6.6 איום התכנה הזדונית - Malware

איום התוכנה הזדונית – MALWARE 

אם אי פעם ראית התראת אנטי וירוס צצה על המסך, או אם לחצת בטעות על קובץ מצורף דוא"ל זדוני, אז הכרת תוכנה זדונית. תוקפים אוהבים להשתמש בתוכנה זדונית כדי להשיג דריסת רגל במחשב של המשתמש ובאמצעות המשתמש, להגיע למערכת המידע בארגון שבו הוא עובד.

כשאנו מדברים על Malware אנו מתכוונים לניצול פגיעויות (או ניסיון לניצול פגיעויות) ברכיבים תקשוביים כדוגמה: מחשב מקומי, רשת מחשבים, ציוד תקשורת וכו'. Malware יכול להגיע בדרכים רבות כמו השתלת קוד זדוני כחלק משרשרת האספקה \ תהליכי הפיתוח, ניצול חולשות ידועות ו\או שאינן ידועות, פוגענים טיפשים ו\או מתוחכמים, פוגענים מסחריים ו\או ייעודיים.

כל תוכנה שעושה משהו שגורם נזק למשתמש, למחשב או לרשת יכולה להיחשב כתוכנה זדונית, לְרַבּוֹת: 

• תוכן בר הפעלה (Executable content) עם פונקציונליות לא ידועה שנמצאת במערכת ראויה לחקירה.
• וירוסים
• תולעים
• כלי חדירה
• תוכנות ריגול
• RootKit

מטרותיו העיקריות של ה-Malware, הינם פגיעה בסודיות המידע, משמע, ריגול וגניבת מידע ו\או פגיעה באמינות וזמינות המידע, קרי, שיבוש יכולות הרכיב התקשובי (המחשב, הרשת, ציוד התקשורת וכו').

לרוב, התקפות Malware מתוחכמות לא יזוהו ע"י מערכות הגנה סטנדרטיות ויידרשו כלים ויכולות ייעודיים שיופעלו ע"י גורמי מקצוע שהוסמכו לכך, קרי, Malware Analysis. תפקידיו העיקריים של Malware Analysis הינם זיהוי תקיפות מוטמנות וחקירתם תוך הבנת פונקציות ה-Malware, יכולותיו ומטרותיו. 

התוכנות הזדוניות (malware) כוללות תוכנות ריגול, יישומי אנטי-וירוס מזוייפים, וירוסים, סוסים טרויאניים, תולעים, adware (תכנות פרסום) ו- rootkits. חדירה של אחת מהתוכנות למחשב עלולה לגרום לשליטה של האקר על מחשב ואפילו על הזהות של בעל המחשב.

מגוון תוכנות אנטי-וירוס, חומות אש ואסטרטגיות אחרות משמשות כדי לסייע בהגנה מפני הצגת תוכנות זדוניות, כדי לעזור לזהות אותה אם היא כבר קיימת ולהתאושש מפעילות זדונית הקשורה לתוכנות זדוניות.

תוכניות זדוניות מוקדמות רבות, כולל תולעת האינטרנט הראשונה, נכתבו כניסויים או כמעשה קונדס, אך כיום, תוכנות זדוניות משמשות על ידי האקרים ועל ידי ממשלות, כדי לגנוב מידע אישי, כספי, עסקי או ביטחוני.

לעתים קרובות משתמשים בתוכנה זדונית באופן נרחב כנגד אתרים ממשלתיים או ארגוניים כדי לאסוף מידע שמור או לשבש את פעולתם. עם זאת, ניתן להשתמש בתוכנה זדונית נגד אנשים כדי להשיג מידע כמו מספרי זיהוי אישיים או פרטים חסויים: מספרי כרטיסי בנק או אשראי וסיסמאות.

תוכניות שנועדו לעקוב אחר הגלישה באינטרנט של המשתמשים, להציג פרסומות לא רצויות או להפנות הכנסות שיווקיות מקושרות נקראות רוגלה. תוכנות ריגול אינן מתפשטות כמו וירוסים; במקום זאת הם בדרך-כלל מותקנות תוך ניצול חורי אבטחה. הם יכולים גם להיות מוסתרים וארוזים יחד עם תוכנות שאינן קשורות להתקנה היזומה על-ידי משתמשים.

תוכנת הכופר Ransomware משפיעה על מערכת מחשב נגועה בדרך כלשהי ודורשת תשלום כדי להחזיר אותה למצב הרגיל. תוכניות כמו CryptoLocker מצפינות קבצים בצורה מאובטחת ורק לאחר תשלום דמי הסחיטה – מאחזרים את הקבצים.

תוכנות זדוניות מסוימות משמשות ל"ייצור כסף" על ידי הונאת קליקים, מה שמאפשר שמשתמש המחשב לחץ על קישור פרסום באתר, תוך יצירת תשלום מהמפרסם.
בשנת 2012 העריכו כי כ -60 עד 70% מכל התוכנות הזדוניות הפעילות השתמשו בהונאה כלשהי של קליקים, ו -22% מכל קליקים על מודעות הונאה.

בנוסף לאופציה להרוויח כסף באופן פלילי, תוכנה זדונית יכולה לשמש לחבלה, לרוב למניעים פוליטיים. Stuxnet, למשל, נועד לשבש ציוד תעשייתי מאוד ספציפי. היו פיגועים בעלי מוטיבציה פוליטית שהתפשטו וגרמו לכיבוי רשתות מחשבים גדולות, כולל מחיקה קבועה של קבצים והשחתה של רשומות האתחול הראשי, שתוארו כ"הרג מחשב". התקפות כאלה בוצעו על Sony Pictures Entertainment (25 בנובמבר 2014, תוך שימוש בתוכנות זדוניות הידועות בשם Shamoon או W32.Disttrack) וחברת ארמקו הסעודית (אוגוסט 2012).

סוגי תוכנות זדוניות

ככל שהתחום הדיגיטלי מתרחב, כך מתרחב האיום של התקפות סייבר. פושעי סייבר מפתחים ללא הרף תוכנה זדונית מתקדמת, הידועה בכינויה "תוכנה זדונית", שנועדה לפגוע, לשבש או לקבל גישה לא מורשית למערכות מחשב, רשתות ואפילו נתונים אישיים. 

להלן סוגי תוכנות זדוניות. הסיווג מתבצע על-פי שיטת הפעולה של הפוגען.

1. וירוס (virus): תוכנה שיכולה להעתיק את עצמה, או לצרף את עצמה לתוכנה או לקובץ, ולבצע משימות לא רצויות ולא מאושרות שאינן מזוהות בקלות ועלולות להיות מופצות באופן נרחב באמצעות שיתוף קבצים, התקני זיכרון או דואר אלקטרוני.
   
   

• 1.1. וירוסים פולימורפיים (Polymorphic Viruses)
  תוכנות האנטי-ווירוס המסורתיות פועלות בדרך-כלל על בסיס זיהוי של חתימות. וירוסים פולימורפיים הם וירוסי מחשב מתקדמים שיכולים לשנות או לשנות את הקוד שלהם בכל פעם שהוא מדביק מחשב חדש, כדי למנוע זיהוי על ידי תוכנות אנטי-וירוס. הם שומרים על הפונקציונליות והמטען המקוריים שלהם, אך יכולים לשנות את הרכב הקבצים הפיזי שלהם, ולגרום לכל שיבוט להופיע כקובץ אחר.
  שיטות עיקריות בהן וירוס פולימורפי משנה את צורתו הן: הצפנה ופענוח של הקוד, שינוי סדר הפקודות בתוכנית, הוספת קוד מיותר שאינו משפיע על התפקוד אך משנה את מבנה הקובץ, שימוש בפונקציות ושגרות תכנות שונות לביצוע אותן מטלות ועוד. 
  וירוסים פולימורפיים נחשבים למתוחכמים ומסוכנים ביותר. הם יכולים לחמוק ממערכות אבטחה ולגרום נזקים חמורים כגון גניבת מידע רגיש, השחתת קבצים ועוד. ההתמודדות עם ווירוסים פולימורפיים דורשת גישות זיהוי חדשניות. אחת הגישות היא זיהוי התנהגותי, שמזהה פעילות חריגה או פעילות המזוהה עם תוקפים. גישות אלו דורשות אלגוריתמים מתקדמים ויכולת ללמוד ממגוון רחב של התקפות. בכל מקרה, הכיוון המומלץ הוא השילוב של מגוון גישות זיהוי ומניעה באמצעות תוכנות אבטחה מודרניות. פיתוח טכנולוגיות מתקדמות כגון למידת מכונה ובינה מלאכותית מסייעות לתוכנות אנטי-וירוס מודרניות לזהות ולחסום וירוסים פולימורפיים ביעילות רבה יותר. עם זאת, המאבק מול וירוסים אלה הוא מתמיד ומחייב ערנות והגנה רב-שכבתית. 
  
  
• 1.2. וירוסים מדביקי קבצים (File Infector Viruses)
  ווירוס מדבק קבצים הוא סוג של ווירוס המתקבל בקובץ הניתן להפעלה (בדרך-כלל קובץ .EXE או .COM) וכאשר הקובץ מופעל, הווירוס "מתעורר לחיים". הוא יכול להתפשט לקבצים אחרים במחשב, לשנות את פונקציונליות המחשב או לפרטר את התוכנות הפועלות עליו. הם נצמדים לקבצי הפעלה (קבצים המבצעים משימות בתוך מערכת הפעלה). כאשר משתמש מפעיל או פותח את התוכנית הנגועה, הווירוס מופעל, וגורם נזק למערכת של המשתמש.
  איך הווירוסים הללו מתפשטים? ברגע שהקובץ המודבק מופעל, הווירוס מתחיל לפעול. הוא יכול להעתיק את עצמו לקבצים אחרים, לשנות את הקוד בקבצים אלה או להשתלט על תהליכים במערכת ההפעלה. הווירוסים הללו מצטיינים ביכולתם להימנע מזיהוי, ולעיתים יש להם גרסאות רבות באותו הזמן, המקשות על תוכנות האנטי-ווירוס לזהות אותם.
  מהם הסימפטומים של התקפה? כשהמחשב נפגע בווירוס מדבק קבצים, הוא יכול להראות סימפטומים שונים: יתרון במעבד, איטיות בפעולה, קריסות לא צפויות, או שגיאות מערכת רבות. לעיתים, הווירוס יכול לגרום למחיקת קבצים או לשינויים בהגדרות המערכת.
  
  
• 1.3. וירוסים רבי ממדים (Multipartite Viruses)
  וירוסים מרובי חלקים הם ייחודיים בכך שהם יכולים להדביק ולהתפשט במספר דרכים. הם יכולים להדביק גם קבצי תוכניות וגם מגזרי מערכת, להתפשט במהירות ולגרום לנזק רב. הם משלבים ביניהם את מאפייני שניים או יותר סוגים של ווירוסים. הם יכולים להתפשט ולהתקבל בטכניקות שונות, החל מהתקבלות בקבצים ועד התפשטות בזיכרון המחשב, ובכך הם מגבירים את הסיכון להדבקה.
  איך הם עובדים? הגישה רבת הממדים מאפשרת לווירוס להתפשט במהירות וביעילות. בעת שהווירוס מגיע למערכת, הוא יכול להשתמש בטכניקה הראשונה (לדוג', התקבלות בקובץ) כדי להתפשט. לאחר מכן, יש לו את האפשרות להשתמש בטכניקה השנייה (כמו התפשטות בזיכרון) כדי להתקבל במספר מקומות אחרים במערכת.
  
  2. תולעת (Worm): תוכנת מחשב שיכולה לרוץ באופן עצמאי כשהיא משבטת את עצמה על מחשבים אחרים המחוברים לרשת. היא ידועה בכך שהיא צורכת משאבי מחשב באופן הרסני. המונח "תולעת" מתייחס בעיקר לצורת ההתפשטות של הפוגען, ומהווה ביטוי לפוגען המתפשט בצורה אוטומטית ובד"כ מתוכנתת מראש. המטרה - הדבקה רחבה ככל שניתן.
  
  תולעת המחשב היא תוכנה זדונית המתפשטת באופן אוטונומי ברשת המחשבים, ובניגוד לווירוסים המצריכים "מארח" כדי להתפשט, התולעת מסוגלת להעתיק את עצמה ולהתפשט ללא תלות בקבצים או בתוכנות אחרות.
  
  התולעת הראשונה, בשם "Morris Worm", הופצה בשנת 1988 והשביתה כ-6,000 מחשבים - מספר אדיר לאותה תקופה. מאז, המגבלות והטכנולוגיה התקדמו, וכמו כן התקדם גם הפוטנציאל ההרסני של התולעים.

אילו סיכונים יוצרת תולעת?

• הפסקת שירות: תולעים יכולות לגרום לרשתות מחשבים להיות לא זמינות בגלל העומס הגבוה הנוצר בגין התפשטותם.
• החדרת מידע: ישנם תולעים אשר מעבר להתפשטותם, גונבות גם מידע ושולחות אותו למקורות חיצוניים.
• השבתת מערכות: בכמה מקרים, התולעים גרמו להשבתת מערכות מחשב באופן כולל.

בעוד ששניהם הם תוכנות זדוניות, ההבדל העיקרי הוא בשיטת ההתפשטות: הווירוס דורש מארח – הוא צריך להיצמד לקובץ או לתוכנה כדי להתפשט, בעוד שהתולעת יכולה להתפשט בעצמה ללא צורך ב"מארח". זה הופך את התולעים לפוטנציאלית מזיקים יותר במסוימות ההקשרים.

בשנים האחרונות, ראינו כיצד תולעים מסוימות הפכו לכותרות עיתונים בגלל הנזק הרב אשר הם גרמו. "WannaCry" לדוגמה, תולעת המחשב שהגיעה לכותרות בשנת 2017, השתלטה על מחשבים ברחבי העולם והצפינה את המידע המצוי עליהם, וביקשה כופר בביטקוין כדי לשחרר את המידע.

3. סוס טרויאני (TROJAN): הטמנת הפוגען בקבצים ותהליכים לגיטימיים. כדוגמה, החדרת פוגען בקובץ תמונה.

הטרויאני הוא תוכנה זדונית המזויפת את זהותה כתוכנה לגיטימית, בכדי לשנע את המשתמש להורידה או להריץ אותה. ברגע שהטרויאני מופעל, הוא פועל לפי ההנחיות הזדוניות שלו, אשר יכולות לכלול פגיעה במחשב, גניבת מידע או אפילו השתלטות על המחשב.

השם "סוס טרויאני" מגיע מהמיתולוגיה היוונית, והוא מתייחס לסיפור הסוס הטרויאני אשר בו היוונים הסתירו לוחמים בתוך סוס עץ גדול והכניסו אותו לעיר טרויה, ובכך הצליחו לכבוש אותה. בדיוק כמו היוונים שהסתירו את לוחמיהם בתוך הסוס, כך גם הטרויאני מסתיר את פעולותיו הרעועות מתחת לזיהוי כתוכנה הנראית חפה מכל רע.

השפעות וסיכונים: הטרויאני יכול להביא להשבתת המערכת, גניבת מידע אישי, התקפות DDoS ועוד. לעיתים, הוא יכול להתחבא במערכת למשך זמן רב ללא שהמשתמש מודע לכך.

כיצד הטרויאניים תוקפים? 

• הורדות: הטרויאני יכול להתחבא בתוך קבצים שמשתמשים מורידים מהאינטרנט.
• קישורים זדוניים: הפניות לאתרים מזויפים שמכילים את הטרויאני.
• דואר אלקטרוני: הטרויאני יכול להגיע כקובץ מצורף לדוא"ל מזויף.

4. דלת אחורית (Backdoor): קוד זדוני שמתקין את עצמו במחשב כדי לאפשר לתוקף גישה. דלתות אחוריות בדרך-כלל מאפשרות לתוקף להתחבר למחשב עם מעט או ללא אימות ולבצע פקודות במערכת המקומית.

דלת אחורית היא, בגדרה הכללית, תוכנה או קוד המאפשרים גישה מרחוק למערכת מחשב או לאפליקציה, תוך התעלמות מההגנות הרגילות או האימות המסורתי. בעצם היא "פתח" סמוי במערכת המספק גישה למשתמשים לא מורשים.

מטרות:

•  חזוקה: לעיתים הן מותקנות באופן תוך כדי כוונה על ידי יצרני התוכנה כדי לאפשר להם לתקן או לעדכן את התוכנה.
• ריגול או גניבת מידע: הגנב יכול להשתמש בדלת האחורית לשם גניבת מידע אישי, פרטי כרטיס אשראי או כל מידע אחר שיכול להיות של ערך.
• התקפת הפצה: דלת אחורית יכולה לשמש את המתקיף לשם התקפות הפצה או השתלטות על מערכות אחרות.

בניגוד לוירוסים או לתוכנות ריגול אחרות, דלת אחורית לא מעתיקה את עצמה או משתפשפת לבדה. היא מתפקדת כגישה סמויה שנשארת פתוחה ומוכנה לשימוש בכל עת.

התפשטות:

• תוכנות זדוניות: דלת אחורית יכולה להתחבא בתוך תוכנה שנראית לגיטימית.
• תוקפים חיצוניים: כאשר מפלצת אבטחה קיימת במערכת, התוקפים יכולים להשתמש בה להתקנת דלת אחורית.
• דוא"ל וקבצים מצורפים: פתיחת קובץ זדוני או הרצתו יכולה להתקין דלת אחורית.

5. תוכנת ריגול (SPYWARE) - תוכנה פולשנית ותקיפה המאפשרת לאסוף את כל המידע בחשאי, דרך חיבור האינטרנט. לעיתים קרובות נעשה בה שימוש למטרות פרסום.  התוקף "יושב" על מחשב הקורבן ומוציא ממנו מידע. כדוגמה, קריאת מיילים.

תוכנת ריגול היא תוכנה שהותקנה על מערכת המחשב שלך ללא ידיעתך, ומטרתה היא לאסוף מידע אודות הפעילות שלך. המידע הזה יכול לכלול את האתרים שבהם ביקרת, פרטי התחברות, קניות אונליין, או אפילו מידע אישי כמו פרטי כרטיס אשראי.

תוכנת הריגול מותקנת באופן לא חוקי על המחשב, לרוב כאשר משתמש התקין תוכנה אחרת או בעת הפעלת קובץ זדוני. לאחר ההתקנה, התוכנה מתחילה לאסוף מידע ולשדר אותו לשרת מרוחק או לשלוט במחשב הנדבק.

נזקים:

• פרטיות: תוכנות הריגול מפרות את פרטיות המשתמש על ידי איסוף מידע אישי ושימושו ללא הסכם.
• אבטחה: גילוי פרטי התחברות יכול לאפשר לגנבים גישה לחשבונות מקוונים, כגון חשבונות בנק או דוא"ל.
• ביצועים: התוכנות האלו יכולות להאט את ביצועי המחשב.
• מה לעשות אם המחשב שלך נפגע?
• סריקה: הרץ תוכנת אבטחה מובילה לזיהוי והסרת התוכנה הזרה.
• שינוי סיסמאות: כאשר תוכנת ריגול הוסרה, מומלץ לשנות את כל הסיסמאות.
• גיבוי: בצע גיבוי לכל המידע החשוב.

6. רשת בוטים (botnet) - בדומה לדלת אחורית, היא מאפשרת לתוקף גישה למערכת, אך כל המחשבים הנגועים באותו בוטנט מקבלים את אותן הוראות משרת פקודה ושליטה בודד. זוהי רשת של מחשבים נגועים, שפועלת כמו רובוט תחת שליטה של משתמש מרוחק. היא נוהגת לשלוח הודעות ספאם והודעות דיוג בדואר האלקטרוני (phishing mails, אתרים דמויי אתרים מוכרים שנועדו ל-"דוג" את פרטי ההתחברות של המשתמש שיזין את פרטיו).

הפוגען "יושב" על המחשב של הקורבן וממתין לפקודות מהתוקף (C&C). ה-Botnet לרוב יופץ כתולעת.

רשת בוטים היא קבוצה של מחשבים אשר הומרו לבוטים ומנוהלים מרחוק על ידי גורם זר. הגורם הזר, המכונה "מנהיג הבוטנט", יכול להשתמש בכל אחד מהמחשבים המנוהלים לפי רצונו, בלי שהמשתמש הלגיטימי יודע על כך.

בוטנטים לרוב נוצרים באמצעות תוכנות זדוניות שמתחברות למחשבים ומטילות את שליטתן עליהם. כאשר מחשב נכנס לשליטה, הוא יכול להתחבר לשאר המחשבים ברשת ולהפוך אותם לבוטים גם הם.

לאילו מטרות הם משמשים?

• התקפות DDoS: במטרה להריס או להפסיק את שירות האינטרנט של מטרה מסוימת.
• שליחת דואר זבל: שליחה מרובה של הודעות זבל לכתובות דואר אלקטרוני.
• גניבת מידע: איסוף מידע אישי כמו סיסמאות ופרטי כרטיס אשראי.
• הפצת תוכנות זדוניות: התקנת תוכנות זדוניות או רשת בוטים חדשה על מחשבים נוספים.

מה לעשות אם המחשב שלך הפך לחלק מרשת בוטים?

• סריקה אנטי וירוס: הרץ תוכנת אבטחה לזיהוי התקפות.
• הפעלה מחדש של המחשב: במצב בטוח (safe mode) וביצוע סריקה.
• שינוי סיסמאות: לאחר הסרת התוכנה הזדונית, יש לשנות את סיסמאות הגישה השונות.

7. Downloader: קוד זדוני שקיים רק כדי להוריד קוד זדוני אחר. הורדות מותקנות בדרך-כלל על ידי תוקפים כאשר הם מקבלים לראשונה גישה למערכת. תוכנית ההורדה תוריד ותתקין קוד זדוני נוסף.

אחד האיומים הנפוצים הוא ה-Downloader, תוכנה המועדפת על ידי התוקפים להביא להורדה והתקנה של תוכנות זדוניות במחשבים של משתמשים בלתי מודעים.

Downloader הוא קוד זדוני שהמטרה שלו היא להוריד ולהתקין תוכנות או קודים נוספים זדוניים משרתים ברשת. הוא משמש לשם גישה ראשונית למערכת המותקפת ולאחר מכן, באופן אוטומטי, הוא מוריד ומתקין תוכנות אחרות שיכולות לגרום לנזק הרבה יותר גדול.

דרך פעולה: לאחר שה-Downloader מותקן במחשב, הוא יצר קשר עם שרת בקרה (Command & Control) באינטרנט. השרת מפנה אותו למיקום בו הוא יכול להוריד את התוכנה הזדונית הבאה בתור ולהתקינה במחשב הקורבן.

מטרות

• הפצת תוכנות זדוניות: כגון תוכנות ריגול, תוכנות שמחזירות כספים או תוכנות שמנהלות התקפות דחיסה.
• התקפות DDoS: להורדת תוכנות שמשתמשות במחשב המטורף לשליחת תנועה לא איתית לאתרים מסוימים.
• גניבת מידע: הורדת תוכנות המיועדות לגניבת מידע או להצפנת המידע ובקשה לכופר.

איך להימנע מ-Downloader?

• התראה לכל הורדה: הגדרת המחשב להודיע בפופ-אפ לפני כל הורדה.
• תוכנות אנטי וירוס: התקנת ועדכון תדיר של תוכנה אנטי וירוס איכותית.
• זהירות בפתיחת קבצים וקישורים: אל תפתחו קבצים או קישורים ממקורות בלתי ידועים או חשודים.
• עדכונים תדירים: דאגו לעדכן את המערכת ההפעלה ותוכנות אחרות באופן תדיר.

מה לעשות אם המחשב נדבק?

• סריקה באנטי וירוס: בצעו סריקה מיידית לזיהוי התוכנה הזדונית.
• הסרת התוכנה הזדונית: בצעו הסרה מיידית של כל התוכנה הזדונית שהורדתם.
• שינוי סיסמאות: אם יש חשש שמידע פרטי נחשף, שנו את סיסמאות הגישה שלכם לשירותים השונים.

8. תוכנה זדונית לגניבת מידע: תוכנה זדונית שאוספת מידע מהמחשב של הקורבן ושולחת אותו בדרך-כלל לתוקף. דוגמאות כוללות Sniffers, password hash cracker ו-keyloggers. תוכנה זדונית זו משמשת בדרך-כלל כדי לקבל גישה לחשבונות מקוונים כגון דואר אלקטרוני או בנקאות מקוונת.

9. Launcher: תוכנית זדונית המשמשת להפעלת תוכניות זדוניות אחרות. בדרך-כלל, משגרים משתמשים בטכניקות לא מסורתיות כדי להפעיל תוכניות זדוניות אחרות על מנת להבטיח התגנבות או גישה גדולה יותר למערכת.

10. Rootkit: אוסף של תוכנות מחשב, לרוב זדוניות, המיועדות לאפשר גישה למחשב או לאזור בתוכנה שאינו מותר בדרך אחרת (למשל, למשתמש שאינו מורשה) ולעתים קרובות מסווה את קיומו או את קיומה של תוכנה אחרת.
ערכות Rootkits משולבות בדרך-כלל עם תוכנות זדוניות אחרות, כגון דלת אחורית, כדי לאפשר גישה מרחוק לתוקף ולהקשות על זיהוי הקוד של הקורבן. פוגען המכיל סט כלים. הצבת "חייל" מתוחכם עם כלל אביזריו במחשב הקורבן. לרוב התוקף השתמש ב-Rootkit כאשר ירצה להשתמש במחשב הקורבן לביצוע התקיפה גם ללא יכולות C&C (שליטה ע"י התוקף).

Rootkit הוא קוד זדוני המתקבל במחשב או במערכת ומטרתו לאפשר למתקיף גישה מלאה ובלתי מוגבלת למערכת, כאשר הוא מסתיר את נוכחותו ואת פעולותיו. השם "Rootkit" מגיע מהמונח "root" המסמל את ההרשאות המרביות במערכת ההפעלה של UNIX, והמונח "kit" המציין את הכלים הנלווים שמאפשרים את התקיפה.

בניגוד לווירוסים ולרוב התוכנות הרעילות האחרות, ה-Rootkit אינו מבצע הרס או גניבת מידע באופן ישיר. במקום זאת, הוא מסתיר את עצמו ומאפשר למתקיף גישה למערכת המותקפת כולה. ה-Rootkit יכול לשנות את הפונקציונליות הבסיסית של המערכת, כולל את פעולות הגילוי והסרה של תוכנות אנטי-וירוס.

סוגי Rootkits

• Kernel Mode Rootkits: פועלים ברמה הגבוהה ביותר של המערכת ומשנים את ההתנהגות של ה-Kernel של המערכת. (ה'קרנל' הוא מרכיב ליבה של מערכת הפעלה ומשמש כממשק הראשי בין החומרה הפיזית של המחשב לתהליכים הרצים בו).
  
  
• User Mode Rootkits: פועלים ברמת המשתמש ומשתמשים בפרוצדורות ובכלים שמגיעים עם המערכת ההפעלה.
  
  
• Firmware Rootkits: מתקבלים ברמת הקוד הקשוח של המכונה, ומשנים את פונקציונליות הקוד הקשוח או ה-Bios.

זיהוי Rootkit

הגילוי של Rootkit הוא אחת המשימות הקשות ביותר בתחום האבטחת המידע, בגלל היכולת שלו להתגנב ולהסתיר את עצמו. עם זאת, ישנם כמה שיטות:

• השוואת ההתנהגות: השוואת ההתנהגות הרגילה של המערכת להתנהגותה כאשר ה-Rootkit פעיל.
  
  
• סריקת זיכרון: זיהוי הפערים בין הזיכרון הפיזי לבין הזיכרון הווירטואלי.
  
  
• אנליזה פורנזית: אנליזה מורחבת של המערכת במטרה לאתר שוני בין המערכת לבין גרסת מערכת נקייה.

התמודדות עם Rootkit

אחרי הגילוי, ההסרה של ה-Rootkit היא משימה מאתגרת. בכלל, זה מצריך הגברת ההגנות, סריקה מעמיקה של המערכת, ולעיתים גם התקנה מחדש של המערכת ההפעלה.

11. תוכנת Scareware Malware: מיועדת להפחיד משתמש נגוע לקנות משהו. בדרך-כלל יש לו ממשק משתמש שגורם לו להיראות כמו אנטי וירוס או תוכנת אבטחה אחרת. זה מודיע למשתמשים שיש קוד זדוני במערכת שלהם ושהדרך היחידה להיפטר ממנו היא לקנות את ה"תוכנה" שלהם, כאשר במציאות, התוכנה שהיא מוכרת לא עושה יותר מאשר להסיר את תוכנת ההפחדה. <ShuldIRemoveIt>

12. תוכנה זדונית שולחת דואר זבל (Spam-sending malware): 

הדואר האלקטרוני הפך לכלי בסיסי בחיי היומיום שלנו. הוא משמש לתקשורת, לעסקאות ולשליחת מידע. אך, כמו כל טכנולוגיה, הדואר האלקטרוני הפך ליעד למתקפות סייבר, ובפרט לתוכנות זדוניות השולחות דואר זבל.

תוכנה זדונית שמדביקה את המחשב של משתמש ולאחר מכן משתמשת במחשב זה כדי לשלוח דואר זבל. תוכנה זדונית זו מייצרת הכנסה לתוקפים בכך שהיא מאפשרת להם למכור שירותי שליחת דואר זבל. ה- Adware גורם לשתילת שטחי פרסומות על גבי דפדפני הקורבן. התוקפים מפרסמים שיש להם יכולות פרסום ובעצם מרוויחים משטחי פרסום ולא מהסבת נזק לקורבנות. אני כלקוח שרוצה לפרסם, אפנה לתוקף כגורם מפרסם (ללא ידיעה שהוא לא חוקי) ואפרסם דרכו. התוקף יקבל ממני כסף על השירות והקורבן במקרה הזה יצפה בפרסומות.

התוכנה הזדונית יכולה להגיע במגוון דרכים:

• הורדת תוכנות ממקורות לא אמינים: הרבה מהתוכנות ה"חופשיות" מכילות תוכנות זדוניות.
• קבצים מזוגגים: מסמכים או קבצי מדיה המכילים קוד זדוני.
• קישורים בהודעות דואר אלקטרוני: לחיצה על קישור בהודעת דוא"ל חשודה יכולה להוביל להתקנת התוכנה הזדונית.

דואר זבל אינו מזיק רק למערכת המידע אלא גם לאדם השולח אותו. שליחת דואר זבל יכולה להוביל להשפעות משפטיות ולפגיעה במוניטין.

13. KEYLOGGER: מקליט את הקשות המקלדת. כיום תקיפה זו פחות נפוצה היות וקלה לזיהוי ע"י מנגנוני הגנה פשוטים.

אחת הטכניקות הנפוצות ביותר שבהן משתמשים התוקפים הם תוכנות מעקב או "Keyloggers". מדובר בתוכנה זדונית שמטרתה היא לרשום את הקלדות המקלדת של המשתמש, במטרה לחשוף מידע רגיש כמו סיסמאות, מספרי כרטיסי אשראי ועוד.

ה-Keylogger יכול להיות גישה פיזית או תוכנה. ברוב המקרים, מדובר בתוכנה שמותקנת בצורה חשאית על המחשב, והיא עובדת ברקע, מסתירה את עצמה מהמשתמש הרגיל. היא רושמת את כל הקלדות המקלדת ושולחת את המידע לתוקף.

איזה מידע יכול Keylogger לרשום?

• סיסמאות: לגישה לאתרים, תוכנות ומערכות.
• תוכן דוא"ל: הודעות שנשלחות ומתקבלות.
• מסרים בצ'אטים: בפלטפורמות שונות.
• מידע אישי: כמו מספרי כרטיסי אשראי, תעודות זהות ועוד.

