להורדת המסמך בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר

Transcription

להורדת המסמך בפורמט PDF - המרכז הלאומי להתמודדות עם איומי סייבר
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
‫‪Prime Minister's Office‬‬
‫‪National Cyber Event Readiness Team‬‬
‫‪ :TLP‬לבן‬
‫‪-1-‬‬
‫העדכון שלפניכם לוקט ועובד במסגרת פעילות ה‪ CERT-‬הלאומי על בסיס מגוון מקורות רחב‪ ,‬כדי לרכז מידע רלוונטי ואקטואלי לעוסקים בתחום הגנת‬
‫הסייבר‪ .‬כפועל יוצא‪ ,‬ה‪ CERT-‬הלאומי אינו יכול לערוב לחלוטין למידע המובא בעדכון או למסקנות המשתמעות ממנו‪ ,‬ואין באמור בעדכון משום המלצה‬
‫לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס‬
‫אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬
‫‪ 19‬מאי ‪2015‬‬
‫א' סיון תשע"ה‬
‫סימוכין‪ :‬ל‪-‬ס‪108-‬‬
‫הנדון‪ :‬התרעה על פוגעני ‪AlphaCrypt / TeslaCrypt‬‬
‫רקע‪:‬‬
‫מידע שהתקבל לאחרונה ב‪ CERT-‬הלאומי מצביע על גל תקיפה חדש באמצעות דוא"ל המכיל צרופה נגועה בפוגען‬
‫כופר (‪ )Ransomware‬מסוג ‪.AlphaCrypt / TeslaCrypt‬‬
‫שלבי תקיפה‪:‬‬
‫‪ .1‬התקנת הפוגען על המחשב ויצירת קובץ מסוג ‪ .EXE‬בתיקיית ‪.%AppData%‬‬
‫‪ .2‬הרצת הקובץ אשר סורק את המחשב בחיפוש אחר קבצי נתונים‪.‬‬
‫‪ .3‬הצפנת קבצים בעלי סיומות רלוונטיות באמצעות הצפנת ‪.AES‬‬
‫‪ .4‬מתן סיומת חדשה לקבצים המוצפנים‪ .‬קבצים המוצפנים על ידי פוגען ‪ TeslaCrypt‬יקבלו את הסיומות ‪.ECC‬‬
‫או ‪ ,.EXX‬בעוד קבצים המוצפנים על ידי פוגען ‪ AlphaCrypt‬יקבלו את הסיומת ‪.EZZ‬‬
‫‪ .5‬הצגת הוראות הכופר לשם החזרת הקבצים‪ ,‬הכוללות קישור לאתר ובו שירות הפענוח‪ .‬באתר זה נכתב גם סכום‬
‫הכופר אותו נדרש המשתמש לשלם‪.‬‬
‫אינדיקטורים (‪)IOC‬‬
‫(‪ - )Indicators Of Compromise‬מאפיינים שנצפו ברשת או במערכת ההפעלה שעשויים להעיד על חדירה או פגיעה‬
‫במערכות מחשב‪.‬‬
‫להלן החתימות הידועות ושרתי ה‪ C&C-‬שנצפו בתקיפות נוספות‪:‬‬
‫(יתכן וחתימות מסוימות לא יופיעו כלל עקב אי הפעלת שלב מסוים ‪ ,‬או עקב שינוי בשמות הקבצים‪ ,‬יתכן‬
‫אף כי גם כתובות ה ‪ IP‬של שרתי ה‪ C&C -‬משתנות ואינן הכתובות שנצפו בתקיפות שהתגלו)‬
‫המידע המובא לעיל לוקט ועובד על ידי ‪ CERT-IL‬במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬
‫השכלה וידע כללי‪ .‬אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‪ .‬אין באזכור חברות‬
‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‪.‬‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
Prime Minister's Office
National Cyber Event Readiness Team
‫ לבן‬:TLP
-2-
:Domains








destinazione.grippertires.net
dpckd2ftmf7lelsa.afnwdsy4j32.com
is6xsotjdy4qtgur.tor2web.blutmagie.de
is6xsotjdy4qtgur.afnwdsy4j32.com
is6xsotjdy4qtgur.9isernvur33.com
24u4jf7s4regu6hn.htye943kjc38.com
24u4jf7s4regu6hn.p0oekds4we39.com
24u4jf7s4regu6hn.tor2web.org
:IP





