הגליון המאה וארבעים של DigitalWhisper שוחרר!


 
ברוכים הבאים לדברי הפתיחה של הגליון ה-140 של DigitalWhisper!
 
לפני כשבועיים, בריאן קרבס שיתף בבלוג שלו סיפור די מטורף. אני ממליץ בחום למי שאוהב תיאוריות קונספירציה לקרוא אותו במקור, אך בקצרה הוא הולך בערך ככה: 
 
אינספור עובדי ממשל אמריקאים, ספקים רשמיים וכו', נדרשים להנפיק כרטיס פיזי חכם לטובת (בין היתר) התחברות לתשתיות וירטואליות באופן מאובטח (כמו תיבות האימייל שלהם וכו'). עם זאת, לא בכל משרדי הממשלה עובד יכול לקבל קורא כרטיסים נייד שאותו הוא יכול לחבר למחשב בבית (לטובת, כמובן, השימוש בכרטיס). ובנוסף לכך - לא ניתן להשתמש בכל קורא כרטיסים, אלא רק בכאלה שתומכים בתקן ספציפי בשם CAC שאותו משרד ההגנה האמריקאי (DoD) אימץ.
 
לאור כל הנ"ל, ניתן לראות לא מעט קוראי כרטיסים עם חיבורי USB בהרבה אתרי מכירות כגון Amazon שטוענים ספציפית שהם תומכים בתקנים של ה-DoD. קרבס ממשיך לספר ומפרט כי לאחרונה פנה אליו בחור (שמו שמור במערכת) שטען שגם הוא, כמו שאר חבריו הזמין קורא כרטיסים מ-Amazon, מספק מפורסם בקרב אותם אוכלוסיות בשם Saicoo. כאשר קורא הכרטיסים הגיע, הוא חיבר אותו למחשבו וכאשר הוא ניסה להפעיל את הקורא - הוא נדרש לעדכן את הדרייבר על מנת שההתקן יוכל לעבוד כהלכה על מערכת ההפעלה שלו (Windows 10). מערכת ההפעלה הציעה לו להוריד את הגרסה העדכנית מהאתר של הייצרן, וכמובן שהוא הסכים.
 
הקובץ שירד מאתר היצרן היה קובץ ZIP עם דרייברים ל-Linux, ל-MacOS וכמובן, ל-Windows. סתם מתוך סקרנות, אותו בחור החליט להעלות את הקבצים ל-VirusTotal. תוצאות הסריקה היו מפתיעות: כ-43 מתוך 63 מתוכנות האנטי-וירוס שסרקו את הקבצים דיווחו כי מדובר בוירוס בשם Ramnit, וירוס שהיה נפוץ בעיקר בעבר אבל עדיין עוד מופיע פה ושם.
 
הבחור פנה אל Saicoo והם נפנפו אותו, בריאן פנה בנוסף אך גם הוא קיבל תגובה טפשית בסיגנון של "על פי הפרטים ששלחת לנו - נראה כי הדבר נובע מכך שעל מחשבך מערכת הגנה לא מזהה כהלכה את התוכנה שלנו, אתה יכול להתעלם ממנה, תסמוך עלינו, אין שום וירוס, וברגע שתסיים להתקין הכל – ההודעה תעלם".
 
הפוסט עוד ממשיך, ומהסיפור נראה כי הקבצים הבינארים אכן אינם כוללים קוד מפגע אלא רק קבצי ה-HTML המצורפים אליהם, ויש שם עוד המשך עם איזה אחד פנסיונר, ונראה גם שבתגובות יש עוד מידע והתמרמרויות על הנושא והעניין וכו' - אך אעצור כאן, כי זה לא כל כך משנה את השורה התחתונה הברורה.
 
הסיפור הזה הוא מדהים מכמה סיבות, אך אציין רק שלושה:
 
הראשונה היא פשוטה מאוד: לעשות חצי עבודה לא תמיד עדיף על לא לעשות את העבודה כלל. לדרוש מעובדי הארגון להתחבר עם כרטיס חכם זה טוב ויפה, אך אם לא יסופק להם הפתרון מלא, בסבירות גבוהה יצרנו לעצמנו נזק פוטנציאלי גדול.
 
השניה היא סבירה מאוד: תמיד תחשבו על העתיד - כל נוהל אבטחה שלא מוגדר כמו שצריך - סופו לפספס את מטרתו. יכול להיות שבימים שבהם הוגדר הנוהל היה רק ספק אחד שאיתו אותם משרדי ממשלה עבדו, ובאותם ימים איומים בסיגנון הנ"ל לא היו בנמצא. אך חשוב לזכור שברגע שהגדרנו נוהל, הוא נשאר (ברב המקרים) סטטי, ומה לא נשאר סטטי? החיים, העובדים והשגרה שבה הוא מתקיים - הם דינאמים ומשתנים כמעט ללא הרף.
 
והשלישית? השלישית היא מפחידה מאוד: גם מקריאה של הפוסט ומעקב אחרי העדכונים שלו עדיין לא הצלחתי להבין האם מדובר ב-False Positive לחלוטין, או בוירוס טועה שבמקרה הגיע אל אותם קבצי HTML, או שאכן מדובר ב-Supply Chain מתוחכם מאוד של הרוסים או הסינים. אבל זה גם לא באמת משנה, כי גם אם זה לא קרה בסוף, פוטנציאל הנזק הוא כמעט אינסופי, ובגלל שהסיכוי למימוש הסנאריו הזה הוא לא קטן מאוד, ובהתחשב בעובדה שהאוייבים של אותן רשתות ממשל הם לכל הפחות הרוסים והסינים - אז כשמנהלים את הסיכון הזה מדובר בוואחד פצצת זמן לרשת הארגון. 

 
בהצלחה לכולנו.

וממש רגע קט לפני שניגש לתוכן עצמו, ארצה להגיד תודה לכל מי שהשקיע את זמנו כדי שגם החודש נפרסם גליון כזה איכותי! אז תודה רבה לאפיק קסטיאל (cp77fk4r), תודה רבה ליונתן גויכמן, תודה רבה לארז גולדברג, תודה רבה ליותם פרקל ותודה רבה ליהונתן אלקבס!

קריאה נעימה,
   אפיק קסטיאל


 
 
החודש, הגליון כולל את המאמרים הבאים: 
  • על תקיפת מסופי הלווין של ViaSat - מאת אפיק קסטיאל / cp77fk4r (חומריו של Ruben Santamarta)
    ב-24 לפברואר פלש צבא רוסיה לאדמת אוקראינה. באותו היום, עשרות אלפי מסופי תקשורת לווין הפסיקו לעבוד במספר מדינות באירופה, תשתיות אשר היו מבוססות על תקשורת לווינית שאוזנה ממסופים אלו חוו קשיים רבים ועם חלקן אף נותק הקשר לחלוטין. המשותף לכל אותם מסופי התקשורת שברגע אחד הפסיקו לעבוד הוא שכולם היו מסופי תקשורת המחוברים לרשת התקשורת KA-SAT של חברת ViaSat. החוקר Ruben Santamarta (חוקר האבטחה בעל שם עולמי בתחום אבטחת הלווינים), אסף את הנתונים שפורסמו, ואף חקר את אחד המסופים ששובשו. את ממצאיו הוא פרסם כפוסט בבלוג שלו. במאמר זה אפיק סוקר את פרטי האירוע תוך כדי הבאת רקע טכני ומקיף בנושאים השונים השזורים בו.

  • Bootkits - It's never deep enough - מאת יונתן גויכמן
    במאמר הבא סוקר יונתן את נושא ה-Bootkits מתחילתו ועד סופו: ההגדרה הכללית, תקיפת מערכות Legacy ומערכות מודרניות מבוססות UEFI ומנגנוני אבטחה שונים כגון Secure Boot. הסיקור יגיע עד עומק ה-SMM וה-BIOS. במסגרת המאמר יונתן יראה כיצד לפתח תוכנת כופר למערכות Legacy אשר תוקפת את תהליך עליית מערכת ההפעלה.

  • Fileless Attacks - הסיפור שאינו נגמר - מאת ארז גולדברג
    אם נוריד קובץ זדוני למחשב, תוכנת האנטי-וירוס תסרוק אותו ותשווה מול מאגר ידוע של איומים. במידה והקובץ תואם אפילו חלקית לחתימה ידועה של קוד זדוני, האנטי-וירוס עוצר את הפעלת הקובץ ומכניס אותו לתיקיית הסגר. אלו טכניקות שכיום כל תוכנת אנטי-וירוס מיישמת, והאקרים, על מנת לעקוף את מנגנוני ההגנה של האנטי-וירוס משתמשים בטכניקות שונות, כגון כתיבת וירוסים שנטענים לזיכרון מבלי להכנס למערכת הקבצים, לטכניקות כאלה קוראים Fileless Attack ("התקפות חסרות קבצים") ואותן יציג ארז במאמר זה.

  • פתרון חלק מאתגרי NahamCon-CTF 2022 - מאת יותם פרקל
    בסוף חודש אפריל התקיימה תחרות ה-CTF השנתית של כנס NahamCon. התחרות כללה מעל 60 אתגרים שונים במגוון תחומים וברמות קושי שונות. במאמר זה סוקר יותם את הפתרונות שלו לתשעה מתוך האתגרים בתחרות. שמונה אתגרים הם מתחום ה-OSINT (מודיעין ממקורות גלויים) ואתגר אחד שהוגדר כאתגר סטגנוגרפיה.

  • Blue Hands-on BloodHound - מאת יהונתן אלקבס
    Active Directory מהווה חלק ליבתי בכל סביבה ארגונית, הוא מאפשר למחלקת ה-IT להפיץ, לנהל ולבטל אובייקטים בדומיין בצורה מסודרת. למרות זאת, עם בגרות הסביבה הדומיינית בארגון, מעקב וניהול ההרשאות מתקשה להישאר עַל כַּנּוֹ; המורכבות של ניהול אופרצייה תפעולית שוטפת בצמוד לטווח טעויות אפשריות רחב בקינפוג, חושפים ליקויי אבטחה ב-AD הניתנים לניצול ע"י תוקף חיצוני. במסגרת המסמך מציג יונתן דרכים למציאת פערי אבטחה אלו באמצעות BloodHound וכן 3 כיוונים עיקריים לכיצד ניתן לשפר את הגנת הרשת האירגונית באמצעותו.
 
 
 
 
 


תגובות על 'הגליון המאה וארבעים של DigitalWhisper שוחרר!':



#1 

קימחי (אורח):
תכתוב קוד פשוט שמדפיס hello world , תקמפל ותעלה לVT תגלה שהוא סומן כוירוס.
01.06.2022 02:57:58

#2 

cP (אורח):
הגיוני, עם זאת - זה לא באמת משנה את העניין שמדובר בפרצה שקוראת לגנב.
01.06.2022 07:07:22

#3 

גרב (אורח):
תודה רבה! גיליון מהחלל!
01.06.2022 19:59:31

#4 

דביר (אורח):
חלק מקוראי הpdf רואים את הקובץ כפגום. לתשומת ליבכם
02.06.2022 15:46:10

#5 

Fluttershy (אורח):
מדהים! גיליון מטורף. תודה רבה!!
02.06.2022 19:52:10

#6 

cP (אורח):
@דביר - איזה אחד מהקבצים? ויודע לתת לי תוכנה וגרסא? תודה!
03.06.2022 06:56:31

#7 

אוהד (אורח):
נראה שהפרסום של המאמר על השימוש ב-BloodHound הגיע על למקור, והוא אפילו צייץ על החברה הלא פרטית והלא קטנה!

https://mobile.twitter.com/_wald0/status/1532024965733568512
04.06.2022 10:18:30



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2022 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.