شناسایی آسیب پذیری ها و بدافزارهای مرتبط با حمله سایبری به دو سازمان دولتی

مرکز ماهر در اطلاعیه ای اختلال در شبکه دو سازمان دولتی را تایید نموده است. برخی گمانه زنی ها حاکی از آسبب پذیری Zerologon به عنوان عامل اصلی این حمله حکایت دارد. نفوذگران با سوء استفاده از مشکل امنیتی در پروتکلNetlogon می توانند Domain Controller را به صورت کامل در اختیار بگیرند.

علاوه بر مورد بالا از آسیب پذیری 2020-0688 مرتبط با Microsoft Exchange و همچنین بدافزارهای Dharma و Crysis برای اجرای فازهای مختلف حمله استفاده گردیده است.

در این راستا شرکت امن افزار گستر شریف نیز اقدام به انتشار وصله امضای سامانه تشخیص نفوذ (IPS) برای محصولات خود نموده است.قوانین موجود در این وصله می توانند ترافیک شبکه را آنالیز نموده و در صورت مواجهه با موارد بالا آن را به اطلاع راهبران شبکه برساند.راهبران شبکه می بایست با اجرای دستور زیر از وضعیت بروزرسانی وصله امضا مطلع گردند:

ParsGate>get ips currentDB

Name: PGZ-IPSSIGDB-990726-27cbd80.bin

شماره امضاهای مرتبط با این رخداد نیز به صورت زیر می باشد:

Dharma Ransomware:

7730965

7730970

 

Crysis Ransomware:

7735235

7735245

7735250

7735255

7735265

7735270

7735275

7735280

 

CVE-2020-1472:

7809775

7809780

7809785

7809835

7809840

 

CVE-2020-0688

8619495

8619500

8619505

8619510

8619515

8619520

8619525

8619530

8619535

8619540

 

مواکداً توصیه می گردد به منظور ایمنی کامل در این مورد وصله های نرم افزاری ارائه شده از طرف Microsoft را دریافت نمایید و کارگزارهایActive Directory و Exchange را بروزرسانی نمایید:

https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688

همچنین لازم است جهت حفاظت موثرتر در برابر باج افزارها اطمینان حاصل کنید که از یک آنتی ویروس قدرتمند و به روز شده استفاده می نمایید.