דו"ח של FireEye חושף דרכים לזיהוי תוקפי סייבר

דרוג:


חברת FireEye, המפתחת פתרונות לעצירת מתקפות סייבר ממוקדות ומתקדמות (APT) והמיוצגת בישראל על ידי אינוקום מקבוצת אמן, פרסמה דו"ח סייבר חדש. הדו"ח, שנכתב על סמך נתונים מ-1,500 מתקפות סייבר כלפי ארגונים ברחבי העולם, מפרט את מאפייני המתקפות השכיחים ביותר, המאפשרים למומחי סייבר לזהות את השחקנים המאיימים על הארגון ולשפר את מערכי ההגנה שלו מפני מתקפות סייבר מתקדמות בעתיד.

 הדו"ח אף מפרט טקטיקות מתקפה בהן משתמשות קבוצות צבאיות של הסין, הנקראות גם "Comment Crew", שנקשרו בעבר למתקפות נגד ממשלת ארה"ב.

 

בדו"ח מונה החברה שבעה רמזים עיקריים המשמשים לזיהוי התוקף העומד מאחורי מתקפות סייבר:

 - התווים בקוד של נוזקות מסוג Phishing לעתים מעידים על מדינת המקור, שבה נוצרה הנוזקה. כך למשל, מצאו חוקרי FireEye, כי נוזקות רבות בהן מוטבעים התווים GB2312 – מקורן במקלדת בשפה המנדרינית, קרי – בסין.

 - קוד הפעלה של נוזקות לעתים מכיל ביטויים עם הקשר מקומי, כמו סלנג או מילות עלבון שגורות, המעידות על המוצא של כותב הקוד.

 - בדומה לתווים בקוד, המעידים על מקלדת בשפה מסוימת, כך גם הפונטים עשויים להעיד לעתים על מקור הנוזקה. חוקרי FireEye זיהו, למשל, שמקור נוזקה החבויה במסמך הכתוב בקירילית הוא בקוריאה, הודות לפונט בו נכתב המסמך הנגוע.

- במקרים מסוימים, על מנת שלא להיחסם על ידי BlackList, התוקפים משלמים על מנת לחדור מ-domain מסוים. במקרים רבות, הרשמת ה-DSN מובילה ישירות למדינת המוצא של התוקף. גם רישומי DSN מזויפים עשויים לאתר את התוקף, שלעתים עושה שימוש חוזר במידע (כגון שגיאת כתיב) – מה שמאפשר לקשר בין התקיפות ולהתחקות אחר התוקף.

 - לעתים קרובות, התוקף אינו עושה שימוש בשפת האם שלו בקוד הנוזקה. טעויות הקלדה ותרגום שגוי עשויים לעזור בזיהוי של מדינת המקור של התוקף. כך למשל, זיהוי התרגום של אתרי תרגום למילים או ביטויים מסוימים, עשוי לאפשר לזהות את שפת האם של התוקף.

 - כלי ניהול מרחוק (Remote Administration Tools – RAT) הם סוג של נוזקה המאפשרת לתוקף לשלוט בזמן אמת במחשב של יעד התקיפה. לכאורה קשה לזהות באמצעותם את התוקף, אך אפשרויות הקסטומיזציה הרבות של כלים אלו עשויות להביא להגדרות ייחודיות לתוקף, מה שייקל על זיהויו.

 - לתוקפים יש הרגלים. ישנם תוקפים המתמקדים ביעד מסוים, באותם שרתי CnC, באותן תעשיות ועוד. טקטיקות חוזרות אלו יכולות לחשוף את המטרה, הגישה ומקום הימצאו של התוקף.

 "בעידן הסייבר, היכולת לזהות את התוקף היא חלק ניכר מתוכנית ההתגוננות מפניו", מציין יהונתן גד, יו"ר ומנכ"ל משותף באינוקום. "הדו"ח של FireEye מצביע על דפוסים חוזרים ונשנים, המתגלים בנוזקות – דבר אשר יכול לחדד את יכולתם של מומחי אבטחת מידע ומרכזי SOC להגן על המידע ומערכות המידע הארגוניים".


תגיות של המאמר: אינוקום | FireEye | סייבר |

כתבות נוספות בקטגוריה הייטק וטכנולוגיה

CMiC משיקה את NEXUS: ה-ERP הראשון לבנייה המופעל על ידי בינה מלאכותית המשלב עיבוד שפה טבעית, בינת בנייה ואוטומציה מונעת סוכנים CMiC, הספקית המובילה של הדור הבא של ERP לבנייה, הו
מטוס הקרב הלא מאויש GA-ASI Gambit 6 החדש מוסיף פעילות אוויר-קרקע עבור לטובת CCA בינלאומי הגרסה המעודכנת של סדרת Gambit החדשנית של כלי טיס ק
עתידם של מטוסי קרב אוטונומיים מגיע לרומא General Atomics Aeronautical Systems, Inc. (GA-ASI
Bending Spoons רוכשת את AOL לאחר מימון חוב בסך 2.8 מיליארד דולר חברת הטכנולוגיה Bending Spoons הכריזה היום כי חתמה
Fortanix מביאה את הבינה המלאכותית העצמאית, המאובטחת והמהימנה אל המעבדים הגרפיים למחשוב חסוי ומתקדם של NVIDIA ‏Fortanix® Inc., גורם מוביל בתחום אבטחת הנתונים ב
SKYX חתמה על הסכם עם מפתחי הנדל"ן האמריקאים והבינלאומיים הבולטים Global Ventures Group לפריסת טכנולוגיות הבית החכם המתקדמות שלה בבניינים ובתי מלון בפרויקטים במזרח התיכון כולל ערב הסעודית ומצרים SKYX Platforms Corp (נאסד"ק: SKYX) (d/b/a "Sky Tec
Green Building Initiative ומועצת האלקטרוניקה העולמית משתפות פעולה לקידום יעילות אנרגטית של הבניין כולו Green Building Initiative (GBI) הודיעה כי התווית ה
טכנולוגיית הבינה המלאכותית בקצה של Lantronix מעצימה את מעבד הווידאו מבוסס הבינה המלאכותית החדש של Sightline עבור יישומים קריטיים של רחפנים Lantronix Inc. לנטרוניקס (נאסד"ק: LTRX), מובילה עו
Ambiq חושפת את שבבי ה-Apollo510 Lite להעצמת מכשירי קצה פעילים תמידית עם קישוריות Bluetooth דו-מצבית Ambiq Micro, Inc. ("Ambiq"), ספקית מובילה של פתרונ
זום חלוצה בעידן הבא של בינה מלאכותית ארגונית מותאמת אישית עם NVIDIA Zoom Communications, Inc. (נאסד"ק: ZM) ו-NVIDIA ע
Cambridge Isotope Laboratories, Inc חושפת את ISOAPI-D - סטנדרט חדש של ריאגנטים דאוטריים לטובת חדשנות בתעשיית התרופות - בכנס CPhI בפרנקפורט 2025 רשת הייצור הגלובלית של CIL, הכוללת מתקנים בצפון אמ
DebitMyData מספקת פתרון למשבר איסור היצוא העולמי של H20, חושפת את התפקיד הקריטי של Human Energy Grid DebitMyData™, Inc פרסמה עדכון חשוב עבור בעלי עניין
השקת מוצר סוף שנת 2025 של Meltwater מספק אינטליגנציה מדיה חכם יותר עם חידושים חדשים בתחום הבינה המלאכותית Meltwater, מובילה עולמית במדיה, מדיה חברתית ומודיע
HKSTP ו-HKTDC הובילו 22 חדשנים מהונג קונג למזרח התיכון ואפשרו למעלה מ-200 התאמות עסקיות כדי לפתוח הזדמנויות חגורה ודרך תאגיד פארקי המדע והטכנולוגיה של הונג קונג (HKSTP),
ExaGrid הוכרזה כמועמדת סופית לזכייה בפרס ערוץ MSP לשנת 2025 ®ExaGrid, פתרון אחסון הגיבוי השכבתי היחיד בתעשייה
מלזיה מרחיבה את פריסת מערכות התקשורת המאובטחות של BlackBerry עבור אירועי ASEAN Summit ה-46 וה-47 BlackBerry Limited (NYSE:BB) (TSX:BB) הודיעה כי מל
InterSystems ו-Google Cloud משלבות את InterSystems HealthShare עם Healthcare API של Google Cloud ‏InterSystems, ספקית יצירתית של טכנולוגיית נתונים
אחים, בני 19 ו-20, שנשרו מסטנפורד, גייסו 4.1 מיליון דולר בסבב גיוס עם רישום יתר לבניית Golpo AI שמדמיינת מחדש יצירת וידאו שמבוססת על בינה מלאכותית Golpo, פלטפורמת הבינה המלאכותית שהופכת מסמכים והנח
SINTX Technologies מקבלת אישור FDA לטכנולוגיית השתלת כף רגל וקרסול SINAPTIC® SINTX Technologies, Inc. (נאסד"ק: SINT) ("SINTX" א
QuickTopUps.com: פלטפורמת טעינה דיגיטלית גלובלית מושקת בפקיסטן כדי להרחיב את הגישה לבידור מקוון קראצ'י, 18 בספטמבר 2025. QuickTopUps.com הושקה באו
הוסף תגובה 
תגובות  ( תגובות)