1. No category

‫‪31/10/2012‬‬
‫סקירת פוגענים – "בני גנץ"‬
‫‪.1‬‬
‫רקע‬
‫במהלך השבועות האחרונים בוצעו מספר ניסיונות תקיפה של מטרות ישראליות במגזר הממשלתי‪ .‬המתקפות היו‬
‫מבוססות על דואר אלקטרוני שנשלח למספר רב של תיבות ישראליות אשר הכילו פוגען שלכאורה נשלח‬
‫מהרמטכ"ל בני גנץ (ולכן גם הכינוי לו זכה הפוגען בתקשורת)‪.‬‬
‫נכון לכתיבת מסמך זה‪ ,‬טרם נמסר מידע טכני מפורט בתקשורת הגלויה או מצד גורמים פומביים אחרים אודות‬
‫הנושא ולכן התבקשנו ע"י מספר לקוחות לספק מידע ממוקד אודות המתקפה‪.‬‬
‫מטרת המסמך הנה לשפוך אור על דפוסי התקיפה‪ ,‬מורכבותה וקישור למקורות ייחוס אפשריים ע"מ לסייע‬
‫לארגונים לבסס את חליפת ההגנה שלהם בסייבר בפני מתקפות דומות עתידיות‪.‬‬
‫‪.2‬‬
‫פרטים אודות הפוגען‬
‫ההתקפה התבססה על מספר טכניקות בתחום ההנדסה החברתית על מנת להסוות את עצמה כלגיטימית ותמימה‬
‫ולגרום לאחוזי הצלחה גבוהים ככל הניתן בהדבקה של הקורבנות ביעד הנתקף‪.‬‬
‫ראשית‪ ,‬המייל נושא את שמו של בני גנץ כשולח (מקורו מכתובת מייל ייעודית ב‪ ,)Gmail-‬וזאת כדי לעודד את‬
‫הנתקפים לפתוח את המייל על סמך הכרות עם שמו של השולח‪:‬‬
‫שנית‪ ,‬שם הפוגען המצורף הנו ארוך במיוחד‪ ,‬כאשר בנוסף הוא כולל שם של כתבה עם סיומת מדומה של ‪.doc‬‬
‫המלווה בשורה ארוכה של מקפים ("‪ ;)"-‬יצוין שהסיומת האמיתית של הקובץ הנה ‪ SCR‬אשר מציינת קובץ שומר‬
‫מסך בסביבת מיקרוסופט אך למעשה פועלת בזהה לקובץ ריצה רגיל (‪ )EXE‬על אף הסיומת השונה‪.‬‬
‫גודלו הלוגי הכולל של הפוגען הנה כ‪ 900KB -‬כאשר הוא מורכב משני רכיבים מרכזיים‪:‬‬
‫‪ – Dropper .1‬המודול המרכזי שאחראי על ההתקנה של הפוגען‪.‬‬
‫‪ – Word .2‬המודול שאחראי על בצוע הנזק במחשב ועל שידור המידע לשרתי ה‪( C2 -‬שו"ב)‪.‬‬
‫מספר מאפיינים ודגשים אודות תהליך ההדבקה‪:‬‬
‫‪ .1‬על המשתמש לפתוח את המייל בכדי להדביק את מחשבו בפוגען‪.‬‬
‫‪ .2‬הפוגען תוקף מערכות מחשב מבוססות מ"ה מסוג ‪.Microsoft Windows‬‬
‫‪ .3‬הפוגען הינו קובץ ל‪ WinRAR Self Extractor-‬בעל השם ‪ .<file name>.doc-----.scr‬קובץ מסוג ‪ SCR‬נועד‬
‫לשמש כשומר מסך של המחשב‪ ,‬אך ‪ Windows‬מסוגל להריץ כל תוכנה (‪ )Executable‬עם סיומת זו‪.‬‬
‫‪ .4‬הפוגען יוצר את הקובץ ‪ word.exe‬על המחשב‪.‬‬
‫‪ .5‬הפוגען מתקין את עצמו ע"י הוספת ה‪ EXE-‬ל‪ Startup-‬של המשתמש ‪ Administrator‬עם צלמית של ‪.doc‬‬
‫‪ .6‬ההתפשטות למחשבים אחרים נעשית ככל הנראה באמצעות התקני ‪.USB‬‬
‫‪ .7‬מיד עם ביצוע ההתקנה נפתח למשתמש מסמך ‪ Word‬עם התוכן המובטח במייל לצורך התממה של הפעולה‬
‫הזדונית שקרתה במחשב (ראה תמונה מטה)‪.‬‬
‫‪ .8‬לא נראה כי נעשה שימוש ב‪ Exploit-‬ידוע או ‪ Zero Day‬בשום שלב‪ .‬הפוגען מסתמך על הרשאות הגישה של‬
‫המשתמש אשר פותח את הקובץ ועל טכניקות שונות של הנדסה חברתית‪.‬‬
‫שינוי ‪ Registry‬במחשב‪:‬‬
‫"‪HKU\SOFTWARE\XtremeRAT\Mutex Value: " jhfjgj‬‬
‫">‪HKU\SOFTWARE\jhfjgj\ServerStarted Value: "<Date> <Time‬‬
‫קבצים שהפוגען יוצר‪:‬‬
‫קובץ הפוגען – ‪c:\documents and settings\<user>\Locals~1\Temp\word.exe‬‬
‫צלמית לצורך התממה – ‪c:\documents and settings\<user>\Locals~1\Temp\2.ico‬‬
‫המסמך המוצג למשתמש בעת הפתיחה – ‪c:\documents and settings\<user>\Locals~1\Temp\barrage.doc‬‬
‫מצביע אל קובץ הפוגען – ‪c:\documents and settings\<user>\start menu\Programs\Startup\<blank>.lnk‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫מאפיינים ודגשים אודות תהליך הריצה‪:‬‬
‫‪ .1‬הפוגען תוקף את המשתמש הנוכחי בלבד ופועל רק כאשר משתמש זה מבצע כניסה (‪ )Login‬למחשב‪.‬‬
‫‪ .2‬הפוגען יוצר ‪ Mutex‬בשם ‪.jhfjgj‬‬
‫‪ .3‬הפוגען מריץ את התהליך ‪ sethc.exe‬בעת ביצוע ההתחברות למחשב‪ .‬הפוגען משתמש בתהליך זה לצורך שידור‬
‫החוצה‪.‬‬
‫‪ .4‬הפוגען ככל הנראה מבוסס על מוצר מדף שהנו פוגען למטרות ריגול ("רוגלה") בשם ‪ .Xtreme RAT‬באמצעות‬
‫רוגלה זו ניתן לבצע פעולות רבות על המחשב הנתקף לרבות‪:‬‬
‫א‪ .‬שימוש במצלמה ו‪/‬או במיקרופון‪.‬‬
‫ב‪ .‬תפיסת תמונות מסך שוטפות‪.‬‬
‫ג‪ .‬התקנת ‪.Keylogger‬‬
‫ד‪ .‬הורדת והרצת קבצים‪.‬‬
‫ה‪ .‬הסרה והתקנת תוכנות‪.‬‬
‫ו‪ .‬ביצוע פעולות ‪.Registry‬‬
‫ז‪ .‬שליטה במקלדת ובעכבר‪.‬‬
‫מאפיינים ודגשים אודות תהליך הדיווח‪:‬‬
‫‪ .1‬הפוגען מנסה ליצור קשר עם שרתי ה‪( C2 -‬שרתי שו"ב) כאשר כתובתו של השרת הנה כתובת ‪ DNS‬בשם‬
‫‪loading.myftp.org‬‬
‫‪ .2‬כתובת זו הינה כתובת דינמית ומשתנה בכל מס' שעות‪.‬‬
‫‪ .3‬הפוגען משדר לפורט ‪ 1511‬בפרוטוקול גלישה (‪ )HTTP‬ומבקש את הקובץ ‪.1411.functions‬‬
‫‪ .4‬השידור מבוצע באמצעות הזרקת קוד ל‪.sethc.exe-‬‬
‫‪ .5‬בזמן הניתוח שבצענו שרת ה‪ C2 -‬לא היה פעיל‪.‬‬
‫‪.3‬‬
‫מידע אודות מקור הפוגען‬
‫‪ .1‬בניסיון לאתר את מקור הפוגען‪ ,‬בצענו ניתוח ראשוני לטובת דלף ‪ /‬שאריות מידע המעידות על מקור הפוגען או‬
‫גורם הייחוס‪.‬‬
‫‪ .2‬במהלך הניתוח הצלחנו לייצר מספר מקרי קצה בהם הפוגען מציג הודעות שגיאה בשפה הערבית אשר‬
‫"דולפות" למשתמש וכנראה לא נבדקו ע"י התוקף לפני בצוע התקיפה‪.‬‬
‫‪ .3‬בנוסף‪ ,‬בעת מחקר קובצי הריצה‪ ,‬התגלו הערות נוספות בשפה הערבית‪.‬‬
‫‪ .4‬הודעות אלו מרמזות ככל הנראה כי קובץ ההתקנה הורכב במחשב הנמצא במדינה דוברת השפה הערבית ובעל‬
‫‪ Locale‬ערבי‪.‬‬
‫‪ .5‬הנושא נמצא עדיין תחת חקירה נוספת לאיתור שרידי מידע נוספים‪.‬‬
‫‪.4‬‬
‫‪.1‬‬
‫‪.2‬‬
‫‪.3‬‬
‫‪.4‬‬
‫‪.5‬‬
‫‪.5‬‬
‫המלצות ראשוניות להתמודדות‬
‫עדכון תוכנת האנטי וירוס על גבי תחנות הקצה‪ .‬הפוגען כרגע מזוהה ע"י כ‪ 21 -‬חברות אנטי וירוס לרבות‬
‫‪ Kaspersky ,Symantec‬ו‪ .McAfee-‬במידת הצורך ניתן לפנות אלנו לטובת בדיקה האם האנטי וירוס המוטמע‬
‫בארגון מסוגל לגלות את הפוגען‪.‬‬
‫עדכון רשומת ה‪ loading.myftp.org DNS-‬לכתובת ‪ .127.1.1.1‬העדכון יכול להתבצע במס' שיטות‪ ,‬לדוגמה‪:‬‬
‫א‪ .‬הוספת רשומה רלוונטית בשרתי ה‪.DNS-‬‬
‫ב‪ .‬עדכון קובץ ה‪ Hosts-‬על כלל מחשבי הקצה והשרתים‪.‬‬
‫הקשחת ה‪ – Firewall-‬מניעת תעבורה בפורט ‪ 1511‬במידה ולא נעשה שימוש בפורט זה ע"י תוכנות אחרות‬
‫(כדוגמת ‪.)Tivoli‬‬
‫מניעת חיבורים ל‪ URI-‬המכיל ‪.1411.functions‬‬
‫בצוע מחקר פורנזי (ברמת הרשת ‪ +‬תחנות הקצה) לפי המידע הנמצא במסמך זה לטובת לאיתור סימנים‬
‫המעידים על הדבקה נוכחית ‪ /‬הדבקת עבר‪.‬‬
‫סיכום‬
‫מהמידע אשר הגיע לידנו וכתוצאה מניתוח הפוגען עולה כי הושקעו מאמצים בהחדרת הפוגען ובהתאמתו "לשוק"‬
‫הישראלי עם זאת רמת המורכבות והתחכום של הפוגען הנה מסווגת כנמוכה ‪ /‬חובבנית‪ .‬דבר זה יכול להצביע על‬
‫האחראים לתקיפה כגורמים האקטיביסטים ‪ /‬גורמי טרור ברמה נמוכה או לחלופין על ניסוי כלים של גורם‬
‫מתוחכם יותר (בהסתברות נמוכה)‪.‬‬
‫עדיין‪ ,‬מבחן המציאות בשטח הראה שגם מתקפות סייבר המסווגות ברמה חובבנית כמו זו יכולות לייצר נזק (גם‬
‫אם סביבתי) ולחדור מעטה הגנה של ארגונים גדולים יותר‪.‬‬