אלי שלמה

עוד יום של סייבר בענן

מתקפת כופר עולמית WannaCry ודרכי התגוננות

by · 13/05/2017

ביום חמישי (11.5) לקראת ערב החלה מתקפת סייבר גלובאלית ברחבי העולם כאשר עשרות מדינות ועשרות אלפי תחנות קצה הותקפו, נכון למאמר זה נדבקו כמעט מאה מדינות בעולם ולפחות 200,000 תחנות קצה הותקפו כאשר רוב המדינות המותקפות נמצאות באירופה וככל הנראה המדינה היותר מותקפת מבינהן היא רוסיה. בנוסף לכך נרשמו גם בישראל תחנות קצה שהותקפו.
המתקפה הנוכחית נקראת WannaCry ומשלבת במתקפה סוג חדש של תקיפה עם מאפיינים ידועים וחדשים והדבר המעניין ביותר במתקפה הזאת שהכל היה ידוע מראש לכולם ויש ארגונים שבחרו להיות אדישים.

במתקפת הסייבר הנוכחית התוקפים ניצלו פרצת האבטחה שפורסמה בחודש האחרון ע”י קבוצות האקרים שונות והמתקפה מבצעת הפצה לתחנות קצה נוספות ברשת הארגונית, מתקינות קבצים ונוזקות ומנסות לתקשר עם שרתים ותחנות קצה נוספות או לחלופין מבצעות כופר קלאסי ומצפינות את המידע בתחנת הקצה. תוצאות המתקפה הרסניות וגרמו להשבתה של ארגונים רבים ברחבי העולם.
הגורמים למתקפת הסייבר הנוכחית מורכבים מהמון פרמטרים, בין היתר: חולשה במערכות ישנות מבוססות Windows, הדלפה של ארגון NSA, פרסום החולשה ע”י קבוצות האקרים שונות וארגונים שלא השכילו לבצע עדכונים בזמן.

רקע לגבי הכופר

מתקפת הכופר WannaCry אשר ידועה גם בשמות נוספים: WannaCrypt,  WNCry, WCry, WanaCrypt0r, Wana Decrypt0r מנצלת חולשה בפרוטוקול SMB בכדי להשיג שליטה על תחנת הקצה, להדביק את תחנת הקצה ולהמשיך במקביל בתהליך הצפנה ובקשת הכופר. כופר WannaCry תוקף תחנות קצה ושרתים ישנים בגרסאות הבאות:

  • Windows XP
  • Windows Server 2003
  • Windows 7
  • Windows Server 2008

שימו לב כי ישנם מערכות נוספות כדוגמת Windows 7 שעלולות להיות מותקפות במידה ולא עודכנו.

מתוך מאמר של Microsoft
image

חשוב להדגיש כי תחנות קצה מבוססות Windows 10 אינן חשופות למתקפה זאת בין אם ביצעו עדכונים אחרונים ובין אם לא ביצעו עדכונים אך חשוב בכל מקרה שיהיו עדכונים ללא קשר למתקפה הנ”ל.
מתקפת הכופר WannaCry מביאה עמה בשורה חדשה במתקפות הסייבר בגלל אופי המתקפה ושימוש במספר מרכיבים שונים במתקפה כאשר חלקם ידועים ממתקפות אחרות וחלקם חדשים, המתקפה שבוצעה כללה מספר מאפיינים שונים:

  • שימוש בכלי מתקפה חדשים
  • ניצול חולשה מסוג EternalBlue שפותחה ע”י NSA
  • סוג התפשטות של הכופר באמצעות email
  • ביצוע פעולות ופונקציונאליות של worm
  • ביצוע המתקפה מרשת TOR
  • ניצול זמן המתקפה מרגע חשיפת החולשה

מתקפת WannaCry נעשתה ע”י תעבורת הדואר ובאמצעות הנדסה חברתית בכדי לגרום למשתמשים ללחוץ על קישורים ולהפעיל את המתקפה בתחנת הקצה.
המתקפה שהגיעה לתחנות הקצה עשתה שימוש באמצעות dropper שהפעילת את הטריגר הבא:

  • שימוש בחולשה EternalBlue על פרוטוקול SMB
  • הפעלת כופר מסוג WannaCrypt

כאשר תחנת קצה נדבקה ע”י קישור או באמצעות SMB מתחנת קצה אחרת נעשו מספר פעולות מאחורי הקלעים:

  • רכיב dropper מתקשר מול דומיין iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
  • תקשורת שאינה בוצעה בהצלחה ממשיכה בתהליך של הדבקת תחנת הקצה ומצפינה את הקבצים
  • בגרסה 2.0 של הכופר אין צרך בהתקשרות מוצלחת אל הדומיין בכדי להפסיק את המתקפה והיא ממשיכה בתהליך גם ללא KilSwitch

תהליך הדבקת התולעת נעשית באמצעות SMB לתחנות קצה ע”י ביצוע סריקה של IP’s בארגון ובמידה ונמצאה תחנת קצה עם חולשה וללא עדכונים נעשה תהליך הדבקה של תחנת הקצה ברמת Kernel ולאחריה יוצר backdoor מסוג DOUBLEPULSAR וממשיך בתהליך הכופר.

