ریموت دسکتاپ، اسیب پذیر ترین پروتکل مورد حمله برای باج افزارها
پروتکل Remote Desktp که با شماره پورت 3389 از عمده موارد دسترسی به منابع شبکه چه از راه دور و چه در داخل شبکه می باشد هدف عمده تمامی باج افزار ها می باشد. باج افزار ها و یا Ransom Malware ها پیش تر عمدتا از بستر اینترنت و ایمیل ها و یا سایت هایی که نوام با PoP Up همراه بودند در سازمان ها و شبکه ها نفوذ کرده و فرایند رمز گذاری بر روی تمامی داده ها و دیتا بیس ها را انجام میدادند.
اما اخیرا این نوع حملات باج گیری به سازمان ها از طریق پورت های باز و پروتکل های پر مصفر هم صورت می پذیرد. ارتباط تنگا تگ بین Ransomeware و پروتکل ریموت دسکتاپ براین شده تا بتوان تمهیدات امنیتی بیشتری را برای این نوع سطوح دسترسی به منابع شبکه لحاظ نمود.
چگونه شبکه سازمانی را در مقابل حملات Ransomware ها ایمن کنیم؟
از موارد مهمی که می تواند برای امن نگه داشتن پروتکل Remote Desktop در مقابل حملات مخرب Ransomware و باج افزار ها در نظر گرفت تغیر port Number ، بستن دسترسی ریموت بر روی سیستم های غیر ضروری، DMZ Remote Desktop Server، App Privilage Remote Desktop Connection و ... می باشد.
معروف ترین پسوند های Ransomware و روش های مقابله با انها
اما از معروف ترین نوع رنسام ویر ها که اخیرا از طریق پورت 3389 به شبکه ها نفوذ می کنند و در ایران بیسار شاهد آن هستیم باج افزار هایی ب ا پسوند ها Wallet، Asiris، DHADMA و ... میباشد.
یک تجربه پیش امده از اسیب Ransomware به Remote Setting و راهکار مقابله با ان
به طور مثال وقتی این دسته از باج افزار ها زمانی که به شبکه حمله می کنند علاوه بر نابودی کامل داده ها و دیتا بیس ها و تمامی اطلاعات Group Policy و تمامی Share & Permission ها اختلالات عمده ای بر روی Remote Setting هر سیستم به وجود می اورند به طوریکه تنظیمات Remote Setting به صورت کلی Dissable و به Gray در می آید و قابلیت هیچ گونه تغیری بر روی سیستم در بخش Remote Setting نمی باشد و دیگر نمی توان به ان سیستم ریموت زد. البته غالبا این بلا فقط بر سر سرور ها می آید که به Enable بودن ریموت دسکتاپ انها در شبکه نیاز مبرم می باشد تا مدیران شبکه بتوانند به راحتی به آنها از راه دور دسترسی داشته باشند.ال راه حل کلی برای فعال سازی مجدد ریموت دسکتاپ و خارج کردن ان از حالت Gray چیست؟
به صورت لوکالی بر روی همان سیستم که تنظیمات Remote Setting آن به حالت Gray تبدیل شده و نمی توان آنرا Enable Remote Desctop نمود. زیرا پس از آلودگی شبکه با Ransomeware تنظیمات بخش local Group Policy هر سیستم آلوده هم مختل می شود. در واقع که پس از آلودگی، policy مخصوص remote desktop به حالت Disable تغییر میکند.
پس برای حل این مشکل از مسیر زیر اقدام به تنظیمات مجدد Local Group Policy بپردازید:
1- RUN > GPEDIT.MSC
2- Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections
و در نهایت از مسیر بالا پالیسی allow users to connect remotely using remote desktop services را Enable کنید.
برای دریافت جدید ترین اخبار فناوری اطلاعات به کانال تلگرام گروه پال نت بپیوندید.
Channel: @palnetgroup