კიბერუსაფრთხოების ფართო სპექტრი - ახალი თაობის არაფაილური ვირუსები და მათი მუშაობის პრინციპი

კიბერ დანაშაულია ნებისმიერი მართლსაწინააღმდეგო ქმედება, რომელიც კომპიუტერული სისტემის გამოყენებით ინტერნეტ სივრცეშია ჩადენილი. 21–ე საუკუნეში სწრაფი ტექნოლოგიური პროგრესის პარალელურად, კიბერ რისკების რაოდენობა მნიშვნელოვნად მატულობს. თანამედროვე პერიოდში კიბერდანაშაულის საკმაოდ გავრცელებულ შემთხვევებია: ონლაინ თაღლითობა, კომპიუტერულ სისტემასთან უნებართვო წვდომა, ონლაინ პორნოგრაფია, კომპიუტერული სისტემისა და მონაცემის უნებართვოდ გამოყენება, არაფაილური ვირუსები და ა.შ.

ავსტრალიის, გაერთიანებული სამეფოს და აშშ-ს სადაზვერვო სააგენტოებმა დაასახელეს კიბერ დანაშაულის 30 ძირითადი მეთოდი, რომელსაც ყველაზე ხშირად მიმართავენ ჰაკერები

სადაც დეტალურად აღწერილია 2020 და 2021 წლებში ყველაზე მეტად გამოვლენილი საფრთხეები, რომლებიც კიდევ ერთხელ აჩვენებს, თუ როგორ ახერხებენ საფრთხის აქტორები ჩვენი უყურადღებობა გამოიყენონ მათ სასარგებლოდ, ცალკე გამოყოფილია არაფაილური ვირუსები და მათი მუშაობის პრინციპიც

"კიბერ დამნაშავეები აგრძელებენ საჯაროდ ცნობილი და ხშირად მოძველებული პროგრამული უზრუნველყოფით აქტიურობას მასშტაბური სამიზნეების წინააღმდეგ, მათ შორის მთელს მსოფლიოში საჯარო და კერძო სექტორის ორგანიზაციებთან მიმართებაში", - ნათქვამია აშშ-ს კიბერუსაფრთხოებისა და ინფრასტრუქტურის უსაფრთხოების სააგენტოს (CISA), ავსტრალიის კიბერუსაფრთხოების ცენტრის (ACSC), გაერთიანებული სამეფოს კიბერუსაფრთხოების ეროვნული ცენტრის (NCSC) და აშშ-ს გამოძიების ფედერალური ბიუროს (FBI) მიერ.

"თუმცა, მთელს მსოფლიოში  უსაფრთხოების ორგანოებს შეუძლიათ შეასუსტონ ამ ანგარიშში ჩამოთვლილი დაუცველობები მათ სისტემებზე ხელმისაწვდომი პატჩების გამოყენებით და პატჩების მართვის ცენტრალიზებული სისტემის დანერგვით.”

ტოპ 30 საფრთხე მოიცავს პროგრამული უზრუნველყოფის ფართო სპექტრს, მათ შორის დისტანციურ მუშაობას და ვირტუალურ კერძო ქსელებს (VPN) და ღრუბელზე დაფუძნებულ ტექნოლოგიებს, რომლებიც მოიცავს Microsoft-ის, Vmware-ის, Pulse Secure-ის, Fortinet-ის, Accellion-ის, Citrix-ის, F5 Big IP-ის, Atlassian-ის და Drupal-ის პროდუქტების ფართო სპექტრს.
 

ყველაზე ხშირად ბოროტად გამოყენებული ხარვეზები არის შემდეგი:

• CVE-2019-19781 (CVSS ქულა: 9.8) - Citrix Application Delivery Controller (ADC) და Gateway დირექტორიის წაკითხვის დაუცველობა
• CVE-2019-11510 (CVSS ქულა: 10.0) - Pulse Connect Secure ფაილის თვითნებური კითხვის დაუცველობა
• CVE-2018-13379 (CVSS ქულა: 9.8) - Fortinet FortiOS ფაილამდე გზის წაკითხვის დაუცველობა, რასაც მივყავართ სისტემური ფაილების გაჟონვასთან
• CVE-2020-5902 (CVSS ქულა: 9.8) - F5 BIG-IP კოდის დისტანციურად გამოყენების დაუცველობა
• CVE-2020-15505 (CVSS ქულა: 9.8) - MobileIron Core & Connector კოდის დისტანციურად გამოყენების დაუცველობა
• CVE-2020-0688 (CVSS ქულა: 8.8) - Microsoft Exchange მეხსიერების დაზიანების დაუცველობა
• CVE-2019-3396 (CVSS ქულა: 9.8) - Atlassian Confluence Server კოდის დისტანციურად გამოყენების დაუცველობა
• CVE-2017-11882 (CVSS ქულა: 7.8) - Microsoft Office მეხსიერების დაზიანების დაუცველობა
• CVE-2019-11580 (CVSS ქულა: 9.8) - Atlassian Crowd და Crowd Data Center კოდის დისტანციურად გამოყენების დაუცველობა
• CVE-2018-7600 (CVSS ქულა: 9.8) - Drupal კოდის დისტანციურად გამოყენების დაუცველობა
• CVE-2019-18935 (CVSS ქულა: 9.8) - Telerik .NET დეზერიალიზაციის დაუცველობა, რომელსაც მივყავართ კოდის დისტანციურად გამოყენების დაუცველობასთან
• CVE-2019-0604 (CVSS ქულა: 9.8) - Microsoft SharePoint კოდის დისტანციურად გამოყენების დაუცველობა
• CVE-2020-0787 (CVSS ქულა: 7.8) - Windows Background Intelligent Transfer Service (BITS) უპირატესი დაუცველობის ზრდა
• CVE-2020-1472 (CVSS ქულა: 10.0) - Windows Netlogon უპირატესი დაუცველობის ზრდა  
• Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, და CVE-2021-27065 (ცნობილი, როგორც "ProxyLogon")
• Pulse Secure: CVE-2021-22893, CVE-2021-22894, CVE-2021-22899, და CVE-2021-22900
• Accellion: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, და CVE-2021-27104
• VMware: CVE-2021-21985
• Fortinet: CVE-2018-13379, CVE-2020-12812, და CVE-2019-5591

პენტაგონი პასუხისმგებლობას აკისრებს ყველა ქვეყანას და 1000-ზე მეტ ორგანიზაციას, დაარეგულიროს ყველაზე გავრცელებული საფრთხეები!

ნუ დარჩებით დროის შესაბამისი თეორიული და პრაქტიკული უნარების გარეშე

→ დარეგისტრირდი ახლავე!

ახალი თაობის არაფაილური ვირუსები და მათი მუშაობის პრინციპი

არაფაილური ვირუსები,ტრადიციული ვირუსებისგან განსხვავებული მუშაობის პრინციპის მქონე პროგრამებია, რომლებიც კომპიუტერის მყარ დისკზე არ წერენ ფაილებს. ამის მაგივრად, არაფაილური ვირუსი იყენებს ოპერაციულ სისტემაში ჩაშენებულ ხელსაწყოებს: ვირუსული პროგრამის მუშაობა პირდაპირ მეხსიერების ბარათზე (RAM) მიმდინარეობს.

მყარ დისკზე ფაილების არ ჩაწერა მთავარი მომენტია. სწორედ ამ მიზეზით არ არსებობს ე.წ. ვირუსის ხელმოწერა (signature), რომელსაც როგორც წესი, ანტივირუსები იყენებენ მავნე პროგრამების აღმოჩენისთვის. მართალია ახალი ანტივირუსული პროგრამების შემქმნელები ირწმუნებიან, რომ მათ პროდუქტს შეუძლია მავნე Powershell აქტივობის დადგენა და რეაგირების მოხდენა, თუმცა რეალობა ისაა, რომ არაფაილური ვირუსების აღმოჩენა ანტივირუსებისთვის ჯერ კიდევ სერიოზულ გამოწვევას წარმოადგენს.

როგორ მუშაობს არაფაილური ვირუსი?

არაფაილური ვირუსების მუშაობის პრინციპი დაფუძნებულია windows-ის სისტემაში ჩაშენებული ხელსაწყოების გამოყენებაზე. კონკრეტულად ასეთ ხელსაწყოებს წარმოადგენს PowerShell და Windows Management Instrumentation (WMI). ეს ხელსაწყოების windows-ის სისტემაში თავიდანვეა ჩაშენებული და სისტემური ბრძანებების შესასრულებლად გამოიყენება. ეს ხელსაწყოები არაერთი IT სპეციალისტის ყოველდღიური მუშაობის განუყოფელი ნაწილია. შესაბამისად, PowerShell-სა და WMI-ს აკრძალვა პრაქტიკულად შეუძლებელია.

ლეგიტიმური პროგრამების გამოყენება არაფაილურ ვირუსებს უპირატეს მდგომარეობაში აყენებს – მათზე შესრულებული ბრძანებები ხომ ავტომატურად აღიქმება სისტემისა და ანტივირუსების მიერ როგორც ლეგიტიმური ბრძანებები.

PowerShell და Windows Management Instrumentation (WMI)

• PowerShell სკრიპტინგის ენაა, რომელიც უპრეცედენტო დონის წვდომას იძლევა მოწყობილობის შიდა ფუნქციებზე, მათ შორის Windows API-ზე. ამასთან, PowerShell ვინდოუსის სისტემის განუყოფელი ნაწილია და ოპერაციული სისტემისგან სრული ნდობა აქვს გამოცხადებული.
• PowerShell-ის გამოყენება დაშორებული მანძილიდანაც შესაძლებელია WinRM-ის მეშვეობით. ამ თვისების გამო, შემტევს შესაძლებლობა აქვს გვერდი აუაროს Windows-ის ცეცხლოვან კედელს, გაუშვას ბრძანებები დაშორებული მანძილიდან ან ჩაჭრას და შეცვალოს სესიები.
• რა თქმა უნდა, შესაძლებელია WinRM-ს გამორთვა, მაგრამ მისი ჩართვა შემტევს დაშორებული მანძილიდან სულ ერთ ხაზიანი კოდის მეშვეობით შეუძლია WMI-ს გამოყენებით.
• WMI-ს გამოყენებით ადმინისტრატორებს შეუძლიათ სხვადასხვა მოქმედებების შესრულება. მაგალითად, მოიპოვონ ინფორმაცია სისტემის მუშაობის შესახებ, დააინსტალირონ პროგრამა ან დააყენონ განახლება. WMI-ს პრაქტიკულად, სისტემაში არსებულ ყველა რესურსზე მიუწვდება ხელი და ასევე უზრუნველყოფს პროგრამების შეუმჩნევლად გაშვებას სისტემის ჩართვის მომენტში, ან სპეციალურად არჩეულ დროს.
• WMI-ს ფუნქციონალი ადმინისტრატორებს საჭირო ბრძანებების სწრაფად შესრულებაში ეხმარება, მაგრამ იგივე მიზეზით შემტევის ხელში ის მძლავრ იარაღად იქცევა. ადმინისტრატორის მსგავსად, შემტევი იყენებს WMI-ს უპირატესობებს და საჭიროების შემთხვევაში მთელ ქსელში უშვებს ვირუსულ კოდს, რომლის აღმოჩენაც არამხოლოდ ანტივირუსულ პროგრამებს, არამედ უსაფრთხოების ანალიტიკოსებსაც კი უჭირთ.
• WMI-ს გათიშვის შემთხვევაში კი იზღუდება ადმინისტრატორის მოქმედების არეალი (მაგალითად, განახლებებს ვეღარ დააყენებს ქსელში) და იზრდება შესასრულებელი სამუშაოსთვის საჭირო დრო.

არაფაილური ვირუსის შეტევის მაგალითი

არაფაილური ვირუსების შეტევები მართალია ისე ფართოდ არ შუქდება, როგორც მაგალითად გამომძალველი ვირუსების (ransomware) შეტევები, თუმცა ეს მათგან მომდინარე საფრთხეებს ოდნავადაც არ ამცირებს.

არაფაილური ვირუსის შეტევის კარგი მაგალითია ოპერაცია Cobalt Kitty, რომელიც ერთ-ერთი მსხვილი აზიური კორპორაციის წინააღმდეგ მიმდინარეობდა. შემტევმა მხარემ შექმნა PowerShell-ის კარგად დამუშავებული ინფრასტრუქტურა და მსხვერპლის სისტემაში გაუშვა PowerShell payload (სპეციალურად მოდიფიცირებული კოდი), რომელიც თავის მხრივ შეიცავდა Cobalt Strike-ის payload-ს. Cobalt Strike – საფრთხეების ემულაციის პროგრამაა, რომელსაც სპეციალისტები და Pentester-ები იყენებენ სისტემის სისუსტეების შემოწმების დროს.

ამ ხერხით, შემტევმა მხარემ მოახერხა და 6 თვის განმავლობაში შეუმჩნეველი დარჩა. კომპანიის უსაფრთხოების სპეციალისტებს ეგონათ, რომ PowerShell-დან მომავალი ბრძანებები საეჭვო თუმცა ლეგიტიმური იყო, ამიტომ კონტრ-ღონისძიებები არ გაუტარებიათ.

ზემოთქმულიდან ნათელია, რომ უსაფრთხოების ტრადიციული მიდგომები არაფაილური ვირუსების წინააღმდეგ ვერ არის ეფექტური.

არაფაილური ვირუსებისგან დაცვა

PowerShell, როგორც პროგრამათა უმრავლესობა აგენერირებს log-ებს, სულ მინიმუმ როდის ჩაირთო და გამოირთო PowerShell. ლოგების ანალიზი დიდ დროს, ენერგიასა და ყურადღებას მოითხოვს. ამასთან, IT სპეციალისტებს როგორც წესი, ბევრი საქმე აქვთ და ამიტომ ვეღარ იცლიან ლოგების ანალიზისთვის. მაშ სად არის გამოსავალი?

არაფაილური ვირუსების ქცევის ანალიზი საუკეთესო მიდგომა ასეთი შეტევების დროულად დადგენისა და გაუვნებელყოფისთვის. სპეციალური მინიშნებებისთვის ყურადღების მიქცევა სწორედ ისაა, რაც კომპანიებს დაიცავს არაფაილური შეტევებისგან. ასეთი მინიშნებები შეიძლება იყოს, მაგალითად, PowerShell-ის სესია, რომელიც შესრულებულია კოდირებული (encoded) ბრძანებით, ეს ბრძანება კი გაშვებულია command line ხელსაწყოს გამოყენებით.

მსგავსი შემთხვევები კომპანიის უსაფრთხოების გუნდში უნდა იწვევდეს ბრძანების ლეგიტიმურობის შემოწმების გადაუდებელ აუცილებლობას. მხოლოდ ასეთ შემთხვევაში შეუძლია ორგანიზაციას შედარებით დაცულად იგრძნოს თავი არაფაილური შეტევებისგან.

დაეუფლე აქტუალურ პროფესიებს - მოგვიერთდით სტეპერების დიდ ოჯახში! 

IT Academy Step ლიდერი IT სფეროში , ახლა უკვე 100+ ფილიალით!

+995 577 538 549 ქ.თელავი, ნადიკვრის #23

+995 (32) 215-55-51 ქ.თბილისი, ა.ყაზბეგის 34/34 ბ

https://www.facebook.com/itstep.ge