בשיטוטים האחרונים ברשת נתקלתי בכלי מעולה הנקרא- WuInstall1_1 מחברת xeox
Latest Security News
-
Fake cheat lures gamers into spreading infostealer malware - A new info-stealing malware linked to Redline poses as a game cheat called 'Cheat Lab,' promising downloaders a free copy if they convince their friends to...5 hours ago
-
FIN7 targeted a large U.S. carmaker with phishing attacks - BlackBerry reported that the financially motivated group FIN7 targeted the IT department of a large U.S. carmaker with spear-phishing attacks. In late 2023...10 hours ago
-
Sharing hospital website user data with 3rd parties is common, study shows - A new statistical analysis of 90 distinct hospital websites, drawn from a nationally representative sample of 100 community hospitals, finds that those p...10 hours ago
-
VectorKernel - PoCs For Kernelmode Rootkit Techniques Research - PoCs for Kernelmode rootkit techniques research or education. Currently focusing on Windows OS. All modules support 64bit OS only. *NOTE* Some modules ...17 hours ago
-
Other Attempts to Take Over Open Source Projects - After the XZ Utils discovery, people have been examining other open-source projects. Surprising no one, the incident is not unique: The OpenJS Foundation...18 hours ago
-
How to prevent surveillance through banner ads | Kaspersky official blog - Data collected by advertising firms can be used — often illegally — by various government agencies. How does this happen, and what to do to minimize survei...1 day ago
-
A sneaky new steganography malware is exploiting Microsoft Word - A sneaky new steganography malware is exploiting Microsoft Word l33tdawg Wed, 04/17/2024 - 00:312 days ago
-
Who Stole 3.6M Tax Records from South Carolina? - For nearly a dozen years, residents of South Carolina have been kept in the dark by state and federal investigators over who was responsible for hacking in...2 days ago
-
Overview of Content Published in March - Here is an overview of content I published in March: Blog posts: Update: metatool.py Version 0.0.4 SANS ISC Diary entries: Obfuscated Hexadecimal Payload 1...4 days ago
-
Dancho Danchev's Cybercrime Life Magazine - Issue 01 - April - 2024 - Dear blog readers, I just released my first issue of Dancho Danchev's Cybercrime Life monthly magazine which is entirety based on my recent research and ...1 week ago
-
Recommended: AI-Powered SOC: it's the end of the Alert Fatigue as we know it? - I recommended AI-Powered SOC: it's the end of the Alert Fatigue as we know it? on TysonRhame. About me: http://www.chuvakin.org2 weeks ago
-
הגליון המאה ושישים של DigitalWhisper שוחרר! - הגליון המאה ושישים של DigitalWhisper שוחרר!פורסם ב- March 31, 2024 19:52:18, על ידי- cp77fk4r ברוכים הבאים לדברי הפתיחה של הגליון ה-160 של DigitalW...2 weeks ago
-
Strengthening Security: ToolsWatch Welcomes Dr. Magda Lilia Chelly and Vivek Ramachandran to Black Hat Arsenal’s Board of Review - In the ever-evolving landscape of cybersecurity, staying ahead of the curve is paramount. As digital2 weeks ago
-
HC3 alerts shed light on two popular healthcare cyberattack tactics - The HHS Health Sector… read more3 weeks ago
-
3 Opportunities for Cybersecurity Leaders Who Choose to Stay - Several years into your role as a security leader at a company, you’ll reach a point when you ask yourself, “What’s next for me?” This article discusses th...3 months ago
-
זמין מיידית לעבודה חדשה - שלום למבקרים באתר, אני זמין כעת מיידית לעבודה חדשה, כשכיר או כעצמאי, כמובן בתחום אבטחת המידע. אפשר למצוא פרטים מקצועיים נוספים אודותיי וגם ליצור אתי קשר ...8 months ago
-
My Last Email with W. Richard Stevens - In the fall of 1998 I joined the AFCERT. I became acquainted with the amazing book *TCP/IP Illustrated, Volume 1: The Protocols* by W. Richard Stevens...9 months ago
-
What a lovely sunset - Oh, hi. Long time no blog, eh? Well, it is time to sunset this blog, I will be deleting it in the next few weeks. So long, and thanks for all the fis...10 months ago
-
Simple PHP webshell with php filter chains - Recently found an LFI in a PHP application and one of the cool things I learned about recently was PHP filter chains. More info here: https://www.synacktiv...1 year ago
-
Hello world! - Welcome to WordPress. This is your first post. Edit or delete it, then start writing!1 year ago
-
A Scam in the Family—How a Close Relative Lost $100,000 to an Elder Scam - Written by James Schmidt Editor’s Note: We often speak of online scams in our blogs, ones that cost victims hundreds... The post A Scam in the Family—Ho...1 year ago
-
Hacking Solidity For fun and profit - Introduction After a long period of silence I am now going to write a post for hacking Solidity smart contracts for dummies (like me). The easiest way to p...1 year ago
-
Tracking WMI Activity with PSGumshoe - WMI (Windows Management Instrumentation) is the Microsoft implementation of the Web-Based Enterprise Management (WBEM) and Common Information Model (CIM) s...2 years ago
-
Renewed SideWinder Activity in South Asia - A few months ago, Trend Micro released a post which encapsulated the SideWinder APT group activity in the past year, showcasing SideWinder’s mobile malware...3 years ago
-
Jupyter Notebook for crt.sh Queries - I created a Jupyter Notebook to query the crt.sh website, dump the results into a pandas data frame, and then printing out the unique list of results to th...3 years ago
-
UNSINKABLE meets UNTHINKABLE פוסט לציון 108 שנים לטביעתה של הטיטניק והלקחים להגנת סייבר בימינו אנו - פוסט זה הוא עדכון משמעותי לפוסט שנכתב במקור בשנת 2012 לאחר צפיה בסרט תיעודי ששודר באותה השנה, במלאת 100 שנה לטביעת הטיטניק. בעדכון זה ננפץ כמה פרות קדושות ...4 years ago
-
How Reverse Engineering (and Cyber-Criminals’ Mistakes) Can Help You When You’ve Been a Ransomware Victim - Ransomware is a type of malware that threatens to publish the victim’s data or perpetually block access to it unless a ransom is paid. In the last two year...4 years ago
-
Tencent Shuts Down PUBG Mobile in China For Patriotic Alternative - Slashdot - Full Abbreviated Hidden /Sea Score: 5 4 3 2 1 0 -14 years ago
-
Lucky Break - One of the things I do from time to time is throw out an open ended question on Twitter. Sometimes I’m making a point, sometimes I just want to amuse myse...5 years ago
-
TekThing 161 – Bitcoin Sucks For Gaming PCs!!! Our Video Gear, Fingbox Home Network Security - —— Thank You Patrons! Without your support via patreon.com/tekthing, we wouldn’t be able to make the show for you every week! https://www.patreon.com/tekth...6 years ago
-
Romania is vice-champion at the European Cyber Security - CERT-RO The National Response Center for Cyber Security Incidents affirmed on Friday that Romania, for the second consecutive year, has become the European...6 years ago
-
CoalaBot : http Ddos Bot - CoalaBot appears to be build on August Stealer code (Panel and Traffic are really alike) I found it spread as a tasks in a Betabot and in an Andromeda sp...6 years ago
-
Social-Engineer Toolkit (SET) v7.7 “Blackout” Released - TrustedSec is proud to announce a major release of the Social-Engineer Toolkit (SET) v7.7. This version incorporates support for hostnames in the HTA att...6 years ago
-
[Virus Bulletin Conference] The TAO of Automated Iframe Injectors - Building Drive-by Platforms For Fun and Profit - In this paper, we present the design of distributed infection model used by attackers to inject malicious iframes on the fly to conduct large scale driv...6 years ago
-
Big Changes Around the Corner for the IoT - The IoT is transforming before our eyes due to increasing regulations, growing demand for security standards and advancements in the telecom industry. T...6 years ago
-
ClearEnergy ransomware can destroy process automation logics in critical infrastructure, SCADA and industrial control systems. - Schneider Electric, Allen-Bradley, General Electric (GE) and more vendors are vulnerable to ClearEnergy ransomware. Researchers at CRITIFENCE® Critical I...7 years ago
-
ROOTCON 11 Venue - This years ROOTCON 11 will be held at Taal Vista Hotel in Tagaytay on September 21-22, 2017. We announced the venue as early as now so you can plan ahead...7 years ago
-
The ‘Compliance Only / CISSP / Minimum Viable Product / HR firewall’ infosec trapezoid of fuck - Yesterday (thurs, 3/24/16) I went on a tirade on twitter, regarding an experience I had in San Francisco during RSA week, while at a vendor party. I’ll let...8 years ago
-
Citadel 0.0.1.1 (Atmos) - Guys of JPCERT, 有難う御座います! Released an update to their Citadel decrypter to make it compatible with 0.0.1.1 sample. Citadel 0.0.1.1 don't have a lot of do...8 years ago
-
Dridex Down Under - Raytheon | Websense® Security Labs™ has been tracking malicious email campaigns associated with the Dridex banking Trojan since 2014. An interesting deve...8 years ago
-
What Verizon Missed in the Latest Threat Reports - * By: Zuk Avraham, Joshua Drake, Yaniv Karta, Jimmy Sha * * Read the full report - here Recently, Veriz...8 years ago
-
Forensic - אחת מהבעיות העיקריות בביצוע תהליך FORENSIC הוא לאחר ביצוע תהליך שיכפול ה - Harddisk (על פי כל התקנים של שיכפול ביט אחרי ביט), היא לבצע מחקר על *מחשב חיי...8 years ago
-
-
TrustKeeper Scan Engine Update – February 4, 2015 - The latest update to the TrustKeeper scan engine that powers our Trustwave Vulnerability Management product (including both internal and external vulnerabi...9 years ago
-
RSA Announces End of RSA Security Conference - Aims to bring clarity to cloudy marketing messages through exhibit hall chotskies Bedford, MA., – April 1, 2014 – RSA, the security division of EMC, today ...10 years ago
-
botCloud – an emerging platform for cyber-attacks - Hosting network services on Cloud platforms is getting more and more popular. It is not in the scope of this article to elaborate the advantage of using Cl...11 years ago
-
mimikatz: Tool To Recover Cleartext Passwords From Lsass - I meant to blog about this a while ago, but never got round to it. Here’s a brief post about very cool feature of a tool called mimikatz. I’m very grateful...12 years ago
-
-
-
-
-
-
-
-
-
-
-
כלי command חינמי לביצוע עידכוני windows update
בשיטוטים האחרונים ברשת נתקלתי בכלי מעולה הנקרא- WuInstall1_1 מחברת xeox
OWASP 2010 TOP 10
The new OWASP Top Ten can be seen below:
UserAssist - כלי נוסף וטוב ל FORENSIC WINDOWS
UserAssist
האיום הפנימי - הגדרה ודרכים להתמודדות
ההגדרה הורחבה לאחרונה גם לשותפים עסקיים,ספקים וכו בשל הנטייה ההולכת וגוברת של הוצאת תהליכים ותמיכה במערכות המידע למיקור חוץ ( outsourcing ) , החל בחיבורים לצורך תמיכה במערכות מרכזיות כגוןWEB ,DATABASES,STORAGE וכלה בהוצאת קמפיינים , DATA MINING ומשימות אחרות לחברות צד שלישי וספקים.
ארגון CERT האמריאי ערך מחקר מקיף החל מ 1996 ועד היום וניתח קרוב ל 300 מקרים של התקפות ע"י גורמים המוגדרים פנימיים.
להלן חלק מהמסקנות שהגיעו אליהם:
ניתן לחלק את ההתקפות לשלוש קטגוריות מרכזיות:
- חבלה - במקרים אלו התוקף מעוניין לגרום נזק לארגון או לאדם בארגון, מחיקת מידע , הורדת מערכות ,והפרעה לאופרציה הנורמלית בארגון - מתוך 300 - כ 100 מוגדרות כנסיון חבלה.
