چگونه از خودمان در برابر حملات جدید باج افزاری محافظت کنیم؟

کمیته رکن چهارم – حملات باج افزاری در سال های اخیر روند همچنان صعودی داشته و باج افزارهای تکامل یافته توانسته اند بسیاری از افراد و کسب و کارها را با مخاطرات جدی مواجه سازند. در این مطلب، گام‌های مهمی که به شما جهت محافظت از رایانه تان در برابر این مخاطره و سایر مخاطرات مشابه کمک می‌کند را بررسی خواهیم کرد.

اقدام هایی برای جلوگیری از حمله

مراحل گفته شده در زیر به شما می کند تا بتوانید از وقوع حملات باج افزاری جلوگیری کنید:

1. اول از همه اینکه از یک راهکار مناسب که شرکت های امنیتی برای مقابله با حملات باج افزاری پیشنهاد می کنند، استفاده کنید.
2. در صورت عدم استفاده از پروتکل ریموت دسکتاپ یا به اختصار RDP، حتماً آن را غیرفعال کنید. در این مطلب، چگونگی انجام این کار توضیح داده شده است.
3. در صورت نیاز به استفاده از ریموت دسکتاپ، پورت آن را تغییر داده و یک پورت غیراستاندارد را برای آن در نظر بگیرید.
4. فایروال شبکه را به نحوی پیکربندی کنید که:
   • دسترسی IPهای عمومی به پورت‌های مهم را مسدود کند (مخصوصاً پورت ریموت دسکتاپ، یعنی ۳۳۸۹)
   • فقط به IPهایی امکان دسترسی بدهد که تحت کنترل سازمان هستند.
5. جهت دسترسی به شبکه، از VPN استفاده کرده و RDP را غیرفعال کنید.
6. در صورت امکان، سازوکار احراز هویت دومرحله‌ای را فعال کنید.
7. از راهکاری به منظور جلوگیری از امکان حدس اطلاعات حساب کاربری (نام کاربری و کلمه عبور) استفاده کنید.
8. جهت مدیریت دسترسی به پوشه‌های اشتراکی کاربران در شبکه، یک پوشه جداگانه را برای هر کاربر ایجاد کنید.
9. هرگز به کاربران عادی، امتیازات دسترسی سطح بالا مانند ادمین سیستم را ندهید. مهمتر این که هیچ وقت حساب کاربری ادمین را در حالت لاگین باقی نگذارید مگر اینکه انجام چنین کاری ضرورت داشته باشد. همچنین هنگامی که با حساب کاربری ادمین به سیستم لاگین کرده اید از وبگردی، باز کردن مستندات غیرضروری و سایر فعالیت‌های کاری معمول خودداری کنید.

گسترش حملات باج افزاری

بعضی از باج‌افزارهای جدید امکان گسترش به سایر سیستم ها را از طریق حمله جستجوی فراگیر پروتکل ریموت دسکتاپ دارند؛ البته فقط محدود به این روش نیز نبوده و ممکن است از طریق سایر موارد زیر هم بر روی رایانه های کاربران گسترش یابند:

1. ایمیل‌های هرزنامه
2. حملات فیشینگ
3. اکسپلویت کیت ها
4. آسیب‌پذیری‌های پروتکل SMB، مثل حمله EternalBlue
5. حملات درایوبای دانلود (Drive by Download)
6. و همچنین نفوذ از طریق سایر بدافزارها.

پروتکل ریموت دسکتاپ چیست؟

از پروتکل ریموت دسکتاپ برای اتصال به یک رایانه دیگر، از طریق شبکه و آن هم به صورت از راه دور استفاده می‌شود. در واقع از این پروتکل برای پیکربندی دستگاه‌ها از راه دور استفاده می شود. پورت آن نیز ۳۳۸۹ بوده و از پروتکل TCP/UDP بهره می گیرد.

حمله جستجوی فراگیر چیست؟

حمله جستجوی فراگیر (Brute Force) نوعی حمله مبتنی بر سعی و خطا برای به دست آوردن اطلاعات لاگین کاربران مثل نام کاربری، کلمه عبور یا هر نوع اطلاعات هویتی شخصی (یا به اختصار PII) است. معمولاً حمله جستجوی فراگیر از طریق اسکریپت‌های خودکار انجام می‌شود.

مهاجمان از طریق این حمله می‌توانند اطلاعات کاربر (شامل نام کاربری و کلمه عبور وی) را جهت دسترسی به RDP ماشین آلوده به دست آورند. بعد از کشف اطلاعات لاگین، مهاجمان دیگر امکان دسترسی به رایانه قربانی را داشته و می‌توانند حمله مورد نظرشان را انجام دهند. در بعضی موارد مشاهده شده که حملات باج افزاری، حاصل حمله جستجوی فراگیر به پروتکل ریموت دسکتاپ بوده‌اند.

ظاهراً باج‌افزار “Dharma” هم از طریق حمله جستجوی فراگیر به پروتکل ریموت دسکتاپ، گسترش یافته است. البته پیش از این هم مشاهده شده بود که باج‌افزارهای دیگری از طریق همین روش گسترش پیدا کرده اند. در این سناریوی خاص، مهاجم می‌تواند با به دست آوردن اطلاعات کاربری ادمین، کنترل کامل سیستم را به دست بگیرد. این کار به مهاجمان امکان نصب و پاک کردن هر نرم‌افزاری را در سیستم آلوده می‌دهد. در رابطه با این باج‌افزار خاص، مشاهده شده که مهاجمین نرم‌افزارهای امنیتی را از سیستم آلوده پاک کرده و با انجام این کار توانسته‌اند باج‌افزار مورد نظرشان را بر روی سیستم قربانی نصب کنند.

محصولات امنیتی با داشتن چه قابلیت‌هایی می توانند از کاربران در برابر چنین حملاتی محافظت کنند؟

محصولات امنیتی که از آنها برای مقابله با باج افزارها استفاده می شود، اغلب دارای چندین لایه امنیتی هستند که می توانند چنین حملاتی را سریعاً شناسایی کرده و با آنها مقابله کنند:

1. قابلیت ضدباج‌افزاری: این ویژگی طوری است که سیستم می تواند حمله را شناسایی کرده و در برابر باج افزارها مقاومت کند. این قابلیت با ردیابی کل توالی اجرایی باج افزارها امکان شناسایی و مسدودسازی آنها را فراهم می کند.
2. فایروال: تلاش‌های مخرب برای نفوذ از طریق اتصال های شبکه ای را مسدود می‌کند.
3. IDS/IPS: تلاش‌های صورت گرفته برای حمله جستجوی فراگیر RDP را شناسایی کرده و IP مهاجم را مسدود می‌کند.
4. محافظت در برابر ویروس: سرویس محافظتی آنلاین ضدویروس، قابلیت شناسایی انواع باج‌افزارهای شناخته شده را فراهم می کند.
5. سیستم تشخیص مبتنی بر رفتار: فعالیت فایل‌های اجرایی را ردیابی کرده و فایل‌های مخرب را مسدود می‌کند.
6. پشتیبان گیری و بازیابی: به پشتیبان گیری منظم از اطلاعات‌ سیستم ها و بازیابی آنها در صورت لزوم کمک می‌کند.

اقدامات امنیتی مهم برای امن نگهداشتن رایانه ها در برابر حملات باج افزاری

باید توجه داشت که این حملات، اغلب کاربرانی را هدف می‌گیرند که زیرساخت‌های امنیتی ضعیف‌تری دارند. بنابراین بسیار مهم و حیاتی است که کاربران و  کسب و کارها امنیت خودشان را افزایش داده و قدرت دفاعی لازم برای مقابله با چنین حملاتی را داشته باشند.

بنابراین مهمترین اقدام هایی که آنها می توانند انجام دهند، شامل موارد زیر است:

1. تهیه نسخ پشتیان از اطلاعات، آن هم به صورت منظم

• دائما و به صورت منظم از اطلاعات‌تان نسخه پشتیان گرفته و همیشه یک نسخه آفلاین جدید از آنها داشته باشید. بهتر است فایل نسخه پشتیان را هم رمزنگاری کنید. در این صورت، اگر سیستمی به باج‌افزار آلوده شد می‌توانید پس از حذف بدافزار، دوباره فایل‌ها را بازیابی کنید.
• نسخه‌های پشتیبان آفلاین را مستقیماً به سیستم وصل نکنید چون در این صورت وقتی سیستم دچار حمله باج افزاری شود، قاعدتاً فایل‌های پشتیبان هم آلوده خواهند شد.

2. سیستم‌عامل و سایر نرم‌افزارها را همواره به‌روز نگهدارید.

• همیشه نرم‌افزار ضدویروس را آپدیت کرده و به‌روز نگهدارید.
• حتماً سیستم‌عامل و سایر نرم‌افزارهای نصب شده بر روی سیستم را نیز به‌روزرسانی کنید. به روز رسانی نرم‌افزار، شامل نصب وصله های امنیتی جدید برای برطرف سازی آسیب‌پذیری‌های جدید شناخته شده هم می شود. در صورت وصله نکردن این آسیب پذیری ها ممکن است مهاجمان از آنها برای نفوذ به سیستم ها استفاده کنند.
• همیشه نرم‌افزارهایی مثل Microsoft Office، Java، Adobe Reader، Flash و تمامی مرورگرها مثل اینترنت اکسپلورر، کروم، فایرفاکس، اوپرا و غیره و همچنین پلاگین‌های مرورگرها را به‌روز نگهدارید.

3. نرم‌افزارهای غیرمعتبر یا کرک شده را بر روی سیستم نصب نکنید، چون ممکن است از این نرم‌افزارها برای نصب بدافزار بر روی رایانه استفاده شود.
4. از دانلود نرم‌افزار از وب‌سایت‌های تورنت یا P2P نامطمئن خودداری کنید چرا که بیشتر این نرم‌افزارها آلوده به بدافزارها هستند.
5. همیشه مراقب حملات فیشینگ باشید.

• هرگز بر روی لینک‌های مشکوک کلیک نکرده و پیوست ایمیل های ناشناس یا ناخواسته‌ای که برای شما ارسال می‌شوند را دانلود و اجرا نکنید. بیشتر ایمیل‌های فیشینگ حاوی پیامی هستند که ظاهری موجه داشته و اضطراری جلوه می‌کنند. این پیام‌ها طوری طراحی می‌شوند که کاربران را تشویق به انجام اقدامی خاص مثل کلیک کردن بر روی یک لینک یا دانلود فایل ضمیمه کنند.
• اطمینان حاصل کنید که آنتی‌ویروس سیستم تان دارای امکانات ضدفیشینگ باشد و به صورت خودکار ایمیل‌ها و وب‌سایت‌های فیشینگ را مسدود می کند.

چطور RDP را غیرفعال کنیم؟

به منظور غیرفعال کردن ریموت دسکتاپ سیستم، اقدام های زیر را انجام دهید:

1. در کنترل پنل سیستم، بر روی گزینه “System And Security“ و سپس گزینه “System” کلیک کنید.
2. در صفحه System، بر روی گزینه “Remote Settings“ در قسمت سمت چپ صفحه کلیک کنید تا کادر “System Properties” و تب “Remote” آن باز شود.
3. سپس برای غیرفعال کردن ریموت دسکتاپ، گزینه “Don’t Allow Connections To This Computer“ را انتخاب کرده و سپس بر روی “OK” کلیک کنید.

منبع: فراست