Connect with us

מאמרים

קרספרסקי: כך גילינו את פליים במקרה

מאמרים

פרסום בגוגל: הכלי החשוב ביותר לגידול עסק והגעת ללקוחות חדשים

Business מאמרים

קישורים חיצוניים לאתר: בנייתם לבד או רכישתם - מה עדיף?

מאמרים

עובדים מהבית? מומחי סופוס ממליצים על חמישה צעדים להתגוננות מפני מתקפות סייבר 

Cyber Israel הקבינט הבטחוני חדשות מאמרים פריצה לאתרים

חוקרי אבטחת מידע מישראל: דלף מידע רגיש של משתמשים בעשרות אתרי היכרויות

מאמרים

גם עסקים קטנים צריכים אבטחה גדולה – במחשוב ובסליקה

מאמרים

כך תצרו סיסמא חזקה שגם תזכרו

אבטחת מידע ארגונית אבטחת מידע ארגונית דרושים הגנת IoT מאמרים פרטיות רגולציה

מעבדת קספרסקי: 40% מהסטודנטים באוניברסיטאות מאמינים שהמשרה העתידית שלהם עדיין לא קיימת

מאמרים מתקפות סייבר פריצה לאתרים

מודיעין עסקי טוב יותר עם WAF מתקדם

הקבינט הבטחוני מאמרים

אבטחת אפליקציות של תשתית קריטית בעת הגירה לענן

מאמרים

קרספרסקי: כך גילינו את פליים במקרה

פורסם

לפני 13 שנים

ב-

קספרסקי מפרסמת דוח חדש אודות Wiper – הקוד הזדוני הקטלני שפגע במערכות מחשבים במהלך אפריל 2012 – ואשר המחקר אודותיו הוביל לגילוי הפליים.

באפריל 2012 דווח על סדרה של אירועים אודות קוד זדוני הרסני הנקרא Wiper (ווייפר), אשר תקף מערכות מחשבים הקשורות במספר מתקני נפט במערב אסיה. במאי 2012, צוות המחקר של קספרסקי ביצע מחקר ביוזמת איגוד הטלקום הבינלאומי (International Telecommunications Union) על מנת להסיק מהו פוטנציאל האיום מקוד זדוני חדש זה, מאחר והוא קשור ליכולת שימור הפעילות וההגנה הבינלאומית.

מומחי קספרסקי פרסמו את תוצאות המחקר שעלו מניתוח מעבדה של תמונות הדיסק הקשיח אשר חולצו מהמערכות המותקפות על ידי ווייפר.

הניתוח מספק תובנות לגבי יעילות שיטות העבודה של ווייפר להריסת מערכות המחשוב, כולל תבנית המחיקה הייחודית שלו וההתנהגות ההרסנית. למרות שתוצאה בלתי מכוונת של החיפוש אחר ווייפר הייתה הגילוי של Flame, ווייפר עצמו לא התגלה במהלך המחקר והוא עדיין בגדר בלתי מזוהה. יחד עם זאת, ייתכן שההרסניות היעילה של ווייפר עודדה חקיינים ליצור קוד זדוני כגון Shamoon, אשר הופיע באוגוסט 2012.

תקציר הממצאים

–          קספרסקי מאשרת כי ווייפר היה אחראי להתקפה נגד מערכות מחשבים במערב אסיה במהלך התקופה 21-30 באפריל 2012.

Advertisement

–          ניתוח תמונות הדיסק הקשיח במחשבים שהושמדו על ידי ווייפר גילה תבנית מחיקת מידע ייחודית באמצעות רכיב קוד זדוני שהחל בסימול ~D . ממצאים אלה מזכירים את Duqu ו- Stuxnet, שגם הם עשו שימוש בקבצים המתחילים ב- ~D, ונבנו על בסיס אותה פלטפורמת התקפה הידועה בשם Tilded.

–          קספרסקי החלה את המחקר אחר קבצים אחרים המתחילים ב- ~D באמצעות רשת האבטחה של קספרסקי, כדי לנסות ולאתר קבצים נוספים של ווייפר בהסתמך על הקשר לפלטפורמת Tilded.

–          במהלך תהליך זה, קספרסקי זיהתה מספר גדול של קבצים במערב אסיה הנקראים ~DEB93D. ניתוח נוסף הראה כי קובץ זה הוא למעשה חלק מסוג אחר של קוד זדוני, וכך התרחש הגילוי המקרי של Flame.

–          למרות ש- Flame התגלה במהלך החיפוש אחר Wiper, צוות המחקר של קספרסקי מאמין כי Wiper ו- Flame הם תוכנות קוד זדוני נפרדות לחלוטין.

