی در پروفایل کاربران (%ALLUSERSPROFILE% , %APPDATA%) و نیز %SystemDrive% وجود دارد؟
٢-۶) مضمون پیامهای باجافزاری و وجود پسوندهای عجیب نظیر بند ٢-٣ را بررسی کنید.
٢-٧) درصورت امکان از حافظه رایانه یک تصویر تهیه کنید[۴].
٢-٨) در خصوص وقوع فرآیندهای غیرمعمول، جستجو و بررسی انجام دهید.
٢-٩) در زمینه وجود الگوهای غیرعادی پیوست ایمیلها، بررسی انجام دهید.
٢-١۰) فعالیتهای غیرعادی مرورگر وب یا شبکهتان خصوصاً تلاش برای ارتباط با آیپیهای I٢P , Tor و وبسایتهای پرداخت بیت کوین را بررسی کنید.
علایم مبتنی بر شبکه
٢-١١) الگوهای ارتباطی با منابع مخرب[۵] را جستجو و درصورت وجود، بررسی کنید.
٢-١٢) الگوهای ارتباطی با منابع باجافزاری[۶] را جستجو و درصورت وجود، بررسی کنید.
٢-١٣) در این قسمت نیز موارد ٢-٩ و ٢-١۰ را انجام دهید.
- مهار
٣-١) ارتباط تمام رایانههایی که در معرض خطر هستند، از شبکه قطع کنید.
٣-٢) درصورتیکه امکان ایزولهسازی رایانهها وجود ندارد، ارتباط شبکه درایوهای اشتراکی[٧] را قطع نمایید.
٣-٣) ترافیک به سمت سرورهای فرمانی-کنترلی باجافزارها[٨] را بررسی و مسدود نمایید.
٣-۴) الگوهای ناشناخته مشاهدهشده را برای پشتیبان امنیت نهایی(مشاور امنیت شبکه برونسازمانی) خود ارسال نمایید.
٣-۵) آدرسهای آیپی، نامهای دامنه و آدرسهای وب ناشناس مخرب را برای مسئول امنیت داخلی سازمان ارسال کنید.
- ترمیم
۴-١) تمامی کدهای باینری را از پروفایلهای آسیبدیده (%ALLUSERSPROFILE% , %APPDATA%) و همچنین %SystemDrive% بیابید و حذف کنید.
۴-٢) اگر مورد فوق مقدور نبود، به ناچار بایستی یک ایمیج پاک از ویندوز برگردانید.
- بازیابی
هدف: بازگشت سیستم به حالت عادی پیش از حمله
۵-١) آنتی ویروستان را به نحوی بروزرسانی نمایید که کدهای باینری مخرب را دفع نماید.
۵-٢) اطمینان حاصل نمایید قبل از برقراری ارتباط بین سیستمها هیچ کد باینری مخربی درون آنها موجود نباشد.
۵-٣) مطمئن شوید ترافیک شبکه به حالت عادی اولیه بازگشته باشد.
۵-۴) مستندات و داده های کاربران را از آرشیوها بازگردانید.
تمامی مراحل فوق بایستی گام به گام و همراه با مانیتورینگ فنی انجام شوند.
- مستندسازی
تهیه گزارش
بایستی پس از رفع آسیبها و بازگشت فعالیتها به روند عادی، یک گزارش از حادثه تهیه شود بهطوریکه در دسترس همه دستاندرکاران قرار گیرد.
گزارش بهتر است شامل مضامین زیر باشد:
- نحوه شناسایی اولیه حادثه
- اقدامات و جداول زمانی عملکردها
- اقداماتی که بدرستی انجام شدند.
- اقداماتی که به اشتباه انجام شدند.
- هزینه حادثه برای سازمان
سرمایهگذاری:
لازم است اقدامات مربوط به بهبود فرآیندهای شناسایی تهدیدات شبکه و بدافزارها تعریف شود تا در راستای این تجربه، سرمایهگذاری لازم صورت گیرد.
منبع:
- IRM #١٧
Web: https://cert.societegenerale.com
IRM Author: CERT SG / Jean-Philippe Teissier
IRM version: ١.۰
E-Mail: cert.sg@socgen.c
[١] Policy
[٢] Profile
[٣] Host
[۴] Capture a memory Image
[۵] Exploit Kits
[۶] Ransomware C&C
[٧] Shared Drives
[٨] Ransomeware’s C&C