Tsundere Bot הוא לא כופרה.
אבל הוא השלב שלפניה.
ברגע שזיהיתם אותו – יש חלון זמן קצר ויקר שבו אפשר לעצור את האירוע לפני שהוא הופך לאירוע כופרה מלא.
כך אנחנו ב־M-CHALLENGE ממליצים לפעול.
שלב 1: בידוד מיידי של תחנת הקצה
לא מכבים.
לא מוחקים.
לא “רק נבדוק רגע”.
- ניתוק התחנה מהרשת (Network Isolation)
- השארת המחשב דולק לצורכי חקירה
- חסימת תקשורת יוצאת חשודה (C2)
המטרה:
לעצור את התוקף מלהתקדם – בלי לאבד ראיות.
שלב 2: חקירה – להבין כמה עמוק זה נכנס
Tsundere Bot נועד לאסוף מידע, לכן חשוב לבדוק:
- אילו תהליכים הורצו
- האם הועלו קבצים נוספים
- האם בוצעה תקשורת לשרתים חיצוניים
- כמה זמן הבוט היה פעיל
במילים פשוטות:
האם זו תחנה בודדת, או התחלה של חדירה רחבה יותר.
שלב 3: חיפוש רוחבי בארגון
טעות נפוצה: לטפל רק בתחנה שנמצאה.
חייבים לבדוק:
- תחנות דומות
- משתמשים עם הרשאות דומות
- פעילות חריגה בזמנים דומים
- חיבורים חיצוניים זהים
Initial Access כמעט אף פעם לא מגיע “לבד”.
שלב 4: ניקוי, הקשחה ושינוי גישה
רק אחרי חקירה:
- ניקוי מלא או Reimage לתחנה
- שינוי סיסמאות רלוונטיות
- בדיקת הרשאות
- חסימת וקטור החדירה (קובץ, סקריפט, אתר, משתמש)
אם לא סגרת את הדלת –
הוא יחזור.
שלב 5: למנוע את הפעם הבאה
Tsundere Bot הוא תמרור אזהרה.
זה הזמן לשאול:
- האם יש ניטור התנהגותי אמיתי?
- האם תחנות הקצה מוקשחות?
- האם יש שליטה על הרצות סקריפטים?
- האם מזהים חריגות לפני שיש נזק?
ההגנה לא נמדדת בכמה זמן לוקח להצפין –
אלא בכמה מהר מזהים שמשהו לא מתנהג רגיל.
M-CHALLENGE – בשביל שקט נפשי
בדיקות אבטחה, Incident Response והגנה מתקדמת לתחנות קצה
https://www.m-challenge.com