رمزهای عبور RDP در ویندوز ضعیف و دسترسی به باج افزار جدید

سعید ناصریژانویه 16, 20211min0

Sophos گفت: "یک سری حملات باج افزار علیه شرکت های کوچک و متوسط ​​از پروتکل کنترل از راه دور (RDP) برای دسترسی به سیستم های آلوده استفاده می کنند."

به عنوان بخشی از این حملات ، اپراتورهای مخرب از یک آسیب پذیری مشترک در بسیاری از شبکه های تجاری استفاده می کنند: "رمزهای عبور ضعیف". پس از حمله به سیستم از طریق پروتکل کنترل از راه دور و شکستن رمز عبور ، مهاجمان می توانند بدافزار خود را به راحتی بر روی سیستم های شرکت نصب کنند و امیدوارند که بتوانند پول خود را به عنوان دیه جمع کنند.

Sophos توضیح می دهد: "کشف درگاه های RDP که در اینترنت به بیرون درز کرده است ، به هیچ وجه دشوار نیست." "مجرمان اینترنتی می توانند از موتورهای جستجوی اختصاصی مانند آسیب پذیری Shodan برای این کار استفاده کنند و سپس از ابزارهای خصوصی یا عمومی برای دسترسی به سیستم های شناسایی شده استفاده کنند."

Sophos گفت: "تجزیه و تحلیل برخی از این حملات نشان داده است كه مهاجمان با استفاده از ابزاری به نام NLBrute سعی می كنند با استفاده از رمزهای عبور مختلف RDP به سیستم هدف دسترسی پیدا كنند." "مهاجمین پس از پیدا کردن رمز عبور مناسب ، به سرعت وارد سیستم می شوند و حساب های مدیریتی خود را ایجاد می کنند."

با این کار ، آنها می توانند دوباره به شبکه متصل شوند حتی اگر رمز ورود مدیر که مهاجمان برای دسترسی به شبکه از آن استفاده کردند ، تغییر کند. محققان می گویند: "در این حالت ، مهاجمان حساب های پشتیبان دارند که بعداً می توانند از آنها استفاده کنند."

در مرحله بعد ، مهاجمان پس از خاموش کردن برنامه های ضد بدافزار یا تغییر تنظیمات این برنامه ها ، یک نرم افزار سیستم کوچک مانند Process Hacker را بارگیری و نصب می کنند. آنها همچنین سعی می کنند در هنگام بهره برداری از آسیب پذیری های شناخته شده ، از جمله آسیب پذیری های CVE-2017-0213 و CVE-2016-0099 ، استفاده کنند که وصله آنها برای مایکروسافت مدت زمان زیادی طول کشید.

مهاجمان همچنین سرویس های پایگاه داده را خاموش می کنند تا بدافزار آنها بتواند پایگاه های داده را هدف قرار دهد و همچنین Windows Live Volume Shadow Copy را خاموش کرده و نسخه های پشتیبان موجود را پاک کند تا قربانیان نتوانند برای پرونده های آسیب دیده باج بدهند. برای بازیابی. بعد ، آنها باج افزار خود را بارگیری و اجرا می کنند.

به گفته Sophos ، مهاجمان از قربانیان خود 1 بیت کوین (هر بیت کوین اکنون 8000 دلار هزینه دارد) باج خواستند. اگرچه بسیاری از شرکتها تحت تأثیر این حملات قرار گرفته اند ، اما مهاجمان & # 39؛ کیف پول بیت کوین فقط یک معامله را نشان می دهد که با دیه درخواستی مطابقت دارد. محققان امنیتی گفتند: "یا قربانیان مبلغ درخواستی را پرداخت نکردند یا آنها توانستند در مورد مبلغ کمتری با مهاجمان توافق کنند."
سوفوس می گوید: "قربانیان این نوع حمله تقریباً همیشه شرکت های کوچک و متوسط ​​هستند." "در بررسی ما ، بزرگترین تجارت 120 کارمند داشت ، اما بیشتر آنها 30 کارمند یا کمتر داشتند."

به سازمانها توصیه می شود RDP را خاموش كنند تا از خود در برابر این حملات محافظت كنند و یا در صورت نیاز به استفاده منظم از پروتكل از اقدامات امنیتی خوبی استفاده كنند. سازمان ها همچنین باید با استفاده از یک شبکه خصوصی مجازی (VPN) و احراز هویت دو مرحله ای برای برقراری ارتباط با شبکه های خارجی و همچنین نصب وصله های موجود در اسرع وقت اطمینان حاصل کنند که سیستم های آنها ایمن نیستند. آنها می مانند.

"شما احتمالاً این جمله را شنیده اید ، & # 39؛ اگر می خواهید کار درستی انجام شود ، خودتان این کار را انجام دهید ، & # 39؛" گفت: پل دوكلین ، محقق ارشد در Sophos. متأسفانه ، مجرمان اینترنتی برای انجام اقدامات مخرب خود از این توصیه پیروی کرده اند. اگر دسترسی از راه دور به شبکه خود را به اشتباه تنظیم کرده باشید ، مهاجمان می توانند وارد شبکه شما شوند و مانند هر کاربر قانونی دیگری رفتار کنند. با اجرای باج افزار مستقیم و بدون نیاز به برنامه مدیریت یا کارگزار ، به سادگی سیستم های خود را آلوده کنید. "این بدان معنی است که مجرمان اینترنتی برای شروع این حملات نیازی به استفاده از ایمیل ، مهندسی اجتماعی یا پیوست های مخرب ندارند."

با این حال ، استفاده از RDP برای توزیع بدافزار رویکرد جدیدی نیست. در واقع ، این حمله در اوایل سال جاری به قدری محبوب بود که تقریبا جایگزین نامه الکترونیکی باج افزار شد.

ماه گذشته ، یک م لفه باج افزار BTCware به نام Payday با استفاده از همان روش برای توزیع مشاهده شد. با بررسی حملات ، محققان امنیتی دریافتند كه اپراتورهای بدافزار از حملات بی رحمانه برای شكستن رمزهای عبور RDP استفاده می كنند و بر سیستم های با امنیت ضعیف تأثیر می گذارند.

پیشنهاد ویژه

خرید sabzafrooz.ir

یک نظر بدهید

ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت گذاری شده اند *

15 − چهارده =

Powered by mihanseo