اطلاعیه مرکز ماهر

۲۳ مهر ۱۳۹۹ | ۱۴:۲۴ کد : ۱۲۵۸۲ اخبار اسلایدی
تعداد بازدید:۸۰۲

« پیرو برخی اخبار و شایعات منتشره اخیر لازم به ذکر است که
1. رخداد حمله مهم سایبری صرفا مربوط به دو سازمان دولتی بوده که مراجع مسوول در حال رسیدگی به موضوع هستند و مرکز ماهر نیز به عنوان پشتیبان آماده کمکها و امدادهای احتمالی مورد نیاز است.
2. بر اساس برخی تحلیلها و براوردهای فنی، هشدارهای پیشگیرانه برای مسوولین و کارشناسان دولتی در سطح ملی صادر شد که به هیچ وجه به معنای وجود حمله نبوده است.
3. برخی دستگاههای دولتی بر اساس برداشت یا تحلیل خود پس از دریافت هشدارها اقدام به قطع موقت برخی خدمات و انجام تستهای فنی کردند که به دلیل احتیاط صورت گرفته است. اگر چه از نظر مرکز ماهر این اقدام ضرورتی نداشت.
4. علیرغم شایعات مطرح شده در فضای مجازی و برخی رسانه ها، شواهدی از حمله گسترده به دستگاه های متعدد دولتی تا این لحظه مشاهده نشده است.


لازم به ذکر است که بخش مهمی از این فعالیت و فعالیتهای مشابه با همکاری تنگاتنگ مراکز آپا سطح کشور انجام میشود که قابل تقدیر و برای مرکز ماهر بسیار کلیدی است. لذا علیرغم وجود برخی تنگناهای بودجه ای که برای این مراکز ارزشمند بوجود آمده است حمایتها و همکاری های مرکز ماهر وزارت ارتباطات با مراکز آپا همچنان استمرار دارد و هرگونه قطع همکاری با مراکز فوق قویا تکذیب میشود. در انتها مرکز ماهر از هرگونه انتقاد و پیشنهاد کارشناسان جهت بهبود و ارتقاء عملکرد خود استقبال می کند.»

 

توصیه ای برای کارشناسان فناوری اطلاعات

روی Domain Controllerها ویژگی System Lock Down در Endpoint Protection فعال شود تا هیچ فایل اجرایی جدیدی روی DCها اجازه اجرا نداشته باشد. متاسفانه اطلاعات فنی هنوز کامل نمی باشد. باید منتظر ماند تا سازمان های مربوطه شفاف سازی بیشتری کنن.
سرورهایی که نیاز به دامین ندارند نباید عضو بشوند.

حتی روی esx هم کاربران ادمین رو کاربران دامین نذارید، ادمین ها و کسانی که دسترسی بالاتر دارن کاملا لوکال ویسنتر باشند.

محض احتیاط هم سرورهای بک آپ رو جوین در دامین نباشند.

این حمله صرفا روی esxi نبوده و بر روی آسیب پذیری اکتیو دایرکتوری که ۱۱ اگوست خود nsa هم منتشر کرد انجام گرفته . متاسفانه امروز دیدیم در مهمترین مراکز ترابری کشور این اتفاق افتاده . فرد مهاجم از طریق این آسیب پذیری به دامین ادمین دسترسی پیدا میکند سپس با اجرای فورس پالیسی به کاربران و سرورهای تحت دامنه دسترسی پیدا کرده . همچنین سرویس های تحت شعاع سرویس های دامنه مثل شیرپوینت و اکسچنج . سپس اقدام به تخریب کامپیوترها و پاکسازی میکند . ما مشکل esxi نداشتیم اما اسکریپت های فراوان براحتی روی سرور اصلی دامنه قابل مشاهده است . البته مهاجم خیلی تمیز رد پاهاش رو پاک میکنه . از ابزار یه ابزار فانلینگ که تو گیت هاب هست برای جا به جایی اطلاعات هم استفاده میکنه . برنامه رو همنام سرویس های معمولی روی سرور جا می زند اما در بکگراند کاملا پاور شل اجرا میشه .  
 

کلید واژه ها: حمله سایبری باج افزار مرکز ماهر


( ۱ )

نظر شما :