حمله باج افزار با وجود نصب پادویش
-
rghasemi87
- پست: 6
- تاریخ عضویت: یکشنبه دسامبر 24, 2017 1:42 pm
Re: حمله باج افزار با وجود نصب پادویش
من منتظر تماس شما هستم
Re: حمله باج افزار با وجود نصب پادویش
سلام
ابتدا از همراهی شما تشکر میکنم.
لازم دانستم دلایل و موارد مهم در پیشگیری از اتفاق را در تالار بیان کنم تا دیگر دوستان نیز در جریان قرار گرفته و بتوانند استفاده کنند.
اول باید اتفاقی که افتاده است کمی تبیین شود تا راهکارهای مقابله نیز مشخص شود.
چه اتفاقی افتاده؟
مساله صرفا آلودگی به یک باجگیر نبوده است، بلکه مساله این است که سرور شما هک شده است.
یعنی یک نفر موفق به پیدا کردن دسترسی ادمین روی سرور شما شده و از راه دور روی آن ریموت داشته است.
سپس این فرد یکی از کارهایی که کرده اجرای باجگیر بوده تا فایلها را رمز کرده و از شما درخواست پرداخت پول کند. اما ممکن است کارهای دیگری نیز روی سیستم شما انجام داده باشد ...
برخی گروههای هکری با باجگیرها رابطه داشته و به جای آلوده کردن کاربران ساده به باجافزار (از طریق ایمیل و ...)، مستقیما یک شبکه/سرور را هک کرده و باجگیر را روی آن اجرا میکنند. این نوع باجگیرها معمولا نسبت به باجگیرهای ساده درخواست مبالغ بیشتری میکنند. (با توجه به نوع اطلاعات سرورها که حساستر است)
هک شدن چه تفاوتی با آلودگی به باجگیر دارد؟
وقتی سیستم شما هک شده است، بسته به مورد ممکن است نفوذگر انواع کارهای زیر را انجام داده باشد:
ضدباجگیر پادویش در این شرایط چه میکند؟
ضدباجگیر پادویش تا حد امکان از اطلاعات شما در برابر حملات باجافزاری محافظت میکند. (بخصوص اگر روی آن پسورد گذاشته باشید) برای این منظور لایههای مختلف محافظتی (در حال حاضر چهار لایه) در ضدباجگیر وجود دارد تا حتی در صورت عبور از یکی از این لایهها باز هم اطلاعات شما از دست نروند.
دقت کنید که در این شرایط هکر با ادمین سیستم قابل تمایز نیست:
ادمین یک سیستم اجازه حذف اطلاعات آن را دارد. همچنین (به شرط داشتن پسورد) اجازه تغییر تنظیمات و حتی حذف ضدباجگیر پادویش را نیز دارد. بنابراین قسمت خوبی از مساله به این بستگی دارد که پسورد شما چقدر امن بوده و چقدر فرد هکر برای دستیابی به آن فرصت و انگیزه داشته است.
البته در پادویش نکات خاصی دیده شده که حتی در شرایط هک و لو رفتن پسورد تا حد امکان از اطلاعات محافظت میکند. اما همانطور که واضح است در چنین شرایطی تضمین بازگشت اطلاعات امکانپذیر نیست.
راهکار مقابله با این اتفاق چیست؟
بهترین کار پیشگیری است:
اگر یکی از سرورهای شما هک شده باشد، دیگر صرف گذاشتن پسورد و راهانداختن VPN مشکل شما را حل نمیکند!
ابتدا از همراهی شما تشکر میکنم.
لازم دانستم دلایل و موارد مهم در پیشگیری از اتفاق را در تالار بیان کنم تا دیگر دوستان نیز در جریان قرار گرفته و بتوانند استفاده کنند.
اول باید اتفاقی که افتاده است کمی تبیین شود تا راهکارهای مقابله نیز مشخص شود.
چه اتفاقی افتاده؟
مساله صرفا آلودگی به یک باجگیر نبوده است، بلکه مساله این است که سرور شما هک شده است.
یعنی یک نفر موفق به پیدا کردن دسترسی ادمین روی سرور شما شده و از راه دور روی آن ریموت داشته است.
سپس این فرد یکی از کارهایی که کرده اجرای باجگیر بوده تا فایلها را رمز کرده و از شما درخواست پرداخت پول کند. اما ممکن است کارهای دیگری نیز روی سیستم شما انجام داده باشد ...
برخی گروههای هکری با باجگیرها رابطه داشته و به جای آلوده کردن کاربران ساده به باجافزار (از طریق ایمیل و ...)، مستقیما یک شبکه/سرور را هک کرده و باجگیر را روی آن اجرا میکنند. این نوع باجگیرها معمولا نسبت به باجگیرهای ساده درخواست مبالغ بیشتری میکنند. (با توجه به نوع اطلاعات سرورها که حساستر است)
هک شدن چه تفاوتی با آلودگی به باجگیر دارد؟
وقتی سیستم شما هک شده است، بسته به مورد ممکن است نفوذگر انواع کارهای زیر را انجام داده باشد:
- روی سیستم شما دربپشتی ایجاد کرده باشد تا هکهای بعدی ساده شود: مثلا میتواند یک اکانت با دسترسی ادمین ساخته باشد، یا یکی از تنظیمات امنیتی مهم ویندوز شما را عوض کرده باشد که دفعات بعد به راحتی هک شود.
- ممکن است نرمافزار ناخواسته روی سیستم شما ریخته باشد. مثلا برخی برنامههای مجاز دسترسی ریموت یا حتی بدافزارهایی از نوع دربپشتیها و باتها که اجازه اتصال بدون پسورد را در آینده به وی میدهند.
- ممکن است کل پسوردهای شما را بدست آورده باشد. (انواع روشها از کیلاگر تا استخراج هش پسورد برای این کار وجود دارد)
- روی سیستم شما ماینر (نرمافزار استخراج بیتکوین از طریق به کار گرفتن CPU سیستم) اجرا کرده باشد.
- شبکه شما را شنود کرده و به سرورها، روترها و سایر تجهیزات نفوذ کرده باشد.
- و .... در کل شما باید بدترین سناریوی ممکن را در نظر بگیرید.
ضدباجگیر پادویش در این شرایط چه میکند؟
ضدباجگیر پادویش تا حد امکان از اطلاعات شما در برابر حملات باجافزاری محافظت میکند. (بخصوص اگر روی آن پسورد گذاشته باشید) برای این منظور لایههای مختلف محافظتی (در حال حاضر چهار لایه) در ضدباجگیر وجود دارد تا حتی در صورت عبور از یکی از این لایهها باز هم اطلاعات شما از دست نروند.
دقت کنید که در این شرایط هکر با ادمین سیستم قابل تمایز نیست:
ادمین یک سیستم اجازه حذف اطلاعات آن را دارد. همچنین (به شرط داشتن پسورد) اجازه تغییر تنظیمات و حتی حذف ضدباجگیر پادویش را نیز دارد. بنابراین قسمت خوبی از مساله به این بستگی دارد که پسورد شما چقدر امن بوده و چقدر فرد هکر برای دستیابی به آن فرصت و انگیزه داشته است.
البته در پادویش نکات خاصی دیده شده که حتی در شرایط هک و لو رفتن پسورد تا حد امکان از اطلاعات محافظت میکند. اما همانطور که واضح است در چنین شرایطی تضمین بازگشت اطلاعات امکانپذیر نیست.
راهکار مقابله با این اتفاق چیست؟
بهترین کار پیشگیری است:
- برای دسترسی ریموت به سرور خود از VPN استفاده نمایید.
سروری که دسترسی ریموت RDP آن باز است (حتی اگر پورت را عوض کرده باشید) در واقع یک دعوتنامه برای هکرها و منشا دردسر است. هکرهای بسیاری مرتبا در حال اسکن اینترنت برای پورتهای باز ریموت و هک یا شکستن پسورد آن هستند. - پسوردهای قوی انتخاب کنید.
هکرها در حدس زدن پسورد بسیار ماهر و با حوصله هستند، چرا که از نرمافزار استفاده میکنند! در نتیجه پسوردهای خیلی کوتاه (کمتر از هشت کاراکتر)، پسوردهای تشکیل شده از کلمات کلیدی قابل حدس، پسوردهای بدون پیچیدگی و تنوع و ... همه پاشنه آشیل شما خواهند بود. - حتما روی ضدباجگیر خود پسورد بگذارید.
پسورد مانع حذف یا غیرفعال کردن ضدباجگیر میشود و مانع مهمی در برابر هکر است. - از فعال بودن همه لایههای محافظتی ضدباجگیر مطمئن شوید.
دادهبان و محافظت اطلاعات و سایر لایهها همگی فعال بوده و بکاپها به روز باشند. - سیستم را به روز نگهدارید.
به روز بودن سیستم مانع این میشود که هکرها بتوانند از روشهای دور زدن و اکسپلویت سیستم را آلوده کنند. - دیوارهای دژ خود را بلند بسازید
به یاد داشته باشید که این هکرها معمولا به دنبال لقمههای ساده و فراوان هستند. بنابراین اگر کمی امنیت خود را بالا ببرید، هکر به جای تلف کردن وقت خود برای شما به سراغ قربانیهای سادهتر خواهد رفت. - تست نفوذ و مشاوره امنیت بگیرید
تا مطمئن شوید که دژ امنیت شما دارای سوراخ و راه پشتی نیست ...
اگر یکی از سرورهای شما هک شده باشد، دیگر صرف گذاشتن پسورد و راهانداختن VPN مشکل شما را حل نمیکند!
- توجه داشته باشید که هکر ممکن است انواع دربهای پشتی را در سیستم شما ایجاد کرده باشد.
- اولین کار بررسی لاگها به دو منظور است: نخست، مشخص کردن شیوه نفوذ هکر که منجر به بستن راه ورود و جلوگیری از تکرار موضوع میشود. و دوم یافتن میزان آسیب و نفوذ که منجر به یافتن دربهای پشتی و اطمینان از آلوده نبودن سیستمها میشود.
- کدام سرورها هک شدهاند؟ از چه زمانی هک اتفاق افتاده؟ پسورد کدام اکانتها لو رفته است؟ کدامیک از تجهیزات تغییر تنظیمات داشتهاند؟ ...
- در صورت امکان بهترین کار نصب مجدد ویندوزها از ابتدا، اسکن کامل ضدویروس روی دادهه، و البته تغییر پسورد تمام اکانتها است. از آنجا که این کار معمولا بسیار دشوار است، مشخص کردن ابعاد آلودگی به کاهش هزینهها و صرف کردن توجه در محلهای مناسب کمک میکند.
- بررسی و تست نفوذ شبکه و مشاوره جهت بهبود امنیت شبکه نیز یکی از مهمترین اقداماتی است که اگر تا کنون انجام نشده، الآن زمان خوبی برای آن است. چرا که امنیت به صرف پسورد خوب و تقسیمبندی شبکه محدود نمیشود و باید با یک نگاه جامع به همه داشتههای با ارزش سازمان و سرویسها و خدمات آن انجام بگیرد.
Re: حمله باج افزار با وجود نصب پادویش
سلام چ قشنگ توضیح میدی شما اقای نفیسی! لذت بردم از خوندن!
منم یه سری چیزا پیشنهاد بدم بر اساس سواد کم خودم و تجربه شخصیم:
1- اگه پول داری ی روتر ایسوز بخر حدود 1 میلیون میشه!ولی ارزشش رو داره.سرورت بنداز پشت این روتر! من پیشنهادم این مدله Asus RT-AC86U بگردی پیدا میشه تو ایران ! ایسوز روتراش ارزون تر از بقیه هست و شدیدا هم امنه. روش ی فریموار Asuswrt-Merlin اگه مثل منی زیاد دانش شبکت قوی نیست نصب کن! اگه خیلی شبکه میدونی و حوصلت زیاده pfSense نصب کن روش!
2- ی انتی ویروس خوب نصب کن رو سیستمت حتما!مثلا کسپر اسکای! از نرم افزار کرک شده استفاده نکن روسرورت سعی کنی ی جایگزین رایگان واسش پیدا کنی! اگه بگردی همیشه هست.فقط باید وقت بزاری
یاد بگیر چ طوری انتی ویروست رو روی سرور کانفیگ کنی و سعی کن نحوه کار و حداکثر کردن قدرت انتی ویروس رو یادبگیری! وقت ک بزاری قشنگ یادمیگیری!
3-حتما حتما از گروپ پلیسی استفاده کن تو ویندوز سرور! مایکروسافت گروپ پلیسی رو اون جا گذاشته ک واسه این مواقع به دردت بخوره! اگه ک بلدی میتونی از Software Restriction Policies هم استفاده کنی! واسه حداکثر کردن امنیت سرورت!اگه بلد نیسی خب وقت یاد گرفتنه دیگه کی میخوای یادبگیری پس : دی
4- سعی کن از ااکانت استاندارد استفاده کنی اگه واست مقدروه نه اکانت ادمین! ب خاطر اینکه اکانت ادمین خیلی دسترسیش زیاده!
5-سرویسا و هر چی متعلق به ریموت هست رو هم ببند اگه بهش نیاز نداری !
6- حداقل رمزهای عبورت 16 رقمی باشند! زیر 16 رقم ریسکیه!داخلش از حروف کوچیک بزرگ و نشانه و فاصله(اگه ساپورت میکنه) استفاده کن! والا راحت هک میشه
7-اگه پول داری یه وی پی ان خوب بخر وی پی انت حتما Multihop VPN باشه! واسه حداکثر امنیت و حفاظت حریم شخصیت!
8-سعی کن کلا از ویندوز فاصله بگیری! اگه ک سرور داری لینوکس نصب کن توزیع های لینکوس خیلی خیلی امن تر از ویندوزن به صورت پیشفرض بدون نیاز به نصب هیچ چیزی! البته اگه ویندوزت رو درس کانفیگ کنی و به درستی امنش کنی ویندوز هم بسیار خوبه! ولی خیلی تلاش و تقلا میخواد!و هیمطنور دانش
9- همیشه همیشه ویندوزت تمیز کاری کن! با نرم افزار های مخصوص اینکار مثلا wise disk cleaner ساده ترینش! خیلی از این بد افزارها و مشکلات مربوط ب راحتی با پاک کردن تمپ و ...پاک میشن یا غیر فعال میشن.
10-واسه بایوست رمز بزار!
11- حتما همونطور ک قبلا هم میکنی اینکارو بک اپ بگیر از طلاعاتت! حتما حتما رو ی هارد اکتسرنال باشه این بک اپ ها نه داخل ویندوزت! اگه واست مقدوره سه تا بک اپ بگیر!مثلا: یکی رو هارد یکی رو ویندوز یکی هم تو کلود ابری انلاین!
12- یه یو تی ام استفاده کن! رایگانش هست سوپوس یو تی ام! یا سوپس XG fireWall ! خیلی مفیدو به درد بخوره ids و سیستم تشخیص نفوذ داره! همین طور ips البته نیاز به یادگیری داره و استفاده ازش واسباب بازی نیست.
13- حتما حتما ویندوزت اپدیت بکن. همیشه اپدیت باشه حداکثر یه هفته بعد از اینکه مایکروسافت ارائه داد اپدیت رو بگیر!
14- و اخریش ک خیلی هم مهمه ی ادمی ک توسعه دهنده ی نرم افزار امنیتی اینو به من گفت:
The less software you have the more secure you are!
یعنی ک هر چی شما نرم افزار های نصب شدت کمتر باشه امنیتت بیشتره!همیشه سعی کن تا میتونی نرم افزار کمتر نصب کنی رو سرورت!
و خیلی چیزای دیگه اگه بگری خودت خیلی چیزا میتونی پیدا کنی.فقط وقت باید بزاری یکم هم انگلیسی نیازشه همین. بعضی راه حلام ک خیلی گرون و هزینه بره!یا خیلی دانش میخواد.
البته اینا مال قبل از ایدزه! الان شما ایدز گرفته ویندوزت! دیگه این چیزا فایده نداره موش اومده تو خونت باید بکشی موش رو! ولی سری بعد وقتی مشکل حل شد( ویندوزات پاک کردی از اول نصب کردی بایوست ریست دادی! mbr روریست دادی و...) اینکارارو بکن.
شمااگه اینکارارو بکنی من بعید میدونم جز جاهای خاصی کسیی بتونه ب راحتی سرورت هک بکنه!اون جاهای خاصم به زحمت میفتن اگه بخوان اینکارو بکنن! یادتم باشه هیچ نرم افزار سخت افزاری وجود نداره ک شمارو از حماقت خودت نجاتت بده!
فکر کردن قبل از هر کلیکی+دانش کافی در مورد ویندوز=بهترین انتی ویروس و حفاظت در مقابل هر باجگیر و بدافزار و هکی!!
اینا چیزایی هست ک با کمترین پول و هزینه میتونی به دس بیاری اما زمینه اش اینه دانشت رو زیاد بکنی.الان همین چزایی ک من گفتم خودم خیلی وقت واسش گذاشتم تا یادبگیرم!
اقای نفیسی ببخشید واسه کامنت من:P
منم یه سری چیزا پیشنهاد بدم بر اساس سواد کم خودم و تجربه شخصیم:
1- اگه پول داری ی روتر ایسوز بخر حدود 1 میلیون میشه!ولی ارزشش رو داره.سرورت بنداز پشت این روتر! من پیشنهادم این مدله Asus RT-AC86U بگردی پیدا میشه تو ایران ! ایسوز روتراش ارزون تر از بقیه هست و شدیدا هم امنه. روش ی فریموار Asuswrt-Merlin اگه مثل منی زیاد دانش شبکت قوی نیست نصب کن! اگه خیلی شبکه میدونی و حوصلت زیاده pfSense نصب کن روش!
2- ی انتی ویروس خوب نصب کن رو سیستمت حتما!مثلا کسپر اسکای! از نرم افزار کرک شده استفاده نکن روسرورت سعی کنی ی جایگزین رایگان واسش پیدا کنی! اگه بگردی همیشه هست.فقط باید وقت بزاری
یاد بگیر چ طوری انتی ویروست رو روی سرور کانفیگ کنی و سعی کن نحوه کار و حداکثر کردن قدرت انتی ویروس رو یادبگیری! وقت ک بزاری قشنگ یادمیگیری!
3-حتما حتما از گروپ پلیسی استفاده کن تو ویندوز سرور! مایکروسافت گروپ پلیسی رو اون جا گذاشته ک واسه این مواقع به دردت بخوره! اگه ک بلدی میتونی از Software Restriction Policies هم استفاده کنی! واسه حداکثر کردن امنیت سرورت!اگه بلد نیسی خب وقت یاد گرفتنه دیگه کی میخوای یادبگیری پس : دی
4- سعی کن از ااکانت استاندارد استفاده کنی اگه واست مقدروه نه اکانت ادمین! ب خاطر اینکه اکانت ادمین خیلی دسترسیش زیاده!
5-سرویسا و هر چی متعلق به ریموت هست رو هم ببند اگه بهش نیاز نداری !
6- حداقل رمزهای عبورت 16 رقمی باشند! زیر 16 رقم ریسکیه!داخلش از حروف کوچیک بزرگ و نشانه و فاصله(اگه ساپورت میکنه) استفاده کن! والا راحت هک میشه
7-اگه پول داری یه وی پی ان خوب بخر وی پی انت حتما Multihop VPN باشه! واسه حداکثر امنیت و حفاظت حریم شخصیت!
8-سعی کن کلا از ویندوز فاصله بگیری! اگه ک سرور داری لینوکس نصب کن توزیع های لینکوس خیلی خیلی امن تر از ویندوزن به صورت پیشفرض بدون نیاز به نصب هیچ چیزی! البته اگه ویندوزت رو درس کانفیگ کنی و به درستی امنش کنی ویندوز هم بسیار خوبه! ولی خیلی تلاش و تقلا میخواد!و هیمطنور دانش
9- همیشه همیشه ویندوزت تمیز کاری کن! با نرم افزار های مخصوص اینکار مثلا wise disk cleaner ساده ترینش! خیلی از این بد افزارها و مشکلات مربوط ب راحتی با پاک کردن تمپ و ...پاک میشن یا غیر فعال میشن.
10-واسه بایوست رمز بزار!
11- حتما همونطور ک قبلا هم میکنی اینکارو بک اپ بگیر از طلاعاتت! حتما حتما رو ی هارد اکتسرنال باشه این بک اپ ها نه داخل ویندوزت! اگه واست مقدوره سه تا بک اپ بگیر!مثلا: یکی رو هارد یکی رو ویندوز یکی هم تو کلود ابری انلاین!
12- یه یو تی ام استفاده کن! رایگانش هست سوپوس یو تی ام! یا سوپس XG fireWall ! خیلی مفیدو به درد بخوره ids و سیستم تشخیص نفوذ داره! همین طور ips البته نیاز به یادگیری داره و استفاده ازش واسباب بازی نیست.
13- حتما حتما ویندوزت اپدیت بکن. همیشه اپدیت باشه حداکثر یه هفته بعد از اینکه مایکروسافت ارائه داد اپدیت رو بگیر!
14- و اخریش ک خیلی هم مهمه ی ادمی ک توسعه دهنده ی نرم افزار امنیتی اینو به من گفت:
The less software you have the more secure you are!
یعنی ک هر چی شما نرم افزار های نصب شدت کمتر باشه امنیتت بیشتره!همیشه سعی کن تا میتونی نرم افزار کمتر نصب کنی رو سرورت!
و خیلی چیزای دیگه اگه بگری خودت خیلی چیزا میتونی پیدا کنی.فقط وقت باید بزاری یکم هم انگلیسی نیازشه همین. بعضی راه حلام ک خیلی گرون و هزینه بره!یا خیلی دانش میخواد.
البته اینا مال قبل از ایدزه! الان شما ایدز گرفته ویندوزت! دیگه این چیزا فایده نداره موش اومده تو خونت باید بکشی موش رو! ولی سری بعد وقتی مشکل حل شد( ویندوزات پاک کردی از اول نصب کردی بایوست ریست دادی! mbr روریست دادی و...) اینکارارو بکن.
شمااگه اینکارارو بکنی من بعید میدونم جز جاهای خاصی کسیی بتونه ب راحتی سرورت هک بکنه!اون جاهای خاصم به زحمت میفتن اگه بخوان اینکارو بکنن! یادتم باشه هیچ نرم افزار سخت افزاری وجود نداره ک شمارو از حماقت خودت نجاتت بده!
فکر کردن قبل از هر کلیکی+دانش کافی در مورد ویندوز=بهترین انتی ویروس و حفاظت در مقابل هر باجگیر و بدافزار و هکی!!
اینا چیزایی هست ک با کمترین پول و هزینه میتونی به دس بیاری اما زمینه اش اینه دانشت رو زیاد بکنی.الان همین چزایی ک من گفتم خودم خیلی وقت واسش گذاشتم تا یادبگیرم!
اقای نفیسی ببخشید واسه کامنت من:P