در سال های گذشته تا به امروز ویروس های کامپیوتری مدام در حال تغییر بوده اند و مانند ویروس های انسانی گویا بر اثر جهش! خود را تغییر داده و راه عبور از سیستم دفاع و ایمنی کامپیوتر ها یا همان آنتی ویروس و فایروال را پیدا کرده و موجب اختلال در عملکرد آن ها می شوند.
ولی در این اواخر جهش های کشنده تری اتفاق افتاده و نسل جدید ویروس ها به نام باج افزار (Ransomware) خیلی سریع شیوع پیدا کرده است که ضرر های بسیار سنگینی را به یک ارگان وارد می کنند. مخصوصا در کشور ایران با توجه به تحریم بودن و عدم دسترسی به آنتی ویروس های قوی برای همگان ، شیوع این مورد بسیار چشمگیر است که هدف ما از این مقاله در اختیار گذاشتن برخی از تجربیات با هموطنان عزیزمان هست تا از مال و سرمایه آن ها حفاظت گردد بلکه تا حدی با این بد افزار مقابله صورت گیرد.
در ابتدا به صورت مختصر عملکرد این بد افزار را تشریح می کنیم و بعد به راهکار های مقابله با آن می پردازیم. تفاوت باج افزار با ویروس این است که ویروس ها فابل های سیستمی و اجرایی یک کامپیوتر را مختل می کنند ولی باج افزار ها فایل های شخصی و کاری شما را کد گذاری می کنند و برای شما یک نامه (یک فایل متنی با فرمت تکست) می گذارند که اطلاع میدهند اگر می خواهید کد یا رمز این فایل ها را در اختیار شما بگذاریم باید باج یا پول به ما بپردازید. مقدار مشخص باج هم از طریق رمز ارزها (غالبا بیت کوین) از شما مطالبه می شود و آدرس حساب رمز ارز هم در نامه قرار دارد.
شاید به فکر خیلی از همکاران یا کاربران رسیده باشد که ما هر روز از اطلاعات خود بکاپ گیری می کنیم یا این بکاپ ها را کدگذاری کرده ایم و هیچ راه نفوذی به آن نیست، ولی این تفکر کاملا غلط است و مانند این هست که شما صاحب یک مغازه هستید و هر شب موقع بستن به آن 10 عدد قفل غیر قابل تخریب و نفوذ می زنید و مطمعن هستید دزد نمی تواند آن را باز کند ولی اگر دزدی پیدا شود که روی همه قفل های شما یک قفل غیر قابل باز شدن بزند شما چه می کنید؟!
باید به آن دزد پول پرداخت کنید تا به شما رمز عبور از آن قفل را بدهد!
در این مقاله روی صحبت با کسانی هست که در زمینه ای تی یا پشتیبانی شبکه مشغول هستند بنابراین از اصطلاحات تخصصی استفاده شده و اگر شما دانش کافی برای اجرای این موارد را ندارید حتما آن را به یک شرکت پشتیبانی شبکه بسپارید و از ایجاد تغییرات در زیر ساخت شبکه خود بپرهیزید.
لازم بذکر است که تمامی مواردی که در ادامه آورده می شود حاصل استفاده از منابع مختلف ، تجربه و مشورت با همکاران گردآوردی شده که این موارد به غیر از مقابله با باج افزارها، برای پیشگیری از نفوذ و هک سرورها و امنیت زیرساخت شبکه کاملا کاربردی هستند.
تمامی موارد حتی ریزترین آنها مانند دندانه های یک کلید مهم و همه با هم در نتیجه کار تاثیر گذار هستند. انتظار میرود تمامی موارد جز به جز و با دقت مطالعه شده و پیاده سازی شوند.
“ابتدایی ترین و مهمترین مبحث امنیت در شبکه تغییر در پارامترهای پیش فرض است.”
پروتکل های امنیتی در خصوص پیشگیری و مقابله با باج افزارها
1- میکروتیک یا فایروال EDGE شبکه:
- تغییر یوزرنیم دیفالت میکروتیک از admin به سایر موارد. (در تمامی موارد یک اکانت ادمین بعنوان آلترناتیو ایجاد شود)
- پسوردهای مورد استفاده حتما complex و حداقل 8 رقمی باشد.
