ערכות פריצה – Eleonore Exploits Pack

בהמשך לסדרת המאמרים על ערכות הפריצה, נתמקד הפעם בערכת הפריצה הפופולרית שקיבלה הכי הרבה פרסום מחוץ לקהילות ההאקרים ואבטחת המידע – Eleonore Exploits Pack.

stock.xchng

Elenore Exploits Pack, המוכרת גם בששם  Eleonore Exp, התחילה את דרכה בגרסה 1.0 בסוף יוני 2009 והחלה להתפרסם בפורומים מחתרתיים במחיר צנוע יחסית של 300$. כמו רבות מערכות הפריצה שצצות בשנים האחרונות, גם היא פותחה וממשיכה להתעדכן ע”י צוות של האקרים רוסיים שמאורגנים וממומנים ע”י משפחות פשע מזרח אירופאיות וכמו רוב ערכות הפריצה גם Eleonore Exp השתמשה בפרצות אבטחה ידועות למערכות הפעלה, דפדפנים ואפליקציות שמשמשות לגלישה באינטרנט, שלרובן המכריע יצאו כבר עדכונים שמתקנים אותן. דבר נוסף שמשותף לכל ערכות הפריצה הוא שהן קלות מאוד להתקנה, וכוללות ממשק נוח לשימוש – מה שמאפשר לעבריינים עם ידע בסיסי מאוד במחשבים להפוך ל”האקרים” ולהרויח סכומי כסף משמעותיים על חשבונם של גולשים תמימים.

מתפתחים בקצב מרשים

הקצב המרשים שבו יוצאות גרסאות חדשות ומשופרות לערכות הפריצה מראה שהפופולריות והרווחיות שלהן בשנתיים האחרונות רק צוברות תאוצה. רק חודש לאחר שיצאה הגרסה הראשונה של Eleonore Exp, יצאה ביולי 2009 גרסה 1.1 שהוסיפה לארסנל שלה עוד שתי פרצות אבטחה, אחת שמשתמשת ב ActiveX לדפדפן אקספלורר בגרסאות 6 ו- 7, ואחת שמשתמשת בהדבקה דרך הלשוניות בדפדפן Firefox 3.5. המחיר המעודכן שלה היה כבר 500$.

רק שבועיים לאחר מכן יצאה כבר גרסה 1.2 שהוסיפה פרצות אבטחה למסמכי Microsoft Excel ולמסמכי PDF, ואיפשרה למשתמשים ב Eleonore Exp להעלות קבצים זדוניים דרך הממשק עצמו – שדרוג שחוסך למשתמשים בערכה את הצורך להעלות קבצים לשרת hosting. וכל זה במחיר מציאה של 700$. המייל שנשלח ללקוחות קיימים ופוטנציאלים של הערכה הגיע עם הכותרת “Hello! I now present new exploits russian pack v1.2 Eleonore Exp”.

שלושה חודשים “ארוכים” עברו עד ליציאת הגרסה 1.3 באוקטובר 2009, כנראה בעיקר בגלל שהכותבים של הערכה לא מצטיינים בעיצוב גרפי. הגרסה הוסיפה תפריטים עם סטטיסטיקות שונות, שמראות את אחוזי ההצלחה בהדבקה של גולשים שנכנסים לאתרים שנפרצו ע”י הערכה, לפי מדינת המוצא של הגולש, מערכת ההפעלה שלו, הדפדפן שלו, וסוג הפריצה שהצליחה לחדור למחשב שלו. נוספו גם עוד שתי פריצות שמנצלות את הדפדפן אקספלורר ואת JAVA שמשמשת את רובנו בגלישה באתרים ובהפעלה של תוכנות מסוימות. הגרסה הזו כבר עלתה 1,000$.

בדיוק לפני שנה, בנובמבר 2009 יצאה הגרסה 1.3.1, שהיא עד היום הגרסה הפופולרית ביותר בקרב קהל הלקוחות של Eleonore Exp. בגרסה התווסף מנגנון שמייעל את הניהול של האתרים הנגועים והסטטיסטיקות שלהם, ומנגנון נוסף שעוזר להסוות את העובדה שאתר מסוים נגוע ע”י הערכה. בחודש מאי השנה זו היתה הגרסה שגם הביאה את הערכה לכותרות בטלויזיה, באינטרנט ובעיתונות הכתובה ברחבי העולם, לאחר שאתרים ששייכים למשרד האוצר של ארה”ב נפרצו והפכו באמצעות הערכה לאמצעי הפצה שמנסה להדביק כל מי שנכנס לאותם אתרים.

האפשרויות החדשות שכלולות בגרסה 1.3.1 עזרו ל”האקרים” שפרצו לאותם אתרים להסוות את הפעילות שלהם בכך שהערכה לא תקפה כתובות של מחשבים שמהם כבר נכנסו לאתר – כך קרה שחוקרי אבטחת מידע של הממשל האמריקאי השתכנעו במשך מספר ימים שאין שום בעיה באתר, משום שהמחשבים שמהם נבדק האתר לא הותקפו. בתרשים הבא ניתן לראות שלב אחרי שלב מה היה קורה כאשר גולש נכנס לאחד מהאתרים הנגועים של משרד האוצר של ארה”ב:

כפי שניתן לראות, בשלב הראשון הגולש “נכנס לסטטיסטיקות” של Eleonore Exp כדי שלאחר מכן ניתן יהיה לבדוק כמה גולשים הודבקו ובאיזה סוג של פירצת אבטחה. לאחר מכן מופנה הגולש לאתר אחר בלא ידיעתו, באמצעות הפניית Iframe שהיא בעצם סוג של “חלון” בתוך האתר שנראה בדיוק כמו האתר המקורי אבל המקור שלו הוא בעצם שרת אחר שמשמש את התוקפים ועליו מותקנת הערכה. מאותו השרת מופעלות סדרה של פקודות שסורקות את המחשב של הגולש שנכנס לאתר ומנסות לחשב איזו פרצת אבטחה תהיה הכי יעילה על מנת לפרוץ למחשב שלו  – בדוגמא שלמעלה החליטה הערכה שיהיה הכי קל להדביק את הגולש באמצעות פרצות אבטחה ב Java.

בדצמבר 2009 שוחררה גרסה 1.3.2 שהוסיפה פרצות אבטחה נוספות שמכוונות לאפליקציות שכבר אז הוכחו כיעילות ביותר בפריצה למחשבים של גולשים – פרצה עדכנית נוספת ל Java ובפעם הראשונה התווספה פרצה למסמכי PDF שעדיין לא היתה מוכרת ולא שוחרר לה טלאי תיקון – zero-day attack. המחיר של הערכה נשאר על 1,000$.

הזווית הישראלית

גם כאן קיימת הזווית הישראלית – עפ”י מספר אתרים שנועדו לדווח על תרמיות והונאות באינטרנט, ישראלי לשעבר בשם אילן משען שירד לפני מספר שנים לארה”ב, ייסד במהלך השנים האחרונות מספר חברות של אחסון אתרים (hosting) שהתמקדו בעיקר באתרי פורנו, הפצת דואר זבל, והונאות למינהן. עיקר התלונות כנגדו מתרכזות דווקא בשירות של אחסון השרתים שהוא מעניק, שגרם נזקים כבדים לחברות רבות שהשתמשו בשירותים שלו. מסתבר שהוא פתח לכאורה מספר חברות על מנת להמשיך ולגלגל את אותו העסק שנתון כבר למספר תביעות בארה”ב. בשנה האחרונה התחילו להתקבל גם דיווחים באתרים שחוקרים וירוסים ואבטחת מידע, שטוענים שהוא מספק גם שירותי אחסון עבור שירותים שונים של ערכת הפריצה Eleonore Exp. כיום מרוכזות כל החברות תחת קורת גג אחת שנקראת QuadraNet.

גרסה 1.4 – מחלה ללא תרופה

במהלך שנת 2010 כבר הגיעה גרסה 1.4 של Eleonore Exp בחודש מרץ, וגרסה 1.4.1 בחודש יוני שכבר עלו 1,200$ והוסיפו עוד פרצות אבטחה עדכניות. הגרסה האחרונה 1.4.4 יצאה בחודש שעבר, וממש לפני שבועיים התגלה ע”י מספר חברות אבטחת מידע שהתווספה לערכה פרצת אבטחה zero-day נוספת בשם הסידורי CVE-2010-3962 שנועדה לפגוע בדפדפן אקספלורר ושעד למועד כתיבת שורות אלה עדיין אין לה טלאי תיקון. רכישה של הערכה עם כל התוספות כולל מקודד לקבצים הזדוניים עולה בימים אלה 1,500$.

בגרסה 1.4.4 כבר ניתן למצוא כ 16 פרצות אבטחה שונות, שידועות בתור פרצות עם אחוזי הצלחה גבוהים במיוחד בחדירה למחשבים. בצילום המסך הבא ניתן לראות סטטיסטיקות מתוך התקנה של הערכה – הסטטיסטיקות מראות שגם אותם גולשים שנוהגים להתגאות בכך שהמערכות שבהן הם משתמשים חסינות לפריצות ואוהבים להגיב למאמרים שלי בתגובות בסגנון “בלינוקס זה לא היה קורה” לא נשארים בחוץ – מדובר במערכות Linux, Mac OS, I-Phone, ואפילו קונסולות המשחקים Playstation ו- Nintendo Wii. מה שמוכיח שלא קיים דבר כזה מערכת בלתי פריצה, אלא רק מערכת שהיא לא מספיק פופולארית כדי שהאקרים ישקיעו זמן לפתח עבורה וירוסים ולאתר בה פרצות אבטחה.

כדי לגן על המחשב מפני התקפות שיכולות לבוא גם מאתרים שנראים אמינים, חשוב להתקין תוכנת אנטי וירוס טובה שיודעת לסרוק בצורה חכמה את תעבורה המידע בגלישה באינטרנט, לעדכן את מערכת ההפעלה והדפדפן, ולא להשאיר את האייקונים שמתריעים על עדכונים ל Adobe Reader ול Java מיותמים בשורת המשימות שבתחתית המסך.

אמיר כרמי

לוחם בווירוסים ופשע מקוון בלילה ופותר למשתמשים בעיות ביום. מומחה אבטחת מידע ורוקר מושבע. מנהל הטכנולוגיות בחברת קומסקיור, הנציגה הבלעדית בישראל של חברת ESET, מפתחת האנטי וירוס ESET NOD32 וחבילת האבטחה ESET Internet Security

הגב

3 תגובות על "ערכות פריצה – Eleonore Exploits Pack"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שחר
Guest

איך בכלל אפשר למכור כזה דבר??איך לא תופסים תהאקרים האלה

miko
Guest

מדאיג ביותר! בנוסף לטיפים של האבטחה בכתבה (אנטיוירוס, עידכונים ופיירוול) נראה לי כבר עדיף להתבנקר ולהצטייד גם בתוסף כמו NoScript שיודע לחסום JAVA ולתת למשתמש את הבחירה אם להפעיל אותו באתר שהוא סומך עליו או לא…

גרי
Guest

חברה שימו לב שכמעט כל מערכות ההפעלה הצליחו להידבק
בנוסף ניתן לשים לב שלא רואים את המערכות ההפעלה הבאות
WINDOWS 2008, WINDOWS 2008R2
שזה אגב מדהים, מי שלא יודע רוב הווירוסים מפתחים כדי לפגוע במערכות הפעלה של מיקרוסופט, למרות שבזמן האחרון ניתן לראות יותר ויותר פגיעות במעכות MAC
שורה תחתונה:
כל הכבוד למיקרוסופט

wpDiscuz

תגיות לכתבה: