امنیت در برابر حملات جدید باج افزاری

اقدامات امنیتی جهت پیشگیری از حملات باج افزاری

 

حملات جدید باج افزاری در چند سال اخیر روند صعودی داشته و توانسته بسیاری ازکاربران شخصی و حتی کسب و کارها را با خطر جدی مواجه کند.  ما در این مطلب می‌خواهیم، اقدامات مهمی که شما را در برابر این خطرات جدی محافظت کند، بررسی کنیم.

مراحل زیر جهت پیشگیری از وقوع حملات باج‌افزاری به شما کمک خواهد کرد:

1. در مرحله اول یک آنتی‌ویروس مناسب که شرکت های امنیتی برای مقابله با حملات باج افزاری پیشنهاد می‌کنند، استفاده کنید.
2. در صورت عدم استفاده از پروتکل ریموت دسکتاپ حتماً آن را غیرفعال کنید.
3. در صورت نیاز به استفاده از ریموت دسکتاپ، پورت آن را تغییردهید و یک پورت غیراستاندارد برای آن در نظر بگیرید.
4. فایروال شبکه را به نحوی تنظیم کنید که:

• دسترسیIPهایی همگانی به پورت‌های مهم را مسدود کند.
• فقط به IPهایی امکان دسترسی بدهد که تحت کنترل سازمان هستند.

5. جهت دسترسی به شبکه، از VPN استفاده کرده و RDP را غیرفعال کنید.
6. در صورت امکان، احراز هویت دومرحله‌ای را فعال کنید.
7. برای مدیریت دسترسی به فایل‌های مشترک کاربران شبکه، یک فایل مجزا برای هر کاربر ایجاد کنید.
8. هرگز به کاربران عادی، دسترسی بالا مانند ادمین سیستم را ندهید. همچنین سعی کنید هیچ وقت حساب کاربری ادمین را در حالت لاگین باقی نگذارید مگردر مواقع ضروری.

 

گسترش حملات جدید باج افزاری

برخی از حملات جدید باج‌افزاری از طریق حمله جستجوی فراگیر Remote Desktop Protocol امکان گسترش به سایر سیستم‌ها را دارند؛ البته تنها محدود به این شیوه نبوده و ممکن است از طریق سایر موارد زیر بر روی رایانه‌های کاربران وارد شوند:

1. هرزنامه
2. فیشینگ
3. اکسپلویت کیت‌ها
4. آسیب‌پذیری‌های پروتکل SMB
5. و سایر بدافزارها

 

Remote Desktop Protocol (RDP) چیست؟

RDP  مخفف Remote Desktop Protocol است، به معنای پروتکل اتصال از راه دور به سیستم،  پروتکل ریموت دسکتاپ توسط مایکروسافت ساخته شده است و امکان اتصال بین دو سیستم را می‌دهد.  از این پروتکل برای اتصال به یک رایانه دیگر، از طریق شبکه و آن هم به صورت از راه دور استفاده می‌شود. معمولا برای تنظیم سیستم‌ها از راه دور استفاده می‌شود. به طور ساده تر میتواند گفت شما میتوانید با استفاده از rdp به صورت گرافیکی به یک سیستم ویندوزی دیگر متصل شوید این امکان در تمام تسخه‌های ویندوز وجود دارد و می‌توانید ان را به صورت دستی فعال کنید.

نکته: پورت پیشفرض در ریموت دسکتاپ 3389 است و از پروتکل TCP/UDP بهره می‌گیرد.

حمله جستجوی فراگیر چیست؟

حمله جستجوی فراگیر (Brute Force) نوعی حمله بر پایه سعی و خطا برای به دست آوردن اطلاعات لاگین کاربران مثل نام کاربری، کلمه عبور یا هر نوع اطلاعات هویتی شخصی می‌باشد.

مهاجمان از طریق این حمله می‌توانند اطلاعات کاربر (شامل نام کاربری و رمز عبور) را جهت دسترسی به RDP دستگاه آلوده به دست آورند. بعد از کشف اطلاعات لاگین، مهاجمان به سیستم دسترسی داشته و حمله را آغازمی‌کنند.  در بعضی موارد مشاهده شده که حملات باج افزاری، حاصل حمله جستجوی فراگیر به پروتکل ریموت دسکتاپ بوده‌اند. در این سناریوی خاص، مهاجم می‌تواند با به دست آوردن اطلاعات کاربری ادمین، کنترل کامل سیستم را به دست بگیرد. این کار به مهاجمان امکان نصب و پاک کردن هر نرم‌افزاری را در سیستم آلوده می‌دهد. در رابطه با این باج‌افزار خاص، مشاهده شده که مهاجمین نرم‌افزارهای امنیتی را از سیستم آلوده پاک کرده و با انجام این کار توانسته‌اند باج‌افزار مورد نظرشان را بر روی سیستم حمله شده نصب کنند.

 

ویژگی‌های محصولات امنیتی جهت پیشگیری از حملات باج افزاری

محصولات امنیتی معمولا دارای چندین لایه امنیتی هستند که می توانند چنین حملاتی را سریعاً شناسایی کرده و با آنها مقابله کنند:

1. ویژگی ضدباج‌افزاری:این ویژگی سیستم می تواند حمله را شناسایی کرده و در برابر باج افزارها مقاومت کند. این ویژگی با ردیابی باج افزارها امکان شناسایی و مسدودسازی آنها را فراهم می‌کند.
2. فایروال: عملکردهای مخرب جهت نفوذ از طریق اتصال های شبکه ای را مسدود می‌کند.
3. IDS/IPS: عملکردهای صورت گرفته برای حمله جستجوی فراگیر RDP را شناسایی کرده و IP مهاجم را مسدود می‌کند.
4. محافظت در برابر ویروس:سرویس محافظتی آنلاین ضدویروس، قابلیت شناسایی انواع باج‌افزارهای شناخته شده را فراهم می‌کند.
5. سیستم تشخیص مبتنی بر رفتار:فعالیت فایل‌های اجرایی را ردیابی کرده و فایل‌های مخرب را مسدود می‌کند.
6. پشتیبان گیری و بازیابی:در صورت لزوم به پشتیبان گیری منظم از اطلاعات‌ سیستم ها و بازیابی آنها کمک می‌کند.

 

اقدامات امنیتی مهم جهت محافظت رایانه ها در برابر حملات جدید باج افزاری

باید توجه داشت که این حملات، اغلب کاربرانی را هدف می‌گیرند که زیرساخت‌های امنیتی ضعیف‌تری دارند. بنابراین بسیار مهم و حیاتی است که کاربران و  کسب و کارها امنیت خودشان را افزایش داده و قدرت دفاعی لازم برای مقابله با چنین حملاتی را داشته باشند.

بنابراین مهمترین اقدام هایی که آنها می‌توانند انجام دهند، شامل موارد زیر است:

1. تهیه نسخ پشتیان (به طور منظم)

• به طور دائم و منظم از اطلاعاتتان نسخه پشتیان گرفته و همیشه یک نسخه آفلاین جدید از آنها داشته باشید. بهتر است فایل نسخه پشتیان را هم رمزنگاری کنید. در این صورت، اگر سیستمی به باج‌افزار آلوده شد می‌توانید پس از حذف بدافزار، دوباره فایل‌ها را بازیابی کنید.
• نسخه‌های پشتیبان آفلاین را مستقیماً به سیستم وصل نکنید چون در این صورت وقتی سیستم دچار حمله باج افزاری شود، قاعدتاً فایل‌های پشتیبان هم آلوده خواهند شد.

2. به روزرسانی سیستم‌عامل و سایر نرم‌افزارها

• همیشه نرم‌افزار آنتی‌ویروس را به‌روز نگهدارید.
• حتماً سیستم‌عامل و سایر نرم‌افزارهای نصب شده بر روی سیستم را نیز به‌روزرسانی کنید. به روز رسانی نرم‌افزار، شامل نصب وصله های امنیتی جدید برای برطرف سازی آسیب‌پذیری‌های جدید شناخته شده هم می‌شود.
• همیشه نرم‌افزارهایی مثل Microsoft Office، Java، Adobe Reader ،Flash و تمامی مرورگرها مثل اینترنت اکسپلورر، کروم، فایرفاکس، اوپرا و غیره  را به‌روزرسانی کنید.
• نرم‌افزارهای غیرمعتبر یا کرک شده را بر روی سیستم نصب نکنید، چون ممکن است از این نرم‌افزارها برای نصب بدافزار بر روی رایانه استفاده شود.

• هرگز بر روی لینک‌های مشکوک کلیک نکرده و پیوست ایمیل‌های ناشناسی را که برای شما ارسال می‌شوند را دانلود و نصب نکنید. بیشتر ایمیل‌های فیشینگ حاوی پیامی هستند که ظاهری قابل توجه داشته و اضطراری جلوه می‌کنند. این پیام‌ها طوری طراحی می‌شوند که کاربران را تشویق به انجام اقدامی خاص مثل کلیک کردن بر روی یک لینک یا دانلود فایل ضمیمه کنند.
• مطمئن شوید که ویروس‌کش سیستم تان دارای امکانات ضدفیشینگ باشد و به صورت خودکار ایمیل‌ها و وب‌سایت‌های فیشینگ را مسدود می‌کند.

 

چطور RDP را غیرفعال کنیم؟

جهت غیرفعال نمودن ریموت دسکتاپ سیستم، اقدام های زیر را انجام دهید:

1. در کنترل پنل سیستم، بر روی گزینه “System And Security“و سپس گزینه “System” کلیک کنید.
2. در صفحه System، بر روی گزینه “Remote Settings“در قسمت سمت چپ صفحه کلیک کنید تا کادر “System Properties” و تب “Remote” آن باز شود.
3. سپس برای غیرفعال کردن ریموت دسکتاپ، گزینه “Don’t Allow Connections To This Computer“را انتخاب کرده و سپس بر روی “OK” کلیک کنید.

 

منبع: Cyber Security Intelligence

لطفا جهت مشاوره در انتخاب آنتی ویروس مناسب خود با این شماره 09224971053 تماس بگیرید.

 مارو در شبکه های اجتماعی خودتان به اشتراک بگذارید.