روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ متخصصین کسپرسکی تحلیل عمیقی را روی تاکتیکها، تکنیکها و رویههای 8 گروه از رایجترین باجافزارها با نامهای Conti/Ryuk، Pysa، Clop، Hive، Lockbit2.0، RagnarLocker، BlackByte وBlackCat انجام دادهاند که در این مقاله قصد داریم هر یک را مورد بررسی قرار دهیم. با ما همراه بمانید.
متخصصین با مقایسهی متودها و ابزارهای مهاجمین در مراحل مختلف حمله به این نتیجه رسیدند که بسیاری از گروههای تقریباً عملکردی مشابه دارند. این خبر خوبی است و انجام اقدامات متقابل جهانی و مؤثر برای محافظت از زیرساخت شرکت در برابر باجافزار را ممکن میسازد. در این مطالعه را که تحلیل عمیقی است روی همه تکنیکها و نمونههای استفادهشده در محیط بیرون میشود در گزارش Common TTPs of Modern Ransomware Groups پیدا کرد. همچنین حاوی قوانینی است برای شناسایی تکنیکهای مخرب در فرمت SIGMA. این گزارش عمدتاً برای تحلیلگران SOC، متخصصین هوش تهدید و شکار تهدید[1] در نظر گرفته شده بود اما محققین ما همچنین برخی از بهترین راهکارهای مبارزه با باجافزارها را از منابع مختلف در این گزارش جمعآوری کردهاند که در زیر بدانها خواهیم پرداخت.
پیشگیری از نفوذ و هجوم
گزینهی ایدهال این است که حمله باجافزاری پیش از ورود تهدید به داخل محیط سازمانی متوقف شود. اقدامات زیر به کاهش ریسک نفوذ و هجوم کمک میکنند:
- فیلتر ترافیک ورودی. سیاستهای فیلتر کردن را باید روی همه دستگاههای پیرامونی پیادهسازی کرد- روترها، فایروالها، سیستمهای IDS. و از فیلتر میل در برابر اسپم و فیشینگ هم غافل نمانید: بهتر است از سندباکس برای اعتبارسنجی پیوستهای ایمیل استفاده کنید.
- بلاک کردن وبسایتهای مخرب. دسترسی وبسایتهای مخرب شناختهشده را برای مثال با پیادهسازی سرورهای پروکسی رهگیری محدود کنید. همچنین خوب است که برای حفظ لیستهای به روز تهدیدهای سایبری از فیدهای دادههای هوش تهدید استفاده کنید.
- استفاده از فیلتر بازرسی ژرف بستهها[2]. یک راهکارهای کلاس DPI در سطح دروازه به شما اجازه میدهد ترافیک را برای پیدا کردن بدافزار بررسی کنید.
- بلاک کردن کد مخرب. استفاده از امضاها برای بلاک کردن بدافزار.
- محافظت RDP. هرجا امکان داشت RDP را غیرفعال کنید. اگر بنا به هر دلیلی نمیتوانید استفاده از آن را متوقف کنید، سیستمهای دارای پورت باز RDP (3389) را پشت فایروال قرار دهید و بگذارید دسترسی به آنها تنها از طریق ویپیان صورت گیرد.
- احراز هویت چندعاملی. از احراز هویت چند عاملی، پسوردهای قوی و خطمشیهای لاکاوت اکانت به طور خودکار در همه نقاطی که به طور ریموت قابلدسترسیاند استفاده کنید.
- فهرست کردن کانکشنهای مجاز. با استفاده از فایروالهای سختافزاری فهرست مجاز IP را اجرا کنید.
- حل و رفع آسیبپذیریهای شناختهشده. به صورت دورهای آسیبپذیریهای سیستمهای دسترسی از راه دور و نیز آن دسته از دستگاههایی که دسترسی مستقیم به اینترنت دارند را پچ کنید.
این گزارش همچنین در خود توصیههایی اجرایی هم دارد برای محافظت در برابر اکسپلویت و حرکات جانبی؛ همینطور توصیههایی برای مبارزه با نشت داده و آمادهسازی برای یک رخداد سایبری.
محافظت افزوده
به منظور تجهیز شرکتها به ابزارهای اضافی که به کاهش گستردگی حمله و جلوگیری از شیوع آنها و همچنین بررسی رخداد کمک میکنند ما نیز راهکار EDR خود را آپدیت کردهایم. این نسخه تازه برای شرکتهایی با پروسههای امنیت آیتی بالغ مناسب است و Kaspersky Endpoint Detection and Response Expert نام دارد. میتوان آن را هم با کلود هم درون سازمانی استفاده کرد.
[1] THRAT HUNTING
[2] deep packet inspection (DPI)
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
