הנוזקה הזו פופולרית כבר שנה וחצי. אז למה אנחנו ממשיכים ליפול איתה?

היא מנצלת שרשור מיילים קיים, עושה שימוש ב-Social Engineering וחכמה מספיק כדי לגרום לכם לפתוח קבצים עם סיסמה. מה הסיפור של תקיפת Bazar Loader ואיך אפשר להתגונן מפניה?

Bazar Loader משיבה למיילים עם תוכן זדוני תוך שימוש ב-Social Engineering (צילום: Dreamstime)

מאת מאור חיזקיאב, Sr. Director, Software Engineering, דאטו 

מאז שצצה לראשונה באפריל 2020, תקפה Bazar Loader מגוון רחב של ארגונים בצפון אמריקה ובאירופה. אם השם הזה לא מצלצל לכם, כדאי שתכירו: מדובר בתקיפת fileless שמורידה Backdoor המאפשר לתוקפים להתקין תוכנות זדוניות נוספות, לעתים קרובות לצורך מתקפות כופר. ככל הנראה, Bazar Loader פותחה על ידי קבוצת האקרים הידועה בשם Trickbot.

אז איך עובדת שיטת התקיפה הזאת? כדי להסביר את זה נשתמש במקרה שתפסנו בזמן האחרון: תקיפה שנשלחה לארגון בתחום התעופה. לפני שנתחיל, נציין שתקיפות מהסוג הזה פונות לתעשיות מגוונת וסוגי ארגונים בגדלים ומיקומים גיאוגרפיים שונים.

מסתננת לתוך שרשור מיילים קיים

התקיפה Bazar Loader בדרך כלל מנצלת תכתובות מייל קיימות ומתלבשת עליהן – עושה “השב” למייל ומשיבה עם תוכן זדוני תוך שימוש ב-Social Engineering. הטקסט במייל עצמו מרמז על דחיפות ומפתה את הקורבן לפתוח את הקובץ המצורף. הנה דוגמה:

לרוב הקובץ המצורף למייל הוא קובץ ZIP שדורש סיסמה. הסיסמה מצוינת בגוף המייל ויש לכך סיבה: כשיש קובץ ZIP ודרושה סיסמה כדי לפתוח אותו, הסיכוי שפתרונות אבטחת אימייל יוכלו לסרוק אותו ולזהות שמדובר בקובץ זדוני יורד משמעותית.

כשפותחים את ה-ZIP מגיעים לקובץ וורד, וכשפותחים אותו מתקבלת הודעה על כך שצריך להפעיל מאקרו כדי לראות את הקובץ. זה מפתה את היוזר ללחוץ enable content בסרגל העליון ולאפשר את ריצת המאקרו.

כפי שניתן להבחין בתמונה, בקובץ עצמו יש טקסט מאוד קטן שמוסתר בלבן – זה התוכן של קובץ ה-HTAי(HTML Application) שנשמר במחשב. באופן דיפולטיבי קבצים עם סיומת HTA מורצים דרך mshta.exe – כלי שכבר קיים וחתום ב-Windows ולכן תוקפים אוהבים להשתמש בו. הוא לא מעורר חשד ולכן הפך למאוד פופולרי בתקופה האחרונה.

ה-HTA בתורו רץ ופונה לשרת של התוקפים, שמחזיר בתשובה את קובץ ה-DLL הזדוני שנכתב למחשב וירוץ במערכת:

בשלב זה ה-DLL, שהוא ה-Backdoor, רץ באמצעות regsvr32.exe ומאפשר את התקשורת עם שרת C2 ששולח ומקבל הודעות מהמחשב המותקף – זאת על מנת לאפשר לתוקפים לשאוב מידע מהקורבנות או להוריד כלי תקיפה נוסף למחשב. בדיקה של דרכי התקשורת הראתה שמגיעות בקשות DNS ממקומות מגוונים בעולם כולל ארה”ב, רוסיה, גרמניה ופנמה.

טכניקות התחמקות ו-Anti-Debugging אופייניות

Bazar Loader משתמשת בלא מעט תחבולות כדי לא להיחשף על ידי פתרונות הגנה ולהקשות על חוקרי אבטחת המידע. הנה כמה דוגמאות:

1. בקשת ה-HTTP לשרת שמחזיר למחשב הנתקף את קובץ ה-DLL נשלחת עם User Agent שנכתב כאילו הוא יוצא מדפדפן. זו דרך לעקוף פתרונות אבטחה בעת הורדת הקובץ הזדוני כשמתקשרים עם השרת של התוקפים. למה? כי זה גורם לתקשורת להיראות יותר לגיטימית:

2. הרצה של קוד לפני ה-Entry Point המסורתי: תוכנות Debugging וחוקרים בדרך כלל מתחילים לחקור קבצים מה-Entry Point, ולכן קוד שרץ לפני כן יכול להתפספס ולרוב החוקר לא יראה אותו (אלא אם יתאים את ההגדרות של ה-Debugger), ויכול להיות שהמחשב כבר “יודבק”.

3. קובץ ה-Backdoor הזדוני מכיל בדיקה של cpuidי(CPU Feature Information) המשמשת כדי לדעת שאכן מדובר במחשב אמיתי ולא ב-Virtual Machine, ובכך יכולה למנוע או לשנות את הריצה של הנוזקה אם היא נמצאת ב-Sandbox.

אז איך מתגוננים מפני Bazar Loader?

כאמור, Bazar Loader הופכת לפופולרית יותר ויותר והצפי הוא שיווצרו וריאנטים נוספים שלה, כך שהיא תמשיך לחמוק מרוב פתרונות האבטחה המסורתיים ולפגוע בארגונים. הנה כמה טיפים שיעזרו לכם להיזהר מפני תקיפה כזו ולדעת מתי לחשוד או לחשוב פעמיים לפני שמקליקים.

1. זה באמת מי שזה נראה? אל תיפלו בפח של Social Engineering. גם אם המייל הגיע ממישהו שאתם מכירים ואפילו אם השרשור נראה מוכר, אבל לא ציפיתם למייל הספציפי הזה, הוא הגיע בתזמון מוזר או שיש בו סממנים מחשידים אחרים – אל תקליקו על לינקים ואל תפתחו את הקבצים המצורפים.

2. קובץ מוגן בסיסמה צריך לעורר חשד. האקרים מודעים לכך שפתרונות אבטחה רבים מתקשים לסרוק קבצים עם סיסמה ולכן משתמשים בהם לעתים קרובות. אם אתם מקבלים קובץ כזה (ZIP ,PDF או כל קובץ אחר) – התחילו לחשוד ובדקו היטב לפני שאתם פותחים אותו. האם סביר שהשולח ישלח לכם קובץ מסוג זה? האם זה הגיוני שהוא יהיה מוגן בסיסמה? והאם ציפיתם לאימייל שנשלח?

3. שימוש בפתרונות הגנה מתקדמים שלא עושים קיצורי דרך. רוב פתרונות ההגנה על אימייל שקיימים כיום בשוק מסתמכים על reputation או על pattern ונוטים לבטוח בשולחים מוכרים ולא לסרוק בצורה מעמיקה את המיילים שמגיעים מהם. כך למעשה הם חוסכים סריקות שהן לכאורה מיותרות. מכיוון ש-Bazar Loader לרוב משתמשת במענה על שרשור מיילים קיים, יש הרבה פתרונות שבכלל לא ינסו לסרוק את המייל הזדוני.

בדוגמה שבה השתמשנו המייל הגיע ממקור אמין ולכן היה חומק בקלות מהגנות שמסתמכות על reputation. על מנת להגן מפני Bazar Loader ותקיפות אחרות שמשתמשות בטכניקות דומות, יש להשתמש בפתרון הגנה שסורק את כל המיילים לפני כניסתם לארגון, כולל כל הקבצים והלינקים המצורפים, ומתמחה בזיהוי החלק הזדוני (לעומת התמחות בזיהוי paterns).

4. למה להשתמש ב-mshta.exe אם לא חייבים? מומלץ לחסום את השימוש ב-mshta.exe במידת האפשר בארגון כולו, שכן הוא מאפשר ל-Bazar Loader להריץ את הקובץ הזדוני וברוב המקרים אין בו שימוש מהותי ביומיום.

5. איך נדע אם הותקפנו? ניתן לזהות תקיפה על ידי ניטור בקשות DNS. אם קיימות בקשות לדומיינים שהסיומת שלהן היא bazar. אפשר להניח שהמחשב הותקף, שכן סיומת זו מאפיינת תקשורת של Bazar Loader. בשלב זה יש לנקוט פעולות לנטרול התקיפה, וכמובן לחפש סימנים מחשידים במיילים הבאים שמגיעים אליכם.

הכתבה בחסות Datto Holding Corp

חברת Datto Holding Corp. (NYSE:MSP) האמריקאית הינה שחקנית גלובלית מובילה בשוק שירותי התכנה ל Managed Service Providers (MSPs) ולעסקים קטנים ובינוניים.
דאטו היא הספקית הגדולה בעולם לפתרונות ענן ואבטחת המידע המיועדים ל- MSPs. החברה מעסיקה יותר מ 2,000 עובדים במעל 20 סניפים ברחבי העולם, והיא משרתת כ 17,000 שותפים ומיליוני לקוחות קצה. החברה זכתה בפרסים רבים על פועלה, מוצריה וצמיחתה המהירה.
במרץ 2021 רכשה דאטו את חברת אבטחת המידע הישראלית ביטדאם, אשר מהווה את מרכז הסייבר של החברה הגלובלית, במטרה להרחיב ולהעמיק את פועלה בתחום הסייבר. כיום החברה מגייסת עובדים למרכז הפיתוח הנמצא בתל אביב - לחצו כאן לצפיה במשרות.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

3 תגובות על "הנוזקה הזו פופולרית כבר שנה וחצי. אז למה אנחנו ממשיכים ליפול איתה?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
RMC
Guest

מי נופל בזה? מי פותח זיפים עם וורד ומפעיל קבצי מאקרו? יש שם כל כך הרבה שלבים מדאיגים…

דני
Guest

מי שלא מומחה בקלות יפול בפח.. הוא אפילו לא קורא מה כתוב על הכפתור אלא ישר ילחץ

גרגמל
Guest

מכיר הרבה אנשי IT שבמקום העבודה שלהם יש “בוס” מומחה שעושה דברים כאלו..
אבל לו מותר כי הוא המנהל..

wpDiscuz

תגיות לכתבה: