رصد مركز الأمن الإلكتروني، تهديد إلكتروني متقدم (APT) يستهدف المملكة العربية السعودية. ولاحظ المركز استخدام الأنشطة الضارة برنامج تحكم “PowerShell” من خلال برتوكول (HTTP) للتواصل مع خادم التحكم و السيطرة (C2)، حيث يقوم المهاجمون بسرقة البيانات بتلك الطريقة أو إرسال أوامر لجهاز الضحية. كما تم ملاحظة الطرق التالية في مرحلة الإرسال والثبيت: • حقن مستندات Microsoft Office كانت معظم العينات التي تمت ملاحظتها ملفات Microsoft Office والتي تحتوي على ماكرو أو رابط تم إرساله من خلال الرسائل التصيدية، بالإضافة إلى ذلك، يتم ضغط المستندات الخبيثة في بعض الأحيان في ملف RAR المحمي بكلمة مرور لتجنب آليات حماية البريد، ويتم تضمين كلمة المرور عادة في البريد الإلكتروني. • الوصول إلى المواقع خبيثة تم زرع بعض البرامج الخبيثة باستخدام تقنية (watering-hole)  أو تقنيات مماثلة مثل cross-site) (scripting. وقد لوحظ الاختراق من خلال موقع ضار على شبكة الإنترنت، حيث يتم إعادة توجيه المستخدم إلى موقع ويب آخر ويطلب تحميل الملف الخبيث، حيث أن هذا الملف يصيب الجهاز عن طريق البرامج VBS and PowerShell scripts. طرق الاكتشاف يوصي مركز الأمن الإلكتروني باتباع الطرق التالية للكشف عن التحركات المشبوهة داخل الشبكة، والتي قد يكون لها صلة بالهجوم 1. مراجعة السجلات للبرامج التالية Proxy, SIEM and Firewall والبحث عن أي اتصال بمعرفات تنتهي بـ *.php?c=(Base64 data) *.aspx?c=(Base64 data) 2. اتصال عبر بروتوكول الـ HTTP إلى عناوين  معرفات صحيحة تكون بدون أسماء نطاقات 3. عدد كبير من الاتصال عبر تروتوكول HTTP إلى معرف أو اسم نطاق وحيد. 4. أي اتصال عبر بروتوكول HTTP  إلى المعرفات التالية 148.251.204.131 & 144.76.109.88 5. البحث في  بوابة البريد الإلكتروني لرسائل إلكترونية مرفق بها ملف محمي بكلمة مرور أو مرفق Office بداخله وحدات الماكرو التي تم حظرها أو تنبيهها. 6. زيادة استخدام “PowerShell” على نقاط  الأجهزه والخوادم توصيات • تحديث PowerShell  للنسخة الخامسة وحذف النسخة القديمة • تمكين تسجيل الوحدة النمطية، تسجيل البرنامج النصي وكتاب تسجيل الدخول في PowerShell  الإصدار 5 • التأكد من تطبيق القائمة البيضاء في الجهة، وهذا أيضاً يحتاج إلى تنفيذها على PowerShell. والتاكد من السماح فقط للبرامج التي تحتاج لها الجهة. • منع تشغيل الملفات القابلة للتنفيذ والنصوص البرمجية من المجلدات التي يتم التحكم فيها بواسطة المستخدم، مثل  C:\Users\ • استخدام (Email Filtering) لمسح ومنع أي بريد إلكتروني بداخله مستند ماكرو وغيرها من الملفات الخبيثة مثل Windows Host Scripting and HTA files • تنفيذ حل مراقبة سلامة الملفات (FIM) على www root  في جميع تطبيقات الإنترنت، مثل تطبيقات الويب والبريد الإلكتروني و VPN portals. ومن المهم التنبيه عن أي تعديل غير مصرح به داخل تلك الخوادم، حيث قد يشير ذلك إلى نجاح الهجوم. قد يعجبك أيضا: ياهلا يعرض تقريرًا عن فيروس الفدية [vod_video id="jycI1eE3lnq3Gyywxt3wQ" autoplay="1"]