- غیر فعال کردن کلیه سرویسهای ارتباطی به میکروتیک مخصوصا وب سرویس مگر با مشخص کردن Source IP
- تغییر پورت winbox به سایر پورت ها
- غیر فعال کردن DNS کش سرور (Allow remote request غیر فعال باشد) بجای این گزینه میتوان از DNS اکتیودایرکتوری استفاده کرد که در بخش سرورها توضیح داده میشود.
- حتما رولهای مربوط به Port Scan با دقت نوشته شده باشد و فعال باشد.
- پینگ IP Public از بیرون بسته باشد و سایر رول های مطرح شده تنظیم گردد.
- سرویس هایی که استفاده نمیشوند غیرفعال باشند.
- OS روتر همیشه بصورت ماهیانه چک شود و آپدیت نگه داشته شود.
- برای ارتباط به سرورها به هیچ عنوان NAT تنظیم نشود و فقط از VPNهای رمزگذاری شده استفاده شود حتی شرکتهای پشتیبان هم در صورت ارتباط فقط بهشون VPN تعلق بدین. زیر بار فشار اینگونه شرکتها برای پایین آوردن امنیت شبکه که نرم افزارشان راحت و سریع کار کند نروید و با مدیر فنی شرکت تماس بگیرید.
2- سرورها:
- سرورها همواره آپدیت نگه داشته شوند.
- سرورها در صورت امکان در ناحیه DMZ پیکربندی و نگهداری نشوند. (برای کنترل بیشتر پورتهای ورودی و خروجی)
- Firewall سرورها بخشهای بسیار مهمی هستند که همیشه نسبت به آنها کم توجهی می شود. با استفاده از فایروال OS فقط و فقط پورتهایی که در حال سرویس دهی هستند باز باشند و کلیه پورتهای دیگر بسته باشند (مثلا برروی سرور راهکاران که تحت وب سرویس می دهد در قسمت Inbound Roles فقط پورت 80 باز باشد و کلیه پورتها بسته باشد حتی پینگ)
- پورت Remote Desktop برروی تمامی سرورها از حالت پیش فرض 3389 به سایر پورت ها بوسیله رجیستری ویندوز تغییر پیدا کند. (البته قبل از فعال سازی باید پورت مورد نظر در فایروال باز شده باشد و پورت قبلی غیر فعال باشد.)
- نقطه ضعف بزرگ سیستم عامل ها پروتکل SMB V1 و بطور کلی File Sharing میباشد. غیر از File Server تمامی سرورهای دیگر ورودی این پورت به سرور (Inbound Roles) غیر فعال شود.
- در هیچ شبکه ای پسورد پیش فرض administrator چه بصورت لوکال و چه بصورت Domain admin فعال نباشد زیرا این اکانت از اولین داوطلب ها برای هک و کرک شدن هستند. (در همه شرکتها به سایر تغییر نام داده شود)
- پسورد سرورها حتما Complex و حداقل 8 رقمی باشد.
- آنتی ویروس معتبر و بروز و دارای مکانیسم ضد باج افزار برروی تمامی سیستمها و سرورها موجود باشد (در صورت مخالفت کارفرما به اطلاع شرکت و مدیر فنی برسد)
- در آنتی ویروس کسپرسکی نسخه سرور که توسط Console Security Center مدیریت می شود، لازم است بعد از راه اندازی سرویسهای مربوطه RUN شوند مانند Anti Crypto
- برروی تمامی درایوهای تمامی سرورها فارق از اینکه چه سرویسی ارائه میکنند حتما گزینه Shadow Copy بصورت روزانه فعال باشد.
- اینترنت سرورهایی که سرویسی از اینترنت دریافت نمی کنند کامل قطع باشد و یا بوسیله روتر فقط مقصدهای خاص مورد نیاز باز باشد مانند: Time.windows.com یا آدرس 8.8.8.8 برای سرویس گیری DNS دامین کنترلر در قسمت Forwarders و غیره…
3- پیکربندی بکاپ سرورها:
برخلاف راهکارهای قبلی که بکاپ سرور بصورت متمرکز همه نقش ها رو برعهده داشت در پروتکل جدید بکاپ گیری به دو دسته اصلی تقسیم میکنیم.
Veeam Server
- اولا تمامی موارد مربوط به بخش سرورها برای این سرور هم کاملا رعایت شود و به معنای واقعی ایزوله شود.
- بوسیله روتر اگر امکان سخت افزاری فراهم بود و اگر فراهم نبود بوسیله فایروال سیستم عامل کلیه پورتهای ورودی و خروجی بسته باشد و فقط پورتهای مربوط به RDP و VEEAM که خود نرم افزار اقدام به ساخت آن کرده فعال بمانند. تاکید میشود تمامی پورتکل های File Sharing و غیره غیرفعال و بلاک شود.
- برروی این سرور هیچ گونه نرم افزار دیگری مانند مرورگرهای اضافه و آفیس و.. مخصوصا نرم افزارهای ارتباط از راه دور مانند Anydesk نصب نشود.
- اکانت مخصوص برای veeam با همین نام برروی ESXI ساخته شود و ارتباط به آن از طریق همین اکانت برقرار شود نه اکانت Root
- اگر در ناحیه DMZ قرار داشت رنج آی پی غیر از رنج شبکه ست شود و بوسیله امکانات روتر فقط در بازه زمانی که backup jobها ست شده اند ارتباط با این سرور برقرار باشد. مثلا فقط دوشنبه و پنجشنبه از 5 بعدازظهر تا 9 شب
- سرور مورد نظر به هیچ عنوان Join to Domain نباشد و بصورت WORKGROUP و مستقل باشد.
- این سرور فقط برای نرم افزار Veeam Backup ستاپ شود و لاغیر.
- این سرور میتواند بصورت فیزیکی و یا مجازی پیکربندی شود.
- دسترسی به اینترنت بطورکلی قطع باشد.
- در مراجعات به شرکتها بصورت دوره ای می بایست عملکرد این سرور چک شود.
Storage Server
- در صورت استفاده از سیستم عامل ویندوز تمامی File Serverها می بایست بوسیله Windows Server Backup و همچنین تمامی سرویسهایی که دارای دیتابیس هستند از طریق Management Studio باید نسخه های روزانه با شرایط و نوع مشخص شده و مشورت شده با مدیر فنی برروی Storage serverها بکاپ گرفته شوند.
- مشخصا تمامی موارد امنیتی مربوط به بخش سرورها باید برای این سرورها هم رعایت شوند.
- این سرور با توجه به ماهیت عملکرد می بایست Join to Domain باشد تا بتواند ارتباط با دیتابیس و Windows Server Backup داشته باشد.
- برای راه اندازی انواع بکاپ ها باید اکانت منحصربه فرد با قابلیت ادمین یا دامین ادمین ساخته شود و از اکانت Domain admin به دلایل مختلف در پیکربندی استفاده نشود. (اکانت مورد نظر در همه جا بصورت قراردادی FBCK به عنوان یوزرنیم و با پسوردی که اعلام میشود تنظیم گردد)
- در درایو یا مقصد نهایی برروی این سرور بوسیله Permissionها فقط باید به اکانت FBCK دسترسی Write داده شود و امکان حذف یا Modify کردن فایلها را نداشته باشد.
- مشخصا تمامی موارد پیکربندی سرورها برای این سرور هم باید از قبل اجرایی شده باشد.
- برروی این سرور هیچ گونه نرم افزار دیگری مانند مرورگرهای اضافه و آفیس و غیره مخصوصا نرم افزارهای ارتباط از راه دور مانند Anydesk نصب نشود.
- دسترسی به اینترنت بطورکلی قطع باشد.
- این سرور میتواند بصورت فیزیکی و یا مجازی پیکربندی شود.
- در مراجعات به شرکتها بصورت دوره ای میبایست عملکرد این سرور چک شود
Nas Servers
- با توجه به نوع و امکانات این نوع Storageهای سخت افزاری در پیکربندی این دستگاه تمامی موارد مربوط به فایروال و اکانتیگ می بایست رعایت شود.
- امکانات جانبی بسته به نوع و مدل کاملا ارزیابی شود و مورد استفاده قرار گیرد.
- در مراجعات به شرکتها بصورت دوره ای میبایست عملکرد این سرور چک شود.
نکته 1: در هر شرکت که دارای سرویس اکتیودایرکتوری می باشد حتما برای بکاپ DC میبایست یک Additional DC پیکربندی شود حتی شده با کمترین منابع سخت افزاری و بصورت مجازی که فقط همین سرویس برروی آن فعال باشد.
نکته 2: در هر مرحله پیکربندی و راه اندازی سولوشن های بکاپ اگر به هر دلیلی در شرکتی این کار بطول انجامید و زمانبر شد تا تکمیل فرآیند بکاپ حتما بکاپهای مهم بصورت دستی برروی هارد اکسترنال گرفته شود.
کلاینت ها
- در شرکتهای کوچک سیستم عاملها بصورت دستی آپدیت نگه داشته شوند و در شرکتهای بزرگتر جهت آپدیت کلاینتها درصورت امکان WSUS سرور راه اندازی شود.
- ماکروها در مجموعه آفیس Word ، Excel ، PowerPoint و غیره غیرفعال گردد.
- افزونه های Flash Adobe ، Reader Adobe ، Java و Silverlight از مرورگر حذف گردند. در صورت لزوم به استفاده از این افزونه ها، با انتخاب تنظیمات مناسب، مرورگر به ازای هر بار نیاز به اجرای این افزونه ها، از کاربر تاییدیه درخواست نماید. همچنین لازم است افزونه های منسوخ شده نیز از مرورگر حذف گردیده و سایر افزونه ها همواره به روزرسانی شوند.
- آنتی ویروس ها همواره مورد بازبینی قرار بگیرند.
- فایروال ها و UAC سیستمهای کاربران همیشه فعال باشد.
- گزینه System Restore برای درایوهای کلیه کاربران مخصوصا کاربران مهم مانند کارمندان مالی و مدیران حتما فعال باشد.
- همواره اطلاعات مشاوره ای لازم در خصوص ایمیلهای آلوده و بازدید از سایتهای غیر معتبر به کاربران داده شود و در خصوص باج افزارها اطلاعات ابتدایی لازم به آنها داده شود.
- مرتبا در خصوص نگهداری اطلاعات مهم کاربری و نگهداری کپی از اطلاعات مهم در جایی غیر از سیستم شخصی به کاربران گوشزد شود.
- همکاران محترم به هیچ عنوان از پشت سیستم کاربران به سرورها ریموت برقرار نکنند و از سیستمهای امن در این خصوص استفاده کنند.
- همکاران برای امور روزمره از اکانت ادمین اصلی شبکه استفاده نکرده و برای انجام امور IT از اکانت اختصاصی محدود که برای خود ساخته اند، استفاده کنند.
اقدامات واکنشی
- در ابتدا می بایست ذهنیت افراد و کارمندان آماده شود و نکات لازم از قبل هماهنگ شده باشد به عنوان مثال در صورت دیدن کد شدن فایلها اقدام به خاموش و روشن کردن سرورها نکنند و …
- سیستم آلوده شده بلافاصله از شبکه اصلی قطع شود.
- به هیچ عنوان سیستم آلوده را خاموش یا راه اندازی مجدد ننموده و هیچ پروسسی از سیستم Kill نشود.
- به هیچ وجه فایلهای رمز شده حذف نگردد. چرا که ممکن است در آینده روشی برای رمزگشایی این فایلها (بدون پرداخت باج) فراهم گردد.
- در صورت اتصال رسانه های ذخیره سازی پشتیبان Storage Backup به سیستم های آلوده، فورًا جدا شوند.
- در برخی موارد ممکن است در اثر ضعف باج افزار در امحا نمودن نسخه اصلی فایلها، امکان بازیابی بعضی از فایلهای حذف شده با استفاده از ابزارهای Recovery File میسر باشد.
- بلافاصله به سراغ Shadow Copyها رفته و اگر اطلاعات باقی مانده بود سریعا اقدام به استخراج اطلاعات کنید زیرا در بعضی موارد اسکریپتهای حذف Shadow copyها با تاخیر اجرا میشود.
- باج افزار مورد نظر را شناسایی کنید.
- در موارد محدودی نیز ممکن است به دلیل ضعف باج افزار در پیاده سازی عملیات رمزنگاری، ابزارهایی برای رمزگشایی فایلهای رمز شده توسط این باج افزار ارائه گردد.
لطفا امتیاز دهید
میانگین امتیاز 5 / 5. تعداد امتیاز دهنده 13