כופרה עושה שימוש ב-PsExec להפצה - מסתתרת בזיכרון של שירות לגיטימי

כופרה עושה שימוש ב-PsExec להפצה - מסתתרת בזיכרון של שירות לגיטימי
מאת: מערכת Telecom News, 18.6.17, 17:19

פעילות תוכנת הכופר הפעילה מכוונת נגד ארגונים במגזרי הטכנולוגיה, הייצור והתקשורת.

תוכנת כופר פעילה בשם Sorebrect עושה שימוש בכלי PsExec להפצה רשתית.

הכופרה מזריקה עצמה לשירות Svchost ומוחקת ראיות לפעולתה כדי להקשות על זיהויה. היא החלה פעילותה במזרח התיכון אך התפשטה למדינות באזורים נוספים. פעילות תוכנת הכופר מכוונת נגד ארגונים במגזרי הטכנולוגיה, הייצור והתקשורת.

לאחר הדבקה ראשונית בנקודת קצה בארגון, הכופרה משתמשת בתוכנת PsExec, שהיא תוכנה לגיטימית, שנועדה לאפשר למנהלן הרשת להריץ מרחוק תוכנה על עמדת קצה, כדי להפיץ את עצמה.
 
השימוש בתוכנת PsExec מחייב היכרות של התוקף עם נתוני הגישה של מנהלן הרשת, אותם השיג מראש.
 
בעמדת הקצה היא מזריקה את קוד הפוגען לשירות Svchost ומוחקת את עקבות ההדבקה הראשונית. קוד ההצפנה מופעל מתוך ,Svchost שהוא שירות לגיטימי.
 
הכופרה מוחקת את עקבותיה מהלוגים של המערכת באמצעות פקודת WEVTUTIL. היא מוחקת Shadow Copies של הקבצים המקוריים באמצעות פקודת vssadmin וגם מוחקת עדויות להפעלתה באמצעות מחיקת נתוני ה-appcompat/shimcache ,prefetch.
 
הכופרה מזהה אם יש שיתופי רשת נגישים ברשת המקומית ומצפינה את הקבצים עליהם, בנוסף להצפנת הקבצים בעמדה.
 
התוכנה מתקשרת עם שרתי ה-C&C באמצעות שירותי TOR.

מידע נוסף על אופן הפעולה של הכופרה - כאן.

מומלץ לבחון האפשרות להגביל הפעלת PsExec במערכות למשתמשים מורשים בלבד.