• Increase font size
  • Default font size
  • Decrease font size
  • dark
  • light
  • leftlayout
  • rightlayout

کشف ویروس استاكس‌نت

فرستادن به ایمیل چاپ مشاهده در قالب پی دی اف

  نخستين بار اوايل خرداد سال 1389 گزارش مشاهده چند فايل مشكوك ( به صورت كاملا مخفي ) بر روي Flash Memory هاي كاربران ايراني و تاثير آن بر روي سيستم هاي كاربران (Restart مكرر سيستم ها ) توسط کلینیک فناوری اطلاعات مشاهده گرديد و پس از پيگيري موضوع توسط كارشناسان كلينيك فناوري اطلاعات در تاريخ شانزده تير آنتي ويروس VBA32   به عنوان اولين آنتي ويروس در جهان موفق به شناسايي و حذف ويروس از روي سيستم ها شده و اين موضوع رسماً از طريق رسانه هاي بين المللي اعلام گرديد.  

    «استاكس‌نت» کرم اينترنتي که آرام و بي‌صدا در دل صنعت ايران مي‌خزيد و قلب تپنده صنايع توليدي کشورمان را نشانه رفته بود، ناگهان با کشف‌اش آنچنان هياهويي برپا کرد که در کمتر از چند دقيقه به عنوان اول اغلب خبرگزاري‌هاي مهم بين‌المللي همچون سي‌ان‌ان1، رويترز 2 و واشنگتن‌پست 3 تبديل شد.

  محققان مراكز امنيتي با اظهار‌نظرهايي سريع، سعي در تشريح اين كرم داشته و شرکت امنيتي Symantec اعلام مي‌کند که رايانه‌هاي ايران مورد هجوم شديد کرم خطرناکي به نام استاكس‌نت قرار گرفته‌اند که اطلاعات سيستم‌هاي کنترل صنعتي4 را سرقت كرده و بر روي اينترنت قرار مي‌دهد.

 

      محمود ليالي، رئيس شوراي فناوري اطلاعات وزارت صنايع و معادن کشورمان نيز افزون بر اينكه هدف‌گيري اين كرم را در راستاي جنگ الكترونيكي عليه ايران مي‌داند، از شناسايي شدن 30 هزار IP صنعتي آلوده به اين كرم در ايران خبر داده است.

استاكس‌نت، نخستين کرم صنعتي جهان است که با هدف حمله سايبري به زيرساخت‌هاي حياتي صنعت ايران، آسيب به تأسيسات هسته‌اي نطنز و در نهايت، تأخير در راه‌اندازي نيروگاه اتمي بوشهر طراحي و منتشر شده است.
اين كرم قادر به ايجاد اخلال در تجهيزات حساس مانند تخريب سرعت چرخش روند بالا از آرايه‌هاي سانتريفيوژ و کاهش تعداد سانتريفيوژهاي غني عملياتي، كنترل فعاليت‌هاي صنعتي، محدوديت دور توربين، روغن کاري و يا بستن سيستم‌هاي خنک‌کننده، تخريب لوله‌هاي گاز و حتي انفجار ديگ‌هاي بخار کارخانجات مختلف است.
ديگر نام‌ها

اين كرم در شركت‌هاي امنيتي، به نام‌هاي زير شناخته مي‌شود:
W32/Autohider, Troj/Stuxnet-A, W32/Stuxnet-B, W32.Temphid, WORM_STUXNET.A, Win32/Stuxnet.B, Trojan-Dropper:W32/Stuxnet, Stuxnet, W32/Stuxnet.A, Rootkit.Win32.Stuxnet.b, Rootkit.Win32.Stuxnet.a

سيستم‌هاي آسيب پذير
Microsoft Windows 2000 , Windows 95 , Windows 98 , Windows Me , Windows NT , Windows Server 2003 , Windows Vista , Windows XP on 32-bit Platforms

پراکنش جغرافيايي

استاكس‌نت براي حمله به نقاط جغرافيايي خاص، طراحي و منتشر شده است. علاوه بر ايران، کشورهاي اندونزي و هند نيز مورد هجوم اين نرم‌افزار مخرب قرار گرفته‌اند.
خبرگزاري چين نيز در خبري اعلام کرد: « استاكس‌نت در بيش از شش ميليون رايانه چيني نفوذ کرده و مقامات پکن نگران  هستند اين کرم رايانه‌هاي بيشتري را در چين مورد حمله قرار دهد .

در تاريخ بيست و چهارم تيرماه هم توسط شرکت زيمنس  آلمان گزارش شد و يک ماه بعد، شرکت مايکروسافت تأييد کرد که اين کرم در حال هدف قرار دادن سيستم‌هاي ويندوز در مديريت سيستم‌هاي کنترل صنعتي بزرگ موسوم به SCADA است، به شهرت رسيد.ا

گرچه متخصصان امنيت هنوز در مورد زمان آغاز به کار استاكس‌نت اتفاق نظر ندارند ولي به گفته  الياس لووي  مدير ارشد فني بخش «پاسخگويي ايمني Symantec » با توجه به تاريخ نشانه‌هاي ديجيتالي که از اين کرم رايانه‌اي به جا مانده، مي‌توان گفت كه از دي ماه 1388 اين كرم ميان رايانه‌ها در گردش بوده و ماه‌ها بدون شناسايي شدن به کار خود ادامه داده است.
نامگذاري
فايل ايجاد شده توسط استاكس‌نت از نام MYRTUS براي نفوذ در رايانه‌ها استفاده مي‌کند. ميرتاس کلمه‌اي با ريشه عبري است که

اشاره به داستان «استر» دارد. استر، زن دوم خشايار شاه در ايران باستان است که زني يهودي بوده و با وساطت عموي خود مردخاوي که از مشاوران پادشاه ايران بود، خشايار راضي به ازدواج با او مي‌شود. بر اين اساس، استر ملکه يهوديان شناخته مي‌شود.
افزون بر اين، MYRTUS ممکن است به قطعات معروف به RTU که يکي از ويژگي‌هاي مديريت سيستم‌هاي SCADA است اشاره داشته باشد.

طراحي و سازماندهي

استاكس‌نت که تقريبا نيم مگابيت حجم دارد به چندين زبان مختلف از جمله C، C++ و ساير زبان‌هاي شيء‌گرا نوشته شده است. اين كرم، چنان در استفاده از آسيب‌پذيري‌هاي اصلاح نشده ويندوز ماهر است كه كارشناسان امنيت معتقدند تيمي متشکل از متخصصاني با پشتوانه قوي و داراي انواع تخصص‌ها از Rootkit گرفته تا Database، آن را ايجاد کرده و هدايت مي‌کنند. Symantec هم تخمين مي زند که پنج تا ده نفر، شش ماه روي اين پروژه کار کرده‌اند.
محققان اعتقاد دارند با توجه به شناسايي کاملي که اين کرم انجام مي‌دهد،  پيچيدگي کد و خطرناک بودن حمله آن، صرفا نمي‌تواند كار يک گروه حرفه‌اي هک غير‌دولتي باشد.

به نظر آن‌ها، منابع و هزينه‌هاي مورد نياز براي انجام اين حمله به همراه ريسک بالايي که پروژه در پي داشته است، آن را خارج از قلمرو يک گروه هکر خصوصي قرار داده و تنها يك دولت مي‌تواند توانايي‌هاي آن را داشته باشد. همچنين، تيم ايجادکننده کرم به سخت‌افزار فيزيکي واقعي نيز براي تست نياز داشته‌اند.
متخصصان با در نظر گرفتن تمامي شرايط، محتمل‌ترين سناريو در مورد اين كرم را يک گروه هکر وابسته به سرويس جاسوسي يک کشور مي‌دانند. گمانه‌هاي موثق نيز حاکي از آن است که استاكس‌نت براي مقابله با برنامه‌هاي هسته‌اي نيروگاه بوشهر، توسط اسرائيل طراحي و به وسيله لپ تاپ پيمانکاران روسي در بوشهر، به تأسيسات هسته‌اي ايران منتقل شده است.
اگرچه اين موضوع هنوز توسط دولت اسرائيل تأييد و اثبات نشده است اما اطلاع از آن مي‌تواند اقدامات پيشگيرانه ايران براي مقابله با ديگر روش‌هاي جاسوسي را با آگاهي بيشتري همراه کند.

     عملکرد

محققان ابتدا تصور مي‌كردند که استاكس‌نت فقط از يک آسيب‌پذيري اصلاح نشده ويندوز سوء استفاده مي‌كند10 و از آن به عنوان کرم نفوذ کننده از طريق ميان‌برهاي ويندوز نام مي‌بردند.
 
متخصصان براي بدست آوردن اطلاعات بيشتر، كد اين كرم را مورد بررسي و تحليل عميق‌تر قرار دادند. نخست در مدت يک هفته تا يک هفته و نيم، حفره Print spooler توسط محققان پيدا شده،  سپس حفره EoP)تغيير حق دسترسي) ويندوز هم توسط اين شرکت امنيتي کشف و حفره دوم EoP  نيز توسط كارشناسان مايکروسافت شناسايي گرديد. محققان Symantec هم به طور جداگانه آسيب پذيري Print spooler و دو آسيب‌پذيري EoP را در مرداد ماه پيدا کرده و كدهاي مخربي كه اين سه آسيب‌پذيري اصلاح نشده ويندوز را هدف قرار مي‌دهد، شناسايي كردند.

اما عجايب استاكس‌نت كه همزمان مي‌تواند از چهار نقص امنيتي اصلاح نشده ويندوز، براي دسترسي به شبکه‌ها سوء‌استفاده کند به اينجا ختم نمي‌شود. اين کرم همچنين از يک حفره ويندوز13 که در سال 2008 توسط به روز رساني MS08-067 اصلاح شده بود نيز استفاده مي‌کند. اين نقص امنيتي همان آسيب‌پذيري مورد استفاده کرم Conficker در اواخر سال 2008 و اوائل سال 2009 بود که به ميليون‌ها سيستم در سراسر جهان آسيب وارد کرد.

هنگامي که استاكس‌نت از طريق درايو USB آلوده وارد يک شبکه مي‌شود، با سوءاستفاده از آسيب‌پذيري‌هاي EoP حق دسترسي Admin به ساير pcها را براي خود ايجاد كرده و سيستم‌هايي که برنامه‌هاي مديريت  Siemens SIMATIC WinCC وpcs 7 scada را اجرا مي‌کنند پيدا مي‌کند. سپس کنترل آن‌ها را با سوء‌استفاده از يکي از آسيب‌پذيري‌هاي Print spooler يا MS08-067 در دست گرفته و رمز عبور پيش فرض زيمنس را براي در اختيار گرفتن نرم‌افزار SCADA آزمايش مي‌کند. بعد، كد خودش را همچون يك Rootkit درون PLC بارگزاري و پنهان مي‌كند تا قابل مشاهده نباشد. آنگاه نرم‌افزار PLC را دوباره برنامه‌‌ريزي کرده و دستورات جديد را طبق اهداف خود صادر مي‌كند.

نکته قابل توجه اين است كه استاكس‌نت براي قانوني نشان دادن كدهاي حمله خود و اعتباردهي به درايوهايش، دو گواهي معتبر ديجيتالي امضاء شده Realtek و JMicron را سرقت مي‌كند اين موضوع در همان ابتداي كشف ويروس از طريق ايميل توسط شركت VirusBlokAda به اطلاع دو شركت Realtek , Microsoft  رسيد.

نصب

به گفته محققان شركت VirusBlokAda  هنگامي كه يك درايو USB آلوده به كامپيوتر وصل مي‌شود، استاكس‌نت خودش را به عنوان فايل‌هاي زير به كامپيوتر غيرآلوده كپي مي‌كند:
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys
سپس فايل mrxcls.sys را به عنوان يك سرويس با مشخصات زير ثبت مي كند:
Display Name: MRXCLS
Startup Type: Automatic
Image Path: %System%\drivers\mrxcls.sys
آنگاه براي اين سرويس، مسير زير را در registry ايجاد مي كند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\"ImagePath" = "%System%\drivers\mrxcls.sys"
اين كرم، همچنين فايل mrxnet.sys را به عنوان يك سرويس با مشخصات زير ثبت مي كند:
Display Name: MRXNET
Startup Type: Automatic
Image Path: %System%\drivers\mrxnet.sys
براي سرويس بالا نيز، مسير زير را در  registry ايجاد مي كند:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\"ImagePath" = "%System%\drivers\mrxnet.sys"
اين كرم، همچنين فايل‌هاي زير را كه هر كدام نسخه‌هاي رمز شده استاكس‌نت هستند، ايجاد مي‌كند:
• %Windir%\inf\oem6C.PNF
• %Windir%\inf\oem7A.PNF
• %Windir%\inf\mdmcpq3.PNF
• %Windir%\inf\mdmeric3.PNF

در ضمن، اگر كرم از روي سيستم آلوده پاك شود، فايل %System%\drivers\mrxcls.sys فايل‌هاي بالا را براي تأثيرگذاري مجدد در كامپيوتر رمزگشايي مي كند.

    تغييرات در سيستم
فايل(هاي) زير ممكن است در كامپيوتر آلوده ديده شود:
• %System%\drivers\mrxcls.sys
• %System%\drivers\mrxnet.sys
• %DriveLetter%\~WTR4132.tmp
• %DriveLetter%\~WTR4141.tmp
• %DriveLetter%\Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk
• %Windir%\inf\oem6C.PNF
• %Windir%\inf\oem7A.PNF
• %Windir%\inf\mdmcpq3.PNF
• %Windir%\inf\mdmeric3.PNF

اين كرم فايلي را از سيستم، پاك و يا اصلاح نكرده و در Registry سيستم آلوده نيز به جز ايجاد دو مسير زير، هيچ كدام از Subkeyها حذف يا تغيير ديگري صورت نمي‌گيرد:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls\"ImagePath" = "%System%\drivers\mrxcls.sys"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet\"ImagePath" = "%System%\drivers\mrxnet.sys"
دو پردازش زير در سيستم ايجاد مي‌شود:
• iexplorer.exe
• lsass.exe

استاكس‌نت يك بسته قابل اجرا در كامپيوتر را از سرور C&C خود دانلود و اجرا كرده و همچنين اطلاعاتي را از طريق HTTP به آدرس زير ارسال مي‌كند:
http://[C&C SERVER ADDRESS]/index.php?data=[DATA]
DATA
شامل اطلاعات زير است:
• 
نسخه سيستم عامل ويندوز
• 
نام كامپيوتر
• 
نام گروه شبكه
• 
نشانه براي آگاهي از نصب بودن نرم افزار SCADA
• 
آدرس IP همه كارت‌هاي شبكه موجود

اين اطلاعات با استفاده از يك كليد 31 بيتي XOR رمزگذاري و ارسال مي شود. پاسخ دريافت شده از سرور C&C هم با XOR اما توسط يك كليد 31 بيتي متفاوت رمزنگاري شده كه هر دو اين كليدها در فايل‌هاي .dll قرار داده شده در سيستم آلوده موجود است.
با اتصال کامپيوتر به اينترنت، كرم از طريق پورت 80 با سايت هاي زير كه سرورهاي C&C آن هستند، ارتباط برقرار مي كند:
• www.mypremierfutbol.com
• www.todaysfutbol.com
    
سرور C&C پس از دريافت اين اطلاعات، به دو روش مي‌تواند پاسخ دهد: نوع نخست پاسخ، دستورالعمل كرم براي اجراي يكي از شيوه‌هاي موجود در كد تهديدات آن است و نوع دوم پاسخ، يك فايل .dll به سيستم آلوده ارائه و به بارگزاري آن دستور مي‌دهد.
از پاسخ نوع اول به عنوان پوششي براي RPC ها كه مي‌خواهد به سيستم فرستاده شود، استفاده مي‌شود. RPC پس از فراخواني شدن در کامپيوتر مي‌تواند اقدامات زير را انجام دهد:
• 
خواندن فايل
• 
نوشتن در فايل
• 
حذف فايل
• 
ايجاد پردازش
• 
تزريق يك فايل .dll به lsass.exe
• 
بارگزاري و اجراي يك فايل .dll اضافه
• 
استخراج منبع 210 از فايل .dll اصلي (از اين منبع براي تزريق به پردازش هاي ديگر استفاده مي شود.)
• 
به روز رساني پيكربندي اطلاعات كرم

اين كرم پس از نفوذ به شبكه، فقط كامپيوترهايي كه نرم‌افزار SCADA شركت زيمنس براي كنترل و مديريت فعاليت‌ها در آن ها نصب شده است را هدف قرار مي دهد. سپس براي به دست آوردن اطلاعات مشخصي، تعداد زيادي querie در پايگاه داده نرم افزار Siemens Step 7 انجام داده و  با فايل هاي .dll نرم‌افزار تعامل برقرار مي‌كند. آن‌گاه تلاش مي‌كند به فايل‌هاي زير كه توسط نرم افزار Step 7 ايجاد شده‌اند دسترسي يافته تا كد آن ها را براي طراحي پروژه‌ها سرقت كند:
• GracS\cc_tag.sav
• GracS\cc_alg.sav
• GracS\db_log.sav
• GracS\cc_tlg7.sav
• *.S7P
• *.MCP
• *.LDF

Stuxnrt همانند يك Rootkit كد خودش را به PLC در يك سيستم كنترل صنعتي كه توسط سيستم‌هاي SCADA نظارت مي‌شود، تزريق و پنهان مي‌كند. PLC كامپيوتري است كه از ويندوز برنامه‌ريزي شده تشكيل شده و حاوي كد ويژه‌اي است كه اتوماسيون فرآيندهاي صنعتي را كنترل مي‌كند.
اين كرم كه با نوشتن كد در PLC ،  سيستم را كنترل كرده و يا فعاليت‌هاي آن را به تعويق مي‌اندازد،  براي جلوگيري از تشخيص فايل %DriveLetter%\~WTR4132.tmp آن را با رابط‌هاي برنامه‌هاي كاربردي ((APIزير از kernel32.dll و Ntdll.dll مرتبط مي كند:
از Kernel32.dll :
• FindFirstFileW
• FindNextFileW
• FindFirstFileExW
از Ntdll.dll :
• NtQueryDirectoryFile
• ZwQueryDirectoryFile

كرم كد اصلي اين توابع را هم با كدي كه براي چك كردن فايل‌ها با مشخصات زير است، جايگزين مي كند:
• 
نام فايل با پسوند ".lnk"
• 
آغاز نام فايل با "~WTR" و با پسوند ".tmp"

آنگاه فايل %DriveLetter%\~WTR4132.tmp به فايل .dll ديگري به نام %DriveLetter%\~WTR4141.tmp بارگزاري مي شود. استاكس‌نت براي انجام اين كار، از رويكردي متفاوت استفاده کرده و به جاي اينكه "LoadLibrary" رابط هاي برنامه هاي كاربردي را براي بارگزاري فايل .dll در حافظه اصلي فراخواني كند، توابعي را به Ntdll.dll  مرتبط كرده و سپس “LoadLibrary” را با نام فايل خاصي كه ايجاد شده است، فراخواني مي كند. اين فايل درخواست شده براي بارگزاري، در disk وجود ندارد اما توابع مرتبط شده به Ntdll.dll که به بارگزاري نام خاص فايل براي درخواست‌ها نظارت دارد، فايل .dll را از يك ناحيه در حافظه اصلي كه قبلا در آن رمزگشايي و ذخيره شده است، بارگزاري مي‌کند. توابع مرتبط شده در Ntdll.dll براي اين منظور عبارتند از:
• ZwMapViewOfSection
• ZwCreateSection
• ZwOpenFile
• ZwCloseFile
• ZwQueryAttributesFile
• ZwQuerySection

سپس فايل .dll فراخواني شده و كنترل سيستم را در دست مي‌گيرد. اين كرم كد خود را نيز به iexplorer.exe  به منظور دور زدن فايروال ها تزريق كرده و فرآيندهاي امنيتي زير را به پايان مي‌رساند:
• vp.exe
• Mcshield.exe
• avguard.exe
• bdagent.exe
• UmxCfg.exe
• fsdfwd.exe
• rtvscan.exe
• ccSvcHst.exe
• ekrn.exe
• tmpproxy.exe
انتشار

استاكس‌نت با كپي كردن خودش در درايوهاي USB، Emailهاي آلوده و يا فايل‌هاي به اشتراك گذاشته شده در شبکه‌هاي رايانه‌اي كه داراي نقاط آسيب هستند، منتشر مي‌شود.
اين كرم خودش را به عنوان فايل‌هاي زير در درايوهاي قابل جابجايي كپي مي‌كند كه هر دو نام فايل، hardcoded و در واقع فايل‌هاي .dll هستند:
• %DriveLetter%\~WTR4132.tmp
• %DriveLetter%\~WTR4141.tmp
همچنين فايل‌هاي زير را به درايوهاي بالا كپي مي‌كند:
• %DriveLetter%\Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Copy of Shortcut to.lnk
• %DriveLetter%\Copy of Copy of Copy of Copy of Shortcut to.lnk

هنگامي كه اين درايوها با برنامه‌اي كه توانايي نمايش آيكون‌ها را دارد (مانند Windows Explorer) مورد دسترسي قرار مي‌گيرد، به جاي نمايش آيكون براي فايل‌هاي .lnk كدي را كه قابليت اجراي فايل %DriveLetter%\~WTR4132.tmp را دارد، اجرا مي‌كند. هدف اصلي اين فايل، اجراي فايل  DriveLetter%\~WTR4141.tmpاست كه در درايوهاي قابل جابجايي كپي شده و سپس در حافظه اصلي سيستم بارگزاري مي‌شود. اين فايل است كه دو گواهي معتبر امضاء شده Realtek و JMicron  را جعل مي‌كند.
اين كرم همچنين از يك كد مخرب RPC هم براي منتشر شدن استفاده مي‌كند. افزون بر اين، از كد مخرب ديگري نيز كه اجازه مي‌دهد يك فايل به شاخه  %System% كامپيوتر آسيب پذير نوشته شود، براي كپي كردن خودش از كامپيوتر آلوده به ديگر كامپيوترها استفاده كرده و براي اجراي آن فايل از راه دور هم از يك ويژگي WBEM بهره مي‌برد.
استاكس‌نت همچنين با كپي كردن خودش به منابع اشتراك گذاشته شده در شبكه به عنوان فايل زيركه در حقيقت يك فايل .dll است، منتشر مي شود:
%DriveLetter%\ “DEFRAG[RANDOM NUMBER].tmp

البته يک راه که مهاجمان با استفاده از آن ريسک شناسايي شدن و جلوگيري از گسترش بيش از اندازه اين كرم را کم کرده‌اند، قرار دادن يک شمارنده در درايو USB آلوده است که اجازه انتشار کرم از طريق يک داريو USB خاص به بيش از سه کامپيوتر را نداده و بعد از 21 روز نيز خودش را پاك مي كند.
نکته قابل توجه در خصوص استاكس‌نت آن است که درون کد پيچيده آن مشخص شده که اين کرم در تاريخ 24 ژوئن 2012 انتشار خود را متوقف کرده و خودش را نيز از سيستم آلوده پاک خواهد كرد.

جلوگيري

شركت مايكروسافت در روز يازدهم مرداد ماه سال جاري، يک به روز رساني مهم و فوري براي اصلاح نقص ابتدايي استاكس‌نت عرضه کرد.

اگر چه هم اكنون تمامي آنتي ويروس‌ها قادر به شناسايي و پاك كردن اين كرم هستند اما انجام فعاليت‌هاي زير توسط همه مديران و كاربران سيستم مي تواند باعث جلوگيري و يا كاهش خطر اين كرم شود:
• 
غير فعال كردن ويژگي AutoRun يا AutoPlay سيستم براي جلوگيري از اجراي خودكار فايل‌هاي قابل اجرا در درايوهاي قابل جابجايي.
• 
غير فعال کردن درايوهاي قابل جابجايي از طريق Setup سيستم. در صورت نياز، فقط حالت read-only را فعال كرده و حتما يك رمز عبور هم براي setup در نظر گرفت.
• 
اصلاح نقاط آسيب پذير سيستم عامل و نرم‌افزارهاي نصب شده.
• 
به روز رساني نرم‌افزار آنتي ويروس در فاصله‌هاي زماني كوتاه مدت و فعال کردن گزينه automatic updates براي دريافت خودكار آخرين updateها.
• 
استاكس‌نت با سوء‌استفاده از نقاط آسيب پذير مشخصي انتشار پيدا مي كند. نصب patcheهاي زير مي‌تواند باعث كاهش خطر اين کرم شود:
• Microsoft Security Bulletin MS10-046
• Microsoft Security Bulletin MS08-067
• Microsoft Security Bulletin MS10-061

• دسترسي به آدرس هاي زير كه سرورهاي C&C كرم هستند با استفاده از فايروال و Router بايد مسدود شده و با اضافه كردن به فايل local hosts به آدرس 127.0.0.1 تغيير مسير داده شود:
• www.mypremierfutbol.com
• www.todaysfutbol.com

• استفاده از رمز عبور پيچيده كه تركيبي از عدد، حروف بزرگ و كوچك و نمادها20 است براي كلمه عبور كاربران، به نحوي كه اين رمزها توسط dictionary attackها به راحتي قابل شناسايي و كشف نبوده و در عين حال، براي كاربران هم به ياد ماندني باشد.
• 
همه ارتباطات ورودي از اينترنت به سرويس هاي سازمان كه نبايد در دسترس عموم باشد را با استفاده از فايروال deny كرده و تنها به سرويس‌هايي اجازه دهيد كه به مردم خدمات ارائه مي‌دهند.
• 
هرگز نبايد با يوزر administrator يا root به سيستم login كرد. كاربران و برنامه ها هم بايد پايين‌ترين سطح دسترسي لازم را داشته باشند.

• غيرفعال كردن اشتراك گذاري منابع و فايل ها در شبكه اگر به اشتراك گذاري آن ها نيازي نيست. در صورت نياز، از ACL ها استفاده كرده و مشخص نماييد كه چه افراد يا كامپيوترهايي اجازه دسترسي به آن ها را دارند.

• غيرفعال كردن و حذف سرويس هاي غيرضروري فعال در سيستم. اگر هم كد مخربي عليه يكي از سرويس ها پيدا شد، تا زمانيكه patch آن سرويس در سيستم نصب نشده است، آن سرويس را غير فعال كرده و يا دسترسي به آن را محدود نماييد.

• سرويس هايي همچون HTTP، FTP،  Mail و DNS مهمترين سرويس هاي يك شبكه متصل به اينترنت هستند. بنابراين، هميشه patchهاي اين سرويس ها را مهم درنظر گرفته و به روز نگهداريد. همچنين توسط فايروال، دسترسي به آن ها را كنترل نماييد.

• پيکربندي email سرور در جهت حذف نامه هاي الكترونيكي كه حاوي فايل ضميمه است. از اين فايل ها براي گسترش تهديداتي همچون  .vbs، .bat ، .exe ، .pif و .scr استفاده مي شود.

• كامپيوترهاي آلوده را به سرعت براي جلوگيري از گسترش بيشتر آلودگي در شبكه ايزوله كنيد و تا زمانيكه از برطرف شدن آلودگي مطمئن نشده ايد، آن ها را وارد شبكه نكنيد.

• استفاده نکردن از Bluetooth در شبکه. در صورت نياز، ديد دستگاه را در حالت Hidden تنظيم کنيد تا توسط دستگاه هاي ديگر پيدا نشده و حتماً از رمز عبور  نيز براي برقراري ارتباط بين دستگاه ها استفاده كنيد.

پيشگيري

پيشگيري از حوادث و کنترل امنيت سيستم نياز به يک رويکرد چند لايه دارد که از آن با عنوان «دفاع در عمق» ياد مي‌شود. اين لايه، شامل سياست‌ها و رويه‌ها، آگاهي و آموزش، تقسيم بندي شبکه، کنترل دسترسي‌ها، اقدامات امنيتي فيزيکي، سيستم‌هاي نظارتي همچون فايروال و آنتي ويروس، سيستم‌هاي تشخيص نفوذ (IDS)، رمز کاربري و ... است.
بهترين روش براي پيشگيري هم معمولا تجزيه و تحليل خطر، شناسايي نقاط آسيب‌پذير سيستم‌ها و شبکه، کنترل سيستم ارزيابي امنيتي و همچنين توسعه برنامه‌هاي اولويت‌بندي براي از بين بردن يا به حداقل رساندن ريسک خطر است.

 

 

آخرین بروزرسانی ( چهارشنبه ، 1 ارديبهشت 1395 ، 05:26 )