خرگوش بد به سیستمها حمله کرد
در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
خبرگزاری ایسنا: باج افزار جدیدی به نام خرگوش بد منتشر شده که در طول یک هفته توانسته بیش از ۲۰۰ سازمان بزرگ که عمدتا در روسیه و اوکراین هستند را هدف قرار دهد.
در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
این گروه اکسپلویتها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریکا به سرقت بردند که عبارتند از: EternalBlue, EternalChampion, EternalRomance, EternalSynergy ؛ در ماه مارس شرکت مایکروسافت بهروزرسانی جدیدی را برای برطرف کردن آسیبپذیری EternalRomance ارائه کرد اما متاسفانه بسیاری از شرکتها و سازمانهای بزرگ سیستمهای خود را بهروزرسانی نکردند.
مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرمافزارهای امنیتی و ضدویروس مستقر در هلسینکی است که دفاتری در مالزی و آمریکا دارد و کار تحلیل ضدویروس و توسعه نرمافزاری آن را بهطور مداوم انجام میدهند) هم وجود این باج افزار را تایید کردهاند.
تا پیش از این گزارش شده بود که هیچ یک از تروجانها و باجافزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمیکند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط بخش ابهامزدایی امنیت اطلاعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده میکند. همچنین علاوه بر باج افزار خرگوش بد، باجافزار NotPetya (که با نامهای ExPetr و Nyetya هم شناخته میشود) و باج افزار WannaCry هم از حفرههای امنیتی EternalRomance و EternalBlue استفاده میکردند.
اما اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده میکند. طبق گزارش مرکز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتکل SMB( Server Message Block) پروتکلی برای به اشتراکگذاری فایل بین کلاینت و سرور است.
این پروتکل توسط شرکت IBM با هدف به اشتراک گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستمعاملهای مایکروسافت استفاده شده است. باج افزار خرگوش بد در سایتهای ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر، کاربران خود را آلوده میکند و از کاربران مبلغ ۰.۰۵ بیتکوین طلب میکند.
خرگوش بد چگونه در شبکه گسترش مییابد؟
خرگوش بد از EternalBlue استفاده نمیکند، بلکه از EternalRomance RCE بهره میگیرد تا در شبکه قربانیان خود را گسترش دهد و به گفته محققان ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو میکند، سپس سیستم را آلوده میکند و با دستور mimikatz هشهای قربانی خود را استخراج میکند.
دستور mimikatz در متاسپلویت (برنامهای در سیستم عامل کالی لینوکس است که به جمعآوری آسیب پذیریها و اکسپلویتها میپردازد و ابزار بسیار قدرتمندی برای نفود است) باعث میشود تا هشهای سیستم قربانی را به صورت ریموت استخراج کند.
چه کسی خرگوش بد را منتشر کرد؟
از آنجا که هر دو باج افزار خرگوش بد و NotPetya با استفاده از کد دیجیتال DiskCryptor برای رمزگذاری هارددیسک قربانی و پاک کردن دیسکهای متصل به سیستم آلوده استفاده میکنند، محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شدهاند.
روشهای حافظت از سیستم در برابر ویروس
اگر کاربر خانگی هستید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و به پروتکل SMB نیاز دارید، پس WMI service را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستمهای دیگر آلوده نشوند.
همچنین سیستمعامل خود را همیشه بهروز نگه دارید و از آنتی ویروسهای قدرتمند و معتبر استفاده کنید. از آنجایی که اکثر این بدافزارها از طریق ایمیلهای فیشینگ وارد سیستم میشوند، از باز کردن لینکهای مشکوک اجتناب کنید.
در پایان اینکه همیشه از اطلاعات خود پشتیبان تهیه کنید تا درصورت بروز هرگونه مشکل امکان بازگردانی اطلاعات را داشته باشید.
در ماه آوریل سال ۲۰۱۷ گروه Shadow Brokers ابزارها و اکسپلویتهایی را در فضای وب منتشر کردند که گفته میشود از سازمان امنیت ملی آمریکا (NSA) به سرقت رفته است که حفره امنیتی EternalRomance و EternalBlue هم جزو آنان بود.
این گروه اکسپلویتها و ابزارهای چهار حفره امنیتی را از آژانس امنیت ملی آمریکا به سرقت بردند که عبارتند از: EternalBlue, EternalChampion, EternalRomance, EternalSynergy ؛ در ماه مارس شرکت مایکروسافت بهروزرسانی جدیدی را برای برطرف کردن آسیبپذیری EternalRomance ارائه کرد اما متاسفانه بسیاری از شرکتها و سازمانهای بزرگ سیستمهای خود را بهروزرسانی نکردند.
مایکروسافت و شرکت F-Secure (یک شرکت فنلاندی تولیدکننده نرمافزارهای امنیتی و ضدویروس مستقر در هلسینکی است که دفاتری در مالزی و آمریکا دارد و کار تحلیل ضدویروس و توسعه نرمافزاری آن را بهطور مداوم انجام میدهند) هم وجود این باج افزار را تایید کردهاند.
تا پیش از این گزارش شده بود که هیچ یک از تروجانها و باجافزارهای منتشر شده در این هفته از هیچ یک از ابزارهای توسعه یافته آژانس امنیت ملی آمریکا استفاده نمیکند اما بر خلاف گزارش قبل، اخیرا گزارشی توسط بخش ابهامزدایی امنیت اطلاعات سیسکو تهیه شده که طبق آن باج افزار خرگوش بد از حفره EternalRomance استفاده میکند. همچنین علاوه بر باج افزار خرگوش بد، باجافزار NotPetya (که با نامهای ExPetr و Nyetya هم شناخته میشود) و باج افزار WannaCry هم از حفرههای امنیتی EternalRomance و EternalBlue استفاده میکردند.
اما اکسپلویت حفره امنیتی EternalRomance از نوع RCE (remote code execution)، نقص امنیتی است که به هکر اجازه میدهد تا دستورات ترمینال یا CMD از راه دور برروی سرور اجرا کند و از نقص امنیتی موجود در پروتکل smb ویندوز استفاده میکند. طبق گزارش مرکز اطلاع رسانی پلیس تولید و تبادل اطلاعات، پروتکل SMB( Server Message Block) پروتکلی برای به اشتراکگذاری فایل بین کلاینت و سرور است.
این پروتکل توسط شرکت IBM با هدف به اشتراک گذاری منابعی مانند پرینتر، فایل و … توسعه داده شد. SMB در سیستمعاملهای مایکروسافت استفاده شده است. باج افزار خرگوش بد در سایتهای ارائه دهنده مالتی مدیا در روسیه با تحریک کاربران برای نصب فلش پلیر، کاربران خود را آلوده میکند و از کاربران مبلغ ۰.۰۵ بیتکوین طلب میکند.
خرگوش بد چگونه در شبکه گسترش مییابد؟
خرگوش بد از EternalBlue استفاده نمیکند، بلکه از EternalRomance RCE بهره میگیرد تا در شبکه قربانیان خود را گسترش دهد و به گفته محققان ابتدا شبکه داخلی را به منظور یافتن پروتکل SMB جست و جو میکند، سپس سیستم را آلوده میکند و با دستور mimikatz هشهای قربانی خود را استخراج میکند.
دستور mimikatz در متاسپلویت (برنامهای در سیستم عامل کالی لینوکس است که به جمعآوری آسیب پذیریها و اکسپلویتها میپردازد و ابزار بسیار قدرتمندی برای نفود است) باعث میشود تا هشهای سیستم قربانی را به صورت ریموت استخراج کند.
چه کسی خرگوش بد را منتشر کرد؟
از آنجا که هر دو باج افزار خرگوش بد و NotPetya با استفاده از کد دیجیتال DiskCryptor برای رمزگذاری هارددیسک قربانی و پاک کردن دیسکهای متصل به سیستم آلوده استفاده میکنند، محققان معتقدند که هر دو باج افزار توسط یک گروه منتشر شدهاند.
روشهای حافظت از سیستم در برابر ویروس
اگر کاربر خانگی هستید پروتکل SMB سیستم خود را ببندید و اگر در شبکه قرار دارید و به پروتکل SMB نیاز دارید، پس WMI service را غیرفعال کنید تا در صورت آلوده شدن یک سیستم، سیستمهای دیگر آلوده نشوند.
همچنین سیستمعامل خود را همیشه بهروز نگه دارید و از آنتی ویروسهای قدرتمند و معتبر استفاده کنید. از آنجایی که اکثر این بدافزارها از طریق ایمیلهای فیشینگ وارد سیستم میشوند، از باز کردن لینکهای مشکوک اجتناب کنید.
در پایان اینکه همیشه از اطلاعات خود پشتیبان تهیه کنید تا درصورت بروز هرگونه مشکل امکان بازگردانی اطلاعات را داشته باشید.
تبلیغات متنی
-
فینالیستهای لیگ اروپا و لیگ کنفرانس مشخص شدند
-
سنتکام به صورت رسمی حملات به ایران را تأیید کرد
-
بیانیه مهم فرماندهی نیروی دریایی سپاه
-
جزئیات درگیریهای امشب به روایت سخنگوی قرارگاه خاتم
-
فال روزانه جمعه ۱۸ اردیبهشت ۱۴۰۵ | فال امروز| Daily Omen
-
ایروانی: امنیت تنگه هرمز نباید یکسویه باشد
-
«پدر موبایل ایران» بازداشت شد
-
صدای انفجار در ابوظبی و دبی شنیده شد
-
شنیده شدن صدای چند انفجار شدید در میناب
-
فاکسنیوز: آمریکا به قشم و بندرعباس حمله کرد
-
واکنش علی قلهکی به حمله امارات به اسکله بهمن قشم
-
فعالیت شدید پدافند هوایی در غرب تهران
-
استقرار پدافند لیزری چینی در فرودگاه دبی!
-
رونمایی از آهنگ رسمی جام جهانی ۲۰۲۶
-
نخستین تصاویر از اسکله بهمن قشم
-
سنتکام به صورت رسمی حملات به ایران را تأیید کرد
-
صدای انفجار در ابوظبی و دبی شنیده شد
-
شنیده شدن صدای چند انفجار شدید در میناب
-
فاکسنیوز: آمریکا به قشم و بندرعباس حمله کرد
-
فعالیت شدید پدافند هوایی در غرب تهران
-
رونمایی از آهنگ رسمی جام جهانی ۲۰۲۶
-
نخستین تصاویر از اسکله بهمن قشم
-
شلیک موشکهای ایران به سمت یک ناو آمریکایی
-
اولین واکنش اسرائیل به انفجار اسکله بهمن قشم
-
حضور سوخترسانهای آمریکایی در امارات
-
اسکله بهمن قشم هدف حمله قرار گرفت
-
نبویان: عراقچی را از مذاکره بیرون کنید!
-
شنیده شدن صدای چند انفجار در بندرعباس
-
شیوع یک ویروس مرگبار، کل دنیا را ترسانده است!
-
ادعای CNN درباره قوانین جدید ایران برای عبور کشتیها از تنگه هرمز
-
نقشه جدید برای وصل اینترنت باعث اختلاف شد
-
لحظه پیدا شدن پیکر نوه ۱۴ ماهه رهبر انقلاب
-
ادعای آکسیوس درباره اقدام غیرمنتظره ایران و آمریکا در ۴۸ ساعت آینده
-
اظهارات توجهبرانگیز شاکی پژمان جمشیدی در دادگاه
-
پخش تصاویری از جورجیا ملونی جنجالی شد
-
پویان مختاری در گفتگو با واشقانی درخواست تفنگ برنو کرد
-
شغل محبوب سالهای اخیر در آستانه ورشکستگی کامل
-
روایت یکی از کسبه مجتمع ارغوان از آتشسوزی دیشب
-
شیوع یک ویروس مرگبار، کل دنیا را ترسانده است!
-
اولین واکنش قالیباف به اخبار داغ مذاکره
-
پشت پرده تغییر ناگهانی در «پروژه آزادی» طی دو روز!
-
ترامپ توقف موقت «پروژه آزادی» را اعلام کرد
-
نخستین تصاویر از تخریب فرودگاهها در جنگ اخیر
-
یک تحلیل متفاوت درباره آنچه در تجمعات شبانه میگذرد
-
چند نشانه که میگوید این جنگ طولانی خواهد شد
بانک اطلاعات مشاغل تهران و کرج
-
سالن های آرایش و زیبایی
-
پزشکان پوست و مو
-
آموزشگاه آشپزی در تهران
-
گالری پوشاک
-
اخذ ویزا
-
کاشت ناخن
-
محصولات پزشکی
-
تدریس خصوصی
-
مزون و شوی لباس
-
اعزام دانشجو
-
خدمات آرایشی و زیبایی
-
خدمات درمانی
-
مدارس
-
طلا و جواهر و زیورآلات
-
صرافی
-
محصولات آرایش و زیبایی
-
خدمات حیوانات خانگی
-
مهد کودک
-
مبلمان
-
سیسمونی و نوزاد
-
مراکز درمانی
-
پت شاپ
-
رستوران و تهیه غذا
-
تعمیرات مبل در تهران
-
خدمات تفریح و سرگرمی
-
پزشکان متخصص
-
باشگاه های ورزشی
-
فست فودهای تهران
-
سرویس خواب
-
موبایل
-
دکتر زنان در تهران
-
فروشگاه ها و لوازم ورزشی
-
کافی شاپ و سفره خانه
-
دکوراسیون داخلی
-
لوازم خانگی
-
دندانپزشکان
-
آموزشگاه ها
-
صنایع غذایی
-
تزیینات داخلی
-
خدمات منزل
-
دندانپزشکی کودک
-
آموزشگاه زبان در تهران
-
تشریفات و موسسه پذیرایی
-
خدمات ساختمان
-
فروش و خدمات خودرو
-
پزشکان زیبایی و لاغری
-
آموزشگاه موسیقی
-
خدمات مجالس
-
قالیشویی در تهران
-
سایر خدمات
-
جراحی بینی و زیبایی
-
آموزشگاه هنری
-
آتلیه عکاسی
-
آژانس مسافرتی و هتل
ارسال نظر