השפעות ה-Keylogger

למרות שה-Keylogger נתפס כאיום קטן ביחס לתוכנות זדוניות אחרות, ההשפעה שלו יכולה להיות מדהימה. גילוי של מידע אישי יכול לגרום לגניבה זהית, הוצאות כספיות לא מצופות ואף נזק למוניטין אישי ומקצועי.

14. RANSOMWARE: סוג של תוכנה זדונית המצפינה את הנתונים של הקורבן ומונע בעדו את היכולת לגשת אליהם. לאחר מכן, התוקף יכול לדרוש כסף (סחיטה לצורך קבלת כופר) בתמורה לשחרור הנתונים. בכמה מקרים, אף אחרי התשלום, הנתונים לא בהכרח משוחררים.

Ransomware יכול להגיע למחשב בדרכים רבות, כולל הורדות תוכנה, קבצים זדוניים, קישורים זדוניים בדוא"ל ועוד. ברגע שהתוכנה מותקנת, היא מצפינה את הנתונים ומציגה הודעה למשתמש עם הוראות לתשלום.

הנזק שה-Ransomware יכול לגרום הוא אדיר. חברות גדולות, בתי חולים, גופים ציבוריים ופרטים יחידים כבר נפגעו ממנו. ההשפעה לא רק כלכלית, אלא גם תוקפת את מוניטין האורגניזציה ואמון הלקוחות בה.

15. EVIL TWIN: תקיפת Access Point.

התקפת "EVIL TWIN" (תאום הרשע) היא התקפה בה מתקיף מקים נקודת גישה Wi-Fi מזויפת, הנראית בדיוק כמו הרשת האמיתית אליה הייתם מתכננים להתחבר. כאשר משתמש נפלא מתחבר לרשת המזויפת, המתקיף יכול לצפות בנתוני התנועה שלו, לקלוט מידע או לבצע התקפות אחרות.

השיטה

• הקמת הרשת: המתקיף מקים נקודת גישה עם שם דומה או זהה לרשת המקורית, לעיתים באמצעות אותו הציוד.
• הפניה: במקרים מסוימים, המתקיף יכול גם להפנות את התעבורה מהרשת האמיתית לרשתו המזויפת.
• איסוף המידע: כאשר משתמש התחבר לרשת, המתקיף יכול לקלוט נתונים, כמו שמות משתמש, סיסמאות ועוד.

היכן זה יכול לקרות?

בעיקר במקומות ציבוריים: בתחנות רכבת, שדות תעופה, קפה, מלונות ועוד. במקומות אלו הביקוש ל-Wi-Fi גבוה, והמתקיפים מנצלים זאת.

התגוננות

• וידוא: תמיד בדוק את שם הרשת ופרטיה לפני ההתחברות.
• הימנעות: נמנע מהתחברות לרשתות לא מוכרות או חסרות סיסמה.
• VPN: השתמש ב-VPN כאשר אתה מחובר לרשתות פומביות. זה יצפין את התנועה שלך ויקשה על המתקיפים לקלוט את המידע שלך.

16. תוכנות זדוניות ממוקדות

• כמו דלת אחורית מיוחדת במינה, מותאמת לארגון ספציפי.
• תוכנות זדוניות ממוקדות הן איום גדול יותר על רשתות מאשר תוכנה זדונית המוני, מכיוון שהיא אינה נפוצה ומוצרי האבטחה  כנראה לא יגנו עליך מפניה.
• ללא ניתוח מפורט של תוכנות זדוניות ממוקדות, זה כמעט בלתי אפשרי להגן על הרשת  מפני תוכנה זדונית ולהסיר זיהומים.
• תוכנה זדונית ממוקדת היא בדרך-כלל מאוד מתוחכמת, ולעתים קרובות הניתוח  ידרוש את מיומנויות הניתוח המתקדמות.

התנהגות של תוכנות זדוניות

מטרת פרק זה היא לספק סיכום של התנהגויות נפוצות, ובסיס ידע שיאפשר לזהות מגוון אפליקציות זדוניות. לא ניתן לכסות את כל סוגי התוכנות הזדוניות מכיוון שתמיד נוצרות תוכנות זדוניות עם יכולות נוספות, אך נקבל כאן הבנה טובה של סוגי הדברים שצריך לחפש.

• הורדות ומשגרים (Downloaders and Launchers)

• מורידים פיסת תוכנה זדונית נוספת מהאינטרנט ומבצעים אותה במערכת המקומית
• לעתים קרובות ארוז עם Exploit
• משגר (המכונה גם טוען) הוא כל קובץ הפעלה שמתקין תוכנה זדונית לביצוע סמוי מיידי או עתידי

•  דלתות אחוריות

• דלת אחורית היא סוג של תוכנה זדונית המספקת לתוקף גישה מרחוק למכונה של הקורבן.
•  דלתות אחוריות מתקשרות דרך האינטרנט בדרכים רבות
•  דלתות אחוריות מגיעות עם קבוצה משותפת של פונקציונליות, כגון היכולת לתפעל מפתחות רישום, ליצור ספריות, קבצי חיפוש וכו' 
• Reverse Shell

• חולדות (RATs)
  
  
• כלי ניהול מרחוק (RAT) משמש לניהול מרחוק של מחשב או מחשבים
• o RAT משמשים לעתים קרובות בהתקפות ממוקדות עם מטרות ספציפיות
• גניבת מידע
• נעים לרוחב על פני רשת
  
  
• Botnets
  
  
• רשת בוט היא אוסף של מארחים שנפגעו, הידועים בשם זומבים
• נשלט על ידי ישות אחת
• להתפשר על כמה שיותר מארחים
• לבצע מתקפת מניעת שירות מבוזרת (DDoS).
  
  
• גנבי אישורים (Credential Stealers)
  
  
• תוקפים לרוב עושים מאמצים רבים כדי לגנוב אישורים:
• תוכניות שמחכות למשתמש להיכנס כדי לגנוב את האישורים שלו
• תוכניות המשליכות מידע המאוחסן ב-Windows, כגון גיבוב סיסמה, לשימוש ישיר או לפיצוח במצב לא מקוון
•  תוכניות שמתעדות הקשות

Hash Dumping 

•  Dumping Windows hashes היא דרך פופולרית עבור תוכנות זדוניות לגשת לאישורי מערכת (Offline Crack)
•  Pwdump וכלי Pass-the-Hash (lsass.exe)

Keylogging היא צורה קלאסית של גניבת אישורים. בעת רישום מקשים, תוכנה זדונית מתעדת הקשות על מנת שתוקף יוכל לצפות בנתונים מוקלדים כמו שמות משתמש וסיסמאות

•  Keyloggers מבוססי ליבה
•  Keyloggers של מרחב משתמש

• תוכנות זדוניות ללא קבצים

אחת הצורות החדשות והערמומיות ביותר של תוכנות זדוניות היא תוכנה זדונית ללא קובץ מצורף. הכוונה במילים "ללא קבצים" היא שכאשר המחשב נדבק, לא יורדים קבצים לכונן הקשיח. שלא כמו תוכנות זדוניות מסורתיות המסתמכות על צרופות שמטרתן להיות מאוחסנות במערכת היעד על מנת לבצע ניצול מערכת (Exploitation), התוכנות הזדוניות ללא קבצים פועלות על מנת למנף כלים ותהליכים קיימים של המערכת, מה שמאוד מקשה על איתור ומיגור של אותם סיכונים.

משתמש מתפתה ללחוץ על קישור או קובץ מצורף שהאקר מכניס לדוא"ל דיוג. התוקף עשוי להשתמש בהנדסה חברתית כדי לתמרן את הרגשות של הקורבן ולגרום לו ללחוץ על הקובץ המצורף או הקישור. לאחר מכן, התוכנה הזדונית מוכנסת למערכת ומתחילה לעבור ממכשיר אחד לאחר.

התכונה החזקה ביותר של תוכנות זדוניות חסרות קבצים, לפחות מנקודת המבט של התוקפים, היא שהם לא צריכים לנסות להתחמק מתוכנות אנטי וירוס כדי להעלות את זה למחשב הקורבן. הסיבה לכך היא תוכנה זדונית ללא קבצים משנה את שורות הפקודה, שהן שורות קוד שמורות לתוכניות מה לעשות. ייתכן שתוכנית אנטי-וירוס רגילה לא תוכל לזהות את האיום מכיוון שאין קובץ חריג המשויך אליה.

ניתוח תוכנות זדוניות ללא קבצים מקשה על זיהוי והשמדה של וירוסים בהשוואה לתוכנות זדוניות שמותקנות ישירות על הכונן הקשיח. מכיוון שהתקפות תוכנות זדוניות ללא קבצים אינן דורשות קבצים זדוניים, כלי אנטי-וירוס מסורתיים המבצעים סריקות חומרה לאיתור איומים עלולים לפספס אותם לחלוטין.

תוכנה זדונית ללא קבצים, הידועה גם כ"התקפות מבוססות זיכרון'", מנצלת תהליכים וכלים לגיטימיים הזמינים במערכת היעד על מנת לבצע פעולות זדוניות כנגד אותה המערכת.

תוכנה זדונית ללא קבצים כוללת קוד שעושה מספר דברים שווירוסים רגילים יכולים לעשות, כולל חילוץ נתונים. פעילויות זדוניות מסוג זה עלולות להפעיל סריקה. לאחר מכן, אנשי האבטחה יכולים להתחיל בצעדי הפחתת תוכנות זדוניות ללא קבצים, שלעיתים קרובות כוללים סריקת שורות הפקודה של יישומים מהימנים, כגון Microsoft Windows PowerShell, או פקודות מאקרו ביישומים נפוצים בסביבת Microsoft Office, המשמשת לאוטומציה של משימות. במובן מסוים, למרות שתוכנה זדונית ללא קבצים יכולה לפעול, היא לא יכולה להסתתר.

הגורם המבדיל העיקרי בין תוכנות זדוניות ללא קבצים לבין כאלו הכוללות קבצים, טמון בטכניקות הביצוע וההתמדה שלהן. בעוד שתוכנות זדוניות מסורתיות מסתמכות על קבצים הנכתבים לדיסק ומשאירים עקבות פורנזיות הניתנות לאיתור, ה Fileless Malwares פועלות אך ורק בזיכרון, מה שגם מאפשר להן בין היתר להתחמק מתוכנות לזיהוי קבצים זדוניים ומאפיינים חשודים.

יתרון תוכנות זדוניות ללא קבצים:

• התגנבות: היכולת להימנע מזיהוי על ידי מוצרי אבטחה למשך זמן רב ככל האפשר
• הסלמה של הרשאות: היכולת לנצל פגיעות שתעניק להם גישת מנהל למערכת, כך שהם יכולים לעשות מה שהם רוצים
• איסוף מידע: לאסוף כמה שיותר נתונים על הקורבן וממחשב הקורבן (שישמש מאוחר יותר בהתקפות אחרות);
• התמדה: היכולת לשמור את התוכנה הזדונית במערכת, ללא זיהוי, למשך הזמן הארוך ביותר האפשרי.

תוקפים יכולים גם לתכנת תוכנות זדוניות ללא קבצים כדי להשיג 'המשכיות התקפית' לאחר שנכתבה ישירות ל-RAM. הקוד מסתתר במיקומים שקשה לסרוק או לזהות על ידי מוצרי אנטי וירוס מסורתיים. סוג זה של זיהומים מתמשכים ובעלי מסכות יכולים להיות כאב ראש אמיתי עבור המחשב והנתונים:

1. תוכנה זדונית 'תושבת זיכרון' – סוג זה של תוכנות זדוניות כמעט חסרות קבצים עושה שימוש בשטח הזיכרון של תהליך או קובץ Windows אותנטי. הוא טוען את הקוד הזדוני שלו לתוך שטח הזיכרון הזה ונשאר שם עד שהוא מופעל. זה אולי לא סוג תוכנה זדונית חסרת קבצים לחלוטין, אבל אנחנו יכולים לכלול אותו בבטחה בקטגוריה זו.
   
   
2. Rootkits – סוג זה של תוכנות זדוניות מסווה את קיומו מאחורי משתמש מחשב כדי לקבל גישת מנהל. ערכות שורש שוכנות לעתים קרובות בליבה, ולכן נמשכות למרות הפעלה מחדש וסריקות אנטי-וירוס רגילות. יכולות ההסוואה שלו מוזרות והסרה יכולה להיות כמעט בלתי אפשרית. אמנם גם זה לא זיהום 100% חסר קבצים, אבל זה מתאים לכאן.
   
   
3.  תוכנות זדוניות ב- Windows Registry – סוגים חדשים יותר של תוכנות זדוניות ללא קבצים מסוגלות להימצא ברישום של Windows. רישום Windows הוא מסד נתונים המאחסן הגדרות ברמה נמוכה עבור מערכת ההפעלה ואפליקציות מסוימות. זה מקום שקשה לנווט בו כמשתמש רגיל. אבל מחברי תוכנות זדוניות אפילו ניצלו את מטמון התמונות הממוזערות של מערכת ההפעלה כדי להשיג התמדה. זה נכון שסוג זה של תוכנות זדוניות ללא קבצים מבצע קוד בקובץ ברישום, אבל הקובץ מוגדר להשמדה עצמית ברגע שהוא ביצע את המשימה הזדונית שלו.

סוגי התקפות זדוניות ללא קבצים

ישנם כמה סוגים שונים של התקפות תוכנות זדוניות ללא קבצים, אך הן נוטות להכנס תחת שתי קטגוריות עיקריות: הזרקת קוד זיכרון ומניפולציה של הרישום של Windows.

• הזרקת קוד זיכרון: עם הזרקת קוד זיכרון, הקוד הזדוני שמניע תוכנות זדוניות ללא קבצים מוסתר בתוך הזיכרון של יישומים תמימים אחרת. לעתים קרובות, התוכניות המשמשות להתקפה מסוג זה הן חיוניות לתהליכים חשובים. בתוך תהליכים מורשים אלה, התוכנה הזדונית מפעילה קוד.
  במקרים רבים, התקפות מסוג זה משתמשות בפגיעויות בתוכנות, כגון Flash ו-Java, כמו גם בדפדפנים. מקובל גם שהאקר משתמש במסע פרסום דיוג כדי לחדור למערכת של הקורבן. לאחר שהתוכנה הזדונית קיבלה גישה, היא מבצעת קוד בתוך זיכרון מחשב היעד, לא מתוך אפליקציה שתוכננה על ידי התוקף.
  
  
• מניפולציה של הרישום של Windows: עם מניפולציה של הרישום של Windows, התוקף משתמש בקישור או קובץ זדוני שמנצל תהליך מהימן של Windows. לאחר שמשתמש לוחץ על הקישור, למשל, תהליך Windows משמש לכתיבה וביצוע של קוד ללא קבצים לתוך הרישום.
  בדומה לתוכנות זדוניות של הזרקת קוד זיכרון, על ידי מניפולציה של הרישום במקום עבודה דרך יישום זדוני, סוג זה של תוכנות זדוניות חסרות קבצים יכול להסתתר מכלי זיהוי מסורתיים, כגון תוכנת אנטי-וירוס.
  
  סוגי מתקפות של תוכנות זדוניות ללא קבצים מצורפים: 
  
  
• מתקפות על ידי PowerShell - מדובר בשפת סקריפטינג המובנית במערכות Windows שאותה תוקפים מנצלים בגלל הפונקציונליות המורכבת והנרחבת שלה על מנת להריץ סקריפטים זדוניים ישירות בתוך הזיכרון, תוך כדי עקיפת אמצעי אבטחה מסורתיים.
  
  
• תרחיש אמיתי יכול לכלול שימוש בשפת PowerShell על מנת ליצור ערוצי שליטה מרחוק (C&C), לבצע Exfiltration למידע או להוריד Payloads נוספים.
  
  
• מתקפות מבוססות WMI - מדובר במסגרת ניהול בשם Windows Management Instrumentation והיא מספקת לתוקפים זדוניים וקטור נוסף עבור תוכנות זדוניות ללא צרופות.

על ידי ניצול של מנויים לאירועים של WMI או הרצת סקריפטים זדוניים דרך WMI, התוקפים יכולים להשיג אחיזה במערכת ולהריץ פקודות במערכות שנפגעו מבלי להסתמך על קבצים מסורתיים.

טכניקה זו מאוד מאתגרת לזיהוי מאחר ומערכת WMI הינה רכיב מהימן דיפולטיבי של מערכת ההפעלה Windows.

תוכנות זדוניות חסרות קבצים צוברות פופולריות - בעיקר בגלל שהיא יכולה לעקוף את טכנולוגיית האנטי-וירוס המסורתית, מה שמקל על התוקפים להפיץ אותה, במיוחד בגלל שמנגנוני הגנת סייבר רגילים לא יראו את ההתקפה מגיעה לעולם.

תוכנת אנטי-וירוס רגילה עלולה שלא לפעול. גם שיטות כמו ארגז חול ורשימת היתרים יהיו לא יעילות, בעיקר בגלל שאין חתימת קבצים טיפוסית שתוכניות מסוג זה יכולות לזהות ולהפחית.

חיפוש אינדיקטורים של התקפה (IOA) היא דרך יעילה לזהות תוכנות זדוניות ללא קבצים. הסיבה לכך היא שאתה מזהה את הפעילות הקשורה לתוכנה הזדונית, בניגוד לקובץ ספציפי שהוכנס למחשב שלך. זה שונה מניתוח אינדיקטורים של התקפה (IOCs) מכיוון שאתה לא מחפש קבצים חשודים - אלא אתה בודק את המערכת שלך לאיתור פעילות חריגה.

פעילות תקיפה כוללת ביצוע קוד חריג ותנועות לרוחב. תנועות רוחביות כרוכות במעבר של קוד מרכיב אחד לאחר שהוא חדר לרשת שלך. על ידי לימוד האלמנטים הללו של התקפה, אתה מתמקד בהתנהגות של תוכנת הזדונית במקום בחתימות קבצים שיכולות להצביע על נוכחות של וירוס מסורתי, למשל.

רשתות BOTNET

לאדם בודד יש כוח מוגבל. אם יוסיף אליו אנשים אחרים שמאמינים בדרכו ובמטרותיו, כוחם יהיה רב לאין שיעור.

ההקבלה בעולם הסייבר מופיעה בדמותן של רשתות Botnet, המהווים איום משמעותי על אבטחת מערכות וארגונים בכלל. בשנים האחרונות מספר רשתות ה Botnet גדל באופן דרמטי והפך לאחד מנשקי הסייבר המועדפים על פושעים ברחבי העולם.

מאמר זה יספק הבנה על מה היא בכלל רשת Botnet, מי משתמש בהן ומדוע, כיצד מחשב יכול להידבק ולהתווסף אוטומטית לרשת הבוטים, אילו מתקפות יכולות לבצע רשתות בוטים מסיביות וכמובן כיצד לזהות ולהתגונן מפניהן.

רשתות Botnet הן רשתות של מכשירי רשת (לאו דווקא מחשבים אלא כל מכשיר שיכול לקבל ולשדר מידע ובעל כתובת IP) שנפגעו, המכונים לעיתים "זומבים" ונמצאים בשליטה מלאה של שרת פיקוד ובקרה בשליטת התוקף (Command And Control Server).

רשת בוט נוצרת על ידי הדבקה של מכשירים בתוכנה זדונית שניתנת להשגה בדרכים שונות ומגוונות.

לאחר ההדבקה עצמה, מפעיל רשת הבוטים (התוקף) יכול לשלוט על המכשירים שנפרצו בצורה מרוחקת ולהשתמש בהם למגוון מטרות, מגניבת מידע רגיש, כריית מטבעות קריפטוגרפיים, הפעלת מתקפות מניעת שירות מבוזרות על קורבנות שונים או הפצה של ספאם ותוכן זדוני אחר.

בניית רשת בוטנט

ישנן מספר דרכים שבהן מחשב יכול להיות מצורף לרשת בוטנט. הדרך הנפוצה ביותר היא באמצעות תוכנת זדונית, כגון וירוס, תולעת או תוכנת ריגול. ניתן להחדיר תוכנות אלה למחשב הקורבן באמצעות מגוון דרכים, כגון:

• הורדה של תוכנה ממקור לא מאובטח
• פתיחה של דואר אלקטרוני זדוני
• גלישה באתרים זדוניים
• נקודת תורפה במערכת ההפעלה או בתוכנה שהותקנה במחשב הקורבן.
• קישור לרשת Wi-Fi ציבורית לא מאובטחת.

מחשבים יכולים להפוך לחלק מרשת בוטים בכמה דרכים. אחד השיטות הנפוצות ביותר היא הנדסה חברתית, כל סוג של מודעה ממומנת שנוצרה על ידי תוקף, הודעות דיוג וקישורים זדוניים באשר הם.

ברגע שהמשתמש לוחץ על הקישור או פותח את הקובץ המצורף, תוכנה זדונית ייעודית מתקינה את עצמה ברקע והופכת את המחשב לחייל בצבא הבוטים.

דרך נוספת שקיימת היא באמצעות ניצול של התוקף את נקודות החולשה שלא עודכנו במערכות הקורבן, חשיפת המערכות לפרצות 1Day או 0Day שעוד לא עודכנו על ידי היצרן או על ידי המשתמש (Non Updated Computers).

ברגע שתוכנת זדונית נכנסת למחשב המותקף, היא יכולה להשתמש בו כדי לשלוח דואר זבל, לבצע התקפות DDoS או לבצע פעולות אחרות שיכולות להזיק הן לבעל המחשב והן לאחרים.

גיוס לרשת והוראות

העבריין יכול לתת פקודות לתוכנה הזדונית במחשב שלך באמצעות מספר דרכים, כגון:

• פקודות מרחוק: העבריין יכול להשתמש בתוכנה מיוחדת כדי להתחבר למחשב שלך מרחוק ולתת לו פקודות.
• פקודות מרובות פלטפורמות: העבריין יכול להשתמש בתוכנה מיוחדת שיכולה לשלוח פקודות למחשב שלך באמצעות מספר פלטפורמות, כגון דואר אלקטרוני, SMS או הודעות טלגרם.
• פקודות מבוססות אינטרנט: העבריין יכול להשתמש באתר או בשירות אינטרנט כדי לתת פקודות למחשב שלך.

הדרך המדויקת שבה התוקף נותן פקודות לתוכנה הזדונית תלויה בסוג התוכנה הזדונית ובהעדפותיו של התוקף.

להלן דוגמאות לפקודות שניתן לתת לתוכנה זדונית:

• פקודות הפעלה: העבריין יכול להשתמש בפקודות אלו כדי להפעיל תוכניות או תהליכים במחשב שלך.
• פקודות ניתוק: העבריין יכול להשתמש בפקודות אלו כדי לנתק את המחשב שלך מהרשת או ממקורות נתונים אחרים.
• פקודות גניבה: העבריין יכול להשתמש בפקודות אלו כדי לגנוב מידע מהמחשב שלך, כגון סיסמאות, נתוני כרטיסי אשראי או מידע אישי אחר.
• פקודות תקיפה: העבריין יכול להשתמש בפקודות אלו כדי לבצע התקפות על מחשבים או רשתות אחרות.

רשתות בוט יכולות ומוציאות לפועל מתקפות רבות, כמה מהן למשל יהיו:

1. מתקפות מניעת שירות מבוזרות (DDOS) - כמות המערכות המתפקדות כחיילים בצבא הבוטים שולחות כמות עצומה של בקשות שירות לאתר או פלטפורמה קיימת במטרה להעמיס על היכולת שלה להתמודד עם כמות פניות כאלו בבת אחת, עד לכדי מצב שהיא מוצפת לחלוטין וקורסת תחת העומס. זו שיטה מאוד מוכרת וידועה לגרימת קריסה או חוסר זמינות לקורבן.
2.  הפצת ספאם והודעות זדוניות - מערכות שנדבקו שולחות כמויות אדירות של הודעות ספאם על מנת להעמיס על תיבות הדואר של הקורבנות, להפיץ הונאות או תוכן פלילי וכמובן להפיץ את התוכנה הזדונית על מנת להדביק מחשבים נוספים ולהגדיל את היקף רשת הבוטים עצמה.
3. כריית מטבעות קריפטוגרפיים - שרת הניהול (C2C) שולח פקודות למחשבים הנגועים ומשתמש במשאבים החומרתיים שלהם על מנת לבצע פעולות מתמטיות מסובכות ולכרות מטבעות קריפטו ללא עלות מצידו. אלו פעולות שמאטות את המחשב, פוגעות בביצועים שלו ונחשבות כמאוד בזבזניות מבחינת חשמל.

C&C, או Command and Control

ניתן להפעיל בו זמנית כמה מחשבים זומבים. הדבר מבוצע באמצעות תוכנה מיוחדת שנקראת C&C, או Command and Control (בקרת בוטנט). תוכנה זו מאפשרת לתוקף לשלוט במחשבים רבים בו זמנית, כמו גם לקבל מידע מהם.

מערכת Command and Control (C&C או C2) היא רכיב קריטי בתשתיות של תוקפי סייבר, במיוחד במקרה של רשתות בוטנט ותוכנות זדוניות מתקדמות. מערכת כזו מאפשרת לתוקף לשלוט מרחוק במערכות זדוניות, לתקשר עם התוכנה הזדונית שהותקנה על מחשבים מודבקים ולהנחות אותם לביצוע פעולות שונות. הנה הרכיבים העיקריים של מערכת C&C:

• שרת C&C: המרכזיות של מערכת C&C, שרתים אלה משמשים כנקודת קשר עבור המחשבים המודבקים. הם מקבלים ושולחים פקודות ומידע מהבוטנט.
  
  
• פרוטוקולי תקשורת: המערכת יכולה להשתמש בפרוטוקולי תקשורת שונים, כמו HTTP, HTTPS, IRC או פרוטוקולים מותאמים אישית, כדי לאפשר את התקשורת בין השרת לבוטים.
  
  
• מנגנון ניהול הבוטים: זהו ממשק שמאפשר לתוקף לשלוט, לעדכן ולנהל את הבוטים. זה כולל יכולת לפקח על התקנות, לשדרג תוכנות זדוניות, להנחות את הבוטים לביצוע פעולות ולאסוף נתונים.
  
  
• הצפנה: התקשורת בין השרתים והבוטים מוצפנת לרוב כדי להסתיר את הפעילות מפני גופים אבטחיים ולמנוע חשיפת הרשת הזדונית.
  
  
• חלופת תשתיות: מערכות C&C מתקדמות יכולות לכלול שרתים חלופיים ודרכים חלופיות לתקשורת על מנת להבטיח יציבות ורזיליות של הרשת.
  
  
• אוטומציה: רוב מערכות C&C מואטמות ומסוגלות לבצע מגוון פעולות באופן עצמאי, ללא התערבות ישירה של התוקף.
  
  
• אמצעי חיץ: כדי להסתיר את הפעילות ולחמוק מגילוי, תוקפים עשויים להשתמש בשיטות חיץ כמו רשתות VPN, שירותי פרוקסי ו-Tor.

התוכנה לרוב פועלת על שרת מרוחק, מה שמאפשר לעבריין לשלוט בכל המחשבים הזומבים ממקום אחד. התוכנה יכולה גם לשלוח פקודות למחשבים הזומבים באמצעות מגוון דרכים, כגון:

• דרך רשת ציבורית, כגון האינטרנט: העבריין יכול להשתמש בשרת מרוחק כדי לשלוח פקודות למחשבים הזומבים.
  
  
• דרך רשת פרטית, כגון רשת פנימית של עסק: העבריין יכול להשתמש בנקודת גישה פנימית כדי לשלוח פקודות למחשבים הזומבים.
  
  
• דרך התקנים ניידים, כגון מחשבים ניידים או טלפונים חכמים: העבריין יכול להשתמש במכשירים אלו כדי להתחבר למחשבים הזומבים ולשלוח להם פקודות.

רשתות BOT ידועות

רשתות בוטים פועלות ברחבי העולם, ביצעו ומבצעות פעולות פליליות וחלקן גם נתפסו והושבתו על ידי רשויות הביון השונות. חלק מהרשתות הן :

• Mirai Botnet - רשת הבוטים הזו התגלתה בשנת 2016 לראשונה ומאז זכתה להיות ידועה לשמצה בשל היכולת שלה לבצע מתקפות DDOS מאסיביות. Mirai הדביקה מכשירי IoT (ראשי תיבות של Internet Of Things, ואלו מכשירים שיודעים לעבוד ברשת אבל לאו דווקא מחשבים, כמו שעון חכם או מצלמת רשת) שהוגדרו מראש עם סיסמאות חלשות או ברירת-מחדל ולכן נפרצו בקלות יתרה על ידי מפעיל רשת הבוטים.
  
  
• רשת הבוטים Mirai שימשה להתקפה ה DDOS הגדולה ביותר שתועדה אי פעם וכוונה כלפי ספקית ה DNS הגדולה Dyn ובכך גרמה להפרעה נרחבת באינטרנט. ה- Botnet נמסר לקבוצה של האקרים שהשתמשו בו למטרות רווח כספי ובכדי לתקוף את התוקףים הקיימים שלהם.
  
  
• Necurs Botnet - רשת הבוטים הזו התגלתה בשנת 2012 והיא אחת מהרשתות הגדולות בהיסטוריה, עם רקורד מוכח של מיליוני מחשבים נגועים. היא נודעה לשמצה בזכות היכולת שלה לשלוח כמויות אדירות של דואר ספאם, הונאות ושיווק מוצרים בלתי חוקיים. בשנת 2020 משרד המשפטים האמריקאי הודיע שהם הצליחו להסיר את רשת הבוטים ולהתגבר על פעילותה, שבוצעה על ידי קבוצת פושעי סייבר למטרות רווח פיננסי.
  
  
• Trickbot Botnet - רשת הבוטים הזו התגלתה בשנת 2016 והתפרסמה בזכות יכולותיה לגנוב אישורי כניסה פיננסיים ומידע אישי רגיש. היא הדביקה מחשבים באמצעות הודעות דיוג או קישורים זדוניים ולאחר מכן השתמשה במכשירים שנפגעו על מנת לגנוב נתונים רגישים אחרים. הרשת הופעלה על ידי קבוצת פושעי סייבר שהפעילה אותה על מנת לבצע הונאות בהיקף ענק ולבצע פשעים פיננסיים אחרים.

לאתר מחשב ולזהות אם הוא אכן "חבר" ברשת בוטים זו משימה מאתגרת, אך עם זאת עדיין ישנם סימנים מסוימים שעשויים להצביע על כך, כמו למשל מהירות אינטרנט איטית וחריגה, הודעות מוזרות במחשב, איטיות מערכת ההפעלה באופן שלא נראה בעבר או אפילו לוגים המעידים על תקשורת לכתובות מוזרות וחריגות.

על מנת להתגונן ככל הניתן מפני רשתות בוטים, חובה לשמור על עדכניות של תוכנות ומערכת ההפעלה עצמה, להשתמש בתוכנות אנטי-וירוס ולבצע סריקות תכיפות בעזרתן, להשמיש יישומי הגנת רשת בארגונים (למשל WAF) ולהשתמש בסיסמאות חזקות בלבד, יחד עם הגנה של אימות דו שלבי על ידי אפליקציית אימות בלבד.

ככל שתגבר המודעות לאיומי הנדסה חברתית, להתנהלות תקנית עם מכשירי הרשת ולהגנת סייבר בכלל, קטן הסיכוי להידבק בתוכנה זדונית כזו או אחרת שתהפוך את המחשב שלנו לחייל בצבא בוטים ענק.