94.242.255.60
104.28.15.226
192.251.226.206
104.28.14.226
104.18.47.12




104.31.65.160
104.18.51.205
194.150.168.70
23.101.187.68
:)Files( ‫תיקיות וקבצים‬




file.swf
ljbvumg.exe
kfibpjs.exe
swf.sw



jjnlhul.exe
cfsfnql.exe
foaluon.exe
:‫ שנמצאו‬MD5 ‫מזהי‬




8b207494dab106168f8d48e4c1e70b0f
a08784f5691a0a8ce6249e1981dea82c
1c71d29bede55f34c9b17e24bd6a2a31
7d876df50581deb711df9af0029f64e4
:‫ שנמצאו‬SHA-1 ‫מזהי‬




90c4505bb482423457b080a77554b2db6387e64a
fdfd630730da8c6dc075fb4a9a1011ec53914562
8e321256ec8cc6b4c0b079fedebf58de20a71061
6490f18f6a878faeaa5d8beb714592dbeb063d4a
:‫ שנמצאו‬SHA-256 ‫מזהי‬


8677dd7497e2062fafb8e4dfe485fc76e87050aed2e072a67f3f93f6debc7d17
99fc04d82877aea0247286d41186b985ab773b19c8cef8786ffc1fa50e35af29
‫ במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬CERT-IL ‫המידע המובא לעיל לוקט ועובד על ידי‬
‫ אין באזכור חברות‬.‫ אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‬.‫השכלה וידע כללי‬
.‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‬
‫משרד ראש הממשלה‬
‫המרכז הלאומי להתמודדות עם איומי סייבר‬
Prime Minister's Office
National Cyber Event Readiness Team
‫ לבן‬:TLP
-3-


7bdc23cc435305da225148b643fc5273a0bf4e227327e15309fe8d5d98c12c20
cb02bd62e843b45a78e16a5be6ac3bbc1650d1e9446e964ace518a6b7b3e8f54
:‫ שנמצאו‬SHA-512 ‫מזהי‬


008c8dce9fcb3703cede1f36b68c302cf4bdf2302f774640ec13de17ba589ba631
de6d7f13789ffea710ce7d549abd12cd7a3a40446f181c58d6009c518b6e2d
4e7e3b77ec0f911da80f569cd5b3cab79b62f7377d6d87b7816e140208a53997
0c30b795c0906ead27e1080c55e2e818b0b766808feb079f824dd70978c95ef9
:URLs











destinazione.grippertires.net/scenically-septic-caricaturedejects/147586249566271245
destinazione.grippertires.net/vw7-1xTy9o8XTXeans-WHTPFNWLnQL4D73by26k99EB-Zo3
destinazione.grippertires.net/X-f-R3Zyg_ltm8haiRSbyoS8M7fTef6eZQjdcxMqAnjml_0
dpckd2ftmf7lelsa.afnwdsy4j32.com/tsdfewr2.php?U3ViamVjdD1QaW5[l
ong string of characters]
dpckd2ftmf7lelsa.afnwdsy4j32.com/tsdfewr2.php?U3ViamVjdD1Dcnl[l
ong string of characters]
is6xsotjdy4qtgur.afnwdsy4j32.com/?enc=18J4NwHDFdeJVc94cpc9FTeLZ
Qnx7iu2YP
is6xsotjdy4qtgur.afnwdsy4j32.com/check.php
is6xsotjdy4qtgur.afnwdsy4j32.com/style.css
is6xsotjdy4qtgur.afnwdsy4j32.com/favicon.ico
is6xsotjdy4qtgur.afnwdsy4j32.com/img/curr.svg
is6xsotjdy4qtgur.afnwdsy4j32.com/img/decrypt.svg
.‫במידה ובבדיקתכם התגלה ממצא כלשהו נבקש לקבל היזון חוזר‬
.‫לכל מידע נוסף ניתן לפנות אלינו‬
‫ במידה‬,‫ הלאומי איננו מחליף חובת דיווח לגוף מנחה כל שהוא‬CERT -‫ שיתוף מידע עם ה‬:‫הערה‬
.‫שהתגלה צורך כזה‬
,‫בברכה‬
CERT-IL
03-7450801 :‫טל‬
team@cert.gov.il
www.cert.gov.il
‫ במטרה לספק ידע רלוונטי ואקטואלי לעוסקים בתחום ההגנה בסייבר לטובת‬CERT-IL ‫המידע המובא לעיל לוקט ועובד על ידי‬
‫ אין באזכור חברות‬.‫ אין במידע זה משום המלצה לנקיטת פעולות כלשהן או לשינוי מדיניות אבטחה קיימת‬.‫השכלה וידע כללי‬
.‫אבטחה או גורמים מסחריים אחרים משום הבעת עמדה או המלצה ביחס אליהם או לשירותים או המוצרים המוצעים על ידם‬