انتشار وصله امضای IPS برای بدافزار Dilemma

در روزهای اخیر مرکز مدیریت راهبردی افتا هشداری مبنی بر نفوذ یک بدافزار با نام Dilemma در زیرساخت‌های کشور صادر نموده است (لینک خبر). این بدافزار از قابلیت‌هایی مانند تخریب، حذف داده‌های کاربران، توقف سرویس های شبکه، حذف فایل‌های رویداد و غیره برخوردار می‌باشد.
Dilemma برای هوشمند سازی و بالا بردن قدرت تخریبی از Component های مختلفی استفاده می‌نماید:
با اجرای ابزار ارتباطی و اتصال به سامانه‌های کنترل و فرماندهی (C&C) خود، فرامین مربوطه را دریافت می‌کند. از طریق ابزار Wipe اقدام به تخریب دیسک سخت می‌نماید.
با راه اندازی یک کارگزار، باز نمودن درگاه شبکه و قرار گرفتن در حالتlistening روی سیستم قربانی، اقدام به دریافت و ارسال فایل‌های مورد نظر می‌کند.
با پویش سیستم‌های تحت شبکه و یافتن قربانیان جدید، مولفه توزیع را اجرا می‌نماید. این عملیات می‌تواند منجر به گسترش در شبکه و آلوده نمودن تعداد بیشتری از کاربران گردد.
جزییات فنی بیشتر در مورد این حمله را می‌توانید از اینجا مطالعه نمایید. شرکت امن افزار گستر شریف نیز با استناد به این گزارش اقدام به ایجاد چندین امضای جدید IPS برای شناسایی این بدافزار نموده است. این قوانین می توانند مراحل اولیه از زنجیره حملات را تشخیص دهند و همچنین مانع از انتقال ابزارهای مخرب به سیستم قربانی گردند.

امضای زیر درخواست اتصال بدافزار به سامانه C&C را شناسایی و آن را بلوکه می‌نماید. در این حالت بدافزار دیگر قادر به دریافت فرامین و همچنین ارسال یا دریافت فایل‌های مورد نیاز نخواهد بود:

 

امضاهای زیر نیز عملیات بارگذاری Component های فاز توزیع بدافزار را شناسایی و آن را بلوکه می‌کنند. این امر منجر به توقف انتشار آن در سطح شبکه می‌گردد:

 

 

 

امضاهای بالا در قالب وصله جدید سامانه تشخیص نفوذ (IPS) منتشر گردیده است. قوانین موجود در این وصله می توانند ترافیک شبکه را آنالیز نموده و در صورت مواجهه با موارد بالا، راهبران شبکه را در جریان قرار دهند. جهت اطلاع از آخرین وضعیت بروزرسانی می‌توانید دستور زیر را اجرا نمایید و از صحت نصب وصله اطمینان حاصل کنید.

ParsGate>Get Ips CurrentDB

Name: PGZ-IPSSIGDB-14010401-28fbfbe.Bin

تاریخ خبر: ۱۴۰۱/۰۴/۰۱

 

اشتراک گزاری :

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.