Night Dragon

 

 

Night Dragon - כל מה שרציתם לדעת על                     

 

 לקוחות יקרים, 

כפי שאולי כבר נתקלתם בכתבות שפורסמו ב-Wall Street Journal, New York Times, BBC, Reuters, ושירותי חדשות חשובים אחרים,

 McAfee חשפה שורת התקפות חשובה (אותה אנחנו מכנים "Night Dragon") שמטרתה לגנוב מידע רגיש מארגונים שמוצבים כמטרה.

 McAfee עוקבת אחר ההתקפה הזו מזה זמן מה, וכבר צירפנו הגנה כנגד "Night Dragon" (וכן כנגד איומים דומים) לפתרונות

 האבטחה של McAfee.

 כתמיד, אנו ממליצים להפעיל את פתרונות נקודות קצה והרשת המעודכנים ביותר, עם חתימות מעודכנות ועם אפשור

מודיעין האיומים הגלובלי (Global Threat Intelligence) במטרה למצב את ההגנות הטובות ביותר כנגד Night Dragon ושאר ההתקפות. 

 

שלא כמו במקרה של התקפות אופורטוניסטיות, במקרה הזה נראה כי מדובר בעבריינים ברמת ארגון גבוהה מאוד ועם הרבה

מאוד מוטיבציה לפגיעה במטרות אלו.  

אנא השקיעו כמה דקות בקריאת המידע להלן, ובמידה ויהיו לכם שאלות נוספות, הרגישו חופשיים ליצור קשר עימנו.

אנו מקווים שלאחר קבלת מידע נוסף על הכלים וטכניקות ההגנה, תוכלו להגן על הארגון שלכם באופן יעיל יותר. 

 

Night Dragon 

התקפות Night Dragon דומות למבצע Aurora (למרות שאינן קשורות למבצע Aurora) והתקפות מתמידות אחרות

 (או APT - Advanced Persistent Threats) בכך שמדובר בשילוב של הנדסה חברתית והתקפות קיברנטיות מתואמות

 ומכוונות היטב שמשתמשות בסוסים טרויאנים,תוכנות לשליטה מרחוק ופוגענים . למרות שהתקפות Night Dragon התחילו

רק לאחרונה להופיע במספרים בולטים, McAfee קישרה את ההתקפות הללו אל חדירות שהתחילו כבר בנובמבר 2009

ומינפו התקפות  שהתגלו כבר ב-2008. כעת מתחילות להיחשף התקפות Night Dragon חדשות, ובכל יום. 

לMcAfee יש עדויות  אודות התקפות מוצלחות של  Night Dragon ביבשת אמריקה, אירופה, אסיה וכן במדינות

 במזרח בתיכון ובצפון אפריקה. בנוסף זיהתה McAfee כלים, טכניקות ופעילויות ברשת בהם נעשה שימוש במהלך

ההתקפות המתמשכות הללו שמצביעות על גורמים בסין כמקור הראשי להתקפות . 

 

התוקפים שעומדים מאחורי Night Dragon שמים לעצמם כרגע כמטרה חברות נפט, אנרגיה ופטרוכימיה בינלאומיות

 כשהמטרה ברורה - לגנוב מידע רגיש כמו פרטי תפעול, מחקר ונתונים כספיים. למרות שאנחנו עובדים בצמוד

לרבות מבין החברות/הארגונים הללו וגם למשרדים לאכיפת חוק, אנחנו מבקשים במכתב זה להתריע באופן נרחב יותר

בפני ארגונים שייתכן ואינם מצוידים בהגנה המעודכנת ביותר, או בפני כאלה שיכולים ליהנות ממידע נוסף. למרות שווידאנו

 שכרגע Night Dragon שם לו למטרה את חברות הנפט/הגז/הפטרוכימיה/האנרגיה, APT דומים יכולים (וגם עושים זאת)

 להציב לעצמם מטרות אחרות בכל ורטיקל אחר. שלא כמו סטאקסנט (Stuxnet), התקפות Night Dragon אינן בהכרח

 מכוונות אל עבר תעשייה מסוימת. 

פרטי ההתקפה 

התקפות Night Dragon ממנפות התקפות קיברנטיות מתואמות, חשאיות ומכוונות היטב, כולל: הנדסה חברתית

, דיוג חנית (phishing spear), ניצול פגיעויות במערכת ההפעלה Windows, ניצול חולשות ברמת ה-Active Directory,

 וכלי ניהול מרחוק. ההתקפה מתבצעת כך: 

1.      שרתי אינטרנט  שמשמשים קהל לקוחות   מותקפים   בהזרקת SQL; שמשמשת להתקנת רושעות ותוכנות הניהול מרחוק. 

2.      שרתי אינטרנט  הללו משמשים לניהול התקפות על מטרות פנימיות. 

3.      במקביל מתבצע התקפות דיוג חנית  (phishing spear),  כנגד מחשבים ניידים, עובדים המתחברים באמצעות VPN

 הרגילים לקבל גישה פנימית נרחבת. 

4.      התוקפים משתמשים בכלים לגניבת סיסמאות כדי לגשת למערכות אחרות ואז מתקינים גם בהן כלים לגישה מרחוק ורושעות. 

5.      מערכות השייכות למנהלים מושמות כמטרה ללכידת תכתובות דואר ומשיכת קבצים. 

 

אם הנכם מעוניינים במידע נוסף לגבי Night Dragon, אנא קראו את הרשומה המתאימה בבלוג שנכתבה על ידי McAfee CTO,

 George Kurtz. ברשומה זו תמצאו מידע רקע שימושי וכן קישור לנייר עמדה רשמי שנכתב על ידי מומחי האבטחה בMcafee. 

 

שאלות ותשובות שכיחות בנוגע ל-Night Dragon  

 

שאלה: כיצד אפשר לזהות הדבקה ? 

תשובה: עדכנו את קבצי  החתימות של תוכנת האנטי וירוס שלכם, ל-6232 לפחות וודאו לבצע סקירה לפי דרישה. יש לבדוק

שסריקה זו אכן מלאה. בדקו את ה-ePO, את התראות הוירוסים ואת יומני הרשת כדי לזהות מערכות שנמצאות בסכנה. 

 

McAfee מציעה כלים חינמיים שיכולים לעזור לכם: 

·         כלי עזר לזיהוי והסרת Night Dragon (Stringer) 

·         Night Dragon Vulnerability Detection Tool 

 

אם תאתרו נוכחות של Night Dragon בסביבת העבודה שלכם ותרצו לדווח על כך או לחפש עזרה, אנא צרו קשר עם השירות

המקצועי McAfee Foundstone בטלפון 1-877-913-6863 , בנוסף תוכלו לשלוח דגימות מתאימות

 ל-Virus_Research@avertlabs.com או ברשת ל-McAfee Labs WebImmune. 

 

שאלה: האם זמין זיהוי רשת/IDS? 

תשובה: כ. בדקו את התקשורת ברשת וחפשו מחרוזת שמציינת שמחשב נגוע שולח "משואה" לשרת פיקוד ובקרה:

 "\x01\x50\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x68\x57\x24\x13". צרו קשר עם McAfee בנוגע לתמיכה נוספת ברשת. 

 

שאלה: האם ניתן לאתר את Night Dragon גם בלי זיהוי ממוחשב? 

תשובה: כן. ה-DLL שלו פשוט מקבל תכונת מערכת או מוסתר וניתן למצוא אותו לפי גודל (19-23 ק"ב) בדרך כלל

בתיקייה c:\Windows\System32 או c:\Windows\System64. פרטים אחרים קיימים במערכת הקבצים

 ויכולים לזהות את ביצוע התקנת ה-DLL  של הדלת האחורית, וכן אלו סוגי פעילויות התוקף מנהל (שולחן עבודה מרוחק, מסוף שליטה ועוד). 

 

ששאלה: אם אנחנו מאתרים את Night Dragon במערכת שלנו האם אנחנו צריכים לחשוש שהוא מדביק מחשבים אחרים? 

תשובה: לא. ל-Night Dragon אין מוטיב תולעת והוא אינו מקדם את עצמו. Night Dragon הוא סוס טרויאני

 שמספק דלת אחורית למערכת בעזרת קובץ .exe שמועתק למחשב בידי התוקף - בדרך כלל באמצעות שיתוף ב-Windows. 

 

הפתרונות של McAfee ללחימה ב-Night Dragon 

APT הם התקפות מתוחכמות ורבות היבטים שדורשות הגנה מתואמת ובנויה היטב. אנחנו בטוחים ש-McAfee יחידה במינה

 ביכולתה לטפל ב-APT (כולל Night Dragon) והתקפות מכוונות אחרות. וכמו שציינתי בפתיחה, McAfee כבר הוסיפה הגנה

כנגד Night Dragon לטכנולוגיות האבטחה האחרונות שלנו. להלן, לידיעתכם, כמה מהפתרונות של McAfee שבעבודתם

במשולב עוזרים להתמודד עם התקפות כמו של Night Dragon:

 

·         McAfee Host Intrusion Prevention מספק תכונות איתור ATP לצורך תיאום ואיתור תכונות הפעלה מרחוק ומחיקתך נתונים. 

·         McAfee Application Control (MAC) מונע פוגענים  בכך שאינו מאפשר הרצת תוכנות שאינן מאושרות. 

·         McAfee Configuration Control (MCC) מונע שינויי תצורה לא מורשים. 

·         McAfee Vulnerability Manager (MVM) איתור מערכות נגועות וכן את נקודות החולשה באבטחה של אותן מערכות. 

·         McAfee VirusScan Enterprise (VSE) מספק הגנה עם קובץ חתימות אנטי וירוס 6263 ומעלה. 

·         McAfee Policy Auditor מאתר נקודות חלשות באבטחה במערכות עם פשרות. 

·         McAfee Risk Advisory (MRA) מספק ניראות אודות שגיאות תצורה ומרווחי אבטחה שמאפשרים ניצול. 

·         McAfee Network Threat Response (NTR) מאתר תנועת בקרה ופיקוח. 

·         McAfee Network Security Manager (NSM) איתור תנועה מזיקה ברשת, והוצאת התראות כדי לאפשר תגובה מהירה. 

·         McAfee Enterprise Firewall צמצמום החדירות לרשת וכן יכול לשמש לצורך מזעור מספר ההתקפות הפנימיות. 

·         McAfee Web Gateway צמצום פעילות תכונות הגישה מרחוק. 

·         McAfee Endpoint Encryption הפחתת היכולת להשתמש במידע רגיש שמשמש כמטרה. 

·         McAfee Data Loss Prevention (DLP) איתור ומניעה של הוצאת מידע רגיש. 

 

השנתיים האחרונות היו סוערות: התקפות על גוגל וחברות רבות אחרות במבצע Aurora, התקפת על תשתיות קריטיות עם Stuxnet,

 עובדים שגונבים מידע ומובילים לחשיפת מסמכים על ידי Wikileaks, ועוד. כעת "Night Dragon" עומד להיכנס לתמונת המאבק

על המהומה שתתפוס את הכותרות. 

 

אנו מקווים שמצאתם את המידע הזה כשמיש. אנחנו מחויבים לעשות כל שביכולותינו כדי לשמור על לקוחותינו וארגוניהם בטוחים

לקראת ההתמודדות עם התקפות אלו. אנא אל תהססו ליצור עמנו קשר אם תזדקקו למידע נוסף לגבי Night Dragon

או בנושאי אבטחה נוספים.

 

ליצירת קשר אנא פנו ליוני ויינשטיין - 097645715

yoni.weinstein@arrowecs.co.il

 בברכה, 

צוותIsrael ArrowECS

הדפסשלח לחבר
negishut icon עבור לתוכן העמוד