fbpx
preloader

SysJoker- הג'וקר שלא אוהב להתגלות

SYSJOKER-ה

תוכנה זדונית חדשה, בשם SysJoker  , נחשפה לאחרונה על ידי חוקרי אבטחה מצוות Intezer.  

'SysJoker', הינו איום חוצה פלטפורמות, שמקיף מספר מערכות הפעלה מוכרות: Linux, Windows MacOS. בדצמבר 2021, הבחינו לראשונה חוקרי אבטחה מחברת Intezer, בנוכחותה של הדלת האחורית, על גבי שרת אינטרנט מבוסס לינוקס של מוסד חינוכי מוביל.

מאוחר יותר,  לאחר סקירה נוספת, התגלתה אותה דלת אחורית, גם במערכות ההפעלה  MacOS ו - .Windows  ההערכה היא שהתוכנה הזדונית, נפרסה מבעוד מועד, במהלך המחצית השנייה של 2021. זאת על בהתבסס על סמך ניתוח של רישום הדומיינים של שרתי השליטה ובקרה  (C2) ודגימות שזוהו בVirusTotal - .

נקודה זו, מצביעה על כך שתוקפים אורבים במשך שבועות, ואף חודשים, לפני הגילוי.  הם נוקטים באסטרטגיה של פעילות שקטה והמתנה בסבלנות, במטרה להכין את הקרקע עד לפריצה משמעותית. לפי IBM , לוקח בממוצע  280 ימים לזהות איומים כלשהם במערכת .מסיבה זו, מומחים דוגלים בכך שזיהוי ומניעת איומים חייבים להתבצע בקפדנות ואקטיביות.

חוקרים גילו כי התוכנה הזדונית כתובה בשפת C++  וכל גרסה מותאמת אישית למערכת ההפעלה הספציפית. הדלת האחורית מושתלת בהטעיה של הגורם האנושי ומסוות כעדכון מזויף של מנהל התקן מערכת של אינטל ב-Windows, ולעדכוני מערכת ב-Linux   וmacOS.

מניתוח קבצי ההפעלה בגרסת  macOSו Windows  נמצאה הסיומת .ts. חוקר בשםPatrick Wardle , טוען כי מדובר בזיוף לקובץ וידאו מסוג TypeScript או MPEG ובעל חותמת דיגיטלית אותנטית. עם זאת, חוקרים אחרים, מעלים ווקטור תקיפה אחר עבור התוכנה הזדונית. לטענתם, הקובץ הוסתר במאגר JavaScript של חבילת npm והוסווה כעדכון מערכת. נכון לעכשיו, לא נקבע באופן סופי כיצד הותקנה התוכנה הזדונית.

עם ההדבקה הראשונית והשגת ,shell הדלת האחורית מתחילה לאסוף נתוני מערכת ורשת באמצעות פקודות LotL- living off the land , העושות שימוש בתוכנות ופונקציות לגיטימיות במערכת למטרות זדוניות כגוןWMI  PowerShell ,. בשלב הבא, התוכנה הזדונית מבססת את אחיזתה בתחנה, גם לאחר אתחול מחדש, ומוסיפה ערכים חדשים ב-. registry לבסוף, היא מתחברת לשרת C&C של התוקפים באמצעות פענוח קישור מקודד מקובץ טקסט שמתארח בGoogle Drive -. בדרך זו, מושגת שליטה מלאה וניתן לשלוח פקודות נוספות, להוריד רכיבים נוספים ולשדרג את היכולות התוכנה הזדונית  - בכל עת. חוקרים אף גילו, כי התוכנה הזדונית משתמשת בשרת Apache  כשרתC&C - , שגרסתה 2.4.41 והכילה חולשות ידועות רבות . ההערכה היא שנקודת תורפה זו נוצלה, ואפשרה לתוקפים לחטוף את השרת ולייעד אותו כשרת  .C&C

יתר על- כן, בהתבסס על ניתוח התנהגות התוכנה הזדונית, חוקרים ב- Intezer מאמינים, כי  'SysJoker' פותח על-מנת להדביק מטרות ספציפיות ומכוונות. בנוסף, ההערכה היא שהתוקפים מנצלים את הדלת האחורית למטרת ריגול ואיסוף מידע פנימי על הארגון ואף בשילוב תנועה לרוחב ברשת, האירוע עלול להסלים ולהוביל למתקפת כופר ממוקדת בשלבים הבאים.

הגילוי של 'SysJoker' משמעותי, ממספר סיבות. ראשית, הנתונים מצביעים כי תוכנות זדוניות חוצות פלטפורמות, הינן דבר נדיר, בעוד שרובן נכתבות עבור מערכת הפעלה אחת ספציפית. מתקפה משוכללת זו, מוכיחה כי בניגוד לדעת ההמונים, מערכת ההפעלה Linux- אינה מאובטחת מטבעה וחסינה לחלוטין מפני איומים. עם הזמן, Linux הפכה למטרה אטרקטיבית יותר עבור תוקפים. ועל כן, גם ארגונים המשתמשים בה, חייבים לנקוט בכל הצעדים האפשריים על מנת ליישם בה אמצעי אבטחה והקשחה מלאה. בין אם הקפדה על ניהול הרשאות ומשתמשים, התקנת  AV, עדכונים שגרתיים, התקנת חבילות ותוכנות מנוהלות ומורשות, הקמת חוקי FW  ועוד.

בנוסף, ניכר כאן היטב אופן הפעולה המתוחכם של התוקפים, בכתיבה מהיסוד של  דלת אחורית זו עבור שלוש מערכות הפעלה שונות. יתרה מזאת, במהלך הזמן שבו החוקרים ניתחו את התוכנה הזדונית, הם גילו כי התוקף החליף ארבעה שרתי שליטה ובקרה שונים, הרשומים תחת דומיינים שונים. דבר זה, מצביע על כך שהתוקף עדיין פעיל ועוקב אחר מכונות נגועות.

נוסף על כך, נראה כי התוקפים משקיעים מאמצים רבים כדי לטשטש דומיינים ייעודיים של שרתי  .C&C  הדומיינים נשלפים באופן דינמי מקובץ domain.txt החבוי בקישור, Google Drive -דבר שמקל על עדכון. כתובות בצורה דינמית ושמירה על תקשורת מול שרת זמין. יתר על כן, התעבורה ל-Google Drive  בדרך כלל אינה נחשבת לחשודה ברשת.

יתרה מזאת, SysJoker מהווה איום רציני במיוחד, משום אופיו החמקני. תוכנה זדונית זו, טרם זוהתה לאחר ההדבקה, על ידי סריקת אנטי וירוס ומנועי סריקת תוכנות זדוניות. הן במערכת ההפעלה של Linux והן של   .MacOS לעת עתה, על-מנת לאמת את החשד לנוכחותה, יש לבדוק ידנית אם נוצרו קבצים חשודים בתוך המערכות .חברת Intezer , פרסמה מזהים שעשויים לשמש כ IOC's  , אך הדגישה כי מדובר רק באינדיקציה זמנית ולא בקביעה ודאית.

מתקפות מתוחכמות מסוג זה, הינן תזכורת לגישה הפרואקטיבית של ציד איומים, שיש לאמץ כדי לזהות את כל התקפות הסייבר שעלולות להתרחש בארגון . ציד איומים הפך לחלק מאסטרטגיה מכרעת לחיזוק ההגנה על כל ארגון. מכיוון שאיומים מתוחכמים יכולים לעקוף את מערכות ההגנה  האוטומטיות כמו AV, FW, IDS  וכו', יש צורך מהותי, בציידי איומי סייבר שמביאים מרכיב אנושי לאבטחה ארגונית ומאתרים התקפות שלא נתפסות על ידי האמצעים הטכנולוגים באשר הם. יש לזכור, שהצלחתם של אנשים מיומנים אלו במניעת האיומים, תלויה באיכות וכמות הנתונים הנאספים מהמערכות הארגוניות.

לסיכום, דלת האחורית 'SysJoker', נמצאת עדיין תחת מעטה של ערפל. עלינו לזכור כי נוכח איומי הסייבר ההולכים ומתקדמים , מדובר במלחמה של ממש מול אויב חסר גבולות. וכמו בכל מלחמה יש להיערך מראש, בתוכנית רחבת היקף, מושכלת ומבוקרת על מנת לספק הגנה באופן מרבי ומיטבי.

 היו ערניים - אל תתנו לג'וקר לטרוף את כל הקלפים. 


נכתב על ידי Esther Gabay, אינטגרטורית (מעולה) בקיו מסטרס

About qmasters

QMasters was founded in 2015 to help Israeli governmental, military, niche security, and municipality offices protect themselves from cyber-attacks. As the cyber security threats grow year after year, so does our list of customers. We are a team of 30+ security experts committed to solving security challenges with the right combination of strategies and technologies.

you might also like:

תגובה לאירועי אבטחה – Incident Response

לא משנה כמה חזקה ההגנה שלנו תהיה, לפעמים דברים ישתבשו...

ClearPass Vulnerability Alert

Aruba has informed us about a new security advisory for...

VIDEO: Carbon Black Webinar - Investigating an Incident

This video link has expired. Please contact Michelle at michelled@qmasters.co...

1 2 3 6

Join our newsletter!

x
c
o
n
t
a
c
t

u
s
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram