S3 Ep114: מניעת איומי סייבר - עצור אותם לפני שהם עוצרים אותך! [אודיו + טקסט]

לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.

[קוד מורס]

[קול רובוט: Sophos Security SOS]

---

פול דאקלין.  שלום לכולם.

ברוכים הבאים לשבוע Sophos Security SOS.

הנושא של היום הוא: מניעת איומי סייבר - עצור אותם לפני שהם עוצרים אותך!

והאורח שלנו היום הוא לא אחר מאשר מר פרייזר הווארד, מנהל המחקר ב-SophosLabs.

עכשיו, אלו מכם שהאזינו לשבוע SOS בעבר, יודעים שאני אוהב לתאר את פרייזר כ"מומחה לכל דבר", כי הידע שלו הוא לא רק רחב, הוא גם עמוק להפליא.

הוא מסמן כל תא בגיליון האלקטרוני, אפשר לומר.

אז, פרייזר, ברוך הבא חזרה לשבוע SOS.

רציתי להתחיל בהתמקדות במשהו העונה לשם LOLBIN, שלדעתי הוא קיצור של "לחיות מחוץ לאדמה בינארית", שזה ז'רגון לתוכנה שכבר נמצאת שם שהטבחים אוהבים להשתמש בה.

---

FRASER HOWARD.  בדיוק זה.

---

ברווז.  ונראה שהבעיה הגדולה כרגע היא שה-LOLBIN הסביר ביותר, או התוכנה המותקנת מראש שהנוכלים יאכלו בה, מחוסר ביטוי טוב יותר, היא לא אחרת מאשר PowerShell, המובנית ב-Windows .

הוא זמין בכל גרסה של Windows ברגע שאתה מתקין אותו.

וזה מדיום הניהול בימינו עבור Windows עצמה.

אז איך חיים בלעדיו?

---

FRASER.  בדיוק - בדיוק כמו שתיארת, מנקודת המבט של התוקפים, LOLBINs הם מבריקים.

או שהם מביאים את הסכין שלהם לקרב, והסכין שלהם עשויה להיראות שונה מאוד מכל דבר אחר שנמצא במערכת...

...או שהם משתמשים בסכין שבמקרה נוכח במערכת מלכתחילה.

וזה יתרון לתוקף, מסיבות ברורות.

כל תוכנת אבטחה לא תראה יישום חדש לגמרי, נוצץ, לא מוכר לפתע מופעל ונעשה בו שימוש בחלק מההתקפה.

אבל כלים כמו PowerShell כבר נמצאים שם - זה הזמן שבו המשחקים מתחילים במונחים של ניסיון לפתור, "האם זה משהו טוב, או זה משהו רע?"

הלוואי והייתה תשובה בשורה אחת לאופן שבו אנו מזהים PowerShell זדוני לעומת שפיר, אבל למעשה זה מצב די מורכב.

מה בעצם תהליך PowerShell עושה בעצמו?

בקצה אחד של הספקטרום, אתה יכול להשתמש בטכנולוגיה כמו, למשל, בקרת יישומים.

וכמנהל, אתה יכול לבחור: "PowerShell, אסור לאפשר לך לרוץ בסביבה שלי."

זה סוג של תרופת פלא, אם תרצה, וזה ימנע ניצול לרעה של PowerShell, אבל זה גם ישבור הרבה פעילות לגיטימית, כולל ניהול הליבה של רוב מכונות Windows כיום.

---

ברווז.  אוקי אז בקרת יישומים האם שמה של Sophos הוא היכולת לזהות, ולחלופין לחסום, תוכנה שאינה תוכנה זדונית, אך ייתכן שמנהל מיודע טוב לא ירצה לתמוך בסביבתו?

---

FRASER.  בדיוק.

וזה לא קשור רק למנהלי מערכת ולבחירתם "באיזה אפליקציה יש לאפשר למשתמשים שלי להשתמש?"

זה על יסודות.

אם אתה חושב על אבטחה, מה אחד הדברים שסיפרנו לאנשים ב-5 או 10 השנים האחרונות?

"תיקון!"

אם אתה מנהל מערכת ואתה מאפשר לכל אחד להשתמש באיזה יישום שהוא רוצה עבור הדפדפן שלו, זה אולי 5 עד 10 דפדפנים שונים שאתה צריך לתקן.

למעשה, עבור מנהלי מערכת, טכנולוגיות כמו בקרת יישומים מאפשרות להם לצמצם את פני האיום הזה.

---

ברווז.  אבל PowerShell... יש אנשים שאומרים, "אה, פשוט חסום את PowerShell. לחסום הכל .PS1 קבצים. העבודה נעשתה."

---

FRASER.  זה לא ממש פשוט כמו זה!

---

ברווז.  האם מנהל מערכת יכול להסתדר בלי PowerShell ברשת Windows מודרנית?

---

FRASER.  [פאוזה] לא.

[צחוק]

כלומר, יש אפשרויות מדיניות שהם יכולים לבחור לאפשר רק סקריפטים חתומים מסוימים, למשל, להפעיל.

אבל יש מגוון שלם של טיפים וטכניקות שהתוקפים יודעים שמנסים לעקוף גם את המנגנונים האלה.

חלק ממנועי הסקריפט הישנים יותר... הדוגמה הטובה ביותר היא Windows Scripting Host – רוב האנשים לא יודעים שהוא שם.

זה לא החנות האחת למנהל ש-PowerShell היא, אבל WSCRIPT ו CSCRIPT...

...הקבצים הבינאריים האלה, שוב, נמצאים בכל קופסת Windows.

הרבה יותר אפשרי לחסום אותם באופן מוחלט, והם עוברים התעללות, שוב על ידי תוכנות זדוניות.

---

ברווז.  אז המארח של Windows Scripting כולל דברים כמו JavaScript (לא פועל בדפדפן שלך, מחוץ לדפדפן שלך), וסקריפט Visual Basic ישן וטוב?

---

FRASER.  יש שלל שלם מהם.

---

ברווז.  כעת, סקריפט Visual Basic הופסק על ידי מיקרוסופט, לא?

אבל זה עדיין נתמך ועדיין בשימוש נרחב מאוד?

---

FRASER.  זה מאוד פופולרי בקרב הרעים, כן.

וזה לא רק מנועי סקריפטים.

אני לא זוכר בדיוק כמה קבצים בינאריים יש בכמה מרשימות LOLBIN הראשיות שנמצאות שם.

עם השילוב הנכון של מתגים, פתאום, בינארי שבו אתה עשוי להשתמש כדי לנהל, למשל, אישורים באופן מקומי...

...למעשה ניתן להשתמש כדי להוריד כל תוכן משרת מרוחק, ולשמור אותו בדיסק באופן מקומי.

---

ברווז.  האם זה CERTUTIL.EXE?

---

FRASER.  כן, CERTUTIL, למשל.

---

ברווז.  כי זה יכול לשמש גם כדי לעשות דברים כמו חישוב גיבוב של קבצים.

---

FRASER.  ניתן להשתמש בו כדי להוריד, למשל, תוכן הפעלה מקודד base64, לשמור אותו באופן מקומי ולפענח אותו.

ואז ניתן להפעיל את התוכן הזה - כדרך פוטנציאלית לעבור דרך שערי האינטרנט שלך, למשל.

---

ברווז.  וזה נעשה אפילו יותר גרוע עם PowerShell, לא?

מכיוון שאתה יכול לקחת מחרוזת מקודדת base64 ולהזין אותה לתוך PowerShell בתור סקריפט הקלט, והוא יפענח אותה בשקט עבורך.

ואתה יכול אפילו להכניס אפשרות של שורת פקודה, האם אתה לא יכול לומר, "היי, אם המשתמש אמר 'אל תאפשר להפעיל סקריפטים משורת הפקודה', התעלם מזה - אני רוצה לעקוף את זה"?

---

FRASER.  הזכרת .PS1 קבצים.

זה קובץ סקריפט פיזי שאולי קיים בדיסק.

למעשה, PowerShell די מיומן בביצוע דברים ללא קבצים, כך שרק שורת הפקודה עצמה יכולה להכיל את כל הפקודה PowerShell.

---

ברווז.  עכשיו, הבנתי שרוב מה שנקרא "תוכנה זדונית ללא קבצים" כרוך בקבצים, כנראה די הרבה קבצים בפעולה שלו...

...אבל תהיה נקודת מפתח שבה משהו שאתה עשוי לזהות *קיים רק בזיכרון*.

לכן, תוכנת אבטחה שמסוגלת רק לפקח על גישה לדיסק תחמיץ.

איך מתמודדים עם מצב כזה, שבו לנוכלים יש את כל הדברים החשודים למחצה האלה, ואז הם הסתירו את החלק המסוכן באמת עם הטריק חסר הקבצים הזה, הזיכרון בלבד?

איך מתמודדים עם זה?

---

FRASER.  אחת הדרכים שבהן אנו מתמודדים עם זה, במיוחד בכל הקשור ל-PowerShell, היא ש-Microsoft מספקת ממשק שנותן לנו נראות לגבי ההתנהגות של PowerShell.

אז AMSI הוא ממשק שבו ספקים, ספקי אבטחה, יכולים להשתמש כדי לקבל הצצה לתוך תוכנות זדוניות.

---

ברווז.  AMSI הוא… ממשק סריקה נגד תוכנות זדוניות?

---

FRASER.  בדיוק.