wannacrypt-exploit

בתהליך הכופר עצמו הפעיל רכיב dropper סיסמא מוגנת על כל המשאבים שעושים שימוש במתקפה ולאחר מכן המשיך בביצוע הפעולות הבאות:

  • הפעלת פעולת TOR לביצוע תקשורת מול התוקף

wannacry 12

  • יצירת ערכי Registry הבאים

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<random string> = “<malware working directory>\tasksche.exe
HKLM\SOFTWARE\WanaCrypt0r\\wd = “<malware working directory>”

  • הפצה של מדריכים באמצעות dropper בשפות שונות, כגון: אנגלית, סינית, צ’כית, יפנית, ספרדית ועוד 15 שפות נוספות.

image

  • סוגי הקבצים שמוצפנים במתקפה הם הקבצים הבאים:
    • Office
    • ארכיב למינהם
    • בסיסי נותנים ושנים
    • תעודות דיגיטליות
    • מכונות וירטואליות
    • קוד מפתחים
    • קצבים כללים
  • בסיום הכופר יוצר את הקבצים הבאים בנתיבים הבאים:
    • %SystemRoot%\tasksche.exe
    • %SystemDrive%\intel\<random directory name>\tasksche.exe
    • %ProgramData%\<random directory name>\tasksche.exe
  • לאחר מכן כל הקבצים משתנים לסיומות .WNCRY
  • לאחר מכן מתבצעת מחיקה לכל תוכן והגדרה של Volume Shadow ע“י הפקודה הבאה

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog –quiet

  • לאחר מכן נוצר קובץ @Please_Read_Me@.txt בכל ספריה שבוצעה הצפנה והרקע של שולחן העבודה משתנה לרקע הבא

    wannacrypt-ransom-note

  • לאחר מכן מופעל בתחנת הקצה הודעה לגבי קבצים שהוצפנו ובקשה לתשלום

    wannacry 05

דרכי התגוננות

דרכי התגוננות מפני המתקפה הנוכחית הם לא פעולת קסם וצריך לשלב מספר פעולות בכדי להיות מוגן:

  • ביצוע עדכון אבטחה MS17-010
  • ביטול SMBv1 בהתאם למאמר How to enable and disable SMB
  • חסימה של תעבורת SMB בפורט 445 מול Firewall בין רשתות שאינן צריכות תקשורת מסוג זה
  • ביצוע עדכונים לאנטי וירוס השונים
  • יצירת דומיין פיקטיבי מקומי iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com (לא מסייע בגרסה השניה של המתקפה)
  • לוודא גיבויים מקומיים של משתמשי קצה

איך לזהות תחנות קצה נגועות

ניתן להריץ סקריפט אשר מזהה שינויים של הקבצים הבאים:

%SystemRoot%\mssecsvc.exe
%SystemRoot%\tasksche.exe
%SystemRoot%\qeriuwjhrf
*.wnry
taskdl.exe
taskse.exe
00000000.eky
00000000.res
00000000.pky
@WanaDecryptor@.exe
@Please_Read_Me@.txt
m.vbs
@WanaDecryptor@.exe.lnk
@WanaDecryptor@.bmp
274901494632976.bat
taskdl.exe
Taskse.exe
Files with “.wnry” extension
Files with “.WNCRY” extension

מסקנות

מתקפת הסייבר מסוג WannaCry שהחלה ביום האחרון אינה מתקפת Zero-Day ותקפה בעיקר תחנות קצה ושרתים ישנים.
Microsoft הוציאה במרץ האחרון עדכון לחולשה הנוכחית וחודש לאחר מכן באפריל הוציאה התראה נוספת אודות הסיכון של החולשה, בנוסף לכך הוציאה עדכונים ספציפיים למערכות הפעלה שיצאו מכלל תמיכה.
בגלל אופי המתקפה החולשות שנחשפו לאחרונה לקבוצות האקרים שונות יכול להיות שאנו נראה מתקפות דומות ואף קיצוניות כאלה בעתיד והמסקנה היא אחת: לשפר את מערך ההגנה בארגון, ומה זה אומר בפועל:

  • לוודא שישנם מערכות הפעלה מעודכנות עם העדכונים האחרונים
  • לשדרג לגרסת Windows 10
  • לנצל את היכולות של Windows 10 כדוגמת Device Guard, Credential Guard
  • ליישם מודעות משתמשים עם קמפיינים
  • ליישם בארגון מערכת לזיהוי מתקפות חכמות כדוגמת Defender ATP

חשוב להדגיש כי כמו שזה נראה כרגע המתקפה הזאת היא ראשונה בסדרת מתקפות סייבר גלובאליות וככל הנראה אנו נראה מתקפות דומות כאלה בעתיד ולכן חייבים לבצע את ההמלצות בכדי להגן על הארגון.
מידע רשמי של הרשות הלאומית להגנת הסייבר https://cert.gov.il/Updates/Alerts/SiteAssets/CERT-IL-ALERT-W-160%20%281%29.pdf

Tags:

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *