التحذيرات


نبذة:

رصد مركز الأمن الإلكتروني مؤخراً ارتفاع وتيرة  النشاطات  الخبيثة والتي تستهدف سرقة البيانات الحساسة من قبل مجموعات معروفة لدى المركز. وتقوم تلك المجموعات باستهداف خوادم البريد الإلكتروني وبوابات الدخول عن بعد (VPN) بالإضافة لبوابات الخدمات الإلكترونية، وذلك عن طريق عمل هجوم اقتحامي لتخمين وكسر كلمة المرور (Brute force).

طرق الهجوم المتبعة هي (وليست محصوره ):
• تنفيذ هجوم اقتحامي لكسر معلومات الدخول.
• استغلال ثغرة ويندوز SMB.
• تحديد نوع أجهزة التوجيه Routers المستخدمة.
• استخراج معلومات النطاقات الفرعيه للمواقع.
• البحث في البريد الإلكتروني عن كلمات معينة.

وتقوم المجموعة بإستخدام معرفات وخوادم عديدة لعمل تلك الهجمات و معظم تلك المعرفات والخوادم موجودة داخل المملكة وخارجها.

التوصيات:

1- مراجعة ومراقبة سجلات الجدر النارية والحلول الأمنية الأخرى، بالإضافة إلى خوادم الانترنت IIS للبحث عن أي محاولات اقتحامية للدخول على الخدمات المتاحة على الإنترنت
2- مراجعة سجلات الدخول للحسابات ذات الصلاحيات العالية و الحسابات الغير المستخدمه لفترة طويلة.
3- مراجعة ملفات خوادم الانترنت للبحث عن أي ملفات (.aspx) تم إنشاءها أو تم تعديلها حديثاً.
4- مراجعة المسار التالي على الخوادم C:\Windows\Temp وذلك للبحث عن أي ملفات بالامتدادات التالية  exe أو  txt.
5- تحديث برامج مكافحة الفيروسات و عمل فحص لكشف الملفات الخبيثة على خوادم الإنترنت.
6- تفعيل خاصيةX-Forwarding  والسجلات المتقدمة (لإظهار المعرف الخارجي IP) على جميع سجلات الدخول لتطبيقات الإنترنت.

 

نبذة

كشف المركز عن تهديد إلكتروني متقدم (APT) يستهدف المملكة العربية السعودية. حيث لوحظ أن الأنشطة الضارة تستخدم برنامج تحكم "PowerShell" من خلال برتوكول (HTTP) للتواصل مع خادم التحكم و السيطرة (C2)، حيث يقوم المهاجمين بسرقة البيانات بتلك الطريقة او ارسال أوامر لجهاز الضحية.
وقد لوحظت الطرق التالية في مرحلة الارسال والثبيت:

• حقن مستندات Microsoft Office

كانت معظم العينات التي تمت ملاحظتها ملفات Microsoft Office و التي تحتوي على ماكرو أو رابط تم إرساله من خلال الرسائل التصيدية. بالإضافة إلى ذلك، يتم ضغط المستندات الخبيثة في بعض الأحيان في ملف RAR المحمي بكلمة مرور لتجنب آليات حماية البريد. يتم تضمين كلمة المرور عادة في البريد الإلكتروني. 

• الوصول إلى المواقع خبيثة

تم زرع بعض البرامج الخبيثة باستخدام تقنية (watering-hole)  أو تقنيات مماثلة مثل cross-site) (scripting. وقد لوحظ الإختراق من خلال موقع ضار على شبكة الانترنت  حيث يتم إعادة توجيه المستخدم إلى موقع ويب اخر ويطلب تحميل الملف الخبيث.  حيث ان هذا الملف يصيب الجهاز عن طريق البرامج VBS and PowerShell scripts.

طرق الإكتشاف

يوصي مركز الأمن الإلكتروني بإتباع الطرق التالية للكشف عن التحركات المشبوهة داخل الشبكة والتي قد يكون لها صلة بالهجوم
1. مراجعه السجلات للبرامج التالية Proxy, SIEM and Firewall والبحث عن أي اتصال بمعرفات تنتهي ب
 *.php?c=(Base64 data) 
*.aspx?c=(Base64 data) 
2. إتصال عبر بروتوكول الـ HTTP إلى عناوين  معرفات صحيحة تكون بدون أسماء نطاقات
3. عدد كبير من الاتصال عبر تروتوكول HTTP إلى معرف أو إسم نطاق وحيد.
4. أي إتصال عبر بروتوكول HTTP  إلى المعرفات التالية 148.251.204.131 & 144.76.109.88
5. البحث في  بوابة البريد الإلكتروني لرسائل إلكترونية مرفق بها ملف محمي بكلمة مرور أو مرفق Office  بداخله وحدات الماكرو التي تم حظرها أو تنبيهها.
6. زيادة استخدام "PowerShell" على نقاط  الأجهزه والخوادم

توصيات

• تحديث PowerShell  للنسخة الخامسة وحذف النسخة القدية
• تمكين تسجيل الوحدة النمطية، تسجيل البرنامج النصي وكتاب تسجيل الدخول في PowerShell  الإصدار 5
• التأكد من تطبيق القائمة البيضاء في الجهة، وهذا أيضاً يحتاج إلى تنفيذها على PowerShell. والتاكد من السماح فقط للبرامج التي تحتاج لها الجهة.
• منع تشغيل الملفات القابلة للتنفيذ والنصوص البرمجية من المجلدات التي يتم التحكم فيها بواسطة المستخدم، مثل  C:\Users\<Username  والمجلدات المؤقتة، مثل C:Windows\Temp
• استخدام (Email Filtering) لمسح ومنع أي بريد إلكتروني بداخله مستند ماكرو وغيرها من الملفات الخبيثة مثل Windows Host Scripting and HTA files
• تنفيذ حل مراقبة سلامة الملفات (FIM) على www root  في جميع تطبيقات الإنترنت، مثل تطبيقات الويب والبريد الإلكتروني و VPN portals. ومن المهم التنبيه عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم.

 

نبذة:

تمكن مركز الأمن الالكتروني من رصد تحركات جديدة مرتبطة بهجمات إلكترونية سابقة، حيث تم إكتشاف ادوات جديدة وملفات ضارة تحتوي على برمجيات ضارة لدى جهة تهديد معروفة سابقا. السلوك الملحوظ في هذه المرحلة هو استخدام ملف HTA  والذي يحتوي على ملفين ضارين تستخدم بروتوكول DNS كقناة اتصال مع مركز التحكم والسيطرة (C2).

التوصيات:

1. منع تشغيل ملفات من نوع HTA عن طريق Software Restriction Policies أو عن طريق Device Guard والخاصة بأنظمة مايكروسوفت.
2. تغيير فتح الملف HTA من البرنامج الافتراضي “mshta” إلى notepad لكي لايتم تشغيل البرمجيات الخبيثة وعوضا عن هذا يتم فتحه عن طريق المفكرة النصية.
3. منع أي مرفق أو ملف من نوع HTA وحجبه عن طريق بوابة البريد الإلكتروني (Email Gateway).
4. عمل تحديث لأنظمة التشغيل بشكل مستمر وخصوصا التحديثات الأمنية والتطبيقات المناطة بتلك الأجهزة.
5. مراقبة مؤشرات الإختراق المرسلة من قبل المركز للجهات على مدار الساعة.
6- مراقبة سجلات بروتوكول DNS.

في ضوء دور مركز الأمن الإلكتروني للمساعدة في حماية الفضاء الإلكتروني الوطني يود المركز مشارتكم التحذير التالي:

رصد مركز الأمن الإلكتروني وجود عدد كبير من أسماء المستخدمين وأرقامهم السرية في خادم مشبوه، ويود المركز التأكيد على ضرورة تطبيق التوصيات التالية:
• تنفيذ سياسات كلمة المرور الصارمة، حيث إن العديد من كلمات السر المنشورة تعتبر ضعيفة.
• تطبيق سياسة التحقق من الهوية في أي خدمة تقدم على شبكة الإنترنت.
• إذا لم تجبر المنظمة المستخدمين على تغيير كلمات المرور في الأشهر الستة الماضية، فمن الأهمية القيام بذلك في أقرب وقت ممكن.
• التأكيد على عدم استخدام الإيميل الرسمي في التسجيل في المواقع العامة.
وحيث يقدم المركز النصائح لتلافي مخاطر الهجوم، تظل مسؤولية المنشأة قائمة للتأكد من الإجراء المناسب للبنية التحتية لمنشأتكم ومتطلباتها، ومن ثم اتخاذ الإجراء الذي يتناسب مع الأجهزة والبرامج لديكم.

الوصف:

يود مركز الأمن الإلكتروني تحذير الجهات بالمملكة العربية السعودية من حملة هجوم من نوع الفدية وتسمى "WannaCry".
هذا النوع من البرمجيات اكتسح العالم بشكل سريع بدءاً من الجمعة 12 مايو 2017، ويقوم بتشفير جميع ملفات جهاز الضحية.
ويستخدم هذا الهجوم ثغرة مايكروسوفت (MS17-010) للانتشار من خلال الشبكة. ويقوم المركز بالعمل لمعرفة ما إذا كانت هناك جهات سعودية قد تعرضت لهذا الهجوم، وبالتالي مساعدتها للتعافي، وسوف يقوم المركز بتوفير التحديثات حال توفرها.

 

التوصيات:

1. تأكد من تثبيت تحديث الثغرة MS17-010 على جميع الأنظمة لديك.
2. حيث إن مايكروسوفت أعلنت عن تحديث جديد لأنظمة التشغيل ويندوز 2003/إكس بي والخاص بالثغرة نفسها، تأكد من تثبيت هذا التحديث للأنظمة الخاصة بجهازك.
3. راجع جميع المنافذ المفتوحة على الإنترنت، وقم بإغلاق المنافذ (135 ، 139 ، 445) من الاستماع للاتصالات الخارجية.
4. تأكد من وجود وتنفيذ خطة تخزين احتياطي غير متصل بالشبكة وكامل للأنظمة والتطبيقات الحساسة لديكم على أقراص خارجية.

 

 

 

الوصف:

في ضوء دور مركز الأمن الإلكتروني للمساعدة في حماية الفضاء الإلكتروني الوطني يود المركز مشاركتكم التنبيه التالي
تم رصد عدد من الأدوات المتسربة والتي تستخدم عدة ثغرات في برامج تشغيل مايكروسوفت. وقد قامت شركة مايكروسوفت في الشهر الماضي بإغلاق الثغرات عن طريق ارسال تحديث لتلك البرامج. ومن المحتمل وجود جهات لم تقم بتلك التحديثات مما يجعل شبكاتهم في خطر.

التوصيات:

• مراجعة جميع منافذ الدخول في الشبكة الداخلية والتي تكون متصلة بالانترنت. وينصح بإغلاق المنافذ التالية (NetBIOS & SMB ports (135,139 &445))
• تحديث جميع الاجهزة والخوادم التي تعمل على برامج تشغيل مايكروسوفت (Windows XP, Windows 2003, Windows Vista).
• تحديث أنظمة الحماية الموجودة في نظام التشغيل.
• إيقاف خوادم الويب التي تعمل على (Windows Server 2003) والتي تعمل على (WebDAV ).
• إيقاف خوادم الويب التي تعمل على (Windows Server 2003) والتي يتم الوصول إليها عن بعد.
• إيقاف جميع منافذ الدخول عن بعد للخوادم التي تكون متصلة بالانترنت. وفي حال الحاجة لها يوصي المركز بعمل الاحتياطات اللازمة كـ خاصية التحقق الثنائي (two-factor authentication) ومراقبة الشبكة وتفعيل  سياسات الأرقام السرية المعقدة. كما يجب عدم السماح لمسؤولي الأنظمة بالدخول للشبكة عن بعد.

الوصف:

في ضوء دور مركز الأمن الإلكتروني للمساعدة في حماية الفضاء الإلكتروني الوطني يود المركز مشاركتكم التنبيه التالي:
استمراراً لهجمات البريد التصيدي والذي يستهدف عدة جهات حكومية وحيوية, رصد مركز الأمن الإلكتروني مؤخراً حملة بريد تصيدي, حيث يقوم المهاجم بإرسال بريد إلكتروني مزيف مرفق به ملف من نوع (PDF) يحتوي على برمجية خبيثة.

التوصيات:

1. حذف البريد التصيدي مباشرة من خادم البريد الإلكتروني وصندوق البريد (إن امكن)
2. تحديد جميع الأجهزة التي وصل لها البريد التصيدي
3. عزل الأجهزة المتضررة من الشبكة الداخلية
4. تحليل الأجهزة المتضررة
5. لمزيد من المعلومات نرجو الرجوع للتحذير رقم 1704037 (تم إرساله عبر البريد الإلكتروني)

في ضوء دور مركز الأمن الإلكتروني للمساعدة في حماية الفضاء الإلكتروني الوطني، يود المركز التحذير من هجمة إلكترونية منظمة على عدة جهات حكومية ومنشآت حيوية تهدف إلى تعطيل جميع الخوادم والأجهزة للمنشأة (SHAMOON2)، ويرغب المركز بأن يؤكد على جميع المنشآت بأخذ الاحتياطات اللازمه لحماية منشآتكم.
وتبين للمركز أن الهجمات تكون على الخطوات التالية:
1- جمع المعلومات (Information gathering): تهدف هذه الخطوة إلى جمع أكبر قدر من المعلومات حول الجهة/ الجهات المستهدفة، وذلك تمهيدا لمعرفة نقاط الضعف التي من الممكن استغلالها.
2-  الدخول الأول على الشبكة (Gaining access): يقوم المخترق بعمل تخمين لكلمات المرور (brute force) أو إرسال بريد إلكتروني تصيدي يحتوي مرفقات أو روابط خبيثة ( Phishing email).
3- الوصول الى أحد الخوادم الرئيسية والتنقل الداخلي: بعد الدخول الأول على الشبكة يقوم المخترقون بمحاولة التنقل للوصول إلى الخادم الرئيسي أو أحد الخوادم ذات الأهمية (Domain controller DC) أو (exchange server).
4- مسح النسخ الاحتياطية: يقوم المخترقون بالبحث عن أنظمة النسخ الاحتياطية وفي حال استطاعتهم الوصول إليها يتم وضع برمجية (script) لمسح جميع البيانات والنسخ الاحتياطية، وحيث يقدم المركز النصائح لتلافي مخاطر الهجوم، تظل مسؤولية المنشأة قائمة للتأكد من الإجراء المناسب للبنية التحتية لمنشأتكم ومتطلباتها، ومن ثم اتخاذ الإجراء الذي يتناسب مع الأجهزة والبرامج لديكم.

 

قام مركز الأمن الإلكتروني  بملاحظة كميات اتصال كبيره على خوادم خبيثة لتحميل ملفات وبرامج خبيثة. وهي تكون على شكل (FTP) أو (SSH) من عدة جهات ومنشآت. ويرغب المركز بأن يؤكد على جميع المنشآت بأخذ الاحتياطات اللازمة لحماية منشآتكم من مثل تلك الخوادم المشبوه والتاكد من استعمال الطرق السليمة في حال الحاجة لخدمة تنزيل الملفات والتحليل والتدقيق على الاتصالات المشبوهة.
 وحيث يقدم المركز النصائح لتلافي مخاطر الهجوم، تظل مسؤولية المنشأة قائمة للتأكد من الإجراء المناسب للبنية التحتية لمنشآتكم ومتطلباتها، ومن ثم اتخاذ الإجراء الذي يتناسب مع الأجهزة والبرامج لديكم.