به اطلاع میرساند در هفتههای اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی ازجمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است. بررسیهای فنی نشان داده که در بسیاری از این حملات، مهاجمین با سوء استفاده از دسترسی به سرویس دسترسی از راه دور در سیستمعامل ویندوزکه مبتنی بر پروتکل RDP است، وارد شده، آنتی ویروس نصب شده را غیرفعال میکنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایلهای سرور مینمایند. حتی در مواردی، مشاهده شده است که مهاجمین، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفادههای ممکن، زمان و الگوی انجام پشتیبانگیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باجافزاری بینقص شدهاند.
در این حملات، مهاجم با سوء استفاده از نسخههای آسیبپذیر سرویس Remote Desktop، رمز عبور ضعیف، تنظیمات ناقص یا بیاحتیاطی در حفاظت از رمز عبور، وارد سرورها میشوند. به منظور جلوگیری از وقوع این حملات لازم است که تا حد امکان، نسبت به مسدود نمودن سرویس های غیر ضروریRemote Desktopبر روی سرورهای در دسترس از طریق شبکه اینترنت اقدام نمود و در صورت ضرورت و غیرقابل اجتناب بودن ارایه این امکان در بستر اینترنت، به دقت موارد زیر را رعایت نمود. همچنین یادآور میشود که فعال بودن دسترسی Remote Desktop به صورت حفاظت نشده در سطح اینترنت، سرور و دادههای شما را جداْ در معرض خطر قرار خواهد داد.
- بهروزرسانی مداوم سیستمعامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیبپذیریهای جدید.
- انجام منظم و سختگیرانه پشتیبانگیری از اطلاعات بر روی تعداد کافی از رسانههای ذخیرهسازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبانگیری.
- عدم استفاده از کاربر Administrator برای دسترسی از راهدور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.
- تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاشهای ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام نماید و تغییر رمز عبور در بازه زمانی معقولی را اجبار نماید. این فرآیند در سیستمعاملهای مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور میشود.
- در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راهدور در فایروال به آدرس آیپیهای مشخص. همچنین، ایجاد لایههای دفاعی بیشتر با تکیه بر خدماتی چون VPN.
- محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راهدور با استفاده از Group Policy Managerویندوز. (مثلا محدود کردن دسترسی به ساعات اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال نمودن آن پس از رفع نیاز.
- بررسی مداوم و روزانه گزارشهای امنیتی (مخصوصا گزارش مربوط به Log-inدر Event-viewerویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزهای یا ساعتهای تعطیل و تلاشهای ناموفق بدافزارها برای دسترسی و آلوده سازی.
- دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده میشود. انواع Key logger از تروجانها میتوانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمین به سرورها را ممکن کنند. این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را میبینند، بسیار خطرناک بوده و منشاء اغلب حملات با میزان خسارت درشت در ماههای اخیر هستند
- 16