Ressis Logo -white

دسته بندی مطالب

> امنیت

> آموزش

> ویدئوها

> ذخیره سازی اطلاعات

> سیسکو و تجهیزات رادیویی

نظرات اخیر

شرکت رسیس در بحث امنیت شبکه ، امنیت سایبری پیشگام هست و در بخش پشتیبانی فنی و تولید محتوای مرتبط با تجهیزات شبکه واقعا عالی هستن
علی ناصری
علی ناصریمدیر فروش
محتوای خیلی خوبی در بخش امنیت شبکه و محتوای ویدئویی از سایت شما دیدم ، ممنون از این اطلاعات تخصصی که در اخیارمون گذاشتید
محمد قربانی
محمد قربانی
دستگاه فایروال فورتی گیت از شما تهیه کردم اطلاعات خوبی هم از بخش بلاگتون به دست آوردم ، ممنون رسیس
محمد علی زاهدی
محمد علی زاهدی
محتوای خیلی خوبی در بخش امنیت شبکه و محتوای ویدئویی از سایت شما دیدم ، ممنون از این اطلاعات تخصصی که در اخیارمون گذاشتید
محمد قربانی
محمد قربانی
قبلی
بعدی

    مروری بر آنچه که از هک SolarWinds آموختیم

    اخیراً گزارش شد که مهاجمان دولتی موفق به نفوذ به شبکه تعداد بی‌شماری از مؤسسات دولتی آمریکا شدند. این کار با توزیع یک بدافزار Backdoor به نام SunBurst در آپدیت نرم‌افزار Orion IT شرکت SolarWind انجام شد. طبق اطلاعات شرکت SolarWind، 33 هزار سازمان از نرم‌افزار Orion استفاده می‌کنند که 18 هزار مورد از آنها تحت تأثیر این آپدیت مخرب قرار گرفته‌اند. با انتشار جزئیات بیشتر درباره این حادثه، مشخص می‌شود که این حمله یکی از بزرگترین و مهم ترین حمله‌های سایبری تاریخ تا به امروز محسوب می‌شود.
    تیم‌های تحقیقاتی FortiGuard Labs در هفته اخیر بی وقفه در حال تلاش برای مشخص کردن جزئیات بیشتری درباره این حمله بودند تا به بهترین شکل ممکن از مشتریان این شرکت حفاظت کنند. در این مطلب اطلاعاتی که درباره این حمله به دست آمده، مکانیزم‌های حفاظتی موجود در محصولات شرکت فورتینت و راهکارهای پیشگیرانه پیاده سازی شده در پلتفرم FortiEDR جهت حفاظت از مشتریان این شرکت مورد بررسی قرار می‌گیرد.

    مروری بر کمپین SunBurst

    جهت کمک به درک و آشنایی بیشتر با این حمله کلیات کارهای انجام شده توسط بدافزار SunBurst و مهاجمان پس از نفوذ اولیه، مرور می‌شود.
    پس از نفوذ موفقیت آمیز به زنجیره تأمین دیجیتال، بدافزار SunBurst – فایلی به اسم SolarWinds.Orion.Core.BusinessLayer.dll – به سیستم توزیع نرم‌افزار تزریق شده و به عنوان بخشی از پکیج آپدیت از سمت شرکت اصلی نصب می‌شود. این بدافزار پس از دانلود، 12 تا 14 روز مخفی می‌ماند و بعد شروع به اقدام می‌کند. پس از به پایان رسیدن دوره انتظار، بدافزار اطمینان حاصل می‌کند که در یکی از محیط‌های مورد نظر مهاجمان اجرا می‌شوند نه یک سازمان کم ارزش تر یا سندباکس و سایر محیط‌های تحلیل بدافزار. ظاهراً مهاجم سعی داشته تا حد امکان از شناسایی این بدافزار در صنعت امنیت سایبری پیشگیری کند.

    مراحل کلی اقدامات این بدافزار:

    • اعتبارسنجی نام دامنه ماشین. نام دامنه ماشین مورد نفوذ بررسی می‌شود تا تضمین شود که:
    o حاوی stringهای خاصی نباشد.
    o دامنه SolarWinds نباشد.
    o حاوی string test نباشد.
    • بررسی می‌شود تا هیچ ابزار تحلیلی مثل WireShark در حال اجرا نباشد.
    • بررسی می‌شود که هیچ نرم‌افزار امنیتی ناخواسته‌ای در حال اجرا نباشد.
    پس از انجام همه این اعتبارسنجی‌ها، بدافزار با مهاجمان تماس می‌گیرد تا سازمان مورد نفوذ شناسایی شود. نکته: از آنجایی که بیشتر سازمان‌هایی که این بدافزار به آنها رخنه کرده، جزء اهداف اصلی مهاجم نبودند، در بیشتر سازمان‌ها حمله در همین مرحله متوقف می‌شود.
    نام دامنه C2 شامل یک پیشوند است که بر اساس داده‌های به دست آمده از روی سیستم مربوطه تولید می‌شود. یک نمونه از این نام دامنه را در شکل 1 مشاهده می‌کنید:

    what we have learned photo

    شکل 1: نمونه‌ای از نام دامنه تولید شده توسط SunBurst

     

    در مرحله بعد، مهاجمان از یک payload بارگذاری شده در حافظه به اسم TEARDROP برای انتقال payload دیگری به اسم CobaltStrike BEACON و چند payload دیگر استفاده می‌کنند. CobaltStrike یک جعبه ابزار تست نفوذ تجاری مجهز است که به نام “نرم‌افزار شبیه سازی متخاصمان” تبلیغ می‌شود اما در حملات سایبری هم کاربرد زیادی دارد. تا امروز، FortiEDR بارها موفق به شناسایی و مسدود کردن CobaltStrike به شکل بلادرنگ شده است از جمله همین بار.

     

    مقاله پیشگیرانه با کمپین SunBurst

    به محض شناسایی نشانه‌های نفوذ یا سایر علائم خطری که حین تحقیق و بررسی شناسایی می‌شوند، FortiGuard Labs و سایر تیم‌های این شرکت تمامی داده‌های Sunburst را تحلیل کرده و سپس یک استراتژی پیشگیرانه برای مقابله با این حمله و کمک به سازمان‌ها جهت درک پیامدهای آن طراحی کرد.
    همانطور که اشاره شد، بیشتر سازمان‌ها هدف اصلی این حمله نبودند در نتیجه وجود فایل‌های مخرب DLL لزوماً به معنای ایجاد آسیب در سیستم‌های این سازمان‌ها نیست.

    کارهای انجام گرفته توسط فورتینت برای حفاظت از مشتریان این شرکت:

    1. همه نشانه‌های نفوذ و علائم پس از حمله به سیستم هوش کلود و دیتابیس‌های مشخصات بدافزارها در این شرکت ارسال شدند تا راهکارهای امنیتی شرکت فورتینت از جمله FortiGate، FortiSIEM، FortiSandbox، FortiEDR، FortiAnalyzer و FortiClient قادر به شناسایی آنها باشند. در صورت شناسایی علائم نفوذ جدید، این علائم هم بلافاصله به دیتابیس‌های فورتینت اضافه خواهند شد.
    2. برای بازسازی حمله و به دست آوردن اطلاعات بیشتر درباره این حمله، تیم‌های تحقیق و اطلاعاتی FortiGuard Labs شروع به شکار علائم بیشتر بر اساس داده‌هایی کردند که در ابتدا افشا شده بود. در راستای این تلاش فورتینت موفق به شناسایی و تحلیل نوع جدیدی از TEARDROP شد. در شکل 2 این نوع از TEARDROP و هدر jpeg و روتین unpacking اصلی آن را مشاهده می‌کنید:

    what we have learned photo2

     شکل 2: TEARDROP زیر ذره بین محققان

    3. دیتالیک کلود FortiEDR به صورت پیشگیرانه بررسی شد تا هر گونه علامت خطر ناشی از رخنه به سیستم‌های مشتریان این شرکت شناسایی شود. سپس به مشتریانی که احتمال می‌رفت تحت نفوذ قرار گرفته باشند، اطلاع رسانی شد.
    4. تیم‌های تحقیقاتی MDR و FortiEDR شرکت فورتینت هم ابزارهایی طراحی کردند که به سازمان‌ها برای درک محدوده رخنه در اثر این حمله زنجیره تأمین کمک می‌کند. این ابزارها در صورت درخواست مشتریان فورتینت در اختیار آنها قرار می‌گیرند. همانطور که قبل از این اشاره شد بیشتر مشتریان فورتینت هدف اصلی این رخنه نبودند و درک محدوده رخنه برای تعیین گام‌های لازم جهت پیگیری ضروری است.

     

    بیشتر بخوانید : همکاری فورتی نت با ارایه دهندگان خدمات شبکه 

    تشخیص CobaltStrike و TEARDROP

    علاوه بر تشخیص بر اساس علائم نفوذ، تحلیل‌های فورتینت نشان داد که پلتفرم FortiEDR از همان ابتدا و بدون داشتن هر گونه اطلاعات قبلی درباره این تهدید – با استفاده از تکنولوژی رهگیری کد در حافظه – قادر به حفاظت از سیستم‌ها در برابر CobaltStrike و TEARDROP بوده و هست. بارها مشخص شده که FortiEDR قادر به مسدود کردن CobaltStrike به شکل بلادرنگ و در رویدادهای زنده است. نمونه‌ای از چنین تشخیصی را در شکل 3 مشاهده می‌کنید:

    what we have learned photo3

    شکل 3: تشخیص واقعی Cobalt-Strike توسط FortiEDR

    خلاصه و توصیه‌ها

    1. حفاظت از نقاط پایانی شبکه: مشتریان Fortinet و کاربران SolarWinds Orion 2019.4 تا نسخه 2020.2.1
    a. FortiClient، FortiEDR و FortiGate همگی قادر به تشخیص و مسدود کردن این فایل‌های مخرب هستند.
    b. همه نسخه‌های پشتیبانی شده‌ی FortiEDR قادر به تشخیص و حفاظت در برابر پیامدهای پس از اجرای این حمله هستند. هیچ تغییر یا آپگریدی برای این پلتفرم نیاز نیست.
    i. حتماً سیاست‌های پس از اجرا را روی حالت مسدود سازی (blocking) قرار دهید. به این ترتیب قادر به مسدود کردن رفتارهای مخرب حتی در صورت نفوذ به سیستم از طریق یک منبع قابل اطمینان مثل این حمله زنجیره تأمین خواهید بود.
    ii. سیاست‌های از پیش تنظیم شده‌ای را تعریف کنید که امکان انجام اقدام مناسب در صورت بروز فعالیت‌های مخرب یا مشکوک را فراهم کنند. در این حالت، این اقدامات باعث حذف فایل‌های DLL مخرب می‌شود.
    c. اگر در هنگام حمله عضو سرویس MDR بودید یا در حالت حفاظت (protection) نبودید، لطفاً برای کمک گرفتن جهت شکار تهدید پیشگیرانه با تیم MDR تماس بگیرید.
    2. حفاظت از نقاط پایانی: برای شرکت‌هایی که مشتری فورتینت نیستند و از SolarWinds Orion 2019.4 تا 2020.2.1 استفاده می‌کنند.
    a. جرم شناسی دیجیتال را انجام دهید تا وجود فایل‌های مخرب بر اساس علائم نفوذ منتشر شده (هش‌های SHA-1) بررسی شود:

    d130bd75645c2433f88ac03e73395fba172ef676
    76640508b1e7759e548771a5359eaed353bf1eec
    2f1a5a7411d015d01aaee4535835400191645023
    395da6d4f3c890295f7584132ea73d759bd9d094
    1acf3108bf1e376c8848fbb25dc87424f2c2a39c
    e257236206e99f5a5c62035c9c59c57206728b28
    6fdd82b7ca1c1f0ec67c05b36d14c9517065353b
    bcb5a4dcbc60d26a5f619518f2cfc1b4bb4e4387
    16505d0b929d80ad1680f993c02954cfd3772207
    d8938528d68aabe1e31df485eb3f75c8a925b5d9
    c8b7f28230ea8fbf441c64fdd3feeba88607069e
    2841391dfbffa02341333dd34f5298071730366a
    2546b0e82aecfe987c318c7ad1d00f9fa11cd305
    e2152737bed988c0939c900037890d1244d9a30e

     

    b. حافظه را برای شناسایی علائم نفوذ TEARDROP یا COBALT STRIKE بررسی کنید. امضاهای مربوط به این بدافزارها در این لینک موجود هستند.
    c. فایل‌های مخرب نصب شده روی سیستم را بر اساس زمانبندی آلودگی‌های اولیه در سازمان مشخص کنید. یکی از علائم نفوذ بالقوه، وجود این فایل DLL مخرب است:
    c:\Windows\SysWOW64\netsetupsvc.dll file.
    d. در صورت شناسایی هر یک از علائم نفوذ، همه سیستم‌ها – و حساب‌های کاربری در آن سیستم‌ها – را آلوده در نظر بگیرید. همه حساب‌های کاربری را منسوخ کرده و دستگاه‌ها را برای بررسی‌های بعدی ایزوله کنید.

    روش‌های توصیه شده

    این رویداد نیاز به پیروی از روش‌ها و اصول توصیه شده برای حفاظت از سیستم‌ها و نرم‌افزارها را نشان می‌دهد. در ادامه همه روش‌های توصیه شده‌ای را که هر سازمانی باید از آنها پیروی کند، مشاهده می‌کنید:
    • همه پچ‌ها و آپدیت‌های جدید باید در یک محیط سندباکس یا ابزار تحلیلی مناسب اجرا شده و بعد برای شناسایی حملات زنجیره تأمین و بدافزارها نصب شوند. در این حالت، FortiSandbox فایل‌های DLL را مخرب شناسایی کرده و پیش از اینکه بر شبکه تأثیری ایجاد کنند، آنها را حذف می‌کند.
    • در حال حاضر نصب فناوری تشخیص و واکنش پیشرفته برای نقاط پایانی شبکه ضروری است. نصب FortiEDR بر روی نقاط پایانی و سرورها می‌توانست مانع از وقوع حملاتی مثل CobaltStrike و TEARDROP شود.
    • تقسیم بندی شبکه یکی دیگر از استراتژی‌های امنیتی مهم برای حفاظت از شبکه‌های امروزی است. نصب سیستم تفکیک فایروال به عنوان بخشی از استراتژی اعتماد صفر، مثل پلتفرم FortiGate مانع از گسترش بدافزار در شبکه می‌شود.

    مطالب مرتبط

    Group-ressis-footer

    دفتر تهران

     

    سعادت آباد ،بلوار پاکنژاد ،آسمان ۴ شرقی ،پلاک۹ ،طبقه۲

     

    تلفن : ۵۴۷۱۴-۰۲۱

     

     

     

    دفتر کرج

     

    کرج، گوهردشت، فلکه اول، برج نیکامال، طبقه 8

     

    تلفن : ۸-۳۴۲۵۶۰۵۶-۰۲۶

     

    go-up

    Follow us in social network