הגליון המאה שישים ותשעה של DigitalWhisper שוחרר!


 
ברוכים הבאים לדברי הפתיחה של הגליון ה-169 של DigitalWhisper
 
זהו, שנת 2024 הסתיימה לה, ו-2025 ממש כבר מחכה לה בפתח. 2024 הייתה שנה די כאוטית ועמוסה באינספור אירועים משמעותיים בתחום. אין סיבה שאפרט עליהם (פשוט בקשו מה-AI המועדף עליכם לסכם את השנה מבחינת אבטחת מידע ותראו איך הוא עושה את זה יופי).
 
אם הייתי צריך לבחור באירוע שמבחינתי היה האירוע המשמעותי ביותר השנה, הייתי בוחר באירוע ה-IT Outage שנגרם בעקבות העדכון הסורר של חברת CrowdStrike. אני בוחר בו למרות שהוא לא קשור ישירות לאבטחת מידע והקשר המרכזי שלו לתחום שלנו הוא זה שהוא נגרם ע"י חברה שעוסקת באבטחת מידע. אבל הייתי בוחר בו גם אם הוא היה נגרם ע"י חברה אחרת, שאינה קשורה לתחום שלנו.
 
מבחינתי, האירוע הזה הוא המשמעותי ביותר שקרה השנה, מפני שהוא נתן לנו הצצה על עניין מהותי, שחשוב מאוד להבנה שלנו כאנושות, ושכמעט לא הייתה לנו דרך אחרת להבין אותו. העניין המהותי הוא הכמות האדירה של צווארי הבקבוק הקיימים כיום בתשתיות שעליהן הטכנולוגיות שלנו כאנושות מתבססות, ובפרט, כמובן - רשת האינטרנט עצמה.
 
על מנת שניתן יהיה לבצע פעולה "פשוטה" ברשת האינטרנט (אפילו סתם משלוח של חבילת ICMP בין שרתים הנמצאים ביבשות שונות), נדרש שכמות טכנולוגיות אדירה תעבוד כשורה. אלו יכולות להיות טכנולוגיות בתוך ה-Data Center-ים שבהם נמצאים השרתים, טכנולוגיות מיתוג וניתוב בספקיות התקשורת בדרך, טכנולוגיות של חברות ה-Tier1 למיניהן שאחראיות על ה-Backbone של שדרת האינטרנט העולמית, וכמובן - עשרות ואולי מאות סוגים שונים של רכיבים, שאנחנו אפילו לא יודעים את קיומם, אך בלעדיהם אותה חבילת ICMP לא תגיע ליעדה (ותמים יהיה המשתמש שיחשוב שכמות הרכיבים שהחבילה שלו עובדת בדרך, שווה לכמות ה-Hop-ים שמופיעים לו ב-Traceroute). כל רכיב כזה שנמצא בדרך בנוי מאינספור טכנולוגיות, כך שה-Stack הטכנולוגי (הן התוכנתי והן החומרתי) הוא פשוט עצום בגודלו.
 
אם הייתם מספרים לי שאותו Outage התרחש, מפני שאחת החברות האחראיות על הפיתוח והתחזוקה של איזה מרבב אופטי מרכזי, שמשמש היום את ספקיות ה-Tier1 הגדולות כשלה באחד העדכונים, ולכן משהו באותו ריבוב אופטי נדפק, הייתי מוכן לקבל את התוצאה שהאינטרנט הלך פייפן. אבל חברת CrowdStrike היא איננה חברת תשתית, היא איננה חברה שאי-תפקוד שלה אמור להשפיע איכשהו על האינטרנט. אך בפועל - עובדתית, כשהיא כשלה, הרבה מהאינטרנט קרס יחד איתה.
 
להערכתי, בגלל שצווארי הבקבוק (אותם המקומות שחוסר תפקוד שלהם מקרין על כלל המערכת וגורם להשבתה מלאה ללא קשר עם שאר הרכיבים במערכת מתפקדים) יכולים להיות כמעט בכל שכבה באותן אינספור הטכנולוגיות המרכיבות את שלמות האינטרנט, אז אין כמעט שום דרך למפות אותם. כל העניין הזה פשוט מסועף מדי ועם כל כך הרבה תלויות. ובפועל, רק בזכות אותו מקרה של Outage לא סביר בעליל, האסימון הזה (לפחות אצלי) נפל, וגרם לנו להבין כמה הכל דבוק, שזור וסבוך בתוך עצמו.
 
שנת 2024 לא אמורה להיות שנה שבה חצי מכדור הארץ מושבת בגלל שראש צוות באיזה חברה דילג על איזה נוהל ולא עשה Test-ים לגרסה החדשה של הפיצ'ר שלו. ומקרה כזה אמור להוביל לקריאת השכמה על מנת שדברים כאלה לא יוכלו לקרות או שיירדו למינימום הבאמת הגיוני. הלוואי שב-2025 נראה כבר את הניצנים הנובעים מההבנה של אותו אסימון.
 
זהו, עד כאן לשנת 2024. בכל בנוגע לשנת 2025, אז הנה עדכון קטן בנוגע למגזין ולשנה הקרובה: המגזין ככל הנראה לא יהיה פעיל לקראת המחצית השניה של השנה ולכל אורכה של אותה מחצית. הנ"ל בעקבות טיול שאני ואריָה מתכננים לקחת. אני כותב "ככל הנראה" מכיוון שאם אמצא מישהו מספיק רציני ושירצה לקחת על עצמו את התפקיד של העורך, ולהוביל את המגזין בפרק הזמן שבו לא אהיה פנוי לעשות זאת - זה יהיה מדהים והגליון יוכל להמשיך לצאת.
 
אם יש מישהו כזה בקהל - תרגישו חופשיים לפנות אלי או דרך האתר או בדרכים האחרות שאתם מכירים.
ועד אז - שיהיה לכולנו בהצלחה!
 

אז זהו, לפני שניגש לתוכן הגליון, נרצה להגיד תודה לכל מי שישב והשקיע מזמנו וכתב לנו מאמר החודש. תודה רבה לרועי רחמיםתודה רבה לענבר רזתודה רבה לנדב שטיינברג, תודה רבה לאסיף גמליאל ותודה רבה לתומר דהן!
 
החודש, הגליון כולל את המאמרים הבאים: 
  • Lateral Movement - Azure Edition - מאת רועי רחמים
    במאמר זה מציג רועי כיצד ניתן לנצל מיס-קונפיגורציות נפוצות שעלולות להופיע ב-Entra ID (או בשמו הישן, Azure Active Directory) של ארגונים שונים. רועי מתמקד בתרחיש תקיפה מציאותי שנלקח ממקרה אמיתי ומממש את וקטור התקיפה במלואו. עבור כל מיס-קונפיגורציה, רועי מסביר מדוע היא בעייתית וכיצד ניתן לנצלה למטרות זדוניות. בנוסף, רועי מציג במאמר כיצד לבצע את אותן המתקפות באמצעות כלי חדש שכתב לטובת מימוש מתקפות מסוג זה.
 
  • מסתבר שגם טלפון ציבורי הוא טלפון חכם - מאת ענבר רז
    במאמר זה מציג ענבר מחקר שביצע על לא אחר מאשר הטלפון הציבורי של בזק. מחקר מפרך שארך לא מעט זמן. המחקר התחיל בפריצת המנעול הפיזי של תיבת הטלפון, ובהמשך דרש מענבר להתמודד (בין היתר) עם מעבד עלום שם, ארכיטקטורה שאף תוכנת Reverse Engineering סטנדרטית שיש היום לא יודעת להתמודד איתה, קידוד לא סטנדרטי, ועוד. וכל זה ללא היכולת להריץ את הקוד על המעבד המקורי או על אמולטור תואם.

