בלמ"ס - 1 - אפריל2017 24 "ח ניסן תשע"ז כ 120ב-ס- :סימוכין # ופי ממשל, אקדמיה וגורמים עסקיים בישראלד גכנגה קיפלי תג ## תקציר ### ,בימים האחרונים זוהו מספר גלי תקיפה כנגד משתמשים שונים בגופי ממשל, אקדמיה ,מחקר .וחברות שונות במשק הישראלי .מקור התקיפה בשרת דוא"ל השייך לגוף אקדמי, וכן בשרת נוסף השייך לחברה עסקית ). CVE-2017-0199 (WORD מתווה התקיפה עושה שימוש בחולשת .105 ב-ס- . סימוכין12/4/17 ב- CERTהתרעה לגבי אפשרות תקיפה במתווה זה פורסמה ע"י ה- ## פרטים לו"ז ### להלן פירוט:גלי התקיפה שזוהו עד כה BGU Summer BGU 19 Apr 23 Apr, programs - 23 Apr, International 2017 אישור קבלת 2017 students 2017 Programs 11:54:48 מלגה פרטנית 6:37:16 from India 6:40:11 4/23/2017 [שנה טובה ] +0300 AM AM 9:55 AM 19 Apr 23 Apr, 23 Apr, 23/4/17 ::NIH cancer 2017 סטודנטים 2017 Schedule an 2017 נוסחאון 11:34 AM research funding 14:28:04 שהתקבלו 6:38:51 appointment 6:44:07 לבחינה opportunities +0300 לתכניות קיץ בבן גוריון2017 AM - Apply A2 visa AM בתורת ----- |Col1|Col2|Col3|- 2 -|Col5|Col6| |---|---|---|---|---|---| |Time|From|Subject|To|Attachment|Link| |19 Apr 2017 11:54:48 +0300|דסומ ימדקא|::NIH cancer research funding opportunities|ןעמנ דיחי|3.DOC|| |19 Apr 2017 14:28:04 +0300|דסומ ימדקא|תלבק רושיא - תינטרפ הגלמ יסדנה עדי ןרק ימדקא|54 םינעמנ|3.DOC|| |23 Apr, 2017 6:37:16 AM|דסומ ימדקא|םיטנדוטס ולבקתהש ץיק תוינכתל ןוירוג ןבב 2017|ןעמנ דיחי|1.doc|http://82.145.40.46/558.doc| |23 Apr, 2017 6:38:51 AM|דסומ ימדקא|BGU Summer programs - students from India|ןעמנ דיחי|1.doc|http://82.145.40.46/558.doc| |23 Apr, 2017 6:40:11 AM|דסומ ימדקא|Schedule an appointment- Apply A2 visa|ןעמנ דיחי|1.doc|http://82.145.40.46/558.doc| |23 Apr, 2017 6:44:07 AM|דסומ ימדקא|BGU International Programs|ןעמנ דיחי|1.doc|http://82.145.40.46/558.doc| |Sun 4/23/2017 9:55 AM|דסומ ימדקא|ןואחסונ תרותב הניחבל|82 םינעמנ|1.doc|http://82.145.40.46/558.doc| |23/4/17 11:34 AM|הרבח תירחסמ|הבוט הנש|106 םינעמנ|2.doc|http://82.145.40.46/558.doc| בלמ"ס - 2 - ### Time From Subject To Attachment Link 19 Apr ::NIH cancer נמען 3.DOC 2017 מוסד research ### יחיד 11:54:48 אקדמי funding +0300 opportunities 19 Apr אישור קבלת 54 3.DOC 2017 מוסד מלגה פרטנית- ### נמענים 14:28:04 אקדמי קרן ידע הנדסי +0300 אקדמי סטודנטים נמען 23 Apr, שהתקבלו 2017 מוסד יחיד לתכניות קיץ 1.doc [http://82.145.40.46/558.doc](http://82.145.40.46/558.doc) 6:37:16 אקדמי בבן גוריון AM 2017 BGU נמען 23 Apr, Summer 2017 מוסד יחיד programs - 1.doc [http://82.145.40.46/558.doc](http://82.145.40.46/558.doc) 6:38:51 אקדמי students AM from India 23 Apr, Schedule an נמען 2017 מוסד appointment- ### יחיד 1.doc http://82.145.40.46/558.doc 6:40:11 אקדמי Apply A2 AM visa 23 Apr, BGU נמען 2017 מוסד International ### יחיד 1.doc http://82.145.40.46/558.doc 6:44:07 אקדמי Programs AM Sun 82 מוסד נוסחאון 4/23/2017 1.doc [http://82.145.40.46/558.doc](http://82.145.40.46/558.doc) אקדמי לבחינה בתורת נמענים 9:55 AM ### 106 23/4/17 חברה 2.doc [http://82.145.40.46/558.doc](http://82.145.40.46/558.doc) 11:34 AM מסחרית [שנה טובה ] נמענים ### פרטים על הפוגען . אינדיקטורים לזיהוי הפוגעןOILRIG למתקפה קודמת המוכרת בשםמתנהג באופן זהה הפוגען .'באופן כללי ניתן למצוא בנספח א OILRIGו פעילות דרכי התגוננות וזיהוי .חברת מיקרוסופט הוציאה עדכון אבטחה המונע את פעילות הפוגען הנ"ל .מומלץ להתקין העדכון בהקדם האפשרי בכל עמדות המשתמשים בארגון ----- בלמ"ס - 3 - ### . CVE בשדה ע"פ2017-0199לחפש יש .ניתן למצוא הקבצים הרלוונטיים לעדכון בלינק הבא https://portal.msrc.microsoft.com/en-US/security-guidance רלוונטיות להיעזר ברשימת האינדיקטורים המופיעה בנספח א' ולהזינה במערכות אבטחהמוצע ,מערכות אנטי-ו'ירוס וסינון תוכן וכו. PROXY , מערכותFW כגון שרתי ולא ניתן לפרמט את העמדה ולהתקינה,במידה שקיים חשד כי עמדה מסוימת כבר נדבקה בפוגען ב.' ,מחדש .