مهاجمین به صورت گسترده در حال سوءاستفاده از ابزارهای دسترسی از راه دور هستند، این ابزار در میلیونها اندپوینت نصب شده اند و امکان ورود به شبکه قربانی را برای مهاجم خواهند داشت. از جمله این ابزار نرم افزار TeamViewer است که سازمانها از آن برای پشتیبانی و دسترسی از راه دور استفاده می کنند. همانند سایر ابزارهای قانونی دسترسی از راه دور توسط مهاجمان به منظور دسترسی به سیستم های هدف مورد سواستفاده قرار گرفته است.
دو اقدام برای استقرار باج افزار که اخیرا مشاهده شده است، از آخرین موارد در این زمینه هستند:
تلاش ناموفق برای استقرار باج افزار
هر دو حمله اخیر در برگیرنده تلاشهایی ناموفق برای نصب باج افزاری بود که بنظر می رسد بر مبنای LockBit 3.0 است. به علاوه بررسی ها نشان میدهد که مهاجمان در هر دو حمله دسترسی داخلی به اندپوینتها را از طریق TeamViewer به دست آوردند. لاگها نشان میدهد که حملات از یک اندپوینت با نام میزبان یکسان است و مشخص می کند که عامل تهدید یکسانی پشت هر دو حادثه بوده است. روی یکی از کامپیوترها مهاجم تنها 7 دقیقه زمان بعد از به دست آوردن دسترسی از طریق TeamViewer سپری کرده است. در حالیکه روی سیستم دیگر مهاجم بیش از 10 دقیقه نشست داشته است.
در گزارش محققین Huntress گفته نشده که مهاجم چطور کنترل را از TeamViewer گرفته است. اما یکی از این محققین می گوید که برخی از لاگین های TeamViewer از سیستم های Legacy بوده اند. همچنین می گوید که ممکن است مهاجم بتواند روش دسترسی خود مثل مجوزها و اطلاعات ارتباطی ای که بین اندپوینتها برقرار است را به فروش برساند.
حوادث سایبری قبلی TeamViewer
قبلا نیز حوادث سایبری با استفاده از TeamViewer یا ابزار مشابه آن رخ داده است. یکی از آنها کمپینی بود که ماه می گذشته توسط مهاجمان سایبری برای نصب نرم افزار XMRig cryptomining روی سیستم بعد از گرفتن دسترسی از طریق این ابزار، تلاش می کرد. مورد دیگر کمپین استخراج فایلی است که در دسامبر شناسایی شد. لاگ های این حمله نشان میدهد که مهاجم از طریق TeamViewer به شبکه داخلی قربانی دسترسی پیدا کرده بود. کسپرسکی در سال 2020 گزارشی مبنی بر حملاتی با کنترل سیستم محیط های صنعتی منتشر کرد که از تکنولوژی های دسترسی از راه دور مثل RMS یا TeamViewer برای دسترسی داخلی سواستفاده کرده اند. در گذشته نیز حوادثی بوده که مهاجمان از TeamViewer یا ابزارهای مشابه به عنوان نقطه دسترسی استفاده کرده اند، برای مثال در مارچ 2016 سازمانهای بسیاری گزارش کردند که با باج افزاری بنام Suprise آلوده شده اند که بعدا مشخص شد یکی از دلایل آن TeamViewer بوده است.
این نرم افزار در بیش از ۲.۵ بیلیون دستگاه از زمان آغاز به کار تاکنون نصب شده است. چنین نرم افزارهای با توجه به محبوبتی که دارند اهداف جذابی برای مهاجمان به شمار می روند.
چطور از این ابزار و ابزار مشابه آن به صورت امن استفاده کنیم؟
برخی از شرکتهای ارائه دهنده راهکارها و مکانیزمهایی برای کاهش خطر سوءاستفاده مهاجمان پیاده سازی کرده اند. برای مثال شرکت TeamViewer ادعا می کند که مهاجم تنها با داشتن شناسه و رمز عبور مرتبط میتواند از دسترسی سواستفاده نماید.
اما همانطور که میدانیم هیچ تضمینی وجود نداشته و مهاجمان نیز به دنبال راههای مختلفی برای دور زدن این مکانیزمها هستند، پس:
- • زمانی که از این ابزارها استفاده نمی کنید، از آنها خارج شوید. (Exit)
- • از قابلیت های لیست سیاه و سفید نرم افزارها برای کنترل دسترسی ها و سیستم ها استفاده کنید.
- • محدودیت کردن دسترسی به قابلیت های خاص برای ارتباطات ورودی …
اما چطور می توان این موارد را کنترل کرد؟ داشتن دسترسی چه از داخل سازمان توسط کارمندان، چه از خارج برای پشتیبانی توسط پیمانکاران یا کارمندان دورکار و استفاده از چنین ابزارهایی اجتناب ناپذیر بوده است و بهتر است برای امنیت این ارتباطات به دنبال راهکاری مطمئن باشیم. ابزار مدیریت و کنترل دسترسی از راه دور PAM با امکاناتی نظیر لاگ گیری کامل و پیوسته در زمان برقراری یک نشست، امکان اعمال محدودیت در اجرا یا نصب نرم افزار، دسترسی به فایلها و برنامه و … در هر نشست و برای هر فرد، امکان مانیتور و ضبط نشست، بلاک کردن اجرای دستور یا دستور خاصی و … راهکاری تخصصی و امن بوده که دقیقا برای همین منظور طراحی و بومی شده و کاملا با شبکه سازمانهای کشور سازگار است. برای کسب اطلاعات بیشتر با ما تماس بگیرید.
