ניתוח פוגען FIREBALL שהדביק מאות מיליוני עמדות בעולם

ניתוח פוגען FIREBALL שהדביק מאות מיליוני עמדות בעולם
מאת: מערכת Telecom News, 6.6.17, 14:39

ניתוח אופן הפעולה, אופן ההדבקה והיקפה, סיכונים פוטנציאליים, זיהוי עמדה נגועה באמצעות 3 פרמטרים ודרכים לניקוי עמדה נגועה ב-4 שלבים.

לדברי החוקרים, שזיהו את הפוגען, נצפתה נוכחות ברשתות ארגוניות רבות בעולם. עפ"י הדיווח,  הפוגען מופעל ע"י חברת פרסום דיגיטלית גדולה במזרח הרחוק.  

הפוגען משתלט על הדפדפן של המשתמש ומאפשר לתוקף 2 יכולות עיקריות:

1) הורדת תוכנות זדוניות נוספות כרצונו,
2) הפניית תעבורת המשתמש כך, שתייצר הכנסה לתוקף, באמצעות חטיפת דף הבית ומנוע החיפוש שבשימוש הדפדפן.

עד עתה נעשה שימוש בפוגען לייצור הכנסות לתוקף, באמצעות שינוי הגדרות הדפדפן והורדת תוספים, אך עצם נוכחותו במספר כה רב של עמדות קצה ויכולתו להריץ כל תוכנה נוספת שיבחר התוקף הם סיכון משמעותי מאד לעמדות הקצה הנגועות ולרשתות שהן פועלות בהן
 
אופן הפעולה
הפוגען מפנה את חיפושי המשתמש למנועי חיפוש בשליטתו, שמעבירים את השאילתות הלאה למנועי החיפוש של גוגל ויאהו. בנוסף, הפוגען עושה שימוש ב- TRACKING PIXELS-  אלמנטים הסמויים מעין המשתמש ומשמשים לאיסוף מידע על הרגלי הגלישה שלו.

מנועי החיפוש בשליטת התוקף הפכו פופולריים בעקבות ההדבקה המסיבית של עמדות קצה, וחלקם נמצאים בין 10,000 האתרים הפופולריים בעולם, ולעיתים אף מגיעים לרשימת 1,000 האתרים הפופולריים בעולם עפ"י אתר ALEXA .

הפוגען מדגים תחכום ויכולות טכניות טובות מאד מצד התוקף וכולל יכולות התחמקות מזיהוי, מבנה רב-שכבתי ומערך שו"ב גמיש. ניתן לחשוב על הפוגען כעל דלת אחורית פעילה לכל עמדה ורשת, שהוא מותקן עליה.

אופן ההדבקה
החוקרים סבורים, שהפוגען הופץ בעיקר באמצעות .BUNDLING כלומר, הפצת הפוגען יחד עם תוכנה אחרת הנחזית כלגיטימית, במיוחד תוכנות אחרות מתוצרת התוקף ותוכנות חינמיות מסוימות. כאשר המשתמש מאשר את התקנת התוכנה הרצויה, מותקן בנוסף וללא ידיעתו גם הפוגען. אין לשלול גם הפצות נוספות במגוון דרכים מוכרות כגון ספאם, פישינג וכו'.
 
היקף ההדבקה
החוקרים מעריכים, שמספר עמדות הקצה הנגועות עולה על 250 מיליון עמדות בעולם, כאשר המדינות הנגועות ביותר הן הודו, ברזיל מקסיקו ואינדונזיה. התמונה עגומה עוד יותר אם מעריכים כמה רשתות עסקיות נגועות בפוגען. גלובלית, המספר עומד על 20% להערכת החוקרים. אך במדינות מסוימות כגון אינדונזיה 60%, הודו 43% וברזיל %38 המצב גרוע אף יותר.

בארה"ב מוערך, ש-10.7% מהרשתות נגועות בפוגען ובסין 4.7% מהרשתות.

 החוקרים מעריכים, שזה הפוגען בעל היקף ההדבקה הגדול ביותר המוכר מעולם. במהלך המחקר הם גילו פוגענים נוספים הפועלים באופן דומה, אם כי היקף פגיעתם לא צוין.

סיכונים פוטנציאליים

בשל יכולתו של הפוגען להוריד ולהריץ תוכנות נוספות כרצון התוקף, ניתן לשנות את התנהגותו הנוכחית המוגבלת לתקיפה מלאה נגד עמדות קצה ורשתות - הזלגת מידע רגיש, גניבת נתוני גישה, הצפנת מידע ודרישת כופר ומחיקה זדונית, כל אלו הן אפשרויות העומדות לרשות התוקף אם ירצה להסלים את התנהגות הפוגען.

כיצד מזהים האם העמדה נגועה בפוגען?
 יש לבדוק 3 פרמטרים:
 
1) האם דף הבית נקבע ע"י המשתמש? האם המשתמש יכול לשנותו?
2) האם מנוע החיפוש נקבע ע"י המשתמש? האם המשתמש יכול לשנותו?
3) האם כל התוספים בדפדפן מוכרים למשתמש והותקנו על ידו?  

במקרה של תשובה שלילית לאחת מהשאלות הללו, סביר להניח, שהעמדה נגועה.

המלצות
כיצד מנקים עמדה נגועה?

מומלץ לבצע 4 שלבים שונים:
 
1) הסרת היישום החשוד באמצעות לוח הבקרה ב WINDOWS-או ה- FINDERב.MAC-
2) סריקת העמדה באמצעות תוכנות מסוג Anti-Malware ו- .Adware Cleaner
3) הסרת תוספים חשודים Extensions, Plug-Ins, Add-Ons מהדפדפן.
4) החזרת הגדרות הדפדפן לברירת המחדל.

מידע נוסף - כאן.