עדכון ה-CERT הישראלי ל-29.6.17 על מתקפת הכופר בעלת הקוד החדש
מאת: מערכת Telecom News, 28.6.17, 12:32
 
התקיפה מציגה מאפיינים דומים למשפחת הכופרה Petya אך הקוד הוא חדש וייחודי ואין לו קשר עם הכופרה הידועה. זהו מסמך מעודכן מטעם הרשות הלאומית להגנת הסייבר, נכון ל-28.6.17 שעה 10:20, ומהווה סיכום המצב. שולבו כאן בכתבה עדכונים במסמך (בסעיף ההמלצות) ל-28.6.17 שעה 12:20, ול-29.6.17 לשעה 14:20 (טקסט בצבע אדום).
עדכונים אחרים גם לגבי מערכת הבריאות, בתחתית הכתבה.

כפי שדיווחנו בפירוט אתמול בכתבה מקיפה על מתקפת הכופר בה ניזוקו ארגונים גם בישראל – כאן, התקיפה כללה, בין היתר, הדבקה של שרשרת אספקה חיונית לארגונים באוקראינה. בנוסף קיימת הערכה מגובה בדגימה בודדת של התפשטות באמצעות דוא"ל.
 
הרשות הלאומית להגנת הסייבר ממשיכה לעדכן, שהתפשטות הפוגען ברשתות הארגוניות מתבצעת הן באמצעות התקיפה המוכרת של שירותי SMBv1 זמינים, שלא הותקנו עליהם עדכוני האבטחה המתאימים (MS-17-010), והן באמצעות שימוש בתוכנות ניהול לגיטימיות – PSEXEC ו-WMIC. בניתוח נוסף צוין, שהפוגען אינו כופרה אלא Wiper, ושערוץ תקיפה נוסף קיים באמצעות Watering Hole על אתר חדשות אוקראיני. (פירוט להלן). לאור מתווה ההתפשטות של הפוגען, תשומת לב נדרשת ממי שמתחבר רשתית לארגונים באוקראינה ע"ב קבוע או מזדמן כגון באמצעות VPN. יצוין, שבמקביל לאירוע זה מתקיימים אירועי סייבר נוספים הכרוכים בפוגענים המגיעים באמצעות המייל, עובדה שגרמה לזיהוי שגוי של חלק מפוגענים אלה כאילו הם שייכים לאירוע באוקראינה.
 
היקף הפגיעה
בין הארגונים, שנפגעו מהכופרה, יש לציין מספר רב של גורמים באוקראינה, כולל בנקים, סופרמרקטים, חברות אספקת אנרגיה, שדה התעופה הבינלאומי של קייב, תחנת הכוח בצ'רנוביל, משרדי ממשלה ועוד. מחוץ לאוקראינה דווח על פגיעה בענק הספנות הדני מארסק, בחברת התרופות האמריקאית מרק, בחברת מדיה בריטית ועוד. סה"כ דווח על פגיעות באלפי מחשבים ברחבי העולם.
 
מהלך התקיפה
ההדבקה הראשונית בוצעה, ככל הנראה, באמצעות הדבקת עדכון תוכנה של חברה (MeDoc) המייצרת תוכנות הנהלת חשבונות באוקראינה. עפ"י ההערכה, העדכון יועד להתבצע אתמול באופן אוטומטי, והדבקתו אפשרה תקיפה מסיבית של חברות מקומיות ובינלאומיות העושות בו שימוש לצרכי דיווח עסקי לפי חוקי אוקראינה. מאחר ורק 2 תוכנות מסוג זה מאושרות לשימוש ע"י השלטונות שם, הרי שההדבקה הייתה בשרשרת האספקה של ארגונים רבים במדינה. ארגונים בינלאומיים המחויבים לעשות שימוש בתוכנה מסוג זה באוקראינה, נדבקו ככל הנראה באמצעות מעבר הפוגען ברשת הארגונית הבין-מדינתית. (עדכון  לגבי MeDoc בתחתית הכתבה).
 
קיימת דגימה של הפוגען המעידה על שימוש בערוץ דוא"ל להשגת נגישות ראשונית ברשת, כאשר התקיפה מבוצעת באמצעות צרופה המנצלת את פגיעות CVE-2017-0199. לאחר מכן הפוגען מוריד מהרשת את הקוד הבא בשרשרת באמצעות גישה לשרת בכתובת hxxp://84.200.16.242/myguy.xls ולאחר מכן מבוצעת הורדה של קוד מהכתובת  hxxp://french-cooking.com/myguy.exe וגישה לכתובת COFFEINOFFICE[.]XYZ להורדת קוד ההצפנה והמשך ההתפשטות ברשת.
 
לאחר הדבקת מחשב ברשת המקומית, ההתפשטות מבוצעת באחת מהאפשרויות הבאות:
 
הדבקת שירותי SMBv1 באמצעות תקיפה בפוגען מסוג ETERNALBLUE, המוכר לנו גם מאירוע WannaCry. ההתפשטות במקרה זה תהיה למחשבים ברשת המקומית המציגים שירותי SMB, שלא בוצע עבורם עדכון התוכנה, שמיקרוסופט הוציאה במרץ 2017 (MS-17-010).
 
אפשרות נוספת, שהפוגען מנצל היא תקיפה באמצעות תוכנות ניהול לגיטימיות. התוכנה משתמשת בתוכנות WMIC תוכנת Command Line לגישה לממשק הניהול של מיקרוסופט המוכר כ-Windows Management Instrumentation, ובתוכנת PSEXEC, שהיא תוכנה של מיקרוסופט המשמשת את מנהלי הרשתות להרצת תוכנות מרחוק על עמדות ושרתים.
 
את הסיסמאות הנדרשות להפעלת תוכנות אלו הפוגען לוקח מהזיכרון של מערכת ההפעלה המותקפת, באמצעות תוכנה, שזוהתה כ-MIMIKATZ ע"י חלק מהניתוחים וכ-LSADUMP ע"י ניתוחים אחרים.
 
בניגוד לתוכנות הכופרה הנפוצות, הפוגען אינו מצפין כל קובץ בנפרד, אלא מצפין את ה-MFT (Master File Table), ובכך מונע גישה לכל מערכת הקבצים. הפוגען מחליף גם את ה-MBR (Master Boot Record) של העמדה בקוד משלו המציג את הודעת הכופרה למשתמש.
 
לאחר השגת נגישות לעמדת הקצה המותקפת, הפוגען מגדיר תהליך לביצוע Restart לאחר המתנה יחסית ארוכה (קיימים דיווחים על המתנה של בין חצי שעה ל-90 דקות). הפוגען מבצע Reboot לעמדה, ואז מציג מסך CHKDSK (תוכנה לבדיקת תקינות מערכת הקבצים) מזויף, שכביכול מבצע בדיקה ותיקון של מערכת הקבצים. 

התוכנה מוחקת את ה-Event Logs על המחשב המותקף באמצעות פקודת WEVTUTIL.

התקשורת עם התוקף לקבלת קוד הפענוח אמורה להתבצע באמצעות דוא"ל, אך ספק הדוא"ל הנ"ל השבית את החשבון. כך שלמעשה אין יכולת מעשית כרגע למי שהודבק לקבל קוד פענוח.
 
קיימים דיווחים על אפשרות לנטרול חלק מפעילות הפוגען באמצעות הגדרת קובץ בשם c:\windows\perfc. לפי דיווחים אלה, במידה שקובץ זה קיים על התחנה, פעילות ההדבקה תיעצר.

כמה חברות אבטחה טוענות, שהפוגען הנוכחי אינו כופרה, אלא Wiper. בניגוד ל-Petya שביצעה שינויים בדיסק וניתן היה לאחזר אותם במקרה של תשלום כופר, לטענתן הפוגען הנוכחי מבצע נ זק קבוע לדיסק ואינו שומר את המידע שמחק. כך, שהוא לא ניתן לשחזור.

כמו כן נטען, שהפוגען מופץ גם באמצעות מתקפת Watering  על שרת של אתר חדשות אוקראיני.  bahmut[.]com[.]ua/news/ 
 
המלצות:
מומלץ לוודא קיום גיבויים תקינים לכל המערכות הרלוונטיות בארגון.

מומלץ להתקין את עדכוני האבטחה, שמיקרוסופט הפיצה בחודשים האחרונים  CVE-2017-0199,  MS-17-010.
יש לחפש ע"פ 2017-0199 בשדה CVE בקישור הבא
https://portal.msrc.microsoft.com/en-US/security-guidance

מומלץ לחסום את תעבורה בפורט 445 לרשת האינטרנט לכניסה ויציאה. מי שלא יכול לחסום, מומלץ להשתמש ב-VPN עם הזדהות חזקה.

יש להימנע משימוש במשתמש בעל הרשאות אדמיניסטרטיביות רשתיות בפעילויות יומיומיות.

יש להגביל את פעילות משתמש Admin מקומי בהתאם להמלצות מיקרוסופט, אם ע"י מניעת שימוש רשתי בחשבונות מקומיים או ע"י יצירת סיסמה ייעודית לכל משתמש Admin מקומי באמצעות שירות LAPS או ע"י פתרון דומה לו.

במידת האפשר, יש למנוע תעבורה בין תחנות עבודה ברשת. לאפשר תעבורה רק בין תחנות לשרתים השונים ולהיפך.

יש לעדכן חתימות אנטי וירוס בהקדם האפשרי עם תעדוף למנועי סריקה של דוא"ל (שרתי דוא"ל Mail Relays ו-Mail Gateways) וכו'.

מומלץ לבחון יצירת קבצים בשם perfc.dat, perfc.dll ו- perfc ולהציב אותם בתיקיית C:\Windows\ ייתכן שהדבר יביא להשגת חיסון כנגד פעילות הפוגען. יש להגדיר הקבצים לקריאה בלבד.

במידה שאפשר מבחינת תהליכי העבודה בארגון, מומלץ לבחון שימוש ביכולת של מערכת ההפעלה למנוע שימוש מרחוק בחשבונות מקומיים. ראו לינק ב-https://blogs.technet.microsoft.com/secguide/2014/09/02/blocking-remote-use-of-local-accounts

במידת האפשר, לשקול מניעה של הרצת תוכנות מספריית %APPDATA% .

הנוזקה ממתינה מעל חצי שעה לפני תחילת תהליך ההדבקה. אם זוהתה הדבקה ולא חלף זמן זה, ניתן לנסות לכבות המחשב כדי להימנע מהצפנת הקבצים. שחזור ידרוש שימוש ב-LIVECD  של מערכת ההפעלה.  

עדכון 16:07: לגבי תוכנת MeDoc באוקראינה, חברת רדוור מסרה, שמשטרת אוקראינה פרסמה פוסט המצביע על השימוש בעדכוני התוכנה של MeDoc  להפצת המתקפה. בפוסט מתוארת סדרת הפקודות המופעלות ברגע שמורידים את עדכון התוכנה:
 

רדוור מסכמת במילים פשוטות: לנוזקת הכופר יש 2 רכיבים: היא משתלטת על פעולת האתחול של המחשב, ואז מופיעה הודעת דרישת כופר. בנוסף, הרכיב השני מאפשר לה להצפין קבצים, ואז לבקש את הכופר בתמורה לשחרורם.
 
בניגוד למתקפת הנוזקה של WannaCry המתקשרת עם שרתים מחוץ לארגון, הנוזקה הנ"ל נכנסת למחשבים בתוך הארגון ומקבלת הרשאות ניהול בעזרתן היא סורקת את הרשת הארגונית כדי להפיץ את עצמה לנקודות קצה נוספות כמו מחשבים, שרתים וכו'.
 
עדכון 29.6.17, 21:14: נבלמה מתקפת סייבר על בתי חולים בישראל. במהלך הלילה אירעו ניסיונות תקיפה של מספר בתי חולים ברחבי הארץ. האירוע נעצר אצל אנשי אבטחת מידע בבתי החולים יחד עם אנשי הרשות הלאומית להגנת הסייבר. מתוך 8 בתי חולים, שנחשדו כמותקפים, מתברר, שרק ב-2 נמצאו מחשבים מותקפים. בשאר בתי החולים מדובר בהתרעת שווא. לא מדובר בפוגען הקשור למתקפה העולמית הנ"ל. 

עדכון  לגבי מערכת הבריאות 30.6.17, 00:14: במהלך הלילה אירעו ניסיונות תקיפה של מספר ארגונים במגזר הבריאות. הפוגען יועד לגניבת מידע בכלל ובפרט להשיג את הקשות המקלדת של המשתמש. כך, שנתוני גישה לאתרי אינטרנט ומערכות פנימיות מבוססות דפדפנים יודלפו לתוקף. טרם זוהה וקטור התקיפה הראשוני של הפוגען וכן תהליך ההתפשטות המדויק ברשת.

הפוגען עושה שימוש בכלי האוטומציה AUTOIT (שהוא מביא לעמדה המותקפת) להרצת סקריפט זדוני המבצע את התקיפה בפועל.
הפעלת הפוגען מתבצעת באמצעות הסתרת פקודת ההפעלה בקבצי LNK. כאשר המשתמש מפעיל את הקובץ הקשור לקובץ ה-LNK, הפוגען מופעל. כ"כ, הפוגען דואג להמשך פעולתו באמצעות השתלת פקודות הפעלה ב-REGISTRY.

עדכון 5.7.17, 13:35: לגבי MeDoc: על פשיטת רשויות הסייבר באוקראינה ותפיסת שרתי החברה - כאן.