كيفية تعامل فريق الدفاع مع هجمات الفدية

Cyber Attacks
سوف نتعرف على ما هو الـ Ransomware وأنواعه وكيفية وصوله إلى الضحية، بالإضافة إلى طريقة التحقق منه من خلال تطبيق عملي على سيناريو الفدية (Ransomware) لفريق الدفاع (Blue Team) على منصة Letsdefend.
Taha Rabie
Aug. 28, 2024, 1:27 p.m.
taha_rabie
كيفية تعامل فريق الدفاع مع هجمات الفدية

ما هو Ransomware؟

Ransomware هو نوع من البرمجيات الخبيثة التي تقوم بتشفير البيانات على النظام المستهدف، وتطالب بفدية لاستعادة الوصول إلى تلك البيانات. تعد هجمات Ransomware واحدة من أكثر التهديدات شيوعًا وخطورة في مجال الأمن السيبراني، حيث يمكن أن تؤدي إلى تعطيل العمليات التجارية، فقدان البيانات الحساسة، وتعريض الأفراد والمؤسسات لمخاطر مالية.

أنواع الـ Ransomware

Ransomware يأتي بعدة أنواع، ولكل نوع طريقته الخاصة. من بين الأنواع الأكثر شيوعًا:

  •  Crypto Ransomware: يقوم بتشفير الملفات والبيانات على النظام ويطلب فدية لفك التشفير. هذا النوع هو الأكثر شيوعًا، وغالبًا ما يستخدم خوارزميات تشفير قوية.
  •  Locker Ransomwareيقوم بقفل النظام بالكامل ويمنع الوصول إليه، مما يجبر الضحية على دفع الفدية لاستعادة الوصول.
  •  Doxware or Leakwareيهدد بنشر بيانات حساسة أو محرجة إذا لم يتم دفع الفدية. هذا النوع يستخدم الضغط النفسي على الضحية.

كيف يصل الـ Ransomware إلى الضحية

يمكن Ransomware  أن يصل إلى النظام عبر عدة طرق مختلفة، منها:

  • Phishing Emailsرسائل بريد إلكتروني تحتوي على مرفقات ضارة أو روابط تنقل الضحية إلى مواقع مزيفة تقوم بتحميل الـ Ransomware
  • Malvertisingإعلانات ضارة يتم نشرها على مواقع ويب مشروعة. عند النقر عليها، يتم تنزيل الـ Ransomware إلى الجهاز دون علم المستخدم.
  • الأجهزة المتنقلة وUSB (Removable Media)توصيل جهاز USB أو محرك أقراص خارجي مصاب بجهاز الكمبيوتر يمكن أن ينقل الـ Ransomware إلى النظام.
  • البرامج المقرصنة أو غير المحدثة :(Pirated Software/Unpatched Systems) يمكن أن يصل Ransomware من خلال تحميل برامج مقرصنة أو استخدام أنظمة تشغيل أو تطبيقات غير محدثة تحتوي على ثغرات أمنية. يستغل المهاجمون هذه الثغرات لاختراق النظام وتثبيت البرمجية الخبيثة.
  • Remote Desktop Protocol (RDP): يتمكن المهاجمون من الوصول إلى النظام عن بُعد باستخدام RDP إذا كانت بيانات الدخول ضعيفة أو تم تسريبها.


أثناء العمل في مركز عمليات الأمن (SOC) ، قد تواجه هجومًا ببرنامج الفدية (Ransomware) سنستعرض الخطوات التي يمكن اتخاذها للتحقيق في هجوم Ransomware

في هذه الصورة، تجد خطوات يمكنك اتباعها أثناء التحقيق في هجمات Ransomware.

عند التعامل مع هجوم Ransomware في مركز عمليات الأمن (SOC)، يجب اتباع الخطوات التالية للتحقيق والسيطرة على الهجوم:

  1. التعرف على الهجوم وتأكيده    (Identification and Verification)
    • أول خطوة هي التحقق من البلاغات الواردة وتحديد ما إذا كان النظام قد تعرض بالفعل لهجوم Ransomware. يتم ذلك من خلال تحليل مؤشرات الاختراق IOCs  مثل ظهور نشاط غير معتاد في الشبكة.
  2. عزل الأنظمة المصابة (Isolation of Infected Systems) 
    • بمجرد تأكيد الهجوم، يجب عزل الأنظمة المصابة فورًا لمنع انتشار Ransomware إلى باقي الشبكة. يمكن تنفيذ ذلك عبر فصل الجهاز عن الشبكة أو تعطيل اتصالات الشبكة بشكل مؤقت.
  3. جمع الأدلة  (Evidence Collection)    
    • جمع كافة الأدلة الممكنة مثل سجلات (logs) وتحليل الملفات المشبوهة. هذه الأدلة ستكون مهمة لفهم كيفية دخول Ransomware إلى النظام ولإجراء التحقيقات اللاحقة.
  4. تحديد نقطة الدخول  (Determining the Point of Entry)
    • محاولة تحديد كيفية دخول Ransomware إلى النظام. قد يكون ذلك عبر بريد إلكتروني خبيث، استغلال ثغرة في النظام، أو تحميل برنامج غير مشروع. يتم ذلك من خلال مراجعة سجلات النظام والشبكة.
  5. احتواء واسترداد البيانات  (Containment and Data Recovery)
    • العمل على احتواء الهجوم ومنع المزيد من الضرر. إذا كانت هناك نسخ احتياطية سليمة، يمكن استعادة البيانات المشفرة منها. في حال عدم وجود نسخ احتياطية، قد يتم النظر في خيارات أخرى لاسترداد البيانات.
  6. التخلص من البرمجيات الخبيثة  (Eradication of the Malware)
    • بعد احتواء الهجوم، يتم التأكد من إزالة Ransomware بالكامل من جميع الأنظمة المصابة. يتم ذلك من خلال استخدام أدوات مكافحة الفيروسات وإعادة بناء الأنظمة إذا لزم الأمر.

اتباع هذه الخطوات يساعد في السيطرة على هجوم Ransomware وتقليل الضرر الناتج عنه.


سنقوم بتطبيق الشرح النظري في عملية فعلية الآن. دعونا نبدأ بالتحقيق في إنذار  SOC178 - WannaCry Ransomware Detected الذي تم تلقيه من منصة LetsDefend

في هذا الحدث الأمني، تم الكشف عن نشاط لفيروس الفدية WannaCry بناءً على مؤشرات اختراق (IOC) على جهاز معين. تفاصيل الحدث كما يلي:

  • Critical الحدث مصنف كحادث أمني حرج.
  • اسم المضيف Gerrard  
  • عنوان 172.16.17.64
  • إجراء EDR:  تم السماح.
  • مسار الملف  \Device\HarddiskVolume1\PYTHON39\tcl@[email protected]

أولاً، سنقوم بمراجعة سجلات الـ Logs الخاصة بالعنوان 172.16.17.64 في كل من الـProxy والـFirewall

تحليل مختصر:

تظهر السجلات عدة اتصالات صادرة من عنوان 172.16.17.64 إلى وجهات مختلفة، معظمها عبر بروتوكول HTTPS (المنفذ 443). من بين هذه الاتصالات، يظهر اتصال واحد يحتمل أن يكون ضارًا:

  • عنوان الوجهة 3.5.129.114
  • رابط الطلب Request+for+Quotation+(RFQ_196).zip طلب تنزيل ملف يمكن أن يشير إلى هجوم تصيد احتيالي أو تحميل برمجية خبيثة.
  • checkappexec.microsoft.com/windows/shell/action هذا الرابط يشير إلى خدمة تحقق من التطبيقات أو تنفيذ أوامر عبر نظام التشغيل. إذا لم يكن هذا الاتصال جزءًا من نشاط شرعي، فقد يكون جزءًا من محاولات تعديل النظام أو تشغيل برامج ضارة بشكل غير مرئي
  • الاتصالات الأخرى إلى مواقع معروفة مثل BBC و Premier League وموقع ليفربول تبدو طبيعية وغير ضارة.

 

من :EDR

 سجل Processes تشير إلى تنفيذ مجموعة من العمليات على الجهاز، بعضها قد يكون ضارًا للغاية. هنا ملخص سريع للتحليل:

  • AcroRd32.exe و ccsvchst.exe و Chrome.exe و notepad.exe: هذه العمليات تبدو طبيعية
  • explorer.exe:
    • هذا المسار يشير إلى تشغيل ملف تنفيذي ضار تم استخراجه من ملف ZIP: Proforma Invoice and Bank swift-REG.PI-0086547654.exe هذا التنفيذ يشير إلى أن الجهاز قد تم إصابته ببرمجية خبيثة.
  • Proforma Invoice and Bank swift-REG.PI-0086547654.exe:
    • هذا الملف يشير إلى تنفيذ الأمر cmd.exe /c start /b @[email protected] vs، مما يدل على تشغيل برمجية الفدية الشهيرة "WannaCry" على الجهاز. عند استخدام VirusTotal للتحقق من سلامة الملف باستخدام الـHash، نجد أنه مصنف كـ WannaCry Ransomware

  • @[email protected]:
    • هذه العملية تعتبر ضارة للغاية، حيث تقوم بحذف نسخ الظل (Shadow Copies) للنظام، مما يجعل استعادة الملفات المشفرة أكثر صعوبة. يتم تنفيذ أوامر مثل vssadmin delete shadows  وwmic shadowcopy delete  وغيرها لتعطيل ميزات الاستعادة، مما يشير بوضوح إلى هجوم فدية.
  • cmd.exe:
    • يتم تنفيذ أوامر إضافية عبرcmd.exe  لحذف نسخ الظل، مما يؤكد أن الهدف هو منع المستخدم من استعادة الملفات بعد تشفيرها.

 


السبب وراء حدوث ذلك ومصدر الـRansomware

عند البحث في رسائل البريد الإلكتروني الخاصة بـ Gerrard، وجدنا رسالة من المرسل  [email protected] تطلب منه تنزيل ملف من رابط مشبوه. الرسالة تشير إلى أن كلمة المرور ستُرسل عبر قناة أخرى، وقد أرسلوا له كلمة المرور عبر الرسائل القصيرة (SMS)، وعلمنا بذلك من بريد إلكتروني آخر أرسله Gerrard يستفسر فيه عن محتوى الملف.

الرابط المختصر الذي تم تقديمه هو "shorturl.at/ayFJP"، ويؤدي في الأصل إلى الرابط التالي Request+for+Quotation+(RFQ_196).zip، كما يظهر في سجلات الـ logs وتاريخ المتصفح (browser history)  وقد قام Gerrard بتحميل الملف، الذي كان يحتوي على Ransomware

سنقوم بتحميل الملف الضار وتشغيله على Sandbox مثل AnyRun لتتبع سلوكه واستخراج مؤشرات الاختراق (IOCs).

ملخص تحليل الملف علي Anyrun:

تشغيل برامج تنفيذية مشبوهة مثل "Proforma Invoice and Bank swift-REG.PI-0086547654.exe" و"@[email protected]" كما شملت الأوامر تعديل خصائص الملفات ومنح الوصول الكامل للجميع وحذف النسخ الاحتياطية. تم أيضًا إجراء تغييرات في السجل لإنشاء نقطة استمرارية بإضافة مدخل جديد تحت "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"

من أبرز الأحداث وجود "@[email protected]"، الذي يقوم بتشفير الملفات و حذف النسخ الاحتياطية لمنع استعادة الملفات المشفرة. علاوة على ذلك، تسعى المهمة إلى إنشاء نقطة استمرارية من خلال إضافة مفتاح سجل لتشغيل ملف خبيث عند بدء تشغيل النظام وهذا يتطابق مع ما حدث على جهاز Gerrard.   

مؤشرات الاختراق (IOCs) مثل هاش الملفات، طلبات HTTP، وعناوين IP التي تم الاتصال بها، بالإضافة إلى النطاقات (domains) التي تم استخراجها.

على فريق SOC اتخاذ الإجراءات التالية:

  • عزل الجهاز المصاب.
  • مسح البريد الضار بالإضافة إلى حظر النطاقات وعناوين IP الخاصة بالمرسل .
  • البحث في السجلات عن مؤشرات الاختراق (IOCs) للتأكد من عدم وجود أجهزة أخرى مصابة.
  • حظر جميع مؤشرات الاختراق (IOCs)
  • إذا كانت هناك نسخ احتياطية سليمة، يمكن استعادة البيانات المشفرة منها.

اللهم انصر إخواننا في فلسطين،وارفع عنهم الظلم، وأمنحهم القوة والصبر، واجعل النصر قريبًا له

 مصادر:

  1. https://app.letsdefend.io
  2. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

BlueTeam DFIR soc CyberSecurity ThreatHunting Ransomware