האם GetIntoPC בטוח? פרופיל האבטחה, התוכנות הזדוניות והסיכונים המשפטיים האמיתיים

מדוע מהנדסי אבטחה שואלים "האם GetIntoPC בטוח"?

אם אתם עובדים בתחום האבטחה, צוות אדום, ניתוח תוכנות זדוניות, מחקר ניצול או בדיקות אוטומטיות מבוססות בינה מלאכותית, בוודאי שמעתם את השאלה הזו ב-Slack:

"אני רק צריך את הכלי X במהירות. האם GetIntoPC בטוח או לא?"

GetIntoPC (ושיבוטים כמו GetIntoPC.com / GetIntoPC[.]xyz / rehost mirrors) מציג את עצמו כארכיון "תוכנה חופשית" המציע הכל תחת קורת גג אחת. המשתמשים מורידים מתקינים עבור Windows, כלי הנדסה לאחור, עורכי וידאו, אפליקציות ארגוניות מורשות ואפילו קבצי ISO מלאים של מערכות הפעלה. היתרונות המוצהרים הם מהירות, נוחות והיעדר חומת תשלום.

הנה המציאות הלא נעימה:

• האתר מציע תוכנות מסחריות פרוצות/מופעלות מראש/ארוזות מחדש מחוץ לערוץ הרישיונות של הספק. זוהי פיראטיות תוכנה, אשר כרוכה באחריות ברורה בתחום הקניין הרוחני והציות לחוק עבור חברות הפועלות תחת חוקי ארה"ב/האיחוד האירופי. (בטל)
• דיונים רבים בנושא אבטחה בקהילה ובקרב ספקים מתארים את GetIntoPC כבעל סיכון גבוה לתוכנות זדוניות מצורפות, מטענים לגניבת אישורים, תוכנות ליצירת מפתחות עם דלת אחורית ומתקינים טרויאניים. כמה דיווחים מקשרים באופן מפורש בין הורדות GetIntoPC לפריצה לחשבונות, גניבת אישורים ובנייה מחדש של המחשב כולו. (Reddit)
• קהילות האנטי-תוכנות זדוניות ו-DFIR רואות במערכות אקולוגיות אלה כבלתי נבדלות מהפצת תוכנות פיראטיות — שהיסטורית מהוות כר פורה לטרויאנים, גנבי מידע ומסגרות טעינה. (פורום התמיכה של קספרסקי)

לכן, כשאתה שואל "האם GetIntoPC בטוח", אתה לא באמת שואל על המוניטין של אתר מסוים. אתה שואל: "האם אני רוצה לייבא קבצים בינאריים לא מבוקרים, לא חתומים, שעשויים להיות שונו על ידי מפיץ אנונימי, לסביבת העבודה שלי (מחשב נייד, מעבדה, רשת לקוחות או מכונה וירטואלית בענן) ולקחת אחריות משפטית על החלטה זו?"

עבור רוב הארגונים, התשובה הנכונה היא: בהחלט לא.

פירוט מודל האיומים: מה אתם מכניסים בפועל לסביבתכם

בואו נבחן את משטח התקיפה האמיתי שמסתתר מאחורי הורדות "חינמיות ומופעלות מראש". נחלק אותו לארבע קטגוריות: סיכון תוכנות זדוניות, אמינות שרשרת האספקה, חשיפה משפטית והיקף הנזק התפעולי.

תוכנות זדוניות מוטמעות וגניבת אישורים

ישנן טענות פומביות מצד משתמשי קצה וקהילות AV כי הורדות GetIntoPC מגיעות עם סוסים טרויאניים, גנבי אישורים וסקריפטים ברקע המוציאים מידע על פעילות הדפדפן, פרטי כניסה לחשבון Google או אסימוני רישיון. במקרים מסוימים, הקורבנות מדווחים על אובדן הגישה לחשבונות זמן קצר לאחר התקנת גרסאות פרוצות ממערכת זו, ונאלצים להתקין מחדש את Windows במלואו כדי להשיב את השליטה. (Reddit)

זה תואם את מה שצוותי DFIR כבר יודעים: מתקינים פרוצים הם אמצעי הפצה כמעט מושלם, מכיוון שהקורבן מעניק מרצונו החופשי הרשאות מנהל ומכניס את הקובץ הבינארי לרשימת ההיתרים כ"תוכנת פרודוקטיביות" ולא כ"תוכנה זדונית". (משתמש-על)

מתקינים שעברו שינוי ("מופעל מראש", "אין צורך בהתקנה")

כאשר אתר מציין שההורדה היא "מופעלת מראש", "פרוצה מראש" או "ניידת ללא צורך בהתקנה", המשמעות היא בדרך כלל:

• בדיקות הרישיון תוקנו.
• שיחות טלמטריה ועדכון נחסמות או מנותבות מחדש.
• קובצי בינארי נוספים מוחדרים (מטענים, מתזמנים להפעלה אוטומטית, ווים להתמדה).

אתה סומך על צד שלישי לא מוכר יותר מאשר על הספק המקורי. זהו סיכון קלאסי לפגיעה בשרשרת האספקה: אתה מריץ קוד לא חתום של גורם שאת המניעים שלו אינך יכול לאמת. ספקי תוכנות אנטי-וירוס ופורומים בנושא אבטחה מזהירים במפורש כי פורטלי הורדות המפיצים תוכנות פיראטיות פועלים על בסיס "השימוש על אחריותך בלבד", מכיוון שזיוף זדוני הוא תופעה נפוצה ושרשרת האחריות אינה שקופה. (פורום התמיכה של קספרסקי)

חשיפה משפטית ותאימות

תוכנה מסחרית פרוצה היא תוכנה ללא רישיון. בארצות הברית ובאיחוד האירופי, שימוש ביודעין בתוכנה פיראטית בסביבה עסקית חושף אתכם לעונשים אזרחיים, הפרת חוזה, בעיות פוטנציאליות עם הרגולטור (במיוחד עבור חברות ציבוריות או חברות מבוקרות) וסכסוכים ביטוחיים. (בטל)

מנקודת מבט של תאימות:

• אם אתה נמצא בסביבה מפוקחת (פיננסים, בריאות, ביטחון, SaaS המטפל ב-PII), התקנת תוכנה בלתי חוקית עלולה להתגלות במהלך ביקורת או גילוי אלקטרוני.
• צוותי SOC / GRC פנימיים יצטרכו להסביר לגורמים המשפטיים, ואולי גם לגורמי הפיקוח (FTC בארה"ב, FCA בבריטניה, GDPR באיחוד האירופי), מדוע הותקנו קבצים ביצועיים שלא נבדקו, עם רישיונות לא ברורים, במערכות המסוגלות לייצר. (keyonline24)
• חברות ביטוח סייבר יכולות — ואכן עושות זאת — לדחות כיסוי כאשר גורם הפגיעה הוא "תוכנה פיראטית לא מורשית שמקורה מחוץ לערוצי הרכש המאושרים". (Crosstek)

אז "זה חסך לנו את דמי הרישיון" זה לא הדבר המדהים שאנשים חושבים שזה.

רדיוס פיצוץ תפעולי

מהנדסי אבטחה לעתים קרובות מקימים תיבות ניתוח מהירות, משיגים כלים שאינם זמינים בשוק, ומריצים אותם על מחשבים פנימיים המחוברים באופן חלקי "רק כדי לנסות". כך תוכנות זדוניות לגניבת אישורים עוברות ממכונה וירטואלית חד-פעמית ל-Slack, Jira, CI/CD, מפתחות ענן, אישורי VPN, אסימוני GitHub פנימיים וכו'.

ברגע שזה קורה, אתה כבר לא נמצא ב"תאונת מעבדה". אתה נמצא בתאונה-תאונה.

טבלה מהירה: GetIntoPC לעומת מקורות לגיטימיים

השוואה זו משקפת נושאים חוזרים ונשנים בקהילות המחקר בתחום התוכנות הזדוניות, בכתבות DFIR ובפוסטים בפורומים בנושא אבטחת מידע הדנים בשאלה "האם getintopc בטוח", וכן בהנחיות בנושא פיראטיות/חוקיות סביב תוכנות פרוצות. (בטל)

איך לאמת (או לפחות להכיל) אם אתה נאלץ לגעת בזה

בואו נהיה כנים: צוותי אבטחה לפעמים יש לפתוח קבצים בינאריים חשודים כדי לנתח התנהגות של תוכנות זדוניות, לאשר POCs של ניצול, או לשחזר פגיעה בלקוח. זו עבודה אמיתית. אבל לפחות אתה יכול להימנע מהכנסת הסיכון הזה לתחנת העבודה שלך, שבה מותקנים גם Okta, Slack, AWS creds ו-production kubeconfig.

השתמש בתשתית מבודדת וחד-פעמית

אל תבדקו את הארטפקטים של GetIntoPC במחשב הנייד הראשי שלכם או במכונה וירטואלית פנימית של "הנדסה" עם אסימוני SSO. הפעילו מכונה וירטואלית לניתוח עם ניתוק מוחלט מהרשת או סביבת sandbox ללא אישורי גישה לייצור, יציאה מקוטעת מהרשת ולכידת חבילות מלאה. (זוהי פרקטיקה סטנדרטית בתחום הזיהוי הפלילי הדיגיטלי/מיון תוכנות זדוניות, המאושרת על ידי קהילות DFIR ומדריכי IR של CISA ו-NIST לטיפול בדגימות של תוכנות זדוניות חשודות. ראו: https://www.cisa.gov/topics/cyber-threats-and-advisories ו https://csrc.nist.gov/projects/malware-behavior-catalog)

לערבב הכל, לאמת את הקביעות

לפני שתריץ משהו, צור חתימות קריפטוגרפיות ושמור אותן. כך תוכל להוכיח מאוחר יותר בדיוק איזה קובץ בינארי הרצת, אם יבקשו זאת מחלקת המשפטית או מחלקת יחסי הציבור.

# PowerShell ב-Windows Get-FileHash .\installer.exe -Algorithm SHA256 | Format-List # פלט לדוגמה: # Algorithm : SHA256
# Hash : 4C3F5E9D7B2B1AA9F6A4C9D8E37C0F1D8CF5D1B9A1E0B7D4C8F1A2B3C4D5E6F7 # Path : C:\Users\analyst\Downloads\installer.exe

שמור את ההאש הזה ברשימות התיק שלך. אם הקובץ משתנה בין הורדות מאותו דף, זו נורה אדומה המעידה על עומסים מתחלפים/מפיצים מבוימים.

סריקה באמצעות שירותים מרובי מנועים וכלים מקומיים

הפעל את הקובץ באמצעות סורק רב-מנוע כמו VirusTotal (https://www.virustotal.com/) ממכונה לא רגישה, ולהריץ ניתוח סטטי/דינמי באופן מקומי (ClamAV, מיון סטטי, סנדבוקסינג התנהגותי). בתגובות הקהילה בנושא "האם GetIntoPC בטוח" מוזכר שוב ושוב כי קבצי EXE של patch/keygen מ-GetIntoPC מפעילים את VirusTotal עם דגלים של סוס טרויאני ו-keylogger. (Reddit)

בלינוקס:

# בדיקה ראשונית מהירה עם ClamAV clamscan --infected --recursive ./suspicious_download/ # מעקב רשת tcpdump -i eth0 -nn host not 127.0.0.1 # חפש אותות יציאה לאחר ביצוע

אם אתה מבחין בהדלפת אישורים (אסימוני דפדפן, קובצי Cookie, הפעלות שמורות), אתה לא מנתח "תוכנת פרודוקטיביות". אתה מפעיל תוכנה לגניבת מידע.

לעולם אל תעביר קבצים בינאריים פגומים למחשבים ניידים של החברה.

אל תגיד "אה, זה עובד" ואז תעתיק את הכלי הזה למחשב שבו אתה משתמש ביום יום כי "הגרסה המקורית יקרה". כך תמצא את עצמך עם תיאור של הפרת אבטחת מידע פנימית בדוח האירוע, בנוסף למאבק עם חברת הביטוח בנוגע לרשלנות מכוונת. (Crosstek)

"אבל אנחנו רק מעבדת מחקר / צוות אדום / חנות אבטחת AI. אנחנו צריכים כלים אקראיים במהירות."

זהו הטיעון היחיד בעל תוקף חלקי שהמגנים מעלים:

• אתה מבצע הנדסה לאחור של תוכנות זדוניות.
• אתה משחזר פשרה עם לקוח.
• אתה מאמת אם שרשרת ניצול היא אמיתית.
• אתה בונה סוכן מבוסס בינה מלאכותית שמחבר כלים חיצוניים באופן אוטומטי, ואתה רוצה לראות איך הסוכן מתנהג עם כלי עזר ישנים מסוג "אזור אפור".

בשלב זה השיחה עוברת מ"האם GetIntoPC בטוח?" ל"איך אנו בודקים קבצים בינאריים עוינים בצורה בטוחה, חוזרת ונשנית, ועם ראיות".

זהו בעצם מבחן התקפי מובנה. וכיום, חלק גדול מהעבודה הזו הופך לאוטומטי.

בדיקות התקפיות אוטומטיות וניתנות להסבר (בהקשר של Penligent)

Penligent (https://penligent.ai/) מציגה את עצמה כפלטפורמה אוטומטית לבדיקות חדירה ואימות, המתנהגת כמו צוות אדום אנושי חוזר. מטרת הפלטפורמה אינה לספק לכם קבצים בינאריים חשודים. מטרתה היא לבצע פעולות אבטחה מבוקרות (סריקה, ניסיונות ניצול, אימות, דיווח) בסביבה מבוקרת — ואז להפיק ראיות מוכנות לביקורת על מה שקרה, איך זה קרה ואיך לתקן את זה.

זה חשוב בשיחה ב-GetIntoPC משתי סיבות:

1. סביבה מבוקרת לעומת הורדה עיוורת.
   במקום "לקחת כל גרסה פגומה שגוגל מוצאת ולהריץ אותה על המחשב שלי עם Windows", המודל הוא "לתת לסביבה מבודדת ומצוידת במכשירים לבצע את הבדיקה, לתעד את ההתנהגות וליצור דוח". זה מצמצם את היקף הנזק אם הקובץ הבינארי הוא זדוני.
2. ראיות שתוכל להציג למחלקת משפטית ותאימות.
   כאשר מנהל אבטחת המידע שלך, או גרוע מכך, חברת הביטוח שלך שואלים "מדוע קובץ EXE זה פעל ברשת שלנו?", אתה רוצה לענות:
   • הנה ההאש,
   • הנה תמלול תיבת החול,
   • הנה ההוכחה שהוא ניסה לגנוב את פרטי ההזדהות,
   • הנה מצב ההכלה.
     לא "אה, מתמחה הוריד את פוטושופ מאיפשהו כי הרישיון היה מעצבן". (AiPlex נגד פיראטיות)

זה ההבדל בין בדיקות יריבות מבוקרות לבין צריכת תוכנות פיראטיות חסרת אחריות.

מציאות משפטית, תאימות ופיקוח (במיוחד עבור ארגונים בארה"ב, בריטניה והאיחוד האירופי)

זכויות יוצרים ורישוי

הורדה ושימוש בתוכנה מסחרית פרוצה מהווה הפרה של זכויות יוצרים. בארצות הברית, בריטניה, האיחוד האירופי וקנדה, הדבר עלול לחשוף לא רק את המוריד, אלא גם את החברה, אם התוכנה משמשת בנכסי החברה. (בטל)
רגולטורים כמו FTC (ארה"ב) ו-FCA (בריטניה) לא מתעניינים בכך ש"מחלקת ה-IT הייתה זקוקה לזה במהירות". הם מתעניינים בכך שתוכנה בלתי מורשית שמקורה לא ידוע הורשתה לפעול בסביבה שמעבדת נתוני לקוחות או מטפלת בתזרימים פיננסיים. זהו נושא שדורש בדיקה מיידית.

