כך זיהינו וניטרלנו אתרים החשודים במתקפות פישינג ואירוח קבצים זדוניים

חוקרי אבטחת מידע בחברת אקמאי זיהו לאחרונה למעלה מ-700 אתרים החשודים במתקפות פישינג ואירוח קבצים זדוניים. בהרצאה מרתקת ומצולמת הם חושפים איך הם עשו את זה

תמונה: Pixabay

מאת אסף נדלר, Principal Security Researcher Lead, וג׳ורדן גרשון, Security Researcher II באקמאי

עם המעבר לעבודה מהבית במרץ האחרון, עלה משמעותית מספר התקפות הסייבר, והגיע לגורמים חדשים שלא היו על הכוונת של התוקפים עד כה. חוקרי אבטחת מידע בחברת אקמאי זיהו לאחרונה למעלה מ-700 אתרים החשודים במתקפות פישינג ואירוח קבצים זדוניים, ולפחות 85% מהאתרים שזוהו מהווים איומים חדשים ולא מדווחים. זיהוי האתרים התאפשר בזכות שיתוף פעולה בין קבוצות מחקר שונות בחברה ואלגוריתם חדשני שהוצג לאחרונה בכנס אבטחת המידע BotConf 2020, מכנסי האבטחה הגדולים בעולם.

האלגוריתם לזיהוי האתרים הזדוניים מורכב משני שלבים: זיהוי שרתי אינטרנט הנמצאים בשליטה של שחקן זדוני על בסיס תקיפות שנצפות ברשת; ומיפוי אתרי האינטרנט המתארחים בשרתים שזוהו, כדי להגן על משתמשים מגלישה אליהם.

 

כיצד מזהים שרתי אינטרנט הנתונים לשליטת שחקן זדוני? שרתי אינטרנט הנמצאים בשליטה של שחקן זדוני (״בוטים״) מאפשרים לאותו השחקן לבצע מגוון מתקפות סייבר כגון: DDoS, גניבות זהות ועוד. פלטפורמת ה-CDN שלנו מאתרת אתרי אינטרנט הנתונים להתקפות מדי יום ומדרגת משתמשים לפי טיב ההתנהגות שלהם באתרי אינטרנט המתארחים על הפלטפורמה. משתמשים שמתנהגים בצורה לגיטימית יקבלו דירוג טוב, ואילו משתמשים זדוניים (למשל בוטים), אשר מפעילים מתקפות כנגד האתרים, יקבלו דירוג רע. בכל יום השירות מדרג למעלה מ-1.3 מיליארד משתמשים, ובהם שרתים הנמצאים בשליטה של שחקן זדוני.

אך זיהוי אינו מספיק כמובן, צריך להגן על הגולשים מגלישה לאתרי אינטרנט המתארחים על שרתים בשליטת שחקן זדוני, ואת זה עושים בזהירות רבה. לא כל אתרי האינטרנט המתארח מעל שרת בשליטת תוקף הם מסוכנים. למשל: בענן הפומבי מגוון אתרים ושירותים מתארחים בנקודות זמן שונות מעל אותם שרתים, ועם זאת מרביתם בטוחים. על כן, האתגר הוא לבודד את אתרי האינטרנט אשר מתארחים רק על שרת שבשליטת השחקן הזדוני.

עם האתגר הזה התמודדנו על ידי ניתוח תעבורת DNS רחבת היקף, הכוללת 2.2 טריליון שאילתות ביום. בתעבורת ה-DNS האלגוריתם מחפש הצמדה חזקה בין אתרי אינטרנט לשרתים, והקיום של הצמדה כזו מרמז על כך ששחקן זדוני בעל גישה לשרת מחזיק גם בגישה לאתר, ויכול לארח שם תוכן זדוני.

 

קשר ישיר בין מתקפות Web לאירוח תוכנה זדונית ופישינג

במהלך המחקר לפיתוח האלגוריתם חבר צוות המחקר, הפועל כדי להגן על אתרי אינטרנט המתארחים על הפלטפורמה, עם צוות המחקר הפועל כדי להגן על משתמשים מגלישה לאתרים זדוניים – השילוב של התפישות והמערכות עזרו להוליד הגנה מפני איומים חדשים. בין תוצאות המחקר עלה כי התרחיש השכיח ביותר (88%) עבור תוקפים הוא להשתמש בשרת לאירוח מתקפות פישינג וקבצים זדוניים, תוך כדי ביצוע מתקפות SQL injection וסריקות זדוניות. בנוסף, מרבית השרתים הזדוניים (61%) ממוקמים גיאוגרפית בסין ובארה״ב.

אחד מבין 700 האתרים שנתפסו היה אתר לגיטימי לחובבי הדפסות תלת ממד, שנפרץ על ידי שחקן זדוני והוסב לאירוח של הסוס הטרויאני Emotet. השרת שעליו מתארח האתר היה פעיל בביצוע מתקפות SQL injection כנגד רשתות קמעונאות גדולות, בנקים וחברות תרופות. לאחר ביצוע המתקפות, האלגוריתם המדובר התחקה אחרי השרת וזיהה את האתר המדובר. באמצעות ולידציה אל מול השירות VirusTotal, החוקרים איששו ש-9 חברות אבטחת מידע נוספות זיהו קיום של Emotet על אותה המכונה.

ֿ

הכתבה בחסות Akamai

Akamai היא פלטפורמת ה-CDN הגדולה בעולם, המשרתת בסביבות 30% מתעבורת האינטרנט הגלובלית. הטכנולוגיה של Akamai מאפשרת לספקי תוכן ולארגונים לספק חוויית משתמש מהירה ומאובטחת מכל מכשיר ומכל מקום בעולם.
ארכיטקטורת הקצה שלנו מייצרת את ההאצה והאבטחה שלקוחותינו צריכים ואנו החברה היחידה שמחברת באופן מיידי ובטוח מיליארדי אנשים, מכשירים ונתונים ב-Extreme Scale. הסביבה המהירה והייחודית שלנו מפגישה צוותים חכמים וחדשניים בתרבות שיתופית, פתוחה ותומכת.
ל-Akamai שבעים סייטים בעולם עם 250,000 שרתים בעולם, הסייט הישראלי מונה היום כ-200 עובדים וצפוי עוד לגדול! מוזמנים להיכנס כאן ולמצוא את המשרה הבא שלכם אצלנו!

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

רוצה להיות הראשון להגיב?

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: