هشدار Sophos نسبت به انتشار باج‌افزارها از طریق پودمان RDP

محققان شرکت Sophos در خصوص سوءاستفاده تبهکاران سایبری از پودمان RDP به منظور انتشار باج‌افزارها هشدار داده‌اند.

به گزارش شرکت مهندسی شبکه گستر، پودمان RDP یا Remote Desktop Protocol قابلیتی در سیستم عامل Windows است که امکان اتصال از راه دور کاربران تعیین شده را به دستگاه فراهم می‌کند.

علاوه بر مدیران شبکه که از این پودمان برای اتصال به سرورها و ایستگاه‌های کاری سازمان استفاده می‌کنند، در بسیاری از سازمان‌های کوچک و متوسط نیز از RDP برای برقرار نمودن ارتباط از راه دور پیمانکاران حوزه IT، به سرورهایی همچون حقوق و دستمزد، اتوماسیون اداری و غیره استفاده می‌شود.

بر اساس تحقیقات انجام شده توسط شرکت امنیتی Sophos، تبهکاران از ابزارهایی همچون Shodan برای شناسایی سرورهای با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات موسوم به Brute Force می‌کنند.

هدف از اجرای حملات Brute Force رخنه به دستگاه از طریق پودمانی خاص – در اینجا RDP – با بکارگیری ترکیبی از نام‌های کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به پودمان RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.

در صورت فراهم شدن اتصال، مهاجمان نرم‌افزاری را بر روی سرور اجرا کرده و از آن برای دست‌درازی به تنظیمات و سرویس‌های نرم‌افزارهای ضدبدافزار، پشتیبان‌گیری و پایگاه داده نصب شده بر روی آن استفاده می‌کنند. در ادامه نیز فایل مخرب باج‌افزار را دریافت کرده و بر روی سرور به اجرا در می‌آورند.

برای نمونه، محققان شرکت Sophos در جریان بررسی‌ها سروری را یافته‌اند که بر روی آن پوشه‌ای حاوی 4 نسخه مختلف از باج افزار کپی شده بوده.

پیش‌تر نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) در چندین اطلاعیه نسبت به حمله باج گیران سایبری به سرورهای ایرانی از طریق پودمان RDP هشدار داده بود.

رعایت موارد زیر برای جلوگیری و پیشگیری از اجرای موفقیت‌آمیز چنین حملاتی توصیه می‌شود:

  • در صورت عدم نیاز به پودمان RDP از غیرفعال بودن آن اطمینان حاصل کنید.
  • برای اتصال از راه دور کارکنان و پیمانکاران سازمان ترجیحاً از پودمان VPN یا Virtual Private Network استفاده کنید.
  • در صورت امکان از اصالت‌سنجی دو مرحله‌ای (2FA) بهره بگیرید.
  • اصلاحیه های امنیتی را در اولین فرصت نصب کنید.
  • در Group Policy، تنظیمات Account Lockout Policy را حتماً فعال کنید.
  • در همه جا از رمزهای عبور پیچیده استفاده کنید.

همچنین تاکید می‌شود که پس از مورد حمله قرار گرفتن سرور، تغییرات اعمال شده بر روی دستگاه با دقت بررسی شده و تمامی تنظیمات امنیتی و حساس مورد بازبینی قرار گیرند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *