אחת התוכנות הזדוניות ביותר חזרה לחיינו. כך תוכלו להתגונן מפניה

גרסתה הנוכחית של התקיפה Emotet, שהתגלתה לראשונה ב-2014, מכילה אלמנטים שגורמים לה לחמוק טוב יותר מפתרונות הגנה – ולכן היא קטלנית יותר. איך היא עובדת ומה אפשר לעשות כדי למנוע פגיעה?

לאחרונה פושעי הסייבר הצליחו להקים לתחייה את Emotet (צילום: Dreamstime)

מאת מאור חיזקיאב, Sr. Director, Software Engineering, דאטו

Emotet, שתוארה פעם כ"תוכנה הזדונית המסוכנת ביותר בעולם", התגלתה לראשונה כסוס טרויאני בנקאי בשנת 2014. במהלך השנים היא הפכה לאחת התוכנות הזדוניות המועדפות על פושעי סייבר, המשתמשים בה בעיקר לצורך תקיפות כופרה. לשמחת כולם, בתחילת 2021 הצליחו רשויות החוק – תוך שיתוף פעולה נרחב בין מדינות – להשתלט על שרתי Emotet ולהפסיק את פעילות הנוזקה. אולם לאחרונה פושעי הסייבר הצליחו להקים לתחייה את Emotet והתחלנו לראות ולתפוס אותה שוב אצל לקוחותינו ברחבי העולם. אז איך היא עובדת וכיצד אפשר להתגונן מפניה?

מה זה Emotet?

Emotet בנויה כך שהיא מאפשרת לגנוב כתובות אימייל ופרטי משתמש, להפיץ אימייל זבל ולהוריד תוכנות זדוניות אחרות למחשבים מזוהמים. מה שהפך את Emotet למסוכנת במיוחד הוא היכולת שלה להתקין נוזקות נוספות כגון Tickbot ו-Ryuk, והיא אף הוצעה בהשכרה (Malware-as-a-Service) לגורמים זדוניים שונים כדי להתקין סוסים טרויאניים בנקאיים ותוכנות כופר אחרות על מחשבו של הקורבן.

ההדבקה מתרחשת באמצעות קובץ המכיל קוד מאקרו זדוני המאפשר להריץ פקודות ותהליכי מערכת, ולרוב נשלח באמצעות דואר זבל. Emotet משתמשת בטריקים של Social Engineering כדי שהמייל ייראה לגיטימי וכדי לפתות את הקורבן להוריד את הקובץ הזדוני ולאפשר הרצה של מאקרו כשפותחים את המסמך.

Emotet תוכננה במקור כתוכנה זדונית בנקאית שמטרתה לגנוב מידע רגיש מהמחשב של הקורבן. בגרסאות מאוחרות יותר של התקיפה נוספו לה יכולות שליחה והפצה של תוכנות זדוניות – כולל סוסים טרויאניים בנקאיים אחרים.

Emotet מנסה להימנע מזיהוי באמצעות VBA מוגן בסיסמה ופקודות מאקרו מעורפלות. בנוסף, התקיפה משתמשת בשרתי C2 (שליטה ובקרה) כדי לקבל עדכונים. העדכונים מתקבלים באותו אופן שבו מערכת ההפעלה של המחשב מתעדכנת, כך שהדבר קורה בצורה חלקה ומבלי שהמשתמש ישים לב. דבר זה מאפשר לתוקפים להתקין גרסאות מעודכנות של התוכנה, להתקין תוכנות זדוניות נוספות או לגנוב מידע כגון פרטי משתמש, סיסמאות וכתובות אימייל.

בתחילת 2021 Emotet הוסרה על ידי רשויות אכיפת החוק העולמיות. אולם למרבה הצער תוקפי הסייבר לא נחים על זרי דפנה, וכבר בנובמבר 2021 התקיפה הזו חזרה לחיינו. זיהינו אותה על ידי פתרון ההגנה Datto SaaS Defense, ומיד התחלנו לחקור. המתקפה הנוכחית החלה ממחשבים שבעבר זוהמו עם Trickbot וכעת עודכנו עם גרסת Emotet החדשה, וכיום התקיפה מופצת בעיקר באמצעות אימייל.

גרסתה הנוכחית של התקיפה שודרגה והיא מכילה אלמנטים שגורמים לה לחמוק טוב יותר מפתרונות הגנה, ולכן היא קטלנית יותר. נכון לתחילת דצמבר 2021, היקף הפעילות של התקיפה הגיע לכ-50% מהיקפה לפני שהוסרה מהרשת בינואר, מה שמעיד על התפשטות מהירה ופוטנציאל נזק גבוה (בעיקר בשל מתקפות כופרה) עבור ארגונים רבים ברחבי העולם.

איך עובדת תקיפת Emotet?

Emotet זוהתה על ידנו בדואר זבל שנשלח בצורה נרחבת לארגונים ברחבי העולם. כל המיילים הללו הכילו מסמך docm שזוהה כזדוני.

כדי לפתות את המשתמש לאפשר את ה-VBA Macro, הקובץ הזדוני מראה הודעה שמבקשת 'enable content' בסרגל העליון. ברגע שהמשתמש מאשר זאת, המאקרו יכול לרוץ וכך גם קוד ה-VBA, שמריץ קוד Powershell שבתורו שולח בקשת HTTP בנסיון להוריד את ה-Payload.

ה-VBA מכיל פונקציית 'פתיחת מסמך' שפועלת ברגע שהקורבן פותח את קובץ ה-Office. הפונקציה קוראת למשתנה  dgfjalfhkaugwikgfuol3wgnacoi3u5taboi3ut5roai3u5go3wugaolisdrgfso8i7wejwdoljgf בפונקציה אחרת המכילה סטרינג שעבר אובפוסקציה. בפונקציה הזו יש שני משתנים מעניינים – ה-"s2" הראשון מכיל רשימה של 7 כתובות URL של אתרי אינטרנט המכילים את ה-payload של Emotet, וה-"s2" השני מכיל את הפקודה להוריד ולהריץ את ה-Payload. ניתן לעשות decoding לפקודות על ידי הורדה של הסטרינג "Cew", כמו שניתן לראות בצילום המסך הבא בפונקציית replace:

לאחר הסרת הסטרינג Cew נקבל את פקודת ה-decoded Powershell

התעבורה של Emotet המחודשת דומה לזו שנצפתה בעבר, לפני הסרת הנוזקה על ידי הרשויות. נכון לעכשיו, רק אחת מכתובות האתרים הייתה פעילה.

בצילום המסך הבא אנו יכולים לראות את התקשורת HTTP שמבצעת Emotet כדי להוריד את ה-payload:

ה-DLL של Emotet אוחסן בתור קובץ אקראי עם סיומת .dll תחת ספריית C:\ProgramData. לאחר מכן הוא הועבר לספרייה עם שם אקראי תחת AppData\Local במחשב הקורבן.

Emotet משנה את ה-autorun registry key על מנת להשיג persistence במחשב הנגוע:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

היא עושה זאת בכך שהיא יוצרת ערך חדש עם שם אקראי ומגדירה ל-Rundll32 להריץ את ה-payload של Emotet. זה מאפשר ל-Payload להיות מורץ בכל reboot של המחשב הקורבן. בשלב זה התוכנה הזדונית מתקשרת עם מספר שרתי C2. חקירת התקשורת הזו גילתה שבקשות ה-HTTPS מגיעות מ-18 כתובות IP שונות מקומות שונים בעולם.

בשלב הבא Emotet ממתין לפקודות משרתי C2. ל-DLL הזה יש export ייחודי: Control_RunDLL המאפשר לזהות הדבקה על ידי Emotet. אם התהליך rundll32.exe הורץ עם פרמטר התואם את ה-export, המערכת הודבקה.

תקיפת Emotet מסתירה את הקוד הזדוני שלה על ידי שימוש ב-customized packer, שדוחס את התוכנה הזדונית ועושה לה אובפוסקציה כך שלא ניתן לעשות לה אנליזה.

ניתן להשתמש בניתוח דינמי כדי לעשות unpacking, כך שהתוכנה הזדונית תבצע את ה-unpacking ותיקח את השלב הבא מהזיכרון. התהליך יצטרך להקצות זיכרון לשלב הבא, כך שסביר להניח שנראה קריאה ל-VirtualAlloc. לאחר הקריאה ל-VirtualAlloc, הרג'יסטר EDXי(.text section) יכיל את כתובת הבסיס של האזור המוקצה בזיכרון. לאחר שראינו שהזיכרון מאוכלס, נוכל לעשות dump לזיכרון לתוך קובץ.

צילום המסך הבא מציג את הכתובת שבה ממוקמת התוכנה הזדונית לאחר unpacking וכן את רמת ההגנה שהוקצתה לאזור זה בזיכרון: Read/Write. זוהי אינדיקציה מצוינת לכך שזוהי התוכנה הזדונית שהיא unpacked, שכן זיכרון שמוקצה לתוכנה צריך להיות executable ו-writable.

כעת צריך לנקות את הקובץ על ידי חיפוש החתימה 'MZ' והסרת כל הקוד ההקסדצימלי שצורף לפניו. זה נותן לנו את התוכנה הזדונית של Emotet בצורה Unpacked.

כפי שמתואר בצילום המסך הבא, הזיהוי ב-Datto SaaS Defense מאפשר לראות את עץ התהליך המלא – החל מקובץ ה-docm הזדוני שיוצר Powershell ועד להרצת ה-rundll32

עץ התהליך המלא במחשב נגוע מתוך procmon

איך אפשר להתגונן מפני Emotet?

לתקיפת Emotet ישנם וריאנטים רבים והיא משנה צורה לעתים קרובות במטרה לעקוף פתרונות אבטחה. לכן הדרך הטובה ביותר להתגונן מפניה היא להשתמש בפתרון הגנה על אימייל שהוא attack-agnostic ואינו תלוי בידע או בנתונים על תקיפות מהעבר על מנת לזהות תקיפות חדשות. רק פתרון הגנה שמריץ ובוחן כל אימייל שנכנס בפני עצמו ולא מסתמך על חתימות, נתונים גלובליים או מקורות צד שלישי על מנת לקצר תהליכים, יוכל לעצור תקיפת Emotet.

בניגוד למרבית טכנולוגיות ההגנה המסתמכות בדרכים שונות על ידע בנוגע לתקיפות מהעבר (ולכן עלולות לפספס תקיפות מתוחכמות כמו Emotet), בשוק ישנם פתרונות המתבססים על טכנולוגיה חדשנית שבמקום ללמוד תבניות של תקיפות שקרו בעבר, לומדים את הקומפוזיציה של אימיילים, קבצים ודפי אינטרנט לגיטימיים ומשווים כל תוכן שמגיע אל המשתמש למודל הלגיטימי ברמת ה-CPU על מנת לוודא שאינו זדוני.

פתרונות שמבוססים על טכנולוגיה זו נותנים הגנה לא רק לאימייל אלא גם ל-SharePont ,OneDrive ו-Teams. הם תופסים תקיפות רבות שפתרונות אבטחה מסורתיים אינם תופסים, ומספקים הגנה נרחבת יותר. טכניקת הגנה זו יכולה להתאים לזיהוי קבצים זדוניים, תקיפות פישינג, לינקים זדוניים ואף תקיפות הונאה מסוג Business Email Compromise) BEC).

שימוש בשיטה ייחודית זו הוכיח את עצמו, והיא תופסת כ-25% מהתקיפות שחודרות את פתרונות ההגנה המובילים בשוק.

הכתבה בחסות Datto Holding Corp

חברת Datto Holding Corp האמריקאית הינה שחקנית גלובלית מובילה בשוק שירותי התכנה ל Managed Service Providers (MSPs) ולעסקים קטנים ובינוניים.
דאטו היא הספקית הגדולה בעולם לפתרונות ענן ואבטחת המידע המיועדים ל- MSPs. החברה מעסיקה יותר מ 2,000 עובדים במעל 20 סניפים ברחבי העולם, והיא משרתת כ 17,000 שותפים ומיליוני לקוחות קצה. החברה זכתה בפרסים רבים על פועלה, מוצריה וצמיחתה המהירה.
במרץ 2021 רכשה דאטו את חברת אבטחת המידע הישראלית ביטדאם, אשר מהווה את מרכז הסייבר של החברה הגלובלית, במטרה להרחיב ולהעמיק את פועלה בתחום הסייבר. כיום החברה מגייסת עובדים למרכז הפיתוח הנמצא בתל אביב - לחצו כאן לצפיה במשרות.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

17 תגובות על "אחת התוכנות הזדוניות ביותר חזרה לחיינו. כך תוכלו להתגונן מפניה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
נדיב
Guest

מדהים שעושים את אותו הדבר ומחפשים אחרי אותם דברים שהייתי מחפש לפני 22 שנה כשהייתי איש תמיכה טכנית…

אייל
Guest

וואו איזה צלילה לעומק!! לא חושב שראיתי כזו סקירה מקיפה -בטח לא בעברית! תודה!

nope
Guest

שאפו על ההשקעה. עוד כאלה!

Daniel
Guest

כתבה מעולה, תודה!

אלי
Guest

מעניין ממש וכתוב מצוין!

קקטוס אנונימי
Guest

זה רק אני או שכל התגובות החיוביות האלה קצת חשודות…
שלא תבינו אותי לא נכון, זה אכן צלל לעומק מאוד והיה נחמד אבל עדיין זה קצת מוזר ⁦⁦ತ_ತ⁩

אייל
Guest

לא יודע לגבי תגובות אחרות.. אני לא קשור לחברה ולא ידעתי שזה פרסומת
אבל אני מפרגן. אתה בעצמך כתבת שזה כתבה טובה , אז מה כואב לך אח יקר? הפוך , ככה יהיו יותר כתבות איכותיות כאלו

שדגכ
Guest

חחחחחחחחחחח מצטרף
אבל כמו שאמרת, איכותי להפליא!

עומר
Guest

כתוב יפה מאוד, רק תיקון טעות קטנה. אם תעשה dump לאחר כתיבת הMZ לזיכרון המוקצה תקבל רק MZ שמשמש הכנה למטען בזיכרון ולא את המטען המבוקש.מה שכן בהמשך התמונה שמסמנת את האזור בזיכרון לdump אכן נכונה. בנוסף נראה שהגירסה המוצגת היא ישנה במונחים של emotet זה sample מלפני חודשיים+ מאז כבר הגיעו עוד הרבה דוגמאות שונות זה כמו להביא את הזן ההודי ולומר הנה לכם קורונה. ועוד משפט שכנראה לגמרי התבלגן לכם כי הוא לא נכון וגם סותר את עצמו " R/W זוהי אינדיקציה מצוינת לכך שזוהי התוכנה הזדונית שהיא unpacked, שכן זיכרון שמוקצה לתוכנה צריך להיות executable ו-writable."

עומר
Guest

בכל אופן Datto יש..לצערי עוד שגיאות. תמחקו את כל החלק מהDLL או שתשלחו לי ל Peer Review לפני :)

יוסי
Guest

האימייל של מי בדיוק פתוח לקבצי אופיס macro enabled? אם כבר אז הפירצה יותר אפשרית עם הקבצים הישנים xls doc.

שירלי
Guest

סקירה מעניינת ומעמיקה, תודה!

שלום
Guest

חייב להגיד שמשהו השתנה באתר הזה. יותר מידי קליקבייטים קופצים בזמן האחרון. אני נאלץ להוריד אתכם מגוגל פיד

עוז
Guest

הייתי שמח להבהרה לגבי הנקודה הבאה,
אז זה רלוונטי רק למי שיש וורד מותקן על המחשב??? (וורד של מייקרוסופט שרץ על מערכת הפעלה חלונות)
מה לגבי אם אין לי וורד מותקן.. (כי באמת אין לי, ואני משתמש זמנית בגוגל דוקס), או לגבי מערכות הפעלה אחרות שהן לא חלונות, (טלפונים וכאלה…)

ועם כבר אני מתעניין, אז עד הסוף, אם זה קשור לוורד, אז זה בטח לא יעבוד על וורד חדש, כי בטח מיקרוסופט כבר סגרו את הפרצה הזאת? נכון…

קאטו
Guest

אכן כתבות מעשירות עם תוכן מעמיק.
אבל בגיקטיים חייבים להבין שהם חייבים גם פודקאסטים שהם לא מסובסדים ולא מובאים כפרסומת סמויה ובעיקר מגובים נתונים ומבעלי מומחים בתחומם..

לאט לאט בגיק טיים מבינים שלצד 4 כותרות קליקבייט יש צורך עז לשלב כתבות עשירות בתוכן.

ועוד דבר, גיקים זה לא רק תכנות אלא גם מדע וחדשנות.

מעניין אם התגובות הן אותנטיות.

השף
Guest

יש תוסף פשוט ובחינם שלא נעשה לו פרסומת, למרות שהכל פה זה פרסומות, שמונע הפעלת פקודות מאקרו ממסמכים. אבל מי שמעדיף לשלם בשביל תחושה טובה, בכיף.

השועל
Guest

עכשיו אנחנו צריכים לדעת שכל פעם שכתוב "כתב אורח", זה במקום "תוכן ממומן"?
מה עם אלה שלא מעוניינים לקבל תוכן ממומן וללחוץ עליו? לא מגיע שקיפות לפני הקליק?

wpDiscuz

תגיות לכתבה: