הגליון המאה עשרים ושמונה של DigitalWhisper שוחרר!


ברוכים הבאים לגליון ה-128 של DigitalWhisper, גליון אפריל 2021!
 
אני מאמין שרובכם שמעתם על העניין עם PHP, אבל למי מיכם שאיכשהו פספס, אז ממש לפני 3 ימים, בוצעו שני commit-ים לאחד ה-Repo המרכזיים של PHP, אחד על-ידי ה-Project Founder והשני ע"י אחד ה-committer-ים המרכזיים של הפרוייקט. כך התחילה ההודעה שפורסמה ברשימת התפוצה של php-internalls ו-php-doc:
 
"Yesterday (2021-03-28) two malicious commits were pushed to the php-src repo from the names of Rasmus Lerdorf and myself. We don't yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account)."
 
קטעי הקוד שנוספו במסגרת שני ה-commit-ים היו זהים ובעלי אותו התפקיד, מטרתם הייתה לגרום להרצת קוד על השרת במידה ובקשת ה-HTTP הכילה Header בשם User-Agentt שהתחיל ב-"zerodium". לפי התגובות של החבר'ה ב-PHP, ה-commit-ים זוהו ישר ובוטלו ולא הספיקו להגיע אל מחוץ לשרת ה-Git. החבר'ה מ-Zerodium כמובן מכחישים כל קשר לעניין, ובצדק, אין באמת שום סיבה לחשוד בהם.
 
פרצו לשרת ה-Git? האם המטרה הייתה באמת להכניס Backdoor ל-PHP? לכו תדעו, לי מרגיש שאם כל זה היה קמפיין של איזו מעצמה שמנסה להשתלט על האינטרנט (אחרי הכל, הנתונים מראים ש-php מחזיקה 80% מהעמודים הדינאמיים באינטרנט) תוכנית הפעולה שלהם הייתה קצת יותר זהירה - לפחות כמו הפעם הקודמת שזה קרה (שבה, במשך חצי שנה, מי שהתקין PEAR התקין גם Backdoor על השרת שלו). אז או שמדובר בקמפיין כושל או באיזו מתיחה לא כל כך מצחיקה.
 
לכאן או לכאן - כחלק ממספר צעדי מנע, ניהול הקוד של PHP עבר להיות ב-Github (עד כה הוא היה מנוהל במערכת Git פרטית בשם Karma ב-php.net). מעניין מאוד יהיה לראות עד איפה זה יתפתח, ובכל מקרה, אני מאוד מתחבר לדברים שצוטטו ע"י HD Moore בנושא:
 
"Sounds like the attackers are trolling Zerodium or trying to give the impression that the code was backdoored for much longer, Either way, I would be spending a lot of time going through previous commits if I had any security interest in PHP.”
 
קצת מזכיר את האירוע של Perl שפקד אותנו לפני ממש לא הרבה זמן. אם אכן מדובר בנסיון להשחיל Backdoor ולא משהו שיתברר כבדיחה מוקדמת לקראת ה-1 באפריל אז מעניין אם יש קשר בין השניים. אני בכל אופן, אמשיך לעקוב אחרי ההתפתחויות בנושא.
 
 
וכמובן - לתודות!
 
תודותינו נתונות לכל מי שהקדיש מזמנו החודש על מנת ליצור את רצף הביטים הכל כך מעניין הזה: תודה רבה לאופיר מנצור, תודה רבה לאליק קולדובסקי תודה רבה ל-Dvd848, תודה רבה ל-zVaz, תודה רבה ל-YaakovCohen88, תודה רבה ליואב לוי תודה רבה לדניאל איסקוב!


 
 
 
      קריאה נעימה,                             
אפיק קסטיאל וניר אדר                        

 
 
החודש, הגליון כולל את המאמרים הבאים: 
  • External Reconnaissance - מאת אופיר מנצור ואליק קולדובסקי 
    גם בתחום התקיפה וגם התחום ההגנה, מיפוי נכסי היעד הוא אחד השלבים הראשונים בתהליך, שהרי בלעדיו - לא נוכל לדעת איזה נכס נרצה לתקוף (וכיצד), או על איזה נכס עלינו להגן. במאמר זה, מציגים אופיר ואליק את נושא איסוף המידע לפני מבצע (Reconnaissance). בין הנושאים  שעליהם יפורט במאמר, הם יענו על השאלות: למה שנרצה למפות את הנכסים הדיגיטליים שלנו? למה כולם צריכים למפות את הנכסים הדיגיטליים שלהם? כיצד למפות את הנכסים הדיגיטליים? במאמר אופיר ואליק מציגים דוגמאות ממחקרים שביצעו וכיצד הצליחו להוציא מידע רגיש מארגונים שונים והכל - בעזרת מיפוי נכסים.

  • פתרון אתגרי AI, Data Science - אתגר השב"כ 2021 - מאת Dvd848, zVaz ו-YaakovCohen88
    במהלך חודש ינואר 2021 עלה לאוויר למשך כשבועיים אתגר הגיוס השנתי של השב"כ. האתגר עסק במגוון קטגוריות (Pwn, Reversing, Web, AI, Signal Processing, Data Science). מאמר זה כולל את הפתרונות של Dvd848, zVaz ו-YaakovCohen88 לאתגרי ה-Artificial Intelligence וה-Data Sceince. כחלק מהפתרונות הכותבים מספקים את הגישה איתה הם הגיעו והתהליך אותו הם עברו על מנת להצליח לפתוח אתגרים אלו. את פתרון אתגרי ה-Web אפשר למצוא במאמר של עידו פרנקנטל מגליון 126, את פתרון אתגרי ה-Pwn והרברסינג אפשר למצוא במאמר של דן אלעזרי מגליון 127.

  • Importless Malware - מאת יואב לוי
    אחת התכונות החשובות ביותר של פוגען היא (חוסר) הנראות שלו - כלפי המשתמש, מערכת ההפעלה ותוכנות AV למיניהן. ככל שהפוגען יהיה יותר חמקמק (Stealthy) גדלים סיכוייו להשאר שמור על מערכת הקבצים, לרוץ על מערכת ההפעלה, לשמר עליה שרידות (Persistency), לקבל הרשאות נוספות, ולהצליח לבצע את משימתו. במאמר הזה מציג יואב שיטות לא סטנדרטיות למזעור הפרופיל הסטטי של פוגען בעל יכולות רבות כרצוננו, כאשר המטרה הסופית היא לקבל פוגען שלא מסגיר אף חלק בפונקציונליות שלו. את הפוגען לדוגמה נכתוב בשפת C טהורה ב-SDK הנפוץ Visual Studio 2019, בארכיטקטורת 32 ביט ובסביבת Windows 10. על הדרך יואב ילמד גם על פורמט PE וקונבנציות שימוש ב-Windows API. 

  • פתרון אתגר ה-CTF של מטריקס 2021 - מאת דניאל איסקוב
    ב-11 בפברואר 2021 פורסם ה-CTF של חברת מטריקס לשנת 2021. התחרות כללה בה אתגרים מהקטגוריות הבאות: Reversing, Pwn, Mobile,Crypto  ו-Forensics. לכל אתגר יש ניקוד. במאמר זה מציג דניאל כיצד לפתור את האתגרים שפורסמו במסגרת CTF זה.
 
 
 
 
                                                                    קריאה מהנה!
                                                                       ניר אדר ואפיק קסטיאל   


תגובות על 'הגליון המאה עשרים ושמונה של DigitalWhisper שוחרר!':



#1 

ראשון (אורח):
ראשון
01.04.2021 08:34:21

#2 

אורח (אורח):
יש למישהו את קבצי מקור של אתגרי השבכ /ds ?
01.04.2021 08:36:22

#3 

שירותי בריאות כללית (אורח):
פה:
https://archive.org/details/shabak-challenge-2021
01.04.2021 09:56:24

#4 

Detective Conan (אורח):
ישנה טעות כתיב בשורה השניה בדף מספר 3: כתוב כבחידה במקום כבדיחה.
02.04.2021 00:10:10

#5 

אורח (אורח):
בנוסף, ישנה שגיאת כתיב בדף הנוכחי: "כחלק מהפתורונות" במקום "כחלק מהפתרונות".
02.04.2021 12:24:09

#6 

cP (אורח):
תודה! התיקונים הוכנסו :)
02.04.2021 17:50:31

#7 

SnipSkill (אורח):
תודה רבה על עוד גליון לפנים! :)
אני מאוד מעוניין לדעת מאיפה אתה אפיק או כל קורא אחר משיגים את המידע החדש בעולם אבטחת המידע כגון ה Commit הזה שהוכנס ל PHP לפני כמה ימים?
תודה רבה מראש :)
03.04.2021 09:16:55

#8 

cP (אורח):
בתור התחלה הייתי ממליץ לך להוסיף את netsec מ-reddit ל-rss feed שלך:

https://www.reddit.com/r/netsec

לאחר מכן, במידה ואתה לא משתמש ב-rss feed הייתי ממליץ לך להשתמש באחד כזה (אישית אני משתמש ב-Feedly אבל כנראה שיש עוד מלא מומלצים).

בשלב זה תתחיל לעקוב ולהכנס לקישורים מעניינים שמופיעים באותו subreddit, כל קישור כזה בדרך כלל יפנה אותך לבלוג / מקור מידע כזה או אחר - אם התוכן שקראת באמת עניין אותך, תוסיף גם אותו ל-rss feed שלך, וככה אם יתפרסם בו פוסט שלא הגיע ל-netsec אתה לא תפספס אותו.

תתחיל בזה, ואם עוד חודש לא תגיע לכמות עדכונים ותוכן שמספק אותך - צור איתי קשר דרך הלינק באתר :)
03.04.2021 20:13:36

#9 

SnipSkill (אורח):
תודה רבה על השיתוף!
אני סמוך ובטוח שאני אגיע למספיק מקורות תוכן איכותיים בעזרת ה subredit הזה :)
03.04.2021 21:39:44

#10 

idov (אורח):
היי,
חיפשתי את התשובה לשאלה של יואב לוי במאמר שלו ללמה ntdll.dll נטען תמיד ומצאתי את התשובה בstackoverflow שהפנה אותי לעמוד המתאים בWindows Internals:

https://books.google.co.il/books?id=w65CAwAAQBAJ&lpg=PT379&ots=4Ws2o5ToUs&dq=is+ntdll.dll+always+loaded&pg=PT379&redir_esc=y#v=onepage&q=is%20ntdll.dll%20always%20loaded&f=false

מקווה שזה עוזר :)
03.04.2021 22:00:49

#11 

יואב לוי (אורח):
היי idov,
לגבי ntdll.dll רשום במאמר שידוע למה הוא נטען ויש שם גם מובאה מגרסה חדשה יותר של הספר שקישרת אליו (עמ' 9 במאמר). מה שלא ברור זה למה kernel32.dll ו-kernelbase.dll נטענים גם הם :)
03.04.2021 23:32:25



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2021 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.