הגליון החמישים ושישה Digital Whisper שוחרר!

ברוכים הבאים לגיליון ה-56, הגיליון האחרון של שנת 2014!
 
אח... מי היה מאמין, הגיליון הסוגר של שנת 2014 סוף סוף יוצא לאור, אשכרה שנת 2015 מגיעה אלינו או-טו-טו ודיגיטל עדיין חי ובועט! (זה כבר איזה חמש פיצות משפתחיות שניר חייב לי... :)). אנחנו יכולים להתחיל להתרפק על ההיסטוריה ולספר בפעם המי-יודע-כמה איך הכל התחיל, ועל האהבה ממבט ראשון, ובלה בלה בלה, אבל זה כנראה לא מעניין אף אחד, אז נעצור את זה כאן. :)
 
לא מעט אירועי האקינג התרחשו בחודש שחלף, כמו החולשה "CVE-2014-632" (או בשמות הפחות רשמיים שלה - MS14-666 / SChannel Shenanigans), הפרסומים אודות המגה-סייבר-וירוס: Regin, הפריצה לחברת סוני, התולעת CryptoPHP שנמצאה בלא מעט מערכות CMS, ועוד אירועים נוספים ורבים. אבל הפעם, שלא כמו בדברי הפתיחה של הגיליונות האחרונים, לא ארצה להגיע לאיזה תובנה או מוסר השכל, הפעם ארצה לדבר על נושא אחר. בין תולעת אחת, לפירצה אחרת, החודש, Pastor Laphroaig (הכומר / המטיף / וכו') הביאו לנו את הגיליון השישי והשנוי במחלוקת של המגזין PoC || GTFO (שנוי במחלוקת, אך עם זאת - עדיין מומלץ בחום!), מדובר במגזין אינטרנטי המתפרסם אחת למספר-לא-קבוע של חודשים, והתחיל להתפרסם באמצע שנת 2013. בנוסף אליו, אפשר לראות מגזינים נוספים כגון "FuckTheSystem" של "NullCrew" (שהתחילו לפרסם בשנת 2012 ולפני חצי שנה פרסמו את הגיליון החמישי שלהם), את "GoNullYourself" שהפרסום האחרון שלהם - הגליון השישי - היה בשנת 2011, או "Hack The Planet" שהפרסום האחרון שלהם היה הגיליון החמישי באמצע 2013. עוד דוגמא נוספת הם Inception, שהיו נראים די מבטיחים בתור המועמדים להחליף את 29A Labs האגדיים, אך אחרי הגיליון הבודד שהם פרסמו ב-2012 - לא שמעו מהם יותר. וקיימים עוד מספר לא קטן של גיליונות שיוצא לי לעקוב אחריהם, אך משום מה אחרי מספר בודד של גיליונות - לא שומעים מהם יותר.
 
וזאת שאלה מעניינת: איך קורה מצב שמובילי המגזין לא מצליחים להחזיק מעמד אחרי מספר בודד של גיליונות, ואחרי חמישה או שישה פרסומים - המגזין מת? אני לא מדבר על מקרים חריגים כמו ב-FTS, שחלק מהצוות פשוט נעצר, אני לא מדבר על אירועים כמו Phrack שמוציאים גיליון פעם בשנה (וגם הם, הוציאו את הגיליון האחרון שלהם בשנת 2012), ואני בטח ובטח לא מדבר על מגזינים ממוסחרים כמו Hackin9 (ברררר).
 
זאת שאלה מעניינת אך קשה. מצד אחד, אני לא מכיר את רוב המובילים של אותם המגזינים, ולא מכיר את הסיפורים או הסיבות האישיות שלהם, אבל מצד שני, נראה שמלבד Phrack שמצליח להחזיק מעמד כבר מספר לא מבוטל של שנים (למרות שלאור המגזינים האחרונים, ולמי שאוהב לקרוא בין השורות במגזין הנ"ל, נראה ש- The Circle of Lost Hackers לא ימשיכו יותר מדי, לפחות לא במתכונת הנוכחית), ומלבד, כאמור - PoC || GTFO הצעירים (בכל זאת, שישה גיליונות סה"כ), נראה ששום מגזין לא מצליח להתרומם אל מעבר לגיליונות הבודדים, וזה, סטטיסטית, פשוט לא מסתדר לי.
 
בשנות השמונים, התשעים ואפילו עדיין בתחילת שנות האלפיים, היו לא מעט מגזינים הסובבים סביב עולם ההאקינג, סביב עולם הפריקינג, וסביב נושאים דומים. Phrack הוא אולי היחידי ששרד מהם ועדיין רלוונטי, ולכן הוא המוכר ביותר, אבל מי שמתעניין בנושא (או סתם חי באותה התקופה...), מכיר שמות אגדיים כמו "Legion of Doom", "The Computer Underground Digest", "Cult of the Dead Cow", "The Brotherhood of Warez" ועוד רבים וטובים שנראה שאפילו לינקים רלוונטים לא נשארו מהם. אני לא אנתרופולוג, וכנראה זאת הסיבה שלא אוכל להסביר או לנחש את העניין, אבל בכל זאת, אני מנסה להבין: מה אני מפספס? זה נכון שקהילות ההאקינג של היום לא מבוססות BBS-ים כמו פעם, והאינטרנט היום מורכב הרבה מעבר ל"סתם טקסט", אך עדיין יש לא מעט קהילות סגורות ופרטיות כמו פעם. ובנוסף, נראה שעדיין אנשים מתעניינים במגזינים שכאלה (עובדה שבכל זאת היו נסיונות להתחיל מגזינים שכאלה בשנים האחרונות), וגם חומר איכותי לא חסר... אז מה אני מפספס? מה היום מציב את המחסום לאותם מגזינים?
 
נכון לעכשיו, למרות שאני לא מבין את הסיבה שאנחנו פה כמעט לבד. אני לא רואה שום סיבה שתמנע מדיגיטל להמשיך לפרוח ולפרסם עוד גיליונות, כל עוד תמשיכו אתם לתמוך בנו - כמו שאתם עושים בצורה מעולה (כמו כל הכותבים שתרמו לנו עד כה) - אין שום סיבה שנעלם מעל דפי האינטרנט.
 
וכמובן, לפני שנגש לעיקר הדברים, נרצה להגיד תודה רבה לכל אותם אנשים שבזכותם אנחנו פה החודש, תודה רבה ל-Ender, תודה רבה לאלי כהן-נחמיה, תודה רבה לדן בומגרד (Dan Bomgard), תודה רבה ליהונתן שחק (Zuntah) ותודה רבה לעוז ענני (Ozi). וכמובן, תודה עצומה לשילה ספרה מלר על כל העזרה בעריכת המאמרים.



החודש, הגליון כולל את המאמרים הבאים: 
 
  • JavaScript Obfuscation - יש חיה כזאת? (מאת Ender)
                Obfuscation (ערבול) של קוד JavaScript היא פרקטיקה די נפוצה, והיא אפילו יכולה להיות שימושית במקרים מסויימים: כגון
                מניעת ניתוח אוטומטי, מעקף חתימות של IPS, גרימת כאבי ראש לחוקרי אבטחה ועוד. במאמר זה, סוקר Ender שיטות 
                שונות לביצוע Obfuscation ב-JavaScript הנפוצות כיום, ואת החולשות של כל שיטה, במטרה להבין האם אכן קיימת טכניקת
                Objuscation יעילה הניתן לממש ב-JavaScript.
  • Gita's Black Box Challange (מאת אלי כהן-נחמיה)
                במאמר זה, מציג אלי את הפתרון שלו לאתגר בשם "Black Box Challage" - אתגר חומרה שתוכנן ע"י Gita Technologies.
                מסמך זה אינו מיועד להיות דו"ח רשמי וממצה, אלא תיאור מודרך של תהליך האנליזה תוך ציון השיקולים והכיוונים השונים
                העומדים בפני החוקר. במהלך המאמר, מציג אלי את הדרכים בהן ניתן להשתמש על מנת ללמוד אודות הרכיב, כיצד לחקור
                אותו וכיצד לפתור את האתגר שלב אחר שלב.
  • המדריך המהיר לכתיבה של וירוס פשוט (מאת דן בומגרד / Dan Bomgard)
                במאמר זה, מציג דן את כתיבתו של וירוס המיישם הדבקת קבצים (Infector), לשם כתיבת המאמר, דן מציג וירוס המדביק
                אך ורק קבצים המופיעים בתיקיה ספציפית במחשב, אך אין התהליך שונה כאשר באים לכתוב וירוס "אמיתי". דן מציג את
                שלבי התכנון והכתיבה, ההיבטים שיש לשים לב אליהם והבעיות שבהן נתקל כותב וירוסים בעת כתיבת וירוסים לסביבת
                Windows ובכלל.
  • לא אנומאלי ולא במקרה (מאת יהונתן שחק (Zuntah) ועוז ענני (Ozi))
                במאמר זה מציגים יהונתן ועוז מספר טכניקות מעניינת המשלבות כלים מ-Metasploit, יכולות מעניינות של WinRAR, כלים כמו
                Resource Hacker וכל קובץ תמים נוסף לטובת יצירת "הסוס הטרויאני האולטימטיבי", המאפשר שליטה מרחוק על מחשב
                הקורבן, שרידות, וכמובן - מבלי להתפס ע"י תוכנות האנטי-וירוס השונות.
 
 
                                                         קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל. 