–          למרות שמעבדות קספקסקי ביצעו ניתוח עקבות של פעילות ווייפר, הקוד הזדוני עדיין אינו מזוהה מאחר ולא התרחשו אירועי מחיקה נוספים על פי אותה תבנית עבודה, ולא התרחש זיהוי של הקוד הזדוני במערכת ההגנה הפרו אקטיבית של קספרסקי.

Advertisement

–          ווייפר היה יעיל במיוחד, וייתכן שעודד אחרים ליצור "קופיקאט" של הקוד הזדוני, כגון Shamoon.

ניתוח מעבדה של מחשבים שנמחקו

הניתוח הדיסק הקשיח שחולץ מהמחשבים שנהרסו על ידי קספרסקי, מראה כי הקוד הזדוני ווייפר מחק את הדיסק הקשיח והרס את כל המידע שהיה יכול לשמש כדי לזהות את הקוד הזדוני. מערכת הקבצים הושחתה על ידי ווייפר כדי למנוע ממחשבים לבצע אתחול אשר יצר חוסר תפקוד כללי. לכן, בכל מחשב שנותח כמעט ולא נותר דבר לאחר הפעלת ווייפר, כולל הסיכוי לשחזר מידע.

למרות זאת, המחקר של קספרסקי גילה תובנות יקרות ערך אודות תבנית המחיקה הייחודית הנמצאת בשימוש על ידי הקוד הזדוני, לצד שמות קוד זדוני, ובמקרים מסויימים Registry Keys שחשפו שמות קבצים קודמים שנמחקו מהדיסק הקשיח. כל הנתונים שחולצו הצביעו אל קבצים שהחלו ב- ~D.

תבניות מחיקה ייחודיות

Advertisement

ניתוח של תבניות מחיקה הראו את התבנית האחידה שהופעלה בכל אחד מהמחשבים בהם פעל הווייפר. האלגוריתם של ווייפר תוכנן כדי להרוס במהירות קבצים רבים ככל הניתן, ברמה של גיגה בייט רבים בכל פעם. בשלושה מתוך ארבעה מחשבים שנפגעו נמחקו כל הנתונים לחלוטין, כשהפעילות מתמקדת בהריסת החלק הראשון של הדיסק, ואז בהדרגה מחיקת כל הקבצים הנותרים שמאפשרים לדיסק לעבוד, עד לקריסת המערכת. בנוסף, קספרסקי מודעים להתקפות ווייפר שכוונו אל קבצי PNF, עובדה שהייתה חסרת משמעות אלמלא הייתה קשורה להסרה של רכיבי קוד זדוני נוספים. הדבר גם מהווה ממצא מעניין מאחר ו- Duqu ו- Stuxnet שומרים את הקוד המרכזי שלהם מוצפן בקבצי PNF.

כיצד המרדף אחר Wiper הוביל לגילוי של Flame

שימוש קבצים זמניים (TMP) המתחילים ב- ~D נעשה על ידי Duqu, אשר כמו Stuxnet, נבנה על  פלטפורמת ההתקפה Tilded. בהתבסס על רמז זה, צוות המחקר החל לחפש אחר קבצים בלתי מוכרים הקשורים לווייפר ולפלטפורמת ה- Tilded. החיפוש נערך ב- KSN, תשתית הענן בה פתרונות קספרסקי עושים שימוש כדי לדווח נתונים ולספק הגנה מיידית מאיומים חדשים באמצעות Blacklists וחוקים. במהלך תהליך זה צוות המחקר של קספרקסי מצא מספר מחשבים במערב אסיה שהכילו את הקובץ ~DEF983D.tmp. כך גילו בקספרסקי את Flame. ועדיין, ווייפר לא התגלה באמצעות שיטה זאת והוא עדיין בגדר "אינו ידוע".

אלכסנדר גוסטב, חוקר ראשי בקספרסקי, אמר: "בהתבסס על הניתוח שלנו של התבניות שווייפר השאיר על הדיסקים הקשיחים, אין ספק כי הקוד הזדוני היה בשימוש לתקיפת מחשבים במהלך אפריל 2012 במערב אסיה, וייתכן אף קודם לכך במהלך דצמבר 2011. למרות שגילנו את Flame במהלך המחקר אחר ווייפר, אנו מאמינים כי ווייפר לא היה Flame אלה קוד זדוני נפרד. ההתנהגות ההרסנית של ווייפר בשילוב עם שמות הקבצים שנותרו על הדיסקים הקשיחים במחשבים שנהרסו, דומים מאוד לתוכנות הפועלות על פלטפורמת ה- Tilded. הארכיטקטורה המודולארית של Flame הייתה שונה לחלוטין ותוכננה על מנת להפעיל פעילות ריגול מתמשכת. במהלך המחקר של Flame, גם לא הצלחנו לזהות התנהגות הרסנית דומה לווייפר.

המחקר המלא מופיעה ב- Securelist

Advertisement
Related Topics:
Continue Reading