משתמשי קצה - החוליה החלשה
TRANSCRIPT
www.clearsky.co.il
משתמשי קצה
החוליה -
החלשהOmri Moyal - Red Team and Research Leader ClearSky
www.clearsky.com
clearsky
www.clearsky.co.il
ClearSkyייעוץ ופתרונות למרחב הסייבר
מתודולוגיה ואסטרטגיה•
מחקר ומודיעין•
הטמעה ופיתוח•
Overview
www.clearsky.co.il
כללי
מנצלות חולשות מרבית תקיפות הסייבר המודרניות •
אצל המשתמשים ותחנות קצה
וערכימידע רגיש עשויות להוביל להשגת •
סיבה עיקרית לשינוי היא השיפור במערכי האבטחה •
בארגונים ושיפור שיטות ההגנה ופיתוח מאובטח
www.clearsky.co.il
חדירה לנכסים ארגוניים הפכה קשה יותר
forensics כתיבת קוד מאובטח
הקשחת מערכות ובדיקות
קונפיגורציה
מערכות שליטה ובקרה
צוותי אבטחה כלי ניטורובודקי חדירות
www.clearsky.co.il
?למה לתקוף את משתמשי הקצה
הודעה או אתר לגיטימי קושי להבחין בין •
לזדוני
תוכנות ומערכות הפעלה לא מעודכנות•
דיפולטיביותהגדרות מערכת •
תוכנות צד שלישי•
אחסון מידע רגיש בצורה לא מאובטחת •
מחזור סיסמאות •
שימוש בסיסמאות חלשות•
(אם בכלל)זמן ארוך לגילוי תקיפה •
www.clearsky.co.il
משל האריההאריה אינו מנסה לטרוף . ונגל'גורמים זדונים מתנהגים בצורה דומה לאריה בג
.חיות יותר חזקות ממנו אלא תוקף חיות חלשות ופגיעות
.מחפשים את נקודות החדירה הקלה והמהירה ביותר-כך גם תוקפים
www.clearsky.co.il
ובמידע פיננסי, בפגיעויות, סחר בכלי תקיפה: יעדי גורמי פשיעה
www.clearsky.co.il
איך זה עובד
botnets :500$-10,000$כלי תקיפה וניהול •
שיתוף פעולה בין התוקפים•
לאנונימיותBITCOINSשימוש ב •
בקרה ותמחור, אמצעי דירוג: שירות לקוחות•
www.clearsky.co.il
דוגמהבחודשים האחרונים מפתחים רבים בפורומים רוסים מנסים לעקוף את תוכנת •
Rapport שלTrusteer
$ 1500במחיר anti-Rapportלאוקטובר הוצע למכירה 6-ב•
.עבר בדיקה מקיפה של חברי הפורום והוגדר כמוצלח ביותר•
www.clearsky.co.il
?מה היא מתקפת משתמש קצה
Client-side attacks
תוכנות ואפליקציות בשימוש יומיומי , תקיפה המתמקדת בתחנות קצה
.מאגרי מידע וכדומה, נתבים, בתשתית הארגונית הכוללת שרתיםולא
תוכנות בשימוש משרדי•
דפדפנים•
נגני מדיה•
העברת מסרים•
תוכנות נוספות•
www.clearsky.co.il
ערוצי תקיפה
קישורים לאתרים זדוניים•
doc ,pptאך בעלי קוד זדוני כגון כלגיטימיםקבצים הנראים • ,pdf
בקשות להתחברות לשירותים וגניבת הרשאות•
ניצול פגיעויות בדפדפנים ותוספי צד שלישי•
CSRFו XSS-שימוש בקוד זדוני בקישורים או הטמעתו באתרים •
JavaScriptהורדת קבצים והרצתם דרך •
man-in-the-middleמסוג חטיפת רשתות אלחוטיות וביצוע מתקפות •
לגניבת מידעkeyloggersהתקנת חומרה על מחשבים כגון •
disc on keyהעברת קבצים זדוניים באמצעות •
www.clearsky.co.il
Phishing email
www.clearsky.co.il
Phishing email
<a href=“http://hidden.malicious.site.com/index.html"> eStatment</a>
www.clearsky.co.il
?איך נמנעיםאימון ותרגול של המשתמשים•
מכניסה לשירותים חשובים דרך קישורים הימנעות •
באתרים ומייל
•two factor authentication
בערוץ )בדיקת אמינות דרך יצירת קשר עם השולח •
!(נפרד
שימוש בשירותי אינטרנט כגון •
urlquery.net לבדיקה חיצונית של
.הקישורים
www.clearsky.co.il
https://urlquery.net
. שירות אינטרנטי חינמי לניתוח ואנליזה של קישורים ואתרים
מטרת האתר היא לעזור לתעשיית האבטחה באיתור אתרים וחומר זדוני באינטרנט
www.clearsky.co.il
www.clearsky.co.il
Malicious pdf file
www.clearsky.co.il
(לגיטימי)קובץ נקי
קוד זדוניCVE-2009-4324
CVE-2009-4324
www.clearsky.co.il
קובץ נקי
PDFiD.py כלי לניתוח קבציpdf
קובץ זדוני
www.clearsky.co.il
www.clearsky.co.il
הימים האחרונים30-בAdobe-התפלגות תקיפות באמצעות
malwaretracker.com/pdfthreat.php
www.clearsky.co.il
Black hole exploit kit
CVE slangProduct /
typeExploit Description
CVE-2006-0003 mdac IE 6 MS IE _MS06-014 f or lE6/Microsof t Data Access
Components (MDAC) Remote Code Execution
CVE-2010-0188 PDF Libtiff / Lib PDF < 9.3.1 ADOBE PDF Exploit - LibTif f Integer Ov erf low
CVE-2012-0507 Java Atomic Java 6u30,
7u2
JAVA _ AtomicRef erenceArray
CVE-2012-1723 Java Byte / verifier Java 6u32,
7u4
JAVA Remote Code Execution
CVE-2012-4681 Java Gondvv /
Gondzz
IE 6-9 JAVA _craf ted applet that by passes
Security Manager restrictions
CVE-2012-5076 JAX-WS <Java 7u8 JAVA Arbitrary Code Execution
CVE-2013-0422 < Java 7u11 JAVA: JMB/MBEAN and Ref lection API allow a
craf ted applet to by pass Security Manager
restrictions
CVE-2013-0431 Java 7u11 JAVA: abuses the JMX classes f rom a Jav a Applet
to run arbitrary Jav a code outside of the sandbox
.ערכת תקיפה נפוצה במיוחד מבוססת ווב•
PDF-וJava Environemts,בדפדפניםפגיעויותמנצלת •)!(רישיון או שירות ענן : מכירה•.יוצר ומפיץ ערכת התקיפה, Paunchנעצר2013באוקטובר •
contagiodump.blogspot.co.il/2010/06/overview-of-exploit-packs-update.html
www.clearsky.co.il
BlackHole exploit kitJava 7 Applet Remote Code Execution - CVE-2013-2423
Malicious site
www.clearsky.co.il
BlackHole exploit kit:Java 7 Applet Remote Code Execution - CVE-2013-2423
www.clearsky.co.il
registration.caselogic.co.il
Caselogicהישראלית שאתר הרישום של Defconבנובמבר דיווח חבר בקבוצת 3-ב
Anonghostהישראלי נפרץ על ידי
www.clearsky.co.il
( Malware drive-by)אווה סקריפט וקובץ זדוני 'התוקף העלה לאתר ג
:על המתחברים לאתרRAT/Bot agentלהתקנת
www.clearsky.co.il
www.clearsky.co.il
FallaGa Rat v1.2
www.clearsky.co.il
השלכות
שליטה מלאה על המחשב המותקף•
-וbackdoor ,RATהתקנת •
Trojans
דריסת רגל ברשת הארגונית•
(RansomWare)התקנת תוכנות כופר •
DDOSיצירת תשתית למתקפות •
www.clearsky.co.il
www.clearsky.co.il
www.clearsky.co.il
www.clearsky.co.il
www.clearsky.co.il
?איך מתגוננים!! לעדכן ושוב פעם לעדכן, לעדכן•
( ולעדכן)התקנת תוכנות אנטי וירוס •
!אם יש ספק אז אין ספק•
הימנעות מפתיחת קבצים ממקורות לא •
מוכרים
העלאת קבצים נתונים בספק לשירותי •
,virustoalsאנאליזה כגון
sophos ולמתקדמים יותרanubis
הקשחת הגדרות מערכת•
•Urlqueryדיברנו?
www.clearsky.co.il
שירות אינטרנטי חינמי להעלאה וסקירה של קבצים זדוניים