שימוש ב-Web Shell לתקיפה ממוקדת במזרח התיכון: גילויים נוספים

שימוש ב-Web Shell לתקיפה ממוקדת במזרח התיכון: גילויים נוספים
מאת: מערכת Telecom News, 28.9.17, 20:21
 
בדיקה מעמיקה גילתה פרטים על מהות התקיפה. ה-CERT הישראלי פרסם דרכי התמודדות.
 
החל מ-2016, תוקפים השתמשו ב-Web Shell , שמכונה ,Twoface כדי לתקוף ארגונים במזרח התיכון.

 Web Shell הוא סקריפט זדוני המועלה לשרת Web ומאפשר לתוקף להריץ על השרת פקודות שונות, להעלות פוגענים, לגנוב מידע ועוד. בדיקה מעמיקה יותר של ה-,Web Shell העלתה פרטים נוספים על התקיפה והתוקף.

ה-Web Shell במקרה זה הורכב מ-2 שלבים: הראשון אחראי להורדת והרצת השלב השני המשמש לקבלת הפקודות מהתוקף.
 
הפקודות ל-Web Shell הגיעו ממדינות שונות, באירופה ובצפון אמריקה, מלבד הפקודה הראשונה, שהגיעה מכתובת IP ממדינה מזרח תיכונית עוינת.
 
התוקף השתמש ב-Web Shell לחילוץ נתוני הזדהות מזיכרון השרת באמצעות הכלי המוכר Mimikatz, וכן לתנועה רוחבית כדי להתפשט בתוך הרשת הארגונית.
 
בדיקה מעמיקה יותר של כתובת ה-IP המתקשרת עם ה-Web Shell העלתה, שכתובת זו הוגדרה עבור רשומותDNS  הדומות מאוד לאלו של אתרים לגיטימיים, שהפנו את המשתמש לאתרים הנראים זהים לאתרים אלה. זאת, כדי לגנוב את נתוני הגישה של המשתמשים באתרים המקוריים.
 
בדיקה נוספת על מאפייני דגימת ה-Mimikatz הראתה, שהיא זהה לפוגען, שהיה בשימוש קבוצת התקיפה Oilrig.  
 
בנוסף לשימוש התוקף בכלי Mimikatz, נעשה שימוש גם ב-PsExec.
 
ה-CERT הישראלי ממליץ  לנטר גישה לא מורשית של שרת ה-Web לאינטרנט או למערכות ארגוניות, שאינן רלוונטיות.
 
מומלץ לנטר גם הוספה לא מורשית או שינוי של קבצים בשרת.
 
מומלץ לגורמים, שמפעילים שירותי דוא"ל מבוססי Web, או כל שירות המאפשר גישה למידע רגיש, לשקול הוספת מנגנון זיהוי דו-שלבי.