مركزالأمن الإلكتروني يرصد هجوم الكتروني متقدم يستهدف السعودية 2017
كشف مركز الأمن الإلكتروني عن تهديد إلكتروني متقدم (APT) يستهدف المملكة العربية السعودية. حيث لوحظ أن الأنشطة الضارة تستخدم برنامج تحكم “PowerShell” من خلال برتوكول (HTTP) للتواصل مع خادم التحكم و السيطرة (C2)، حيث يقوم المهاجمين بسرقة البيانات بتلك الطريقة او ارسال أوامر لجهاز الضحية.
وقد لوحظت الطرق التالية في مرحلة الارسال والثبيت:
• حقن مستندات Microsoft Office
كانت معظم العينات التي تمت ملاحظتها ملفات Microsoft Office و التي تحتوي على ماكرو أو رابط تم إرساله من خلال الرسائل التصيدية. بالإضافة إلى ذلك، يتم ضغط المستندات الخبيثة في بعض الأحيان في ملف RAR المحمي بكلمة مرور لتجنب آليات حماية البريد. يتم تضمين كلمة المرور عادة في البريد الإلكتروني.
• الوصول إلى المواقع خبيثة
تم زرع بعض البرامج الخبيثة باستخدام تقنية (watering-hole) أو تقنيات مماثلة مثل cross-site) (scripting. وقد لوحظ الإختراق من خلال موقع ضار على شبكة الانترنت حيث يتم إعادة توجيه المستخدم إلى موقع ويب اخر ويطلب تحميل الملف الخبيث. حيث ان هذا الملف يصيب الجهاز عن طريق البرامج VBS and PowerShell scripts.
طرق الإكتشاف
يوصي مركز الأمن الإلكتروني بإتباع الطرق التالية للكشف عن التحركات المشبوهة داخل الشبكة والتي قد يكون لها صلة بالهجوم
1. مراجعه السجلات للبرامج التالية Proxy, SIEM and Firewall والبحث عن أي اتصال بمعرفات تنتهي ب
*.php?c=(Base64 data)
*.aspx?c=(Base64 data)
2. إتصال عبر بروتوكول الـ HTTP إلى عناوين معرفات صحيحة تكون بدون أسماء نطاقات
3. عدد كبير من الاتصال عبر تروتوكول HTTP إلى معرف أو إسم نطاق وحيد.
4. أي إتصال عبر بروتوكول HTTP إلى المعرفات التالية 148.251.204.131 & 144.76.109.88
5. البحث في بوابة البريد الإلكتروني لرسائل إلكترونية مرفق بها ملف محمي بكلمة مرور أو مرفق Office بداخله وحدات الماكرو التي تم حظرها أو تنبيهها.
6. زيادة استخدام “PowerShell” على نقاط الأجهزه والخوادم
توصيات
• تحديث PowerShell للنسخة الخامسة وحذف النسخة القدية
• تمكين تسجيل الوحدة النمطية، تسجيل البرنامج النصي وكتاب تسجيل الدخول في PowerShell الإصدار 5
• التأكد من تطبيق القائمة البيضاء في الجهة، وهذا أيضاً يحتاج إلى تنفيذها على PowerShell. والتاكد من السماح فقط للبرامج التي تحتاج لها الجهة.
• منع تشغيل الملفات القابلة للتنفيذ والنصوص البرمجية من المجلدات التي يتم التحكم فيها بواسطة المستخدم، مثل C:\Users\<Username والمجلدات المؤقتة، مثل C:Windows\Temp
• استخدام (Email Filtering) لمسح ومنع أي بريد إلكتروني بداخله مستند ماكرو وغيرها من الملفات الخبيثة مثل Windows Host Scripting and HTA files
• تنفيذ حل مراقبة سلامة الملفات (FIM) على www root في جميع تطبيقات الإنترنت، مثل تطبيقات الويب والبريد الإلكتروني و VPN portals. ومن المهم التنبيه عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم.
The electronic security center revealed an advanced electronic threat (APT) targeting Saudi Arabia. It was noted that malicious activities use the PowerShell program through the HTTP protocol to communicate with the control and control server (C2), where attackers steal data in that way or send commands to the victim's device.
The following methods were observed in the transmission and installation phase:
• Injection of Microsoft Office documents
Most of the samples that were observed were Microsoft Office files and that contained a macro or a link that was sent through the messages. In addition, malicious documents are sometimes compressed in a password-protected RAR file to avoid mail protection mechanisms. The password is usually included in e-mail.
• Malicious sites access
Some malicious programs have been planted using watering-hole technology or similar techniques such as cross-site scripting, and hacking has been observed through a malicious Web site where the user is redirected to another Web site and the malicious file is downloaded. The file infects the device by means of VBS and PowerShell scripts.
Methods of discovery
The E-Security Center recommends that the following methods be used to detect suspicious movements within the network that may be related to the attack
1. Audit logs for the following programs: Proxy, SIEM and Firewall and search for any connection with IDs ending with
* .php? c = (Base64 data)
* .aspx? c = (Base64 data)
2. Connection over the HTTP protocol to valid ID addresses without domain names
3. A large number of connection over an HTTP protocol to an ID or a single domain name.
4. Any HTTP connection to the following IDs 148.251.204.131 & 144.76.109.88
5. Search the e-mail gateway for e-mail that has a password-protected file or an Office attachment that contains macros that are blocked or alerted.
6. Increase the use of "PowerShell" on hardware and server points
Recommendations
• Update PowerShell for the fifth version and delete the old version
• Enable module logging, script logging, and log-on in PowerShell version 5
• Ensure that the whitelist is implemented on the side, and this also needs to be implemented on PowerShell. And make sure that only the programs that the organization needs are allowed.
• Prevent running executable files and scripts from user-controlled folders, such as C: \ Users \ <Username and temporary folders, such as C: Windows \ Temp
• Use (Email Filtering) to scan and block any email containing a macro document and other malicious files such as Windows Host Scripting and HTA files
• Implementation of the FIM solution on www root in all Internet applications, such as web applications, e-mail and VPN portals. It is important to note any unauthorized modification within these servers, as this may indicate the success of the attack.