آخرین اخبار
به تازگی بدافزاری با نام EternalRocks کشف شده است که از هفت اکسپلویت منتشر شده مربوط به NSA استفاده می کند.این بدافزار از اکسپلویت های EternalBlue، DoublePulsar، EternalChampion، EternalRomance، EternalSynergy، ArchiTouch و SMBTouch استفاده می کند. تمامی این ابزارها توسط گروه Shadow Broker فاش شده اند. اغلب این اکسپلویت ها برای بهره برداری از نسخه های مختلف پروتکل SMB ویندوزی بکار می روند.  
مولفه ی SMBTouch و ArchTouch ابزارهای شناسایی مبتنی بر پروتکل SMB هستند که برای اسکن پورت های باز SMB بر روی اینترنت بکار می روند. از طرفی  EternalBlue, EternalChampion, EternalSynergy  و EternalRomance، کدهای اکسپلویت SMB هستند که برای بهره برداری از سیستم های کامپیوتری ویندوزی بکار می روند. مولفه DoublePulsar نیز برای انتشار کرم به سایر سیستم های آسیب پذیر در سطح شبکه بکار می رود. 
هدف فعلی این بدافزار، پنهان سازی حضور خود در سیستم است. به نظر می رسد که قصد بدافزار این است تا در آینده دستورات بیشتری را دریافت کرده و مولفه های مخرب بیشتری را بر روی سیستم مستقر کند. 
اگرچه این بدافزار تاکنون مولفه مخربی نظیر wannacry را بر روی سیستم قرار نداده است، ولی به دلیل استفاده از چندین اکسپلویت و نیز ماهیت عملیات مخفیانه اش، از باج افزار wannacry خطرناکتر است.
این بدافزار در دو مرحله اجرا می شود، در گام اول آلودگی، این بدافزار مرورگر وب tor را بر روی سیستم های آلوده قرار می دهد تا بتواند به سرور C&C خود بر روی Tor متصل شود. بدافزار در مرحله دوم با فاصله زمانی 24 ساعت، یک آرشیو شامل کد اکسپلویت های SMB ویندوزی را از سرور خود دریافت می کند. سپس بدافزار تلاش می کند تا با اسکن سیستم های آسیب پذیر خود را در شبکه منتشر کند. 
مایکروسافت در ماه مارچ این آسیب پذیری ها را رفع کرده است ولی در حال حاضر سیستم های بسیاری وجود دارند که هنوز وصله نشده اند. به کاربران توصیه می شود تا هرچه سریعتر موارد زیر را برای پیشگیری از آلودگی اعمال کنند: 
•    پروتکل SMBv1 در سیستم های آسیب پذیر را مسدود کرده یا دسترسی خارجی به پورت های 139 و 445 را ببندید.
•    از آنجایی که تمامی آسیب پذیری های بهره برداری شده توسط این بدافزار در بولتن شماره MS17-010 وصله شده است، توصیه می شود تا وصله امنیتی مایکروسافت برای نسخه های جدید ویندوز به شماره MS17-010  را از مسیر زیر دریافت و نصب کنید:

•    وصله امنیتی مایکروسافت برای نسخه های قدیمی تر نظیر ویندوز xp، ویندوز سرور 2003 و ویندوز 8 را از مسیر زیر دریافت و نصب کنید:

•    سیستم های ضدبدافزار و IDS را بروزرسانی کنید. قوانین snort به شماره های 42329-42332, 42340, 41978 و 42256 برای شناسایی این بدافزار در سطح شبکه کارآیی دارند.

 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.