ארה"ב פרסמה מידע נוסף על תשתית התקיפה הצפון-קוריאנית - Hidden Cobra
מאת:
מערכת Telecom News, 30.5.18, 15:26
ארה"ב פרסמה אמש מידע עוד לגבי התשתית העושה שימוש ב-2 פוגענים שונים. מה מומלץ לארגונים לעשות?
דווח, שיעדי הקמפיין
הנוכחי זוהו ב-17 מדינות. עפ"י הדיווח האמריקאי, עדיין לא מוכרת פעילות של הקמפיין בישראל. המגזרים המותקפים כוללים מדיה, תעופה וחלל, פיננסים, ותשתיות קריטיות שונות, בארה"ב ובכל רחבי העולם. מסמךראשוני, שכבר פורסם לפני כשנה בנושא –
כאן.
התוקף משתמש בקמפיין זה במספר פוגענים שונים, שנמצאים בשימוש ככל הנראה החל מ-2009. מידע על פוגענים שונים, שנמצאו בעבר בשימוש תשתית זו ניתן למצוא -
כאן.
אחד הפוגענים מכונה
Joanap והוא מסוג
RAT (Remote Access Trojan) ובעל יכולות מגוונות נגד העמדה המותקפת. וקטור התקיפה הראשוני עבור פוגען זה הוא בדרך כלל תקיפה מסוג
Watering Hole או שליחת צרופה זדונית בהודעות דוא"ל. הפוגען מתקשר עם שרתי
C&C של התוקף באמצעות תעבורה המוצפנת באלגוריתם
RC4.
פוגען נוסף מכונה
Brambul והוא תולעת מבוססת
SMB. הפוגען מתפשט באמצעות תקיפות
Brute Force נגד שיתופי רשת מבוססי
SMB (פורטים 139 ו-445), בד"כ באמצעות קובץ סיסמאות מוגדר מראש. הפוגען מנסה לגשת בפרוטוקול זה, הן לשיתופי רשת נגישים ברשת הארגונית והן לרשימה רנדומלית של כתובות
IP ברשת האינטרנט, שהוא יוצר. פוגען זה מתקשר עם התוקפים באמצעות שליחת הודעות דוא"ל לכתובות שבשליטתם. ביכולתו של הפוגען למחוק את עצמו ולהעלים עקבותיו כדי להימנע מגילוי.
איך מתמודדים?
מומלץ לא לאפשר כניסה של פרוטוקול
SMB (פורטים 139 -445) לרשת הארגונית מגורם חיצוני בכלל ומרשת האינטרנט בפרט.
באופן דומה, מומלץ לא לאפשר יציאה של פרוטוקול זה מהרשת הארגונית לגורם כלשהו מחוץ לרשת.
מומלץ לאכוף איסור זה באמצעות חוקים מתאימים ב-
FW הארגוניים.
אם יש צורך עסקי בקישור לגורם חיצוני באמצעות פרוטוקול זה, מומלץ לבצעו באמצעות
VPN עם הצפנה מתאימה.
מומלץ לאפיין את הרשת הארגונית כך, שתעבורת
SMB פנים ארגונית מופנית אך ורק מעמדות קצה לשירותי הרשת השונים, ואינה אפשרית בין עמדות קצה לבין עצמן. ניתן לאכוף הגבלות אלו באמצעות שימוש ב-
HOST Based FW על עמדות הקצה, חוקים ב-
FW הארגוניים, או הגדרות
Private Vlan מתאימות ברשתות של עמדות הקצה.
לפני הטמעת שינויים אלו ברשת ייצור פעילה, יש לבחון אותם בסביבת ניסוי.
מומלץ לנטרל את השימוש בפרוטוקול
SMB v1 ברשת הארגונית, אם אין צורך בפרוטוקול זה מבחינה עסקית.