شمعون.. نظرة تحليلية بعد الضربة
الخميس - 16 فبراير 2017
Thu - 16 Feb 2017
كنت أحد المشاركين في ورشة نقاش عملية حول هجمات شمعون الأخيرة أقامها مركز الأمن الالكتروني الوطني مشكورا. قبل أن أبدأ بسرد تشريحي للنتائج التي تم التوصل لها أحب أولا أن أشكر المركز لجهودهم الجبارة، فقد قاموا بتحليل مفصل وجهد رائع في عكس شفرة الفيروس واكتشاف تفاصيل تقنية مهمة. في هذا المقال سنذكر مقتطفات وطرائف من تحليل فيروس شمعون.
لماذا يقوم الفيروس بتغيير التاريخ لـ 2012؟
من ضمن الأدوات المستخدمة في الهجوم أداة تسمح بالكتابة على الأجزاء المحمية من القرص الصلب (مثل قرص الإقلاع). الأداة المستخدمة تم شراء رخصة لها لاستخدامها في هجوم أرامكو والرخصة لهذه الأداة تنتهي في نهاية 2012.. لذلك يقوم الفيروس بتغيير التاريخ لكي يستطيع استخدام الأداة ليقوم بالكتابة على قرص الإقلاع ومسحه.
4 هجمات بنفس الوقت:
أوضحت التحاليل أن الهجمات كانت تعمل على 4 أصعدة بنفس الوقت. الهجمة الأكبر والتي عرفها أغلبنا كانت الهجوم باستخدام فيروس شمعون. في نفس الوقت كان هناك هجوم لبعض الجهات باستخدام رانسوموير (فيروسات الفدية)، ولكن الهجوم بالرانسوموير كان على مستوى محدود جدا، بالإضافة إلى أن الجهات المتضررة كانت كلها تحتفظ بنسخ احتياطية ولم تحتاج لحل مشكلة الرانسوموير.
الهجوم الثالث كان هجمات DDoS لمحاولة تعطيل بعض الخدمات والسيرفرات، أما الهجوم الرابع فكان عبارة عن موجة من رسائل الاصطياد لمحاولة سرقة كلمات مرور ومعلومات مستخدمين جديدة للتحضير لهجمات قادمة.
الاتصال بـ 1.1.1.1:
من ضمن الخطوات التي يقوم بها الفيروس منذ «شمعون 1» هو الاتصال بالمصدر لإرسال المعلومات التي تمت سرقتها. عندما تم كتابة الفيروس بالأساس وضع في خانة الاتصال الاي بي 1.1.1.1 كمثال بحيث يقوم المهاجم بتغيير هذا العنوان إلى عنوانه. في هذه النسخة وبعد تحليل النسخ المختلفة من الفيروس والتي ضربت عدة جهات تبين أن عنوان الاتصال لم يتم إدخاله وأنه باق على الوضع الافتراضي. وهذا يعطينا مؤشرا لاحد أمرين، إما أن المهاجمين أناس مبتدئون واستخدموا الفيروس دون معرفة كاملة بتفاصيله، وهذا الاحتمال الأضعف. الاحتمال الأكبر أن الهدف من الضربة هو تخريبي فقط ولا يهمهم أن يتم إرسال أي معلومات لهم.
تجربة ناجحة:
قامت إحدى الجهات مشكورة بمشاركة تجربتها كاملة معنا وتقديم جميع التفاصيل، تحدثوا عن إصابتهم في هجمات نوفمبر الماضي، وما الذي حصل لهم وكيف تجاوزوا الأزمة، وكيف أنهم من بعد الضربة قاموا بتنفيذ توصيات من عدة جهات، أهمها توصيات المركز الوطني للأمن الالكتروني. الجميل واللافت للنظر أنهم وبسبب تطبيقهم للتوصيات (بعد حماية الله) لم تتم إصابتهم في الهجمة الأخيرة، وكانوا إحدى الجهات التي تجاوزت الأزمة بسلام، ودون أي مشاكل ولله الحمد.
التوصيات لحماية نفسك ومنظمتك:
1. قم بتغيير كلمة المرور بشكل دوري، واحرص على أن تكون صعبة التخمين.
2. لا تقم بالضغط على روابط أو فتح مرفقات وصلتك عن طريق البريد الالكتروني أو رسائل الجوال إلا بعد التأكد والتثبت من المصدر.
3. احرص على وجود نسخة احتياطية من ملفاتك المهمة. ويفضل أن تكون هذه النسخة غير متصلة بجهازك الرئيسي أو الشبكة بأي طريقة لكيلا تصاب النسخ الاحتياطية بالفيروس.
4. ارجع للنقطة الثانية.
ختاما أسأل الله أن يحمي بلدنا وأنظمتنا وأن نكون من كبرى الدول المتقدمة في صناعة أمن المعلومات.
لماذا يقوم الفيروس بتغيير التاريخ لـ 2012؟
من ضمن الأدوات المستخدمة في الهجوم أداة تسمح بالكتابة على الأجزاء المحمية من القرص الصلب (مثل قرص الإقلاع). الأداة المستخدمة تم شراء رخصة لها لاستخدامها في هجوم أرامكو والرخصة لهذه الأداة تنتهي في نهاية 2012.. لذلك يقوم الفيروس بتغيير التاريخ لكي يستطيع استخدام الأداة ليقوم بالكتابة على قرص الإقلاع ومسحه.
4 هجمات بنفس الوقت:
أوضحت التحاليل أن الهجمات كانت تعمل على 4 أصعدة بنفس الوقت. الهجمة الأكبر والتي عرفها أغلبنا كانت الهجوم باستخدام فيروس شمعون. في نفس الوقت كان هناك هجوم لبعض الجهات باستخدام رانسوموير (فيروسات الفدية)، ولكن الهجوم بالرانسوموير كان على مستوى محدود جدا، بالإضافة إلى أن الجهات المتضررة كانت كلها تحتفظ بنسخ احتياطية ولم تحتاج لحل مشكلة الرانسوموير.
الهجوم الثالث كان هجمات DDoS لمحاولة تعطيل بعض الخدمات والسيرفرات، أما الهجوم الرابع فكان عبارة عن موجة من رسائل الاصطياد لمحاولة سرقة كلمات مرور ومعلومات مستخدمين جديدة للتحضير لهجمات قادمة.
الاتصال بـ 1.1.1.1:
من ضمن الخطوات التي يقوم بها الفيروس منذ «شمعون 1» هو الاتصال بالمصدر لإرسال المعلومات التي تمت سرقتها. عندما تم كتابة الفيروس بالأساس وضع في خانة الاتصال الاي بي 1.1.1.1 كمثال بحيث يقوم المهاجم بتغيير هذا العنوان إلى عنوانه. في هذه النسخة وبعد تحليل النسخ المختلفة من الفيروس والتي ضربت عدة جهات تبين أن عنوان الاتصال لم يتم إدخاله وأنه باق على الوضع الافتراضي. وهذا يعطينا مؤشرا لاحد أمرين، إما أن المهاجمين أناس مبتدئون واستخدموا الفيروس دون معرفة كاملة بتفاصيله، وهذا الاحتمال الأضعف. الاحتمال الأكبر أن الهدف من الضربة هو تخريبي فقط ولا يهمهم أن يتم إرسال أي معلومات لهم.
تجربة ناجحة:
قامت إحدى الجهات مشكورة بمشاركة تجربتها كاملة معنا وتقديم جميع التفاصيل، تحدثوا عن إصابتهم في هجمات نوفمبر الماضي، وما الذي حصل لهم وكيف تجاوزوا الأزمة، وكيف أنهم من بعد الضربة قاموا بتنفيذ توصيات من عدة جهات، أهمها توصيات المركز الوطني للأمن الالكتروني. الجميل واللافت للنظر أنهم وبسبب تطبيقهم للتوصيات (بعد حماية الله) لم تتم إصابتهم في الهجمة الأخيرة، وكانوا إحدى الجهات التي تجاوزت الأزمة بسلام، ودون أي مشاكل ولله الحمد.
التوصيات لحماية نفسك ومنظمتك:
1. قم بتغيير كلمة المرور بشكل دوري، واحرص على أن تكون صعبة التخمين.
2. لا تقم بالضغط على روابط أو فتح مرفقات وصلتك عن طريق البريد الالكتروني أو رسائل الجوال إلا بعد التأكد والتثبت من المصدر.
3. احرص على وجود نسخة احتياطية من ملفاتك المهمة. ويفضل أن تكون هذه النسخة غير متصلة بجهازك الرئيسي أو الشبكة بأي طريقة لكيلا تصاب النسخ الاحتياطية بالفيروس.
4. ارجع للنقطة الثانية.
ختاما أسأل الله أن يحمي بلدنا وأنظمتنا وأن نكون من كبرى الدول المتقدمة في صناعة أمن المعلومات.
