נחשפה מתקפת סייבר חמקנית העוקפת פתרונות אנטי-וירוס

על פי חוקרי אינסיילו, האקרים מנצלים מאפיינים פנימיים של Windows, ומסתירים פעילות זדונית עמוק בתוך מערכת ההפעלה, באמצעות מניפולציה בדרך בה מערכת Windows מטפלת בפעולות של קבצים

צריך לפקוח עיניים. אילוסטרציה: BigStock

האקרים מנצלים מאפיינים פנימיים של Microsoft Windows באופן המאפשר לכופרות ולנוזקות אחרות לחמוק מהרדאר של רוב תוכנות ההגנה, האנטי-וירוסים המובילים בשוק, כמו גם מוצרי אבטחת NGAV (אנטי וירוס הדור הבא) – המגינים על מחשבי קצה, שרתים ומכשירים רגישים אחרים בארגונים.

את דפוס הפעולה החדש של ההאקרים חשפו חוקרי אינסיילו (enSilo) במסגרת כנס BlackHat Europe שנערך בלונדון באחרונה.

במחקר "Lost in Transaction: Process Doppelgenging" הציגו חוקרי אינסיילו, יוג'ין קוגן, טל ליברמן ועמרי משגב, כיצד ניתן להסתיר פעילות זדונית עמוק בתוך מערכת ההפעלה, באמצעות מניפולציה בדרך בה מערכת חלונות מטפלת בפעולות של קבצים. באמצעות הסוואתן של פעולות זדוניות והצגתן כתהליכים רגילים ולגיטימיים, החוקרים מצאו דרך אפקטיבית, בה אפילו האקרים בעלי רמת תחכום נמוכה יחסית, יכולים "להעניק" חיים חדשים לנוזקות שכבר מוכרות היטב לספקיות ולמנהלי האבטחה.

לעקוף את כל מוצרי האבטחה שנבדקו

ברגע שהוסתרו באמצעות "דופלגנגר" (Process Doppelgänging), איומים אלה יכולים לפגוע גם בגרסאות המעודכנות ביותר של מערכת Windows, אפילו כאשר מופעלים אנטי-וירוס ומוצרי NGAV מעודכנים. איומים אלה יכולים לאחר מכן לבצע מתקפת כופרה על קבצים, לאסוף הקשות מקלדת, או לגנוב מידע רב ערך.

בנוסף לעיוורון של מנגנוני ההגנה המוטמעים במערכת Windows ושל מוצרי אנטי וירוס ו-NGAV בפני האיומים, Process Doppelgänging מעניק להאקרים יתרון נוסף: הוא לא מותיר עדויות. כך, סוג זה של חדירה מקשה מאוד על זיהוי המתקפה בדיעבד, באמצעות טכניקות הפורנזיקה העדכניות.

"שיטת ה-'דופלגנג' שחשפנו, ממנפת כמה מנגנונים מורכבים במערכת ההפעלה של Windows, והיא מתבססת על ידע עמוק של הדרך בה פועלים מנועי סריקה של קבצים באנטי וירוסים. שילוב בין כל אלה יוצר הסוואה של הנוזקה כקוד לגיטימי, ומאפשר לעקוף את כל מוצרי האבטחה שנבדקו", מסביר ליברמן.

"זו דוגמה נוספת לדרך בה כמה מניפולציות קטנות בקוד, המתבססות על הבנה עמוקה של מערכת ההפעלה – הן כל מה שנדרש כדי לעקוף שכבות זיהוי מרובות ומנגנוני הגנה מסורתיים", אמר קוגן. "המחקר שלנו מראה כי אפילו ההגנות העדכניות ביותר הופכות ללא רלוונטיות אל מול המאמץ היצירתי של תוקף, להטמין 'מטען זדוני' – דרך הערוצים הפנימיים של מערכת Windows".

טכניקה אשר לא תיתפס ברוב המוצרים

במטרה לאפשר לחברות אבטחה נוספות לחקור את השיטה שהוצגה ולפתח שיטות הגנה כנגדה, אינסיילו תציע בדיקת אבחון של תוכנות הגנה כנגד Process Doppelgänging. הבדיקה, שנכתבה על ידי משגב, תאפשר הרצה של נוזקה ידועה בלא שימוש בטכניקה, אשר אמורה להיחסם על ידי מוצרי אבטחה, ולאחר מכן הרצה נוספת המשתמשת בטכניקה – אשר לא תיתפס ברוב המוצרים.

אינסיילו מציעה פלטפורמה מקיפה להגנה על תחנות קצה, אשר עוצרת בזמן אמת תקיפות זדוניות טרם ובמהלך פעילותן. הפלטפורמה מציעה אוטומציה וניצוח מלא על זיהוי, חסימה ותגובה בזמן אמת כנגד מתקפות מודרניות כגון נוזקות ממוקדות, תוכנות כופר, ודרכי פעולה נטולות קבצים, מבלי להכביד על צוותי ה-IT והאבטחה הארגוניים.

הסוכן קל המשקל הבודד של אינסיילו, כולל אנטי וירוס מהדור הבא (NGAV), שליטה בתקשורת אפליקציות, זיהוי ותגובה אוטומטיים בנקודות קצה (EDR) עם חסימה בזמן אמת, ציד איומים, תגובה לאירועים, והפעלת עדכונים אוטומטית. השילוב מאפשר לפתרון אבטחת נקודות הקצה של אינסיילו לעצור איומים מודרניים ברמת דיוק גבוהה ועם ממשק משתמש ידידותי. כך, צוות הגנת הסייבר בארגון יכול לנהל ביעילות איומי נוזקות, בלא עומס של התראות, זמני תגובה ארוכים, או חשש מפרצות.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים