الأمن الالكتروني: الحملة التصيدية استهدفت جهات حكومية.. ولا إصابات
الخميس - 09 نوفمبر 2017
Thu - 09 Nov 2017
أكد المدير التنفيذي للتطوير الاستراتيجي والتواصل في مركز الأمن الالكتروني الدكتور عباد العباد أن الهجمة التي رصدها المركز الأسبوع الماضي كانت موجهة في المقام الأول إلى الجهات الحيوية وموظفيها، مبينا أن المهاجمين كانوا يستهدفون هذه الجهات سواء كانت وزارات أو مؤسسات أو شركات، مشيرا في الوقت نفسه إلى أن الحملة ما زالت جديدة ولم يتم الكشف عن أي إصابة إلى الآن.
وأوضح العباد لـ»مكة» أن المركز رصد الأسبوع الماضي تحركات جديدة مرتبطة بهجمات الكترونية سابقة، حيث تم اكتشاف تلك الأدوات الجديدة والملفات الضارة التي احتوت على برمجيات ضارة قبل وصولها إلى هدفها، والتي يتم من خلالها حقن أكواد داخل ملف من نوع HTA لتشغيل ملفين خبيثين لاستخدامهما في هذه الهجمة حدهما عبارة عن برمجية من نوع DNS BOT للتحكم بجهاز الضحية عن طريق بروتوكول DNS .. وسجل المهاجمون نطاقا جديدا لاستخدامه كـ DNS BOT، والذي كشفه المركز بشكل مبكر قبل استخدامه، وعليه حذر المركز جميع الجهات الحكومية والحيوية من تلك الموجة لاتخاذ إجراءات مسبقة للحماية.
7 نصائح يقدمها المركز
1 منع تشغيل ملفات من نوع HTAعن طريق SoftwareRestrictionPoliciesأو عن طريق Device Guard والخاصة بأنظمة مايكروسوفت.
2 تغيير فتح الملف HTAمن الملف الافتراضي mshtaإلى notepad لكيلا يتم تشغيل البرمجيات الخبيثة، وعوضا عن هذا يمكن للمستخدم فتح الملف عن طريق المفكرة النصية.
3 منع أي مرفق أو ملف من نوع HTAوحجبه عن طريق بوابة البريد الالكتروني (EmailGateway).
4 عمل تحديث لأنظمة التشغيل بشكل مستمر وخصوصا التحديثات الأمنية وللتطبيقات المناطة بتلك الأجهزة.
5 مراقبة مؤشرات الاختراق المرسلة للجهات على مدار الساعة.
6 مراقبة سجلات بروتوكول DNS.
7 في حال الإصابة يتم اتباع توصيات المركز في ذلك: ومنها حذف البرمجية الخبيثة وجميع البرمجيات التي يتم زرعها مع المهام المجدولة التي يتم إنشاؤها في حال الإصابة.
ما المقصود بـ» إعداد حملة تصيدية»؟
هي تحضيرات قبل البدء بعملية الهجوم، وذلك بتجميع معلومات تخص الضحية وطريقة الهجوم وتجهيز الأدوات المستخدمة. وتهدف تلك الحملة لاصطياد أكبر عدد من المستخدمين أو الأجهزة للإضرار بالمنشآت.
ماذا سيحدث لو تعرضت الجهة للهجوم؟
زرع أبواب خلفية للتحكم وسرقة البيانات، والتي من شأنها السماح للمهاجم بالوصول إلى الأجهزة والشبكات الحساسة للمنشأة.
وأوضح العباد لـ»مكة» أن المركز رصد الأسبوع الماضي تحركات جديدة مرتبطة بهجمات الكترونية سابقة، حيث تم اكتشاف تلك الأدوات الجديدة والملفات الضارة التي احتوت على برمجيات ضارة قبل وصولها إلى هدفها، والتي يتم من خلالها حقن أكواد داخل ملف من نوع HTA لتشغيل ملفين خبيثين لاستخدامهما في هذه الهجمة حدهما عبارة عن برمجية من نوع DNS BOT للتحكم بجهاز الضحية عن طريق بروتوكول DNS .. وسجل المهاجمون نطاقا جديدا لاستخدامه كـ DNS BOT، والذي كشفه المركز بشكل مبكر قبل استخدامه، وعليه حذر المركز جميع الجهات الحكومية والحيوية من تلك الموجة لاتخاذ إجراءات مسبقة للحماية.
7 نصائح يقدمها المركز
1 منع تشغيل ملفات من نوع HTAعن طريق SoftwareRestrictionPoliciesأو عن طريق Device Guard والخاصة بأنظمة مايكروسوفت.
2 تغيير فتح الملف HTAمن الملف الافتراضي mshtaإلى notepad لكيلا يتم تشغيل البرمجيات الخبيثة، وعوضا عن هذا يمكن للمستخدم فتح الملف عن طريق المفكرة النصية.
3 منع أي مرفق أو ملف من نوع HTAوحجبه عن طريق بوابة البريد الالكتروني (EmailGateway).
4 عمل تحديث لأنظمة التشغيل بشكل مستمر وخصوصا التحديثات الأمنية وللتطبيقات المناطة بتلك الأجهزة.
5 مراقبة مؤشرات الاختراق المرسلة للجهات على مدار الساعة.
6 مراقبة سجلات بروتوكول DNS.
7 في حال الإصابة يتم اتباع توصيات المركز في ذلك: ومنها حذف البرمجية الخبيثة وجميع البرمجيات التي يتم زرعها مع المهام المجدولة التي يتم إنشاؤها في حال الإصابة.
ما المقصود بـ» إعداد حملة تصيدية»؟
هي تحضيرات قبل البدء بعملية الهجوم، وذلك بتجميع معلومات تخص الضحية وطريقة الهجوم وتجهيز الأدوات المستخدمة. وتهدف تلك الحملة لاصطياد أكبر عدد من المستخدمين أو الأجهزة للإضرار بالمنشآت.
ماذا سيحدث لو تعرضت الجهة للهجوم؟
زرع أبواب خلفية للتحكم وسرقة البيانات، والتي من شأنها السماح للمهاجم بالوصول إلى الأجهزة والشبكات الحساسة للمنشأة.
الأكثر قراءة
عصابات تمتهن التحايل وتنتحل صفة شركات برمجيات معروفة وتستدرج منشآت خليجية
«الخدمات الأرضية» تجدد عقدها مع طيران ناس 5 سنوات بملياري ريال
توحيد صرف معاشات التقاعد مقدما بداية الشهر الميلادي مطلع مايو
الخبر تدخل مؤشر المدن الذكية للمرة الأولى والرياض تتقدم 5 مراتب والمدينة 11 مرتبة عالميا
«الوطنية للتعليم» تستأجر مجمعا تعليميا في الرياض بـ87 مليونا
«أديس» تشغل منصة حفر بحرية في قطر مقابل 350 مليونا
