التسلل المتسللين رانسوموار التسلل من خلال رديب

بفضل خبراء الأمن سوفوس بيتر ماكنزي وبول داكلين
لعملهم وراء الكواليس على هذه المقالة.

إذا كان هناك مكانة غير مستغلة الناجمة عن البرامج غير الآمنة أو السلوك ثم عاجلا أو آجلا المحتال هو الذهاب الى تذبذب في ذلك ومحاولة لاستخدامه كوسيلة لكسب المال من بؤس شخص آخر.

وقد كشفت سوفوس مؤخرا عن مكانة بيئية جديدة في الإنترنت كبيرة الإختراق- س المجال وهذا هو أجزاء متساوية منخفضة الماكرة والتوجيه: المحتالين الذين يقتحمون أجهزة الكمبيوتر واحد في وقت واحد وتشغيل رانسومواري عليها يدويا – انقر فوق كليتيتي – بنفس الطريقة التي قد تشغيل ورد، المفكرة أو سوليتير.

دعني افعل ذلك!

نحن عادة نفكر في رانسوموار كشيء الذي قفز إلى أجهزة الكمبيوتر الضحايا باستخدام شكل من أشكال التوزيع الشامل.

على سبيل المثال، استخدم المجرمين وراء وناكري و نوتبتيا نسا المسروقة استغلال لخلق الديدان التي نسخت نفسها من جهاز كمبيوتر واحد إلى آخر، تشفير الملفات، مطالبين الفدية وخلق الفوضى لأنها متعرجة من خلال وبين الشبكات.

أكثر شيوعا لا يزال هو التصيد الاحتيالي . لماذا يزعج مع الديدان ويستغل عندما يمكنك ببساطة الاشتراك في كريموير على الانترنت وانقر على زر لسحب مرفقات البريد الإلكتروني المفخخة ؟

التصيد هو لعبة أرقام: معظم رسائل البريد الإلكتروني الخاصة بك لن تحصل من خلال، فإن العديد من تلك التي سوف تذهب غير مقروءة، وحتى تلك التي تحصل على فتح قد تجد نفسها ضرب جدار من الطوب – نظام مصححة، على سبيل المثال، أو المستخدم الذي يدرك أن شيئا فيشي مستمر ولا يتوقف إلا عن الإصابة.

إن المحتالين في التصيد لا يكسبون المال إلا إذا تمكنوا من العثور على طرق جديدة لإيجاد طرق جديدة لإقناع المستخدمين بفتح رسائل البريد الإلكتروني والقيام بأشياء قام فريق تقنية المعلومات بتحذيرهم عنها مثل حفظ المرفقات على القرص ثم إطلاقها أو فتح مستندات أوفيس و وتمكين وحدات الماكرو عمدا.

لهذا السبب، قرر بعض مجرمي الإنترنت أنه إذا كنت تريد شيئا القيام بشكل صحيح، عليك أن تفعل ذلك بنفسك.

الهجوم

العديد من الشركات، ولا سيما الشركات الصغيرة، الاستعانة بمصادر خارجية لتكنولوجيا المعلومات ل، أو دفع الكثير من المساعدة من، المقاولين الخارجيين.

قد يعيش هؤلاء المقاولون في جزء آخر من المدينة، أو في أي مكان آخر في البلاد، أو حتى على الجانب الآخر من العالم.

للسماح سيسادمينس البعيد بعد شبكات ويندوز الخاص بك، الأداة الأكثر استخداما على نطاق واسع هو بروتوكول سطح المكتب البعيد من مايكروسوفت أو رديب لفترة قصيرة.

رديب، بالنسبة لأولئك الذين لم يستخدموا، يعكس على نحو فعال الشاشة ولوحة المفاتيح من جهاز كمبيوتر محلي على جهاز الكمبيوتر الخاص بك عن بعد الرجل تكنولوجيا المعلومات الخاص بك.

عندما تتحرك الماوس في برنامج العميل رديب بعيدا، الماوس يتحرك على جهاز الكمبيوتر الخاص بك؛ عندما يظهر مربع حوار البرامج على الشاشة، ويرون ذلك على جهاز الكمبيوتر عن بعد – انها مثل يجري هناك حق.

وبعبارة أخرى، فإن كلمة المرور رديب التي اخترتها ل سيسادمين البعيد الخاص بك (أو أن كنت قد سمحت لهم اختيار لأنفسهم) هو أساسا مفتاح لمكتبك – كلمة مرور ضعيفة مثل باب غرفة الخادم التي مدعومة مفتوحة، ودعوة أي تمرير المتلصص لنلقي نظرة في الداخل.

لذلك، إذا لاحظ المحتالين أن كنت قد حصلت رديب مفتوحة على شبكة الإنترنت، على سبيل المثال باستخدام محرك بحث الشبكة مثل شودان ، يمكنك أن تكون متأكدا من أنها سوف تأخذ كزة حولها.

وقد وجد خبراء الأمن سوفوس الذين التحقيق في موجة من الهجمات رديب الأخيرة في كثير من الأحيان أدلة على أن أداة تسمى NLBrute استخدمت في محاولة مجموعة كاملة من كلمات السر رديب – وهو ما يسمى هجوم القوة الغاشمة – على أمل التسلل في.

مرة واحدة لديهم كلمة السر رديب الخاص بك – ما إذا كانوا يستخدمون NLBrute ، أو ببساطة ننظر لكم في الفيسبوك للعثور على عيد ميلادك واسم المفضل لديك – أنها سوف تسجيل الدخول وعلى الفور إنشاء مختلف الحسابات التجارية العلامة التجارية الجديدة.

وبهذه الطريقة، حتى لو كنت تحصل على التخلص من المحتالين وتغيير كلمة مرور المشرف الخاصة بك، لديهم بالفعل حسابات النسخ الاحتياطي التي يمكن استخدامها للتسلل مرة أخرى في وقت لاحق.

ماذا بعد؟

بعد دخولهم، إليك ما يمكن أن تتوقع حدوثه تاليا، استنادا إلى ما شاهدناه في عدد من الهجمات التي حققناها:

  • المحتالين تحميل وتثبيت نظام مستوى منخفض التغيير والتبديل البرمجيات، مثل أداة شعبية هاكر العملية.

وتستخدم أدوات من هذا النوع بانتظام من قبل سيسادمينس المشروعة لاستكشاف الأخطاء وإصلاحها والإنعاش في حالات الطوارئ، وخاصة إذا كانوا يستخدمون برامج تشغيل النواة لتمكنك من سحب التعديلات التي عادة ما يمنع نظام التشغيل. وهذا يشمل: قتل العمليات التي عادة ما تسمح بإيقاف التشغيل، وحذف الملفات المقفلة، وتغيير إعدادات التكوين التي عادة ما تكون مقفلة.

  • المحتالين إيقاف أو إعادة تكوين البرمجيات المضادة للبرامج الضارة، وذلك باستخدام أدوات التغيير والتبديل المثبتة حديثا.

المحتالين تذهب بعد كلمات المرور من حسابات المسؤول بحيث أنها سوف تتمتع بكل قوة سيسادمين شرعي. إذا لم يتمكنوا من الحصول على كلمة مرور المسؤول، فقد يحاولون تسجيل الدخول كمستخدم عادي وتشغيل أدوات القرصنة التي تحاول استغلال نقاط الضعف غير المربوطة للحصول على ما يسمى إوب، أو ارتفاع الامتياز.

يعني إيوب أن المستخدمين الذين سجلوا دخولهم يمكنهم الترويج لنفسهم للحسابات الأكثر قوة لتعزيز صلاحياتهم. لقد رأينا أدوات إيوب تركت وراء الأنظمة المهاجمة التي حاولت إساءة استخدام نقاط الضعف التي يطلق عليها كفي-2017-0213 و كفي-2016-0099، مصححة من قبل مايكروسوفت مرة أخرى في مايو 2017 ومارس 2016 على التوالي.

  • المحتالين إيقاف خدمات قاعدة البيانات (مثل سكل) بحيث ملفات قاعدة البيانات الحيوية يمكن مهاجمة من قبل البرامج الضارة.

عادة ما يتم تأمين ملفات مثل قواعد بيانات سكل في حين أن برنامج خادم قاعدة البيانات نشط، كإجراء وقائي ضد الفساد الذي يمكن أن يكون سببه الوصول المتزامن من قبل برنامج آخر. الأثر الجانبي لهذا هو أن البرامج الضارة لا يمكن الحصول على إمكانية الوصول المباشر إلى ملفات قاعدة البيانات إما، وبالتالي لا يمكن التدافع لهم لعقد لهم للفدية.

  • المحتالين إيقاف حجم الظل نسخة (ويندوز خدمة النسخ الاحتياطي الحية) وحذف أي ملفات النسخ الاحتياطي الموجودة.

النسخ الظل بمثابة النسخ الاحتياطي على شبكة الإنترنت في الوقت الحقيقي التي يمكن أن تجعل الانتعاش من رانسوموار عملية سريعة وسهلة. هذا هو السبب المحتالين غالبا ما تذهب تبحث عن نسخ الظل أولا لإزالتها.

يمكنك تخمين ما سيحدث بعد ذلك.

  • المحتالين تحميل وتشغيل رانسوموار من اختيارهم.

لأنهم قد استخدمت صلاحيات النظام الخاص بهم لتلاعب النظام لتكون غير آمنة كما يمكن، فإنها يمكن في كثير من الأحيان استخدام الإصدارات القديمة من رانسومواري، وربما حتى المتغيرات التي المحتالين الآخرين قد تخلى عن والتي هي الآن تطفو حول الإنترنت "مجانا ".

المحتالون لا داعي للقلق حول استخدام أحدث وأكبر البرامج الضارة، أو إعداد خادم الأوامر والتحكم، أو تشغيل حملة البريد المزعج ضرب والأمل.

في هجوم واحد، رأينا مجلد على سطح المكتب التي تحتوي على أربعة أنواع مختلفة من رانسومواري. ركض المحتالين كل بدوره، حتى واحد منهم عملت.

كم هو الفدية؟

يتم توزيع العديد من الهجمات رانسومواري بشكل عشوائي، وبالتالي تعتمد على "صفحة الدفع" – خادم الويب الظلام التي أنشئت خصيصا لنقول للضحايا كم لدفع، وكيفية دفعه.

ولكن هذه المحتالين رديب تشارك بالفعل شخصيا إلى حد تسجيل الدخول إلى الشبكة الخاصة بك أنفسهم، لذلك هناك في كثير من الأحيان ما قد تسمي "لمسة شخصية".

بدلا من الضغط تلقائيا لك عبر موقع على شبكة الانترنت، وربما كنت ترى شيئا منبثقة مثل هذا، أقول لك لإجراء اتصال عبر البريد الإلكتروني إلى "التفاوض" الإفراج عن البيانات الخاصة بك:

في وقت كتابة عنوان بيتكوين المستخدمة من قبل هذا المهاجم الواردة بتك 9.62، حاليا بقيمة تزيد قليلا على 60،000 $.

ولم يقابل سوى مبلغ واحد من هذه المعاملات مبلغ 1BTC المطلوب في الفدية، مما قد يشير إلى أن الحساب يستخدم لأنشطة أخرى في نفس الوقت، أو أن بعض الضحايا تمكنوا من التفاوض بشأن سعر أقل.

الضحايا

والضحايا من هذا النوع من الهجمات هم دائما تقريبا الشركات الصغيرة والمتوسطة: أكبر الأعمال في التحقيق لدينا كان 120 موظفا، ولكن معظمهم 30 أو أقل.

مع نطاق صغير يأتي الاعتماد على موردي تكنولوجيا المعلومات الخارجية أو "جاك من جميع الص��قات" العامين تكنولوجيا المعلومات في محاولة لإدارة الأمن السيبراني جنبا إلى جنب مع العديد من المسؤوليات الأخرى.

وفي إحدى الحالات، تعرض للهجوم مرارا وتكرارا، بسبب كلمة مرور ضعيفة يستخدمها تطبيق من طرف ثالث تطلب من المشرفين على دعمه على مدار 24 ساعة.

ماذا أفعل؟

  • إذا لم تكن بحاجة إلى رديب، فتأكد من إيقاف تشغيله. تذكر التحقق من كل كمبيوتر على الشبكة: يمكن استخدام رديب للاتصال بالخوادم وأجهزة الكمبيوتر المكتبية وأجهزة الكمبيوتر المحمولة.
  • فكر في استخدام شبكة افتراضية خاصة (فين) للاتصالات من خارج الشبكة. و فين مثل واحد في سوفوس زغ جدار الحماية و سوفوس أوتم يتطلب الغرباء للمصادقة مع جدار الحماية أولا، والاتصال من هناك إلى الخدمات الداخلية. وهذا يعني أن برامج مثل رديب لا يحتاج أبدا أن يتعرض مباشرة إلى شبكة الإنترنت.
  • استخدام اثنين عامل التوثيق (2FA) أينما كنت. سوفوس زغ جدار الحماية و سوفوس أوتم دعم 2FA، بحيث تحتاج إلى رمز تسجيل الدخول لمرة واحدة في كل مرة. إذا المحتالين سرقة أو تخمين كلمة المرور الخاصة بك، فإنه لا فائدة من تلقاء نفسها.
  • التصحيح في وقت مبكر، والتصحيح في كثير من الأحيان. هذا يمنع المحتالين استغلال نقاط الضعف ضد الشبكة الخاصة بك في أسرع وقت ممكن، وبالتالي تقليل التعرض للخطر.
  • بعد هجوم، تحقق لمعرفة ما تغير المحتالين. لا مجرد إزالة البرامج الضارة أو تطبيق بقع غاب ويتم ذلك معها. تحقق بشكل خاص من التطبيقات المضافة وتغييرات إعدادات الأمان وحسابات المستخدمين التي تم إنشاؤها حديثا.
  • تعيين سياسة تأمين للحد من هجمات التخمين كلمة المرور. مع ثلاثة التخمينات في وقت تليها تأمين لمدة خمس دقائق، يمكن أن المحتال محاولة فقط من 12 × 3 = 48 كلمات السر في الساعة، الأمر الذي يجعل هجوم القوة الغاشمة غير عملي.

إذا كنت تستخدم شركة تكنولوجيا معلومات تابعة لجهة خارجية ولم تكن قد اقترحت بالفعل الاحتياطات التي ذكرناها أعلاه، فلماذا لا تسألهم عن السبب، وتساءل عما إذا كانوا الأشخاص المناسبين لكي يبحثوا عن شبكتك؟

كن حذرا هناك – لا تدع بروتوكول سطح المكتب البعيد لفريق تكنولوجيا المعلومات الخاص بك تتحول إلى عملية نشر رانسوموار للمجرمين.