דו"ח איומים: האם פושעי הסייבר מוציאים לפועל את שלבי ההתקפות שלהם בימים מסוימים בשבוע?
מאת:
מערכת Telecom News, 29.5.19, 14:58
שיטות ההתקפה של פושעי הסייבר על ארגונים הופכות מתוחכמות יותר, החל מתוכנות כופר מותאמות וקידוד מותאם אישית להתקפות מסוימות, דרך התקפות מסוג living-off-the-land - LoTL וכלה בשיתוף תשתיות לצורך מקסום הזדמנויות התקיפה.
פורטינט, שעוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את
ממצאי דו"ח מפת האיומים הרבעוני של מעבדות
FortiGuard, גוף המחקר הגלובלי של החברה. מהמחקר עולה, ששיטות ההתקפה של פושעי הסייבר הופכות מתוחכמות יותר, החל מתוכנות כופר מותאמות וקידוד מותאם אישית להתקפות מסוימות, דרך התקפות מסוג
living-off-the-land - LoTL וכלה בשיתוף תשתיות לצורך מקסום הזדמנויות התקיפה. להלן ממצאי הדוח העיקריים:
תעבורת נתונים לפני ואחרי הפגיעה בארגון:
מהמחקר, שנערך כדי לבדוק האם פושעי הסייבר מוציאים לפועל את שלבי ההתקפות שלהם בימים שונים של השבוע, עלה, שהפושעים תמיד מנסים למקסם את הזדמנות התקיפה לתועלתם. כאשר משווים את נפח סינון נתוני ה-Web ב-2 שלבי שרשרת ההרס במהלך ימי השבוע ובסופי השבוע, הסבירות לקיום פעילות זדונית, שקודמת לפגיעה בארגון, גדולה פי 3 לערך במהלך שבוע העבודה, ואילו בתעבורת נתונים לאחר הפגיעה בארגון אין הבדל גדול בתחום זה.
הסיבה העיקרית לכך היא, שפעמים רבות פעולת הפריצה והשימוש לרעה מחייבת פעולה של אדם בתוך הארגון כגון לחיצה על הודעת פישינג בדואר האלקטרוני. בניגוד לכך, פעילות שליטה ובקרה
(C2 – command-and-control) אינה זקוקה לכך והיא עלולה להתרחש בכל עת. פושעי הסייבר מבינים זאת ומנסים למקסם את ההזדמנות במהלך השבוע, כאשר נפח הפעילות באינטרנט הוא הגבוה ביותר. ההבחנה בין נוהלי סינון ה-Web בימי השבוע לבין סופי השבוע חשובה להבנה מלאה של שרשרת ההרס הנגרמת כתוצאה מההתקפות השונות.
רוב האיומים משתמשים בתשתית משותפת:
המידה בה איומים שונים חולקים בתשתית מעלה כמה מגמות בעלות ערך. חלק מהאיומים ממנפים תשתית הנמצאת בשימוש קהילה במידה רבה יותר מאשר תשתית ייחודית או ייעודית. כ-60% מהאיומים חולקים דומיין אחד לפחות, מה שמצביע על כך, שרוב הבוטנטים ממנפים את התשתית הקיימת.
בנוסף, כאשר איומים חולקים תשתית, הם נוטים לעשות זאת בתחומי שרשרת ההרס עצמה. לרוב, איום לא ימנף דומיין לצורך חדירה ואז ימנף אותו מאוחר יותר לצורך תעבורת C2. הדבר מרמז על כך, שלתשתית יש תפקיד או פונקציה ספציפיים כאשר היא נמצאת בשימוש של פעולות זדוניות.
ההבנה אילו איומים חולקים תשתית ומהם הנקודות של שרשרת ההתקפה, תאפשר לארגונים לחזות את נקודות ההתפתחות הפוטנציאליות של תוכנות זדוניות או בוטנטים בעתיד.
ניהול תוכן זקוק לניהול קבוע:
פושעי הסייבר נוטים לעבור מהזדמנות אחת לשנייה במקבצים, תוך התמקדות בטכנולוגיות ובנקודות תורפה מתפתחות, שנוצלו בהצלחה במטרה למקסם במהירות את הזדמנות לפעילות זדונית. דוגמה לטכנולוגיה חדשה, שמושכת לאחרונה את תשומת לבם של פושעי סייבר רבים, הן פלטפורמות ה-Web העוזרות לצרכנים ולעסקים ליצור נוכחות ברשת במהירות.
הפושעים ממשיכים להתמקד בפלטפורמות אלו ובתוספים החיצוניים הקשורים אליהן. דבר זה מחזק את החשיבות הקריטית של החלת עדכוני תוכנה באופן מידי ושל הבנה מלאה של זירת נקודות התורפה המתפתחת ללא הרף כדי לשמור על יתרון מול פושעי הסייבר.
תוכנות הכופר עדיין לא נעלמו:
אומנם חלק גדול מתוכנות הכופר הוחלף בהתקפות ממוקדות יותר, אך תופעת תוכנות הכופר עדיין חיה ובועטת. כיום, התקפות מרובות מעידות על כך, שהתוכנות הללו הותאמו עבור יעדים בעלי ערך גבוה וכדי להעניק לתוקף הרשאות גישה גבוהות יותר אל הרשת.
LockerGoga היא דוגמה לתוכנת כופר ממוקדת, שנערכה כהתקפה מרובת שלבים. LockerGoga דומה מאוד לתוכנות כופר אחרות מבחינת התחכום הפונקציונלי, אך רוב כלי תוכנות הכופר משתמשים בסוג מסוים של טשטוש כדי למנוע זיהוי ואילו ניתוח של קוד זה הראה, שרמת הטשטוש בו הייתה נמוכה. דבר זה מרמז על הטבע הממוקד של ההתקפה, וכן על הקביעה מראש, שהתוכנה הזדונית לא תזוהה בקלות.
כ"כ, בדומה לרוב תוכנות הכופר, היעד הראשי של
Anatova הוא להצפין כמה שיותר קבצים במערכת הקבצים של הקורבן, פרט לאלה שהלולים לפגוע ביציבות המערכת הנגועה. התוכנה נמנעת גם מלהדביק מחשבים הנראים כאילו הם נמצאים בשימוש לצורך ניתוח תוכנות זדוניות או כאלה המשתמשים במלכודת דבש
(honeypots) לאיתור פעילות זדונית.
2 סוגי הקוד הללו מלמדים, שעל הגופים המובילים בתחום האבטחה להמשיך ולהתמקד בתיקון פרצות ובגיבוי כאמצעי למניעת תוכנות כופר, אך יחד עם זאת, איומים ממוקדים מצריכים יישום של הגנה מותאמת יותר מפני שיטות ההתקפה הייחודיות שלהם.
כלים וטריקים עבור Living off The Land:
פושעי הסייבר פועלים על פי אותם המודלים העסקיים המנחים את קורבנותיהם. לכן, פעמים רבות שיטות ההתקפה ממשיכות להתפתח גם לאחר הפריצה הראשונית, וזאת כדי למקסם את המאמצים שלהם. לשם כך, פושעי הסייבר ממנפים כמות הולכת וגדלה של כלים לשימוש כפול, או כלים, שכבר מותקנים במערכות היעד, לביצוע התקפות סייבר.
טקטיקת
"living off the land" (
LoTL - שימוש בכלים קיימים) מאפשרת להאקרים להסתיר את הפעילות שלהם מאחורי תהליכים לגיטימיים, מה שמקשה על הצד המתגונן לאתר אותם, כאשר הכלים הללו מקשים גם על זיהוי ההתקפה עצמה.
לרוע המזל, הפושעים יכולים להשתמש במגוון כלים לגיטימיים כדי להשיג את מטרותיהם ולהתחבא במקומות שלא יעלו על הדעת. הגופים המתגוננים, שרוצים לפעול בצורה חכמה, יידרשו להגביל את הגישה אל כלים אדמיניסטרטיביים מאושרים ולתעד את השימוש במערכות שלהם.
עופר ישראלי, מנהל פעילות פורטינט ישראל
: "שיפור היכולת של הארגון להתגונן כראוי מפני מגמות איומים קיימות ואף להתכונן להתפתחות ולאוטומציה של התקפות לאורך זמן מחייבים הטמעה של מודיעין איומים דינמי, יזום וזמין על פני הרשת המבוזרת. ידע זה יוכל לעזור לזהות מגמות המצביעות על התפתחות שיטות ההתקפה המתמקדות בשטח התקיפה הדיגיטלי ולתת דגש על עדיפות להיגיינת סייבר המבוססת על הנקודות בהן מתמקדים הפושעים.
הערך והיכולת לנקוט בפעולה בעקבות מודיעין איומים יקטנו משמעותית אם הם לא יהיו ברי פעולה בזמן אמת בכל התקן אבטחה. רק מארג אבטחה (
Security Fabric) מקיף, משולב ואוטומטי יוכל לספק הגנה עבור סביבת הרשת כולה החל מה-IoT, דרך הקצה וליבת הרשת וכלה בריבוי עננים במהירות ובצורה מותאמת".
פיל קוודה, CISO בפורטינט: "לרוע המזל, אנו ממשיכים לראות כיצד קהילת פושעי הסייבר מעתיקה את האסטרטגיות והמתודולוגיות של גופים מדיניים, וכן את הרשתות וההתקנים המתפתחים בהם פושעים אלה מתמקדים. על הארגונים לשנות ולהתאים את האסטרטגיה שלהם כדי לשפר את ההגנה ואת ניהול סיכוני הסייבר.
שלב חשוב וראשון בתהליך הוא התייחסות מדעית אל תחום אבטחת הסייבר - טיפול הולם בדרישות היסודיות - מה שמצריך מינוף של תשתית מרחב הסייבר מבחינת מהירות וקישוריות לצורך הגנה. האימוץ של גישת המארג, חלוקת מיקרו ומאקרו למקטעים, מינוף למידת מכונה והאוטומציה כאבני הבניין של הבינה המלאכותית, יהוו הזדמנות מצוינת, שתאלץ את פושעי הסייבר לחזור אל קו ההתחלה".