- גנבת קניין רוחני- במקרים אלו התוקף גונב סודות חברה,תוכניות חברה,קוד פיתוח,תוכניות אסטרטגיות וכו . כ 40 מתוך ה 300 מוגדרים כגנבת קניין רוחני.
- גניבה או טיפול במידע לצורך רווח כספי - בקטגורה זו נכללים גניבת או שינוי פרטים אישיים , כרטיסי אשראי וכו לצורך מכירה של המידע בשלב מאוחר יותר , ברוב המקרים התוקף הפנימי מקבל תשלום ע"י גורם חיצוני לביצוע העברה. כ 106 מקרים הם מסוג זה .
- MISC - כ 46 מקרים בהן אין מספיק ראיות או מידע לשייך את ההתקפה לאחת מהקטגוריות.
כמובן שחלק מהמקרים מתפרסים על כמה קטגוריות ביחד.
50% מעובדים שביצעו עבירות מסוג זה החזיק במשרה טכנית בארגון.
נקודות חשובות באבטחת מידע שעלו מהמקרים .
- ברמת ניהול הסיכונים - יש להרחיב את מעגל האבטחה שיכלול את כל קבלני המשנה,נותני התמיכה,וספקים חיצוניים בעלי גישה למידע אירגוני - הקשחת והגבלת הגישה למשאבים ע"י גורמים אילו,ניטור ומעקב ככל הניתן לפעולות הנעשות ע"י הגורמים החיצוניים בתוך הארגון וכן ניתוק מידי של הקבלן בתום העסקתו עשויים למנוע התקפות דרך גורמים אלו
- need to know bases - ניתוח המקרים מעלה שברוב המקרים התוקף קיבל הרשאות גישה גבוהות בהרבה ממה שהיה צריך לעבודתו , באחד מהמקרים מצויין כי איש מכירות הצליח לגנוב קוד מקור של מוצר וזאת מכיוון שהיתה לו הרשאה לספריה שהיכילה קוד זה .הגבלת ההרשאות לצרכי עבודה היתה מונעת מקרה זה.
- הפרדת רשויות - פיצול פעולות קריטיות לגורם מאשר וגורם מבצע - בחקירת המקרים התגלה כי למרות שהפרדה זו קיימת ,במקרים רבים אין אכיפה באמצעים טכניים וגם אם קיימת , היא לא מבוצעת נכון. ברוב במקרים הפרדות אלו קיימות בעיקר "על הנייר".
- הפרדת ופיצול הרשאות בתוך קבוצת ה system administrators - מחקירת המקרים עלה שלא כל מנהלי הרשת צריכם גישה לניהול כל הרשת :) יש לנסות להפריד הרשאות גם בתוך הקבוצה הזאת דוגמא למיקרה שהובא היתה ,מנהל רשת זוטר שעמד לפני פיטורים אך עדיין היה בעל הרשאות ADMIN גורפות בארגון - דבר שאפשר לו לחבל בשרתים רבים וכן למחוק את הלוגים על פעילות זו ואף לכונונם שיצביעו על המנהל שלו כגורם האשם.
- ניהול חשבונות והרשאות - המחקר מעלה שרוב פעולות החבלה התבצעו לאחר הפיטורין אך בעזרת התחברות לרשת שהוכנה מראש ע"י העובד . בדרך כלל השימוש היה בחשבונות משותפים (משתמש אפליקטיבי)test,traning,sysadmin,dba וכו ,חשבונות שקשה מאד לזהות מי בעצם המשתמש האמיתי ה"מסתתר " מאחוריהם. במיקרים רבים מנהלי רשת יצרו חשבונות שנראו לצרכים לגיטימיים אך למעשה שימשו אותם להתחברות מרחוק לארגון לאחר הפיטורין.
- סיסמאות - מקרים רבים הראו כי משתמשים העבירו בינהם ססמאות בכדי לחסוך זמן ולבטל את הצורך בגורם אחד מאשר ואחד מבצע .
- סיסמאות חלשות - במקרים רבים מנהלי רשת וגורמים אחרים הריצו PASSWORD CRACKERS ופרצו לחשבונות ולקבצים מוגני סיסמה לצורך גניבת הרשומות.חלק מהחשבונות שנפרצו שימשו להם לאחר הפיטורים דרך להתחבר לארגון.
- auditing and log mamagment - במקרים רבים נראו גישה לשרתים רגישים והורדת downloads כמות גדולה של קבצים ,פרט מעניין נוסף הוא שרוב הפעולות מסוג זה נעשו בחלון זמן של 3-1 חודשים לפני פיטורי עובד או התפטרות - בדיקה של תבניות כאלו יכולות לעזור בגילוי מקרים של פעולה פנימית.
- חשיבות שיתוף פעולה בין מחלקות כוח אדם , IT ,מנהלים, והבעלים של המידע - חקירת המקרים מעלה שלא די באמצעי IT ( טכניים) בלבד לזיהוי פשע ההולך להיתבצע אלא חייב שיתוף פעולה עם מחלקות כוח אדם ובעלי המידע עצמו היודעים למי הצורך במידע ולמי לא בהתאמה לגורמים כגון פיטורים, מירמור בעבודה וכו.
FYI
הקשחות SSL בשרתי IIS
השינויים:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]
"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:ffffffff
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:ffffffff[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]
"Enabled"=dword:ffffffff
Security Event log logon/off תיזכורת
כחלק מהבדיקות הרבות שאני מבצע , אני מתיחחס גם לEVENT LOGS בתחנה וב DC לגבי אירועי LOGON\OFF
אך מתקשה לזכור את ה EVENT ID הרלוונטיים.
אז הנה רשימה קצרה לתזכורת (xp 2000):
לרשימה המלאה:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/Default.aspx
534 - Logon Failure - The user has not been granted the requested logon type at this machine
ZER0 DAY SMB V2
פירצת אבטחת התגלת בפרוטוקול SMB V2 שפותח ע"י מיקרוסופט ומיושם ב VISTA ו SERVER 2008
לפי שעה אין PATCH המתקן את חור האבטחה .
מיקרוסופט מציעה לבטל את השימוש בפרוטוקול זה ואף מספקת כלי ( FIXIT) המבצע זאת אוטומטית .
ניתן לוהוריד את הכלי כאן:
http://blogs.technet.com/srd/archive/2009/09/18/update-on-the-smb-vulnerability.aspx
cve id:
CVE-2009-3103
FYI
FLASH SECRETS - כלים לבדיקת ACTION SCRIPTS
FOCA RC1- כלי חדש לחילוץ METADATA ממסמכים.
METADATA = מידע המוסף למסמכים וקבצים ע"י תוכנות עריכה למטרות שימוש התוכנות עצמם .
- תאריך ושעה בהם נוצר המסמך
- שם המתשמש שיצר את המסמך
- שם המחשב או השרת הפנימי
- כתובות דואר אלקטרוני
- נתיבים המסמכים
- שמות מדפסות
NMAP GUI חדש מבית K_ZEE
tiger team - Google Videos
metasploit 3.3 dev -client side attack
- תחנת קצה הגולשת לאתר זדוני המנסה לחדור דרך פגיעות בדפדפן או בתוספים שונים.
- מסמכים בפורמטים שונים הנשלחים במייל ומנצלים פגיעות באפליקציות (WORD,PDF וכו).
- יצירת קובץ PDF או DOC המכוון לפגיעות אפליקטיבית בגרסאות התוכנה השונות
- הקמת אתר המכיל ACTIVE X המנצלים פגיעות הדפדפן ברכיב זה.
$ svn co http://metasploit.com/svn/framework3/trunk/
CLIENT SIDE ATTACKS ותחנות הקצה בארגון.
- ניהול PATCHS MICROSOFT- תהליך אטיי ומתמשך , היכולת "ליישר קו" מוגבלת וכלי הניהול השונים WSUSE,BIGFIX וכו עושים עבודה בינונית לכל היותר,דרישות ל RESTART והתנגשות עם אפליקציות קיימות IN HOUSE ושאר ירקות. בקיצור,לא נעים לבצע ROLLBACK ל6000 תחנות . מנהל רשת הגיוני יתקין רק את החלק הקריטי של העדכונים במקרה הטוב ,יפסח על עדכוני ה OFFICE ועדכונים "שוליים" אחרים ( REBOOT לעדכון MEDIA PLAYR? השתגעתם?) . גם תהליך הטמעת עדכונים ב IMAGES חדשים של החברה מצריך סט בדיקות ועדכון חודשי -שוב תוצאות בינוניות וחלקיות לכל היותר.
- עדכוני אפליקציות אחרות- כמה מנהלי רשת מעדכנים את שאר האפליקציות ההכרחיות כיום לגרסה האחרונה? ADOBE,WINZIP וכו -מעט מאד.
- ניהול חתימות עדכניות לאנטי וירוס.- גם כאן קשה מאד לקבל מיקשה אחד ברחבי הארגון , תחנות ב OFFLINE ,ניידים המתחברים ב VPN פעם בעשור , בעיות רשתיות מול שרת הניהול המרכזי ,שדרוגים הפוגעים ב CLIENT ושורה ארוכה של EXELUDES .גם כאן יסתפק מנהל הרשת ההגיוני ב75% הצלחה.
- חסימת התקנים ניידים - גם כאן יאלץ מנהל הרשת לפתוח חסימות לאנשי VIP בחברה,צוותים טכניים שונים ושאר מקורבים.
- personnal filrewall? hips? - קשים מאד לניהול והטמעה ,מיצרים גילויים שגויים (FP) ומכבידים על התחנות ועל העבודה השוטפת של המשתמשים.מנהל הרשת ,גם אם יטמיע פיצ'רים אלה ,תהיה זו ברוב המקרים הטמעה במינימום הקשחה.
- הקשחת ססמאות,חינוך משתמשים ,הגנה פיזית,הצפנות וכו - גם כאן קיים שיפור כמובן אך הדרך עוד ארוכה.
כמו שאנו רואים - תחום הגנת תחנות הקצה אמנם השתפר אך עדיין ללא ספק לוקה בחסר .התקפות דרך תחנות הקצה בחברה יניבו פירות יפים ובאחוזים גבוהים .
בכל בדיקת חדירות , אני ממליץ לשלב גם client side attacks .
בפוסט הבא אני ידבר על metasploit 3.3 dev והשיפורים ביכולות לבצע התקפות מסוג זה דרכה.
conficker - מניעה-הגנה-גילוי-ניקוי
טלפונים בהולים מאנשי הסיסטם והתקשורת בזמן ארוחת הצהריים שלי :" עשיתם שינוי בשרת ה AV?","הפצתם איזה משהו?"
אני עונה מיד שלא, ומסיים את הארוחה.
במשרד אני ניגש לבדוק לוגים בשרתי הAV - הכל רגיל,אך אני שם לב למיילים המתריעם על סריקת פורטים בSIM SOC שלנו...הממ משהו מוזר קורה.
בינתיים אנשי הסיסטם כבר מורטים שיערות ואני מנסה להבין את פשר הסריקות המוזרות בתוך הרשת .
מחשבים מנסים לצאת לאינטרנט בפורט 80 ולא דרך הפרוקסי...בעיית ניתוב? תקלה בהגדרות הפרוקסי?
שעה עוברת והתמונה מתחילה להיתבהר ,תמונה עגומה.
מחשבי הארגון סורקים את עצמם ולכיוון סגמטי השרתים בפורט 445 ללא הפסקה ,כל מחשב פותח חיבורים לפי יכולתו
10 - ++1000 ,חגיגה.
הלחץ מגיע לרמות חדשות , עכשיו זה כבר ברור : אני עד להתפרצות חזקה של וירוס ברשת .
אני בודק שוב ושוב את הלוגים מהאנטי וירוסים - נאדה! מה זה!
אנשי הסיסטם כבר מצאו לפחות 10 שמות של וירוסים המתאימים להתנהגות הוירוס ,אבל אף אחד לא מופיע לי על המסך.
אני מתקשר לאחד ממומחי הוירוסים בארץ שתמך בי פעמים רבות בעבר :"מה קורה איש, יש לנו ככה וככה...".
והוא עונה :" כן אני נמצא עכשיו בארגון יותר גדול ממכם, גם כאן המצב דומה , זה כנראה ZERO DAY ATTACK"
-אנחנו צריכים לבא ולקחת ביופסיה ממחשב נגוע ולשלוח לחברת האנטי וירוס שיכתבו לזה חתימה."
מההה! ZERO DAY?
כך למדתי להכיר את וירוס הקונפיקר.
הגנה -מניעה
- התקנת הפאצ' של מיקרוסופט kb958644 המונע את וקטור ההתקפה המרכזי דרכו חודר הקונפיקר לתחנה. - להוריד ולהתקין בהקדם האפשר על כל השרתים והתחנות.
לבדיקה מידית של המצאות ה PATCH על תחנה הריצו:
systeminfo find"KB958644" a
להורדת ה PATCH:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx- ביטול AUTORUN לכל סוגיו בתחנות ובשרתים = עצירת וקטור ההתקפה השני של הוירוס ( הדבקה דרך התקני USB ומדיות נשלפות אחרות).
העתק\הדבק את השורות הבאות לקובץ בסיומת REG. והרץ:
REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"
כמובן לא לשכוח לעדכן GPO :)
- ביטול שיתופים אדמיניסטרטיביים ככל הניתן ומעבר על שיתופים ברשת תוך צימצום ההרשאות בכל שיתוף. -וקטור ההדבקה השלישי של הקונפיקר הוא באמצעות גישה לשיתופים בכלל ובפרט ל admin$ ,לצערי סעיף זה קשה לביצוע בשל שימוש אפליקטיבי בשיתופים הנ"ל אך ניתן לצמצם את ההרשאות לשיתופים כחלק מפעילות שוטפת של אבטחת מידע. במקרי קיצון של הדבקה מאסיבית ,ניתן להפעיל זמנית פונקציה הקיימת ברוב האנטי וירוסים - make all shares read only (ע"ע מקאפי).
- הגבלה או מניעת הרשאות לספרית TASKS של windows - וריאנטים מסוימים של הוירוס יוצרים JOB -משימה המפעילה את מנגנון ההדבקה ,סגירת ההרשאות לספריה זו תמנע זאת.
- יש לדאוג לAV מעודכן בחתימות ובמנוע האחרון ,יש לסרוק את הרשת הארגונית באמצעים נוספים למציאת תחנות ושרתים "סוררים" ללא AV או AV ב DISABLE ו\או מגון תקלות אחרוות.
- הקונפיקר משתמש במנגנון סריקה והדבקה די רעשניים אשר ניתן לזיהוי בקלות ע"י IPS או HIPS ,עומס ברשת יורגש בעיקר בפורטים 445 ו 139 וכן גישת מחשבים ושרתים לאינטרנט.
- GMER - כלי לבדיקת ROOTKITS והזרקת DLL לservices לגיטימיים של וינדוס - הקונפיקר מזריק את עצמו (DLL) ל svchost ,הכלי מזהה ומציג ( באדום) את השירות הנגוע ואת שם ה DLL הרלונטי , הוא מאפשר גם הסרה של ה DLL אך מנסיון הפעולה גוררת ברוב המקרים מסך כחול.
- tasklist /svc ----חיפוש פרוססים הרצים תחת scvhost וזיהוי פרוססמים בשמות מוזרים או לא מוכרים
svchost.exe 1068 AudioSrv, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, HidServ, lanmanserver,lanmanworkstation, Netman, Nla, RasMan,Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv,Themes, TrkWks, W32Time, winmgmt, wscsvc,ddfr , wuauserv, WZCSVC
- McAfee Conficker Detection Tool - כלי חינמי שיצא יחסית לאחרונה הסורק תחנות ורשתות למציאת מחשבים נגועים בקונפיקר , הכלי יודע לזהות (finger print) תחנות נגועות ללא צורך בהזדהות
הסרה :
במידה והAV מזהה ,גם אם האינדיקציה היא : removed או deleted , אני ממליץ לבצע REBOOT בכדי לאפשר ל AV להסיר שיירים בזיכרון.
שיהיה בהצלחה.