“העובד רק רצה להוריד קובץ סרט”, כך הסבירו לנו אנשי מערכות המידע של הלקוח כשנקראנו להגיע אליהם באופן די מהיר בעקבות זיהוי של קובץ זדוני במחשבו על ידי פתרון ה-EDR בארגון (תוכנה מתקדמת לזיהוי סיכונים בתחנות הקצה)
אורן פינחסוב, מומחה אבטחת מידע בצוות DFIR מחברת 2BSecure
01.12.2024
זה היה במהלך חקירת זיהוי פלילי דיגיטלי ותגובה לאירוע: DFIR (Digital forensics and incident response) שבסיומה נחשף סיפור שונה לגמרי.
כצוות DFIR ייעודי אנו נדרשים לא מעט פעמים לתת שירות לחברות שחוו מתקפות סייבר כלשהן כדי לתחקר את המקרה באופן מעמיק, להבטיח שלא נשארו שרידים זדוניים למתקפה, ולהמליץ על פעולות ופתרונות מתקדמים שימנעו את המתקפה הבאה. כך גם היה הפעם שהגענו ללקוח שלנו, שחשש שהוא תחת מתקפת סייבר נרחבת שעלולה לפגוע בפעילותו.
כשהגענו למחשב החשוד הוא היה לצערנו כבוי. במקרים של חשש למתקפה על עמדת קצה רצוי תחילה לנתק את המחשב מהרשת אך להשאיר אותו דלוק כדי שניתן יהיה לדגום את זיכרון ה-RAM כדי לאסוף ממנו כמה שיותר נתונים שיעזרו לחקירת האירוע. למרות זאת, התחלנו בפעולות בסיסיות כגון יצירת עותק למחשב והמשך בדיקה וחקירה פורנזית דיגיטלית.
הבדיקה המעמיקה שלנו גילתה שהמשתמש מחק את תיקיית ההורדות במחשב וכן את היסטוריית הגלישה בדפדפן, ככל הנראה במטרה לטשטש את העובדה שניסה להוריד תוכנה פרוצה
מה עלה בחקירה?
כבר מהממצאים הראשונים זיהינו תמונה שונה לגמרי ממה שסיפר המשתמש בתחילה.
מהחקירה עלה כי המשתמש ניסה להוריד תוכנה פרוצה של חברת Adobe מאתרים בלתי מהימנים, כאשר חלק מהאתרים האלה הופעלו מאיראן ושימשו כפלטפורמות להורדת תוכנות פיראטיות. הפעולה הזו של הורדת התוכנה חשפה את המשתמש לאיומים רבים ובעקבות זאת גם את שאר תחנות הקצה המחוברות לרשת הארגון.
בחקירה עלה כי פעולת הורדת התוכנה הורידה קובץ ארכיב (Archive) שמעבר לתוכנה הפרוצה הכיל גם קובץ זדוני שהוסלק בתוכו.
כשהמשתמש ניסה לחלץ את הקובץ הופעלו מספר תהליכים מקבילים בהם הפעלה אוטומטית (Auto Execution) של התוכנה הזדונית שנוצרה, כך שתפעל ללא צורך באישור המשתמש, והסוואת הקובץ הזדוני תחת קובץ uninstall של התוכנה המותקנת במטרה לעקוף מנגנוני זיהוי.
לשמחתו של הלקוח, על תחנות הקצה הארגוניות הותקנה ונפרסה בצורה טובה מאוד תוכנת EDR אשר אמורה לזהות דפוסי פעולה חשודים. תוכנה זו אכן זיהתה את ההתנהגות החריגה בעת הפעלת הקובץ וסיווגה אותו תוך שניות כקובץ כזדוני, בין היתר מאחר והוחתם ככזה במספר מנועי זיהוי קודמים ב-Virus Total (אתר המספק שירותי בדיקת קבצים החשודים להימצאות וירוסים, רוגלות ונוזקות אחרות).
בעקבות זיהוי זה תוכנת ה-EDR בלמה את הפעולה באופן אוטומטי ודאגה להסיר את הקובץ הזדוני מהמחשב לפני שנגרם נזק.
ממצא נוסף וחשוב לא פחות בחקירה היה ניסיונות המשתמש להסתיר את מעשיו.
הבדיקה המעמיקה שלנו גילתה שהמשתמש מחק את תיקיית ההורדות במחשב וכן את היסטוריית הגלישה בדפדפן, ככל הנראה במטרה לטשטש את העובדה שניסה להוריד תוכנה פרוצה. הפעולות הללו עוררו חשד והובילו אותנו להעמיק את החקירה ולבחון את הנתונים שהמשתמש ניסה להסתיר.
באמצעות שימוש בכלים ושיטות מחקר פורנזיים דיגיטליים מתקדמים, זיהינו את הפעולות המדויקות שביצע המשתמש ואת הפעולות שיצרה התוכנה הזדונית על גבי המחשב. חקירה זו אפשרה לנו לעקוב אחר המקורות שמהם הורדו הקבצים ולוודא שהמערכת לא נפגעה לאורך זמן. החקירה כללה סקירה של הרישומים במערכת, ניתוח נתיבי הקבצים, ובדיקה אם הקובץ קיים על מחשבים נוספים שהיו מחוברים לאותו מחשב ברשת על מנת לאתר עקבות של פעילות זדונית או ניסיון להטמיע קוד זדוני נוסף.
מקרה זה הסתיים בצורה טובה, כאשר מערכות המחשוב של הארגון לא נפגעו ולא נגרם כל נזק. עם זאת יש הרבה מה ללמוד ממקרה זה:
ראשית, מספיק עובד אחד שפועל בניגוד לנהלים ולכללי זהירות דיגיטליים נדרשים וכל הארגון עלול למצוא את עצמו תחת מתקפת סייבר משתקת ולא נעימה.
שנית, מערכות הגנה מודרניות בחזית הטכנולוגיה כדוגמת ה-EDR הן לא מותרות. בעידן הנוכחי הן הכרח לכל ארגון חפץ המשכיות עסקית. בתוך כך חשוב לוודא כי המערכות מעודכנות בכל עת בגרסאות המתקדמות ביותר ומשולבות בפתרונות אבטחת מידע מקיפים נוספים.
שלישית, חשוב להדריך את עובדי הארגון באופן קבוע על סכנות הרשת וכללי זהירות נדרשים. ידוע כי התנהלות המשתמשים היא בין הגורמים המרכזיים למתקפות סייבר על הארגון.
חשוב לזכור כי גם בעולם איומי הסייבר ההשקעה במניעה תמיד כדאית ונמוכה יותר מהמחיר של טיפול בנזק שכבר נגרם.
למידע נוסף על הפתרונות שלנו בתחום שירותי ניתוח פורנזי מתקדמים, חקירות DFIR מורכבות ומתן פתרונות מותאמים אישית להגנה על הארגון שלכם – מוזמנים לפנות אלינו.
עוד בנושא
אורן פינחסוב, מומחה אבטחת מידע בצוות DFIR חברת 2BSecure
