باج افزار Cerber و ضعف امنیتی روز صفر Flash

به گزارش شرکت مهندسی شبکه گستر به نقل از سایت Computer World، گونه جدید بدافزار Cerber بیش از دو هفته است که با بهره جویی از ضعفی امنیتی در نرم افزار Flash در حال انتشار است. 

Cerber بدافزاری از نوع باج افزار (Ransomware) است که نخستین گونه آن در اسفند سال گذشته شناسایی شد.

این باج افزار نیز همانند بسیاری از همنوعان خود از ماکروهای آلوده تزریق شده در فایل های Word یا Excel استفاده کرده و از طریق هرزنامه ها (Spam) منتشر می شود.

زمانی که کاربر فایل Office آلوده به ماکروی مخرب را باز می کند به صفحه ای اینترنتی هدایت می شود که در آن یک مجموعه ابزار نفوذ (Exploit Kit) جاسازی شده است. مجموعه های ابزار نفوذ مجموعه کدهایی هستند که سوءاستفاده از ضعف های امنیتی کامپیوتر را بدون نیاز به دخالت کاربر ممکن می کنند.

مجموعه ابزار نفوذ استفاده شده توسط گردانندگان Cerber مجهز به بهره جویی (Exploit) در نرم افزار Flash است که ضعف امنیتی آن، روز پنجشنبه، 19 فروردین توسط شرکت Adobe ترمیم شد. بنابراین حداقل در مدت حدود دو هفته Cerber از ضعفی امنیتی سوءاستفاده می کرده که هیچ اصلاحیه ای برای پوشش آن عرضه نشده بود. به این نوع ضعف های امنیتی روز صفر (Zero-day) اطلاق می شود.

 نکته قابل توجه اینکه هر چند این ضعف امنیتی در تمامی نسخه های Flash وجود داشته اما ابزار نفوذ مذکور تنها نسخه های 20.0.0.306 و قبل از آن را در نرم افزار Flash هدف قرار می داده است.

به این روش که اصطلاحاً به آن تنزل رتبه (Degradation) گفته می شود، بدافزار یا بهره جو خود را ضعیف تر از آنچه که هست نشان می دهد.

در یک سال اخیر باج افزارها به یکی از تهدیدات جدی سایبری تبدیل شده اند. بر اساس آمار منتشر شده توسط شرکت امنیتی McAfee، تنها در سه ماهه چهارم سال ۲۰۱۵، حدود یک میلیون باج افزار جدید توسط این شرکت شناسایی شده است.

برای ایمن ماندن از گزند باج افزارها، رعایت موارد زیر توصیه می شود:

• از ضدویروس قدرتمند و به روز استفاده کنید. نمونه های گزارش شده Cerber، توسط ضدویروس های McAfee و Bitdefender قابل شناسایی هستند.
• از نصب بودن آخرین اصلاحیه های امنیتی سیستم عامل و نرم افزارهای سیستم ها اطمینان حاصل کنید. البته کاربران ایرانی اطلاع دارند که به دلیل تحریم های بین المللی، امکان به روز رسانی عادی محصولات شرکت Adobe از کشور ایران وجود ندارد و باید از ابزارهای لازم برای عبور این این مانع استفاده نمود.
• از اطلاعات سازمانی بصورت دوره ای نسخه پشتیبان تهیه کنید. پیروی از قاعده ۱-۲-۳ برای داده های حیاتی توصیه می شود. بر طبق این قاعده، از هر فایل سه نسخه می بایست نگهداری شود (یکی اصلی و دو نسخه بعنوان پشتیبان). فایل ها باید بر روی دو رسانه دخیره سازی مختلف نگهداری شوند. یک نسخه از فایل ها می بایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
• بخش Macro را در نرم افزار Office برای کاربرانی که به این قابلیت نیاز کاری ندارند با فعال کردن گزینه “Disable all macros without notification” غیر فعال کنید. برای غیرفعال کردن این قابلیت، از طریق Group Policy، از این راهنما استفاده کنید.
• در صورت فعال بودن گزینه “Disable all macros with notification” در نرم افزار Office، در زمان باز کردن فایل های Macro پیامی ظاهر شده و از کاربر می خواهد برای استفاده از کدهای بکار رفته در فایل، تنظیمات امنیتی خود را تغییر دهند. آموزش و راهنمایی کاربران سازمان به صرف نظر کردن از فایل های مشکوک و باز نکردن آنها می تواند نقشی مؤثر در پیشگیری از اجرا شدن این فایل ها داشته باشد.
• ایمیل های دارای پیوست Macro را در درگاه شبکه مسدود کنید. بدین منظور می توانید از تجهیزات دیواره آتش، همچون Sophos UTM بهره بگیرید. 
• سطح دسترسی کاربران را محدود کنید. بدین ترتیب حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به باج افزار آلوده نمی شود.
• در دوره های آگاهی رسانی شرکت مهندسی شبکه گستر، نظیر “گروگان گرفته نشوید” شرکت کنید. شرکت در این دوره ها برای مشتریان فعلی و پیشین شرکت مهندسی شبکه گستر رایگان است.

همچنین به مشترکین راهکارهای شرکت McAfee استفاده از پالیسی خاصی که برای پیشگیری از آلودگی به باج افزارها طراحی شده توصیه می شود.

با توجه به قواعد محدودکننده این پالیسی، بررسی آن پیش از اعمال به تمامی دستگاه ها توصیه می شود.

برای استفاده از پالیسی مذکور، مراحل زیر را دنبال کنید:

1. این فایل را دانلود کرده و آن را از حالت فشرده خارج کنید.
2. در کنسول ePolicy Orchestrator بر روی Menu کلیک و در قسمت Policy گزینه Policy Catalog را انتخاب نمایید.
3. در قسمت Product بر روی گزینه VirusScan Enterprise 8.8.0 کلیک کنید.
4. بر روی دگمه Import کلیک کرده و فایل XML مرحله اول را به نرم افزار معرفی کنید.
5. در کنسول ePolicy Orchestrator بر روی Menu کلیک کرده و در قسمت Systems گزینه System Tree را انتخاب نمایید.
6. در ستون سمت چپ، در حالی که گزینه My Organization انتخاب شده است بر روی دگمه System Tree Actions کلیک کرده و گزینه New Subgroup را انتخاب کنید.
7. در پنجره ظاهر شده در قسمت Name کلمه Policy Testing را وارد نموده و بر روی دگمه OK کلیک کنید.
8. اکنون گروه Policy Testing در قسمت سمت چپ قابل مشاهده است. گروه جدید را انتخاب کرده و در بخش سمت راست بر روی زبانه Assigned Policies کلیک کنید.
9. در قسمت Product، گزینه ۸٫۸٫۰ VirusScan Enterprise را انتخاب کنید.
10. بر روی پیوند Edit Assignment در سطر مربوط به Access Protection Policies کلیک کنید.
11. گزینه Break inheritance and assign the policy and settings below را فعال نموده و در قسمت Assigned policy، پالیسی VSE SGv8 را انتخاب نمایید.
12. برای ذخیره تغییرات بر روی دگمه Save کلیک کنید.
13. کامپیوترهای مورد نظر را به گروه جدید منتقل کنید.

توضیح اینکه امکان مستثنی کردن فایل هایی خاص در قاعده تعریف شده نیز میسر می باشد.

سامانه پشتیبانی شرکت مهندسی شبکه گستر به نشانی help.shabakeh.net در طول شبانه روز در اختیار مشترکین گرامی است تا مشکلات و مسائل خود را از این طریق مطرح کرده و پاسخ و راهنمایی های لازم را دریافت نمایند.