Репост из: hypersec.ir
مراحل آلوده سازی سیستم ها توسط باج افزارها (Ransomeware Kill Chain) و راهکارهای مقابله✍
۱. غالبا باج افزارها با یکی از روش های زیر وارد سیستم قربانی می شوند:
– ضمیمه یا لینک وبی مخرب در یک ایمیل فیشینگ
راهکار مقابله: مسدود کردن ایمیل های ورودی روی سرور SMTP، حذف ایمیل ها از Inbox کاربران و اطلاع رسانی به کاربر نسبت به بازنکردن لینک ها و ضمیمه هایی با الگوهای مشخص
– انتشار باج افزار از طریق صفحات وب مخرب (صفحاتی که کاربر با مرور و دانلود از آنها آلوده به باج افزار می شود – این تکنیک به Malvertizing شهرت دارد)
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)
– تکنیک Drive-by Download
در این روش برنامه های مخرب نظیر آنتی ویروس های جعلی کاربر را مجاب به دانلود فایل (در واقع دانلود باج افزار) می کنند.
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)، نوشتن Rule های سفارشی جهت مسدود کردن دانلود فایل های مشخص و مشکوک
۲. پیلود ( Payload ) روی سیستم قربانی اجرا شده و باج افزار نصب می شود
راهکار مقابله: ایجاد Whitelist از برنامه های قابل نصب روی سیستم کاربر، شناسایی سیستم هایی که فایل های مشخص (یا با الگوی مشخص) را دانلود کرده اند (اینکار با استفاده از تحلیل لاگ های HIDS میسر می شود)
۳. باج افزار نصب شده یک زوج کلید رمزگذاری و رمزگشایی تولید می کند.
۴. باج افزار با سرور کنترل و فرمان مربوطه ( C&C Server ) ارتباط برقرار می کند تا بدین طریق کلید رمزگشایی را به سرور مذکور ارسال کند
راهکار مقابله: شناسایی و مسدود کردن الگوهای ترافیکی غیرعادی (الگوهایی که تا به حال مشاهده نشده) روی NIDS و سرور پراکسی
۵. باج افزار با استفاده از کلید رمزگذاری مربوطه، اقدام به رمز کردن فایل های قربانی روی هارد دیسک می کند.
راهکار تشخیص: مانیتور کردن سیستم کاربران و فایل های اشتراکی با هدف یافتن پسوندهای مشکوک نظیر .abc، .xxx و …
۶. پس از اتمام عملیات مخرب باج افزار، فایل ها از دسترس خارج می شوند. باج افزار فایلی متنی را در دسکتاپ یا مسیرهای دلخواه قرار می دهد که در آن دستور العمل پرداخت و بازیابی فایل های اصلی ذکر شده است.
راهکار تشخیص: مانیتور کردن سیستم کاربر با هدف یافتن فایل های متنی مرتبط با باج افزار یا فایل های HTML روی دسکتاپ کاربر
http://www.hypersec.ir/?p=652🌎
@hypersec
t.me/hypersec
۱. غالبا باج افزارها با یکی از روش های زیر وارد سیستم قربانی می شوند:
– ضمیمه یا لینک وبی مخرب در یک ایمیل فیشینگ
راهکار مقابله: مسدود کردن ایمیل های ورودی روی سرور SMTP، حذف ایمیل ها از Inbox کاربران و اطلاع رسانی به کاربر نسبت به بازنکردن لینک ها و ضمیمه هایی با الگوهای مشخص
– انتشار باج افزار از طریق صفحات وب مخرب (صفحاتی که کاربر با مرور و دانلود از آنها آلوده به باج افزار می شود – این تکنیک به Malvertizing شهرت دارد)
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)
– تکنیک Drive-by Download
در این روش برنامه های مخرب نظیر آنتی ویروس های جعلی کاربر را مجاب به دانلود فایل (در واقع دانلود باج افزار) می کنند.
راهکار مقابله: مسدود کردن URL های مخرب روی پراکسی وب، شناسایی سیستم هایی که وب سایت های مخرب را بازدید کرده اند (از طریق تحلیل لاگ پراکسی)، نوشتن Rule های سفارشی جهت مسدود کردن دانلود فایل های مشخص و مشکوک
۲. پیلود ( Payload ) روی سیستم قربانی اجرا شده و باج افزار نصب می شود
راهکار مقابله: ایجاد Whitelist از برنامه های قابل نصب روی سیستم کاربر، شناسایی سیستم هایی که فایل های مشخص (یا با الگوی مشخص) را دانلود کرده اند (اینکار با استفاده از تحلیل لاگ های HIDS میسر می شود)
۳. باج افزار نصب شده یک زوج کلید رمزگذاری و رمزگشایی تولید می کند.
۴. باج افزار با سرور کنترل و فرمان مربوطه ( C&C Server ) ارتباط برقرار می کند تا بدین طریق کلید رمزگشایی را به سرور مذکور ارسال کند
راهکار مقابله: شناسایی و مسدود کردن الگوهای ترافیکی غیرعادی (الگوهایی که تا به حال مشاهده نشده) روی NIDS و سرور پراکسی
۵. باج افزار با استفاده از کلید رمزگذاری مربوطه، اقدام به رمز کردن فایل های قربانی روی هارد دیسک می کند.
راهکار تشخیص: مانیتور کردن سیستم کاربران و فایل های اشتراکی با هدف یافتن پسوندهای مشکوک نظیر .abc، .xxx و …
۶. پس از اتمام عملیات مخرب باج افزار، فایل ها از دسترس خارج می شوند. باج افزار فایلی متنی را در دسکتاپ یا مسیرهای دلخواه قرار می دهد که در آن دستور العمل پرداخت و بازیابی فایل های اصلی ذکر شده است.
راهکار تشخیص: مانیتور کردن سیستم کاربر با هدف یافتن فایل های متنی مرتبط با باج افزار یا فایل های HTML روی دسکتاپ کاربر
http://www.hypersec.ir/?p=652🌎
@hypersec
t.me/hypersec