خرگوش بد به سیستمها حمله کرد
در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
خبرگزاری ایسنا: باج افزار جدیدی به نام خرگوش بد منتشر شده که در طول یک هفته توانسته بیش از ۲۰۰ سازمان بزرگ که عمدتا در روسیه و اوکراین هستند را هدف قرار دهد.
در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
این گروه اکسپلویتها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریکا به سرقت بردند که عبارتند از: EternalBlue, EternalChampion, EternalRomance, EternalSynergy ؛ در ماه مارس شرکت مایکروسافت بهروزرسانی جدیدی را برای برطرف کردن آسیبپذیری EternalRomance ارائه کرد اما متاسفانه بسیاری از شرکتها و سازمانهای بزرگ سیستمهای خود را بهروزرسانی نکردند.
مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرمافزارهای امنیتی و ضدویروس مستقر در هلسینکی است که دفاتری در مالزی و آمریکا دارد و کار تحلیل ضدویروس و توسعه نرمافزاری آن را بهطور مداوم انجام میدهند) هم وجود این باج افزار را تایید کردهاند.
تا پیش از این گزارش شده بود که هیچ یک از تروجانها و باجافزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمیکند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط بخش ابهامزدایی امنیت اطلاعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده میکند. همچنین علاوه بر باج افزار خرگوش بد، باجافزار NotPetya (که با نامهای ExPetr و Nyetya هم شناخته میشود) و باج افزار WannaCry هم از حفرههای امنیتی EternalRomance و EternalBlue استفاده میکردند.
اما اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده میکند. طبق گزارش مرکز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتکل SMB( Server Message Block) پروتکلی برای به اشتراکگذاری فایل بین کلاینت و سرور است.
این پروتکل توسط شرکت IBM با هدف به اشتراک گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستمعاملهای مایکروسافت استفاده شده است. باج افزار خرگوش بد در سایتهای ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر، کاربران خود را آلوده میکند و از کاربران مبلغ ۰.۰۵ بیتکوین طلب میکند.
خرگوش بد چگونه در شبکه گسترش مییابد؟
خرگوش بد از EternalBlue استفاده نمیکند، بلکه از EternalRomance RCE بهره میگیرد تا در شبکه قربانیان خود را گسترش دهد و به گفته محققان ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو میکند، سپس سیستم را آلوده میکند و با دستور mimikatz هشهای قربانی خود را استخراج میکند.
دستور mimikatz در متاسپلویت (برنامهای در سیستم عامل کالی لینوکس است که به جمعآوری آسیب پذیریها و اکسپلویتها میپردازد و ابزار بسیار قدرتمندی برای نفود است) باعث میشود تا هشهای سیستم قربانی را به صورت ریموت استخراج کند.
چه کسی خرگوش بد را منتشر کرد؟
از آنجا که هر دو باج افزار خرگوش بد و NotPetya با استفاده از کد دیجیتال DiskCryptor برای رمزگذاری هارددیسک قربانی و پاک کردن دیسکهای متصل به سیستم آلوده استفاده میکنند، محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شدهاند.
روشهای حافظت از سیستم در برابر ویروس
اگر کاربر خانگی هستید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و به پروتکل SMB نیاز دارید، پس WMI service را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستمهای دیگر آلوده نشوند.
همچنین سیستمعامل خود را همیشه بهروز نگه دارید و از آنتی ویروسهای قدرتمند و معتبر استفاده کنید. از آنجایی که اکثر این بدافزارها از طریق ایمیلهای فیشینگ وارد سیستم میشوند، از باز کردن لینکهای مشکوک اجتناب کنید.
در پایان اینکه همیشه از اطلاعات خود پشتیبان تهیه کنید تا درصورت بروز هرگونه مشکل امکان بازگردانی اطلاعات را داشته باشید.
در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
این گروه اکسپلویتها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریکا به سرقت بردند که عبارتند از: EternalBlue, EternalChampion, EternalRomance, EternalSynergy ؛ در ماه مارس شرکت مایکروسافت بهروزرسانی جدیدی را برای برطرف کردن آسیبپذیری EternalRomance ارائه کرد اما متاسفانه بسیاری از شرکتها و سازمانهای بزرگ سیستمهای خود را بهروزرسانی نکردند.
مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرمافزارهای امنیتی و ضدویروس مستقر در هلسینکی است که دفاتری در مالزی و آمریکا دارد و کار تحلیل ضدویروس و توسعه نرمافزاری آن را بهطور مداوم انجام میدهند) هم وجود این باج افزار را تایید کردهاند.
تا پیش از این گزارش شده بود که هیچ یک از تروجانها و باجافزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمیکند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط بخش ابهامزدایی امنیت اطلاعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده میکند. همچنین علاوه بر باج افزار خرگوش بد، باجافزار NotPetya (که با نامهای ExPetr و Nyetya هم شناخته میشود) و باج افزار WannaCry هم از حفرههای امنیتی EternalRomance و EternalBlue استفاده میکردند.
اما اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده میکند. طبق گزارش مرکز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتکل SMB( Server Message Block) پروتکلی برای به اشتراکگذاری فایل بین کلاینت و سرور است.
این پروتکل توسط شرکت IBM با هدف به اشتراک گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستمعاملهای مایکروسافت استفاده شده است. باج افزار خرگوش بد در سایتهای ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر، کاربران خود را آلوده میکند و از کاربران مبلغ ۰.۰۵ بیتکوین طلب میکند.
خرگوش بد چگونه در شبکه گسترش مییابد؟
خرگوش بد از EternalBlue استفاده نمیکند، بلکه از EternalRomance RCE بهره میگیرد تا در شبکه قربانیان خود را گسترش دهد و به گفته محققان ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو میکند، سپس سیستم را آلوده میکند و با دستور mimikatz هشهای قربانی خود را استخراج میکند.
دستور mimikatz در متاسپلویت (برنامهای در سیستم عامل کالی لینوکس است که به جمعآوری آسیب پذیریها و اکسپلویتها میپردازد و ابزار بسیار قدرتمندی برای نفود است) باعث میشود تا هشهای سیستم قربانی را به صورت ریموت استخراج کند.
چه کسی خرگوش بد را منتشر کرد؟
از آنجا که هر دو باج افزار خرگوش بد و NotPetya با استفاده از کد دیجیتال DiskCryptor برای رمزگذاری هارددیسک قربانی و پاک کردن دیسکهای متصل به سیستم آلوده استفاده میکنند، محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شدهاند.
روشهای حافظت از سیستم در برابر ویروس
اگر کاربر خانگی هستید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و به پروتکل SMB نیاز دارید، پس WMI service را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستمهای دیگر آلوده نشوند.
همچنین سیستمعامل خود را همیشه بهروز نگه دارید و از آنتی ویروسهای قدرتمند و معتبر استفاده کنید. از آنجایی که اکثر این بدافزارها از طریق ایمیلهای فیشینگ وارد سیستم میشوند، از باز کردن لینکهای مشکوک اجتناب کنید.
در پایان اینکه همیشه از اطلاعات خود پشتیبان تهیه کنید تا درصورت بروز هرگونه مشکل امکان بازگردانی اطلاعات را داشته باشید.
تبلیغات متنی
-
سرنوشت تلخ قاتلی که از قصاص گریخت
-
هافبک استقلال به سیم آخر زد: شورش را درآوردید!
-
ثابتی: قوه قضاییه باید با روحانی برخورد کند
-
پروژه تازه ترامپ در آمریکا خبرساز شد
-
اولویت بعدی پرسپولیس در نقلوانتقالات
-
مهندس گوگل جاسوس چین از آب درآمد
-
شادی گل خاص طارمی بعد از حساسترین گل فصل
-
فال روزانه دوشنبه ۱۳ بهمن ۱۴۰۴ | فال امروز| Daily Omen
-
سرباز سابق آمریکایی برای دفاع از ایران فرم پر کرد!
-
رشیدپور برای برکناری رئیس صداوسیما کارزار راه انداخت!
-
بزرگترین کارگاه تولید مشروب در تهران لو رفت!
-
خشم منوچهر هادی در جشنواره فجر: دیکتاتور هستید!
-
مداح مشهدی شعار «این آخرین نبرده» را اجرا کرد
-
بازیگر سریال ستایش از تلویزیون خداحافظی کرد
-
واکنش فارس به کنارهگیری دو لژیونر از تیمملی
-
خشم منوچهر هادی در جشنواره فجر: دیکتاتور هستید!
-
مداح مشهدی شعار «این آخرین نبرده» را اجرا کرد
-
بازیگر سریال ستایش از تلویزیون خداحافظی کرد
-
درخواست فوری برای برکناری رئیس صداوسیما
-
سفارت ایتالیا در تهران تعطیل شد
-
اطلاعیه درباره علت مرگ مشکوک دو دانشجوی پزشکی
-
ماجرای چند نام تکراری در فهرست اعلامی دولت از جانباختگان
-
پیغام جدیدی که از آمریکا به ایران مخابره شد
-
بخشی از واکنش ترامپ به صحبتهای امروز رهبر انقلاب
-
اقدام معنادار عراق با رونمایی از یک شهر موشکی
-
مهدی قایدی جلوی خنده مجری شبکه افق را گرفت
-
موج تازه برف و باران شدید در راه است
-
آغاز پروازهای شرکت هواپیمایی هلند به خاورمیانه
-
شجاع خلیلزاده امشب دوباره به صدر اخبار رفت
-
آرایش نظامی پایگاههای آمریکا در منطقه تغییر کرد!
-
ناو هواپیمابر لینکلن دریای عمان را ترک کرد
-
کریسمسِ صداوسیمای ایران تا ابد عزادار شد
-
احکام برخی دستگیرشدگان اعتراضات اخیر صادر شد
-
خواننده و مجری سرشناس ترکیه درگذشت
-
دو انفجار خبرساز در اهواز و بندرعباس
-
رزمایش مشترک ایران، روسیه و چین تکذیب شد؟
-
ورود کاروان نظامی بزرگ آمریکا به عراق
-
یک سامانه بارشی قوی در آستانه ورود به کشور
-
پیام شهاب حسینی به پدر و مادرِ ایلیا دهقانی
-
رابعه اسکویی از مردم عذرخواهی کرد
-
بازیگران در جشنواره فجر مشکیپوش شدند
-
خبر فوری علی لاریجانی در رابطه با آمریکا
-
موضع عربستان درباره جنگ با ایران ۱۸۰ درجه تغییر کرد
-
مداح مشهدی شعار «این آخرین نبرده» را اجرا کرد
-
رسانه قالیباف خواستار اخراج بازیکن استقلال شد
بانک اطلاعات مشاغل تهران و کرج
-
سالن های آرایش و زیبایی
-
پزشکان پوست و مو
-
آموزشگاه آشپزی در تهران
-
گالری پوشاک
-
اخذ ویزا
-
کاشت ناخن
-
محصولات پزشکی
-
تدریس خصوصی
-
مزون و شوی لباس
-
اعزام دانشجو
-
خدمات آرایشی و زیبایی
-
خدمات درمانی
-
مدارس
-
طلا و جواهر و زیورآلات
-
صرافی
-
محصولات آرایش و زیبایی
-
خدمات حیوانات خانگی
-
مهد کودک
-
مبلمان
-
سیسمونی و نوزاد
-
مراکز درمانی
-
پت شاپ
-
رستوران و تهیه غذا
-
تعمیرات مبل در تهران
-
خدمات تفریح و سرگرمی
-
پزشکان متخصص
-
باشگاه های ورزشی
-
فست فودهای تهران
-
سرویس خواب
-
موبایل
-
دکتر زنان در تهران
-
فروشگاه ها و لوازم ورزشی
-
کافی شاپ و سفره خانه
-
دکوراسیون داخلی
-
لوازم خانگی
-
دندانپزشکان
-
آموزشگاه ها
-
صنایع غذایی
-
تزیینات داخلی
-
خدمات منزل
-
دندانپزشکی کودک
-
آموزشگاه زبان در تهران
-
تشریفات و موسسه پذیرایی
-
خدمات ساختمان
-
فروش و خدمات خودرو
-
پزشکان زیبایی و لاغری
-
آموزشگاه موسیقی
-
خدمات مجالس
-
قالیشویی در تهران
-
سایر خدمات
-
جراحی بینی و زیبایی
-
آموزشگاه هنری
-
آتلیه عکاسی
-
آژانس مسافرتی و هتل
ارسال نظر