גידול בשימוש ובתחכום של טכניקות התחמקות וערפול קוד מצד קבוצות תקיפה
מאת:
מערכת Telecom News, 5.7.17, 11:30
לאורך 2017 חלה עלייה משמעותית בשימוש של תוקפים בטכניקות התחמקות וערפול קוד כדי לחמוק מזיהוי ע"י מערכות ההגנה הקיימות.
דווח, שקבוצת התקיפה
FIN8 החביאה פקודות הפעלה של
PowerShell בתוך משתני סביבה (
Environment Variables), כאשר ההפעלה עצמה מסתיימת ב-מקף ("-"). בטכניקה זו לא נרשם דבר בשורת הלוג מלבד עצם ההפעלה. ההפעלה עצמה הוטמנה בתוך מאקרו
בקובץ וורד.
המאקרו מפעיל את שירות
WMI כדי להפעיל את
CMD.EXE ומשם את
PowerShell. המטרה היא, שלא תתועד הפעלה ישירה של
PowerShell מתוך ,Word שעלולה לעורר חשד.
קבוצת התקיפה
FIN7 עושה שימוש נרחב בהחבאה של קבצי
LNK בקבצי
DOCX ו-
RTF. לאחרונה החלה הקבוצה לנסות ולערפל גם שיטת הפעלה זו באמצעות שבירת המחרוזת של ההפעלה למספר מחרוזות וצירופן ביחד והחלפה של מילת ההפעלה
EVAL ב-
JavaScript בצירוף מחרוזות ותווים, שיוצרים בסופו של דבר את המחרוזת המבוקשת.
בנוסף, נצפו ניסיונות של קבוצות תקיפה שונות לחמוק מזיהוי של טכניקות עקיפה ל-
Application Whitelisting באמצעות ערפול של פקודת ההפעלה הנדרשת.
מומלץ לרענן את הידע בטכניקות ערפול קוד, שבשימוש תוקפים, להסתרת פעילות, הן בתוך מאקרו והן של פקודות הפעלה.
מומלץ לבחון דרכים להגברת הנראות של פעולות תוקף בנקודות קצה וברשת.
מומלץ לשקול לא להסתמך על טכנולוגיה בודדת כאמצעי זיהוי, בפרט אם היא עושה שימוש בחתימות בלבד.