תגובות על 'הגליון החמישים ושישה Digital Whisper שוחרר!':



#1 

cp77fk4r:
ראשון :)
30.11.2014 21:40:51

#2 

still... (אורח):
לעע
30.11.2014 22:06:24

#3 

Ek (אורח):
Great stuff as always Ender!
30.11.2014 22:14:07

#4 

Dw4rf (אורח):
תודה רבה! נראה גיליון משובח!
30.11.2014 22:20:39

#5 

שמיל (אורח):
תודה רבה לכל מי שהשקיע!
רק רפרפתי, אבל המאמר של עוז ויהונתן פשוט מגניב כמה שהוא פשוט...
30.11.2014 22:26:44

#6 

skepper (אורח):
כבוד !
30.11.2014 22:29:12

#7 

Ce@seR (אורח):
כל כבוד!
יש לי מאמר על ה-DroidSQLi אם תרצה. הוא באנגלית אבל נחמד, כולל סקירה של הטכניקות של הכלי ואיך אפשר לזהות אותו in the wild.
30.11.2014 22:33:38

#8 

Rami (אורח):
תודה
30.11.2014 23:00:22

#9 

Web (אורח):
מאד אהבתי את הגליון, במיוחד את המאמר של אלי על האתגר של Gita. המשיכו כך :)

כבר הציק לי המאמר האחרון שהיה קצת סקידי לטעמי מהטעמים האלו:
* הסבר על תוכנות בצורה שגם אדם ללא כל ידע יוכל להשתמש בהן למטרות זדוניות.
* חוסר פירוט טכני.
* הכי חשוב: בוני התוכנה מבקשים בפירוש לא להעלות לסורקים. אז למה להעלות?

צריך לזכור שעם הידע באה גם האחריות, אי אפשר לפרסם מדריך כזה ולצפות שלא ישתמשו בו בצורה זדונית.
01.12.2014 13:00:55

#10 

nirgn975 (אורח):
ואוו איך הזמן טס..
תודה רבה לכל הכותבים על עוד גיליון מרשים!
01.12.2014 16:26:03

#11 

גיא (אורח):
פרסמתם החודש את אחד הגליונות! תודה רבה! אתם עושים עבודת קודש!
03.12.2014 07:58:24

#12 

d4d (אורח):
יצאו מאמרים מאוד מעניינים החודש
יש לי כמה הערות על חלק מהמאמרים
במאמר של Ender
כשאתה מזכיר בהתחלה ב obfuscations שבשפת עילית אסמבלי לא קריא זה לא ממש נכון :P
אבל כשמדובר ב obfuscations לקוד באסמבלי אפשר להבחין מהר מאוד איזה קוד מעורפל ואיזה לא.
אתה תראה שיש לך push+ret
אתה תראה int20 באמצע הקוד ושימוש מרובה ב jmps
jmp to jmp to jmp to jmp to cmp eax,5 to jmp to jmp to jne
חוץ מהקטע הזה לגבי ה obfuscations
מאוד אהבתי לקרוא את המאמר שלך על איך להוריד עירפול של JS וגם כמובן שהבאת שם תרגילים לנסות.
04.12.2014 21:15:17

#13 

d4d (אורח):
במאמר של דן בומגרד
מאוד אהבתי את מה שכתבת לגבי ה infection אבל לא היה עדיף לכתוב קטע קוד באסמבלי (בייטקוד) שאותו תוסיף לכל קובץ
וגם לא היה עדיף להוסיף לקובץ עוד נתונים בסוף האפסים כדי לשמור אם קובץ הודבק ואת ה EP המקורי שלו?
לדוגמא וירוס בשם virut זה וירוס שכולו כתוב באסמבלי, למה אני חושב שהוא כתוב באסמבלי?
בגלל שהוא טוען מחרוזת למחסנית עם call
כמו שעושים בשאללקוד והוא שינה חלק מהפונקציות בזמן ריצה לדוגמא אם היה מדובר ב unicode הוא היה עושה פאץ בזיכרון של בייט אחד ומפעיל ת פונקציה ואז עושה שוב פאץ ומחזיר למצב הקודם

וירוס אחר שיצא לי לבדוק הוסיף לסוף הקובץ את המבנה שבודק אם הקובץ הודבק.

תנסה שלב הבא לכתוב סקריפט או קוד בסי שיצליח להוריד את ההדבקה ולהחזיר את הקובץ למצב המקורי :P
04.12.2014 21:15:57

#14 

d4d (אורח):
המאמר האחרון על הוירוסים מאוד מפריע לי שאתם משתמשים במילה פוגען במקום במונח האנגלי
זה גורם לי לרצות להקיא....

ושכחתם ב buzz words את המילה APT

יש סיכוי אפיק שאתה עורך את זה ל malware(פוגען)?
והמאמר באמת נראה קצת סקידי שמשתמשים ב meta sploit בשביל לעשות אל כל העבודה(אני לא נגד כל עוד מדובר בעסק) אך אם מדובר במאמר הייתי מעדיף שיראו דרך אחרת כדי לבצע את הפעולות בצורה שתלמד יותר איך מתבצע השאלל.

לגבי Gita עוד לא קראתי, קראתי את ההתחלה אבל אני לא רוצה את הפתרון, אני רוצה לפתור אותו בעצמי בהזדמנות
04.12.2014 21:36:12

#15 

פז (אורח):
תודה רבה, גיליון מרים במיוחד.
מלבד העובדה שאכן העלו סמפלים לוירוס טוטאל, כנגד בקשתו של כותס הסקריפט, אני חושב שהמאמר פשוט מעולה. הוא מראה כמה, כאשר הארגון שלך לא מאובטח מספיק - קל יהיה לפרוץ לו. להוריד מטרפרטר למחשב בארגון בלי שהאנטי וירוס קופץ עליו זה די קרוב ל-Game Over מבחינת מנהל הרשת של אותו ארגון, ובמאמר עוז ויהונתן מסבירים את זה בצורה פשוט מעולה. מאמר מעולה!

d4d, הקטע עם הבאזזוורדס נכתב (לפחות כפי שאני מבין את זה) כבדיחה, על מנת להראות כמה כל השטויות האלה לא יוכלו לעזור.
07.12.2014 08:31:04

#16 

Daniel (אורח):
סחטיין על המאמר Ender,
אפשר לעשות אוטומציה לרוב שיטות הdeob בקלות בעזרת esprima + estraverse + escodegen.
http://gregfranko.com/building-javascript-tools-talk/#25
08.12.2014 13:47:13

#17 

המודיע (אורח):
למה אף אחד לא מתייחס לזה שפרצו לאתר?
08.12.2014 15:45:34

#18 

cp77fk4r:
היי,
אנחנו מתארחים על שרת משותף עם מספר אתרים אחרים, ולפי איך שזה היה נראה (אין לי גישה לכלל הלוגים;, באמצע חודש שעבר פרצו למערכת של אתר שמתארח במקביל איתנו על השרת והגיעו למשתמש שלו, על פניו לא היה נראה שהצליחו להגיע אל מעבר להרשאות המגבילות של אותו החשבון (נראה שלא בוצעה אסקלציה בהצלחה ושלא הצליחו לשבור את ה-chroot), אבל מה שכן - יש לנו תיקיה במערכת שניתן לכתוב אליה מכל חשבון בשרת ולשם אותו בחור הצליח לכתוב קובץ, אבל לא מעבר, כן ראיתי תעוד לכך שכל מי שנכנס לאתר שמתארח על אותו השרת קיבל עמוד דיפייסמנט - אבל לא הצלחתי לקבל את הלוגים הרלוונטים של השרת על מנת להבין מה האירוע.

בכל אופן, אין לי עוד פרטים מלבד זה, ולמערכת או לאתר לא היו נזקים (בוצעה השוואה של קבצי המערכת אל מול הגיבוי האחרון ולא זוהו שינויים), אבל בכל זאת - עברנו לשרת חדש לכל מקרה שלא יבוא.
08.12.2014 23:56:58

#19 

שמיל (אורח):
נשמע כמו יומו של כל בעל אתר על Shared Hosting...
14.12.2014 07:29:09

#20 

vadal (אורח):
תודה רבה! אחרי הרבה שנים שלא התעסקתי עם אבטחת מידע היה מאוד מעניין!
תמשיכו להפציץ!
21.12.2014 11:17:43

#21 

Gita BlackBox (אורח):
לגבי האתגר של גיטה, כל הכבוד לאלי על העבודה היסודית והתיעוד המפורט והמלמד.
למי שמעוניין, יש עוד מספר דרכים מעניינות לתקוף את הקופסא. בהצלחה!
24.12.2014 11:23:34

#22 

Reader (אורח):
הדהים אותי לראות כמה פשוט התהליך של יצירת הtrojan במאמר "לא אנומאלי ולא במקרה". מי שחושב שהמאמר ל skiddies כנראה פספס את הנקודה של כותבי המאמר והיא: זה כל כך פשוט ליצור malware שכל אחד מאיתנו היה מריץ, לא מזוהה ע"י אנטיוירוסים וכל זה בלי לכתוב שורת קוד אחת.
בלתי יאומן.
30.12.2014 08:44:11

#23 

gl (אורח):
בדיוק ממשתי אובפוסקציה שמתבססת על הרעיון של Yosuke HASEGAWA.
בהדגמה יצרתי קוד js בצורת כלב האסקי, הקוד הוא quine כך שהוא יכול להדפיס את עצמו.
http://bitterb.it/the-husky-code

ממש נהנתי מהגיליון, תודה רבה!
24.01.2015 21:18:01



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2017 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.