مرکز امنیت و‌ رخدادهای‌ سایبری | APK

بررسی حملات مبتنی بر SMB و روش های مقابله با آن

بررسی حملات مبتنی بر SMB و روش های مقابله با آن

اگر به چشم‌انداز تهدیدها در دوره‌های زمانی طولانی نگاه کنید، خواهید دید که بعضی از تهدیدها به صورت چرخه‌ای رخ می‌دهند. از انواع تهدیدها و روش‌های حمله به صورت مداوم استفاده می‌شود و پس از یک بازه دیگر فراموش می‌شوند و یا به ندرت از آنها استفاده می‌گردد و هنگامی‌که استفاده از یک روش حمله کاهش می‌یابند، یک مسیر دیگر رایج می‌شود.

به عنوان مثال، به اشتراک‌گذاری در شبکه توجه کنید، فناوری‌ای که به کاربران اجازه می‌دهد فایل‌ها و فولدرها را از طریق شبکه به اشتراک بگذارند. پیش از این اشتراک گذاری فایل و فولدر در شبکه‌ یک هدفِ محبوب برای Wormهای کامپیوتری محسوب می‌شدند، اما در سال‌های اخیر از محبوبیت آن‌ها کاسته شده و برعکس حملات به ایمیل‌ها و وب‌سایت‌ها و نفوذ به آن‌ها افزایش یافته است. تا اینکه 18 ماه پیش WannaCry مسیر چشم انداز تهدیدات را تغییر داد و مجددا توجه‌ها دوباره به سوی اشتراک‌گذاری شبکه‌ای و به خصوص پروتکل Server Message Block  یا SMB که برای بسیاری از زیرساخت‌ها حیاتی می‌باشد، کشیده شد.

ممکن است تصور کنید که در این چشم‌انداز در حال تغییر تهدیدها، WannaCry بسیار قدیمی و فراموش شده باشد، اما با اینکه شوک حاصل شده از این تهدید گذشته، این بدان معنی نیست که مکانیسم‌هایی که به گسترش آن کمک کرده‌اند، هنوز مورد توجه نیستند. WannaCry نشان داده است که می‌توان از SMB به عنوان یک راه نفوذ استفاده نمود و استفاده مکرر مهاجمان از این آسیب‌پذیری باعث جلب توجه به SMB گردیده است. برای مثال چندین Signature مخصوص آسیب‌پذیری SMB در IPSهای فایروال‌های نسل جدید، همیشه جزو 10 Signature اول هستند. با یک جستجوی سریع در وب‌سایت shodan.io، به بیش از دو میلیون دستگاه با پورت 445 باز میرسیم که نشان می‌دهد SMB معمولا باز گذاشته می‌شود.

جریان‌های ترافیک کلی مرتبط با SMB یکنواخت است و با زیر نظر گرفتن یک بازه‌ی دو ماهه‌ی فرآیند بررسی و انتقال داده‌ها از راه دور  Cognitive Intelligence که شامل اوکتبر و نوامبر 2018 می‌شود، ما شاهد یک الگو نسبتا پایدار برای فعالیت های پورت SMB در کلاینت‌ها و سرورها هستیم. این نشان دهنده استفاده منظم از SMB به عنوان یک مسیر حمله می‌باشد.

مطمئنا، افزایش حوادثی که در سیزدهم نوامبر مشاهده می‌شود، قابل بحث است. این اتفاق مصادف با انتشار یک اطلاعیه امنیتی رسمی است که جزئیات آسیب‌پذیری را که می‌تواند از راه دور از طریق SMB انجام شود را مشخص می‌کند. در حالی که نمی‌توانیم با قطعیت بیان کنیم که آیا این حوادث، حملات مهاجمان بوده یا تست نفوذ برای آزمایش آسیب‌پذیری، که اخیرا اشکار شده است و یا هر دو، روشن است که این افزایش فعالیت SMB در نتیجه‌ی انتشار این اطلاعیه امنیتی ایجاد گردیده است.

منشأ SMB چیست؟

از دید کاربر، زیبایی اشتراک‌گذاری اطلاعات درون شبکه‌، به‌دلیل یکپارچه بودن آن است یعنی می‌تواند از طریق یک کامپیوتر از راه دور به فایل‌ها دسترسی پیدا کند و آن‌ها را مانند کامپیوتر Local کپی نماید. حتی به سرور نیز برای برقراری ارتباط بین کامپیوترها نیاز ندارد و کلاینت‌ها و سرورها می‌توانند به طور مستقیم به یکدیگر متصل شوند.

در گذشته، SMB یکی از محبوب‌ترین پروتکل‌ها برای تسهیل این نوع اشتراک‌گذاری‌ها بوده است. بیشتر محبوبیت آن ‌را می‌توان به دلیل بکارگیری، پیاده‌سازی و سرمایه‌گذاری مایکروسافت بر روی این پروتکل که از دهه‌ی 90 میلادی آغاز شد، نسبت داد که در آن راه‌اندازی، پیکربندی و استفاده از SMB در ویندوز آسان بود و برای اهداف مختلفی استفاده می‌شد.

بدون شک پروتکل SMB به دایر کردن بسیاری از شبکه‌های داخلی کمک شایانی کرده است؛ با این حال، این سهولت در استفاده، عواقب بدی را نیز به همراه داشت. این پروتکل نیاز به احراز هویت و رمزگذاری بسیاری کمی داشت. امنیت آن در نسخه‌های بعد بهبود یافت اما به لطف سازگاری با نسخه‌های قدیمی، نسخه‌های ناامن منسوخ شده هنوز هم کار می‌کردند و استفاده می‌شدند.

از آنجا که این پروتکل کامپیوترها را مستقیما به یکدیگر وصل می‌کرد، SMB به یک هدف آسان برای هکرهایی که به دنبال نفوذ کردن به شبکه بودند، تبدیل شده بود. همین امر برای Wormهای کامپیوتری که از طریق یک کامپیوتر به کامپیوتر دیگر پخش می‌شوند، نیز صادق بود. بنابراین، در حالی که SMB همیشه اولین انتخاب برای انتقال نیست، یک ابزار مهم برای عوامل مخرب بود. با این حال، شاهد تغییرات زیادی با انتشار اخبار آسیب‌پذیری بحرانی در SMB بودیم.

بررسی حملات مبتنی بر SMB و روش های مقابله با آن

ظهور EternalBlue

آسیب‌پذیری‌ها، Worm‌ها و SMB همه در سال 2017 به یک نقطه فاجعه آمیز رسیدند. یک نقص بزرگ در SMB نسخه 1 (SMB1) کشف شد و EternalBlue نام‌گذاری شد. این Exploit یک عامل مخرب را قادر می‌ساخت که نرم‌افزارهای مخرب را بر روی هر کامپیوتری که در حال اجرای SMB1 بود نصب کند.

EternalBlue به وسیله گروه هکری Shadow Brokers به عموم عرضه شد. همانطور که شدت این آسیب‌پذیری آشکار گشت، مایکروسافت یک Out-of-Band Patch برای این آسیب‌پذیری به نام MS17-010 را برای تمام نسخه‌های پشتیبانی شده‌ی ویندوز منتشر نمود.

در شرایط ایده آل، همه این Patch را نصب کردند و پیش‌بینی می‌شد که مخاطراتِ پیش آمده در اینجا به پایان برسد، اما متأسفانه فاصله‌ی بین واقعیت و ایده آل بیشتر از آن است. Patchها زمان زیادی برای انتشار نیاز دارند و متاسفانه MS17-010 تنها نسخه‌های پشتیبانی شده از ویندوز را تحت پوشش قرار می‌داد. کامپیوترهایی که در حال اجرای نسخه‌های غیر پشتیبانی شده از ویندوز بودند هنوز آسیب‌پذیر بودند.

اجرای  WannaCry

12م ماه مه، 2017 حملات جدیدی در داخل شبکه اکثر سازمان ها مشاهده شد که تصویر زیر را به کاربران نمایش می‌داد:

بررسی حملات مبتنی بر SMB و روش های مقابله با آن

WannaCry با استفاده از آسیب‌پذیری EternalBlue، به سرعت در کامپیوترهای آسیب‌پذیر پخش شد. در صورت فعال بودن SMB1، WannaCry می‌توانست بدون هرگونه عملی از سوی کاربر از این آسیب‌پذیری سوءاستفاده کرده، Payload باج‌افزار خود را نصب کرده و به دنبال کامپیوترهای بیشتری که SMB1 در آن‌ها فعال است بگردد و آن‌ها را نیز آلوده کند.

WannaCry موفق به ایجاد مشکلات جدی در سازمان‌های دولتی و صنایع، سازمان‌های مراقبت‌های بهداشتی بزرگ، شرکت‌های‌ خودروسازی، مخابرات و سازمان‌های حمل و نقل در سراسر جهان شد. در یک حرکت بی‌سابقه مایکروسافت حتی یک Patch برای نسخه‌های منسوخ شده‌ی ویندوز از جمله ویندوز XP نیز منتشر کرد.

پیدایش باج افزار Nyetya

اگر WannaCry را یک کار نیمه‌تمام حساب کنیم، Nyetya مشت محکمی بود که یک ماه بعد در بسیاری از شبکه‌ها در ابتدا توسط یک حمله‌ی Supply Chain و با استفاده از EternalBlue شیوع پیدا کرد، سپس از یک Exploit مرتبط با SMB دیگر به نام EternalRomance که به صورت مطمئن‌تری به نسخه‌های قدیمی‌تر ویندوز نفوذ می‌کرد، استفاده نمود.

در نگاه اول WannaCry و Nyetya بسیار شبیه به هم به نظر می‌رسند، هردوی آن‌ها از طریق SMB شیوع پیدا کرده، کامپیوتر‌ها را رمزگذاری کرده و آن‌ها را غیرقابل استفاده می‌کنند. با این حال، در حالی که WannaCry یک باج‌افزار بود، Nyetya تنها خود را شبیه باج‌افزار نشان می‌داد. در واقع Nyetya یک بدافزار پاک‌کننده بود. پس از آلوده‌شدن Nyetya یک پیام شبیه پیام‌های باج‌افزار نمایش می‌داد، اما راهی برای پرداخت نبود، هنگامی که یک کامپیوتر آلوده می‌شد، همه‌چیز از دست رفته بود.

این دو مثال خطرهای استفاده از پروتکل‌های شبکه‌ای آسیب‌پذیر و همچنین اهمیت Patch کردن سیستم‌ها را نشان می‌دهند. با این حال، SMB برای مهاجمان حتی بدون وجود یک روش آسان نفوذ نیز بسیار جذاب بوده است. در حالی که تهدیدات مانند SamSam،Bad Rabbit و Olympic Destroyer از ابزارهای مختلف برای دسترسی به شبکه‌ها استفاده می‌کردند، هنگامی که در داخل شبکه بودند، از SMB برای جابجایی در شبکه استفاده می‌کردند.

مواردی نیز وجود داشته که رخنه کردن در اطلاعات با استفاده از حملات Brute Force علیه شبکه‌های SMB صورت پذیرفته است. در این موارد مهاجمان Passwordها را پشت سر هم وارد کرده، به امید این که بالاخره درست حدس بزنند.

مقابله با حملات مربوط به SMB

بهترین راه امن بودن در مقابل حملات مربوط به SMB، استفاده نکردن از این پروتکل می‌باشد. دلایلی بسیار معدودی برای استفاده از این پروتکل وجود دارند. در واقع، از آوریل 2018، این پروتکل دیگر در ویندوز به صورت پیش فرض نصب نشده است. به جای به اشتراک گذاری فایل‌ها با اتصال کامپیوترها از طریق SMB، از یک سرور فایل اختصاصی یا یک راهکار مبتنی بر Cloud بایداستفاده کرد. همچنین پرینترهای شبکه‌ای را باید به نحوی تنظیم کرد که از پروتکل‌های دیگر استفاده کنند. اگر نمی‌توانید SMB را در محیط خود خاموش کنید، حداقل مطمئن شوید که SMB1 غیرفعال است. برای اطمینان از اینکه ارتباطات SMB محدود به شبکه داخلی می‌باشد، پورت‌های TCP 445 و 139 را در فایروال‌های شبکه Block کنید و نکته‌ی دیگر این است که کلاینت‌ها نباید بتوانند با یکدیگر از طریق SMB ارتباط برقرار کنند.

علاوه بر این موارد زیر را نیز در نظر بگیرید:

  • Stealthwatchمی‌تواند اتصالات به شبکه‌های SMB را شناسایی کرده و این فعالیت را به مدیران هشدار دادن دهد.
  • مانیتورینگ دائمی AMP و توانایی‌های امنیتی پیشگیرانه‌ی آن، برای حفظ امنیت در برابر حملاتی مانند WannaCry و Nyetya ایده آل هستند.
  • تجهیزات امنیتی شبکه مانند NGFW، NGIPS و Meraki MX می‌توانند فعالیت‌های مخرب مرتبط با حملات SMB را شناسایی کنند.
  • Threat Grid به شناسایی رفتار فایل‌های مخرب کمک کرده و به طور خودکار همه محصولات امنیتی سیسکو را آگاه می‌کند.

مطمئنا مهاجمان همیشه از مسیری که مقاومت کمتری دارد استفاده می‌کنند. SMB را از شبکه خود حذف کنید. با این کار شما یکی از ابزارهای مخرب مهاجمان را بی‌مصرف کرده‌اید و همچنین به پایان چرخه‌ی آن به عنوان یک مسیر حمله نیز کمک کرده‌اید.

اشتراک امنیت

دسته ها