ניתן לנסות ולבצע הסרה ידנית של הפוגען הנחיות ההסרה מופיעות בנספח .במידה שבבדיקתכם התגלה ממצא כלשהו, נבקש לקבל היזון חוזר לכל.מידע נוסף ניתן לפנות אלינו **הלאומי איננו מחליף חובת דיווח לגוף מנחה כל שהוא ,במידה CERTהערה :שיתוף מידע עם ה-** **שהתגלה צורך כזה.** **,בברכה** **CERT-IL** **072-3990800 :טל** [team@cert.gov.il](mailto:team@cert.gov.il) ### 'נספח א **1.** **Files name:** **a.** 3.doc - **MD5: 1318a321b1afb2934ff20a3fb686ce77** - **MD5: 293239948c256f168de06299ffd2845b** **b.** JuniperSetupClientInstaller.exe - **MD5: 9ded8101ca5d35039cc4d13d903f71db** **c.** OxfordSymposiumRegTool.exe - **MD5: a539b9ea0c4bbfab68e8ecd1ec0b5eee** **d.** GoogleSyncCore.exe - **MD5: 8ea471b4065b261d4055be7b595bec2c** **e.** GoogleUpdateCore.exe - **MD5: 19525a7511756158c896b28e223a44bc** **f.** Test5.hta - **MD5: 8a5ec9425bb3826cac948d0639f3145b** - **MD5 2cf04755371a24b2efd380076c7252ca** ----- בלמ"ס - 4 - **g.** 0011.ps1 - **MD5: 48999fb7f727a9ed78250e10926d9226** - **MD5: 31321fd937cfd4cd9778e9ea68af60b0** **h.** Backup1.vbs - **MD5: ed53ab4aa0001920aac3f1f41e629e71** - **MD5: 3caf858f8c20051d679cd0f703bde89a** **i. DnE1.ps1** - **MD5: ce52b2fe9dd9c525bfc311a297a9fb74** - **MD5: f66fa9735307c29a9968e4250565affc** **j.** DnS1.ps1 - **MD5: 312d7a80457cf0e99e3ce87a25242469** - **MD5: 137fb17495521d96f5d207355c8c7972** **k.** 1.VBS - **MD5: 41c3152aa96d42757ea325817732039a** **l.** 2.doc - **MD5: 871640cd4c4078e8f75bf8767df9011c** **m. 1.doc** - **MD5: 63cfb80afc7749fb02561eb8f5c6c4cd** **2.** **Schedule task name:** **a.** Google Sync Core **b.** Google Update Core **c.** GoogleUpdateTasksMachineUI **3.** **Persistence files and folders:** **a.** %username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Synclnit **b.** %username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winlnit **c.** %public%\Libraries\RecordedTV **d.** C:\Program Files\Microsoft Idle **e.** C:\Program Files (x86)\Microsoft Idle **4.** **IP's:** **a.** 80.82.67.42 **b.** 80.82.67.33 **c.** 144.217.209.182 **d.** 51.255.24.88 **5.** **Domains:** **a.** maralen.tk **b.** alenupdate.info **c.** barsupport.org ----- בלמ"ס - 5 - **d.** matrix-vpn.com **e.** vpsupdate.tk **f.** rostuf.info **g.** limvpn.com **h.** msiupdate.com **i.** newusers.tk **j.** limvpn.org.in **6. Links** **a. http://82.145.40.46/558.doc** ### ב' נספח וסימון האפשרות View לאפשר צפייה בפרטים נסתרים (ע"י בחירת הלשוניתנדרש ראשית 1. -ר.אה צילום מסך )Windows10 - נכון ל-Hidden Items ולוודא כי קיימות בו שתי תיקיות C:\Users\Public\Libraries לנתיב- .לגשת 2 . RecordedTVבשם בעלת האייקון בצורת הטלוויזיה .שאינה י הת ש קיות קיימות יש להסיר את התיקייה במידה שקיימת רק תיקייה בעלת אייקון בצורת טלוויזיה אין צורך להסירה. במידה . Microsoft Idle) ולוודא כי קיימת בו התיקייה C:\Program Files\x86 לגשת לנתיב- (3. יקי .יה קיימת יש להסירה במידה והת %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup4. לגשת לנתיב ### . WinInit.lnk, SyncInit.lnkולבדוק האם נוצרו בו הקבצים להסירם. קיימים יש במידה והקבצים ולבדוק האם )Scheduled Tasks (משימות מתוזמנות או5. לגשת לאשף המשימות המתוזמנות בסעיף המתחילה מהנתיב GoogleUpdateTaskMachineUIמוגדרת משימה מתוזמנת בשם - .ראה צילום מסך הנ"ל- ----- בלמ"ס - 6 - ### .במידה והמשימה קיימת יש להסירה . Google Sync Coreקיימת משימה מתוזמנת בשם- . לבדוק באשף המשימות המתוזמנות האם6 .במידה והמשימה קיימת יש להסירה : Registry7. לבדוק האם קיימים ערכי ה- REGISTRY\MACHINE\Software\Microsoft\Tracing\powershell_RASAPI32\ REGISTRY\MACHINE\Software\Microsoft\Tracing\powershell_RASMANCS\ ים קיימים יש להסירם.הערכש במידה -----