טכנולוגיה ודיגיטל

תקיפה חדשה באמצעות פוגען המשמש לכריית מטבע וירטואלי מסוג Monero

לאחרונה התקבלו דיווחים על פוגען העושה שימוש בסקריפטים כתובים ב- Powershell ו- VBS, ומשמש לכריה של מטבע וירטואלי בשם Monero. מצ"ב אינדיקטורים לזיהוי הפוגען.

הפוגען משתמש במעבד העמדה לשם כריית מטבע וירטואלי, ובשל אינטנסיביות פעולתו גורם למניעת שירות בעמדה ולאיטיות רבה באופן פעולתה.

טרם ידוע וקטור התקיפה הראשוני של הפוגען.

נפגעו מערכות הפעלה Windows מ-XP ומעלה, המריצות Powershell, כולל שרתים ייעודיים בארגון. ההתפשטות הרוחבית ברשת הארגונית מבוצעת באגרסיביות תוך ניצול פגיעויות שונות.

אודות הפוגען

פעולת הפוגען מתבצעת ללא שימוש בקבצים (Fileless) ושימוש בפקודות WMI, עובדות המקשות על זיהויו באמצעות כלי AV סטנדרטיים.

במהלך פעולתו הפוגען מחלץ נתוני גישה (Credentials) מזיכרון העמדה, ומשדרם לגורם התוקף מחוץ לרשת הארגונית.

הפוגען עושה שימוש בקטעי קוד מוסווים (Obfuscated) וכן בקטעי קוד של כלים מוכרים כגון Invoke-Mimikatz.

דרכי התמודדות

מומלץ לוודא כי בעמדות הקצה ובשרתים בארגון מותקנים עדכוני האבטחה העדכניים של היצרן, לאחר בדיקתם במערכותיכם.

מומלץ לוודא כי היכולת לתנועה רוחבית (Lateral Movement) בין עמדות קצה בארגון מנוטרלת, באמצעות חוקי FW, והגדרות ב- Host FW של עמדות הקצה, או שימוש ב- Private VLAN. מומלץ לאפשר לעמדות קצה לתקשר עם השרתים השונים בארגון בלבד, ולא בינן לבין עצמן. יש לבחון שינוי זה במערכותיכם טרם מימושו.

מומלץ לעשות שימוש בהנחיות שהרשות הלאומית להגנת הסייבר פרסמה בנוגע לזיהוי פעילות עוינת של Powershell בארגונים.

לכל מידע נוסף ניתן לפנות אל הרשות להגנת הסייבר. במידה שעלו ממצאים בבדיקתכם, הרשות תבקש לקבל היזון חוזר.

מעל 1,400 עוקבים בערוץ טלגרם: בואו להיות חברים שלנו. חפשו 'פרוטוקול' או היכנסו t.me/protocolil


תגיות

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

Back to top button
שינוי גודל גופנים
ניגודיות
Close