Articles
يستخدم برنامج الفدية الخبيث المعروف باسم WannaCry ثغرة في نظام مشاركة الملفات في أنظمة تشغيل Microsoft Windows تحمل الرقم MS17-010 (CVE-2017-0143,144,145,146,147,148). وعلى الرغم من أن انتشاره الأولي تم عبر البريد الإلكتروني، إلا أنه لا يقتصر على الانتشار العمودي من خلال البريد الإلكتروني للمرسل فقط، بل يمكنه الانتقال أفقيًا من نظام إلى آخر باستخدام بروتوكول SMB.
بدأ انتشاره يوم الجمعة 12 مايو 2017، مما أجبر باحثي الأمن السيبراني على العمل طوال عطلة نهاية الأسبوع، حيث يقوم البرنامج الخبيث بتشفير الملفات على الكمبيوتر ويطلب فدية لفك التشفير.
تم الإبلاغ أن الثغرة التي يستغلها هذا البرنامج الخبيث اكتُشفت أولاً في أرشيف الأسلحة السيبرانية التابع لوكالة الأمن القومي الأمريكية (NSA) تحت اسم Equation Group ETERNALBLUE، وتم كشفها من قبل مجموعة تدعى Shadow Brokers. وقد أصدرت Microsoft حزمة تحديث لمعالجة هذه الثغرة في مارس 2017.
عند تشغيل البرنامج الخبيث، فإنه يتبع الخطوات التالية:
– يتحقق من عنوان killswitch الذي يوقف الانتشار. إذا لم يتم تفعيل killswitch من قبل المرسل، يستمر في الانتشار.
– يحذف نسخ الظل ونقاط الاستعادة.
– يسجل نفسه بأسماء قد تبدو بريئة مثل tasksche.exe و mssecsvc.exe.
– يبحث في الأقراص ويحصل على صلاحية وصول كاملة إلى جميع الملفات.
– يشفر أكثر من 100 نوع من الملفات.
– يُشغّل شبكة Tor المجهولة ويتصل بالخادم المركزي (C&C).
– يعرض رسائل تحذيرية على الشاشة تفيد بأن الملفات مشفرة ويطلب فدية.
تم اتخاذ التدابير اللازمة ضد البرنامج الخبيث في وحدات مكافحة البرامج الضارة، ونظام منع التطفل، ووحدات تصفية الويب في منتجات Labris UTM.
نوصي بإجراء التدابير التالية لمواجهة البرامج الضارة في وحدات تكنولوجيا المعلومات حسب الترتيب التالي:
التدابير قصيرة المدى:
1- إذا أمكن، قم بإغلاق الوصول إلى بروتوكول SMB (TCP 139,445) بين أجهزة الكمبيوتر في الشبكة الداخلية. يمكن استخدام قوائم التحكم في الوصول (ACL) في الشبكات المركزية والمحولات لهذا الغرض. تذكّر أن هذا التكوين سيمنع مشاركة الملفات داخل الشبكة.
2- تأكد من أن أنظمة تصفية البريد الإلكتروني والويب لديك تحتوي على أحدث قواعد بيانات الحماية. إذا أمكن، أعد فحص الرسائل التي وصلت في عطلة نهاية الأسبوع.
3- تأكد من أن برامج مكافحة الفيروسات وأنظمة أمان النقاط النهائية لديك محدثة. إذا لم تكن قواعد بيانات الفيروسات محدثة، فقم بتقييد وصول هذه الأجهزة إلى الإنترنت إن أمكن.
4- تأكد من أن جميع أنظمة تشغيل Windows لديك تحتوي على آخر التحديثات. افصل أنظمة Windows غير المرخصة التي لا يمكنها تلقي التحديثات ولا تستخدمها.
تتوفر تحديثات MS17-010 لكل نظام تشغيل في الرابط التالي:
http://imgur.com/gallery/Hl9Kt
رابط صفحة Microsoft ذات الصلة:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
5- قم بتعطيل SMBv1 على أجهزتك.
اتبع قسم “Disable SMBv1” على الرابط التالي:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
لمزيد من التفاصيل:
https://support.microsoft.com/…
6- قم بإغلاق TCP 139, 445 وUDP 137-138 على البوابة من الخارج إلى الداخل ومن الداخل إلى الخارج. فتح هذه المنافذ لا يُعتبر ممارسة جيدة ويمكن منع حدوث مثل هذه الحالات من خلال خدمة التشديد التي تقدمها مراكز عمليات الأمن SOC.
7- قم بإبلاغ المستخدمين النهائيين لديك حول انتشار البريد الإلكتروني الخبيث واطلب منهم عدم فتح رسائل غير متوقعة.
8- افحص النسخ الاحتياطية لديك. قم بإكمال النسخ الاحتياطية المفقودة في الأنظمة الحرجة.
9- قم بعزل الأنظمة التي أبلغت عنها بوابة الأمان أو إدارة مكافحة الفيروسات المركزية على أنها مصابة.
10- أبلغ وحدة مكافحة جرائم الإنترنت التابعة للمديرية العامة للأمن بالأنظمة المصابة واطلب التوجيه منهم.
11- إذا كان لديك عينة من البرنامج الخبيث، شاركها مع:
security@labrisnetworks.com,
ihbar@usom.gov.tr و
virustotal.com.
التدابير متوسطة إلى طويلة المدى:
12- عزّز بنية الحماية من البريد الإلكتروني الخبيث.
13- راجع سياسات التحديث لديك. تم نشر التحديث لهذه الثغرة قبل شهرين.
14- استخدم أنظمة تحليل الثغرات لمسح الشبكة بانتظام والتأكد من عدم بقاء أي جهاز بدون تصحيح.
15- راجع سياسات النسخ الاحتياطي لديك. تأكد من أن النسخ الاحتياطية غير متاحة بسهولة داخل الشبكة، حيث من المتوقع أن تُشفّر في الهجمات المستقبلية.
16- قوِّي وعي موظفيك بالأمن السيبراني. راجع GüvenliWeb.
17- راجع سياسات وفرق الاستجابة للحوادث (CERT) ومركز عمليات الأمان (SOC) وسياسات استمرارية الأعمال. بعد الحادث، قم بالتحليل: “ما الذي فعلناه بشكل جيد؟ ما الذي لم نفعله جيدًا؟”
18- خطط لتنفيذ تقسيم الشبكة (التجزئة) لعزل الانتشار في مناطق أصغر.
19- توقف عن استخدام أنظمة التشغيل القديمة وغير المحدثة.
20- أعد النظر في استخدام Linux.
روابط ذات صلة بالانتشار:
https://www.usom.gov.tr/tehdit/209.html
https://www.us-cert.gov/ncas/alerts/TA17-132A
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://www.engadget.com/2017/04/15/microsoft-says-it-already-patched-several-shadow-brokers-nsa-l/
SON Articles