ביטוח סייבר

חברות הביטוח מסווגות יותר ויותר "קוד זדוני שהוכנס באמצעות תוכנה פיראטית לא מורשית" כרשלנות שניתן היה למנוע. תרגום: אם תוכנת כופר מגיעה באמצעות מתקין פרוץ, חברת הביטוח יכולה לסרב להחזר כספי מכיוון שהפרת את בקרות הרכש הבסיסיות של התוכנה. (Crosstek)

סיווג תגובות לאירועים

אם קובץ בינארי שנפרץ מ-GetIntoPC גונב אישורים שמאפשרים גישה למערכות ייצור או מערכות פיננסיות, לא מדובר רק באזהרה של מחלקת משאבי אנוש. ייתכן שתצטרכו לדווח על הפרת אבטחה, לדווח על האירוע לרשויות הפיקוח או לפרסם גילוי נאות בסגנון SOX/SOC2.

תשובות קצרות לשאלה "האם GetIntoPC בטוח?"

לשימוש אישי מתוך סקרנות במחשב Windows היומיומי שלך

לא. זהו וקטור תוכנה זדונית מסוכן, ומשתמשים רבים מדווחים על גניבת פרטי הזדהות, סוסים טרויאניים ופגיעה מלאה בחשבונם לאחר התקנת חבילות פרוצות. (Reddit)

לסביבות ארגוניות / ייצור / מוסדרות

בשום פנים ואופן. אתה מייבא קבצים בינאריים לא מורשים ומשופרים למערכות שעשויות לטפל בנתונים מוסדרים. זהו מעשה בלתי חוקי ובלתי תואם, ובנוסף הוא מספק למבטח שלך תירוץ מושלם לא לשלם אם תסבול נזק. (בטל)

לצורך ניתוח מבוקר של תוכנות זדוניות/סביבת בדיקה על ידי צוות אבטחה מיומן

זה עדיין מסוכן — אבל לפחות ניתן להגנה אם עושים זאת בתשתית מבודדת לחלוטין, לוכדים חשישים, מתעדים התנהגות ומתייחסים לזה כמו לקוד עויין מהרגע הראשון. זה קרוב יותר לפרקטיקה של DFIR ולכלי צוות אדום, ועליכם להיות מוכנים להציג מאוחר יותר את כל הממצאים הפורנזיים. ניתוח סנדבוקס בנקודת זמן, ולא "העברנו את זה לייצור".AiPlex נגד פיראטיות)

מיקום סגירה

"האם GetIntoPC בטוח" היא שאלה לא נכונה.
השאלה הנכונה היא: "האם אני מוכן להצדיק בפני מחלקת המשפטית/תאימות/ביטוח/IR מדוע ביצעתי קובץ בינארי לא מורשה, שונה, שעלול לגנוב אישורים ממקור וורז אנונימי במחשב ברשת?"

אם התשובה היא לא, אז GetIntoPC אינו "בטוח" עבורך.

אם התשובה היא כן, אז אתם מנהלים מעבדת תוכנות זדוניות — התנהגו בהתאם. תפסו חתימות. הכילו את הביצוע. תיעדו את ההתנהגות. אל תדליפו את רדיוס ההשפעה ל-Slack, Okta, Jira, prod kubeconfig או מערכות פיננסיות. ובמידת האפשר, החליפו את "קובץ בינארי פרוץ אקראי מהאינטרנט" בפלטפורמות בדיקה התקפיות מבוקרות ומבוססות ראיות, שיכולות לייצר הוכחות ניתנות להגנה במקום תירוצים.