  • Cyber Threat Intelligence - מאת נדב שטיינברג
    תפקידו של חוקר Cyber Threat Intelligence הינו תפקיד המתייחס לתהליך איסוף, ניתוח, מחקר והפצת מידע ומודיעין הקשור לאיום פוטנציאלי או תקיפה אקטיבית על המרחב הדיגיטלי של ארגון מסויים. בשונה מתפקידי Cybersecurity "קלאסיים", אשר שמים את הפוקוס על הגנה ריאקטיבית, בה למעשה מגיבים לאירוע סייבר לאחר שהתחיל ואף לאחר שהסתיים, תפקיד ה-CTI הינו תפקיד פרואקטיבי, משמע - תפקיד אשר מרבית עבודתו הינה לפני התקיפה. במאמר זה מציג נדב את התפקיד. נדב עושה זאת תוך כדי הצגת מקרה התקיפה של קבוצת האקרים הצפון קוריאנית Lazzarus על חברת סוני ב-2014 מעיני של חוקר ה-CTI.
 
  • הצפנת פונקציות בעזרת DynamicMethods - אסיף גמליאל
    במאמר זה מציג אסיף את נושא ה-DynamicMethods וכיצד ניתן לנצלן לטובת החבאת/הצפנת פונקציות שלמות בקוד שלנו. המאמר מתחיל בהסברים בסיסיים מה זה בכלל DynamicMethod? ועל האופן בו קוד NET. מקומפל ומורץ, ממשיך בהסבר כיצד ניתן לייצר פונקציה פשוטה יחסית תוך כדי ריצה ועד להסבר על יצירת "תשתית" שאיתה ניתן להמיר כל פונקציה ל-DynamicMethod.
 
  • Catch Me If You Can - תומר דהן
    במאמר זה מראה תומר נדבך נוסף במשחק החתול העכבר בין הצד התוקף לזה המגן - נדבך ההתחמקות ממנגנוני ניטור בזמן ריצה. במסגרת המאמר, סוקר תומר טכניקות שונות שבהן עושים תוקפים שימוש על מנת להתחמק ממגוון מנגנוני ניטור ובאילו אמצעים או שיטות נוקטות תוכנות ה-EDR-ים על מנת לזהות אותם.
 
קריאה נעימה,
           אפיק קסטיאל 



תגובות על 'הגליון המאה שישים ותשעה של DigitalWhisper שוחרר!':



#1 

 אני רק שאלה (אורח):
האם יש חשיבות בהסתרת מערכת הפעלה + סוג השרת? זכור לי שכתוב באחד הגליונות שכן, אבל אני לא מוצא...
06.01.2025 18:30:51

#2 

 cP (אורח):
מה ההקשר?
09.01.2025 05:08:59

#3 

 אני רק שאלה (אורח):
שלחתי בקשה (API) לשרת מסוים וקיבלתי שגיאה 414 הבסיסית של השרת שכתוב בה מערכת ההפעלה וסוג וגרסת השרת.

עוררתי שזה לא תקין ואמרו שזה שטויות, זכרתי שהיה כאן מאמר (אולי אפילו שלך) לפני שנים על זה שזה לא תקין כי זה נותן לתוקפים פוטנציאלים/ סקריפט קידס מידע שיכול להקל על חדירה (כמו למצוא אקספלויט או לממש חולשה ידועה בלי לנסות לחקור מה המערכת).
אני אפילו זוכר שהיתה תמונה של איזה מסך אולי ברכבת או משהו שנתקע והראה את הגרסה וכו' ואמרת שזה לא תקין.

אבל אני לא מוצא את המאמר, ולא היתה לי הוכחה.

בסוף הם במקרה שמעו ממקור אחר שלא מומלץ לנדב כזה מידע.
09.01.2025 23:25:08

#4 

 cP (אורח):
היי! אתה בהחלט זוכר נכון :), המאמר שאתה מדבר עליו הוא המאמר HTTP Fingerprints מגליון 4.

ובכלליות, שגיאת 414 היא בעייתית בסביבת Production.

