כך הצליחה חברת סייבר ישראלית לזהות ולעצור פריצות למערכת ההגנה של מיקרוסופט

השימוש הנרחב בכלי שיתוף בענן הוא הזדמנות פז להאקרים, שממהרים לנצל אותה באמצעות טכניקות מתוחכמות ומגוונות. יש מצב שגם אתם הייתם נופלים בפח

התוקפים משלבים כמה סוגי טכניקות שיחד לא מעוררות חשד (צילום: dreamstime)

מאת לירון ברק, מנכ״לית ביטדאם

בשנה האחרונה נחשפנו לעלייה משמעותית בשימוש בכלי שיתוף בענן – טרנד שהיה קיים גם לפני התפרצות נגיף הקורונה, אך התעצם בעקבות המעבר לעבודה מהבית. ההאקרים לא איחרו לזהות את ההזדמנות והחלו לנסות לפרוץ בדרכים יצירתיות למערכות ההגנה של חברות כמו מיקרוסופט, זום וסלאק.

בשבועות האחרונים זיהו צוותים של חברת ביטדאם תוקפים רבים שחדרו בהצלחה לארגונים דרך אופיס 365, באמצעות מיילים זדוניים או קבצים ולינקים זדוניים שהועברו דרך טימס, SharePoint ו-OneDrive. הנה שתי דוגמאות לתקיפות מתוחכמות שהצליחו לחדור את office ATP, שכבת ההגנה המתקדמת ביותר של מיקרוסופט על אופיס 365 – וכיצד הן נעצרו.

שילוב של טכניקות social engineering ותקיפה רב-שלבית

במקרה הראשון התוקפים השתמשו בכמה טכניקות בו זמנית – מה שככל הנראה אפשר להם לחדור את Office ATP. התקיפה נשלחה במייל לאחד העובדים מאימייל אמיתי ששייך לעובד אחר בארגון, שעובד איתו באופן שוטף. כלומר, בצעד לא שגרתי התוקפים השתלטו על אימייל של אדם אמיתי על מנת לשלוח את ההודעה הזדונית ממקור שלא יעורר חשד. האדם שממנו נשלח האימייל לא ידע על כך ולא חשד בכלום.

על מנת לגרום לקורבן ללחוץ על הלינק, בגוף האימייל השולח ביקש מהנמען לחתום על מסמך ב-DocuSign, ואף כלל את הלוגו של DocuSign. לחיצה על הלינק הובילה לדף שאמנם נראה כמו דף של DocuSign, אך למעשה זהו דף מזויף שהיה Hosted ב-Sharepoint. שם התבקש הקורבן ללחוץ על לינק המשך – “Please proceed here” – ולחיצה עליו הובילה לדף נוסף שנראה כמו דף כניסה למיקרוסופט, שבו התבקש הנמען להכניס את היוזר והסיסמה שלו.

ההאקרים השתמשו בטכניקות social engineering, בעזרתן מהלך הדברים נראה אמין והגיוני, שהרי כשאדם שמכירים שולח מסמך ב-DocuSign, הדבר לא מעלה חשד. גם הבקשה לעשות sign in לחשבון המיקרוסופט שלך על מנת להגיע למסמך, כשה-URL הוא של SharePoint, נראית אמינה והגיונית.

בנוסף, התוקפים השתמשו בטכניקות חדירה שגרמו לכך שהתקיפה לא זוהתה על ידי Office ATP: הוסטינג ב-sharepoint של הדף האינטרנטי הראשון. Sharepoint נחשב למקום אמין ולכן פתרונות אבטחה פחות חושדים בו. הלינק הראשון אליו האימייל כוון אינו זדוני, כך שלא הייתה לפתרונות האבטחה שום סיבה לחסום אותו. רק בדף שאליו הוא הוביל היה לינק למקום זדוני, ומכיוון שרוב פתרונות האבטחה לא סורקים קישורים שדורשים מספר שלבים, הם לא יעלו על זה. מדובר בתקיפה מאד ספציפית, מטורגטת ולא נפוצה, ולכן פתרונות אבטחה מבוססי סטטיסטיקה פספסו אותה – שכן הם מבססים את זיהוי התקיפות על נתונים מתקיפות שנראו בעבר בשילוב עם Machine Learning.

השילוב של טכניקות Social Engineering יחד עם תקיפה רב-שלבית – שבו הצלחת התקיפה מתבססת על התנהגות המשתמש – אפשר לתוקפים להתגבר על פתרונות האבטחה ולהיראות אמינים מספיק על מנת לא לעורר את חשדו של הקורבן.

בניגוד לפתרונות אבטחה מבוססי סטטיסטיקה, מנוע זיהוי התקיפות שלנו עובד בשיטת 100% Attack Agnostic. המנוע מבצע סריקה של כל הודעה, לינק וקובץ שמגיעים, ומשווה אותם למה שמוגדר כתקין. המנגנון מבצע סריקה של הודעות המגיעות מארגונים או מכתובות אימייל שנראות לגיטימיות, של לינקים שמובילים ל-Sharepoint ואף של גוף המייל עצמו והתמונות שבו. במקרה הזה, סריקת האימייל עצמו ותוכנו העלתה חשד: קיומו של הלוגו של DocuSign בגוף המייל הוביל לסריקה נוספת שעלתה על כך שלינק ההמשך מוביל לדף מיקרוסופט מזויף.

2. קבלת חשבונית ממייל שהיה בשימוש ונזנח

תקיפה נוספת שעקפה את מיקרוסופט ATP התרחשה אצל סוכנות לקניית והשכרת רכבים באנגליה. אל הקורבן נשלח מייל נשלח מכתובת yourcarfinder.co.uk – דומיין מאוד מזמין עבור סוכנות רכב. הדומיין עצמו כנראה היה בשימוש בעבר ונזנח, והיום מי שמשתמשים בו הם תוקפים.

המייל נשלח מחשבון האימייל של החברה הקטנה הזו, וכל מנגנוני האימות אישרו שזהו אכן השולח האמיתי. כותרת המייל הייתה גם היא שגרתית לחלוטין: “Your online order invoice W18671 is fully covered” – שליחת חשבונית למשתמש היא פעולה לגיטימית, ובמקרה הזה היא עודדה את הקורבן לפתוח את המייל ואת הקובץ.

אם המשתמש היה מקבל את האימייל ופותח את הקובץ, דבר שעשוי לקרות ללא תשומת לב, הייתה מתחילה שרשרת פעולות שכוללת הורדה של קובץ exe למחשב והתקנה של הסוס הטרויאני Trickbot. במקרה הזה הצלחנו לזהות את התקיפה בזמן ומנענו מהמשתמש לקבל את האימייל, בזכות העובדה שפעילות זיהוי התקיפות מסתמכת על מבחנים מגוונים ולא רק על אמינות המייל.

אם המשתמש היה מקבל את המייל ופותח את הקובץ שבתוכו, הוא היה מגיע למסך הזה

 

פעילות האייטם הזדוני (צילום מסך ממערכת ההגנה של ביטדאם)

חברות רבות שעדיין לא מורגלות לעבודה מרחוק החלו להשתמש באופן יום יומי בכלי שיתוף מבוססי ענן כמו גוגל דרייב, OneDrive, סלאק וזום. צריך לזכור שבכל הזדמנות יש גם סכנה, ופרצות אבטחה קיימות גם בחברות ענק המספקות שירותים למיליוני משתמשים ברחבי העולם. על מנת להשלים את מהפכת העבודה מרחוק, יש צורך קריטי בהרחבת ההתגוננות מפני תקיפות סייבר, וזהו שלב שאסור לדלג עליו.

הכתבה בחסות BitDam

ביטדאם היא חברת אבטחת מידע המספקת סקיוריטי לחברות גדולות וקטנות באמצעות הגנה על אימייל וכן כלי קולבוריישן – OneDrive, גוגל דרייב, דרופבוקס, טימס, זום, מייל עוד. החברה מספקת שירותים לחברות אשר רוצות להגן על עצמן מפני תקיפות, ומספקת הגנה למשתמשים בכלי קולבוריישן. ב-2020, ביטדאם נבחרה לקול ונדור מטעם חברת גרטנר. במרץ 2021 נרכשה ביטדאם על ידי חברת דאטו האמריקאית ומשמשת כמרכז ה cybersecurity של החברה הגלובלית. כיום החברה מגייסת למרכז הפיתוח הנמצא בתל אביב - לחץ כאן לצפיה במשרות.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

6 תגובות על "כך הצליחה חברת סייבר ישראלית לזהות ולעצור פריצות למערכת ההגנה של מיקרוסופט"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
נדיב
Guest

1. פישינג בסיסי שמאוחסן בסביבת אופיס365.
2. קובץ שמבקש הפעלת מאקרו להורדת הנוזקה, שנשלח מדומיין שהרפיוטיישן שלו נקי.

התקפות בסיסיות שכל חברת הגנה על מיילים כיום עוצרת בקלות, לא כזה מתוחכם.

מישהו בתחום
Guest

עובדים עליך, רוב הפתרונות מפספסים את זה בשעות הראשונות

באסה
Guest

קליקבייט

אבטם
Guest

כפי שהתגובות הראו, אין פה שום דבר מיוחד אלא קליקבייט ליחצנות בשיתוף עם גוגל לקידום.

גרגמל
Guest

קליק קליק קליק.. אבל האתר הזה צריך להתפרנס איכשהו..
הריי זה לא שאנחנו רוצים שמחר האתר יגבה דמי שימוש חודשיים..

עובד גאה
Guest

גם אם משיגים את login של משתמש ארגוני, אין דרך להוציא כמעט מידע, אם החברה משתמשת במוצרי varonis

wpDiscuz

תגיות לכתבה: