در دنیای مجازی و فضای آنلاین شاهد افزایش ظهور انواع بدافزارها بر ضد کاربران اینترنتی، دستگاههای دیجیتالی و سیستمهای هوشمند از جمله رایانهها، تبلتها و گوشیهای تلفن همراه هوشمند هستیم. ویروسها، کرمهای رایانهای، تروجانها و سایر بدافزارها، باجافزارها و جاسوسافزارها نمونههایی از طیف گسترده برنامه های مخرب هستند که در شکل های گوناگون مانند کد، فایل، محتوای فعال و غیره وارد سیستمهای رایانهای شده و بر عملکرد آنها تأثیرات منفی میگذارند.
یکی از انواع بدافزارها که سابقه به نسبت طولانی داشته و هدف آن تنها سرقت اطلاعات مالی کاربران است، بدافزار “Emotet” میباشد. در این مطلب از فراست نگاهی به این بدافزار، نحوه عملکرد و همچنین چگونگی مقابله با آن خواهیم داشت.
Emotet چیست؟
Emotet یک تروجان بانکی چندوجهی است که معمولاً از طریق [1]Malspamها (هرزنامههای بدافزاری[2]) منتشر میشود. پیامهای هرزنامهای که به این روش انتشار مییابند به منظور جذب و فریب کاربران، با بهره گیری از ترفندهای مختلف مهندسی اجتماعی و سوءاستفاده از نام برندهای مشهور و معتبری همچون پیپال یا DHL در قالب ایمیل های ارسالی به افراد مورد استفاده قرار میگیرند. اسکریپتهای مخرب، لینکهای فیشینگ و فایلهای مجهز به ماکرو از جمله روشهایی هستند که توسط Emotet برای ایجاد آلودگی در سیستم کاربران و سرقت اطلاعات مالی آنها استفاده می شوند.
این بدافزار، قابلیت گریز از فناوریهای تشخیص معمولی مبتنی بر امضا را دارد. نسخه ساده Emotet اولینبار توسط گروه هکری Mealybug که فعالیت خود را از سال 2014 میلادی آغاز کرده مورد استفاده قرار گرفت. این گروه با راهاندازی یک باتنت متشکل از رایانههای آلوده به Emotet و مشتمل بر سه کلاستر سرور به نامهای Epoch 1، Epoch 2 و Epoch 3 شروع به انجام فعالیت های خرابکارانه و فروش دسترسی به این باتنت به سایر مهاجمان سایبری نمود. سپس به تدریج این عملیات مجرمانه تبدیل به روشی موسوم به ارایه باجافزار به عنوان سرویس (RaaS[3]) شد که از طریق اجاره این زیرساخت مخرب اقدام به درآمدزدایی برای مالکان خود میکرد. آنها بعدها این مدل را به عوامل باجافزارهای مختلف مانند گروه مشهور Ryuk فروختند.
بر اساس یک هشدار امنیتی منتشر شده در جولای 2018 میلادی توسط وزارت امنیت میهن آمریکا (DHS) از Emotet به عنوان مخربترین و پرهزینهترین بدافزار تأثیرگزار بر دولتهای ایالتی، فدرال و محلی آمریکا نام برده شده که بیش از یک میلیون دلار خسارت وارد کرده است. این بدافزار با قابلیت کرم مانند خود می تواند به سرعت آلودگی را در سطح شبکه منتشر نموده و مقابله با آن نیز کار چندان آسانی نیست.
نحوه فعالیت این بدافزار چگونه است؟
Emotet ابتدا در سال 2014 میلادی توسط یک تحلیلگر تهدیدات سایبری به نام “Joie Salvio” شناسایی شد. ایمیلهای آلوده به این بدافزار معمولاً به صورت جزئیات انتقال یا وجه بانکی صورتحساب تحویل کالا شبیهسازی شده و کاربران را به کلیک بر روی لینکهای مختلف تشویق میکنند. این بدافزار در آغاز فعالیت خود عموماً مشتریان بانکهای کوچک در آلمان و اتریش را مورد هدف قرار میداد.
پس از ورود Emotet به شبکه قربانیان، سایر اجزای آن دانلود و در سیستم قربانی بارگذاری میشوند. در بین اجزای بدافزار، یک فایل پیکربندی حاوی اطلاعاتی درباره قربانیان و همچنین فایلی با پسوند [4].dll وجود دارد که به تمام فرایندهای سیستمی تزریق میشود. علاوه بر اینها فایل دیگری نیز وجود دارد که کل ترافیک خروجی شبکه قربانی را ثبت و تفسیر میکند. از این عملیات در دنیای امنیت سایبری به «عملیات حمله پویش شبکه[5]» یاد می شود. متأسفانه حتی اگر از ارتباط امن HTTPS استفاده کنید باز هم امکان وقوع چنین رویدادی وجود دارد.
فایل .dll پس از تزریق به مرورگر، ورودیهای کاربر را با پیکربندی خود مقایسه نموده و در صورت یافتن یک گزینه منطبق، اقدام به ثبت و جمع آوری دادههای وی میکند. مواردی که توسط Emotet دانلود میشوند در تعدادی رکورد رمزنگاری شده از رجیستری که کاربران معمولی به ندرت آنها را بررسی میکنند، مورد استفاده قرار میگیرند. بنابراین امکان مخفیسازی فعالیتهای مخرب و پیشگیری از تشخیص بدافزار توسط آنتیویروسهایی که بر اساس فایل کار میکنند، به وجود میآید.
اگرچه ویژگی برجسته این بدافزار، قابلیت کرم مانند آن است ولی Emotet با گذشت زمان تکامل زیادی یافته و مجهز به تواناییهای بیشتر از جمله قابلیت تطبیق و عدم امکان شناسایی راحت خود شده است. این بدافزار برای تداوم حضور پیوسته خود از روشهای گوناگونی مانند شروع خودکار سرویسها و تغییر در کلیدهای رجیستری بهره برده و از فایلهای DLL پیمانهای نیز برای رشد، تکامل و بهروزرسانی مداوم قابلیتهای خود استفاده میکند. علاوه بر این Emotet توانایی تشخیص ماشین مجازی را داشته و در صورت اجرا در یک محیط مجازی، علائم دروغینی از خود نشان می دهد.
Emotet چگونه منتشر میشود؟
بدافزار Emotet به کمک ماژول خاصی که مسئول انتشار آن در شبکه است و از چند پیمانه پخش کننده بدافزار تشکیل شده منتشر میشود. هشدارهایی که در خصوص این بدافزار و توسط مرکز تحلیل و اشتراکگذاری اطلاعات ایالتی آمریکا[6] و مرکز ملی یکپارچهسازی امنیت سایبری و ارتباطات[7] ارایه شده اند، شامل موارد زیر هستند:
- NetPass.exe: یک ابزار بازیابی کلمه عبور که توسط NirSoft طراحی شده و توسط کاربران عادی هم مورد استفاده قرار میگیرد. این ابزار میتواند تمام کلمات عبور ذخیره شده در یک سیستم و همچنین کلمات ذخیره شده بر روی درایوهای بیرونی را بازیابی کند.
- WebBrowserPassView: یکی دیگر از ابزارهای بازیابی کلمه عبور که توانایی کار با مرورگرهای شناخته شده همچون گوگل کروم، اینترنت اکسپلورر، موزیلا فایرفاکس، اوپرا و سافاری را دارد.
- MailPassView: یک ابزار دیگر برای بازیابی کلمه عبور است که میتواند اطلاعات را از سرویسهای ایمیل محبوب مانند جیمیل، اوتلوک، هاتمیل، یاهو، ویندوز میل و موزیلا تاندربرد جمعآوری نماید.
- Outlook Scraper: یک ابزار مخرب که اطلاعات را از حسابهای کاربری اوتلوک استخراج نموده و از آنها برای ارسال تعداد بسیار زیادی ایمیل فیشینگ استفاده میکند.
- یک شمارشگر اعتبارنامههای دیجیتال: این سرویس در قالب فایل rar بوده و شامل یک بخش مخصوص سرویس و همچنین بخشی ویژه دور زدن سازوکارهای دفاعی است. این بخش با استفاده از اطلاعاتی که توسط چهار ابزار قبلی جمعآوری شدهاند و نیز جستجوی فراگیر سعی میکند به اطلاعات حسابهای کاربری دسترسی یافته یا درایوهایی که مجهز به قابلیت نوشتن هستند را به کمک بلاک پیام سرور (SMB[8]) پیدا کند. در نهایت هنگامی که یک سیستم در دسترس پیدا شود، بخش مخصوص سرویس Emotet فعال شده و کل فضای هارد دیسک آن را آلوده مینماید.
تاریخچه مختصری از بدافزار Emotet
Emotet یکی از بدافزارهای مشهور دهه اخیر است که تاریخچه جالبی دارد. در ادامه مطلب، مراحل تغییر و تحول این بدافزار را در سالهای مختلف بررسی کرده ایم. مطالعه این بخش به شما کمک میکند تا اولاً با روشهایی که توسط Mealybug و سایر گروههای هکری مورد استفاده قرار میگیرند آشنا شده و همچنین از سازمان و کسب و کارتان در برابر این حملات به خوبی محافظت کنید.
2014
در ژوئن سال 2014 میلادی اولین تحلیل مستند از بدافزار Emotet به همراه یک بررسی اجمالی از نحوه عملکرد آن توسط Joie Salvio منتشر شد. پس از مدت کوتاهی از انتشار نسخه اولیه این بدافزار، نسخه دوم آن نیز ارایه شد. در آن زمان مجرمان سایبری قربانیانشان را از بین مشتریان بانکهای آلمان و اتریش انتخاب نموده و در حملات خود از یک سیستم انتقال خودکار (ATS[9]) که امکان انتقال سریع وجه از حساب قربانیانشان را داشت، استفاده می کردند. آنها تمام تلاش خود را برای جلوگیری از شناسایی توسط قربانیان و تیمهای امنیتی به کار میبردند. با این حال فعالیت نسخه دوم Emotet در دهم دسامبر 2014 متوقف و آخرین فرمان سرورهای این بدافزار در این تاریخ ثبت شد.
2015
عوامل بدافزار Emotet پس از تعطیلات سال نو و در ژانویه سال 2015 با نسخه سوم آن بازگشتند. اگرچه نسخه جدید تفاوت چندانی با نسخههای پیشین نداشت ولی مجهز به قابلیتهای کلیدی همچون کلید عمومی [10]RSA جدید و پاکسازی جزئی اسکریپت [11]ATS بود که مانع از شناسایی آن توسط کارشناسان و متخصصان امنیتی میشد. این گروه هکری پس از مدتی در حملاتشان تنوع ایجاد نموده و علاوه بر قربانیان آلمانی و اتریشی، مشتریان بانکهای سوئیسی را نیز هدف حملات خود قرار دادند. در همین سال، بدافزار Emotet به یک تهدید پیمانهای تبدیل شد و حملات محروم سازی از سرویس توزیع شده (DDoS[12]) و سرقت اطلاعات ورود به ایمیل هم به مجموعه فعالیتهای طراحان آن افزوده شد.
2016
هر چند مستندات مرتبط با فعالیتهای Emotet در سال 2016 تقریباً محدود است ولی تحلیلگران امنیتی توانستند ثابت کنند که توسعه دهندگان این تروجان آن را به گونهای پیکربندی کرده اند تا به صورت یک بارگذار[13] (یا لودر) عمل کند. همچنین در این سال کارشناسان امنیتی متوجه انتخاب دوباره قربانیان این بدافزار از بین مشتریان بانکهای آلمانی و اتریشی شده و به این نتیجه رسیدند که این گروه همچنان در حال ادامه رویکرد خود مبنی بر هدفگیری قربانیان کوچک است.
2017
گروه هکری Mealybug در سال 2017 میلادی از رویکرد ارایه بدافزار به عنوان سرویس (RaaS) استفاده نمود و تروجان بانکی IcedID را از طریق زیرساخت خود منتشر کرد. در همان سال، این گروه هکری تروجان Trickbot و باجافزار UmberCrypt را هم توزیع نمود. در سال 2017 هکرها با استفاده از بدافزار Emotet حوزه فعالیتشان را به کشورهای دیگری مثل چین، کانادا، انگلیس و مکزیک توسعه داده و این تغییر مسیر از سمت گروهی که قبلاً متمرکز بر کشورهایی بود که به زبان آلمانی صحبت میکردند، قابل توجه است. ممکن است گسترش استفاده از خدمات RaaS تروجان Emotet در همان بازه زمانی، یکی از دلایل انجام چنین تغییری باشد.
2018
در سال 2018 میلادی Emotet با حمله به شهر آلنتاون آمریکا اولین اقدام مجرمانهاش را در حمله به این کشور آغاز کرد. مهاجمان همچنین در این سال، همکاری خود با TrickBot[14] را تقویت کردند. در همان زمان باتنت بدافزار TrickBot شروع به انتشار یک خانواده از تروجانهای بانکی با توانایی های مشابه یک کرم شبکهای به نام “Qakbot” نمود.
2019
در سال 2019 رویدادهای مهمی از جمله حملات بزرگ بر ضد یکسری از نهادهای آلمانی و همچنین شهر فرانکفورت اتفاق افتاد. این حملات بخشی از یک حمله وسیعتر بودند که قربانیانی را در کشورهای آلمان، لهستان، انگلیس و ایتالیا مورد هدف قرار دادند. این عملیات با دقت بالایی طراحی و اجرا شد و توانست سازمانها و مؤسسات بسیار زیادی را با موفقیت مورد هدف قرار دهد. مهاجمان در این حملات با ارسال ایمیلهایی با مضمون «صورتحساب عقب افتاده» و «توصیههای حواله پرداخت» کارمندان را تشویق به باز نمودن فایلهای آلوده مایکروسافت ورد میکردند. قربانیان با باز کردن این فایلها ماکروی مخربی را بر روی سیستم خود فعال میکردند. این ماکرو، Emotet را از وبسایتهای وردپرس آلوده دانلود و آن را در شبکه هدف توزیع میکرد. از این رو سال 2019 نقش بسیار پررنگی در تاریخچه بدافزار Emotet داشته و رویدادهای بسیار مهمی در این سال رخ داده است.
2020
Emotet در فوریه 2020 میلادی غیرفعال شد ولی فعالیت خود را مجدداً در ماه جولای همان سال دوباره از سر گرفت. بر اساس آمار و نتایج تحقیقات صورت گرفته، این بدافزار از ماه جولای به بعد حدود 250 هزار پیام فیشنگ را ارسال کرده است. اقدامات جدید این بدافزار شامل ارسال هرزنامههای بدافزاری به زبان انگلیسی به سازمانهای مستقر در آمریکا و انگلیس بود. پس از این حملات فعالیت Emotet کمرنگ شده ولی در چهارده اکتبر همان سال مجدداً فعالیت خود را آغاز کرد. در این زمان شیوع بیماری کرونا نیز فرصتهای جدید و وسوسه انگیزی را برای مهاجمانی که از این بدافزار استفاده میکردند به وجود آورد. Emotet همچنین یک الگوی کاملاً جدید برای طراحی فایلها داشت که در قالب فایل بهروزرسانی ویندوز طراحی شده و کاربران را ملزم به نصب نسخه جدید از مایکروسافت ورد میکرد. چنانچه قربانیان از این دستور پیروی میکردند، سیستم آنها آلوده میشد.
2021
در بیست و هفتم ژانویه 2021 میلادی زیرساخت باتنت Emotet از کار افتاد و به این ترتیب اختلالاتی در توزیع این بدافزار ایجاد شد. این موفقیت در اثر یک عملیات هماهنگ شده با مدیریت یوروپل و یوروجاست به دست آمد. نهادهای مجری قانون در اروپا از جمله آلمان، اوکراین، فرانسه، لیتوانی، هلند و انگلیس با مقامات آمریکایی همکاری کرده تا بتوانند کنترل سرورهای این گروه را در اختیار بگیرند. در همان زمان مجریان قانون پس از در اختیار گرفتن کنترل سرور Emotet توانستند کل باتنت آن را از کار بیاندازند.
بنا به گفته کارشناسان امنیتی: «زیرساخت مورد استفاده Emotet شامل صدها سرور مستقر در سطح جهان بود که هر کدام از این سرورها مجهز به قابلیتهای مختلفی مانند آلوده نمودن رایانههای قربانی، مدیریت رایانههای آلوده و خدمت به سایر گروههای مجرمانه بودند و همواره سعی میکردند در برابر تلاش مجریان قانون برای شناسایی و از بین بردن آنها مقاوم باشند. با این حال، نهادهای قانونی سیستم های آلوده قربانیانی را که به سمت این زیرساخت هدایت میشدند تحت کنترل گرفته تا بتوانند در فعالیتها و عملیات مجرمان سایبری اختلال ایجاد کنند. سرانجام باتنت Emotet در تاریخ 25 آوریل 2021 میلادی از روی تمام دستگاههایی که آلوده به آن بودند، پاک و به فعالیتش خاتمه داده شد. این اقدام نتیجه تلاشها و عملیات گستردهای بود که توسط پلیس فدرال آلمان از ماه ژانویه آغاز شده بود.
آلودگیهای مهم ایجاد شده توسط بدافزار Emotet
در دهه اخیر، Emotet چندین نهاد مهم از جمله دولتهای محلی، نهادهای دولتی، سازمانهای خصوصی و مؤسسات آموزشی را مورد هدف حملات خود قرار داده است. در حملاتی که توسط این بدافزار بر ضد مؤسسات آلمانی صورت گرفته الگوی خاصی در آنها مشاهده میشود. در ادامه یک مرور کلی بر آلودگیهای مهمی که توسط این بدافزار ایجاد شده اند، خواهیم داشت.
1. آلنتاون، پنسیلوانیا (فوریه 2018)
در فوریه سال 2018 میلادی شهر نسبتاً بزرگ آلنتاون در ایالت پنسیلوانیای آمریکا قربانی حمله تروجان Emotet شد. بنا به گفته شهردار این شهر: «این ویروس، رایانههای دولتی را آلوده نموده و با سرعت بسیار زیادی تکثیر می شود. Emotet تمام اعتبارنامههای دیجیتالی قابل دسترس مثل نام کاربری و کلمه عبور کارمندان را جمعآوری کرده است». بر اساس گفته های مدیر ارتباطات آلنتاون: «مدیران محلی این شهر برای مقابله با آسیب ناشی از این بدافزار، 185 هزار دلار به شرکت مایکروسافت پرداخت کرده است. شهردار هم اعلام کرده که حدود 800 الی 900 هزار دلار برای مقابله با این حمله هزینه شده است».
2. Heise Online (می 2019)
سال 2019 برای شرکت آلمانی Heise Online شروع چندان خوبی نداشت و با خبرهای بسیار بدی آغاز شد. بر اساس اطلاعیه ای که در وبسایت این شرکت منتشر شد یک حمله سایبری در نیمه اول ماه می 2019 بر ضد آن با موفقیت اجرا شد. در این حمله، ایمیلی برای یکی از کارمندان این شرکت آلمانی ارسال شد و در آن از کارمند مربوطه درخواست شده بود اطلاعات موجود در فایل پیوست را بررسی کند. بلافاصله پس از اینکه کارمند مذکور فایل پیوست را باز میکند یک پیام خطای جعلی به او نمایش داده شده و از وی درخواست میشود مجوز دسترسی برای ویرایش فایل را بدهد. کارمند با انجام این کار، مجوز اجرای حمله توسط مهاجمان را صادر می کند! اگرچه به نظر میرسد این آلودگی در همان ابتدا توسط آنتیویروس رایانه قربانی پاکسازی شده ولی انتشار آن به سیستمهای شرکت Online Heise ادامه داشته است. بر اساس هشدارهایی که توسط فایروال شبکه این شرکت ایجاد و به نمایش گذاشته شده است، سیستمهای خارجی منتسب به بدافزار Emotet از طریق پورت TCP 449 به شبکه شرکت Heise Online متصل شدهاند.
3. دادگاه Kammergericht در برلین (سپتامبر 2019)
عالیترین دادگاه ایالتی در شهر ملبورن، Kammergericht Berlin (به اختصار KG) است که به پروندههای کیفری و مدنی رسیدگی میکند. در اواخر سپتامبر سال 2019 کارشناسان مرکز خدمات فناوری اطلاعات هشدار دادند که شبکه این دادگاه به ویروس آلوده شده است. چند روز پس از اعلام این هشدار، وزارت امور داخلی سنا به این مسئله رسیدگی نموده و هشدارهایی را هم در این زمینه صادر کرد ولی اقدام جدی در رابطه با این ویروس صورت نگرفت. مدت کوتاهی بعد، ارتباط شبکه رایانهای این دادگاه بزرگ (که متشکل از 550 سیستم رایانهای بود) با سیستمهای دولتی قطع شد. به این ترتیب Emotet فرصت کافی در اختیار داشت تا آلودگی را گسترش داده و به اهداف خود برسد. این حمله نشان داد که مهاجمان از قربانی کردن هیچ شخص و سازمانی واهمه ندارند.
4. دانشگاه هومبولت برلین (اکتبر 2019)
در اواخر ماه اکتبر سال 2019 میلادی تعدادی ایمیل فیشینگ به دانشگاه هومبولت مستقر در برلین ارسال شد. بر اساس اطلاعیه خبری منتشر شده توسط این دانشگاه، از اوایل نوامبر حدود 43 هزار حساب کاربری مورد نفوذ قرار گرفتند اما از چهاردهم نوامبر به بعد آلودگی جدیدی ثبت نشد. بر اساس گزارشهای منتشر شده، آسیب جدی به شبکههای مرکزی و سرویسهای این دانشگاه بر اثر این حمله وارد نشد. دانشگاه هومبولت اعلام کرد که بلافاصله پس از اولین حادثه، راهکارهای سریعی برای مقابله با حمله اجرا شده اند. در نهایت نیز اتصال رایانههای آلوده به بدافزار از شبکه قطع و به طور کامل پیکربندی مجدد شدند. این حمله در همان ابتدای کار با عکس العمل به موقع کارشناسان امنیتی دانشگاه متوقف شد. دانشگاههای یوستوس لیبیگ گیسن (مستقر شمال فرانکفورت) و کاتولیک در فرایبورگ نیز همان سال مورد هدف حمله Emotet قرار گرفتند.
5. فرانکفورت، آلمان (دسامبر 2019)
حمله به شهر فرانکفورت آلمان که یکی از بزرگترین قطبهای اقتصادی کشور آلمان و کل جهان محسوب می شود از جمله حملات مهم Emotet است. کل شبکه فناوری اطلاعات این شهر در اثر این حمله از کار افتاد و سازمانهای عمومی و خصوصی متحمل ضررهای مالی بسیار زیادی شدند. بنا به دستور دفتر فدرال امنیت اطلاعات آلمان تمام سیستمها برای مقابله با این حمله از کار افتادند. این تصمیم اگرچه خسارتهای زیادی را وارد کرد اما تنها راهکار ممکن برای مقابله با ادامه چنین آلودگی وسیعی بود. در دسامبر 2019 نیز شهر هامبورگ آلمان مورد هدف باجافزار Emotet قرار گرفت. برای مقابله با این حمله تمام رایانهها و سرورها از کار افتاده و در اواخر ماه دسامبر فعالیت خود را مجدداً آغاز کردند.
چگونه از سازمانتان در برابر Emotet حفاظت کنید؟
ممکن است تصور کنید در سالهای اخیر هیچگونه تغییر و تحولی در این بدافزار ایجاد نشده ولی خوب است بدانید که Emotet از سال 2014 میلادی به بعد با استفاده از فایلهای DLL رویکردها و فنون حملهاش را به صورت مستمر ارتقا داده و بیش از 5 سال توانسته است در برابر تلاش مدافعان سایبری برای از کار انداختن آن مقاومت کند. توصیه مهم کارشناسان امنیتی این است که به هیچ وجه حملات بدافزاری را نادیده نگیرید.
بعضی از پیامدهای نامطلوب آلودگی به این بدافزار شامل موارد زیر هستند:
- از دست رفتن دادههای مهم و حیاتی
- ایجاد اختلال در عملیات های کسب و کاری روزانه
- وارد کردن خسارت های بسیار زیاد
- آسیب به اعتبار و شهرت سازمانی.
در ادامه، نکات مهمی را بررسی میکنیم که به مدیران سازمانها و تیمهای امنیتی کمک میکنند از سازمانشان در برابر بدافزار Emotet به نحو اثربخشی محافظت کنند.
1. از یک آنتیویروس نسل جدید استفاده کنید.
طراحی خاص Emotet باعث شده که امکان شناسایی آن به راحتی توسط نرم افزارهای آنتیویروس سنتی مبتنی بر فایل وجود نداشته باشد. بنابراین توصیه میشود یک نرمافزار قویتر که قدرت مقابله با تهدیدات جدید و پیشرفته را دارد بر روی سیستم های کاربران نصب کنید. بهترین روش برای مقابله با حملات بدافزاری استفاده از یک نرم افزار آنتیویروس نسل جدید است که قابلیت نظارت زنده بر روی تمامی پردازشهای سیستم را دارد. این نرم افزارها در پسزمینه سیستم و بدون ایجاد هیچگونه تأثیری بر روی سرعت رایانهها فعالیت میکنند.
2. به محض انتشار وصلههای امنیتی و بهروزرسانیهای نرمافزاری آنها را نصب کنید.
هنگامی که نرمافزارهای مهم و حیاتی قدیمی شوند یا به وصله های امنیتی نرم افزارهای نصب شده بر روی سیستم ها توجهی نشود، آسیبپذیریهای جدید می توانند سیستم کاربران را در معرض مخاطرات جدی قرار دهند. این آسیبپذیریها حفرههایی را در سیستم ایجاد میکنند که مهاجمان از طریق آنها میتوانند به سیستم ها یا شبکه سازمانی نفوذ کنند. بنابراین جهت حفظ بهداشت سایبری شبکههای سازمانیتان باید بهروزرسانیها و وصلههای امنیتی را به محض اینکه منتشر میشوند، نصب کنید.
3. آموزشهای لازم درباره مهندسی اجتماعی و فیشینگ را به کارمندانتان بدهید.
شما به عنوان مالک یک کسب و کار مسئول هستید که آموزشهای لازم را در خصوص حملات مهندسی اجتماعی و فیشینگ (که نقش مهمی در موفقیت چشمگیر Emotet داشتهاند) به کارمندانتان بدهید. یکسری از رفتارها و اقدامات خاصی که باید در فرهنگ رفتاری سازمانها نهادینه شود، شامل موارد زیر هستند:
- از ارایه اعتبارنامههای دیجیتالی پس از دریافت درخواستهای مشکوک جداً خودداری کنید.
- ایمیلهای ارسال شده از سوی فرستندگان ناشناس را هرگز باز نکنید.
- مقصد اصلی هر لینک را پیش از کلیک کردن بر روی آن بررسی نمایید.
- اعتبار درخواستهای دریافتی را بررسی کنید.
اگرچه موارد بالا جزو اصول اولیه امنیت سایبری هستند ولی توجه به همین نکات ساده میتواند از اطلاعات شما در مقابل بدافزارها محافظت کند.
4. یک سیاست ویژه در زمینه برخورد با ایمیلهای مشکوک در سطح سازمان تدوین کنید.
فرض کنید به کارمندان سازمان آموزشهای لازم درباره نحوه تشخیص فعالیتهای مشکوک داده می شود ولی آیا سازمان یک سیاست شفاف و از پیش تعیین شده در رابطه با نحوه برخورد کارمندان با پیامهای مشکوک دارد؟ اگر پاسخ این سؤال «منفی» است پس بهتر است مدیر و تیم امنیتی سازمان هر چه زودتر برای تدوین چنین سیاستی دست به کار شوند. ابتدا همه ایمیلهای مشکوک باید به بخش امنیت یا فناوری اطلاعات سازمان گزارش داده شده و بخش مسئول هم باید اقدامات لازم را برای مقابله با تهدید و پیشگیری از آلودگی شبکه انجام دهد.
5. پیوستهای آلوده را مسدود کنید.
مسدود کردن ایمیلهای حاوی فایلهایی با پسوندهای dll و exe که توسط بدافزارها مورد استفاده قرار میگیرند یکی از اصول مهم امنیت سایبری است. توصیه میشود پیوستهایی مثل فایلهای zip که امکان پویش آنها توسط نرم افزارهای آنتیویروس وجود ندارد را مسدود کنید. Emotet نیز در حملات خود از فایلهای dll استفاده می کرد و به همین خاطر انجام چنین اقدامی مانع از پیشروی سایر بدافزارهای مشابه در شبکه سازمانی شما خواهد شد.
6. از یک سیستم فیلترینگ ایمیل برای جلوگیری از انتشار بدافزارهای ایمیلی استفاده کنید.
با توجه به گسترش روزافزون حملات بدافزاری از طریق هرزنامهها کسب و کار شما نیاز به یک راهکار پیشرفته برای حفاظت در برابر تهدیدات ایمیلی دارد. یک سیستم فیلترینگ خوب ایمیل ها میتواند به شما برای دستیابی به این هدف کمک کند. این ابزارها علاوه بر شناسایی هرزنامهها پیامهای حاوی دامنهها، نشانیهای وب و آدرس آیپیهای مخرب را هم شناسایی و پیوستهای آلوده به بدافزار را پاک میکنند. آنها همچنین میتوانند مکملی برای سایر راهکارهای امنیت ایمیل مورد استفاده شما و همچنین مایکروسافت 365 باشند. با توجه به اینکه Emotet از یک قابلیت خاص برای توزیع از طریق اوت لوک[15] بهره می برد بنابراین استفاده از یک لایه حفاظتی اضافی میتواند برای مقابله با بدافزارهای مشابه مفید باشد.
7. سطوح دسترسی را مدیریت کنید.
یکی از روشهای امن برای جلوگیری از حملات مشابه Emotet پیروی از اصل اعطای کمترین سطح دسترسی به کارکنان است. بهتر است کارمندان سازمان از حداقل سطح دسترسی برای انجام وظایف کاری خود برخوردار بوده و فقط افرداد محدودی به حساب کاربری مدیریتی دسترسی داشته باشند. بنابراین حتی اگر سیستمهایی که تحت اختیار کارمندانی با دسترسیهای محدود قرار دارند دچار آلودگی شوند، احتمال گسترش بدافزارها کمتر خواهد شد. البته از آنجا که در این صورت مدیر شبکه باید وقت بیشتری را صرف ارتقا یا کاهش سطوح دسترسی کارکنان کند و کارمندان هم باید مدت زمانی را تا اعطای دسترسی مدنظرشان صبر کنند، انجام این اقدام به صورت دستی شاید باعث کاهش سرعت شود. توصیه میشود سازمانها از ابزارهای خودکارسازی مناسب برای برطرف نمودن چنین مشکلاتی استفاده کنند.
در صورت آلودگی شبکه به Emotet چه کاری باید انجام داد؟
با وجود همه آموزشها و تلاشهای صورت گرفته برای مقابله با بدافزار Emotet همچنان امکان وقوع آلودگیهای بدافزاری توسط آن وجود دارد. کارشناسان امنیتی توصیه میکنند در صورت آلودگی شبکه سازمانتان به این بدافزار، اقدامات زیر را در اسرع وقت انجام دهید:
- سیستمهای آلوده را شناسایی و ارتباط آنها با شبکه سازمانی را به سرعت قطع کنید.
- از ورود به سیستم آلوده با حساب کاربری مدیر سیستم جدداً خودداری نمایید.
- تمام کلمات عبور مورد استفاده یا ذخیره شده بر روی دستگاههای آلوده را بازنشانی کنید.
- منبع آلودگی را پیدا کرده و حساب کاربری خاصی که از طریق آن آلودگی صورت گرفته است را بررسی کنید.
جمعبندی
در صورت آلودگی به بدافزار ممکن است نیاز به انجام اقدام های بیشتری داشته باشید. بر اساس مواردی که در تاریخچه Emotet به آنها اشاره کردیم مقابله با آسیبهای ایجاد شده توسط این تروجان چندان کار ساده و آسانی نیست. از این رو توصیه میشود که تمام تلاشتان را برای جلوگیری از آلودگی به بدافزار، باجافزار و سایر حملات سایبری انجام دهید. این روش نه تنها برای سازمان شما مقرون به صرفهتر است بلکه از افشای اطلاعات حساس شما نیز جلوگیری میکند. فراموش نکنید که همواره پیشگیری بهتر از درمان است.
[1] Malspam از ترکیب کلمات Malware و Spam ایجاد شده است.
[2] هرزنامههایی که حاوی بدافزار هستند.
[3] Ransomware-as-a-Service
[4] Dynamic Link Lybrary
[5] بویشگر به برنامهای رایانهای یا قطعهای سختافزاری گفته میشود که میتواند به رهگیری و ضبط جریان اطلاعات در یک شبکه یا بخشی از یک شبکه رایانهای بپردازد (ویکیپدیا).
[6] MS-ISAC
[7] National Cybersecurity and Communications Integration Center
[8] Server Message Block، پروتکلی که جهت به اشتراکگذاری فایلها، چاپگرها و پورتهای سریال مورد استفاده قرار میگیرد.
[9] Automatic Transfer System
[10] از اولین الگوریتم های رمزنگاری به روش کلید عمومی است که به صورت گسترده برای تأمین امنیت انتقال داده ها از آن استفاده میشود.
[11] فایل های جاوا اسکریپت و CSS تکراری با ایجاد درخواست های غیرضروری، سبب کاهش کارایی یک وب سایت شده و باعث به هدر رفتن زمان جهت اجرای جاوا اسکریپت تکراری می شوند.
[12] Distributed Denial of Service
[13] بارگذار نوعی بدافزار است که پس از نفوذ به یک شبکه، امکان انتقال و نصب پیلودهای مرحله دوم را برای طراحان خود فراهم میکند. این پیلودها میتوانند شامل پیمانههای خود بدافزار یا اجزای طراحی شده توسط سایر مجرمان سایبری باشند.
[14] TrickBot یک تروجان سرقت اطلاعات است که از آسیبپذیریهای مورد استفاده توسط باجافزار WannaCry، سوءاستفاده میکند.
[15] Outlook یک نرم افزار است که از آن برای ارسال و دریافت نامههای الکترونیکی استفاده می شود.