شمعون 3
الأربعاء - 25 يناير 2017
Wed - 25 Jan 2017
موظف في أحد القطاعات وصله بريد الكتروني من رئيسه في العمل، وكان البريد يحوي مرفق ملف وورد. قام الموظف بفتح ملف الوورد ولم يعلم أن الملف يقوم بتشغيل سكربت يؤدي للإصابة بنسخة محدثة من فيروس شمعون. جراء هذا الفعل تضررت بالأمس 11 جهة من هجوم الكتروني يهدف إلى تدمير الشبكات الداخلية وتعطيل الأنظمة. بعض الجهات تعطلت لديها أنظمة حساسة مثل أنظمة التحذير من تسرب الكيماويات.
أول نسخة من شمعون استخدمت في الهجوم على شركة أرامكو في عام 2012، بعد ذلك ظهر شمعون في نسخته الثانية في نوفمبر من العام الماضي وتم استخدامه في هجمة موجهة للقطاع البنكي والتي تم تجاوزها بسلام ولله الحمد. الذي حصل بالأمس هو نسخة محدثة يمكن أن نطلق عليها شمعون 3.
كيف وصل شمعون لشبكاتنا؟
قام أحدهم بفتح بريد الكتروني يحوي ملف وورد مرفقا دون علمه أن ملف الوورد هذا يحوي سكربت يعمل على تثبيت الفيروس ويصيب جهازه وكامل الشبكة. في مقال سابق ذكرنا أنه يجب الحذر كل الحذر من المرفقات والروابط في البريد الالكتروني. الهجمة السابقة في نوفمبر الماضي كانت باستخدام ملف إكسل، والهجوم الأخير كان باستخدام ملف وورد.
كيف يعمل الفيروس؟
عندما يصيب الفيروس الشبكة فإنه يبقى راكدا ويعمل في الخفاء لجمع المعلومات، يقوم بمحاولة جمع كلمات المرور لمدراء الشبكة أولا. ثم يقوم باستخدام معرفات مدراء الشبكة لتغيير إعدادات الشبكة وتغيير إعددات المجموعات. ويقوم بجمع معلومات عن جميع الأجهزة وأنظمتها.
بعد ذلك يقوم الفيروس بنشر نسخة منه على جميع الأجهزة في الشبكة. ثم يبدأ الفيروس بتدمير سيرفرات الأنظمة والأجهزة الشخصية عن طريق الخطوات التالية:
• يقوم بتغيير تاريخ الجهاز إلى أغسطس 2012.
• يقوم بجمع وسرقة جميع البيانات والمعلومات الموجودة على هذا الجهاز، مثل كلمة المرور وغيرها.
• يقوم بتدمير قرص التشغيل وهو الجزء المسؤول عن إقلاع الجهاز وبدء نظام التشغيل.
• يقوم بتعديل إعدادات المشغلات الموجودة.
• يقوم بمحاولة إعادة تشغيل الجهاز. طبعا بسبب تدمير قرص التشغيل فإن إطفاء الجهاز سيؤدي لأن لا يعمل الجهاز مجددا أبدا وبالتالي ستضيع جميع المعلومات فيه وكذلك أي معلومات تدل على الفيروس أو من خلف الهجوم.
كيف أعرف أن جهازي مصاب وماذا أعمل؟
إذا رأيت تاريخ الجهاز تحول إلى 2012 فاعلم أن جهازك مصاب. وحاول القيام بالتالي:
1 اتبع تعليمات قسم أمن المعلومات في منظمتك بحذافيره.
2 لا تقم أبدا بإطفاء الجهاز. بل حاول مراقبة الجهاز لكيلا يقوم بعمل إعادة تشغيل.
3 قم بفصل الجهاز عن الشبكة إلا لو تم إخبارك بغير ذلك من قسم أمن المعلومات.
4 إذا كان لديك نسخ احتياطية من ملفاتك حاول أن تتأكد من عدم اتصالها بجهازك. مثلا لو كانت على يو إس بي لا تقم بوصله بالجهاز، أو لو كانت على برنامج دروب بوكس قم بفصله عن هذا الجهاز.
5 قم بفصل جميع وسائل المشاركة في جهازك.
6 قم بتنبيه إدارة أمن المعلومات في منشأتك وكذلك جميع من هم قريبون منك وحذرهم من فتح أي إيميل يأتي عن طريقك.
خالد عدنان العيسى - أستاذ مساعد في أمن المعلومات
alissakhalid@
أول نسخة من شمعون استخدمت في الهجوم على شركة أرامكو في عام 2012، بعد ذلك ظهر شمعون في نسخته الثانية في نوفمبر من العام الماضي وتم استخدامه في هجمة موجهة للقطاع البنكي والتي تم تجاوزها بسلام ولله الحمد. الذي حصل بالأمس هو نسخة محدثة يمكن أن نطلق عليها شمعون 3.
كيف وصل شمعون لشبكاتنا؟
قام أحدهم بفتح بريد الكتروني يحوي ملف وورد مرفقا دون علمه أن ملف الوورد هذا يحوي سكربت يعمل على تثبيت الفيروس ويصيب جهازه وكامل الشبكة. في مقال سابق ذكرنا أنه يجب الحذر كل الحذر من المرفقات والروابط في البريد الالكتروني. الهجمة السابقة في نوفمبر الماضي كانت باستخدام ملف إكسل، والهجوم الأخير كان باستخدام ملف وورد.
كيف يعمل الفيروس؟
عندما يصيب الفيروس الشبكة فإنه يبقى راكدا ويعمل في الخفاء لجمع المعلومات، يقوم بمحاولة جمع كلمات المرور لمدراء الشبكة أولا. ثم يقوم باستخدام معرفات مدراء الشبكة لتغيير إعدادات الشبكة وتغيير إعددات المجموعات. ويقوم بجمع معلومات عن جميع الأجهزة وأنظمتها.
بعد ذلك يقوم الفيروس بنشر نسخة منه على جميع الأجهزة في الشبكة. ثم يبدأ الفيروس بتدمير سيرفرات الأنظمة والأجهزة الشخصية عن طريق الخطوات التالية:
• يقوم بتغيير تاريخ الجهاز إلى أغسطس 2012.
• يقوم بجمع وسرقة جميع البيانات والمعلومات الموجودة على هذا الجهاز، مثل كلمة المرور وغيرها.
• يقوم بتدمير قرص التشغيل وهو الجزء المسؤول عن إقلاع الجهاز وبدء نظام التشغيل.
• يقوم بتعديل إعدادات المشغلات الموجودة.
• يقوم بمحاولة إعادة تشغيل الجهاز. طبعا بسبب تدمير قرص التشغيل فإن إطفاء الجهاز سيؤدي لأن لا يعمل الجهاز مجددا أبدا وبالتالي ستضيع جميع المعلومات فيه وكذلك أي معلومات تدل على الفيروس أو من خلف الهجوم.
كيف أعرف أن جهازي مصاب وماذا أعمل؟
إذا رأيت تاريخ الجهاز تحول إلى 2012 فاعلم أن جهازك مصاب. وحاول القيام بالتالي:
1 اتبع تعليمات قسم أمن المعلومات في منظمتك بحذافيره.
2 لا تقم أبدا بإطفاء الجهاز. بل حاول مراقبة الجهاز لكيلا يقوم بعمل إعادة تشغيل.
3 قم بفصل الجهاز عن الشبكة إلا لو تم إخبارك بغير ذلك من قسم أمن المعلومات.
4 إذا كان لديك نسخ احتياطية من ملفاتك حاول أن تتأكد من عدم اتصالها بجهازك. مثلا لو كانت على يو إس بي لا تقم بوصله بالجهاز، أو لو كانت على برنامج دروب بوكس قم بفصله عن هذا الجهاز.
5 قم بفصل جميع وسائل المشاركة في جهازك.
6 قم بتنبيه إدارة أمن المعلومات في منشأتك وكذلك جميع من هم قريبون منك وحذرهم من فتح أي إيميل يأتي عن طريقك.
خالد عدنان العيسى - أستاذ مساعد في أمن المعلومات
alissakhalid@