شرکــت عـــرفان نت

گذرواژه‌های ضعیف RDP در ویندوز و راه ورود باج‌افزار جدید

گذرواژه‌های RDP

شرکت امنیتی Sophos گزارش داد: «مجموعه‌ای از حملات باج‌افزار در برابر شرکت‌های کوچک و متوسط از پروتکل مدیریت راه دورِ‌میزکار (RDP) برای دسترسی به سامانه‌های آلوده استفاده می‌کنند.»

به عنوان بخشی از این حملات، عاملان مخرب از یک آسیب‌پذیری معمول در بسیاری از شبکه‌های کسب و کار بهره‌برداری می‌کنند: «گذرواژه‌های ضعیف». مهاجمان پس از دسترسی به سامانه از طریق پروتکل مدیریت راه دورِ‌میزکار و شکستن گذرواژه، به راحتی می‌توانند بدافزار خود را در سامانه‌های شرکت نصب کرده و امیدوار باشند که بتوانند مبلغی به عنوان باج جمع‌آوری کنند.

شرکت Sophos توضیح می‌دهد: «کشف درگاه‌های RDP که در اینترنت افشاء شده‌اند، اصلا کار سختی نیست. مجرمان سایبری می‌توانند موتورهای جست‌وجوی اختصاصی مانند موتور کشف آسیب‌پذیریِ Shodan را برای این کار مورد استفاده قرار دهند و سپس از ابزارهای عمومی یا خصوصی برای دسترسی به سامانه‌های شناسایی‌شده بهره‌برداری کنند.»

شرکت Sophos گفت: «با تجزیه و تحلیل بخشی از این حملات مشخص شده است که مهاجمان با استفاده از یک ابزار به نام NLBrute سعی می‌کنند با امتحان کردن گذرواژه‌های RDP مختلف، به سامانه‌ی هدف دسترسی پیدا کنند. هنگامی که مهاجمان توانستند که گذرواژ‌ه‌ی درست را پیدا کنند، به سرعت به شبکه‌ وارد شده و حساب‌های مدیریت خود را ایجاد می‌کنند.»

با انجام این‌کار حتی اگر گذرواژه‌ی مدیری که مهاجمان برای اولین بار برای دسترسی به شبکه مورد استفاده قرار دادند، تغییر یابد، آن‌ها می‌توانند دوباره به شبکه متصل شوند. پژوهش‌گران می‌گویند: «مهاجمان در این حالت، دارای حساب‌های پشتیبان هستند که می‌توانند بعداً از آن‌ها استفاده کنند.»

در مرحله‌ی بعد، پس از این‌که مهاجمان برنامه‌های ضدبدافزار را خاموش کردند و یا تنظیمات این برنامه‌ها را تغییر دادند، یک نرم‌افزار سامانه کم‌حجم مانند Process Hacker را بارگیری و نصب می‌کنند. آن‌ها همچنین تلاش می‌کنند تا در طول بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده از جمله آسیب‌پذیری‌های CVE-2017-0213 و CVE-2016-0099 که مدت زیادی طول کشید تا توسط مایکروسافت وصله شوند، استفاده کنند.

مهاجمان همچنین سرویس‌های پایگاه داده را خاموش می‌کنند تا بدافزار آن‌ها بتواند پایگاه داده‌ها را نیز هدف قرار دهد، و همچنین سرویس پشتیبان زنده‌ی ویندوز به نام Volume Shadow Copy را خاموش کرده و پشتیبان‌های موجود را نیز پاک می‌کنند، تا قربانیان نتوانند بدون پرداخت باج پرونده‌های آسیب‌دیده را بازیابی کنند. بعد، آن‌ها باج‌افزار خود را بارگذاری و اجرا می‌کنند.

به گفته‌ی شرکت Sophos، این مهاجمان از قربانیان خود باجی به مبلغ ۱ بیت‌کوین (هر بیت‌کوین هم‌اکنون هشت هزار دلار قمیت دارد) درخواست کرده‌اند. با این‌که شرکت‌های زیادی تحت تاثیر این حملات قرار گرفته‌اند، کیف پول بیت‌کوین مهاجمان فقط یک تراکنش را نشان می‌دهد که با باج درخواستی تطابق دارد. محققان امنیتی می‌گویند: «یا قربانیان مبلغ درخواست شده را پرداخت نکرده‌اند و یا توانسته‌اند روی مبلغ کمتری با مهاجمان به توافق برسند.»
شرکت Sophos می‌گوید: «قربانیان این نوع حملات تقریباً همیشه شرکت‌های کوچک و متوسط هستند؛ در بررسی‌های ما بزرگ‌ترین کسب وکار دارای ۱۲۰ کارمند بود، اما بیشتر آن‌ها ۳۰ نفر و یا کمتر کارمند داشتند.»

به سازمان‌ها توصیه می‌شود برای این‌که در برابر این حملات از خود محافظت کنند، RDP را خاموش کرده، و یا اگر نیاز دارند که به صورت منظم از این پروتکل استفاده کنند، راه‌کارهای حفاظتی خوبی را به کار گیرند. سازمان‌ها همچنین باید توجه داشته باشند که برای برقراری ارتباط با شبکه‌های خارجی یک شبکه‌ی خصوصی مجازی (VPN) و احراز هویت دو مرحله‌ای را مورد استفاده قرار دهند، و همچنین هر چه سریع‌تر وصله‌های در دسترس را نصب کنند تا مطمئن شوند که سامانه‌های آن‌ها محافظت‌شده باقی می‌مانند.

پول دوکلین، یکی از پژوهش‌گران ارشد شرکت Sophos گفت: «احتمالاً شنیده‌اید که می‌گویند، اگر می‌خواهید کاری درست انجام شود، خودتان آن را انجام دهید. متاسفانه کلاه‌برداران سایبری برای انجام اقدامات مخرب خود به این توصیه عمل کرده‌اند؛ اگر شما به طور نادرستی دسترسی از راه دور به شبکه‌ی خود را راه‌اندازی کنید، مهاجمان می‌توانند به شبکه‌ی شما وارد شده و مانند هر کاربر قانونی دیگری فعالیت کنند؛ به سادگی با اجرای مستقیم باج‌افزار و بدون نیاز به برنامه‌ی مدیریت یا کارگزار کنترل و فرمان سامانه‌های شما را آلوده کنند. این بدان معنی است که مجرمان سایبری برای راه‌اندازی این حملات نیازی به به‌کارگیری رایانامه‌ها، مهندسی اجتماعی یا ضمیمه‌های مخرب ندارند.»

با این حال، استفاده از RDP برای توزیع بدافزار یک شیوه‌ی جدید نیست. در حقیقت، این روش حمله در اوایل سال جاری بسیار محبوب بود، در حدی که تقریباً جای استفاده از رایانامه برای توزیع باج‌افزار را پر کرده بود.

ماه گذشته، یکی از مشتقات باج‌افزار BTCware به نام Payday مشاهده شد که از همین روش برای توزیع استفاده می‌کرد. پژوهش‌گران امنیتی با بررسی این حملات کشف کردند که متصدیان این بدافزار از حملات جست‌وجوی فراگیر (brute-force) برای شکستن گذرواژه‌های RDP و تحت تاثیر قرار دادن سامانه‌هایی که دارای امنیت ضعیفی هستند، استفاده می‌کنند.

مشاوره رایگان