نحوه‌ی مقابله با Zerologon و آسیب‌پذیری‌های مشابه

27 اسفند 1399 نحوه‌ی مقابله با Zerologon و آسیب‌پذیری‌های مشابه

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ سپتامبر گذشته، آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) –که به ندرت در خصوص یک سری آسیب‌پذیری‌های خاص دستورالعمل‌ صادر می‌کند- به آژانس‌های دولتی دستور داد تا برای پچ کردنِ فوریِ تمامی کنترل‌های دامنه در شبکه‌های اینترنتی خود از Microsoft Windows Active Directory استفاده کنند. این موضوع به آسیب‌پذیریِ CVE-2020-1472 در پروتکل Netlogon موسوم به Zerologon مربوط می‌شد. در ادامه با ما همراه شوید تا این موضوع را مبسوط مورد بررسی قرار دهیم.


آسیب‌پذیری Zerologon از الگوریتم نامطمئن کریپتوگرافیک در مکانیزم احراز هویت Netlogon ناشی می‌شود و همین به مهاجم –که برای حمله به شبکه سازمانی یا کامپیوتر آلوده‌‌ی روی آن شبکه متصل شده است- اجازه می‌دهد روی کنترل دامنه نهایت نظارت و کنترل را داشته باشد. این آسیب‌پذیری حداکثر ارزش مقیاس CVSSv3 scale (یعنی 10.0) را دریافت می‌کند. مایکروسافت ماه آگست پچی را عرضه کرد اما تنها ظرف چند ساعت از عرضه این داکیومنت محققین شرکت امنیت سایبری هلندی به نام Secura شروع کردند که نشر اثبات مفهوم‌های خود (PoC). در عرض چند روز دست‌کم 4 نمونه از کد منبع باز در GitHub موجود شد و این نشان می‌داد آسیب‌پذیری مذکور تا چه اندازه می‌تواند قابلیت اکسپلویت داشته باشد.

Zerologon در حملات واقعی

البته که اثبات مفهوم‌هایی که به طور عمومی قابلیت دسترسی دارند نه تنها توجه متخصصین امنیت اطلاعات را به خود جلب کردند که حتی در این میان مجرمان سایبری هم خوب از آب گل‌الود ماهی گرفتند-آن‌ها فقط می‌بایست کد را در بدافزار خود  cut و paste می‌کردند. برای مثال، اوایل ماه اکتبر مایکروسافت اقداماتی را توسط گروه TA505–جهت اکسپلویت کردن  Zerologon- گزارش داد. مجرمان سایبری بدافزار خود را آپدیت نرم‌افزار جا زده بودند و برای اکسپلویتِ این آسیب‌پذیری شروع کردند به جمع‌آوری ابزارهای حمله روی کامپیوترهای آلوده. گروه دیگر –همان که دست‌های پشت پرده‌ی باج‌افزار Ryuk است- از Zerologon برای آلوده کردن کل شبکه‌ی لوکال شرکت –تنها در عرض 5 ساعت- استفاده کرد. این گَنگ که برای کارمندی یک ایمیل استاندارد فیشینگ ارسال کرده بود منتظر مانده بود تا ایمیل کلیک شده و کامپیوتر آلوده گردد. بعد از Zerologon برای رخنه به شبکه استفاده کرده و شروع کرده بود به توزیع فایل قابل اجرای باج‌افزار به همه سرورها و ایستگاه‌های کار.

چرا  Zerologon خطرناک است؟

شاید اینطور به نظر برسد که اکسپلویت  Zerologon مستلزم حمله‌ای است به کنترلر دامنه آن هم از داخل شبکه اینترنتی لوکال. اما در واقع مجرمان سایبری مدت‌هاست می‌توانند با استفاده از متودهای مختلف برای سرقت کامپیوتری در شبکه این مانع را دور بزنند. این متودها عبارتند از فیشینگ، حملات زنجیره تأمین و حتی جک‌های محافظت‌نشده‌ی شبکه در محل‌های اداری (برای بازدیدکنندگان). خطر دیگر از جانب کانکشن‌های ریموت است که تقریباً همه شرکت‌ها این روزها از آن‌ها استفاده می‌کنند؛ خصوصاً اگر کارمندان بتوانند از دستگاه‌های خود به منابع سازمانی متصل شوند. مشکل اصلی با  Zerologon (و آسیب‌پذیری‌های فرضی دیگر از همین جنس) این است که اکسپلویت آن شبیه به تبادل داده استاندارد بین یک کامپیوتر شبکه و یک کنترل دامنه است؛ با این تفاوت که شدت غیرمعمول این تبادل استاندارد به نظر نمی‌رسد!

در نتیجه، شرکت‌هایی که صرفاً تمرکز خود را روی راهکارهای امنیتی اندپوینت می‌گذارند به ندرت شانس این را پیدا می‌کنند که چنین حملاتی را شناسایی کنند. مدیریت چنین ناهنجاری‌هایی (آن هم از این قِسم) کار سرویس‌های تخصصی‌ای چون Kaspersky Managed Detection and Response (MDR) است. این در حقیقت یک مرکز امنیت خارجی است که اطلاعات جامعی از تاکتیک‌های مجرمان سایبری دارد و به کلاینت توصیه‌های عملی با جزئیات ارائه می‌دهد. این راهکار در دو سطح عرضه می‌شود: MDR بهینه و MDR متخصص. به محض انتشار جزئیات بیشتر در خصوص  Zerologon متخصصین SOC کسپرسکی شروع کردند به ردیابی اقدامات اکسپلویت از این آسیب‌پذیری (در سرویس MDR). آن‌ها می‌خواستند مطمئن شوند هر دو نسخه Kaspersky Managed Detection and Response می‌تواند با این تهدید مبارزه کند.



منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

 

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,951,610 ریال8,502,300 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    2,832,300 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    6,802,380 ریال11,337,300 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,249,800 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,249,800 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    5,667,300 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    10,206,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد