تروجان Cerber و ضعف امنيتي روز صفر Flash
گونه جديد تروجان Cerber بيش از دو هفته است كه با بهره جويي از ضعفي امنيتي در نرم افزار Flash در حال انتشار است.
به گزارش جديدترين به نقل از سايت Computer World، گونه جديد تروجان Cerber بيش از دو هفته است كه با بهره جويي از ضعفي امنيتي در نرم افزار Flash در حال انتشار است.
Cerber از نوع تروجان (Ransomware) است كه نخستين گونه آن در اسفند سال گذشته شناسايي شد.
اين تروجان نيز همانند بسياري از همنوعان خود از ماكروهاي آلوده تزريق شده در فايل هاي Word يا Excel استفاده كرده و از طريق هرزنامه ها (Spam) منتشر مي شود.
زماني كه كاربر فايل Office آلوده به ماكروي مخرب را باز مي كند به صفحه اي اينترنتي هدايت مي شود كه در آن يك مجموعه ابزار نفوذ (Exploit Kit) جاسازي شده است. مجموعه هاي ابزار نفوذ مجموعه كدهايي هستند كه سوءاستفاده از ضعف هاي امنيتي كامپيوتر را بدون نياز به دخالت كاربر ممكن مي كنند.
مجموعه ابزار نفوذ استفاده شده توسط گردانندگان Cerber مجهز به بهره جويي (Exploit) در نرم افزار Flash است كه ضعف امنيتي آن، كه به تازگي توسط شركت Adobe ترميم شد. بنابراين حداقل در مدت حدود دو هفته Cerber از ضعفي امنيتي سوءاستفاده مي كرده كه هيچ اصلاحيه اي براي پوشش آن عرضه نشده بود. به اين نوع ضعف هاي امنيتي روز صفر (Zero-day) اطلاق مي شود.
نكته قابل توجه اينكه هر چند اين ضعف امنيتي در تمامي نسخه هاي Flash وجود داشته اما ابزار نفوذ مذكور تنها نسخه هاي ۲۰٫۰٫۰٫۳۰۶ و قبل از آن را در نرم افزار Flash هدف قرار مي داده است.
به اين روش كه اصطلاحاً به آن تنزل رتبه (Degradation) گفته مي شود، بدافزار يا بهره جو خود را ضعيف تر از آنچه كه هست نشان مي دهد.
در يك سال اخير باج افزارها به يكي از تهديدات جدي سايبري تبديل شده اند. بر اساس آمار منتشر شده توسط شركت امنيتي McAfee، تنها در سه ماهه چهارم سال ۲۰۱۵، حدود يك ميليون باج افزار جديد توسط اين شركت شناسايي شده است.
براي ايمن ماندن از گزند باج افزارها، رعايت موارد زير توصيه مي شود:
از ضدويروس قدرتمند و به روز استفاده كنيد. نمونه هاي گزارش شده Cerber، توسط ضدويروس شيد قابل شناسايي است.
از نصب بودن آخرين اصلاحيه هاي امنيتي سيستم عامل و نرم افزارهاي سيستم ها اطمينان حاصل كنيد. البته كاربران ايراني اطلاع دارند كه به دليل تحريم هاي بين المللي، امكان به روز رساني عادي محصولات شركت Adobe از كشور ايران وجود ندارد و بايد از ابزارهاي لازم براي عبور اين اين مانع استفاده نمود.
از اطلاعات سازماني بصورت دوره اي نسخه پشتيبان تهيه كنيد. پيروي از قاعده ۱-۲-۳ براي داده هاي حياتي توصيه مي شود. بر طبق اين قاعده، از هر فايل سه نسخه مي بايست نگهداري شود (يكي اصلي و دو نسخه بعنوان پشتيبان). فايل ها بايد بر روي دو رسانه دخيره سازي مختلف نگهداري شوند. يك نسخه از فايل ها مي بايست در يك موقعيت جغرافيايي متفاوت نگهداري شود.
بخش Macro را در نرم افزار Office براي كاربراني كه به اين قابليت نياز كاري ندارند با فعال كردن گزينه "Disable all macros without notification" غير فعال كنيد. براي غيرفعال كردن اين قابليت، از طريق Group Policy، از اين راهنما استفاده كنيد.
در صورت فعال بودن گزينه "Disable all macros with notification" در نرم افزار Office، در زمان باز كردن فايل هاي Macro پيامي ظاهر شده و از كاربر مي خواهد براي استفاده از كدهاي بكار رفته در فايل، تنظيمات امنيتي خود را تغيير دهند. آموزش و راهنمايي كاربران سازمان به صرف نظر كردن از فايل هاي مشكوك و باز نكردن آنها مي تواند نقشي مؤثر در پيشگيري از اجرا شدن اين فايل ها داشته باشد.
ايميل هاي داراي پيوست Macro را در درگاه شبكه مسدود كنيد. بدين منظور مي توانيد از تجهيزات ديواره آتش، همچون Sophos UTM بهره بگيريد.
سطح دسترسي كاربران را محدود كنيد. بدين ترتيب حتي در صورت اجرا شدن فايل مخرب توسط كاربر، دستگاه به باج افزار آلوده نمي شود.
همچنين به مشتركين راهكارهاي شركت McAfee استفاده از پاليسي خاصي كه براي پيشگيري از آلودگي به باج افزارها طراحي شده توصيه مي شود.
با توجه به قواعد محدودكننده اين پاليسي، بررسي آن پيش از اعمال به تمامي دستگاه ها توصيه مي شود.
برچسب: ،