"המשרד", חמאס ו-AI: כך גילינו נוזקה חדשה הכתובה בשפת GO

היא אולי פופולרית, אבל בגלל שהיא חדשה, אין הרבה תיעוד לגבי קוד זדוני שנכתב בשפת התכנות GO. בדיפ אינסטינקט החליטו לחקור – וגילו את נוזקת Arid Gopher. הנה כל מה שצריך לדעת עליה

נוזקות שנכתבות בשפת GO מצליחות לעקוף את רוב מוצרי האבטחה הקיימים (צילום: Dreamstime)

מאת סימון קנין, חוקר אבטחת מידע בדיפ אינסטינקט

עולם ההייטק ואבטחת המידע משתנה כל הזמן ובקצב מהיר, ולכן מוצרי אבטחה שמסתמכים על חתימות סטטיות הפכו להיות פחות רלוונטים. למעשה, נדרשת גישה חדשה כדי למנוע איומים חדשים ולא מוכרים.

עם התקדמות הטכנולוגיה נוצרות שפות תכנות חדשות, וככל שהן צוברות פופולריות, כך גם גדל הסיכוי שמישהו יכתוב תוכנה עם קוד זדוני בשפה החדשה. כך, שפת התכנות GO צוברת פופולריות אצל תוקפים זדוניים וכל הזמן מתגלות נוזקות חדשות הכתובות תוך שימוש בה.

הסיבה לפופולריות של השפה אצל תוקפים נובעת באופן חלקי מהסיבות לפופולריות של השפה באופן כללי. ראשית, השפה מאפשרת לכתוב קוד חוצה-פלטפורמות שבעזרתו ניתן ליצור קבצי הרצה אוטונומיים למערכות הפעלה שונות ללא תלות בעזרים חיצוניים. הדבר שונה לדוגמה משפת JAVA, שגם היא גם חוצת פלטפורמות אך נדרשת התקנה של JAVA במחשב שבו רוצים להריץ את הקוד.

שנית, בעקבות הפופולריות של שפת GO נוצר מגוון רחב של ספריות קוד פתוח למגוון רחב של שימושים. הדבר מאפשר למתכנתים לטעון ספרייה קיימת ולהשתמש בפונקציונליות שלה בקלות, באופן דומה למה שקיים בשפת Python. הדבר חוסך למתכנתים זמן תכנות ומקצר את זמן הפיתוח.

בנוסף לאלה, בגלל שמדובר בשפה חדשה, אין הרבה מידע ותיעוד לגבי קוד זדוני שכתוב בשפת GO. הדבר גורם לכך שנוזקות שנכתבות בשפת GO מצליחות לעקוף את רוב מוצרי האבטחה הקיימים שמשתמשים בחתימות סטטיות המתבססות על קוד זדוני ידוע.

גרסה חדשה של נוזקת Micropsia

בשל כל אלה החליטו החוקרים שלנו בדיפ אינסטינקט לבדוק קבצי GO שונים שנחסמו על ידי מנוע הבינה המלאכותית של החברה. אחד הקבצים שנחסמו זוהה רק על ידי 6 מוצרי אבטחה ב-VirusTotal.

לאחר חקירה וביצוע הנדסה לאחור לקובץ, נמצאו שני קבצים נוספים דומים. שלושת הקבצים חולקים בסיס קוד משותף, אך כל קובץ כולל קוד ייחודי.

ממצאי החקירה גילו כי מדובר בגרסה חדשה של נוזקת Micropsia של קבוצת התקיפה Arid Viper הפועלת בעיקר באזור המזרח התיכון, ולכן השם החדש שניתן לגרסאת ה-GO של הנוזקה הוא Arid Gopher.

לקבוצת תקיפה זו ישנן נוזקות ייחודיות למחשבי ווינדוס וגם למכשירי טלפון ניידים המבוססים על אנדרואיד. באפריל 2021 חברת פייסבוק הוציאה דו"ח לגבי קבוצת התקיפה ובו היא גם זיהתה לראשונה נוזקה של הקבוצה הפועלת על מכשירי אייפון.

בנוסף לגילוי הנוזקה באייפון, בדו"ח צויין שהקבוצה כל הזמן משדרגת את נוזקת האנדרואיד ואת נוזקת הווינדוס (Micropsia). חלק מהשדרוג של האחרונה כולל שינוי שפת התכנות שבו הנוזקה כתובה: הנוזקה נכתבה בעבר בשפות C++ ,Delphi ,Pascal ואפילו Python, ולכן לא מפתיע שהקבוצה פיתחה גרסה לנוזקה ב-GO כדי לעקוף את רוב מוצרי האבטחה המתבססים על חתימות סטטיות.

קבוצת התקיפה Arid Viper קשורה ככל הנראה לארגון החמאס (למטרות ריגול וגניבת מידע) ובעבר גם תקפה חיילי צה"ל (זוכרים את הפרופילים המזויפים של "נשים" שצ'וטטו עם חיילים בפייסבוק?).

שלושת הקבצים החדשים של Arid Gopher מכילים מסמכי פיתיון הכתובים בערבית, כך שנראה שישראלים כרגע אינם מטרת הקבוצה. אחד מקבצי הפיתיון הוא מסמך של סיכום ישיבה של הרש"פ:

איך זה עובד?

וקטור התקיפה של הנוזקה החדשה אינו ידוע כרגע, אך ככל הנראה היא מופצת בעזרת אימיילים המכילים צרופה או לינק להורדת קובץ ארכיון, כפי שזוהה בקמפיין משנת 2017 של הקבוצה:

גם שניים מתוך שלושת הקבצים שנכתבו בשפת GO זוהו בתוך קבצי ארכיון. בתוך הארכיון ישנו קובץ הרצה (EXE), בדרך כלל בעל סיומת כפולה ושם קובץ ארוך. קובץ ההרצה הוא בעל אייקון של תוכנה לגיטימית כמו וורד או אקרובט, וברגע שהמותקף מפעיל את הנוזקה היא פורקת לדיסק מסמך פיתיון תמים. שילוב של כל השיטות הללו נועד לגרום למותקף לחשוב שהוא פותח מסמך רגיל ולא קובץ הרצה, בזמן שהנוזקה רצה ברקע.

לנוזקה ישנן כמה יכולות המאפשרות לתוקפים לשלוח פקודות למחשב המודבק ולאסוף ממנו מידע. היא מתקשרת עם שרת שליטה ובקרה בפרוטוקול HTTP, ובקמפיין זוהו שני שרתי שליטה ובקרה בכתובות הבאות:

pam-beesly[.]site
grace-fraser[.]site

שמות הדומיינים שייכים לדמויות מסדרות טלוויזיה – פאם מ"המשרד" וגרייס מ"The Undoing" – מוטיב שחוזר על עצמו בקמפיינים של התוקפים.

הנוזקה אוספת מידע על מערכת ההפעלה שבה היא רצה, עושה צילומי מסך של המחשב ושולחת את המידע לשרת השליטה והבקרה בעזרת User-Agent ייחודי בעל הערך "aimxxhwpcc". לאחר מכן הנוזקה מייצרת קיבוע אחיזה במחשב המודבק בעזרת יצירת קיצור דרך בשם NetworkBoosterUtilities.lnk אל הנוזקה בתיקיית Startup. הדבר גורם לכך שבכל פעם שמערכת ההפעלה ווינדוס עולה מחדש, קיצור הדרך מופעל אוטומטית וגורם לכך שהנוזקה תרוץ שוב ותחכה לפקודות משרת השליטה והבקרה של התוקפים.

כאשר ביצענו הינדוס לאחור של הנוזקה, ראינו כי היא מבצעת שאילתת WMI לגבי מוצרי האבטחה המותקנים במחשב:


במקרה שהנוזקה מזהה שמותקן במחשב מוצר אבטחה של חברת "360 total security", היא לא תייצר את קובץ קיצור הדרך, ובמקום זאת תפנה אל שרת השליטה והבקרה ותוריד קובץ נוסף. לקובץ הנוסף שירד ישנה רק מטרה אחת: לייצר קיבוע אחיזה בעזרת כוורת הרישום (Registry) במקום לינק.

תקיפות מסוג "צד לקוח", מאופיינות בכך שהמותקף צריך לבצע פעולה כלשהי בצורה ידנית כדי שהתקיפה תצליח. במקרה הזה מדובר בקובץ שצורף לאימייל ומכיל לינק להורדת קובץ ארכיון שמפעיל אותו.

אם קיבלתם הודעה משולח לא מוכר או הודעה המכילה תוכן חשוד, אין ללחוץ על הקישורים או לפתוח צרופות. שאלו את עצמכם: האם ציפיתם למייל הזה? מי השולח? האם יש דרך להגיע למידע ללא לחיצה ישירה על הקישור? באותו אופן יש להתייחס גם להודעה מגורם מוכר, אך כזו שהגיעה באופן בלתי צפוי או שתוכנה חריג ולא אופייני – לדוגמה אם יש בה שגיאות כתיב או בקשה למידע שאמור להיות מוכר.
הכי בטוח יהיה להתייחס לכל אימייל כדואר זבל (Spam), מלבד אלו שאתם בוודאות יודעים שאתם אומרים לקבל.

הכתבה בחסות Deep instinct

דיפ אינסטינקט היא החברה הראשונה אשר מטמיעה למידה עמוקה מקצה-לקצה (End-to-End Deep Learning) באבטחת מידע. למידה עמוקה פועלת בדומה ליכולת של המוח האנושי ללמוד. מרגע שהמוח לומד לזהות אובייקט, פעולת הזיהוי הופכת לטבע שני. באופן דומה, כאשר מערכת רשתות הנוירונים של דיפ אינסטינקט לומדת לזהות איומי סייבר, יכולות החיזוי שלה נהפכות לאינסטינקטיביות. כתוצאה, כל סוג של תוכנה זדונית, בין אם מוכר או חדש, התקפות סייבר הנראות בפעם הראשונה, תוכנות כופר או מתקפות מסוג APT מזוהים ונעצרים בזמן תגובה אפסי בדיוק בלתי רגיל ובמהירות בכל רחבי הרשת הארגונית.
החברה מונה מעל 350 עובדים במספר ארצות ויבשות ומשרתת מעל 500 לקוחות ברחבי העולם, חלקן מהחברות הגדולות ביותר בעולם.

קבוצת המחקר ממשיכה לגייס, מוזמנים להכנס לאתר ולבחון את מבחר המשרות הרלוונטיות

כמו כן, מוזמנים להכנס לבלוג המקורי באתר החברה ולקרוא יותר

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

4 תגובות על ""המשרד", חמאס ו-AI: כך גילינו נוזקה חדשה הכתובה בשפת GO"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
גיא
Guest

אין הרבה תיעוד על malwares בgo???
כל כנס סקיוריטי בארבע שנים האחרונות הציג לפחות הרצאה אחת סטייל "הטרנד החדש: malwares בGo"
אז לחבר'ה בDeep Instinct שהתעוררו מאוחר מידי ועכשיו מנסים להיראות אוונגארדים בעזרת הגזלייטינג שלכם – לא עובד לכם.

פילמני
Guest

כמה הייט

עעע
Guest

מע ההפעלה לא אמואה להתריע עם מנסים לפתוח קובץ הרצה ממייל?

עובד סנטינל לשעבר
Guest
עובד סנטינל לשעבר

חברה מעולה..
לא מצליח להבין איך עוד לא נרכשו..

בתור עובד לשעבר בסנטינל ראיתי איך באים כמה חברה מיחידות טכנולוגיות ומשקרים לעולם שהם מוכרים מוצר אבטחה עאלק.
הם בעצמם אומרים שאי אפשר לעצור תוקף שרוצה לתקוף..

wpDiscuz

תגיות לכתבה: