تغلب على Petya/NotPetya باستخدام QRadar® SIEM
شهر آخر، هجوم آخر. لم يكد العالم يبدأ بالتعافي من سيئ السمعة الهجوم السيبراني واناكراي من اندلاع حرب أخرى، أُطلق عليها اسم NotPetya.
ولحسن الحظ، فإن IBM Security يراقب النبض، حيث قاموا بمعالجة التهديد في نفس يوم ظهوره. على الفور بما فيه الكفاية، أليس كذلك؟ في 27 يونيو 2017، تم إضافة ملحق جديد لمحتوى برنامج طلب الفدية Petya (الإصدار 1.1) لـ IBM® Security QRadar® SIEM أصدرت.
ربما لاحظت التناقض بين اسم الهجوم واسم ملحق QRadar. دعونا نضع النقاط على حرف i ونعبر حرف t بعد ذلك.
بيتيا أو نوتبيتيا: هذا هو السؤال
في البداية، تم إلقاء اللوم في تفشي برامج الفدية الجديدة على البرمجيات الخبيثة Petya، لأن الكثير من الهجوم الجديد قد تم تجربته بالفعل في غزو Petya عام 2016: إعادة تشغيل كمبيوتر الضحية، وتشفير جدول الملفات الرئيسية لمحرك الأقراص الثابتة (MFT)، وتشفير Master سجل التمهيد (MBR) وأخيراً تقديم شاشة CHKDSK متبوعة بشاشة طلب فدية.
لكن، وفقا لكاسبيرسكي لاب، برنامج الفدية الجديد، الذي أصاب 2000 مؤسسة على الأقل، هو نسخة مختلفة من Petya (ومن هنا الاسم هو NotPetya). يشمل برنامج الفدية الأخير أيضًا قدرات WannaCry. وعلى وجه الخصوص، فإنه يستخدم NSA APT ExternalBlue Exploit، الذي يستهدف ثغرة أمنية في Windows Server Letter Block (SMB). ويبدو أن برنامج NotPetya أكثر ضررًا من سابقاته، لأنه يجعل النظام المصاب غير قابل للتشغيل. وهذا يعني أنه حتى لو دفع الضحايا فدية بقيمة 300 دولار وحصلوا على مفتاح فك التشفير، فلن يتمكنوا من استخدامه، لأن أجهزة الكمبيوتر الخاصة بهم معطلة. علاوة على ذلك، لا يوجد مفتاح قتل قد يسمح لمحترفي الأمن بإبطال برامج الفدية.
وما يجعل الأمور أسوأ هو أن NotPetya متاح على نطاق واسع على الإنترنت المظلم مثل برامج الفدية كخدمةوهذا يمهد الطريق لمزيد من الهجمات حتى من قبل المغامرين غير التقنيين.
على الرغم من وجود اختلافات بين Petya وNot Petya في طريقة عملهما، إلا أن الأخير ينتمي إلى عائلة Petya Ransomware، لذا هناك الكثير من خدمات سيم يشير مقدمو الخدمة إلى كلاهما باسم Petya Ransomware. علاوة على ذلك، سنستخدم Petya في النص لكل من البرامج الضارة Petya وNotPetya.
استجابة IBM® Security
كان رد IBM® Security المضاد ضد نسل Petya هو طرح ملحق محتوى Petya Ransomware الجديد (الإصدار 1.1) لـ QRadar، والذي يعطي تحذيرات مبكرة حول تهديدات برامج الفدية.
ما هو الجديد؟
يتميز ملحق QRadar بالميزات الجديدة التالية:
- IOCs المملوءة مسبقًا (مؤشرات التسوية) في أربع مجموعات مرجعية (Petya_FileName، Petya_FileHash، Petya_HostName، Petya_IP). يقوم محللو الأمن بدمج بيانات IOC في مجموعات مرجعية لاكتشاف السلوك المشبوه بشكل أسرع. على سبيل المثال، عندما يتلقى نظام SIEM سجلاً يتضمن اسم ملف Petya، فإنه يقوم بتشغيل قاعدة مخصصة تتحقق مما إذا كانت المجموعة المرجعية Petya_FileName لها مثل هذا الاسم. إذا كان الأمر كذلك، فإن QRadar يولد جريمة.
- يتم تضمين اللبنات الأساسية ذات الصلة ببيتيا (BBs). (تجزئة ملف حدث Petya، اسم ملف حدث Petya، اسم مضيف حدث Petya، حمولة تدفق Petya، العثور على Petya IP، تجزئة ملف Petya QNI، اسم ملف Petya QNI، مضيف Petya QNI). تضمن BBs تفعيل القواعد المناسبة. على سبيل المثال، سيضمن Petya QNI Host BB أن المضيفين المرتبطين بـ Petya مشمولون بقاعدة QRadar معينة.
- تمت إضافة قاعدة التدفق المخصصة المستندة إلى كتل بناء Petya والمجموعات المرجعية. يتم استخدامه للكشف عن الأنشطة المشبوهة للغاية على المنفذ 445 (يوفر SMB عبر TCP)، والاحتمال الكبير لبرامج الفدية، والاحتمال الكبير لفيروس Petya.
- تمت إضافة أربع عمليات بحث محفوظة:
- تدفقات بيتيا تستمر 24 ساعة في نشاط الشبكة
- برامج الفدية المحتملة (نشاط مشبوه، احتمال بيتيا) في نشاط الشبكة
- حدث بيتيا “اسم المضيف” آخر 24 ساعة في سجل النشاط
- حدث بيتيا “تجزئة الملف” آخر 24 ساعة في سجل النشاط
الإجراءات الموصى بها
للتخفيف من انتشار برنامج الفدية NotPetya، يجب على مسؤولي الأمن اتباع التوصيات التالية:
- قم بتثبيت برنامج طرف ثالث يحسب قيم التجزئة للعمليات الجارية (Sysinternals Process Explorer، Hash Generator، HashMyFiles، وما إلى ذلك). تراقب هذه البرامج سلامة الملفات. تعد قيم التجزئة المعدلة في الملفات علامة على هجوم البرامج الضارة.
- قم بتثبيت QFlow Collector (مكون يجمع تدفق حركة المرور) في حل QRadar أو، إذا تمت استضافته عن بعد، قم بتوصيله بنظام SIEM. من خلال تلقي تدفقات حركة المرور، يلتقط QFlow Collector الحمولة التي يمكن العثور على توقيع برامج الفدية فيها.
- تحميل حزمة محتوى Petya Ransomware من IBM X-Force Exchange ودمجها مع QRadar.
ستساعد هذه الإجراءات نظام QRadar SIEM الخاص بك على اكتشاف هجوم Petya والاستجابة له بسرعة وكفاءة.
هل تريد الحفاظ على بيانات عملك آمنة؟ نحن نقدم خدمات استشارات أمن المعلومات التي تعالج التحديات الأمنية مهما كانت درجة تعقيدها.