کاربران مراقب باشند
با‌ج‌افزارها از طریق پروتکل ریموت دسکتاپ RDP حمله می‌کنند
مدیران شبکه‌هایی که از ریموت دسکتاپ ویندوز برای اتصال به ایستگاه‌های کاری از خارج مجموعه استفاده می‌‌کنند، در معرض حملات باج‌افزارها هستند. به تازگی نمونه‌هایی از باج‌افزارها کشف شده‌‌اند که از طریق ضعف امنیتی ریموت دسکتاپ ویندوز اقدام به ورود به سیستم و کدگذاری فایل‌ها می‌کنند و پس از آن مبالغ هنگفتی را برای بازگرداندن اطلاعات طلب می‌کند.

چگونگی عملکرد این باج افزارها بدین صورت است که ابتدا باج‌گیران از طریق نرم‌افزارهای خودکار اقدام به اسکن درگاه‌‌های باز روی آدرس‌های IP اینترنتی کرده و در صورتی که پورت ریموت دسکتاپ روی آنها باز باشد، اقدام به حدس زدن رمزهای عبور مختلف نموده و شانس خود را برای ورود به سیستم محک می‌زنند. در صورتی که فایروالی با قابلیت تشخیص اینگونه حملات روی لبه شبکه فعال نباشد و همچنین مقرراتی برای جلوگیری از ورود پسوردهای اشتباه به دفعات متعدد موجود نباشد، ممکن است بعد از گذشت فاصله زمانی کمی، نرم‌افزارهای باجگیر بتوانند رمز عبور صحیح را حدس زده و دسترسی ورود به سیستم را دریافت کنند.

پس از گرفتن دسترسی به سیستم‌عامل، حتی در صورتی که نرم‌افزارهای مخصوص ضد باج‌افزار نیز روی سیستم نصب باشد، باز هم با توجه به داشتن دسترسی مدیریتی، هکرها قادر به حذف هرگونه محصول امنیتی خواهند بود، و پس از آن به راحتی باج‌افزار خود را اجرا و اقدام به کدگذاری تمامی فایل ها خواهند نمود. متاسفانه به علت داشتن دسترسی مدیریتی هیچ نرم‌افزار امنیتی قادر به مقاومت در برابر آنها نخواهد بود؛ زیرا تمامی فعالیت‌ها بر مبنای دسترسی مدیر سیستم و به‌صورت قانونی انجام می‌پذیرد.

در نظر داشته باشید که نرم‌افزارهای ترمینال سرویس مانند سیتریکس، وی‌ام‌ویر هورایزن و غیره هم در صورت کانفیگ اشتباه، می‌توانند این دسترسی را برای هکرها فراهم کنند. با توجه به موارد ذکر شده و برای جلوگیری از چنین حملاتی نیاز است تا توصیه‌های زیر جدی گرفته شده و نسبت به پیاده‌سازی آنها اقدام شود:

1- در صورتی که نیاز به استفاده از ریموت دسکتاپ وجود ندارد، از بسته بودن پورت آن روی فایروال و خاموش بودن سرویس مربوطه اطمینان حاصل کنید.

2- رمز عبور انتخابی برای این سیستم‌ها حتما پیچیده و غیرقابل حدس باشد و از انتخاب رمزهای عبور ساده و شایع نظیر P@ssw0rd یا مشتقات آن بر روی سرور خودداری کنید.

3- بر روی لبه شبکه از فایروال‌های مطمئن با قابلیت تشخیص و جلوگیری از نفوذ  IPS/IDSاستفاده کنید.

4- در صورت وجود قابلیت محدود‌کردن IP روی فایروال سخت‌افزاری، تنها ریموت دسکتاپ را برای IPهای مشخص و مورد اطمینان خود از بیرون باز کنید. در صورت امکان، پورت پیش فرض را از 3389 به پورت دیگری تغییر دهید.

5- از به‌روزبودن سیستم عاملی که ریموت روی آن فعال است، اطمینان حاصل کنید.

6- تعویض دوره‌ای رمزهای عبور را جدی بگیرید.

7- ایجاد پالیسی قفل شدن سیستم پس از تعداد مشخصی ورود غیرموفق را پیاده کنید.

8- تا حد امکان، بررسی کلی امنیت شبکه توسط شخصی مورد اطمینان و غیر از مدیر شبکه انجام شود.

 

 

برچسب: