המלחמה ב-Emotet – לקחים מהחזית

למרות היותה בת חמש, Emotet נשארת חזקה ופראית, וההתמודדות אתה היא אחד האתגרים הקשים של מנהלי אבטחת המידע והמנמ"רים ● מה עושים כדי שהיא תצליח?

אילן סגלמן, סמנכ"ל מכירות ופיתוח עסקי ב-Power Communications. צילום: יח"צ

הנוזקות הן רבות, וכך גם הפגיעות שלהן. האקרים רבים, בעלי ידע נרחב וכוונות זדון למכביר, מפתחים נוזקה אחר נוזקה, ואף משכללים ומשדרגים את הקיימות. אחת המסוכנות שבהן היא Emotet. מדובר בנוזקה שתוכננה על מנת להתחמק מזיהוי, לחפור עמוק ולהתרבות. הודות להתעדכנות תמידית ותכנון מודולרי ופולימורפי, והודות ליכולת שלה להתפרס במגוון טכניקות על מנת להשתחל דרך רשתות, התוכנה הפכה למטרה נעה ומשנה צורה עבור מנהלי אבטחת המידע ופתרונות ההגנה שלהם.

במהלך חמש השנים מאז הפציעה, Emotet התפתחה מסוס טרויאני שגונב בשקט פרטי זיהוי בנקאיים של קורבנות לפלטפורמה מתוחכמת להפצת נוזקות אחרות ובעיקר סוגים אחרים של סוסים טרויאניים בתחום הבנקאות.

Emotet מצויה בקמפיינים זדוניים של ספאם ויכולה לגרום כל נזק שנוזקות מנסות לזרוע. בשנה האחרונה היא עשתה זאת באמצעות הטרויאנים של TrickBot ו-QBot, והיא יוחסה גם ל-BitPaymer – זן של כופרה מתוחכמת, שסוחטת סכומים בעלי שש ספרות ויותר.

ביולי האחרון, ה-US-CERT פרסם התראה המתארת את Emotet כ-"אחת הנוזקות ההרסניות והיקרות המשפיעות על ממשלים. היכולות דמויות התולעת שלה מובילות להדבקה נרחבת ומהירה ברשת, שקשה להילחם בה, ועלות ההתמודדות של ממשלים אתה הגיעה למיליון דולר לאירוע".

Emotet נשארת חזקה ופראית, וההתמודדות אתה היא אחד האתגרים הקשים של מנהלי אבטחת המידע והמנמ"רים. מה עושים כדי להתמודד אתה? קצרה היריעה מכדי לפרט כאן את מלוא התשובה, אבל הנה כמה נקודות שצריך לקחת חשבון כשהיא מפציעה אצלכם בארגון:

אבטחו את כל המכונות
מניעה היא התרופה הטובה ביותר. אחת הדרכים הכי טובות היא להבטיח שאין לכם ברשת כל מכונה לא מאובטחת. החדירה של Emotet לארגונים רבים מתבצעת דרך מכונות והתקנים לא מאובטחים, שלא התייחסו אליהם כגורם לסכנה לפריצה. תוכלו להשתמש בכלי סריקה חינמיים על מנת לקבל רשימה של התקנים פעילים ברשת שלכם ולהשוות אותה עם רשימת ההתקנים שאבטחתם. אם מצאתם התקנים לא מוכרים, דאגו להם לטלאי אבטחה והגנת נקודות קצה מעודכנת כמה שיותר מהר.

התקנים לא מוכרים ולא מאובטחים מספקים ל-Emotet גם מקום להתחבא בו – דבר שהופך מצב לא טוב לגרוע. גם אם הנוזקה מוגבלת על ידי אבטחה של מכונות אחרות, היא תנסה לצאת ולהשתחרר משם כל הזמן. משום שהיא פולימורפית ומעדכנת את עצמה בתדירות עצומה, אפילו כמה פעמים ביום, היא מציגה אתגרים חדשים כל העת. ככל שנותנים לה לרוץ יותר זמן דרך המנגנונים הללו, כך עולה הסיכון שעדכון לנוזקה ימצא פער או חור באבטחה שלכם, שיאפשר לה לפרוץ ולהתפשט בכל הרשת.

הגנה עמוקה היא קריטית וכך גם הגנה מתקדמת נגד נוזקות, שכוללת למידה עמוקה, מניעת תוכנות ניצול ו-EDR, שיספקו יתרון משמעותי במניעת התפרצות ויסייעו למצוא את מקור ההדבקה.

ישמו טלאי אבטחה מוקדם ולעתים קרובות
Emotet מאפשרת גישה לנוזקות אחרות, כך ששמירה עליה מפני התפרצות לא מפסיקה רק אותה אלא גם כל נוזקה שהיא מעבירה אתה. מאחר שאתם לא יודעים באילו נוזקות מדובר, עליכם לנקוט באמצעי הזהירות המתקדמים ביותר.

בראש הרשימה שלכם צריכה להיות המשימה של יישום טלאי אבטחה באזורים פגיעים. זאת אולי נשמעת כמו אחת העצות העתיקות ביותר, ואף על פי כן היא חשובה. בעולם האמיתי, תוכנה שלא מעודכנת בטלאי אבטחה הופכת את הפריצה של Emotet לגרועה יותר וקשה יותר לשליטה.

אחת הדוגמאות הבולטות לצורת הפעולה של הנוזקה במקרה זה היא EternalBlue – נוזקת הניצול לעסקים קטנים ובינוניים שהפכה למפורסמת ב-2017 בגלל WannaCry ו-NotPetya. אחד החלקים בה הוא TrickBot, תוכנה זדונית שנישאת על גבי Emotet. למרות הכותרות בכלי התקשורת וכמעט שנתיים אחרי שמיקרוסופט הוציאה את עדכון האבטחה MS17-010, שכולל טלאי אבטחה להגנה מפניה, הנוזקה עדיין מנצלת חורי אבטחה ועושה רווח נאה.

חסמו את PowerShell כברירת מחדל
Emotet מגיעה בדרך כלל כקובץ מצורף במייל זדוני, והפריצה מתחילה בערך כך: המשתמש מקבל מייל עם קובץ Word מצורף; הוא פותח את הקובץ ומרמים אותו כדי להריץ תוכנת מאקרו; התוכנה מעוררת את ה-PowerShell, שמריצה את Emotet; ואו אז, ההדבקה מתחילה.

המשתמש חייב לטעות כמה פעמים כדי שזה יצליח, כך שהעצה האחרונה היא "הדריכו את הצוות שלכם לא לפתוח מיילים חשודים או להריץ תוכנת מאקרו". מספיק להיכשל פעם אחת על מנת שפושע הסייבר יצליח במזימתו. מנהלי אבטחת מידע יכולים לחסום משתמשים מ-PowerShell כברירת מחדל. הכוונה היא לא לחסום אותו מכולם, כי יש אנשים שזקוקים לו, אלא להתחיל עם הנחה שאין מישהו שצריך אותה, כולל אנשי מערכות המידע, ואז לבטל את החסימה לאותם אנשים שבאמת צריכים אותה. וב-"חסימה" הכוונה לחסימה על אמת ולא ליישום מדיניות שמנטרלת אותה, שכן מדיניות אפשר לעקוף.

הכותב הינו סמנכ"ל מכירות ופיתוח עסקי ב-Power Communication.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים