09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

הסוג החדש והמתקדם של המזיקים - Crimeware

סוג איום חדש ובלתי מוכר לרבים, מציב אתגר אבטחה גדול  

ההגנה על נכסי המידע ומערכות המיחשוב הארגוניות וההתמודדות הכוללת כנגד מזיקים (Malware) הינה תהליך סיזיפי ומתמיד; עם זאת, במשך שנים היתה הנחת העבודה הבסיסית של אנשי אבטחת המידע שהפתרונות הסטנדרטיים - אנטי-וירוס, IPS, WAF ונוספים מבוססי חתימות (של מזיקים מוכרים) - יספקו הגנה קרובה למושלמת כנגד חדירת מזיקים אל הרשת הארגונית.

לאחרונה נראה כי הנחה זו אינה עומדת עוד במבחן המציאות.

הסוג החדש והמתקדם של המזיקים מתאפיין ביכולות משופרות של פעילות "שקטה" - אשר כמעט ואינה מאפשרת לגלות אותו באמצעים ופתרונות סטנדרטיים - וביכולות מתקדמות של שליטה מרחוק על-ידי מפעיליו.

בעשור החולף חזינו בהתפתחות המזיקים מווירוסים "מציקים" למזיקים הרסניים. בשנים האחרונות התפתח האיום עוד יותר - לעבר מזיקים - המכוונים בעיקר לפשיעה פיננסית - המכונים Crimeware; עם זאת, דרך פעולתם של מזיקים אלו היא עדיין בחזקת נעלם עבור רבים, הסבורים בטעות כי אלו וירוסים או סוסים טרויאניים "רגילים".

מספר משפחות המזיקים הגדול (וירוסים, תולעים, סוסוים טרויאניים, Rootkits, Bots, Spyware ועוד), כמו גם המספר הכולל של סוגי המזיקים החדשים בכל פרק זמן נתון (על פי מחקר של סימנטק - יותר מ-800,000 סוגים חדשים ביום) - מונעים מארגונים להתמקד באחד מן האיומים אשר משקפים את הסיכון הגדול ביותר כיום - ה-Crimeware - והמערכת ההיקפית הגדולה אשר תומכת באיום זה.

לכך יש להוסיף את ההנחה המוטעית והמיושנת כי תקיפה מבוצעת על-יד "תוקף" בודד; כיום סביר הרבה יותר להניח כי ידיים רבות מעורבות בתשתית התקיפה ובביצוע התקיפה בפועל - במרבית המקרים ללא כל קשר ותקשורת ישירה בין התוקפים.

בכדי להבין את מורכבות ותיחכום מערך התקיפה, מומלץ להכיר שני מונחי מפתח עיקריים:

Droppers - חבילות תוכנה אשר מכילות מספר מזיקים גדול; חבילה מסוג זה תבצע בדרך כלל את הפעולות הבאות:

  • - תתקין באופן אוטומטי על עמדת הקצה המותקפת את כל סוגי המזיקים הנמצאים על גביה
  • - תנטרל את פעולת פתרונות האבטחה (אנטי-וירוס, תוכנות ניטור שונות ועוד) על גבי עמדת הקצה המותקפת
  • - תסתיר את רכיביה העיקריים ואת פעולותיהם
  • - לאחר השלמת פעולות אלו, תפעיל את ה-Agent המרכזי שלה ואת ה-Processes הנלווים, ותפתח תקשורת אל מול שרת הפיקוד והשליטה שלה

Downloaders - מתוכננים לבצע בדיוק אותן פעולות כמו ה-Droppers, אולם הינם קטנים יותר, משום שאינם מכילים את חבילת התוכנה אשר מתקינה את המזיקים על גבי המחשב המותקף; במקום זאת, לאחר התקנת Agent בסיסי על המחשב המותקף, הם מתקשרים אל שרת מרוחק המופעל על-ידי התוקפים, ומורידים ממנו את חבילת התוכנה ובה המזיקים העדכניים ביותר. אופן פעולה זה מאפשר התקנה דו-שלבית, איתה מתקשים עוד יותר אמצעי הגילוי הסטנדרטיים להתמודד.

בעבר, כאשר Malware היתה "רק" Malware, הקוד הזדוני היה מורד משרת אשר היה שייך להאקרים (או שנפרץ על ידם) לאחר ניצול מוצלח של פירצת אבטחה שנמצאה על גבי המחשב המותקף. אז היה ה-Dropper מבצע את הפעולות להן היה מתוכנן (ר' לעיל) ואז פותח תקשורת אל שרת הפיקוד והשליטה שלו (CnC=Command and Control Server) ו"מבקש" הנחיות חדשות לביצוע.

עם ההתפתחות מ-Malware ל-Crimeware, השתנה מחזור ההתקנה באופן משמעותי. במאמץ לסכל את הגילוי על-ידי מערכי ההגנה המותקנים ברשת ועל עמדות הקצה, מפעילים התוקפים אמצעים רבים נוספים ובדיקות רבות נוספות עוד לפני ההתקנה (מעבר לניסיון התקנה אקראי אשר מנסה לנצל פירצת אבטחה ו"מקווה" כי טלאי אבטחה לא הותקן על המחשב המותקף). זאת בכדי להגדיל למקסימום את סיכויי ההתקנה המוצלחים של הקוד הזדוני, ולהקטין למינימום את הסיכוי לגילוי הקוד על-ידי מערכי הגילוי ופתרונות ההגנה הסטנדרטיים/אוטומטיים ברשת המותקפת.

המשמעות היא שבמרבית המקרים, פתרונות מבוססי חתימות - דוגמת אנטי-וירוס, IPS, WAF ונוספים המבוססים על זיהוי מזיקים ותקיפות באמצעות חתימות מוכרות - לא יזהו כלל את התקנת ה-Crimeware ואת פעילותו בהמשך.

לאחרונה אנו נתקלים בשאלות רבות ובדרישה גוברת לבדיקה האם קיימת פעילות של Crimeware מסוגים שונים ברשת הארגונית, ובאיזה היקף; זאת מכיוון שגוברת המודעות לכך שהכלים הסטנדרטיים לא רק שלא מסוגלים לספק מענה מניעתי להיפגעות מ-Crimeware, אלא גם לא מזהים כלל את פעילות המזיק מסוג זה, אשר כוללת Bots פעילים ברשת (אשר משמשים כחלק מ-Botnet עולמית), גלישה לאתרי פישינג באופן לא מודע, תקשורת פעילה ומתמדת לשרתים במדינות עויינות (איראן, סוריה ועוד), Rootkits פעילים ועוד.

מרביתן המכריע של בדיקות אלו מעלות כי אכן מתקיימת פעילות נרחבת של Crimewares (מן הסוגים שהוזכרו לעיל) ברשתות ארגוניות בארץ, פעילות אשר ללקוחותינו לא היה קודם לכן כל מידע אודותיה מן המערכות אשר מותקנות ופעילות דרך קבע בארגונם.

השלב המקדים לחסימה הינו היכולת לבצע Audit & Monitoring על Crimewares פעילים ברשת ברמת פירוט כזו אשר תאפשר לבודד את עמדות הקצה הנגועות - ולהצביע במדוייק על המשתמש, התחנה ממנה מתבצעת התקשורת אל מרכזי הפיקוד והשליטה, שעת הגלישה המדוייקת, כמויות התעבורה שהועברו, משך זמן הגלישה ועוד.

התמחותה של איי פי וי סקיוריטי בתחום ה- Security Audit & Monitoring מאפשרת לנו להכיר את המתודולוגיות והפתרונות המובילים בתחום, אשר מאפשרים לבצע ניטור מסוג זה.

מעוניינים לתאם פגישה ולשמוע פרטים נוספים? צרו קשר

צור קשר

איי פי וי סקיוריטי בע"מ

נא להקיש שם חוקי (אותיות בלבד)
נא להקיש שם חוקי (אותיות בלבד)
נא להקיש ספרות בלבד
נא להקיש כתובת אימייל חוקית
Invalid Input

נא לאשר שאינך רובוט

Invalid Input

מאמרים קשורים

User login