مقابله با باج افزار و راهکارهای آن

مقابله با باج افزار مطمانا کار ساده و آسانی نیست. در یک ساله اخیر شاهد آن هستیم که روز به روز باج افزارها بر روی بستر اینترنت قربانی گرفته و مشکلات بسیار عدیده ای را برای هم صنفان خوبمان ایجاد کرده است. بدیهی است مقابله با باج افزار مجموعه از کارها و فعالیتهاست. ما سعی داریم در این مقاله به صورت همه جانبه این موارد را بررسی کرده و راهکارهای تست شده ای را به حضورتان اعلام کنیم.

راه های نفوذ باج افزار

برای مقابله با باج افزا ر، بدیهی است ابتدا باید راههای نفوذ را به خوبی بشناسیم:

طی تجربه هایی که برای مقابله با باج افزار داشتیم، این راهها در بسیاری از شرکتها دیده شده است، اما صرفا جهت مستدل بودن این مقاله از منابع مدونی مانند سایت مکافی و سایت مایکروسافت جهت ارائه این راهها بهره برده شده است. این راهها به شرح ذیل میباشد:

  • لینکهایی که در ایمیل و یا شبکه های اجتماعی برای شما ارسال میشود
  • آلوده کردن کامپیوتر با نصب نرم افزار ( این روش به این صورت عمل میکند که توسط یک نرم افزار کامپیوتر شما تبدیل به یک Bot میشود و در شبکه ای به اسم botnet وارد میشود. پس از این آلودگی، رایانه شما توسط مدیران این شبکه به نام botmasters کنترل شده و کامپیوترهای دیگر را آلوده میکند)
  • سایتهای آلوده (این روش به صورتی عمل میکند که ابتدا یک سایت آلوده میشود، سپس وقتی قربانی بر روی سایت آلوده کلیک میکند و وارد سایت میشود، Drive های آلوده بر روی کامپیوتر قربانی دانلود شده و سیستم را آلوده میکند. اینگونه آلودگی ها معمولا از طریق سایتهایی منتقل میشود که ویدیو را به صورت آنلاین در آنها تماشا میکنیم)
  • ماکروهای آفیس در فایلهای پیوست ایمیل (این روش که جزو اولین راههای آلوده کردن بود و بسیار گسترده بود در سایتهای منبع ما ذکر نشده است، اما در بسیاری از موارد از همین طریق آلودگی نفوذ پیدا کرده است)
  • استفاده از اشتراک گذاری فایل در شبکه یا همان file sharing که از پرتکل SMB استفاده میکند (این روش هم در بسیاری از منابع ذکر نشده است اما در روش پخش شدن باج افزارها به آن اشاره شده است)
  • استفاده از پرتکل RDP یا همان ریموت دسکتاپ (این روش هم در بسیاری از منابع ذکر نشده است)

راهکارهای مقابله با باج افزار

بدیهی است که باید نسبت به راههای نفوذ مقابله را تنظیم نمود. اما، واقعا راههای پیشنهادی در این مقاله صرفا منحصر به راههای نفوذ نیست. چرا که راههای نفوذ شناخته شده تا به امروز بوده است و امکان دارد هر لحظه راهی جدید برای آلوده شدن توسط هکرها و برنامه نویسان مخرب یافته شود. لذا پس از بیان مقابله با راههای نفوذ ذکر شده، لازم میدانیم تا برخی از سیاستهای مدیریت شبکه و زیر ساخت را به حضورتان معرفی کرده تا در صورت نفوذ به بخشی از شبکه، بخشهای دیگر بدون مشکل به کار خود ادامه دهند و همچنین بخش آلوده را بتوان به سادگی به مدار اصلی شبکه برگرداند.

راههای مقابله با لینکهایی که در ایمیل و یا شبکه های اجتماعی برای شما ارسال میشود

همیشه وقتی صبحت از حمله یا نفوذ از طریق ایمیل به میان می آید مهمتری مبحث قابل توجه میل سرور است. اینکه ما از چه میل سروری استفاده میکنیم تاثیر بسیار زیادی در راهکار ارائه شده جهت جلوگیری از آلودگی خواهد داشت. به طور مثال وقتی از میل سرور MDaemon استفاده میکنیم، راهکارهای جلوگیری از آلودگی و یا نشر آن متفاوت است نسبت به مایکروسافت اکسچنج ( Microsoft Exchange )، لذا پرداختن به این موضوع نسبت به میل سرورهای مختلف بسیار متفاوت و طولانی خواهد بود. ترجیح ما در این مقابل صرفا پرداختن به مایکروسافت اکسچنج ( Microsoft Exchange ) خواهد بود.

