كيفية تعامل فريق الدفاع مع هجمات الفدية
ما هو Ransomware؟
Ransomware هو نوع من البرمجيات الخبيثة التي تقوم بتشفير البيانات على النظام المستهدف، وتطالب بفدية لاستعادة الوصول إلى تلك البيانات. تعد هجمات Ransomware واحدة من أكثر التهديدات شيوعًا وخطورة في مجال الأمن السيبراني، حيث يمكن أن تؤدي إلى تعطيل العمليات التجارية، فقدان البيانات الحساسة، وتعريض الأفراد والمؤسسات لمخاطر مالية.
أنواع الـ Ransomware
Ransomware يأتي بعدة أنواع، ولكل نوع طريقته الخاصة. من بين الأنواع الأكثر شيوعًا:
- Crypto Ransomware: يقوم بتشفير الملفات والبيانات على النظام ويطلب فدية لفك التشفير. هذا النوع هو الأكثر شيوعًا، وغالبًا ما يستخدم خوارزميات تشفير قوية.
- Locker Ransomware: يقوم بقفل النظام بالكامل ويمنع الوصول إليه، مما يجبر الضحية على دفع الفدية لاستعادة الوصول.
- Doxware or Leakware: يهدد بنشر بيانات حساسة أو محرجة إذا لم يتم دفع الفدية. هذا النوع يستخدم الضغط النفسي على الضحية.
كيف يصل الـ Ransomware إلى الضحية
يمكن Ransomware أن يصل إلى النظام عبر عدة طرق مختلفة، منها:
- Phishing Emails: رسائل بريد إلكتروني تحتوي على مرفقات ضارة أو روابط تنقل الضحية إلى مواقع مزيفة تقوم بتحميل الـ Ransomware
- Malvertising: إعلانات ضارة يتم نشرها على مواقع ويب مشروعة. عند النقر عليها، يتم تنزيل الـ Ransomware إلى الجهاز دون علم المستخدم.
- الأجهزة المتنقلة وUSB (Removable Media): توصيل جهاز USB أو محرك أقراص خارجي مصاب بجهاز الكمبيوتر يمكن أن ينقل الـ Ransomware إلى النظام.
- البرامج المقرصنة أو غير المحدثة :(Pirated Software/Unpatched Systems) يمكن أن يصل Ransomware من خلال تحميل برامج مقرصنة أو استخدام أنظمة تشغيل أو تطبيقات غير محدثة تحتوي على ثغرات أمنية. يستغل المهاجمون هذه الثغرات لاختراق النظام وتثبيت البرمجية الخبيثة.
- Remote Desktop Protocol (RDP): يتمكن المهاجمون من الوصول إلى النظام عن بُعد باستخدام RDP إذا كانت بيانات الدخول ضعيفة أو تم تسريبها.
أثناء العمل في مركز عمليات الأمن (SOC) ، قد تواجه هجومًا ببرنامج الفدية (Ransomware) سنستعرض الخطوات التي يمكن اتخاذها للتحقيق في هجوم Ransomware
في هذه الصورة، تجد خطوات يمكنك اتباعها أثناء التحقيق في هجمات Ransomware.
عند التعامل مع هجوم Ransomware في مركز عمليات الأمن (SOC)، يجب اتباع الخطوات التالية للتحقيق والسيطرة على الهجوم:
- التعرف على الهجوم وتأكيده (Identification and Verification)
- أول خطوة هي التحقق من البلاغات الواردة وتحديد ما إذا كان النظام قد تعرض بالفعل لهجوم Ransomware. يتم ذلك من خلال تحليل مؤشرات الاختراق IOCs مثل ظهور نشاط غير معتاد في الشبكة.
- عزل الأنظمة المصابة (Isolation of Infected Systems)
- بمجرد تأكيد الهجوم، يجب عزل الأنظمة المصابة فورًا لمنع انتشار Ransomware إلى باقي الشبكة. يمكن تنفيذ ذلك عبر فصل الجهاز عن الشبكة أو تعطيل اتصالات الشبكة بشكل مؤقت.
- جمع الأدلة (Evidence Collection)
- جمع كافة الأدلة الممكنة مثل سجلات (logs) وتحليل الملفات المشبوهة. هذه الأدلة ستكون مهمة لفهم كيفية دخول Ransomware إلى النظام ولإجراء التحقيقات اللاحقة.
- تحديد نقطة الدخول (Determining the Point of Entry)
- محاولة تحديد كيفية دخول Ransomware إلى النظام. قد يكون ذلك عبر بريد إلكتروني خبيث، استغلال ثغرة في النظام، أو تحميل برنامج غير مشروع. يتم ذلك من خلال مراجعة سجلات النظام والشبكة.
- احتواء واسترداد البيانات (Containment and Data Recovery)
- العمل على احتواء الهجوم ومنع المزيد من الضرر. إذا كانت هناك نسخ احتياطية سليمة، يمكن استعادة البيانات المشفرة منها. في حال عدم وجود نسخ احتياطية، قد يتم النظر في خيارات أخرى لاسترداد البيانات.
- التخلص من البرمجيات الخبيثة (Eradication of the Malware)
- بعد احتواء الهجوم، يتم التأكد من إزالة Ransomware بالكامل من جميع الأنظمة المصابة. يتم ذلك من خلال استخدام أدوات مكافحة الفيروسات وإعادة بناء الأنظمة إذا لزم الأمر.
اتباع هذه الخطوات يساعد في السيطرة على هجوم Ransomware وتقليل الضرر الناتج عنه.
سنقوم بتطبيق الشرح النظري في عملية فعلية الآن. دعونا نبدأ بالتحقيق في إنذار SOC178 - WannaCry Ransomware Detected الذي تم تلقيه من منصة LetsDefend
في هذا الحدث الأمني، تم الكشف عن نشاط لفيروس الفدية WannaCry بناءً على مؤشرات اختراق (IOC) على جهاز معين. تفاصيل الحدث كما يلي:
- Critical الحدث مصنف كحادث أمني حرج.
- اسم المضيف Gerrard
- عنوان 172.16.17.64
- إجراء EDR: تم السماح.
- مسار الملف \Device\HarddiskVolume1\PYTHON39\tcl@[email protected]
أولاً، سنقوم بمراجعة سجلات الـ Logs الخاصة بالعنوان 172.16.17.64 في كل من الـProxy والـFirewall
تحليل مختصر:
تظهر السجلات عدة اتصالات صادرة من عنوان 172.16.17.64 إلى وجهات مختلفة، معظمها عبر بروتوكول HTTPS (المنفذ 443). من بين هذه الاتصالات، يظهر اتصال واحد يحتمل أن يكون ضارًا:
- عنوان الوجهة 3.5.129.114
- رابط الطلب Request+for+Quotation+(RFQ_196).zip طلب تنزيل ملف يمكن أن يشير إلى هجوم تصيد احتيالي أو تحميل برمجية خبيثة.
- checkappexec.microsoft.com/windows/shell/action هذا الرابط يشير إلى خدمة تحقق من التطبيقات أو تنفيذ أوامر عبر نظام التشغيل. إذا لم يكن هذا الاتصال جزءًا من نشاط شرعي، فقد يكون جزءًا من محاولات تعديل النظام أو تشغيل برامج ضارة بشكل غير مرئي
- الاتصالات الأخرى إلى مواقع معروفة مثل BBC و Premier League وموقع ليفربول تبدو طبيعية وغير ضارة.
من :EDR
سجل Processes تشير إلى تنفيذ مجموعة من العمليات على الجهاز، بعضها قد يكون ضارًا للغاية. هنا ملخص سريع للتحليل:
- AcroRd32.exe و ccsvchst.exe و Chrome.exe و notepad.exe: هذه العمليات تبدو طبيعية
- explorer.exe:
- هذا المسار يشير إلى تشغيل ملف تنفيذي ضار تم استخراجه من ملف ZIP: Proforma Invoice and Bank swift-REG.PI-0086547654.exe هذا التنفيذ يشير إلى أن الجهاز قد تم إصابته ببرمجية خبيثة.
- Proforma Invoice and Bank swift-REG.PI-0086547654.exe:
- هذا الملف يشير إلى تنفيذ الأمر cmd.exe /c start /b @[email protected] vs، مما يدل على تشغيل برمجية الفدية الشهيرة "WannaCry" على الجهاز. عند استخدام VirusTotal للتحقق من سلامة الملف باستخدام الـHash، نجد أنه مصنف كـ WannaCry Ransomware
- @[email protected]:
- هذه العملية تعتبر ضارة للغاية، حيث تقوم بحذف نسخ الظل (Shadow Copies) للنظام، مما يجعل استعادة الملفات المشفرة أكثر صعوبة. يتم تنفيذ أوامر مثل vssadmin delete shadows وwmic shadowcopy delete وغيرها لتعطيل ميزات الاستعادة، مما يشير بوضوح إلى هجوم فدية.
- cmd.exe:
- يتم تنفيذ أوامر إضافية عبرcmd.exe لحذف نسخ الظل، مما يؤكد أن الهدف هو منع المستخدم من استعادة الملفات بعد تشفيرها.
السبب وراء حدوث ذلك ومصدر الـRansomware
عند البحث في رسائل البريد الإلكتروني الخاصة بـ Gerrard، وجدنا رسالة من المرسل [email protected] تطلب منه تنزيل ملف من رابط مشبوه. الرسالة تشير إلى أن كلمة المرور ستُرسل عبر قناة أخرى، وقد أرسلوا له كلمة المرور عبر الرسائل القصيرة (SMS)، وعلمنا بذلك من بريد إلكتروني آخر أرسله Gerrard يستفسر فيه عن محتوى الملف.
الرابط المختصر الذي تم تقديمه هو "shorturl.at/ayFJP"، ويؤدي في الأصل إلى الرابط التالي Request+for+Quotation+(RFQ_196).zip، كما يظهر في سجلات الـ logs وتاريخ المتصفح (browser history) وقد قام Gerrard بتحميل الملف، الذي كان يحتوي على Ransomware
سنقوم بتحميل الملف الضار وتشغيله على Sandbox مثل AnyRun لتتبع سلوكه واستخراج مؤشرات الاختراق (IOCs).
ملخص تحليل الملف علي Anyrun:
تشغيل برامج تنفيذية مشبوهة مثل "Proforma Invoice and Bank swift-REG.PI-0086547654.exe" و"@[email protected]" كما شملت الأوامر تعديل خصائص الملفات ومنح الوصول الكامل للجميع وحذف النسخ الاحتياطية. تم أيضًا إجراء تغييرات في السجل لإنشاء نقطة استمرارية بإضافة مدخل جديد تحت "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
من أبرز الأحداث وجود "@[email protected]"، الذي يقوم بتشفير الملفات و حذف النسخ الاحتياطية لمنع استعادة الملفات المشفرة. علاوة على ذلك، تسعى المهمة إلى إنشاء نقطة استمرارية من خلال إضافة مفتاح سجل لتشغيل ملف خبيث عند بدء تشغيل النظام وهذا يتطابق مع ما حدث على جهاز Gerrard.
مؤشرات الاختراق (IOCs) مثل هاش الملفات، طلبات HTTP، وعناوين IP التي تم الاتصال بها، بالإضافة إلى النطاقات (domains) التي تم استخراجها.
على فريق SOC اتخاذ الإجراءات التالية:
- عزل الجهاز المصاب.
- مسح البريد الضار بالإضافة إلى حظر النطاقات وعناوين IP الخاصة بالمرسل .
- البحث في السجلات عن مؤشرات الاختراق (IOCs) للتأكد من عدم وجود أجهزة أخرى مصابة.
- حظر جميع مؤشرات الاختراق (IOCs)
- إذا كانت هناك نسخ احتياطية سليمة، يمكن استعادة البيانات المشفرة منها.
اللهم انصر إخواننا في فلسطين،وارفع عنهم الظلم، وأمنحهم القوة والصبر، واجعل النصر قريبًا له
مصادر: