Кибер халдлагаас сэргийлэх 5 арга

March 13, 2018

Саяхан дэлхий даяар өргөн хэмжээний “Ransomware” хэмээх кибер халдлага боллоо. Энэхүү халдлагын мэдээллийг CNN, BBC, Financial Times зэрэг дэлхийн томоохон мэдээллийн агентлагууд бүгд шуурхай дамжуулан хүргэсээр байгааг та бүхэн хүлээн авсан байх. “Ransomware” нь таны системд нэвтрэн орж бүхий л мэдээлэл, өгөгдлийг нууцлалын тусгай алгоритмаар шифрлэн хандах боломжгүй болгон улмаар төлбөр нэхэн мөнгийг төлсөн тохиолдолд өгөгдлийг буцаан сэргээх нууц үгийг өгөх зорилготой кибер халдлагын нэг хэлбэр юм.

Сүүлийн үед BITCOIN зэрэг цахим мөнгөний хэрэглээ хүчтэй нэвтрээд эхэлсэн нь энэ хэлбэрийн хууль бус үйлдлийг улам газар авахуулах боломжийг нэмэгдүүлж байна. “Ransomware” халдлага нь сүүлийн 3 жилд гэрлийн хурдтай (2015 онтой харьцуулахад 2016 онд 6000% хувь. Эх сурвалж: IBM Security, www.cnbc.com) өссөн хэмээн нэмэгдсэн нь хакеруудын хувьд мөнгө олох боломж байгаатай нь холбоотой.

Монголд гэхэд өнгөрсөн 1 жилийн хугацаанд 20-д компани энэхүү халдлагад өртөн Ай Ти Зон компанид хандсанаас өнгөрсөн 1 сарын хугацаанд 4, 5 тохиолдол бүртгэгдлээ.

Жижиг дунд бизнес эрхлэгчдээс $300 нэхэхээс эхлээд Испанийн Телефоника, Португали Телеком зэрэг томоохон үүрэн телефоны операторууд, Их Британи улсын Үндэсний Эрүүл Мэндийн төв, эмнэлгүүд нь, Америкийн нэгдсэн улсын FedEx зэрэг үндэстэн дамнасан корпорац, Хятадын нэлээдгүй олон их сургуулиуд, Оросын дотоод хэргийн яам зэрэг томоохон байгууллагуудаас хэдэн саяар нь салгах гэж оролдож буй тэрбумаар үнэлэгдэх хар зах болон хөгжиж байна. 2016 оны эхний улиралд л хохирогчид нийт 209 сая долларын төлбөрийг хийсэн гэсэн статистик үүнийг тодхон харуулах биз ээ. 

Энэ халдлага нь WCry, WannaCry, WanaCrypt0r, WannaCrypt, or Wana Decrypt0r гэсэн нэртэйгээр тархаж буй халдлага юм. Халдлага нь in Microsoft Windows Server Message Block 1.0 (SMBv1)-ийн сул нүхийг ашиглан хийгдэж буй нь тодорхой болсон. Server Message Block нь сүлжээнд shared буюу дундын файлуудаа байршуулан ашиглах, дундын принтер зэргээ хэрэглэхэд ашигладаг суурь протокол юм.

КИБЕР ХАЛДЛАГААС СЭРГИЙЛЭХ ҮНДСЭН 5 АРГА

1. Microsoft-оос саяхан гаргасан patch (patch - шинэчлэл) MS17-010 -г суулгах, ялангуяа доор дурдсан үйлдлийн системтэй бол даруй суулгах:

  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.1
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
  • Windows Server Core installation option

2. Сүлжээний урсгалын ачааллыг хянах 

Сүлжээний болон мэдээллийн аюулгүй байдлын мэргэжилтэн нь SMB-тай холбоотой буюу дундын file sharing, printer sharing сервистэй холбоотой трафикуудын хянах, ингэхдээ сүлжээний нэг хаягаас олон газарлуу од хэлбэрийн (star topology) ихээхэн урсгал үүсэж байгаа эсэхийг хянах.

3. Мөн DNS серверийн үйл ажиллагааг мөн давхар хянах (increase in DNS activity to DGA destinations). Зарим түгээмэл мэдэгдэж буй домайнууд нь: 

  • iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)
  • Rphjmrpwmfv6v2e[dot]onion 
  • Gx7ekbenv2riucmf[dot]onion
  • 57g7spgrzlojinas[dot]onion
  • xxlvbrloxvriy2c5[dot]onion
  • 76jdd2ir2embyv47[dot]onion
  • cwwnhwhlz52maqm7[dot]onion

4. Дараах IP хаягуудыг мөн хянах: 

  • 188[.]166[.]23[.]127:443
  • 193[.]23[.]244[.]244:443
  • 2[.]3[.]69[.]209:9001
  • 146[.]0[.]32[.]144:9001 
  • 50[.]7[.]161[.]218:9001
  • 217.79.179[.]77
  • 128.31.0[.]39
  • 213.61.66[.]116
  • 212.47.232[.]237
  • 81.30.158[.]223
  • 79.172.193[.]32 
  •   89.45.235[.]21
  • 38.229.72[.]16
  • 188.138.33[.]220
  • 231.221.221:9001
  • 31.0.39:9191
  • 202.160.69:9001
  • 101.166.19:9090
  • 121.65.179:9001
  • 3.69.209:9001
  • 0.32.144:9001
  • 7.161.218:9001
  • 79.179.177:9001
  • 61.66.116:9003
  • 47.232.237:9001
  • 30.158.223:9001
  • 172.193.32:443
  • 229.72.16:443

5. Томоохон байгууллагуудын хувьд SIEM (Security Incident and Event Management) шийдлийг байгууллагадаа судлан нэвтрүүлэх нь зөв юм.

SIEM зэрэг Automated threat intelligence нь ийм төрлийн халдлагыг илрүүлэх хянахад хамгийн тохиромжтой. Учир нь эдгээр шийдэл нь тухайн байгууллагын системийг бүхэлд нь томоор нь хянах, харах боломжийг олгодог. 

ЦААШДАА ДАРААХ ШИЙДЛИЙГ ХЭРЭГЖҮҮЛЭЭРЭЙ

Ай Ти Зон компанийн партнер HPE ArcSight SIEM системийг хэрэглэж буй компаниуд маань Protect724 холбоосоор ransomware-н эсрэг хийх зааварчилгааг харахыг зөвлөж байна.

Ай Ти Зон компанийн партнер Fortinet хамгаалалтын системийг ашиглаж буй бол: MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution ISP Signature-г системдээ суулгахыг зөвлөе.

Эцэст нь ямар ч тохиолдолд та чухал (санхүү, харилцагч, төлбөрийн гэх мэт) гэсэн өгөгдлөө хаана хэрхэн байршуулсан, хэрхэн хамгаалж байгаа, ямар эрсдэл байна, нөөцөлж авсан байгаа эсэхээ шалгахыг зөвлөж байна.  

Ай Ти Зон компанийн зүгээс өгөгдөл хамгаалах болон нөөцлөх шийдлийг бүхий л түвшний байгууллагад тохирсон шийдлээр (HPE Arcsight, Fortinet, DellEMC-н Data Protection Suite, QNAP гэх мэт) нь гарган ажиллах боломжтой.

Дэлгэрүүлэн судлахын хүсвэл