דף הבית הודעות לעיתונות אינטרנט ומחשבים דו"ח של FireEye חושף דרכים לזיהוי תוקפי סייבר
דו"ח של FireEye חושף דרכים לזיהוי תוקפי סייבר
אסף מואב 01/07/13 |  צפיות: 2707

חברת FireEye, המפתחת פתרונות לעצירת מתקפות סייבר ממוקדות ומתקדמות (APT) והמיוצגת בישראל על ידי אינוקום מקבוצת אמן, פרסמה דו"ח סייבר חדש. הדו"ח, שנכתב על סמך נתונים מ-1,500 מתקפות סייבר כלפי ארגונים ברחבי העולם, מפרט את מאפייני המתקפות השכיחים ביותר, המאפשרים למומחי סייבר לזהות את השחקנים המאיימים על הארגון ולשפר את מערכי ההגנה שלו מפני מתקפות סייבר מתקדמות בעתיד.

הדו"ח אף מפרט טקטיקות מתקפה בהן משתמשות קבוצות צבאיות של הסין, הנקראות גם "Comment Crew", שנקשרו בעבר למתקפות נגד ממשלת ארה"ב.

בדו"ח מונה החברה שבעה רמזים עיקריים המשמשים לזיהוי התוקף העומד מאחורי מתקפות סייבר:

- התווים בקוד של נוזקות מסוג Phishing לעתים מעידים על מדינת המקור, שבה נוצרה הנוזקה. כך למשל, מצאו חוקרי FireEye, כי נוזקות רבות בהן מוטבעים התווים GB2312 – מקורן במקלדת בשפה המנדרינית, קרי – בסין.

- קוד הפעלה של נוזקות לעתים מכיל ביטויים עם הקשר מקומי, כמו סלנג או מילות עלבון שגורות, המעידות על המוצא של כותב הקוד.

- בדומה לתווים בקוד, המעידים על מקלדת בשפה מסוימת, כך גם הפונטים עשויים להעיד לעתים על מקור הנוזקה. חוקרי FireEye זיהו, למשל, שמקור נוזקה החבויה במסמך הכתוב בקירילית הוא בקוריאה, הודות לפונט בו נכתב המסמך הנגוע.

- במקרים מסוימים, על מנת שלא להיחסם על ידי BlackList, התוקפים משלמים על מנת לחדור מ-domain מסוים. במקרים רבות, הרשמת ה-DSN מובילה ישירות למדינת המוצא של התוקף. גם רישומי DSN מזויפים עשויים לאתר את התוקף, שלעתים עושה שימוש חוזר במידע (כגון שגיאת כתיב) – מה שמאפשר לקשר בין התקיפות ולהתחקות אחר התוקף.

- לעתים קרובות, התוקף אינו עושה שימוש בשפת האם שלו בקוד הנוזקה. טעויות הקלדה ותרגום שגוי עשויים לעזור בזיהוי של מדינת המקור של התוקף. כך למשל, זיהוי התרגום של אתרי תרגום למילים או ביטויים מסוימים, עשוי לאפשר לזהות את שפת האם של התוקף.

- כלי ניהול מרחוק (Remote Administration Tools – RAT) הם סוג של נוזקה המאפשרת לתוקף לשלוט בזמן אמת במחשב של יעד התקיפה. לכאורה קשה לזהות באמצעותם את התוקף, אך אפשרויות הקסטומיזציה הרבות של כלים אלו עשויות להביא להגדרות ייחודיות לתוקף, מה שייקל על זיהויו.

- לתוקפים יש הרגלים. ישנם תוקפים המתמקדים ביעד מסוים, באותם שרתי CnC, באותן תעשיות ועוד. טקטיקות חוזרות אלו יכולות לחשוף את המטרה, הגישה ומקום הימצאו של התוקף.

"בעידן הסייבר, היכולת לזהות את התוקף היא חלק ניכר מתוכנית ההתגוננות מפניו", מציין יהונתן גד, יו"ר ומנכ"ל משותף באינוקום. "הדו"ח של FireEye מצביע על דפוסים חוזרים ונשנים, המתגלים בנוזקות – דבר אשר יכול לחדד את יכולתם של מומחי אבטחת מידע ומרכזי SOC להגן על המידע ומערכות המידע הארגוניים".


דירוג המאמר:

תגיות של המאמר:

 אסף מואב


 


מאמרים נוספים מאת אסף מואב
 
גניבת מידע, סוסים טרויאנים וציטוטים מהתנ"ך: עולם הצללים של מלווי הכספים בדואר הזבל
למרות הפעולות האינטנסיביות נגד מפיצי דואר הזבל, החוקים שנחקקו נגדם והפילטרים שאמורים לצמצם את שכיחותם, עדיין מצליחים מדי פעם להגיע אל תיבות הדואר שלנו הצעות הלוואה שונות ומשונות שמאחוריהן עומדים עבריינים וארגוני פשע. איך מזהים דואר זבל כזה ואיך לא נכנסים לסטטיסטיקת הונאות האינטרנט. מומחי קספרסקי מסבירים

מעבדת קספרסקי מכריזה על הקמת מועצה מייעצת בינלאומית
מעבדת קספרסקי מייסדת מועצה מייעצת בינלאומית, שתאגד מומחי אבטחת סייבר מוכרים בעולם, ותספק לחברה ייעוץ אסטרטגי בתחום אבטחת המידע. במועצה המייעצת יהיו חברים שבעה מומחים מוכרים מתעשיית אבטחת המידע, מהמגזר הציבורי ומהאקדמיה, אשר יספקו קווים מנחים, תובנות ואישרור של

אמזון, BMC ומטריקס עורכות לראשונה אירוע משותף בישראל
בכירים מ- Amazon Web Services, ספקית גלובלית של פתרונות מחשוב הענן ו- BMC Software, המספקת פתרונות ניהול ושליטה בענן, מגיעים לישראל ויהיו אורחי הכבוד באירוע, שייערך במשותף עם CloudZone - יחידת שירותי הענן של מטריקס.

מידע פיננסי ממשיך להוות מטרה מרכזית של נוזקות דואר זבל זו שנה שלישית ברציפות
שיעור דואר הזבל ממשיך לצנוח – בשלוש השנים האחרונות אחוז ההודעות שאינן ממוענות ירד ב- 10.7 נקודות אחוז. נראה כי מפרסמים מעדיפים לפנות לסוגים שונים של אפיקים חוקיים של פרסום מקוון הזמינים כעת, ואשר מייצרים אחוזי תגובה גבוהים יותר בעלויות נמוכות מאשר הספאם.

ארתור שמונק מונה למנהל יחידת CloudZone המרכזת את פתרונות הענן במטריקס
ארתור שמונק, מונה למנהל יחידת CloudZone, יחידה ייעודית חדשה בחטיבת אינטגרציה ותשתיות המרכזת את פתרונות הענן במטריקס. היחידה מציעה לארגוני Enterprise, לארגוני SME ולסטרטאפים שירותי מחשוב ענן מנוהלים ע"י צוות מקצועי ומנוסה.

פאלו אלטו משיקה את הדור הבא של ה-Firewall: חזק, מהיר ועמיד יותר
Palo Alto Networks, מובילה עולמית באבטחת רשתות מידע והמיוצגת בישראל על ידי אינוקום מקבוצת אמן, השיקה בשבוע שעבר את ה-PA-7050, פיירוול מדור חדש, הנחשב לחזק ביותר בתעשייה. הפיירוול כולל יכולות IPS/AV/DLP/QoS/URL Filteringו-) Wildfireהגנה בפני התקפות

ווינד ריבר מצטרפת לקהילת ה- OpenStack ותקדם תשתיות ענן עבור ספקי התקשורת
ווינד ריבר, ספקית מובילה בעולם בפיתוח תוכנות למערכות משובצות מחשב ומערכות ניידות, הודיעה כי הצטרפה לקהילת ה- OpenStack ותיתן חסות לקרן לקידום ה- Open Stack. במסגרת ההצטרפות לקהילת ה- OpenStack, תסייע ווינד ריבר ליישם את תפיסת

יקיר אביסרור מונה לתפקיד מנהל סניף ירושלים של חברת הליסינג ליסקאר
יקיר אביסרור מונה לתפקיד מנהל סניף ירושלים של חברת הליסינג ליסקאר. סניף ליסקאר בירושלים כולל מתחם לשיווק עסקאות ליסינג לכלי-רכב, מתחם למכירת רכב יד שניה ושירותי טרייד אין. סניף ירושלים הוא אחד מבין 4 מתחמי ליסקאר, הפועלים גם בחיפה, פתח תקוה ובאר שבע.

דאסו סיסטמס פתחה את השנה בברצלונה
דאסו סיסטמס ישראל, הסניף המקומי של ענקית התוכנה הצרפתית Dassault Systèmes, פתח את השנה באירוע מיוחד שנערך בברצלונה. כ-1300 נציגים שהגיעו לאירוע מכל רחבי אירופה ראו את בכירי החברה, וביניהם ברנרד שארלס, נשיא ומנכ"ל דאסו סיסטמס, וכן

ליבי חונכת אתר אינטרנט חדש שמאפשר ללקוחות לעקוב אחרי קריאות שירות שלהם
ליבי טכנולוגיות תוכנה, המתמחה מזה כשני עשורים בתחום הבינה העסקית, העלתה לאוויר את אתר האינטרנט החדש שלה – www.libi.co.il.
     
 
שיווק באינטרנט על ידי WSI