הגליון המאה ארבעים ושלושה של DigitalWhisper שוחרר!


 
ברוכים הבאים לדברי הפתיחה של הגליון ה-143 של DigitalWhisper!
 
ב-10 לחודש פורסם כי קבוצת האקרים בשם Yanluowang הצליחו לחדור לרשת המחשבים של חברת סיסקו. המידע על האירוע פורסם ע"י Talos (צוות ה-IR של Cisco). נכתב כי את הנ"ל סיסקו גילתה ב-24 למאי השנה, ואיפשהו מאז ועד היום, ביחד עם צוות ה-CSIRT של סיסקו, הם ניטרו ומיגרו את התקיפה, עברו על הלוגים מהרשת ואת ממצאי הדו"ח הם פרסמו בבלוג שלהם
   
הפוסט כולל את שיטת החדירה, כלים שהיו בשימוש על ידי התוקפים, טכנולוגיות שהיו בשימוש, פקודות שהורצו וכו'. מהניתוח שלהם עולה כי החדירה הראשונית בוצעה ע"י פריצה לחשבון ה-Google האישי של אחד העובדים ואיתור פרטי הזדהות לסביבת ה-VPN של רשת החברה, אשר סונכרנו לחשבון זה דרך מנגנון הסיכנרון של הדפדפן.
 
סיסקו אינם ילדים קטנים. וכמו שסביר להניח, שירות ה-VPN שלהם מוגן באמצעות MFA. אך נראה שבאמצעות "סדרת מתקפות פישינג מתוחכמות ומבוססות קול, תוך כדי התחזות למספר ארגונים מהימנים, התוקפים הצליחו להערים על הקורבן ולהשיג את פרטי ה-MFA". - פסקה מעניינת שנחזור אליה בהמשך.
 
אם ממשיכים לקרוא את הפוסט, עולה שאלה מעניינת מאוד: מצד אחד - מהסתכלות על תשתיות התוקפים אפשר לראות בין היתר רישום של שירותי DNS שנרכשו ספציפית לתקיפה הזאת (שמות המכילים דומיינים הקשורים לסיסקו), שזאת נשמעת כמו פעילות שתוקף יבצע כדי להגביר את רמת השרידות שלו. אך מצד שני, נראה כי התוקפים ביצעו לא מעט פעולות שקשה לי להעלות על הדעת שניתן לבצען ברשת ארגונית (של ארגון שבאמת לוקח את עצמו ברצינות), מבלי להניח שהן יטרגרו את מנגנוני הניטור (מפורטות בפוסט פעולות כמו התקנות של TeamViewer או LogMeIn, הוספת משתמש Local Admin לתחנות פרוצות, שימוש ב-lolbins קלאסים ומוכרים וכו').
 
עכשיו, עם כמה ש-Lateral Movement זה נושא מרתק, הנקודה שהכי עניינה אותי בדו"ח היא דווקא החיבור בין שתי הפסקאות. הנתון הראשון הוא שפרטי ה-VPN של אותו עובד "נגנבו" מחשבון ה-Gmail שלו. והנתון השני מראה שלמרות שנראה שהתוקפים התכוננו מראש לבצע תקיפה "שקטה", הם החליטו כן לבצע פעולות רועשות באותו איזור רשתי שהם פעלו בלי הפחד שהם יתפסו.
 
Yanluowang מוכרים מהעבר גם בשמות כמו UNC2447, SombRAT ו-Fivehands. ומסקירת דו"חות שחברות אבטחה פרסמו על זיהוי פעילות המיוחסת אליה, עולה כי מלבד במקרה אחד נוסף שפורסם בדצמבר 2020, ע"י צוות המחקר והמודיעין של חברת BlackBerry, לא נעשה שימוש ב-Teamviewer, LogMeIn או ברב הטכניקות הנוספות שעליהן דווח בבלוג של חברת Cisco. שיטות העבודה הנ"ל לא זוהו בדו"חות של חברת Symantec מאוקטובר 2021, לא בדו"חות של NCC GROUP מיוני באותה השנה, לא בדו"חות של Mandiant מאפריל השנה, לא בדו"חות של Kaspersky מאותו הזמן (שאגב, גם פיתחה יכולת פענוח לקבצים שהוצפנו ע"י הקבוצה באחת המתקפות) ולא בדו"חות של הסוכנות לאבטחת סייבר ותשתיות האמריקאית (cisa.gov) ממאי 2021.
 
ככל הנראה יש כמה וכמה דרכים ליישב את הפער ההתנהגותי הזה, יכול להיות מאוד שהם אכן הפעילו מתקפה כזאת מתוחכמת ואכן זיהו שהתקנות של TeamViewer באותה רשת לא אמורה להקפיץ התראות במערכות הניטור השונות, אבל מה שלי קפץ לראש ישר כשקראתי את הפוסט, זה שלמרות שהמקרה הנ"ל מציג את הכל באור מאוד טכנולוגי ומתוחכם - לי הוא דווקא מריח כמו מקרה קלאסי של תַערו של אוקאם - אותו עובד פשוט שיתף פעולה עם התוקפים.
 
Yanluowang כבר קושרו ל-$LAPSUS בעבר. ומהסתכלות היסטורית, די ברור לכל מי שישתף איתם פעולה שמשיטות העבודה שלהם (חדירה תוך כדי עזרה מבפנים > גניבת חומרים > סחיטה > חלוקה ברווחים עם אותו גורם פנימי) שתיהיה פה חקירה. לאותו גורם פנימי גם די ברור שבאותה חקירה יהיה קל יחסית להתחקות אחר עקבות התוקפים ולהגיע אליו. אז עדיף לאותו גורם פנימי לצאת "האדיוט שנפל קורבן לתרמית פישינג מתוחכמת", כי לך תוכיח עכשיו בתור מעסיק שאותו עובד שיתף פעולה. הרי חשבונות Gmail נפרצים על בסיס יומי... פשוט במקרה הנ"ל אותו עובד הפעיל סינכרון סיסמאות, וגם במקרה סיסמת ה-VPN שלו לחברה נשמרה שם, והוא גם ממש ממש במקרה, בשיא התמימות נפל קורבן למתקפת פישינג "מתוחכמת" ושלח לתוקפים את פרטי ה-MFA, אגב, אותו עובד גם במקרה נמצא בפוזיציה בחברה עם הרשאות ניהול על מספר שרתים (אגב, אותה הפוזיציה שבמקרה גם יודעת להגיד מה פוליסת ההגנה ברשת והאם התקנה של TeamViewer או LogMeIn תקפיץ התראה), ובמקרה גם... קיצר, הבנתם אותי. Trust no one. 
 
אז שיהיה בהצלחה לכולנו :)
 
וכמובן, לפני שנשכח - תודה רבה לכל מי שהשקיע החודש והחליט לעבור מהצד הפאסיבי של דפי המגזין לצידם האקטיבי: תודה רבה לשנהב מור, תודה רבה ליהונתן אלקבס, תודה רבה להודיה ק. ותודה רבה לדניאל גובני!


קריאה נעימה,
   אפיק קסטיאל


 
 
החודש, הגליון כולל את המאמרים הבאים: 
  • הפלא ופלט - _IO_2_1_stdout - מאת שנהב מור
    קומפיילרים מודרנים, בשילוב עם מערכות הפעלה מודרניות מסוגלים לספק לקבצים בינארים, בעת יצירתם ובעת הרצתם הגנות רבות. כמעט בכל מקרה של ניצול חולשה בבינארי כלשהוא נזדקק, בייחוד כאשר קיים ASLR, יכולת להדליף כתובות מהזיכרון של התהליך. לשם כך נצטרך פונקציונליות מסוימת של קריאה מהזיכרון. אך מה נעשה אם לא תהיה לנו פונקציונליות של קריאה מהזיכרון? במאמר זה יסקור שנהב טכניקה אשר מנצלת את IO_2_1_stdout_. טכניקה אשר באמצעותה ניתן להדליף כתובות זיכרון גם ללא המצאות פונקציה לקריאה מהזיכרון.

  • רב הנסתר על הגלוי - עולם ההצפנה ב-Linux - מאת יהונתן אלקבס
    מאמר זה הינו מאמר הראשון מבין סדרה בת 2 מאמרים אשר מתמקדים בפתרונות ההצפנה בסביבת Linux. בחלק זה יפתח יהונתן בסקירה של מגוון רכיבי הקרנל אשר מהווים את אבני הביניים למגוון פתרונות ההצפנה ב-Linux ולאחר מכן יסקור את אותם הפתרונות והשוני ביניהם. החל מתשתית Device Mapper אשר מהווה שכבת אבסטרקציה למיפוי התקני אחסון פיזיים, הצגת מודולים כגון Crypto-API, dm-crypt, Keyring, dm-verity ותפקידם בקרנל, שימוש ב-cryptsetup בסביבת ה-userspace וכלה בהבדל בין הצפנה ברמת מערכת הקבצים לרמת הכונן. נדבר על הצפנת TrueCrypt אשר הייתה חלוצת הדרך ועל VeraCrypt שהיא fork עדכני ממנה, על CryFS תוך השוואה אל gocryptfs, נראה את הצפנת מערכת הקבצים של OpenZFS ולבסוף נציג גם את כוכבת המאמר הבא - LUKS ועוד.

  • מבינים BlockChain דרך הידיים - הודיה ק.
    Blockchain כשמו כן הוא - שרשרת בלוקים המכילים מידע. זו טכנולוגיה שהוכרזה בשנת 1991 ע"י קבוצת חוקרים, אך למעשה אנו מכירים אותה רק משנת 2009, כאשר השתמשו בה במטבע הדיגיטלי bitcoin. במאמר זה מסבירה הודיה את הרעיון של טכנולוגיית ה- blockchain וכן כיצד לממש את עקרונותיה הבסיסיים בשפת פייתון.

  • פתרון למכונת Forge של HTB - דניאל גובני
    HTB (קיצור של HackTheBox) הינה פלטפורמת אתגרי CTF המכילה אתגרים ברמות וקטגוריות שונות, במאמר זה מציג דניאל את הפתרון שלו למכונה "Forge". המכונה נחשבת למכונה ברמה בינונית המצריכה ידע בסיסי בחולשות Web, לינוקס והבנה בסיסית בפיתון. במסגרת המאמר דניאל יציג את כיווני החשיבה שבהם הוא בחר כאשר הוא פתר את המכונה וגם כאלה אשר לא הניבו פרי. זאת לטובת הצגת האינטואיציה שבה השתמש בעת פתרון המכונה במטרה להעשיר את הקורא.
 
 
 


תגובות על 'הגליון המאה ארבעים ושלושה של DigitalWhisper שוחרר!':



#1 

שי (אורח):
אחלה גיליון! תודה רבה!
01.09.2022 22:08:21

#2 

פיטר (אורח):
תודה רבה !!
03.09.2022 00:09:07

#3 

בוב רוס (אורח):
מעולה
06.09.2022 19:05:04

#4 

אמיר (אורח):
אדיר
מעולה
אין מילים !!!
תודה מכל הלב !
09.09.2022 12:45:29

#5 

גפן (אורח):
מגניב, תודה על הפרסום!
17.09.2022 19:43:48



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2024 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.