زمانی که از اکسچنج جهت میل سرور سازمان استفاده میشود، باید حتما CAS را از MDB جدا کرد. به نقش Hub transport یا همان Edge پیشنهاد ما که در تجارب عملیاتی کسب شده است، استفاده از سرویس KSMG شرکت kaspersky میباشد. طبیعی است با استفاده از این سرویس به عنوان Edge، بسیاری از ایمیلهای مشکوک را میتوان با چند پالیسی امنیتی در همان نقطه ی ورود به شبکه حذف کرد و جلوی رسیدن آن را به میل باکس گرفت. اما باید فرض را بر آن بزاریم که در ایمیل صرفا یک هایپر لینک معمولی وجود دارد که کاربر با یک کلیک show as html ساده در اوتلوک، لینک را فراخوانی میکند و رایانه خود را مبتلا به بد افزار میکند. حال چه کنیم؟

اینجاست که میتوان از راهکارهای کنترل امنیت دامنه مانند DKIM یا با روش قدیمی تر SPF فرستنده ی آن را مورد بررسی قرار داد. طبیعی است که چقدر این لایه های امنیتی بیشتر شود، احتمال اسپم شدن ایمیلهای دریافتی بالاتر میرود. که شاید در ابتدا مورد اعتراض کاربران قرار گیرد، اما پیشنهاد میشود که در صورت وجود اطلاعات حیاتی بر روی رایانه کاربران، اعتراضات را نادیده گرفته و با فرهنگ سازی که ایمیلها در چند سال اخیر، پر آسیب ترین راههای نفوذ به شرکتها بوده اند. لذا این امنیت برای همه ی سازمان بهتر است.

ایمن سازی اکسچنج به طور تخصصی در یک مقاله جداگانه مورد بررسی قرار خواهد گرفت.

راههای مقابله با آلوده کردن کامپیوتر با نصب نرم افزار

این موضوع یک راهکار بسیار ساده دارد، اما مغفول مانده، بیاید ابتدا به این سوال پاسخ دهیم:

آیا میدانی اغلب مشکلاتی که به اینگونه بر روی رایانه های یک شبکه پیش می آید از کجاست؟ از admin local بودن کاربران بر روی رایانه خود. جالب است در مواردی دیده شده است که برخی کاربران (معمولا مدیران آی تی) با اکانت domain admin بر روی رایانه خود لاگین کرده و شروع به کار کردن میکنند. طبیعتا با مختصر شناخت از service account شاید به این سادگی ها افراد به خود جرات ندهند که با اکانتهای domain admin و یا admin local لاگین کنند.

به صورت مختصر پیشنهاد میشود جهت جلوگیری از اینگونه تخریبها و نفوذها، هیچ یک از کاربران شبکه، با اکانت admin local و یا domain admin لاگین نکنند. حتی مدیران آی تی. روند نصب و یا تغییر در سطح سیستم عامل را با یک مرحله اضافه تر ببینیم، مرحله ای که صفحه UAC باز میشود و از ما اکانت مدیر سیستم را میخواهد. اینگونه میتوان با خیال آسوده گفت که هیچ نرم افزاری بدون دانستن پسورد اکانت admin امکان نصب ندارد.

نکته مهم آن است که رایانه ی کاری مدیر شبکه، باید حتما با اکانت استاندارد یا domain user لاگین باشد، چرا که مطمانا تخریب رایانه ی مدیر شبکه، منجر به نفوذ به خیلی از سرورها خواهد شد. بیایید مدیران و همکاران واحد آی تی را به جای آنکه آزادتر بگذاریم، محدودتر کنیم، چرا که نفوذپذیر تر هستند.

راههای مقابله با سایتهای آلوده

تنها راهکار منسجم و محقق شده ای ما معمولا در اینگونه حملات از آن غافل میشویم، استفاده از UTM است، UTM ی که بتواند نقشهای حداقلی IPS و IDS و Phishing و Spoofing را بازی کند.

طبیعتا پس از گذر ترافیک از UTM و رسیدن آن به رایانه کاربر، دیگر از دست مدیر شبکه خارج شده و تنها راه مقابله با آن آنتی ویروس موجود بر روی رایانه های کاربری میباشد. آنتی ویروس هایی که معمولا بخاطر نصب کرک یا کندی سرعت غیر قعال شده اند. در زمانی که بحران پیش می آید به روز بودن و همچنین فعال بودن آنتی ویروس بر روی تمامی رایانه ها الزامی است.

راههای مقابله با ماکروهای آفیس در فایلهای پیوست ایمیل

بهترین راه و ساده ترین روش جهت جلوگیری از این موضوع استفاده از GPO یا همان گروپ پالیسی میباشد، به صورتی که طبق مراحل زیر پیش بروید:

  1. ابتدا به اینجا رفته و فایلهای ADMX را دانلود نمایید. (در این لینک آفیس 2013 برای ویندوز سرور 2012 لینکدهی شده است. با یک گوگل کردن ساده میتوانید نسخه های دیگر مورد استفاده خود را دانلود کنید)
  2. فایلهای ADMX را متناسب با 32 یا 64 بودن سرور اکتیو دایرکتوری خود در مسیر زیر کپی کنید:
    C:\Windows\PolicyDefinitions\en-US
  3. سپس یک GPO ی جدید ایجاد کنید و به طور مثال نام آن را بگذارید Office Macro Blocking
  4. به مسیر زیر رفته و برای تک تک نرم افزارهای موجود در سطح شبکه خود ماکرو را غیر فعال کنید.

