خرگوش بد به سیستم‌ها حمله کرد
قالیشویی بانو_هدر
رستوران پارسیان_D
قالیشویی بانو_هدر
رستوران پارسیان_D
دیاکو_موبایل F دومی
ایرانیان - F داخلی موبایل111
قالیشویی بانو_هدر
رستوران پارسیان_D
ایرانیان - f تبلت1111
تدریس خصوصی امیرکبیر_1
دکتر نداف کرمانی 1
فرش مرتضوی_1
تدریس خصوصی امیرکبیر_3
فرش مرتضوی_3
دکتر نداف کرمانی 3
دکتر نداف کرمانی 4
فرش مرتضوی_ 4
تدریس خصوصی امیرکبیر_4
تدریس خصوصی امیرکبیر_2
دکتر نداف کرمانی 2
فرش مرتضوی_2
دیاکو_F داخلی دومی
ایرانیان - F داخلی1111
۶۷۸۳۶۴
۲۸ بهمن ۱۳۹۶ - ۱۰:۰۹
۴۰۱۹
در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویت‌هایی را در فضای وب منتشر کردند که گفته می‌شود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
خبرگزاری ایسنا: باج افزار جدیدی به نام خرگوش بد منتشر شده که در طول یک هفته توانسته بیش از ۲۰۰ سازمان بزرگ که عمدتا در روسیه و اوکراین هستند را هدف قرار دهد.

 در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویت‌هایی را در فضای وب منتشر کردند که گفته می‌شود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance  و EternalBlue هم جزو آنان بود.

این گروه اکسپلویت‌ها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریکا به سرقت بردند که عبارتند از: EternalBlue, EternalChampion, EternalRomance,  EternalSynergy ؛ در ماه مارس شرکت مایکروسافت به‌روزرسانی جدیدی را برای برطرف کردن آسیب‌پذیری EternalRomance ارائه کرد اما متاسفانه بسیاری از شرکت‌ها و سازمان‌های بزرگ سیستم‌های خود را به‌روزرسانی نکردند.

مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرم‌افزارهای امنیتی و ضدویروس مستقر در هلسینکی است که دفاتری در مالزی و آمریکا دارد و کار تحلیل ضدویروس و توسعه نرم‌افزاری آن ‌را به‌طور مداوم انجام می‌دهند) هم وجود این باج افزار را تایید کرده‌اند.

تا پیش از این گزارش شده بود که هیچ یک از تروجان‌ها و باج‌افزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمی‌کند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط بخش ابهام‌زدایی امنیت اطلاعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده می‌کند. همچنین علاوه بر باج افزار خرگوش بد، باج‌افزار NotPetya (که با نام‌های ExPetr و Nyetya هم شناخته می‌شود) و باج افزار WannaCry هم از حفره‌های امنیتی EternalRomance و EternalBlue استفاده می‌کردند.

اما اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه می‌دهد تا دستورات ترمینال یا CMD  از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده می‌کند. طبق گزارش مرکز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتکل  SMB( Server Message Block) پروتکلی برای به اشتراک‌گذاری فایل بین کلاینت و سرور است.  

این پروتکل توسط شرکت IBM با هدف به اشتراک‌ گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB  در سیستم‌عامل‌های مایکروسافت استفاده‌ شده است. باج افزار خرگوش بد در سایت‌های ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر، کاربران خود را آلوده می‌کند و از کاربران مبلغ ۰.۰۵ بیت‌کوین طلب می‌کند.

 خرگوش بد چگونه در شبکه گسترش می‌یابد؟

خرگوش بد از EternalBlue استفاده نمی‌کند، بلکه از EternalRomance RCE بهره می‌گیرد تا در شبکه قربانیان خود را گسترش دهد و به گفته محققان ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو می‌کند، سپس سیستم را آلوده می‌کند و با دستور mimikatz هش‌های قربانی خود را استخراج می‌کند.

دستور mimikatz در متاسپلویت (برنامه‌ای در سیستم عامل کالی لینوکس است که به جمع‌آوری آسیب پذیری‌ها و اکسپلویت‌ها می‌پردازد و ابزار بسیار قدرتمندی برای نفود است) باعث می‌شود تا هش‌های سیستم قربانی را به صورت ریموت استخراج کند.

 چه کسی خرگوش بد را منتشر کرد؟

از آنجا که هر دو باج افزار خرگوش بد و NotPetya با استفاده از کد دیجیتال DiskCryptor برای رمزگذاری هارددیسک قربانی و پاک کردن دیسک‌های متصل به سیستم آلوده استفاده می‌کنند، محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شده‌اند.

روش‌های حافظت از سیستم در برابر ویروس

اگر کاربر خانگی هستید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و به پروتکل SMB نیاز دارید، پس WMI service را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستم‌های دیگر آلوده نشوند.

همچنین سیستم‌عامل خود را همیشه به‌روز نگه دارید و از آنتی ویروس‌های قدرتمند و معتبر استفاده کنید. از آنجایی که اکثر این بدافزارها از طریق ایمیل‌های فیشینگ وارد سیستم می‌شوند، از باز کردن لینک‌های مشکوک اجتناب کنید.

در پایان اینکه همیشه از اطلاعات خود پشتیبان تهیه کنید تا درصورت بروز هرگونه مشکل امکان بازگردانی اطلاعات را داشته باشید.
مطالب مرتبط
نام:
* نظر:
تعداد کاراکترهای مجاز: 450
قوانین ارسال نظر
بانک اطلاعات مشاغل تهران و کرج
فرش تارنگ_1
شیرآلات زمانی_1
اپیلاسیون نانا 1
فرش ریحان 1
اپیلاسیون نانا 3
شیرآلات زمانی_3
فرش ریحان 3
فرش تارنگ_3
فرش ریحان 4
اپیلاسیون نانا 4
فرش تارنگ_4
شیرآلات زمانی_4
شیرآلات زمانی_2
اپیلاسیون نانا 2
فرش تارنگ_2
فرش ریحان 2
استیل رگال_فوتر موبایل
بانک کتاب پایتخت_فوتر موبایل
دکتر قدیمی_فوتر موبایل
فنی آتل_فوتر موبایل
تدبیرکالا_فوتر موبایل
فرش تارنگ_فوتر موبایل
دکتر عارفی - موبایل فوتر
کالابرد_فوترموبایل
قالیشویی محتشم کاشان_فوتر موبایل
رستوران پارسیان_فوتر موبایل
قالیشویی نوین_فوتر موبایل
موسسه خیریه زهرا_فوتر موبایل
دیاکو_فوتر موبایل داخلی
قالیشویی بانو_فوترموبایل2
رستوران باغ بهشت_فوتر موبایل
شفا_فوترموبایل
قالیشویی ادیب_فوتر موبایل
قالیشویی بانو_فوتر2
بانک کتاب پایتخت_فوتر
استیل رگال_فوتر
رستوران پارسیان_فوتر
تدبیرکالا_فوتر
کالابرد_فوتر
شفا_فوتر
فنی آتل_فوتر
رستوران باغ بهشت _فوتر
فرش تارنگ_فوتر
قالیشویی ادیب_فوتر
قالیشویی نوین_فوتر
قالیشویی محتشم کاشان_فوتر
موسسه خیریه زهرا_فوتر
دکتر قدیمی_فوتر
دکتر عارفی - فوتر
دیاکو_فوتر داخلی