تکنیک‌ها، تاکتیک‌ها و رویه‌های باج‌افزار

۱۴۰۱/۴/۴امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین کسپرسکی تحلیل عمیقی را روی تاکتیک‌ها، تکنیک‌ها و رویه‌های 8 گروه از رایج‌ترین باج‌افزارها با نام‌های Conti/Ryuk، Pysa، Clop، Hive، Lockbit2.0، RagnarLocker، BlackByte وBlackCat انجام داده‌اند که در این مقاله قصد داریم هر یک را مورد بررسی قرار دهیم. با ما همراه بمانید.

متخصصین با مقایسه‌ی متودها و ابزارهای مهاجمین در مراحل مختلف حمله به این نتیجه رسیدند که بسیاری از گروه‌های تقریباً عملکردی مشابه دارند. این خبر خوبی است و انجام اقدامات متقابل جهانی و مؤثر برای محافظت از زیرساخت شرکت در برابر باج‌افزار را ممکن می‌سازد. در این مطالعه را که تحلیل عمیقی است روی همه تکنیک‌ها و نمونه‌های استفاده‌شده در محیط بیرون می‌شود در گزارش Common TTPs of Modern Ransomware Groups پیدا کرد. همچنین حاوی قوانینی است برای شناسایی تکنیک‌های مخرب در فرمت SIGMA. این گزارش عمدتاً برای تحلیلگران SOC، متخصصین هوش تهدید و شکار تهدید[1] در نظر گرفته شده بود اما محققین ما همچنین برخی از بهترین راهکارهای مبارزه با باج‌افزارها را از منابع مختلف در این گزارش جمع‌آوری کرده‌اند که در زیر بدان‌ها خواهیم پرداخت.

پیشگیری از نفوذ و هجوم

 گزینه‌ی ایده‌ال این است که حمله باج‌افزاری پیش از ورود تهدید به داخل محیط سازمانی متوقف شود. اقدامات زیر به کاهش ریسک نفوذ و هجوم کمک می‌کنند:

  • فیلتر ترافیک ورودی. سیاست‌های فیلتر کردن را باید روی همه دستگاه‌های پیرامونی پیاده‌سازی کرد- روترها، فایروال‌ها، سیستم‌های IDS. و از فیلتر میل در برابر اسپم و فیشینگ هم غافل نمانید: بهتر است از سندباکس برای اعتبارسنجی پیوست‌های ایمیل استفاده کنید.
  • بلاک کردن وبسایت‌های مخرب. دسترسی وبسایت‌های مخرب شناخته‌شده را برای مثال با پیاده‌سازی سرورهای پروکسی رهگیری محدود کنید. همچنین خوب است که برای حفظ لیست‌های به روز تهدیدهای سایبری از فیدهای داده‌های هوش تهدید استفاده کنید.
  • استفاده از فیلتر بازرسی ژرف بسته‌ها[2]. یک راهکارهای کلاس DPI در سطح دروازه به شما اجازه می‌دهد ترافیک را برای پیدا کردن بدافزار بررسی کنید.
  • بلاک کردن کد مخرب. استفاده از امضاها برای بلاک کردن بدافزار.
  • محافظت RDP. هرجا امکان داشت RDP را غیرفعال کنید. اگر بنا به هر دلیلی نمی‌توانید استفاده از آن را متوقف کنید، سیستم‌های دارای پورت باز RDP  (3389) را پشت فایروال قرار دهید و بگذارید دسترسی به آن‌ها تنها از طریق وی‌پی‌ان صورت گیرد.
  • احراز هویت چندعاملی. از احراز هویت چند عاملی، پسوردهای قوی و خط‌مشی‌های لاک‌اوت اکانت به طور خودکار در همه نقاطی که به طور ریموت قابل‌دسترسی‌اند استفاده کنید.
  • فهرست کردن کانکشن‌های مجاز. با استفاده از فایروال‌های سخت‌افزاری فهرست مجاز IP را اجرا کنید.
  • حل و رفع آسیب‌پذیری‌های شناخته‌شده. به صورت دوره‌ای آسیب‌پذیری‌های سیستم‌های دسترسی از راه دور و نیز آن دسته از دستگاه‌هایی که دسترسی مستقیم به اینترنت دارند را پچ کنید.

این گزارش همچنین در خود توصیه‌هایی اجرایی هم دارد برای محافظت در برابر اکسپلویت و حرکات جانبی؛ همینطور توصیه‌هایی برای مبارزه با نشت داده و آماده‌سازی برای یک رخداد سایبری.

محافظت افزوده

به منظور تجهیز شرکت‌ها به ابزارهای اضافی که به کاهش گستردگی حمله و جلوگیری از شیوع آن‌ها و همچنین بررسی رخداد کمک می‌کنند ما نیز راهکار EDR خود را آپدیت کرده‌ایم. این نسخه تازه برای شرکت‌هایی با پروسه‌های امنیت آی‌تی بالغ مناسب است و Kaspersky Endpoint Detection and Response Expert نام دارد. می‌توان آن را هم با کلود هم درون سازمانی استفاده کرد.  

 

[1] THRAT HUNTING

[2] deep packet inspection (DPI)

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.