User configuration > Administrative templates > Microsoft Word 2016 > Word options > Security > Trust Center.

مقابله با باج افزار

مقابله با باج افزار

راههای مقابله با استفاده از اشتراک گذاری فایل در شبکه یا همان file sharing

بدیهی است که در هر شبکه ای، ابتدایی ترین نیاز ما به اشتراک گذاری فایل میباشد، این امر از چند طریق قابل پیاده سازی است که به دو دسته کلی تقسیم میشود، یک اینکه هر رایانه ی کاری فایل را به اشتراک بگذارد و شخص مورد نظر از آن استفاده نماید و دوم آنکه به صورت متمرکز در یک نقطه تمامی فایلهای به اشتراک گذاری شده را تجمیع کنیم، ما قصد داریم در این مقالبه صرفا به ایمن سازی روش دوم جهت مقابله با باج افزار بپردازیم،

از سال 2008 سرویس DFS مایکروسافت به همین منظور ارائه شد. اگر با سرویس DFS آشنایی ندارید پیشنهاد میکنم این مقاله را مطالعه فرمایید. استفاده از DFS و همچنین File screening میتواند دغدغه همیشگی شما را از انتقال ویروس یا بد افزار از طریق مسیر اشتراک فایل رفع نماید و جزو راههای اصلی مقابله با باج افزار محسوب میشود. البته که نصب آنتی ویروس برای فایل سرور هم جزو جدا نشدنی از عملیات ایمن سازی فایل سرور میباشد.

البته که مدیریت فایل سرور و امنیت آن در مقاله ای کامل تر مورد بررسی قرار خواهد گرفت.

همانطور که میدانید برای استفاده از اشتراک گذاری فایل از پرتکلی به نام SMB استفاده میشود. با شماره پرت 445 tcp ، و این پرتکل بسیار مورد حمله توسط این بدافزارها قرار گرفته است. لذا تا جایی که امکان پذیر است به منظور مقابله با باج افزار این پرتکل را در فایروال هر یک از سرورهای تحت شبکه ببندیم، فقط در صورتی باز کنیم که به آن نیاز داریم. به طور مثال فایل سرور و یا امین کنترلر یا DC، که نمیتوان SMB را روی آنها بست. در اینگونه موارد پیشنهاد میشود که از لیست آپدیتهای زیر جهت مرتفع کردن باگ امنیتی این پرتکل استفاده گردد. رعایت ترتیب این فایلها جهت نصب الزامی است. (برای ویندوز سرور 2012)

1-

Windows8.1-KB2934018-x64

2-

Windows8.1-KB2932046-x64

3-

Windows8.1-KB2937592-x64

4-

Windows8.1-KB2938439-x64

5-

Windows8.1-KB2959977-x64

6-

Windows8.1-KB2919442-x64

7-

windows8.1-kb2919355-x64

8-

windows8.1-kb4012213-x64

9-

windows8.1-kb4012216-x64

راههای مقابله استفاده از پرتکل RDP یا همان ریموت دسکتاپ

به صورت طبیعی پرتکل ریموت دسکتاپ RDP بوده و شماره پرت آن 3389 tcp میباشد، دو راه کلی برای مسون ماندن از این راه وجود دارد، یک اینکه پرت پیشفرض این پرتکل را عوض کنیم. از طریق زیر:

  1. run
  2. regedit
  3. رفتن به مسیر HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  4. یافتن گزینه PortNumber
  5. تبدیل به desimal
  6. تغییر شماره پرت
  7. ریستارت رایانه

طبیعی است که میتوانید این کار را از طریق GPO بر روی تمامی رایانه ها اعمال نمایید.

و راه دوم آنکه از نرم افزارهای دسترسی از راه دور استفاده نمایید. به عنوان مثال :

نرم افزار vnc

نرم افزار radmin

نرم افزار deamware

 

آخرین نکته بسیار مهم: ما در مقاله ای به صورت مفصل و تخصصی به نحوه ایمن سازی شبکه و استانداردهای روز، صحبت خواهیم کرد، اما در حال حاضر برای مقابله با باج افزار ذکر این نکته را الزامی میدانم که در قسمت سرورها ( server zone ) و در قسمت کاربران ( client zone ) هرچقدر broadcast domain ما کوچکتر باشد، محیط ایزوله تری برای باج افزار میسازیم. لذا به منظور مقابله جدی با این پدیده خطرناک دنیای فناوری اطلاعات، تا میتواند از لایه 2 یا همان vlan ها، گروه های رایانه ای و یا سروری خود را از هم جدا کنید و ارتباط آنها را توسط یک فایروال حتی معمولی کنترل کنید تا در صورت بروز آلودگی در یک نقطه به تمامی نقاط شبکه شما منتقل نشود.

بازدیدکنندگان قبلی این مطالب را نیز خوانده اند:

یک دیدگاه در “مقابله با باج افزار و راهکارهای آن

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *