توصیه های تیم فنی شرکت پویش داده نوین جهت مقابله با باج افزار Wannacrypt
توصیه های تیم فنی شرکت پویش داده نوین جهت مقابله با باج افزار Wannacrypt
اخیرا شاهد بروز نسخه جدید از نرم افزار باج گیر یا همان Wannacrypt در سطح دنیا هستیم. این ویروس قربانی های بسیاری در سطح دنیا گرفته است. کشور ما هم از این حملات بی نصیب نمانده است.
قابل ذکر است اصولا بهترین روش برخورد با باج افزارها تهیه Backup مطمئن هست، به همین دلیل کارفرمایان محترم دقت داشته باشند تنظیمات Offline Backup سامانه PVM در بازه های زمانی مطمئن تنظیم شده باشد.
نحوه پخش شدن این ویروس از طریق پروتکل Server Message Block/SMB میباشد. این پروتکل دارای یک آسیب پذیری خطر ناک است که به مهاجم اجازه اجرای کد را میدهد. مهاجم از طریق اجرای یک exploit روی این پروتکل اقدام به انتقال ویروس میکند. این ویروس بعد از ورود به سیستم اقدام به رمزنگاری داده های مهم سیستم کرده و بعد برای رمزگشایی دادهها از اشما درخواست پول میکند و …
این بدافزار به دو طریق وارد شبکه شما میشود:
- اجرای یک ضمیمه آغشته به ویروس از طریق میل
- ورود از طریق پورت ۱۳۹ و ۴۴۵ (پورت های پرتکل SMB)
برای جلوگیری از ورود این بد افزار به سیستم لازم است موارد زیر انجام گیرد:
۱. بروز رسانی ویندوز (منبع یک). دقت کنید که مایکروسافت خوشبختانه برای ویندوزهای از رده خارج XP/۸/۲۰۰۳ هم وصله ارائه کرده است(منبع دو)
۲. بروزرسانی آنتی ویروس
۳. بستن دسترسی به پورتهای ۱۳۹ و ۴۴۵ (TCP) همه سرورها
سیستم عامل های ویندوز از نسخه های مختلف پروتکل SMB استفاده میکنند:
SMB 1.0 – Windows 2000, Windows XP, Windows Server 2003 and Windows Server 2003 R2 (all unsupported Operating Systems by Microsoft)
SMB 2.0 – Windows Vista (SP1 or later) and Windows Server 2008 (Vista is unsupported in April 2017)
SMB 2.1 – Windows 7 and Windows Server 2008 R2
SMB 3.0 – Windows 8 and Windows Server 2012
SMB 3.02 – Windows 8.1 and Windows Server 2012 R2
SMB 3.1.1 – Windows 10 and Windows Server 2016
همانطور که در لیست فوق مشخص است به جز ویندوز اخیر مایکروسافت به نام Windows Nano Server 2016 همه ویندوز ها از smbv1 (هم به عنوان کلاینت و هم به عنوان سرور) پشتیبانی میکنند. دقت کنید که در لیست فوق همه ویندوزهای جدید نسخه های قبل را پشتیبانی میکنند. مثلا ویندوز ۲۰۱۲ همه پروتکل های SMBv3, SMBv2, and SMBv1 را پشتیبانی میکند.
نکته دیگر در مورد لیست فوق این است که با غیرفعال کردن پروتکل SMB 1.0 سرویسfile and print sharing با کلاینت های xp/200/2003 قطع خواهد شد. بنابراین به این موضوع توجه کامل داشته باشید. چنانچه به هر دلیل امکان تغییر سیستم عامل های قدیمی شبکه خود را ندارید باید سریع به سراغ نصب وصله های ارائه شده توسط مایکروسافت بروید.
اقدام فوری برای جلوگیری از ورود بد افزار:
اگر امکان بروزرسانی وجود ندارد لازم است از طریق دستورات زیر نسخه یک پروتکل SMB غیرفعال یا حذف شود. دقت کنید که نسخه های ۲ و۳ را غیرفعال نکنید.
دقت کنید که منظور از PS برنامه Power shell مایکروسافت می باشد.
پروتکل SMB1در دو حالت کلاینت و سرور قابل استفاده است. به عنوان نمونه وقتی از share یک سیستم دیگر استفاده میکنید سیستم شما از پروتکل SMB به عنوان کلاینت استفاده میکند و طرف مقابل از آن به عنوان سرور. لازم به ذکر است که باید هر دو حالت کلاینت و سرور پروتکل SMB1 را غیر فعال کرد.
برای غیرفعال سازی پروتکل SMB1 در حالت سرور :
سیستم عامل های : Windows 8.1, 2012 R2, 2016:
PS C:\> Remove-WindowsFeature FS-SMB1
سیستم عامل های Windows 8, 2012:
PS C:\> Set-SmbServerConfiguration -EnableSMB1Protocol $false
سیستم عامل های Windows 7, Vista, 2008, 2008 R2 (نیاز به راه اندازی مجدد سرور است)
PS C:\> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
برای غیرفعال سازی پروتکل SMB1 در حالت کلاینت :
سیستم عامل های : Windows 8.1, 2012 R2, 2016:
PS C:\>Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
سیستم عامل های Windows Vista, 7, 8, 2008, 2008 R2, and 2012 (نیاز به راه اندازی مجدد سرور است)
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
چند توصیه :
- دقت کنیدکه یک اقدام مطمئن بروز نگه داشتن کلیه کلاینتها و سرورها میباشد.
- سرورها در زون یا محدوده مجزا قرارداده شوند و دسترسی به آنها فقط از طریق پورتهای مورد نیاز کاربران باشد.
- ارتباط زون ها از طریق فایروال کنترل شود.
- دسترسی سرورها به اینترنت قطع شود.
- یک سرور آپدیت مرکزی یا همان WSUS در شبکه راه اندازی شود و کلیه کلاینتها از طریق آن بروز رسانی شوند.
منبع۱: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
منبع۲: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
منبع ۳: http://blog.talosintelligence.com/2017/05/wannacry.html
منبع ۴: https://community.tenable.com/thread/11156