האקרים נגד חוקרים – שיטות התחמקות

מהן השיטות הנפוצות המשמשות האקרים נגד חוקרי אבטחה, ומהן השיטות בהן ניתן להשתמש על מנת להדוף אותן?

מקור: Jamie Zawinski

הפוסט נכתב על ידי מור אהוביה, מומחית להונאות סייבר ב-RSA ב-EMC ישראל.

חידושים שהופיעו בעולם פשעי הסייבר במשך השנה האחרונה, מוכיחים שאפקט החלחול, הידוע מתחום השיווק והכלכלה, לא רק נוגע לנגישותם של מוצרים כמו מחשבי טאבלט ותיירות חלל. בדומה למוצרי ה’עולם האמיתי’, טכניקות התחמקות, שבעבר היו רכושן הבלעדי של אליטות המתכנתים, זולגות בקצב הולך וגובר והופכות לנחלת הכלל. שיטות אלה מעניקות להאקרים עם מיומנויות מוגבלות את אותן טכניקות התחמקות נגד חוקרי-נוזקות שעד לא מזמן היו בשימושם הבלעדי של מומחי זדונה (להלן גם “נוזקה” ו-“מאלוור” Malware).

ברובן, שיטות התחמקות אלו תוכנתו על ידי האקרים, ואומצו על ידי מפיציהם של סוסים טרויאנים בעלי כישורים טכניים ברמות שונות. שיטות אלו נועדו לסכל את ניסיונותיהם של חוקרי אבטחת מידע, השואפים לבצע הנדסה הפוכה (Reverse Engineering) בנוזקות במטרה לאתר את נקודות התקשורת שלהן ברשת. לאחר איתורן, המטרה היא לחסום או לנטר אותן על מנת לצמצם את זליגתו של מידע רגיש לידיהם של פושעים. אחרי הכל, מפיצי טרויאנים משקיעים מאות ואף אלפי דולרים ברכישת תוכנות זדוניות בשוק השחור, ורצונם, כמו רצונו של כל משקיע ‘לגיטימי’, הוא להבטיח שהשקעתם תניב תשואה – ססמאות לחשבונות בנק מקוונים ומספרי כרטיסי אשראי שאינם שייכים להם.

כיצד, אם כך, הצליחו שכלולי התחמקות אלו לזלוג הלאה, לידיהם של מוכרי הטרויאנים ומפיציהם בפועל? ובכן, טכניקות אלו נצפו לראשונה בטרויאנים פרטיים המופעלים על ידי כנופיות סייבר, שחבריהן הם, במקרים רבים, מפתחי תוכנה מהמעלה הראשונה. לאחר מכן, אותם שכלולים מצאו את דרכם לטרויאנים המתוחכמים והיקרים יותר, הנמכרים בשוק השחור של עולם הסייבר. לאחרונה נראה כי חידושים אלו אף מופיעים בפרסומות (בפורומים סגורים) של כותבי זדונות פשוטות יותר, הידועות כ”גונבי-ססמאות” גנריים.

הטקטיקות של מפתחי הנוזקות כנגד חוקרי טרויאנים

1) ניסיון למנוע את איתורם וניתוחם של קבצים הנשתלים על ידי טרויאנים במחשבים נגועים. אם קבצים אלו מזדמנים לידיהם של חוקרים, ניתן יהיה להעביר אותם הנדסה הפוכה אשר תאפשר את גילויין של נקודות התקשורת ברשת של המאלוור. במידה ונקודות אלו תתגלנה, רשת הבוטים המלאה של אותו מפיץ טרויאינים תימצא בסכנת חשיפה (וככל הנראה – חסימה), על מאות ואלפי המחשבים הנגועים שלה.

2) הקשחת האבטחה של שרתי התיפעול ואיסוף של רשת הבוטים, כאשר שרתי התיפעול (Command & Control) אחראים לשליחת פקודות חדשות לבוטים ואילו שרתי האיסוף (Drop Servers) קולטים את המידע הגנוב מאותם מחשבים. המחשבה מאחורי טקטיקה זו היא להבטיח שגם אם כתובת ה-IP או כתובת ה-URL של אחד מהשרתים האלו תאותר, אותו שרת ייוותר חסין מפני חדירתם של חוקרי מאלוור, וכן חסין מפני נסיונות ‘חטיפה’ על ידי פושעי סייבר מתחרים וגורמי אכיפה שונים.

מאז סתיו 2011, עדה אר.אס.איי (RSA) להטמעה רחבה של שתי הטקטיקות האלה על ידי מפיצי הטרויאנים, המשתמשים בטכניקות הודפות-מחקר שונות וכן שיטות שונות להקשחת שרתים.

שיטות הודפות מחקר התופסות תאוצה בקרב נוזקות ורשתות הבוטים שלהן

• הימנעות ממכונות וירטואליות (Virtual Machines, VM): על מנת לדעת אם הם נחקרים על ידי אנשי אבטחת מידע טרם החלתם על מחשב נגוע, טרויאנים בודקים אם הם רצים בסביבה וירטואלית. במידה והם מאבחנים סביבת VM, הטרויאני לא יתקין את קבציו, אלא יישאר ‘באריזתו’ על המערכת הנגועה.

• “הקרסת” כלי מחקר: בנסיון לשמור את אופן פעולתם בסוד, מספר גובר של נוזקות החל להטמיע מנגנון המאתר תוכנות מסחריות למחקר וניתוח, ולהביא לקריסתן. כתוצאה מכך, קשה יותר להיעזר בתוכנות אלו כדי לחשוף את מלוא הפונקציונאליות של אותם טרויאנים וללמוד את תבניות התקשורת שלהם עם שרתי התיפעול והאיסוף.

• הצפנת קבצים ושורות קוד: הצפנת הקבצים של טרויאני על גבי המחשב הנגוע הופכת אותם לסמויים מעיניהם של מנועי אנטי-וירוס ומאלו של חוקרים. הקוד המוצפן בטרויאנים אלו מפוענח למשך זמן קצר מאוד בזיכרון המחשב (RAM) רק כאשר הוא נמצא בשימוש, ומייד לאחר מכן הקוד המפוענח מושמד. מפיצי המאלוור נוהגים להחיל הצפנה מסוג זה על קבצים שלמים או על שורות בודדות של קוד אשר חשיבותן רבה במיוחד (כמו, למשל, קוד המכיל את נקודות התקשורת של הטרויאני).

במידה ובכל זאת נתגלו נקודות התקשורת של רשת בוטים, ברשותם של מפיצי הטרויאנים שיטות הגנה נוספות שמטרתן למנוע את נגישותם וחטיפתם של שרתי מאלוור שאותרו:

• אימות והצפנה באמצעות מפתחות אסימטריים וחתימה דיגיטלית: כותבי נוזקות אימצו שיטת אימות זו, הנמצאת בשימוש בדואר אלקטרוני ובתקשורת מוצפנת מול שרתי Web. מטרת אמצעי זה היא לאפשר למפעיל ולבוטים לתקשר באופן מוצפן, ובנוסף לאפשר לבוט לאמת את זהות נותן הפקודה ולמנוע מצב שתתקבל פקודה מגורמים לא רצויים, למשל מפושעי סייבר מתחרים, חוקרי מאלוור או גופי אכיפה. בכדי לחטוף רשת בוטים המוגנת באמצעי זה, לדוגמה על ידי ניתוב מחדש של התקשורת שלה לשרתים חלופיים, החוטף יצטרך לגלות הן את אלגוריתם ההצפנה של אותו הטרויאני והן את המפתח המתאים. בד”כ מדובר במפתח הפרטי של מפעיל הבוטים שהשגתו לא פשוטה, אם בכלל אפשרית.

• רשימות שחורות (Blacklists): רשימות שחורות הנכתבות על ידי פושעי סייבר, מטרתן למנוע גישה לכתובות IP וכתובות URL, השייכות למערכות ניטור-מאלוור אוטומתיות (כמו ZeusTracker), וכן למנוע גישה ממחשבים השייכים לחברות אבטחת מידע,וגופי אכיפה. בעוד שכל מפתח מאלוור או מפעיל טרויאיני יכול ליצור לעצמו רשימה שחורה משלו, כבר אותרו נוכלים שמוכרים רשימות כאלו לפושעי סייבר. בנוסף, רשימות מסוג זה אף הוטמעו בטרויאנים המתוחכמים יותר המוצעים למכירה בשוק השחור.

במירוץ החימוש המתרחש מתחת לאפנו במרחב הסייבר, המתמודדים מתחרים על עליונות טכנולוגית. בעוד שטכניקות רבות כבר זלגו אל נחלת הכלל, ישנן עדיין מספר מתודות שנותרו נחלתם הבלעדית של אליטות ספורות. בכללן שיטה המחוללת נקודות תקשורת פסאודו-ראנדומליות לרשתות בוטים, וכן תקשורת “עמית לעמית” (Peer-to-Peer, P2P) המאפשרת לכל בוט לשמש כשרת תיפעול. רק הזמן יגיד אם טכניקות התחמקות אלה גם הן תמצאנה את דרכן אל נחלת הכלל של כותבי הטרויאנים.

האמור לעיל אינו מהווה יעוץ משפטי או תחליף לייעוץ משפטי והוא בבחינת מידע כללי בלבד. כל המסתמך על האמור לעיל, מבלי לקבל חוות דעת משפטית על בסיס כל העובדות הרלוונטיות, עושה זאת על אחריותו בלבד.


הפוסט נכתב על ידי EMC


EMC Forum, כנס הלקוחות השנתי של חברת EMC בישראל, יתקיים ב-24 באוקטובר. האירוע מהווה הזדמנות ייחודית להתחבר עם מומחים ממגוון רחב של חברות מובילות בתחום ה-IT. באירוע יועברו הרצאות מפי בכירים בתעשייה מישראל ומחו”ל, בראשם שניים מבכירי מטה החברה: בריאן גאלאגר, נשיא חטיבת האחסון הארגוני ב-EMC, וצ’אד סקאק, סגן נשיא בכיר להנדסה, שיגיעו לכנס לשאת את נאומי הפתיחה, ויפגשו עם לקוחות. התכוננו לשנות את הדרך בה אתם רואים את העתיד של הארגון ושל תחום ה-IT:

  • גלו מדוע מחשוב ענן ווירטואליזציה הם המפתח ושליטה במציאות החדשה של ה-IT
  • גלו כיצד אתם יכולים לפענח את הערך של ביג דאטה עבור הארגון שלכם
  • גלו  את הידע, המיומנויות והתמיכה שיסייעו לכם להתמודד עם האתגרים שלפניכם

הרשם עכשיו ל-EMC Forum והצטרף אלינו ולשותפים שלנו, יחד עם מנהלי מערכות מידע, מנהלי תשתיות ואחסון, מנהלים ועובדים בכירים בתעשיית ה-IT.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

3 Comments on "האקרים נגד חוקרים – שיטות התחמקות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
דורון מועלם
Guest

תודה !

someone
Guest

נראה כאילו כל הכתבה הזו נכתבה בgoogle Translate

אורי
Guest
wpDiscuz

תגיות לכתבה: