www.clearsky.co.il

משתמשי קצה

החוליה -

החלשהOmri Moyal - Red Team and Research Leader ClearSky

www.clearsky.com

clearsky

www.clearsky.co.il

ClearSkyייעוץ ופתרונות למרחב הסייבר

מתודולוגיה ואסטרטגיה•

מחקר ומודיעין•

הטמעה ופיתוח•

Overview

www.clearsky.co.il

כללי

מנצלות חולשות מרבית תקיפות הסייבר המודרניות •

אצל המשתמשים ותחנות קצה

וערכימידע רגיש עשויות להוביל להשגת •

סיבה עיקרית לשינוי היא השיפור במערכי האבטחה •

בארגונים ושיפור שיטות ההגנה ופיתוח מאובטח

www.clearsky.co.il

חדירה לנכסים ארגוניים הפכה קשה יותר

forensics כתיבת קוד מאובטח

הקשחת מערכות ובדיקות

קונפיגורציה

מערכות שליטה ובקרה

צוותי אבטחה כלי ניטורובודקי חדירות

www.clearsky.co.il

?למה לתקוף את משתמשי הקצה

הודעה או אתר לגיטימי קושי להבחין בין •

לזדוני

תוכנות ומערכות הפעלה לא מעודכנות•

דיפולטיביותהגדרות מערכת •

תוכנות צד שלישי•

אחסון מידע רגיש בצורה לא מאובטחת •

מחזור סיסמאות •

שימוש בסיסמאות חלשות•

(אם בכלל)זמן ארוך לגילוי תקיפה •

www.clearsky.co.il

משל האריההאריה אינו מנסה לטרוף . ונגל'גורמים זדונים מתנהגים בצורה דומה לאריה בג

.חיות יותר חזקות ממנו אלא תוקף חיות חלשות ופגיעות

.מחפשים את נקודות החדירה הקלה והמהירה ביותר-כך גם תוקפים

www.clearsky.co.il

ובמידע פיננסי, בפגיעויות, סחר בכלי תקיפה: יעדי גורמי פשיעה

www.clearsky.co.il

איך זה עובד

botnets :500$-10,000$כלי תקיפה וניהול •

שיתוף פעולה בין התוקפים•

לאנונימיותBITCOINSשימוש ב •

בקרה ותמחור, אמצעי דירוג: שירות לקוחות•

www.clearsky.co.il

דוגמהבחודשים האחרונים מפתחים רבים בפורומים רוסים מנסים לעקוף את תוכנת •

Rapport שלTrusteer

$ 1500במחיר anti-Rapportלאוקטובר הוצע למכירה 6-ב•

.עבר בדיקה מקיפה של חברי הפורום והוגדר כמוצלח ביותר•

www.clearsky.co.il

?מה היא מתקפת משתמש קצה

Client-side attacks

תוכנות ואפליקציות בשימוש יומיומי , תקיפה המתמקדת בתחנות קצה

.מאגרי מידע וכדומה, נתבים, בתשתית הארגונית הכוללת שרתיםולא

תוכנות בשימוש משרדי•

דפדפנים•

נגני מדיה•

העברת מסרים•

תוכנות נוספות•

www.clearsky.co.il

ערוצי תקיפה

קישורים לאתרים זדוניים•

doc ,pptאך בעלי קוד זדוני כגון כלגיטימיםקבצים הנראים • ,pdf

בקשות להתחברות לשירותים וגניבת הרשאות•

ניצול פגיעויות בדפדפנים ותוספי צד שלישי•

CSRFו XSS-שימוש בקוד זדוני בקישורים או הטמעתו באתרים •

JavaScriptהורדת קבצים והרצתם דרך •

man-in-the-middleמסוג חטיפת רשתות אלחוטיות וביצוע מתקפות •

לגניבת מידעkeyloggersהתקנת חומרה על מחשבים כגון •

disc on keyהעברת קבצים זדוניים באמצעות •

www.clearsky.co.il

Phishing email

www.clearsky.co.il

Phishing email

<a href=“http://hidden.malicious.site.com/index.html"> eStatment</a>

www.clearsky.co.il

?איך נמנעיםאימון ותרגול של המשתמשים•

מכניסה לשירותים חשובים דרך קישורים הימנעות •

באתרים ומייל

•two factor authentication

בערוץ )בדיקת אמינות דרך יצירת קשר עם השולח •

!(נפרד

שימוש בשירותי אינטרנט כגון •

urlquery.net לבדיקה חיצונית של

.הקישורים

www.clearsky.co.il

https://urlquery.net

. שירות אינטרנטי חינמי לניתוח ואנליזה של קישורים ואתרים

מטרת האתר היא לעזור לתעשיית האבטחה באיתור אתרים וחומר זדוני באינטרנט

www.clearsky.co.il

www.clearsky.co.il

Malicious pdf file

www.clearsky.co.il

(לגיטימי)קובץ נקי

קוד זדוניCVE-2009-4324

CVE-2009-4324

www.clearsky.co.il

קובץ נקי

PDFiD.py כלי לניתוח קבציpdf

קובץ זדוני

www.clearsky.co.il

www.clearsky.co.il

הימים האחרונים30-בAdobe-התפלגות תקיפות באמצעות

malwaretracker.com/pdfthreat.php

www.clearsky.co.il

Black hole exploit kit

CVE slangProduct /

typeExploit Description

CVE-2006-0003 mdac IE 6 MS IE _MS06-014 f or lE6/Microsof t Data Access

Components (MDAC) Remote Code Execution

CVE-2010-0188 PDF Libtiff / Lib PDF < 9.3.1 ADOBE PDF Exploit - LibTif f Integer Ov erf low

CVE-2012-0507 Java Atomic Java 6u30,

7u2

JAVA _ AtomicRef erenceArray

CVE-2012-1723 Java Byte / verifier Java 6u32,

7u4

JAVA Remote Code Execution

CVE-2012-4681 Java Gondvv /

Gondzz

IE 6-9 JAVA _craf ted applet that by passes

Security Manager restrictions

CVE-2012-5076 JAX-WS <Java 7u8 JAVA Arbitrary Code Execution

CVE-2013-0422 < Java 7u11 JAVA: JMB/MBEAN and Ref lection API allow a

craf ted applet to by pass Security Manager

restrictions

CVE-2013-0431 Java 7u11 JAVA: abuses the JMX classes f rom a Jav a Applet

to run arbitrary Jav a code outside of the sandbox

.ערכת תקיפה נפוצה במיוחד מבוססת ווב•

PDF-וJava Environemts,בדפדפניםפגיעויותמנצלת •)!(רישיון או שירות ענן : מכירה•.יוצר ומפיץ ערכת התקיפה, Paunchנעצר2013באוקטובר •

contagiodump.blogspot.co.il/2010/06/overview-of-exploit-packs-update.html

www.clearsky.co.il

BlackHole exploit kitJava 7 Applet Remote Code Execution - CVE-2013-2423

Malicious site

www.clearsky.co.il

BlackHole exploit kit:Java 7 Applet Remote Code Execution - CVE-2013-2423

www.clearsky.co.il

registration.caselogic.co.il

Caselogicהישראלית שאתר הרישום של Defconבנובמבר דיווח חבר בקבוצת 3-ב

Anonghostהישראלי נפרץ על ידי

www.clearsky.co.il

( Malware drive-by)אווה סקריפט וקובץ זדוני 'התוקף העלה לאתר ג

:על המתחברים לאתרRAT/Bot agentלהתקנת

www.clearsky.co.il

www.clearsky.co.il

FallaGa Rat v1.2

www.clearsky.co.il

השלכות

שליטה מלאה על המחשב המותקף•

-וbackdoor ,RATהתקנת •

Trojans

דריסת רגל ברשת הארגונית•

(RansomWare)התקנת תוכנות כופר •

DDOSיצירת תשתית למתקפות •

www.clearsky.co.il

www.clearsky.co.il

www.clearsky.co.il

www.clearsky.co.il

www.clearsky.co.il

?איך מתגוננים!! לעדכן ושוב פעם לעדכן, לעדכן•

( ולעדכן)התקנת תוכנות אנטי וירוס •

!אם יש ספק אז אין ספק•

הימנעות מפתיחת קבצים ממקורות לא •

מוכרים

העלאת קבצים נתונים בספק לשירותי •

,virustoalsאנאליזה כגון

sophos ולמתקדמים יותרanubis

הקשחת הגדרות מערכת•

•Urlqueryדיברנו?

www.clearsky.co.il

שירות אינטרנטי חינמי להעלאה וסקירה של קבצים זדוניים