هشدارهای مایکروسافت درباره حملات BlueKeep

هشدارهای مایکروسافت درباره حملات BlueKeep

در چند هفته گذشته ممکن است هشدارهایی را در مورد یک اکسپلویت جدید به نام BlueKeep شنیده باشید. این اکسپلوبت جدید جانشین WannaCry محسوب می شود.

تیم تحقیقاتی ATP مایکروسافت می گوید که حملات BlueKeep کشف شده در تاریخ 2 نوامبر، از سپتامبر با یک برنامه استخراج سکه مرتبط است که از همان زیرساخت فرمان و کنترل (C2) استفاده می کند.

BlueKeep یک آسیب پذیری است که کدها را به صورت غیرمجاز و ریموت اجرا می کند و بر روی سرویس ریموت دسکتاپ ویندوز 7 و ویندوز سرور 2008 و ویندوز سرور 2008R2 تاثیر می گذارد که این آسیب پذیری توسط مایکروسافت در 14 ماه می پچ شد.

تیم تحقیقاتی Microsoft Defender ATP Research که این اطلاعات جدید را کشف کرده است، اصرار دارد که کاربران بلافاصله سیستم های ویندوز آسیب پذیر را در برابر حملات BlueKeep پچ کنند.

درحالیکه باج افزار یا دیگر خانواده های بدافزار به علاوه ی کوین ماینرها (Coin Miners) در طی حملات BlueKeep بر روی سیستمهای پچ نشده هنوز کاهش نیافته اند، مایکروسافت هشدار می دهد که در آینده حملات بیشتری به وجود خواهد آمد با بیان اینکه احتمالاً از Blue Keep برای کارهای موثرتر استفاده می شود و خسارتی بیش از کوین ماینرها می گذارد.

مایکروسافت در توئیت خود اعلام کرد که: درحالیکه ما فقط کوین ماینرها را دیدیم که مورد حمله قرار گرفته اند، ولی ما با جامعه محققان موافق هستیم که اکسپلویت CVE-2019-0708 می تواند بزرگ باشد. سرویس RDP را همین الان پچ کنید. مشتریان باید سیستمهای آسیب پذیر را بلافاصله شناسایی و به روز کنند.

پس از استخراج شاخص های خطرساز برای انواع مختلف سیگنال های هوشمند، محققان امنیتی مایکروسافت دریافتند که در یک کمپین کوین ماینینگ جدید در سپتامبر از یک ایمپلنت اصلی استفاده شده بود که زیرساخت فرمان و کنترلش مشابه چیزی بود که کمپین October BlueKeep Metasploit استفاده کرده بودند، که مایکروسافت می گوید در مواردی که اکسپلویت باعث کرش سیستم نشده بود هم نصب کوین ماینر مشاهده شده بود.

این نشان می دهد که همان مهاجمان مسئولیت هر دو کمپین کوین ماینینگ را بر عهده دارند. آنها به صورت فعال حملات کوین ماینر را انجام داده اند و در نهایت اکسپلویت BlueKeep را در زرادخانه خودشان گنجانیده اند.

محققان مایکروسافت همچنین تاکید کردند که این کمپین BlueKeep در سپتامبر از ماژول اکسپلویت منتشر شده برای آزمایش نفوذ Metasploit استفاده کردند، همانطور که مارکوس هاچینز محقق امنیتی نیز هنگام تجزیه و تحلیل لاگ های کرش که توسط محقق کوین بیومنت از EthernalPot RDP جمع آوری شده بودند، استفاده کرده بود.

کوین ماینرها در این کمپین توسط مایکروسافت در سیستمهایی از فرانسه، روسیه، ایتالیا، اسپانیا، اوکراین،آلمان و ایالات متحده و دیگر کشورها مشاهده شد که در حملات به دستگاه های هدفمند با سرویس RDP باز از طریق پورت اسکن کشف شده اند.

مهاجمان از سرویس RDP آسیب پذیر استفاده کردند و سپس چندین اسکریپت PowerShell مبهم را دانلود و اجرا کردند که کوین ماینر را به عنوان آخرین بارگذاری انجام داد و یک تسک برنامه ریزی شده ایجاد کردند.

مایکروسافت می افزاید: سایر کوین ماینرها در کمپین های قبلی که BlueKeep را اکسپلویت نکردند نیز به همین آدرس آیپی متصل شده اند.

درحالیکه ماژول Metasploit استفاده شده در این حملات همچنین باعث ایجاد کرش می شود، طبق گفته تیم تحقیقات امنیتی Redmond پیشرفت بعدی که این امر را موثرتر می کند بسیار محتمل است.

محققان می افزایند: حملات اکسپلویت جدید نشان می دهد که BlueKeep تا زمانیکه سیستمها پچ نشده باقی بمانند و وضعیت امنیتی کلی تحت کنترل قرار نگیرد، یک تهدید خواهد بود.

مایکروسافت یک گزارش تجزیه و تحلیل تهدید ارائه می دهد که می تواند توسط تیم های عملیات امنیتی با استفاده از Microsoft Defender Advanced Threat Protection در حالیکه BlueKeep را در سازمانهایشان بررسی می کنند، ایجاد شود.

پیشگیری و محافظت

برای محافظت در برابر باج افزاران، بسیار مهم است که عادات بد کامپیوتری کنار گذاشته شود و همچنین از یک آنتی ویروس امنیتی استفاده گردد. در وهله ی اول نیز میبایست یک بکاپ تست شده و قابل اتکا از اطلاعات خود داشته باشید که در موارد ضروری چون حملات باج افزار، بتوانید آن را restore نمایید. این بک آپ باید به صورت آفلاین ذخیره شود و برای باج افزار قابل دسترس نباشد.

همچنین به نکات و موارد امنیتی زیر نیز توجه فرمایید:

  • - بکاپ، بکاپ، بکاپ
     
  • - فایل های ضمیمه شده ی ناشناس در ایمیل یا هر درگاه ارتباطی را باز نکنید. همانطور که اکثر باج افزاران توسط اسپم گسترش می یابند، مهم است که تمام کاربران در مورد نحوه شناسایی اسپم های مخرب آموزش ببینند و هیچ فایل ضمیمه ای را بدون اینکه مطمئن شوند که چه کسی و چرا آن را فرستاده باز نکنند. علاوه بر این، اگر هر فایل ضمیمه ای از شما بخواهد که برای دیدن محتوا، ماکرو یا محتوایی را فعال کنید بلافاصله آن را ببندید و آن را در VirusTotal اسکن کنید و یا آن را با استفاده از آنتی ویروس هایی چون بیت دیفندر اسکن نمایید.
     
  • - از نصب تمامی به روز رسانی های ویندوز به محض عرضه ی آنان مطمئن شوید! همچنین از به روز رسانی تمامی نرم افزار های خود اطمینان حاصل فرمایید. به خصوص نرم افزار هایی چون جاوا، فلش و ادوب ریدر. برنامه های قدیمی حاوی نقص های امنیتی هستند که مرتبا توسط مهاجمین سو استفاده میشوند.
  •  
  • - از نصب نرم افزار های امنیتی و آنتی ویروس ها غافل نشوید. آنتی ویروس بیت دیفندر امکان مدیریت و محافظت کامل از شبکه و مجموعه ی شما را دارد. بیت دیفندر در دو زمینه ی بیت دیفندر سازمانی و بیت دیفندر خانگی آماده ی محافظت از مجموعه ی شماست. زمانی که بیت دیفندر را از نمایندگی بیت دیفندر خریداری نمایید از یکسال پشتیبانی بیت دیفندر توسط شرکت پانا فناور پارسیان بهره مند خواهید بود که با نیروی فنی متخصص توسط کمپانی بیت دیفندر به شما خدمات پشتیبانی خواهد داد. بیت دیفندر همچنین در تست معتبر لابراتوری مستقل av-comparatives.org نیز با شناسایی 100 درصد و شناسایی اشتباه صفر در فهرست برترین آنتی ویروس ها قرار دارد.
     
  • - از گذرواژه های سخت استفاده کنید. و از یک رمز عبور برای تمامی حساب های خود استفاده نکنید.
     
  • - اگر از سرویس های ریموت دسکتاپ استفاده میکنید از آن به صورت مستقیم به اینترنت استفاده نکنید و آن را در پشت فایروال قرار دهید و تنها از vpn استفاده کنید.

منبع: BleepingComputer.com