اگر پادویش یکی از این بدافزارها را در شبکه شما کشف کند، شما هک شدهاید و باید در اسرع وقت یک تیم فارنزیک، امنیت شبکه شما را بررسی نماید. دقیقهها مهم است و نباید لحظهای را از دست بدهید. در این مطلب با نشانههای کشف نفوذ در شبکه آشنا میشوید و نحوه مقابله با آنها را یاد خواهید گرفت.
بررسیهای تیم فارنزیک پادویش از حملات سایبری اخیر نشان میدهد که زمان حملات از چند هفته به کمتر از ۲۴ ساعت در برخی موارد کاهش یافته است که ناشی از عجول بودن نفوذگران بوده و نشان میدهد این نفوذگران بدون هدفی خاص صرفا به دنبال زدن بیشترین ضربه و آسیبرسانی در حد توانشان هستند.
این موضوع از یک طرف نشان میدهد که با مقداری صرف وقت در مقاومسازی شبکه و ایجاد موانعی مانند حیطهبندی و تعریف سیاستهای درست میتوان تا حد خوبی این حملات عجولانه را دفع نمود. از طرف دیگر زمان برای نظارت بر شبکه و واکنش بسیار کاهش یافته و در صورت کشف یک نفوذ باید در اسرع وقت اقدام به امنسازی صورت گیرد.
در این مطلب نشانهها و هشدارهایی که پادویش به شما در خصوص نفوذ میدهد و نحوه بررسی آنها توضیح داده شده است. طبیعتا آنتیویروس تنها لایه دفاعی شبکه شما نمیباشد، اما آمار حملات سایبری اخیر نشان میدهد، در تمامی حملات پادویش توانسته است حمله سایبری را تشخیص داده و به موقع هشدار صادر کند. این امر لزوم توجه به هشدارهای پادویش را دو چندان میکند.
نشانههای وجود نفوذگر در شبکه
اگر هر یک از نشانههای زیر را در شبکه خود مشاهده کردید، شبکه شما هک شده و باید در اسرع وقت به دنبال کمک از یک تیم فارنزیک باشید:
- مشاهده تشخیص بدافزار از نوع HackTool: پادویش همه ابزارهای نفوذگران را با این اسم میشناسد. این نوع بدافزارها توسط نفوذگران برای پویش شبکه، قرار دادن دربپشتی، گرفتن دسترسی و … استفاده میشوند.
- مشاهده تشخیص بدافزار از نوع RiskTool: این ابزارها کاربردی دوگانه دارند، ولی نفوذگران از آنها برای عملیاتی نظیر دور زدن مکانیزمهای امنیتی، شنود و … استفاده میکنند. بدیهی است رویت یک RiskTool جدید در شبکه موضوعی با درجه هشدار بالا میباشد و احتمال وقوع هک وجود دارد.
- مشاهده تشخیص بدافزار از نوع APT: گروههای APT گروههایی از نفوذگران هستند که به صورت تخصصی در زمینه هک و خرابکاری کار میکنند و اغلب توسط یک دولت خارجی حمایت میشوند. ابزارهای این گروهها در پادویش با این نام شناسایی میشود.
- مشاهده تشخیصهای IPS: وجود هر نوع لاگ در بخش IPS کنسول شما نشانه آلودگی شبکه شما و بالا بودن ریسک آن دارد و باید با نصب آنتیویروس در کل شبکه آن را به صفر برسانید. اما برخی اکسپلویتها به طور خاص فقط توسط نفوذگران استفاده میشوند و باید با دقت مضاعف بررسی گردند:
- Hacktool.Win32.CobaltStrike
- Exploit.ZeroLogon.Possibility
- Backdoor.Win32.chinachopper
- Malware Infection By RDP
توصیهها و اقدامات عملی
با توجه به موارد فوق اقدامات عملی زیر توصیه میگردد:
- اطمینان از اتصال سرور مدیریتی پادویش به سامانه Padvish MDR
از اسفند ۱۴۰۰، سطح رایگان سامانه Padvish MDR جهت رصد ۷×۲۴ حملات سایبری برای کلیه مشتریان سازمانی پادویش فعال شده است.
برای استفاده از این خدمات رایگان که تا کنون جلوی دهها حمله سایبری را گرفته است، کافیست مطمئن شوید سرور مدیریتی پادویش به آدرس cloudpms.padvish.com دسترسی دارد. در صورت استفاده از ساختار سلسلهمراتبی، همه سرورهای اسلیو نیز باید به این سامانه دسترسی داشته و متصل باشند.
- تنظیم Event Manager کنسول مدیریتی پادویش جهت ارسال هشدار از طریق ایمیل به محض وقوع تشخیص
بخش Event Manager در کنسول مدیریتی پادویش به شما امکان میدهد رویدادهایی را تعریف کنید تا به محض مشاهده یک لاگ خاص از طریق ایمیل به شما هشدار داده شود. پیشنهاد میکنیم برای همه تشخیصهای بالا رویداد تعریف کنید.
- تعریف و نظارت مستمر بر گزارشهای سفارشی در کنسول مدیریتی پادویش
با استفاده از بخش Custom Reports کنسول مدیریتی پادویش میتوانید گزارشهایی جهت مشاهده تشخیصهای فوق ایجاد کنید و به صورت دورهای (مثلا ساعتی یا روزانه) آنها را بررسی نمایید.
- تماس با واحد پشتیبانی پادویش با شماره ۴۳۹۱۲۰۰۰ (تهران) به محض رویت یک تشخیص خطرناک
کارشناسان ما به صورت ۷×۲۴ آماده پاسخگویی به سوالات، بررسی شبکه شما و مشاورههای امنیتی میباشند.
- امنسازی در همه لایههای شبکه
سایر توصیهها من جمله حیطهبندی شبکه، بستن ارتباطات ریموت از شبکه اینترنت و شبکه ملی و … را میتوانید در پایگاه دانش پشتیبانی امن پرداز مطالعه نمایید. (https://kb.amnpardaz.com/2021/1063)
همچنین خلاصهای از تجربیات حملات اخیر و راهکارهای مقابلهای که در هر شبکهای، فارغ از وجود پادویش، قابل اجرا هستند نیز در اتاق خبر امنپرداز قابل مطالعه است. (https://news.amnpardaz.com/1401/03/5960)