מדוע מעקב אחר נוזקות בוטנט הוא כל כך אפקטיבי?

במקרים בהם ספקי אבטחת סייבר משקיעים משאבים רבים במנגנונים מתוחכמים להעתקת אופן הפעולה של נוזקות, שלומדים את התנהגותן של הנוזקות האמיתיות בסביבות מבודדות, אנשים עשויים לשאול את עצמם מה המטרה של מעקב אחר נוזקות. מה אנחנו לומדים כתוצאה מחילוץ הנתונים מהקוד הזדוני, אם הוא לא פועל או מתקשר עם שרת השליטה והבקרה שלו?

מערכות המעקב של ESET

כחלק ממעקב אחר נוזקות, חוקרים נדרשים להטמיע תוכנת פענוח ייעודית (Parser) עבור משפחת הנוזקות שבה הודבק מחשב היעד.

באמצעות הכלי הזה, הנוזקות הן למעשה אך ורק אמצעי קלט לתוכנה כזאת. באמצעות גישה היוריסטית, תבניות קוד ופלט אנליטי, תוכנת הפענוח מחלצת את כל המידע המעניין מדגימת הנוזקה מבלי להריץ אותה, ומבלי שהיא תיצור קשר עם גורם חיצוני. התוכנה יכולה לדמות את פרוטוקול השליטה והבקרה, ואף לנסות ולחלץ מידע נוסף משרת השליטה והבקרה (השרת הזדוני).

״ב-ESET, מעקב אחרי נוזקות בוטנט הוכח כמשאב יקר ערך כבר מספר פעמים בשנים האחרונות״, מציינים ב-ESET.

חוקרי ESET השתמשו במעקב כזה במקרים כמו השבתת Trickbot, שפגעה ביותר ממיליון התקנים חישוביים בין 2016 ובין 2020, משפחת הנוזקות הפולשנית Emotet, ומגוון רחב של נוזקות לגניבת ומידע וסוסים טרויאנים לגישה מרחוק.

מערכת המעקב של ESET מתוכננת כך שתמלא את המשימות הבאות:

• חילוץ כתובות הדומיין וכתובות ה-IP של שרת השליטה והבקרה. אלו מועברים באופן אוטומטי לחסימה. במקרים מסוימים, ESET
  תבצע הדמיה של תעבורת הרשת כדי להשיג נתונים נוספים.
• חילוץ נוזקות מקושרות, בין אם הן מוטמעות בקובץ הנבדק ובין אם הקובץ מוריד אותן בנפרד. גם הקבצים האלה הם מועמדים
  מצוינים לזיהוי אוטומטי.
• היתרון המשמעותי ביותר הוא היכולת לחלץ כל מידע מותאם אישית שהחוקרים מעוניינים בו, כמו הגדרות DGA (אלגוריתם
  ליצירת כתובות זדוניות), שרתי שליטה ובקרה שמשמשים כגיבוי בלבד, שמות mutex ומספרים מזהים של רישיונות.
• במקרה של סוסים טרויאנים בנקאיים, המנועים של ESET מחלצים גם רשימה של הבנקים שהותקפו.

יתרונות וחסרונות של מעקב אחר נוזקות בוטנט

למעקב אחר נוזקות יש יתרונות רבים – שליטה מלאה בדגימת הנוזקה, הימנעות מלאה מהדבקה של מחשב, מעקף טכניקות למניעת אמולציה (טכניקה מתוחכמת של הנוזקה לזהות הרצה בסביבת Sandbox ובמקרה כזה לא להפעיל את הנוזקה), ומהירות עיבוד שתלויה אך ורק במורכבותה של תוכנת הפענוח.

עם זאת, מעקב לא מתאים לכל נוזקה ונוזקה. הגנות חזקות על הקוד פוגעות בתבניות בינאריות, שינויים תכופים בקוד מגדילים את דרישות האחזקה, והגדרה של מעקב כזה עשויה לקחת זמן רב.

מעקב היא אפשרות מצוינת לניתוח נוזקות בוטנט גדולות ויציבות, כאשר יש צורך בנתונים ארוכי-טווח והדגימות כוללות מידע שלא יהיה נגישה לחוקרים באף דרך אחרת.

מה בנוגע לשכפול נוזקות?

שכפול נוזקות דורש הגדרה של מחשב ייעודי שמודבק בכוונה תחילה כדי לצפות בהתנהגות הנוזקה, בתקווה שזו תיצור קשר עם שרת השליטה והבקרה כך שיהיה ניתן לנתח את התקשורת ביניהם. אם התמזל מזלנו, שרת השליטה והבקרה יגיב בשליחת קבצי נוזקה או תוספים נוספים יחד עם רשימה של מטרות (במקרה של סוסים טרויאנים בנקאיים, למשל).

הגדרת סביבה כזאת היא די מהירה וקלה, התהליך עצמו לא דורש תחזוקה גבוהה, והיתרון המשמעותי הוא האפשרות להימנע מהגנות מפני קוד זדוני (כמו וירטואליזציה או הסוואה גבוהה).

מהצד השני, הנוזקה עשויה לחכות זמן רב למדי לפני שתיצור קשר עם שרת השליטה והבקרה, ובזמן ההמתנה מתבזבזים זמן ומשאבי עיבוד. במקרים מסוימים, יהיה די קשה לראות מה מתרחש מתחת לשכבות ההצפנה הייעודיות של תקשורת הרשת.

בזמן ניתוח של נוזקה שהותקנה, הימנעות מכל המנגנונים לזיהוי ארגזי חול עשויה להיות די מאתגרת. בנוסף לכך, קיימת סכנה של מהלכי שליטה לא צפויים, כמו הפעלה מחדש של המחשב, מה שהופך את השכפול האוטומטי למורכב עוד יותר.

שכפול הוא כלי נהדר לחקירת נוזקות לא-מוכרות במקרים בהם לא אכפת לנו מהנתונים ארוכי הטווח. הטכניקה גם עשויה לסייע רבות בהתגברות על טכניקות להגנה על קוד.

מעקב מול שכפול: איזו טכניקה היא הטובה ביותר? 

בכל הקשור לרשתות בוטנט, המקרה של Grandoreiro מדגים בצורה נפלאה את היתרונות של מעקב אחר נוזקות מול שכפול נוזקות.

כמובן, פתרון אבטחת סייבר אמין צריך להשתמש בשתי הטכניקות כדי להתמודד עם מרחב איומים מורכב.

אסטרטגיית אבטחת סייבר היוריסטית ורב-שכבתית היא חלק מגישת ההתמקדות במניעה תחילה של ESET, ומבוססת על עיקרון עצירת הנוזקות עוד לפני שהן גורמות לנזק כלשהו. כדי להגיע למטרה הזאת, ESET פיתחה פתרונות מתוחכמים שנועדו לצמצם את משטח ההתקפה (כלומר, כל נקודות החיבור או וקטורי ההתקפה אותם תוקפים יכולים לנצל כדי להיכנס למערכות הקורבן). 

בואו וניקח את נוזקות הבוטנט באופן כללי כדוגמה.

לטכנולוגיה של ESET יש מספר כלים שעומדים לרשותה ויכולים לעצור אותן בשלבים שונים, כמו:

• מנגנון נגד פישינג – נוזקות בוטנט מופצות בדרך כלל באמצעות הודעות פישינג שמכילות תוכן זדוני או מפנות משתמשים
  לאתרי פישינג. המנגנון נגד פישינג של ESET חוסם דפי אינטרנט שמוכרים כדפים שמפיצים תכני פישינג.
• מוניטין וזיכרון מטמון – בזמן בדיקת קובץ או כתובת URL, ועוד לפני שסריקה כלשהי מתחילה לפעול, מוצרי ESET בודקים את
  זיכרון המטמון המקומי כדי לנסות ולאתר קבצים חריגים הידועים כזדוניים או ככאלה המותרים להפעלה. הגישה הזאת משפרת
  את ביצועי הסריקה.
• זיהויי DNA של ESET – אלו מבצעים ניתוח מעמיק של הקוד ומחלצים את ה-״גנים״ האחראים להתנהגותו. זיהויי ה-DNA של 
  ESET יכולים לזהות דגימות ספציפיות של נוזקות ידועות, וריאנטים חדשים של משפחת נוזקות מוכרת, ואף נוזקות לא מוכרות או
  חדשות לחלוטין, שמכילות "גנים" שמצביעים על התנהגות זדונית.
• הגנת בוטנט של ESET – מנגנון ההגנה של ESET מפני נוזקות בוטנט מזהה תקשורת זדונית שמשמשת נוזקות בוטנט,
  תוך כדי זיהוי התהליכים שמבצעים את ההתקשרות. כל תקשורת זדונית שמזוהה נחסמת ומדווחת למשתמש.
• ESET LiveGrid® – בכל מקרה בו מזוהה איום או יש חשד ל-Zero-day, הקובץ נשלח למערכת ESET LiveGrid®, מערכת
  מבוססת-ענן להגנה מפני נוזקות, ובה האיום מופעל כדי לנטר את התנהגותו. התוצאות מועברות לכל תחנות הקצה ברחבי
  העולם תוך דקות בודדות, מבלי לדרוש עדכון יזום כלשהו. לגישה הזאת יש השפעה חיובית משמעותית על ביצועי הסריקה ועל
  היכולת לחסום איומים שטרם נצפו בכל תחנות הקצה המוגנות בהן מופעל ESET LiveGrid®.
  בצורה זו, אתם מנצלים את יתרון הגודל של ESET – 110 מיליון תחנות במעל 200 מדינות ואזורים ברחבי העולם.

מעקב אחר נוזקות הוא כלי חסר תחליף ששימש את חוקרי ESET במשך שנים רבות, ותרם להשבתות רבות של נוזקות מסוכנות. המנגנון הוא לא יריב של שכפול נוזקות, אלא דווקא ההפך – כל אחד מהם מייצג גישה שונה, שניתן להשתמש בה בנפרד במקרה הצורך, או להשתמש בשתיהן יחד כמשלימות זו לזו.

עם זאת, גם כיום ניתוח נוזקות הוא חלק קטן מאבטחת הסייבר הרב-שכבתית של ESET שמתמקדת במניעה. ESET משלבת בין טכנולוגיות רבות, בינה מלאכותית ומומחיות אנושית כדי לספק אבטחה ומודיעין איומים מובילים, שמועילים במידה רבה לשותפי ESET ולרשויות אכיפת החוק.