هشدارهای امنیتی پادویش

اطلاعیه پادویش درخصوص مقابله با حملات سایبری

آنچه در ادامه می‌آید، حاصل تجربیات و مشاهداتی است که تیم فارنزیک و پاسخ به رخداد پادویش از حملات سایبری اخیر به سازمان‌های مختلف در کشور کسب نموده است. این مشاهدات، به درخواست کاربران و مدیران محترم سازمان‌های مختلف کشور و با هدف افزایش میزان توجه به ارتقا امنیت، برای اولین بار به صورت عمومی منتشر می‌شود.

در حین مطالعه، لازم است توجه نمایید که مطلب تهیه شده شامل تجمیعی از بیش از ده‌ها حمله مختلف در طول یک سال گذشته می‌باشد که تیم فارنزیک پادویش در روند بررسی‌های حوادث مربوطه حضور داشته است و مربوط به یک سازمان یا یک حمله خاص نمی‌شود.

اکثر این حملات شامل سازمان‌هایی می‌شود که اصلا آنتی‌ویروس پادویش نداشته و تمام یا بخشی از شبکه آنها از آنتی‌ویروس‌های خارجی استفاده می‌کرده است. تعدادی از تجربیات نیز مربوط به سازمان‌هایی است که مورد نفوذ ابتدایی قرار گرفتند اما سامانه MDR پادویش نفوذ را تشخیص داده و با اعلام هشدار به موقع، از وقوع حوادث ناگوار بعدی جلوگیری شده است.

اغلب حملات یک سال گذشته توسط افرادی انجام شده است که خود را با اسامی مختلف نظیر «گنجشک درنده»، «عدالت علی» و «قیام تا سرنگونی» معرفی کرده‌اند. شواهد فنی نشان می‌دهد با احتمال بالایی این سه گروه، یک گروه فنی بوده یا به ابزارهای یکدیگر دسترسی دارند.

اکثر قریب به اتفاق حملات موفق سایبری به سازمان‌ها در سال گذشته به دلیل وجود نقاط ضعف و آسیب‌پذیری‌های ناشی از عدم رعایت مسائل اساسی ‌در تامین امنیت شبکه‌ها به وجود آمده است که برخی از آنها به شرح زیر بوده است:

  1. شبکه‌های سازمان‌ها علی‌رغم انتظارات و ادعاهای اعلام شده، همگی به نحوی به اینترنت متصل بوده‌اند.
  2. در برخی موارد شبکه‌ها نه تنها بدون رعایت کمترین الزامات امنیتی به اینترنت متصل بوده‌اند، بلکه هیچ روش نظام‌مندی جهت کنترل اتصالات به شبکه‌های بیرون سازمان وجود نداشته است و هر بخشی از شبکه به روش مجزایی و بدون نظارت مرکزی به شبکه‌های بیرونی (اینترنت و اینترانت) متصل بوده است.
  3. در یک مورد، حتی پس از رخداد حمله سایبری و الزام و تاکید سازمان‌های بالادستی به قطع نمودن شبکه، همچنان شبکه با حداقل موازین امنیتی به اینترنت متصل بوده و منجر به هشدارهای مکرر بعدی شده است.
  4. در بسیاری موارد باز بودن پورت RDP از بیرون شبکه منجر به نفوذ اولیه شده است. باید توجه نمود در این موضوع، تفاوت چندانی بین شبکه اینترانت ملی و اینترنت وجود ندارد و هر دو محل ورود نفوذگران بوده‌اند.
  5. در چند مورد، نفوذگران از سرور آنتی‌ویروس خارجی موجود در سازمان و یا سرور WSUS، جهت انتشار بدافزار استفاده کرده بودند.
  6. استفاده از پسوردهای ضعیف و یا وجود اکانت‌های با دسترسی ادمین که وجود آنها فراموش شده است یکی از علل نفوذ به شمار می‌رود.
  7. در یک مورد نه تنها سرور اصلی اکتیودایرکتوری با پسورد ادمین فوق‌العاده ساده از اینترنت در دسترس بوده، بلکه بر روی آن چندین نرم‌افزار کنترل از راه دور مانند AnyDesk و TeamViewer نیز نصب بوده است.
  8. عدم رعایت اصل بخش‌بندی و تعریف VLANهای مناسب و محدودسازی دسترسی بین آنها در بسیاری از شبکه‌ها عملیات را برای نفوذگر ساده نموده بود. به عنوان مثال امکان دسترسی به سرورهای مهمی مانند اکتیودایرکتوری یا زیرساخت مجازی‌سازی و مانند آن به سیستم‌های ادمین محدود نشده بود، یا کلیه دوربین‌ها یا پورت‌های حساس سیستم‌های کاربران از کلیه نقاط شبکه در دسترس بوده‌اند. در نقطه مقابل، در شبکه‌هایی که محدودسازی مناسب انجام شده بود تخریب و نفوذ بسیار محدودتر انجام شده و بازیابی بسیار ساده بود.
  9. اغلب حملات با تعریف پالیسی روی اکتیودایرکتوری انجام شده‌اند، و حتی در برخی موارد دسترسی طولانی مدت (بیش از شش ماه تا یک سال) به اکتیودایرکتوری وجود داشته و نفوذگر بدون آنکه کسی متوجه شود، مدت‌ها روی اکتیودایرکتوری پالیسی تعریف می‌کرده است.
  10. استفاده از آسیب‌پذیری‌های شناخته شده و وصله نشده روی وب‌سرور و سامانه‌های تحت وب سازمان که از اینترنت در دسترس هستند، یکی از راه‌های اصلی ورود به شبکه سازمان در حملات اخیر بوده است.
  11. استفاده از آسیب‌پذیری PrintNightmare‌ و ZeroLogon و مانند آن جهت افزایش سطح دسترسی و حرکت در شبکه نیز یکی از الگوهای رایج حملات می‌باشد.
  12. در حملات اخیر سرعت خرابکاری افزایش یافته و بین یک ماه تا دو هفته بعد از دسترسی اولیه، خرابکاری و تخریب اطلاعات انجام می‌گیرد که نشان می‌دهد زمان کمتری برای تشخیص و واکنش به نفوذ وجود دارد.
  13. در برخی شبکه‌ها سیاست مناسبی برای بکاپگیری تعریف نشده بود و یا بازبینی صحیحی انجام نمی‌گرفت که فرایند بازیابی و راه‌اندازی مجدد سرویس‌ها را با دشواری جدی روبرو کرده بود.

با توجه به موارد فوق، راهکارهای زیر جهت ارتقای امنیت شبکه و مقابله با حملات مشابه توصیه می‌شود:
  1. جداسازی بخش‌های مختلف (VLAN) و غیر مربوط شبکه از یکدیگر و جلوگیری از برقراری هرگونه ارتباط غیر ضروری بین این بخش‌ها و جداسازی شبکه (Air Gap Network) جهت ایمن‌سازی بخش‌های حیاتی شبکه
    در رابطه با این موضوع، با ذکر دو مثال از دو مورد از حوادث روی داده، اهمیت موضوع را توضیح می‌دهیم. در مورد اول، سازمان مورد نفوذ قرار گرفته، دارای شبکه‌ای بدون جداسازی و به اصطلاح flat بود که پس از نفوذ، تمامی زیر ساخت آن تحت تاثیر قرار گرفته و سایت‌ها داده‌های مختلف آن از دسترس خارج گردید. اما در یک حمله کاملا مشابه به سازمانی دیگر، به واسطه جداسازی اصولی شبکه از یکدیگر، تنها سروری که به صورت مستقیم از اینترنت در دسترس و آسیب پذیر بود، مورد نفوذ قرار گرفته و نفوذگران امکان حمله به سایر بخش‌ها و سرورها و از کار انداختن کل شبکه را نداشتند. در مورد اول شبکه سازمان مربوطه برای بیش از یک هفته از دسترس خارج شده بود در حالی که در مورد دوم، علاوه براینکه در کمتر از ۲۴ ساعت شبکه به حالت پایدار بازیابی گردید، عملیات فارنزیک بسیار راحت‌تر و در بررسی همان سرور مورد نفوذ قرار گرفته، آی‌پی مورد استفاده نفوذگر کشف و مسدود گردید.
انتظار می‌رود که در هر شبکه، حداقل تقسیم‌بندی سرورها به سه دسته قابل دسترس از خارج شبکه، داخلی با دسترسی به خارج شبکه، و داخلی بدون دسترسی تقسیم گردد. همچنین، کلاینت‌ها نیز حداقل به دو بخش ادمین و غیر ادمین تقسیم شود و کلاینت‌های غیر ادمین دسترسی به پورت‌های حساس سرورها و سایر کلاینت‌ها نداشته باشند و کلاینت‌های ادمین (و در صورت امکان سایر کلاینت‌ها) نیز دسترسی مستقیم به اینترنت نداشته باشند. البته طبیعتا این تقسیم‌بندی بسیار حداقلی است و باید در هر شبکه تا حد امکان برحسب سطح ریسک و نوع کاربرد تقسیم‌بندی بسیار جدی‌تری انجام شود.
  1. غیرفعال‌سازی سرویس‌های غیرضروری
    با غیر فعال نمودن سرویس‌های غیرضروری (برای مثال غیر فعال سازی سرویس پرینتر بر روی وب سرورها، دامین کنترلرها و …)، در صورت انتشار آسیب‌پذیری‌های بحرانی نظیر PrintNightmare بدون نیاز به نصب وصله‌های امنیتی، در برابر آنها ایمن خواهید بود. بنابراین، سرویس‌های بلااستفاده را تشخیص داده و آنها را غیرفعال کنید.
  1. محدود کردن ارتباطات اینترنتی سرورها به آی‌پی‌ها و پورت‌های خاص
    با توجه به تجاربی که از حوادث روی داده به دست آمده است، ارتباطات مجاز اینترنتی سرور‌هایی نظیر سرور آنتی‌ویروس (به طور خاص اگر این ارتباط با یک آی‌پی خارج از ایران برقرار می‌شود)، سرور WSUS و … تنها بایستی به آی‌پی و پورت‌های مجاز محدود شده باشد. سایر سرورهایی که نیاز به دسترسی به اینترنت ندارند نیز باید محدود گردند.
  1. تعیین سیاست‌های لازم جهت استفاده از رمزهای عبور دارای پیچیدگی، غیر قابل حدس و غیر تکراری و تعویض آن در بازه‌های زمانی کمتر از ۳ ماه
    اهمیت این مورد نیازی به توضیحات اضافه نداشته و کاملا مشخص است. در بسیاری از موارد مشاهده شده است که بر روی تحهیزات بسیار حیاتی سازمان‌های مورد نفوذ قرار گرفته، پسوردی بسیار ساده، قابل حدس و یا استفاده شده بر روی تجهیزات در معرض خطر و آسیب‌پذیرتر، استفاده شده است که نفوذگران با وجود ناتوانی در به دست آوردن پسورد سیستم هدف به صورت مستقیم، دستگاه‌های آسیب‌پذیرتر را مورد حمله قرار داده و در ادامه با استفاده از همان رمز عبور، اقدام به برقراری ارتباط با بخش حیاتی زیر ساخت شبکه کرده‌اند. به عنوان مثالی دیگر در اهمیت این موضوع، در موارد متعددی مشخص شد که حملات، با استفاده از اکانت‌های دارای دسترسی ادمین که وجود آنها فراموش شده و پسوردی ضعیف داشته‌اند، صورت گرفته است.
  1. تهیه مستندات دقیق از معماری شبکه
    در اهمیت تهیه مستندات، لازم به ذکر است که فرض اینکه به هر میزان شبکه پیچیده‌تر باشد، تلاش نفوذگر جهت از کار انداختن آن سخت‌تر می‌شود، بسیار اشتباه است. پیچیدگی شبکه به نفوذگر اجازه می‌دهد راه‌های بیشتری برای دور زدن مکانیزم‌های امنیتی و بخش‌های مغفول مانده شبکه پیدا کند. در حالی که، با وجود نداشتن یک مستند دقیق از شبکه، تنها راه‌اندازی مجدد آن پس از بروز حادثه سخت و حتی غیر قابل انجام می‌گردد.
  1. تهیه پشتیبان (Backup) از اطلاعات به صورت غیر برخط و تست پشتیبان‌های تهیه شده جهت اطمینان از امکان بازیابی و قابل استفاده بودن هر یک از آنها
    از دست دادن اطلاعات در کمین هر سازمانی است که به دلایل خرابکاری‌های عمدی مانند هک و نفوذ یا آلودگی بدافزاری، و غیرعمدی مانند حوادث طبیعی و خرابی سخت‌افزاری کاملا اجتناب ناپذیر می‌باشد. در برخی حملات سایبری گذشته، نفوذگران با داشتن اطلاعات کامل از نحوه و محل ذخیر‌ه‌سازی بکاپ‌ها، یک شب قبل از حادثه به سامانه بکاپ متصل شده و کلیه بکاپ‌ها را به صورت غیرقابل بازگشت تخریب نموده بودند. بدیهی است بازیابی فرایند کاری بدون دسترسی به بکاپ‌ها کاری بسیار دشوار و در حد ناممکن می‌باشد، موضوعی که فقط با نگهداری بکاپ به صورت آفلاین (به عنوان مثال Tape یا تجهیزی که پس از بکاپگیری به صورت فیزیکی از شبکه جدا شود) قابل جلوگیری است. نکته مهم دیگر اطمینان از صحت بکاپ‌ها و امکان بازیابی آنهاست که باید به صورت دوره‌ای تست گردد.
  2. استفاده از سرور مجزا جهت ذخیره سازی Audit لاگ‌ها و تحلیل رخدادهای ثبت شده به صورت بر خط
    این مورد هم در پیشگیری و هم در زمان بازیابی از حادثه و علت‌یابی بسیار مفید می‌باشد. در مرحله اول با ذخیره این لاگ‌ها به صورت مجزا، امکان تحلیل عمیق این لاگ‌ها وجود داشته و به وسیله آن می‌توان تهدیدات مخفی داخل شبکه را شناسایی و در مراحل اولیه خنثی نمود. همانطور که گفته شد، اغلب حملات رخ داده، با تعریف پالیسی روی اکتیودایرکتوری انجام شده‌اند و حتی در برخی موارد دسترسی طولانی مدت (بیش از شش ماه تا یک سال) به اکتیودایرکتوری وجود داشته و نفوذگر بدون آنکه کسی متوجه شود مدت‌ها روی اکتیودایرکتوری پالیسی تعریف می‌کرده است. البته در حملات اخیر سرعت خرابکاری افزایش یافته و بین یک ماه تا دو هفته بعد از دسترسی اولیه، خرابکاری و تخریب اطلاعات انجام می‌گیرد که نشان می‌دهد زمان کمتری برای نظارت بر رخدادها جهت تشخیص و واکنش به نفوذ وجود دارد.
  1. جهت مطالعه لیست کامل توصیه‌های امن‌سازی، دعوت می‌کنیم مقاله توصیه‌نامه امنیتی پادویش در مقابله با باج‌افزارها و سایر تهدیدات سایبری را در پایگاه دانش امن‌پرداز مطالعه بفرمایید.

مطالب مرتبط

Security Alert

مراقب کمپین فیشینگ “کالا برگ” باشید!

درب پشتی در کتابخانه XZ

متن‌باز بودن دلیلی بر امن بودن نیست! کشف درب‌پشتی در کتابخانه متن‌باز محبوب کاربران لینوکس

‫‏‫افزایش چشمگیر حملات به سرورهای MSSQL