خبرمقالات

مروری بر سیر تاریخی بدافزار پیشرفته Emotet؛ از ظهور تا پاکسازی

در دنیای مجازی و فضای آنلاین شاهد افزایش ظهور انواع بدافزارها بر ضد کاربران اینترنتی، دستگاه‌های دیجیتالی و سیستم‌های هوشمند از جمله رایانه‌ها، تبلت‌ها و گوشی‌های تلفن همراه هوشمند هستیم. ویروس‌ها، کرم‌های رایانه‌ای، تروجان‌ها و سایر بدافزارها، باج‌افزارها و جاسوس‌افزارها نمونه‌هایی از طیف گسترده برنامه های مخرب هستند که در شکل های گوناگون مانند کد، فایل‌، محتوای فعال و غیره وارد سیستم‌های رایانه‌ای شده و بر عملکرد آنها تأثیرات منفی می‌گذارند.

یکی از انواع بدافزارها که سابقه به نسبت طولانی داشته و هدف آن تنها سرقت اطلاعات مالی کاربران است، بدافزار “Emotet” می‌باشد. در این مطلب از فراست نگاهی به این بدافزار، نحوه عملکرد و همچنین چگونگی مقابله با آن خواهیم داشت.

Emotet چیست؟

Emotet یک تروجان بانکی چندوجهی است که معمولاً از طریق [۱]Malspamها (هرزنامه‌های بدافزاری[۲]) منتشر می‌شود. پیام‌های هرزنامه‌ای که به این روش انتشار می‌یابند به منظور جذب و فریب کاربران، با بهره گیری از ترفندهای مختلف مهندسی اجتماعی و سوءاستفاده از نام برندهای مشهور و معتبری همچون پی‌پال یا DHL در قالب ایمیل های ارسالی به افراد مورد استفاده قرار می‌گیرند. اسکریپت‌های مخرب، لینک‌های فیشینگ و فایل‌های مجهز به ماکرو از جمله روش‌هایی هستند که توسط Emotet برای ایجاد آلودگی در سیستم کاربران و سرقت اطلاعات مالی آنها استفاده می شوند.

این بدافزار، قابلیت گریز از فناوری‌های تشخیص معمولی مبتنی بر امضا را دارد. نسخه ساده Emotet اولین‌بار توسط گروه هکری Mealybug که فعالیت خود را از سال ۲۰۱۴ میلادی آغاز کرده مورد استفاده قرار گرفت. این گروه با راه‌اندازی یک بات‌نت متشکل از رایانه‌های آلوده به Emotet و مشتمل بر سه کلاستر سرور به نام‌های Epoch 1، Epoch 2 و Epoch 3 شروع به انجام فعالیت های خرابکارانه و فروش دسترسی به این بات‌نت به سایر مهاجمان سایبری نمود. سپس به تدریج این عملیات مجرمانه تبدیل به روشی موسوم به ارایه باج‌افزار به عنوان سرویس (RaaS[۳]) شد که از طریق اجاره این زیرساخت مخرب اقدام به درآمدزدایی برای مالکان خود می‌کرد. آنها بعدها این مدل را به عوامل باج‌افزارهای مختلف مانند گروه مشهور Ryuk فروختند.

بر اساس یک هشدار امنیتی منتشر شده در جولای ۲۰۱۸ میلادی توسط وزارت امنیت میهن آمریکا (DHS) از Emotet به عنوان مخرب‌ترین و پرهزینه‌ترین بدافزار تأثیرگزار بر دولت‌های ایالتی، فدرال و محلی آمریکا نام برده شده که بیش از یک میلیون دلار خسارت وارد کرده است. این بدافزار با قابلیت کرم مانند خود می تواند به سرعت آلودگی را در سطح شبکه منتشر نموده و مقابله با آن نیز کار چندان آسانی نیست.

 

نحوه فعالیت این بدافزار چگونه است؟

Emotet ابتدا در سال ۲۰۱۴ میلادی توسط یک تحلیل‌گر تهدیدات سایبری به نام “Joie Salvio” شناسایی شد. ایمیل‌های آلوده به این بدافزار معمولاً به صورت جزئیات انتقال یا وجه بانکی صورت‌حساب تحویل کالا شبیه‌سازی شده و کاربران را به کلیک بر روی لینک‌های مختلف تشویق می‌کنند. این بدافزار در آغاز فعالیت خود عموماً مشتریان بانک‌های کوچک در آلمان و اتریش را مورد هدف قرار می‌داد.

پس از ورود Emotet به شبکه قربانیان، سایر اجزای آن دانلود و در سیستم قربانی بارگذاری می‌شوند. در بین اجزای بدافزار، یک فایل پیکربندی حاوی اطلاعاتی درباره قربانیان و همچنین فایلی با پسوند [۴].dll وجود دارد که به تمام فرایندهای سیستمی تزریق می‌شود. علاوه بر اینها فایل دیگری نیز وجود دارد که کل ترافیک خروجی شبکه قربانی را ثبت و تفسیر می‌کند. از این عملیات در دنیای امنیت سایبری به «عملیات حمله پویش شبکه[۵]» یاد می شود. متأسفانه حتی اگر از ارتباط امن HTTPS استفاده کنید باز هم امکان وقوع چنین رویدادی وجود دارد.

فایل .dll پس از تزریق به مرورگر، ورودی‌های کاربر را با پیکربندی خود مقایسه نموده و در صورت یافتن یک گزینه منطبق، اقدام به ثبت و جمع آوری داده‌های وی می‌کند. مواردی که توسط Emotet دانلود می‌شوند در تعدادی رکورد رمزنگاری شده از رجیستری که کاربران معمولی به ندرت آنها را بررسی می‌کنند، مورد استفاده قرار می‌گیرند. بنابراین امکان مخفی‌سازی فعالیت‌های مخرب و پیشگیری از تشخیص بدافزار توسط آنتی‌ویروس‌هایی که بر اساس فایل کار می‌کنند، به وجود می‌آید.

اگرچه ویژگی برجسته این بدافزار، قابلیت کرم مانند آن است ولی Emotet با گذشت زمان تکامل زیادی یافته و مجهز به توانایی‌های بیشتر از جمله قابلیت تطبیق و عدم امکان شناسایی راحت خود شده است. این بدافزار برای تداوم حضور پیوسته خود از روش‌های گوناگونی مانند شروع خودکار سرویس‌ها و تغییر در کلیدهای رجیستری بهره برده و از فایل‌های DLL پیمانه‌ای نیز برای رشد، تکامل و به‌روزرسانی مداوم قابلیت‌های خود استفاده می‌کند. علاوه بر این Emotet توانایی تشخیص ماشین مجازی را داشته و در صورت اجرا در یک محیط مجازی، علائم دروغینی از خود نشان می دهد.

Emotet چگونه منتشر می‌شود؟

بدافزار Emotet به کمک ماژول خاصی که مسئول انتشار آن در شبکه است و از چند پیمانه پخش کننده بدافزار تشکیل شده منتشر می‌شود. هشدارهایی که در خصوص این بدافزار و توسط مرکز تحلیل و اشتراک‌گذاری اطلاعات ایالتی آمریکا[۶] و مرکز ملی یکپارچه‌سازی امنیت سایبری و ارتباطات[۷] ارایه شده اند، شامل موارد زیر هستند:

  • NetPass.exe: یک ابزار بازیابی کلمه عبور که توسط NirSoft طراحی شده و توسط کاربران عادی هم مورد استفاده قرار می‌گیرد. این ابزار می‌تواند تمام کلمات عبور ذخیره شده در یک سیستم و همچنین کلمات ذخیره شده بر روی درایوهای بیرونی را بازیابی کند.
  • WebBrowserPassView: یکی دیگر از ابزارهای بازیابی کلمه عبور که توانایی کار با مرورگرهای شناخته شده همچون گوگل کروم، اینترنت اکسپلورر، موزیلا فایرفاکس، اوپرا و سافاری را دارد.
  • MailPassView: یک ابزار دیگر برای بازیابی کلمه عبور است که می‌تواند اطلاعات را از سرویس‌های ایمیل محبوب مانند جی‌میل، اوت‌لوک،‌ هات‌میل، یاهو، ویندوز میل و موزیلا تاندربرد جمع‌آوری نماید.
  • Outlook Scraper: یک ابزار مخرب که اطلاعات را از حساب‌های کاربری اوت‌لوک استخراج نموده و از آنها برای ارسال تعداد بسیار زیادی ایمیل فیشینگ استفاده می‌کند.
  • یک شمارشگر اعتبارنامه‌های دیجیتال: این سرویس در قالب فایل rar بوده و شامل یک بخش مخصوص سرویس و همچنین بخشی ویژه دور زدن سازوکارهای دفاعی است. این بخش با استفاده از اطلاعاتی که توسط چهار ابزار قبلی جمع‌آوری شده‌اند و نیز جستجوی فراگیر سعی می‌کند به اطلاعات حساب‌های کاربری دسترسی یافته یا درایوهایی که مجهز به قابلیت نوشتن هستند را به کمک بلاک پیام سرور (SMB[۸]) پیدا کند. در نهایت هنگامی که یک سیستم در دسترس پیدا شود، بخش مخصوص سرویس Emotet فعال شده و کل فضای هارد دیسک آن را آلوده می‌نماید.

 

تاریخچه مختصری از بدافزار Emotet

Emotet یکی از بدافزارهای مشهور دهه اخیر است که تاریخچه جالبی دارد. در ادامه مطلب، مراحل تغییر و تحول این بدافزار را در سال‌های مختلف بررسی کرده ایم. مطالعه این بخش به شما کمک می‌کند تا اولاً با روش‌هایی که توسط Mealybug و سایر گروه‌های هکری مورد استفاده قرار می‌گیرند آشنا شده و همچنین از سازمان و کسب و کارتان در برابر این حملات به خوبی محافظت کنید.

۲۰۱۴

در ژوئن سال ۲۰۱۴ میلادی اولین تحلیل مستند از بدافزار Emotet به همراه یک بررسی اجمالی از نحوه عملکرد آن توسط Joie Salvio منتشر شد. پس از مدت کوتاهی از انتشار نسخه اولیه این بدافزار، نسخه دوم آن نیز ارایه شد. در آن زمان مجرمان سایبری قربانیان‌شان را از بین مشتریان بانک‌های آلمان و اتریش انتخاب نموده و در حملات خود از یک سیستم انتقال خودکار (ATS[۹]) که امکان انتقال سریع وجه از حساب قربانیان‌شان را داشت، استفاده می کردند. آنها تمام تلاش خود را برای جلوگیری از شناسایی توسط قربانیان و تیم‌های امنیتی به کار می‌بردند. با این حال فعالیت نسخه دوم Emotet در دهم دسامبر ۲۰۱۴ متوقف و آخرین فرمان سرورهای این بدافزار در این تاریخ ثبت شد.

۲۰۱۵

عوامل بدافزار Emotet پس از تعطیلات سال نو و در ژانویه سال ۲۰۱۵ با نسخه سوم آن بازگشتند. اگرچه نسخه جدید تفاوت چندانی با نسخه‌های پیشین نداشت ولی مجهز به قابلیت‌های کلیدی همچون کلید عمومی [۱۰]RSA جدید و پاکسازی جزئی اسکریپت [۱۱]ATS بود که مانع از شناسایی آن توسط کارشناسان و متخصصان امنیتی می‌شد. این گروه هکری پس از مدتی در حملات‌شان تنوع ایجاد نموده و علاوه بر قربانیان آلمانی و اتریشی، مشتریان بانک‌های سوئیسی را نیز هدف حملات خود قرار دادند. در همین سال، بدافزار Emotet به یک تهدید پیمانه‌ای تبدیل شد و حملات محروم سازی از سرویس توزیع شده (DDoS[۱۲]) و سرقت اطلاعات ورود به ایمیل هم به مجموعه فعالیت‌های طراحان آن افزوده شد.

۲۰۱۶

هر چند مستندات مرتبط با فعالیت‌های Emotet در سال ۲۰۱۶ تقریباً محدود است ولی تحلیل‌گران امنیتی توانستند ثابت کنند که توسعه دهندگان این تروجان آن را به گونه‌ای پیکربندی کرده اند تا به صورت یک بارگذار[۱۳] (یا لودر) عمل کند. همچنین در این سال کارشناسان امنیتی متوجه انتخاب دوباره قربانیان این بدافزار از بین مشتریان بانک‌های آلمانی و اتریشی شده و به این نتیجه رسیدند که این گروه همچنان در حال ادامه رویکرد خود مبنی بر هدف‌گیری قربانیان کوچک است.

۲۰۱۷

گروه هکری Mealybug در سال ۲۰۱۷ میلادی از رویکرد ارایه بدافزار به عنوان سرویس (RaaS) استفاده نمود و تروجان بانکی IcedID را از طریق زیرساخت خود منتشر کرد. در همان سال، این گروه هکری تروجان Trickbot و باج‌افزار UmberCrypt را هم توزیع نمود. در سال ۲۰۱۷ هکرها با استفاده از بدافزار Emotet حوزه فعالیت‌شان را به کشورهای دیگری مثل چین، کانادا، انگلیس و مکزیک توسعه داده و این تغییر مسیر از سمت گروهی که قبلاً متمرکز بر کشورهایی بود که به زبان آلمانی صحبت می‌کردند، قابل توجه است. ممکن است گسترش استفاده از خدمات RaaS تروجان Emotet در همان بازه زمانی، یکی از دلایل انجام چنین تغییری باشد.

۲۰۱۸

در سال ۲۰۱۸ میلادی Emotet با حمله به شهر آلن‌تاون آمریکا اولین اقدام مجرمانه‌اش را در حمله به این کشور آغاز کرد. مهاجمان همچنین در این سال، همکاری خود با TrickBot[۱۴] را تقویت کردند. در همان زمان بات‌نت بدافزار TrickBot شروع به انتشار یک خانواده از تروجان‌های بانکی با توانایی های مشابه یک کرم شبکه‌ای به نام “Qakbot” نمود.

۲۰۱۹

در سال ۲۰۱۹ رویدادهای مهمی از جمله حملات بزرگ بر ضد یکسری از نهادهای آلمانی و همچنین شهر فرانکفورت اتفاق افتاد. این حملات بخشی از یک حمله وسیع‌تر بودند که قربانیانی را در کشورهای آلمان، لهستان، انگلیس و ایتالیا مورد هدف قرار دادند. این عملیات با دقت بالایی طراحی و اجرا شد و توانست سازمان‌ها و مؤسسات بسیار زیادی را با موفقیت مورد هدف قرار دهد. مهاجمان در این حملات با ارسال ایمیل‌هایی با مضمون «صورت‌حساب عقب افتاده» و «توصیه‌های حواله پرداخت» کارمندان را تشویق به باز نمودن فایل‌های آلوده مایکروسافت ورد می‌کردند. قربانیان با باز کردن این فایل‌ها ماکروی مخربی را بر روی سیستم خود فعال می‌کردند. این ماکرو، Emotet را از وب‌سایت‌های وردپرس آلوده دانلود و آن را در شبکه هدف توزیع می‌کرد. از این رو سال ۲۰۱۹ نقش بسیار پررنگی در تاریخچه بدافزار Emotet داشته و رویدادهای بسیار مهمی در این سال رخ داده است.

۲۰۲۰

Emotet در فوریه ۲۰۲۰ میلادی غیرفعال شد ولی فعالیت خود را مجدداً در ماه جولای همان سال دوباره از سر گرفت. بر اساس آمار و نتایج تحقیقات صورت گرفته، این بدافزار از ماه جولای به بعد حدود ۲۵۰ هزار پیام فیشنگ را ارسال کرده است. اقدامات جدید این بدافزار شامل ارسال هرزنامه‌های بدافزاری به زبان انگلیسی به سازمان‌های مستقر در آمریکا و انگلیس بود. پس از این حملات فعالیت Emotet کم‌رنگ شده ولی در چهارده اکتبر همان سال مجدداً فعالیت خود را آغاز کرد. در این زمان شیوع بیماری کرونا نیز فرصت‌های جدید و وسوسه انگیزی را برای مهاجمانی که از این بدافزار استفاده می‌کردند به وجود آورد. Emotet همچنین یک الگوی کاملاً جدید برای طراحی فایل‌ها داشت که در قالب فایل به‌روزرسانی ویندوز طراحی شده و کاربران را ملزم به نصب نسخه جدید از مایکروسافت ورد می‌کرد. چنانچه قربانیان از این دستور پیروی می‌کردند، سیستم آنها آلوده می‌شد.

۲۰۲۱

در بیست و هفتم ژانویه ۲۰۲۱ میلادی زیرساخت بات‌نت Emotet از کار افتاد و به این ترتیب اختلالاتی در توزیع این بدافزار ایجاد شد. این موفقیت در اثر یک عملیات هماهنگ شده با مدیریت یوروپل و یوروجاست به دست آمد. نهادهای مجری قانون در اروپا از جمله آلمان، اوکراین، فرانسه، لیتوانی، هلند و انگلیس با مقامات آمریکایی همکاری کرده تا بتوانند کنترل سرورهای این گروه را در اختیار بگیرند. در همان زمان مجریان قانون پس از در اختیار گرفتن کنترل سرور Emotet توانستند کل بات‌نت آن را از کار بیاندازند.

بنا به گفته کارشناسان امنیتی: «زیرساخت مورد استفاده Emotet شامل صدها سرور مستقر در سطح جهان بود که هر کدام از این سرورها مجهز به قابلیت‌های مختلفی مانند آلوده نمودن رایانه‌های قربانی، مدیریت رایانه‌های آلوده و خدمت به سایر گروه‌های مجرمانه بودند و همواره سعی می‌کردند در برابر تلاش مجریان قانون برای شناسایی و از بین بردن آنها مقاوم باشند. با این حال، نهادهای قانونی سیستم های آلوده قربانیانی را که به سمت این زیرساخت هدایت می‌شدند تحت کنترل گرفته تا بتوانند در فعالیت‌ها و عملیات مجرمان سایبری اختلال ایجاد کنند. سرانجام بات‌نت Emotet در تاریخ ۲۵ آوریل ۲۰۲۱ میلادی از روی تمام دستگاه‌هایی که آلوده به آن بودند، پاک و به فعالیتش خاتمه داده شد. این اقدام نتیجه تلاش‌ها و عملیات گسترده‌ای بود که توسط پلیس فدرال آلمان از ماه ژانویه آغاز شده بود.

آلودگی‌های مهم ایجاد شده توسط بدافزار Emotet

در دهه اخیر، Emotet چندین نهاد مهم از جمله دولت‌های محلی، نهادهای دولتی، سازمان‌های خصوصی و مؤسسات آموزشی را مورد هدف حملات خود قرار داده است. در حملاتی که توسط این بدافزار بر ضد مؤسسات آلمانی صورت گرفته الگوی خاصی در آنها مشاهده می‌شود. در ادامه یک مرور کلی بر آلودگی‌های مهمی که توسط این بدافزار ایجاد شده اند، خواهیم داشت.

۱. آلن‌تاون، پنسیلوانیا (فوریه ۲۰۱۸)

در فوریه سال ۲۰۱۸ میلادی شهر نسبتاً بزرگ آلن‌تاون در ایالت پنسیلوانیای آمریکا قربانی حمله تروجان Emotet شد. بنا به گفته شهردار این شهر: «این ویروس، رایانه‌های دولتی را آلوده نموده و با سرعت بسیار زیادی تکثیر می شود. Emotet تمام اعتبارنامه‌های دیجیتالی قابل دسترس مثل نام کاربری و کلمه عبور کارمندان را جمع‌آوری کرده است». بر اساس گفته های مدیر ارتباطات آلن‌تاون: «مدیران محلی این شهر برای مقابله با آسیب ناشی از این بدافزار، ۱۸۵ هزار دلار به شرکت مایکروسافت پرداخت کرده است. شهردار هم اعلام کرده که حدود ۸۰۰ الی ۹۰۰ هزار دلار برای مقابله با این حمله هزینه شده است».

۲. Heise Online (می ۲۰۱۹)

سال ۲۰۱۹ برای شرکت آلمانی Heise Online شروع چندان خوبی نداشت و با خبرهای بسیار بدی آغاز شد. بر اساس اطلاعیه ای که در وب‌سایت این شرکت منتشر شد یک حمله سایبری در نیمه اول ماه می ۲۰۱۹ بر ضد آن با موفقیت اجرا شد. در این حمله، ایمیلی برای یکی از کارمندان این شرکت آلمانی ارسال شد و در آن از کارمند مربوطه درخواست شده بود اطلاعات موجود در فایل پیوست را بررسی کند. بلافاصله پس از اینکه کارمند مذکور فایل پیوست را باز می‌کند یک پیام خطای جعلی به او نمایش داده شده و از وی درخواست می‌شود مجوز دسترسی برای ویرایش فایل را بدهد. کارمند با انجام این کار، مجوز اجرای حمله توسط مهاجمان را صادر می کند! اگرچه به نظر می‌رسد این آلودگی در همان ابتدا توسط آنتی‌ویروس رایانه قربانی پاکسازی شده ولی انتشار آن به سیستم‌های شرکت Online Heise ادامه داشته است. بر اساس هشدارهایی که توسط فایروال شبکه این شرکت ایجاد و به نمایش گذاشته شده است، سیستم‌های خارجی منتسب به بدافزار Emotet از طریق پورت TCP 449 به شبکه شرکت Heise Online متصل شده‌اند.

۳. دادگاه Kammergericht در برلین (سپتامبر ۲۰۱۹)

عالی‌ترین دادگاه ایالتی در شهر ملبورن، Kammergericht Berlin (به اختصار KG) است که به پرونده‌های کیفری و مدنی رسیدگی می‌کند. در اواخر سپتامبر سال ۲۰۱۹ کارشناسان مرکز خدمات فناوری اطلاعات هشدار دادند که شبکه این دادگاه به ویروس آلوده شده است. چند روز پس از اعلام این هشدار، وزارت امور داخلی سنا به این مسئله رسیدگی نموده و هشدارهایی را هم در این زمینه صادر کرد ولی اقدام جدی در رابطه با این ویروس صورت نگرفت. مدت کوتاهی بعد، ارتباط شبکه رایانه‌ای این دادگاه بزرگ (که متشکل از ۵۵۰ سیستم رایانه‌ای بود) با سیستم‌های دولتی قطع شد. به این ترتیب Emotet فرصت کافی در اختیار داشت تا آلودگی را گسترش داده و به اهداف خود برسد. این حمله نشان داد که مهاجمان از قربانی کردن هیچ شخص و سازمانی واهمه ندارند.

۴. دانشگاه هومبولت برلین (اکتبر ۲۰۱۹)

در اواخر ماه اکتبر سال ۲۰۱۹ میلادی تعدادی ایمیل فیشینگ به دانشگاه هومبولت مستقر در برلین ارسال شد. بر اساس اطلاعیه خبری منتشر شده توسط این دانشگاه، از اوایل نوامبر حدود ۴۳ هزار حساب کاربری مورد نفوذ قرار گرفتند اما از چهاردهم نوامبر به بعد آلودگی جدیدی ثبت نشد. بر اساس گزارش‌های منتشر شده، آسیب جدی به شبکه‌های مرکزی و سرویس‌های این دانشگاه بر اثر این حمله وارد نشد. دانشگاه هومبولت اعلام کرد که بلافاصله پس از اولین حادثه، راهکارهای سریعی برای مقابله با حمله اجرا شده اند. در نهایت نیز اتصال رایانه‌های آلوده به بدافزار از شبکه قطع و به طور کامل پیکربندی مجدد شدند. این حمله در همان ابتدای کار با عکس العمل به موقع کارشناسان امنیتی دانشگاه متوقف شد. دانشگاه‌های یوستوس لیبیگ گیسن (مستقر شمال فرانکفورت) و کاتولیک در فرایبورگ نیز همان سال مورد هدف حمله Emotet قرار گرفتند.

۵. فرانکفورت، آلمان (دسامبر ۲۰۱۹)

حمله به شهر فرانکفورت آلمان که یکی از بزرگترین قطب‌های اقتصادی کشور آلمان و کل جهان محسوب می شود از جمله حملات مهم Emotet است. کل شبکه فناوری اطلاعات این شهر در اثر این حمله از کار افتاد و سازمان‌های عمومی و خصوصی متحمل ضررهای مالی بسیار زیادی شدند. بنا به دستور دفتر فدرال امنیت اطلاعات آلمان تمام سیستم‌ها برای مقابله با این حمله از کار افتادند. این تصمیم اگرچه خسارت‌های زیادی را وارد کرد اما تنها راهکار ممکن برای مقابله با ادامه چنین آلودگی وسیعی بود. در دسامبر ۲۰۱۹ نیز شهر هامبورگ آلمان مورد هدف باج‌افزار Emotet قرار گرفت. برای مقابله با این حمله تمام رایانه‌ها و سرورها از کار افتاده و در اواخر ماه دسامبر فعالیت خود را مجدداً آغاز کردند.

چگونه از سازمان‌تان در برابر Emotet حفاظت کنید؟

ممکن است تصور کنید در سال‌های اخیر هیچ‌گونه تغییر و تحولی در این بدافزار ایجاد نشده ولی خوب است بدانید که Emotet از سال ۲۰۱۴ میلادی به بعد با استفاده از فایل‌های DLL رویکردها و فنون حمله‌اش را به صورت مستمر ارتقا داده و بیش از ۵ سال توانسته است در برابر تلاش مدافعان سایبری برای از کار انداختن آن مقاومت کند. توصیه مهم کارشناسان امنیتی این است که به هیچ وجه حملات بدافزاری را نادیده نگیرید.

بعضی از پیامدهای نامطلوب آلودگی به این بدافزار شامل موارد زیر هستند:

  • از دست رفتن داده‌های مهم و حیاتی
  • ایجاد اختلال در عملیات های کسب و کاری روزانه
  • وارد کردن خسارت های بسیار زیاد
  • آسیب به اعتبار و شهرت سازمانی.

در ادامه، نکات مهمی را بررسی می‌کنیم که به مدیران سازمان‌ها و تیم‌های امنیتی کمک می‌کنند از سازمان‌شان در برابر بدافزار Emotet به نحو اثربخشی محافظت کنند.

۱. از یک آنتی‌ویروس نسل جدید استفاده کنید.

طراحی خاص Emotet باعث شده که امکان شناسایی آن به راحتی توسط نرم افزارهای آنتی‌ویروس سنتی مبتنی بر فایل وجود نداشته باشد. بنابراین توصیه می‌شود یک نرم‌افزار قوی‌تر که قدرت مقابله با تهدیدات جدید و پیشرفته را دارد بر روی سیستم های کاربران نصب کنید. بهترین روش برای مقابله با حملات بدافزاری استفاده از یک نرم افزار آنتی‌ویروس نسل جدید است که قابلیت نظارت زنده بر روی تمامی پردازش‌های سیستم را دارد. این نرم افزارها در پس‌زمینه سیستم و بدون ایجاد هیچ‌گونه تأثیری بر روی سرعت رایانه‌ها فعالیت می‌کنند.

۲. به محض انتشار وصله‌های امنیتی و به‌روزرسانی‌های نرم‌افزاری آنها را نصب کنید.

هنگامی که نرم‌افزارهای مهم و حیاتی قدیمی شوند یا به وصله های امنیتی نرم افزارهای نصب شده بر روی سیستم ها توجهی نشود، آسیب‌پذیری‌های جدید می توانند سیستم کاربران را در معرض مخاطرات جدی قرار دهند. این آسیب‌پذیری‌ها حفره‌هایی را در سیستم ایجاد می‌کنند که مهاجمان از طریق آنها می‌توانند به سیستم ها یا شبکه سازمانی نفوذ کنند. بنابراین جهت حفظ بهداشت سایبری شبکه‌های سازمانی‌تان باید به‌روزرسانی‌ها و وصله‌های امنیتی را به محض اینکه منتشر می‌شوند، نصب کنید.

۳. آموزش‌های لازم درباره مهندسی اجتماعی و فیشینگ را به کارمندان‌تان بدهید.

شما به عنوان مالک یک کسب و کار مسئول هستید که آموزش‌های لازم را در خصوص حملات مهندسی اجتماعی و فیشینگ (که نقش مهمی در موفقیت چشم‌گیر Emotet داشته‌اند) به کارمندان‌تان بدهید. یکسری از رفتارها و اقدامات خاصی که باید در فرهنگ رفتاری سازمان‌ها نهادینه شود، شامل موارد زیر هستند:

  • از ارایه اعتبارنامه‌های دیجیتالی پس از دریافت درخواست‌های مشکوک جداً خودداری کنید.
  • ایمیل‌های ارسال شده از سوی فرستندگان ناشناس را هرگز باز نکنید.
  • مقصد اصلی هر لینک را پیش از کلیک کردن بر روی آن بررسی نمایید.
  • اعتبار درخواست‌های دریافتی را بررسی کنید.

اگرچه موارد بالا جزو اصول اولیه امنیت سایبری هستند ولی توجه به همین نکات ساده می‌تواند از اطلاعات شما در مقابل بدافزارها محافظت کند.

۴. یک سیاست ویژه در زمینه برخورد با ایمیل‌های مشکوک در سطح سازمان تدوین کنید.

فرض کنید به کارمندان‌ سازمان آموزش‌های لازم درباره نحوه تشخیص فعالیت‌های مشکوک داده می شود ولی آیا سازمان یک سیاست شفاف و از پیش تعیین شده در رابطه با نحوه برخورد کارمندان با پیام‌های مشکوک دارد؟ اگر پاسخ این سؤال «منفی» است پس بهتر است مدیر و تیم‌ امنیتی سازمان هر چه زودتر برای تدوین چنین سیاستی دست به کار شوند. ابتدا همه ایمیل‌های مشکوک باید به بخش امنیت یا فناوری اطلاعات سازمان گزارش داده شده و بخش مسئول هم باید اقدامات لازم را برای مقابله با تهدید و پیشگیری از آلودگی شبکه انجام دهد.

۵. پیوست‌های آلوده را مسدود کنید.

مسدود کردن ایمیل‌های حاوی فایل‌هایی با پسوندهای dll و exe که توسط بدافزارها مورد استفاده قرار می‌گیرند یکی از اصول مهم امنیت سایبری است. توصیه می‌شود پیوست‌هایی مثل فایل‌های zip که امکان پویش آنها توسط نرم افزارهای آنتی‌ویروس وجود ندارد را مسدود کنید. Emotet نیز در حملات خود از فایل‌های dll استفاده می کرد و به همین خاطر انجام چنین اقدامی مانع از پیش‎‌روی سایر بدافزارهای مشابه در شبکه سازمانی شما خواهد شد.

۶. از یک سیستم فیلترینگ ایمیل برای جلوگیری از انتشار بدافزارهای ایمیلی استفاده کنید.

با توجه به گسترش روزافزون حملات بدافزاری از طریق هرزنامه‌ها کسب و کار شما نیاز به یک راهکار پیشرفته برای حفاظت در برابر تهدیدات ایمیلی دارد. یک سیستم فیلترینگ خوب ایمیل ها می‌تواند به شما برای دستیابی به این هدف کمک کند. این ابزارها علاوه بر شناسایی هرزنامه‌ها پیام‌های حاوی دامنه‌ها، نشانی‌های وب و آدرس آی‌پی‌های مخرب را هم شناسایی و پیوست‌های آلوده به بدافزار را پاک می‌کنند. آنها همچنین می‌توانند مکملی برای سایر راهکارهای امنیت ایمیل مورد استفاده شما و همچنین مایکروسافت ۳۶۵ باشند. با توجه به اینکه Emotet از یک قابلیت خاص برای توزیع از طریق اوت لوک[۱۵] بهره می برد بنابراین استفاده از یک لایه حفاظتی اضافی می‌تواند برای مقابله با بدافزارهای مشابه مفید باشد.

۷. سطوح دسترسی را مدیریت کنید.

یکی از روش‌های امن برای جلوگیری از حملات مشابه Emotet پیروی از اصل اعطای کمترین سطح دسترسی به کارکنان است. بهتر است کارمندان سازمان از حداقل سطح دسترسی برای انجام وظایف کاری خود برخوردار بوده و فقط افرداد محدودی به حساب کاربری مدیریتی دسترسی داشته باشند. بنابراین حتی اگر سیستم‌هایی که تحت اختیار کارمندانی با دسترسی‌های محدود قرار دارند دچار آلودگی شوند، احتمال گسترش بدافزارها کمتر خواهد شد. البته از آنجا که در این صورت مدیر شبکه باید وقت بیشتری را صرف ارتقا یا کاهش سطوح دسترسی کارکنان کند و کارمندان هم باید مدت زمانی را تا اعطای دسترسی مدنظرشان صبر کنند، انجام این اقدام به صورت دستی شاید باعث کاهش سرعت شود. توصیه می‌شود سازمان‌ها از ابزارهای خودکارسازی مناسب برای برطرف نمودن چنین مشکلاتی استفاده کنند.

در صورت آلودگی شبکه به Emotet چه کاری باید انجام داد؟

با وجود همه آموزش‌ها و تلاش‌های صورت گرفته برای مقابله با بدافزار Emotet همچنان امکان وقوع آلودگی‌های بدافزاری توسط آن وجود دارد. کارشناسان امنیتی توصیه می‌کنند در صورت آلودگی شبکه سازمان‌تان به این بدافزار، اقدامات زیر را در اسرع وقت انجام دهید:

  • سیستم‌های آلوده را شناسایی و ارتباط آنها با شبکه سازمانی را به سرعت قطع کنید.
  • از ورود به سیستم آلوده با حساب کاربری مدیر سیستم جدداً خودداری نمایید.
  • تمام کلمات عبور مورد استفاده یا ذخیره شده بر روی دستگاه‌های آلوده را بازنشانی کنید.
  • منبع آلودگی را پیدا کرده و حساب کاربری خاصی که از طریق آن آلودگی صورت گرفته است را بررسی کنید.

جمع‌بندی

در صورت آلودگی به بدافزار ممکن است نیاز به انجام اقدام های بیشتری داشته باشید. بر اساس مواردی که در تاریخچه Emotet به آنها اشاره کردیم مقابله با آسیب‌های ایجاد شده توسط این تروجان چندان کار ساده و آسانی نیست. از این رو توصیه می‌شود که تمام تلاش‌تان را برای جلوگیری از آلودگی به بدافزار، باج‌افزار و سایر حملات سایبری انجام دهید. این روش نه تنها برای سازمان شما مقرون به صرفه‌تر است بلکه از افشای اطلاعات حساس شما نیز جلوگیری می‌کند. فراموش نکنید که همواره پیشگیری بهتر از درمان است.

[۱] Malspam از ترکیب کلمات Malware و Spam ایجاد شده است.

[۲] هرزنامه‌هایی که حاوی بدافزار هستند.

[۳] Ransomware-as-a-Service

[۴] Dynamic Link Lybrary

[۵] بویشگر به برنامه‌ای رایانه‌ای یا قطعه‌ای سخت‌افزاری گفته می‌شود که می‌تواند به رهگیری و ضبط جریان اطلاعات در یک شبکه یا بخشی از یک شبکه رایانه‌ای بپردازد (ویکی‌پدیا).

[۶] MS-ISAC

[۷] National Cybersecurity and Communications Integration Center

[۸] Server Message Block، پروتکلی که جهت به اشتراک‌گذاری فایل‌ها، چاپگرها و پورت‌های سریال مورد استفاده قرار می‌گیرد.

[۹] Automatic Transfer System

[۱۰] از اولین الگوریتم های رمزنگاری به روش کلید عمومی است که به صورت گسترده برای تأمین امنیت انتقال داده ها از آن استفاده می‌شود.

[۱۱] فایل های جاوا اسکریپت و CSS تکراری با ایجاد درخواست های غیرضروری، سبب کاهش کارایی یک وب سایت شده و باعث به هدر رفتن زمان جهت اجرای جاوا اسکریپت تکراری می شوند.

[۱۲] Distributed Denial of Service

[۱۳] بارگذار نوعی بدافزار است که پس از نفوذ به یک شبکه، امکان انتقال و نصب پی‌لودهای مرحله دوم را برای طراحان خود فراهم می‌کند. این پی‌لودها می‌توانند شامل پیمانه‌های خود بدافزار یا اجزای طراحی شده توسط سایر مجرمان سایبری باشند.

[۱۴] TrickBot یک تروجان سرقت اطلاعات است که از آسیب‌پذیری‌های مورد استفاده توسط باج‌افزار WannaCry، سوءاستفاده می‌کند.

[۱۵] Outlook یک نرم افزار است که از آن برای ارسال و دریافت نامه‌های الکترونیکی استفاده می شود.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × سه =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.