והטענה שלך נכונה, אבל צריך לזכור שזאת חשיפה שמאפשרת להוציא מידע על השרת, לבדה אין בה כדי לפגוע במערכת.
10.01.2025 06:08:49

#5 

 אני רק שאלה (אורח):
האמת שאפילו זכרתי שזה המאמר הזה :) פשוט משום מה לא מצאתי אותו.
למה דוקא 414 בעייתית
10.01.2025 06:45:31

#6 

 cP (אורח):
זה אומר שהמערכת כנראה מסועפת מדי וכנראה משתמשת ביותר מדי פרמטרים ב-URI (אלא אם זה לא קורה בצורה טבעית)
10.01.2025 13:45:49

#7 

 loani (אורח):
בהקשר למאמר של תומר דהן בקשר לEDRים

האם קיימת דרך גם לראות שהטניקות אשכרה עוקפות EDRים קיימים
כי בינתיים כל הטכניקות הללו הן ללא איום יחוס וישנן חלק שתלויות במימוש של הEDR.

האם מישהו מכיר מאמר שגם מתייחס לEDR ספציפי?

בכל מקרה אחלה מאמר היה כיף לקרוא D:
21.01.2025 18:40:49

#8 

 cP (אורח):
מאמרים על מעקף של EDR או AV ספציפיים יהיו לא רלוונטיים כמעט מיד לאחר שהם יתפרסמו, מפני שברגע שהן מתפרסמות - השיטה תחשף וחברות ה-EDR יחקרו אותה, יממשו את הנדרש על מנת להתמודד איתם, יפרסו עדכון ואז השיטה כבר לא תהיה רלוונטית (או שחצי מהאינטרנט יושבת).

הדרך לענות על השאלה שלך, היא או ע"י קריאה של מאמרים המסבירים כיצד לחקור את השכבות הנמוכות של מערכת ההפעלה. דוגמא כזאת על מערכת ההפעלה Windows היא סדרת המאמרים "Windows Kernel ממבט התקפי" של שי גילת, שהמאמר הראשון בה פורסם בגליון ה-162:
https://digitalwhisper.co.il/files/Zines/0xA2/DW162-2-OffensiveWinKernel.pdf

או המאמר של יובל עתיה על Windows Kernel Exploitation שפורסם בגליון ה-90:
https://www.digitalwhisper.co.il/files/Zines/0x5A/DW90-1-ExploitKernelAndPE.pdf

דוגמאות על מאמרים בנשוא ב-Linux הן:
המאמר על הזרקות so מקרנל בלינוקס שנכתב ע"י אדיר מקמל:
https://www.digitalwhisper.co.il/files/Zines/0x7C/DW124-3-KernelSOInjector.pdf

פיתוח Keylogger קרנלי שנכתב בלינוקס ע"י איתמר מעודה:
https://www.digitalwhisper.co.il/files/Zines/0x7C/DW124-5-LinuxKernelKeyLogger.pdf

Kernel Exploitation בלינוקס שנכתב ע"י תום חצקוביץ'
https://www.digitalwhisper.co.il/files/Zines/0x6F/DW111-1-LinuxKernelPwn.pdf

(ובשני הנושאים יש עוד מלא, אלא סתם דוגמאות שקפצו לי לראש, תעבור על עמוד הגליונות).


או קריאה וביצוע מחקר על אותו AV/EDR פציפי, הבנה כיצד הוא פועל - ואז לנסות לחשוב איך ניתן לעקוף אותו. הינה לדוגמא מאמר המסביר על המנגנונים הפנימיים של מוצר AV מודרני ל-Mobile שנכתב ע"י בניה:
https://www.digitalwhisper.co.il/files/Zines/0x9C/DW156-1-ModernMobileAVAnalysis.pdf


לאחר שתבין כיצד המנגנונים הפנימיים של מערכת ההפעלה שעליה אתה מעוניין לבצע אותו מעקף עובדת, וכיצד לחקור את אותו מוצר AV/EDR שאתה מעוניין לחקור - יהיה לך משמעותית קל יותר לגשת למשימה.

ושוב, אני כותב לך את זה, כי ספציפית, בנושא שאתה מחפש עליו מידע, כל מאמר שתמצא לא יהיה רלוונטי (זה בדיוק כמו לפרסם מאמר על 0day - ברגע שהוא יפורסם, ה-Vendor, אם הוא מכבד את עצמו - יסגור את הפרצה).
27.01.2025 15:46:48


הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2025 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.