الفيروس “شمعون” .. نظرة تحليلية بعد الضربة
د.خالد العيسى، أستاذ أمن المعلومات
كنت أحد المشاركين في ورشة نقاش عملية حول هجمات شمعون الاخيرة أقامها مركز الأمن الإلكتروني الوطني مشكورًا. قبل أن ابدأ بسرد تشريحي للنتائج التي تم التوصل لها؛ أحب أولًا أن أشكر المركز لجهودهم الجبارة. فقد قاموا بتحليل مفصل وجهد رائع في عكس شفرة الفيروس واكتشاف تفاصيل تقنية مهمة. في هذا المقال سنذكر مقتطفات وطرائف من تحليل فايروس شمعون:
لماذا يقوم الفيروس بتغيير التاريخ لـ 2012؟
من ضمن الأدوات المستخدمة في الهجوم أداة تسمح بالكتابة على الأجزاء المحمية من القرص الصلب (مثل قرص الإقلاع). الأداة المستخدمة تم شراء رخصة لها لاستخدامها في هجوم أرامكو والرخصة لهذه الاداة تنتهي في نهاية 2012 .. لذلك يقوم الفيروس بتغيير التاريخ لكي يستطيع استخدام الأداة ليقوم بالكتابة على قرص الإقلاع ومسحه.
4 هجمات بنفس الوقت
أوضحت التحاليل أن الهجمات كانت تعمل على ٤ أصعدة بنفس الوقت. الهجمة الكبرى والتي عرفها أغلبنا كانت الهجوم باستخدام فيروس شمعون. في نفس الوقت كان هناك هجوم لبعض الجهات باستخدام رانسوموير (فيروسات الفدية)، ولكن الهجوم بالرانسوموير كان على مستوى محدود جدًا بالإضافة إلى أن الجهات المتضررة كانت كلها تحتفظ بنسخ احتياطية ولم تحتاج لحل مشكلة الرانسوموير.
الهجوم الثالث كان هجمات DDoS لمحاولة تعطيل بعض الخدمات والسيرفرات، أما الهجوم الرابع فكان عبارة عن موجة من رسائل الاصطياد لمحاولة سرقة كلمات مرور ومعلومات مستخدمين جديدة للتحضير لهجمات قادمة.
الاتصال بـ 1.1.1.1
من ضمن الخطوات التي يقوم بها الفيروس منذ “شمعون ١” هو الاتصال بالمصدر لإرسال المعلومات التي تم سرقتها. عندما تم كتابة الفيروس بالأساس وضع في خانة الاتصال الآي بي 1.1.1.1 كمثال بحيث يقوم المهاجم بتغيير هذا العنوان إلى عنوانه. في هذه النسخة وبعد تحليل النسخ المختلفة من الفيروس والتي ضربت عدة جهات تبين أن عنوان الاتصال لم يتم إدخاله وإنه باقي على الوضع الافتراضي. وهذا يعطينا مؤشر لأحد أمرين، إما أن المهاجمين أناس مبتدئين واستخدموا الفيروس دون معرفة كاملة بتفاصيله وهذا الاحتمال الأضعف. الاحتمال الأكبر أن الهدف من الضربة هو تخريبي فقط ولا يهمهم أن يتم إرسال أي معلومات لهم.
تجربة ناجحة
قامت إحدى الجهات مشكورة بمشاركة تجربتها كاملة معنا وتقديم جميع التفاصيل. تحدثوا عن إصابتهم في هجمات نوفمبر الماضي وما الذي حصل لهم وكيف تجاوزوا الأزمة. وكيف أنهم من بعد الضربة قاموا بتنفيذ توصيات من عدة جهات أهمها توصيات المركز الوطني للأمن الإلكتروني. الجميل واللافت للنظر أنهم وبسبب تطبيقهم للتوصيات (بعد حماية الله) لم يتم إصابتهم في الهجمة الأخيرة في يناير وكانوا إحدى الجهات التي تجاوزت الأزمة بسلام ودون أي مشاكل ولله الحمد.
التوصيات لحماية نفسك ومنظمتك
1- قم بتغيير كلمة المرور بشكل دوري واحرص على أن تكون صعبة التخمين.
2- لا تقم بالضغط على روابط أو فتح مرفقات وصلتك عن طريق البريد الالكتروني أو رسائل الجوال إلا بعد التأكد والتثبت من المصدر.
3- احرص على وجود نسخة احتياطية من ملفاتك المهمة. ويفضل أن تكون هذه النسخة غير متصلة بجهازك الرئيسي أو الشبكة بأي طريقة لكي لا تصاب النسخ الاحتياطية بالفيروس.
4-ارجع للنقطة الثانية.