گزارش دیجیتال فارنزیک - بخش اول

در سال‌های اخیر، باج‌افزارها به یکی از جدی‌ترین تهدیدهای امنیتی در سازمان‌ها تبدیل شده‌اند؛ حملاتی که اغلب نه با تکنیک‌های پیچیده، بلکه با سوءاستفاده از ضعف‌های رایج مثل دسترسی ناامن RDP، رمزهای عبور ضعیف و نبود نظارت کافی آغاز می‌شوند.

در این گزارش از The DFIR Report با یک سناریوی کلاسیک اما بسیار آموزنده از باج‌افزار GoGoogle روبه‌رو می‌شویم؛ حمله‌ای که از یک ورود نسبتاً ساده (از طریق RDP) آغاز می‌شود و در مدت کوتاهی به تسلط بر شبکه و در نهایت رمزگذاری گسترده فایل‌ها ختم می‌گردد.

مهاجم پس از ورود، ابتدا با غیرفعال‌کردن ابزارهای امنیتی و رهاسازی مجموعه‌ای از ابزارها روی سیستم، مرحله‌ی شناسایی را شروع می‌کند و خیلی سریع سراغ سرقت/استخراج گذرواژه‌ها با ابزارهایی مثل Mimikatz، LaZagne و مجموعه ابزارهای NirSoft می‌رود.

سپس با تکیه بر اطلاعات به‌دست‌آمده، حرکت جانبی را سرعت می‌دهد، روی سیستم‌های بیشتری حضور پیدا می‌کند و در نهایت روی Domain Controller متمرکز می‌شود تا روند استقرار باج‌افزار را کامل کند.

نکته‌ی مهم این پرونده، «نمایش زنجیره‌ی کامل حمله» از دید ردپاها و آرتیفکت‌هاست: از اسکریپت‌ها و فایل‌های رهاشده برای جمع‌آوری کلمات عبور تا نحوه‌ی شناسایی سیستم‌ها و حتی نشانه‌هایی مثل پاک‌سازی لاگ‌ها و توقف سرویس‌ها قبل از رمزگذاری.

این متن ترجمه‌شده، علاوه بر روایت مرحله‌به‌مرحله‌ی رخداد، به شما کمک می‌کند بفهمید مهاجم چه چیزهایی را روی میزبان‌ها باقی می‌گذارد و تیم‌های دفاعی دقیقاً باید دنبال چه علائمی بگردند. خصوصاً در محیط‌هایی که RDP، ذخیره‌ی رمز در فایل‌های .rdp یا کنترل ضعیف روی حساب‌ها و دسترسی‌ها وجود دارد.

به منظور دانلود نسخه کامل این گزارش به لینک زیر مراجعه نمایید:

دانلود گزارش دیجیتال فارنزیک بخش اول