זה נותן לנו צוהר להתנהגות של PowerShell בכל נקודת זמן.

אז, מכיוון שהוא עשוי לעשות דברים ללא קבצים... כל נקודות יירוט מסורתיות שמחפשות קבצים בדיסק, הן לא יכנסו לפעולה.

אבל ההתנהגות של PowerShell עצמה תיצור פעילות, אם תרצה, בתוך ממשק AMSI, מה שנותן לנו את היכולת לזהות ולחסום סוגים מסוימים של פעילות PowerShell זדונית.

הדבר השני הוא שלמרות ש"חסר קבצים" נתפס כטיפול פלא עבור הרעים...

...למעשה, אחד הדברים שרוב התוקפים מחפשים בשלב מסוים הוא מה שאנו קוראים להם התמדה.

בסדר, יש להם איזה קוד שרץ על המחשב... אבל מה קורה אם המחשב הזה יופעל מחדש?

ולכן התוכנה הזדונית חסרת הקבצים שלהם בדרך כלל תנסה להוסיף רמה מסוימת של התמדה.

לכן, לרוב ההתקפות חסרות הקבצים שראינו יש למעשה אינטראקציה, בדרך כלל עם הרישום של Windows - הן משתמשות ברישום כדרך להשיג התמדה.

בדרך כלל, הם שמים איזשהו BLOB [אובייקט גדול בינארי] של נתונים ברישום, ומשנים כמה מפתחות רישום כך שכאשר המחשב הזה מופעל מחדש, ה-BLOB הזה מפוענח והתנהגות זדונית ממשיכה שוב.

המוצרים של היום עוסקים במגוון שלם של טכנולוגיות, מפשוטות, ממש ועד למורכבות בצורה יוצאת דופן.

---

ברווז.  זה גם עוזר להסביר מדוע אנשים לוקחים קבצים שהם סוג של מבשרי תוכנה זדונית, אך אינם זדוניים בעצמם, מעלים אותם לשירות מקוון כמו, נגיד, Virus Total...

...ולכי, "היי, אף אחד לא מזהה את זה. כל מוצרי האבטחה חסרי תועלת".

אבל זה לא אומר שהקובץ הזה יכול לקפוץ לחיים ולהתחיל לעשות דברים רעים בלי להפסיק...

---

FRASER.  זו נקודה טובה מאוד.

אני חושב שזה משהו שתעשיית האבטחה ניסתה... אבל העובדה שאנחנו עדיין מדברים על זה - כנראה שלא הצלחנו להעביר את הנקודה הזו:

מהי הגנה?

למה אנחנו מתכוונים בעצם?

מה המשמעות של הגנה על מישהו מפני איום בדרך כלל?

רוב האנשים נוטים לחשוב על זה ככה... בסדר, יש להם איום; הם רוצים קובץ שהוא "האיום"; והם רוצים לראות אם הקובץ הזה יזוהה.

אבל ההתקפה הספציפית הזו... נניח שזה בוט.

אולי יהיו 10,000 מהקבצים האלה *כל יום*, כשהחבר'ה הרעים מסובבים את הידית שלהם ומוציאים המון העתקים שונים שהם בעצם אותו דבר בסיסי.

וכך העובדה ש-1, או 10, או 100 מהקבצים האלה מתגלים...

...זה לא באמת אומר לך הרבה על עד כמה מוצר עשוי להגן מפני האיום הזה.

---

ברווז.  "בוט" פירושו רובוט תוכנה?.

בעיקרו של דבר, זה משהו שיושב על המחשב שלך באופן קבוע, מתקשר הביתה או מסקר שרת אקראי כלשהו?

---

FRASER.  בדיוק.

---

ברווז.  שרת זה עשוי להשתנות מיום ליום... והבוט יוריד לעתים קרובות רשימה של הוראות, כגון "הנה רשימה של כתובות דואר אלקטרוני לספאם."

לאחר מכן, זה יכול להיות, "הנה רשימה של סיומות קבצים שאני רוצה שתערבבו", או שזה יכול להיות "הפעל את ה-keylogger"?

---

FRASER.  בדיוק.

---

ברווז.  או "צלם צילום מסך עכשיו, הם באפליקציית הבנקאות".

זה בעצם דלת אחורית פעילה...

---

FRASER.  זה *זה* דלת אחורית, כן.

ודיברנו על דלתות אחוריות לפני 20 שנה... אני זוכר שעשיתי מצגות לקוחות לפני 20 שנה, דיברנו על דלתות אחוריות.

---

ברווז.  "פתח אחורי", אם אתה זוכר...

---

FRASER.  כן כן!

ניסינו לשכנע לקוחות שלמעשה, הרבה מהדלתות האחוריות בחוץ חשובות יותר מהתוכנה הזדונית המתוקשרת של היום.

מה שאתה לא רוצה להידבק בו הם הדלתות האחוריות, שמאפשרות לאיזה מטומטם איפשהו את היכולת לשלוט במחשב שלך ולעשות דברים רעים, כמו להסתכל במערכת הקבצים שלך, או לשנות נתונים במערכת שלך.

זה איום הרבה יותר מפחיד מאשר, למשל, תולעת המשכפלת את עצמה שפשוט מתפשטת ממחשב למחשב.

זה עלול להביא את העיתונות, וזה עלול לגרום לבעיות כשלעצמו...

...אבל למעשה, מישהו שיש לו גישה למערכת שלך הוא ללא ספק איום הרבה יותר גדול.

---

ברווז.  וחושב על Back Orifice ב... מה זה היה 1999? 2000?

זה מפורסם שהוא הקשיב בנמל 13337, לא?

---

FRASER.  יש לך זיכרון טוב [צוחק]... כן, "עלית"!

---

ברווז.  וברגע שאנשים התחילו להיכנס לחיבורי DSL בבית, ויש להם נתב ביתי, Back Orifice היה חסר תועלת כי חיבורים נכנסים לא עבדו.

אז אנשים חשבו, "טוב, דלתות אחוריות מסתמכות על חיבורי רשת נכנסים - אני מוגן על ידי ספק שירותי האינטרנט שלי כברירת מחדל, אז אני לא צריך לדאוג בקשר לזה."

אבל הזומבים של היום, הבוטים של היום - הם מתקשרים הביתה באמצעות איזשהו ערוץ מוצפן או סודי, והם *מורידים* את ההוראות...

---

FRASER.  ומכיוון שזה ב-HTTPS, הם בעצם מסתירים את פעילות הרשת הזו בין מיליון ואחת חבילות האינטרנט האחרות שיוצאות כל דקה ברוב החיבורים הביתיים.

---

ברווז.  אז זו עוד סיבה למה אתה רוצה הגנה מעמיקה או שכבתית?

---

FRASER.  כן.

---

ברווז.  ברור, קבצים חדשים - אתה רוצה לבחון אותם; אתה לא רוצה לפספס תוכנה זדונית שיכולת לזהות.

אבל הקובץ יכול להיות תמים כרגע, והוא יכול להתברר כנוכל לאחר טעינתו; לאחר שהוא עשה מניפולציות בזיכרון; אחרי שזה נקרא והורדת דברים...

---

FRASER.  וכך, כדי לחזור לנקודה המקורית: האופן שבו אנו מודדים מוצרי אבטחה היום מורכב יותר ממה שהיה אי פעם.

---

ברווז.  כי לחלק מהאנשים עדיין יש את הרעיון שאם אתה באמת רוצה לבדוק מוצר, אתה פשוט מקבל דלי ענק מלא בתוכנות זדוניות, הכל בקבצים...

---

FRASER.  נקרא בדרך כלל "גן חיות".

---

ברווז.  ... ואתה שם את זה על שרת בבידוד איפשהו.

אחר כך אתה סורק אותו עם סורק סטטי, ומגלה כמה הוא מזהה, וזה אומר לך איך המוצר מתנהג.

גישת "Virus Total".

אבל זה: [A] נוטה לזלזל במוצרים טובים, ו-[B] עשוי להעריך יתר על המידה מוצרים גרועים.

---

FRASER.  או מוצרים שמתמחים באיתור קבצים בלבד, במטרה להיראות טוב בעיקר בבדיקות מסוג זה המבוססות על גן חיות.

זה לא מתורגם למוצר בעולם האמיתי שלמעשה יספק רמות טובות של הגנה!

במציאות, אנחנו חוסמים קבצים... כמובן שכן - הקובץ הוא עדיין מטבע חשוב מאוד, אם תרצו, מבחינת הגנה.

אבל יש עוד המון דברים, למשל כמו ממשק AMSI שמאפשר לנו לחסום פעילות זדונית של PowerShell, והתנהגות של תוכנית עצמה.

לכן, בתוך המוצר שלנו, המנוע ההתנהגותי בוחן את ההתנהגות של תהליכים, רשת, תעבורה, פעילות רישום...

... והתמונה המשולבת הזו מאפשרת לנו לזהות התנהגות זדונית במטרה לחסום לא בהכרח משפחה מסוימת, או אפילו סוג מסוים של איום, אלא רק *פעילות זדונית*.

אם ישנם סוגים מסוימים של התנהגות שאנו יכולים לקבוע שהם פשוט זדוניים, לעתים קרובות ננסה לחסום זאת.

אנחנו יכולים לחסום סוג מסוים של התנהגות זדונית היום, ואז משפחת איומים שעוד לא נכתבה - בעוד שלושה חודשים היא עשויה להשתמש באותה התנהגות, ואנחנו נזהה אותה באופן יזום.

אז זה הגביע הקדוש של מה שאנחנו עושים: הגנה יזומה.

היכולת שלנו לכתוב משהו היום שבעתיד יחסום בהצלחה התנהגות זדונית.

---

ברווז.  אני מניח שדוגמה טובה לכך, כדי לחזור למה שהזכרנו קודם, היא CERTUTIL.EXE - כלי אימות האישור הזה.

ייתכן שאתה משתמש בזה בסקריפטים שלך, בכלי ניהול המערכת שלך, ובכל זאת יש כמה התנהגויות שלא היית מצפה להן, למרות שניתן לגרום לתוכנית הזו לעשות את הדברים האלה.

הם היו בולטים.

---

FRASER.  הם היו בולטים, בדיוק.

---

ברווז.  אז אתה לא יכול להגיד, "התוכנית גרועה", אבל בשלב מסוים בהתנהגות שלה אתה יכול לומר, "אהה, עכשיו זה הלך רחוק מדי!"

---

FRASER.  וזה נוגע להיבט מעניין נוסף של הנוף של היום.

מבחינה היסטורית, EVIL.EXE ריצות; אנו עשויים לזהות את הקובץ; אנו עלולים לזהות התנהגות זדונית כלשהי; אנו מנקים אותו מהמערכת שלך.

דיברת על LOLBIN... ברור שכאשר אנו מזהים ש-PowerShell עושה משהו זדוני, אנחנו לא מסירים POWERSHELL.EXE מאותה מערכת.

---

ברווז.  "אוי, מצאתי את Windows עושה משהו רע - מחק את כל המערכת!"

[צחוק]

---

FRASER.  אנחנו בעצם חוסמים את התהליך הזה; אנחנו עוצרים את התהליך הזה לעשות את מה שהוא עמד לעשות; ואנחנו מפסיקים את זה.

אבל PowerShell עדיין קיים במערכת הפיזית.

למעשה, התוקפים של היום שונים מאוד מהתוקפים של אתמול.

התוקפים של היום עוסקים בכל מטרה; בעל מטרה.

הדגם הישן היה יותר ריסוס והתפלל, אם תרצה.

אם מישהו חוסם את ההתקפה... מזל רע, הוא מוותר - אין שם נוכחות אנושית.

אם ההתקפה עובדת, נתונים נגנבים, מכונה נפגעת, מה שהיא תהיה, אבל אם ההתקפה נחסמה, שום דבר אחר לא קורה במערכת.

בהתקפות של היום, למעשה יש הרבה יותר מרכיב אנושי.

אז, בדרך כלל, בהתקפות רבות שאנו רואים כיום - זה מאופיין בהרבה מהתקפות תוכנת הכופר, שבהן הנוכלים מנסים במיוחד למקד ארגונים מסוימים עם יצירות תוכנת הכופר שלהם...

...כשמשהו נחסם, הם מנסים שוב, והם ממשיכים לנסות שוב.

בזמן שאנחנו חוסמים דברים וחוסמים סוגים שונים של התנהגות זדונית, יש משהו מאחורי הקלעים; איזה *אדם* מאחורי הקלעים; איזו קבוצת איומים מאחורי הקלעים, מנסה שוב.

---

ברווז.  אז לפני 10 או 15 שנים, זה היה, "אה, מצאנו את התוכנה הזדונית הזו של Word, חדשה לגמרי, לא ידועה בעבר. מחקנו את הקובץ וניקינו אותו, וכתבנו אותו ביומן”.

וכולם נכנסים לפגישה, ומתקתקים, וטפחים זה על השכם, "נהדר! העבודה נעשתה! מוכן לחודש הבא".

---

FRASER.  עכשיו, זה שונה מאוד.

---

ברווז.  היום, *זו לא הייתה ההתקפה*.

---

FRASER.  לא!

---

ברווז.  זה היה רק ​​סימן מקדים, "מעניין באיזה מותג של גלאי עשן הם משתמשים?" סוג של מבחן.

---

FRASER.  בדיוק.

---

ברווז.  והם לא מתכננים להשתמש בתוכנה הזדונית הזו.

הם רק מנסים לנחש בדיוק איזו הגנה יש לך?

מה מופעל; אילו ספריות נכללות; אילו ספריות אינן נכללות בסריקה שלך; איזה הגדרות סביבה יש לך?

---

FRASER.  ומה שאנחנו מדברים עליו היום הוא יריבים פעילים.

יריבים פעילים... הם מקבלים הרבה עיתונות.

זה הרעיון של כל המסגרת של MITER ATT&CK - זה בעצם תנ"ך, מילון, אם תרצה, של שילובים של טקטיקות.

הטקטיקה היא האנכיים; האופקיים הם הטכניקות.

אני חושב שיש 14 טקטיקות אבל אני לא יודע כמה טכניקות... מאות?

---

ברווז.  זה יכול להיות קצת מסחרר, רשת MITER!

---

FRASER.  זהו בעצם מילון של סוגי הדברים השונים, סוגי הטכניקה השונים, שניתן להשתמש בהם במערכת לטוב ולרע, בעצם.

אבל זה בעצם מותאם לתוקפים וליריבים פעילים.

אם תרצה, זו טקסונומיה של מה שיריב פעיל עשוי לעשות כאשר הוא נמצא במערכת.

---

ברווז.  נכון, כי בימים עברו (אני ואתה נזכור את זה, כי שנינו בילינו זמן בכתיבת תיאורי תוכנות זדוניות מקיפות, מסוג הדברים שהיו נחוצים לפני 15 או 20 שנה - אתה דיברת עליהם EVIL.EXE) ...

...כי רוב האיומים אז היו וירוסים, במילים אחרות הם הפיצו את עצמם והם היו מכונסים בעצמם.

ברגע שהיה לנו את זה…

---

FRASER.  ...אתה יכול לתעד, מ-עד-ת, בדיוק מה זה עשה במערכת.

---

ברווז.  אז הרבה תוכנות זדוניות באותם ימים, אם מסתכלים איך הם הסתירו את עצמם; איך הם נכנסו לזיכרון; רב צורתיות; כל הדברים האלה - הרבה מהם היו הרבה יותר מסובכים לנתח את הדברים האלה היום.

אבל ברגע שידעת איך זה עובד, ידעת איך כל דור אולי ייראה, והיית יכול לכתוב תיאור שלם.

---

FRASER.  כן.

---

ברווז.  עכשיו, אתה פשוט לא יכול לעשות את זה.

"ובכן, התוכנה הזדונית הזו מורידה תוכנה זדונית אחרת."

איזה תוכנה זדונית?

"אני לא יודע."

---

FRASER.  לדוגמה, שקול מטעין פשוט: הוא פועל; זה מתחבר מעת לעת.

לתוקף יש את היכולת לירות באיזשהו BLOB מקודד - למשל, נניח שזה DLL, ספריית קישורים דינמית, מודול... בעצם, קוד הפעלה כלשהו.

אז, "מה האיום הזה עושה?"

ובכן, זה תלוי בדיוק ומלא במה שהתוקף שולח לאורך החוט.

---

ברווז.  וזה יכול להשתנות מיום ליום.

זה יכול להשתנות לפי מקור IP: "אתה בגרמניה? אתה בשבדיה? אתה בבריטניה?"

---

FRASER.  אה, כן אנחנו רואים את זה לעתים קרובות למדי.

---

ברווז.  זה יכול גם לומר, "היי, כבר התחברת, אז אנחנו נאכל אותך NOTEPAD או איזה תיק תמים בפעם הבאה."

---

FRASER.  כן.

לתוקפים בדרך כלל יהיו טכניקות בהן הם משתמשים כדי לנסות לזהות מתי אנחנו [כלומר SophosLabs] מנסים להפעיל את היצירה שלהם.

אז הם לא מאכילים אותנו במה שעשוי להיות המטען האולטימטיבי.

הם לא רוצים שנראה את המטען - הם רק רוצים שהקורבנות יראו את המטען הזה.

לפעמים דברים פשוט יוצאים בשקט; לפעמים הם פשוט רצים CALC, או NOTEPAD, או משהו טיפשי בעליל; לפעמים אנחנו עלולים לקבל הודעה גסה שצצה.

אבל בדרך כלל הם ינסו לשמור על המטען האולטימטיבי ולשמור אותו לקורבנות שלהם.

---

ברווז.  וזה גם אומר…

...השתמשתי בזריזות במילה "פולימורפיזם" קודם לכן; זה היה נפוץ מאוד בווירוסים בזמנו, כאשר בכל פעם שהווירוס העתיק את עצמו לקובץ חדש הוא בעצם משתק את הקוד שלו, לעתים קרובות בצורה מאוד מסובכת, אפילו משכתב את האלגוריתם שלו.

אבל אתה יכול להשיג את המנוע שעשה את הטירוף.

---

FRASER.  כן.

---

ברווז.  עכשיו, הנוכלים שומרים את זה לעצמם.

---

FRASER.  זה בשרת במקום אחר.

---

ברווז.  והם מסובבים את הידית ברקע.

---

FRASER.  כן.

---

ברווז.  וגם הזכרת מעמיסים - אולי אנשים שמעו על דברים כמו BuerLoader, BazaarLoader, הם סוג של "שמות מותגים" ידועים...

..במקרים מסוימים, יש כנופיות של נוכלים, וזה כל מה שהם עושים.

הם לא כותבים את התוכנה הזדונית שמגיעה אחר כך.

הם פשוט אומרים, "מה היית רוצה שנעמיס? תן לנו את כתובת האתר ואנחנו נזריק אותה עבורך."

---

FRASER.  מפעילי הבוט המקוריים מלפני 15 או 20 שנה - איך הם הרוויחו כסף?

הם התפשרו על רשתות של מכונות - זה בעצם מה botnet כלומר, הרבה מכונות בפיקודו - ואז הם יכלו בעצם להשכיר את ה"רשת" הזו.

זה יכול להיות עבור מניעת שירות מבוזרת - לגרום לכל המכונות הנגועות הללו לפגוע בשרת אינטרנט אחד, למשל, ולהוציא את שרת האינטרנט הזה.

זה יכול להיות די נפוץ עבור דואר זבל, כפי שכבר ציינת.

ולכן האבולוציה הטבעית של זה, במובן מסוים, היא המעמיס של היום.

אם למישהו יש מערכת נגועה בטוען, והמטען הזה קורא הביתה, בעצם יש לך בוט.

יש לך את היכולת להריץ דברים במכונה הזו...

...אז, בדיוק כמו שאתה אומר, פושעי הרשת האלה לא צריכים להיות מודאגים מה המטען האולטימטיבי.

האם זו תוכנת כופר?

האם זו גניבת נתונים?

יש להם רכב... ותוכנת כופר היא כמעט התשלום הסופי.

"עשינו כל מה שרצינו לעשות." (או שנכשלנו בכל דבר אחר שקיווינו לעשות.)

"בוא ננסה תוכנת כופר..."

---

ברווז.  "רשמנו את כל הסיסמאות עכשיו, אין עוד מה להשיג." [צוחק]

---

FRASER.  אין לאן ללכת!

---

ברווז.  "גנבנו את כל הנתונים."

---

FRASER.  בדיוק... התשלום האחרון הוא תוכנת כופר!

בשלב זה, המשתמש מודע, והמנהלים מודעים לכך שיש אובדן נתונים.

אז, המטען של היום הוא כמעט הרחבה של, אבולוציה של, הבוט של אתמול.

---

ברווז.  פרייזר, אני מודע לזמן...

אז, בהתחשב בכך שציירת תמונה שדורשת בבירור עבודה במשרה מלאה, הבנה במשרה מלאה - אתה חוקר מומחה, אתה עושה זאת כבר שנים.

לא כל אחד יכול לוותר על העבודה היומיומית שלו ב-IT או בניהול מערכת כדי שיהיה לך *עוד* עבודה יום כדי להיות כמוך בארגון.

אם הייתם צריכים לתת שלושה טיפים פשוטים למה כדאי לעשות (או מה אסור לעשות) היום כדי להתמודד עם דרך מסובכת יותר, מקוטעת יותר לתקוף מהנוכלים - כזו שנותנת לנו עוד הרבה מטוסים שעליהם אנחנו צריך להגן…

... מה יהיו שלושת הדברים האלה?

---

FRASER.  זו שאלה קשה.

אני חושב שהראשון חייב להיות: בעל מודעות ונראות לתוך הארגון שלך.

זה נשמע פשוט, אבל לעתים קרובות אנו רואים התקפות שבהן נקודת ההתחלה של התקפה הייתה קופסה לא מוגנת.

אז יש לך ארגון...

...יש להם מדיניות IT נפלאה; יש להם מוצרים פרוסים ברחבי אותה רשת, מוגדרים כהלכה; יכול להיות שיש להם צוות של אנשים שעוקבים אחר כל החיישנים הקטנים, וכל הנתונים שחוזרים מהמוצרים האלה.

אבל יש להם בקר תחום שלא היה מוגן, והחבר'ה הרעים הצליחו להיכנס לזה.

ואז, בתוך כל המסגרת של MITER ATT&CK, יש טכניקה אחת שנקראת תנועה צדדית...

ברגע שההתקפות יהיו על קופסה, הם ימשיכו לנסות לנוע לרוחב משם על פני הארגון.

והסוג הראשוני הזה של דריסת רגל נותן להם נקודה שממנה הם יכולים לעשות את זה.

אז, הנראות היא הנקודה הראשונה.

---

ברווז.  אתה גם צריך לדעת מה שאתה לא יודע!

---

FRASER.  כן - נראות לכל המכשירים ברשת שלך.

מספר שתיים הוא: תצורה.

זה קצת קוצני, כי אף אחד לא אוהב לדבר על מדיניות ותצורה - זה למען האמת די משעמם.

---

ברווז.  אבל זה די חשוב!

---

FRASER.  בהחלט קריטי.

---

ברווז.  "אם אתה לא יכול למדוד את זה, אתה לא יכול לנהל את זה", כמו שאומר הפתגם הישן.

---

FRASER.  אני חושב שההמלצה היחידה שלי לזה תהיה: אם אפשר, השתמש בברירות המחדל המומלצות.

ברגע שאתה סוטה מברירות המחדל המומלצות, אתה בדרך כלל מכבה דברים (רע!), או שאתה מוציא דברים מסוימים.

---

ברווז.  כן.

---

FRASER.  לדוגמה, אי הכללה של תיקיה מסוימת.

עכשיו, זה עשוי להיות מקובל לחלוטין - יכול להיות שיש לך יישום מותאם אישית כלשהו בו, יישום מסד נתונים מותאם אישית שבו אתה אומר, "אני לא רוצה לסרוק קבצים בתוך התיקיה הספציפית הזו."

זה לא כל כך טוב אם אתה לא כולל, למשל, את תיקיית Windows!

---

ברווז.  "אל תכלול C:*.* וכל ספריות המשנה." [צוחק]

---

FRASER.  זה.

---

ברווז.  אתה מוסיף אחד, אתה מוסיף עוד אחד, ואז אתה לא הולך וחוקר אותו...

...אתה מגיע למקום שבו בעצם יש לך את כל הדלתות וכל החלונות פתוחים.

---

FRASER.  זה קצת כמו חומת אש.

אתה חוסם הכל; אתה נוקב כמה חורים: בסדר.

אתה ממשיך לתקוע חורים במשך שלוש השנים הבאות, ולפני שאתה יודע איפה אתה...

...יש לך גבינה שוויצרית בתור חומת האש שלך.

[צחוק]

זה לא הולך לעבוד!

אז, התצורה היא באמת חשובה, ואם אפשר בכלל היצמד לברירות המחדל.

---

ברווז.  כן.

---

FRASER.  היצמד לברירות המחדל, כי... ברירות המחדל המומלצות הללו - הן מומלצות מסיבה כלשהי!

במוצרים שלנו, למשל, כאשר אתה סוטה מברירות המחדל, לעתים קרובות למדי תקבל פס אדום שמזהיר שאתה בעצם משבית את ההגנה.

---

ברווז.  אם אתה מתכוון ללכת מחוץ למסלול, ודא שבאמת התכוונת!

---

FRASER.  ודא שיש לך ראות טובה.

ואני מניח שהנקודה השלישית, אם כן, היא: להכיר במערך המיומנויות הנדרש.

---

ברווז.  אל תפחד להזעיק עזרה?

---

FRASER.  כן: אל תפחד להזעיק עזרה!

האבטחה מורכבת.

אנחנו אוהבים לחשוב שזה פשוט: "איזה שלושה דברים אנחנו יכולים לעשות? אילו דברים פשוטים אנחנו יכולים לעשות?"

למעשה, המציאות היא שהאבטחה של היום היא מאוד מסובכת.

מוצרים עשויים לנסות לארוז את זה בצורה פשוטה למדי, ולספק רמות טובות של הגנה ורמות טובות של נראות לסוגי התנהגות שונים המתרחשים ברשת.

אבל אם אין לך את מערך המיומנויות, או את המשאב לצורך העניין, לעבוד עם האירועים שנכנסים ופוגעים בלוח המחוונים שלך...

... למצוא מישהו שכן!

לדוגמה, שימוש בשירות מנוהל יכול לעשות הבדל עצום באבטחה שלך, והוא יכול פשוט להסיר את כאב הראש הזה.

---

ברווז.  זו לא הודאה בתבוסה, נכון?

אתה לא אומר, "אה, אני לא יכול לעשות את זה בעצמי."

---

FRASER.  אנחנו מדברים על 24 על 7 על 365.

אז שמישהו יעשה את זה בבית זו משימה ענקית.

ואנחנו גם מדברים על נתונים מורכבים - ודיברנו על יריבים פעילים, וסוג כזה של התקפה.

אנחנו יודעים שהחבר'ה הרעים, גם כשחוסמים דברים, ימשיכו לנסות שוב: הם ישנו את המצב.

צוות טוב שיסתכל על הנתונים האלה יזהה סוג זה של התנהגות, והם לא רק ידעו שמשהו נחסם, האנשים האלה גם יחשבו, "בסדר, יש מישהו שמנסה שוב ושוב להיכנס דרך הדלת הזו."

זה אינדיקטור די שימושי עבורם, והם ינקטו פעולה, והם יפתרו את ההתקפה.

[הַפסָקָה]

שלוש עצות די טובות שם!

---

ברווז.  מצוין, פרייזר!

תודה רבה לך, ותודה ששיתפת אותנו בניסיון שלך ובמומחיות שלך.

לכל מי שמקשיב, תודה רבה.

ועכשיו נותר רק לי לומר: "עד הפעם הבאה, תישאר בטוח."

[קוד מורס]