CLIENT SIDE ATTACKS ותחנות הקצה בארגון.

client silde attacks

קראקרים ברחבי העולם הבינו מזמן כי הדרך אל האושר עוברת תמיד דרך החוליה החלשה בשרRשרת.

או אם תרצו: KEYLOGGER = 1000 RAINBOW TABELS .

במקום להשקיע שבועות בפענוח נקודות התורפה של FW החברה ,או איזה חור אזוטרי אחר,

פשוט יותר זה לשכנע את יוסי מהכספים ללחוץ על לינק תמים ומשם "הם" כבר יעשו בשבילו את העבודה.

כל זה כמו שאמרתי - חדשות ישנות ואכן חברות משקיעות היום יותר בהגנה על המשתמש הפשוט בחברה .

אבל.. עדיין ניצבות בפני מנהל הרשת בעיות ניהול רבות בתחום לדוגמה:

1. ניהול PATCHS MICROSOFT- תהליך אטיי ומתמשך , היכולת "ליישר קו" מוגבלת וכלי הניהול השונים WSUSE,BIGFIX וכו עושים עבודה בינונית לכל היותר,דרישות ל RESTART והתנגשות עם אפליקציות קיימות IN HOUSE ושאר ירקות. בקיצור,לא נעים לבצע ROLLBACK ל6000 תחנות . מנהל רשת הגיוני יתקין רק את החלק הקריטי של העדכונים במקרה הטוב ,יפסח על עדכוני ה OFFICE ועדכונים "שוליים" אחרים ( REBOOT לעדכון MEDIA PLAYR? השתגעתם?) . גם תהליך הטמעת עדכונים ב IMAGES חדשים של החברה מצריך סט בדיקות ועדכון חודשי -שוב תוצאות בינוניות וחלקיות לכל היותר.
2. עדכוני אפליקציות אחרות- כמה מנהלי רשת מעדכנים את שאר האפליקציות ההכרחיות כיום לגרסה האחרונה? ADOBE,WINZIP וכו -מעט מאד.
3. ניהול חתימות עדכניות לאנטי וירוס.- גם כאן קשה מאד לקבל מיקשה אחד ברחבי הארגון , תחנות ב OFFLINE ,ניידים המתחברים ב VPN פעם בעשור , בעיות רשתיות מול שרת הניהול המרכזי ,שדרוגים הפוגעים ב CLIENT ושורה ארוכה של EXELUDES .גם כאן יסתפק מנהל הרשת ההגיוני ב75% הצלחה.
4. חסימת התקנים ניידים - גם כאן יאלץ מנהל הרשת לפתוח חסימות לאנשי VIP בחברה,צוותים טכניים שונים ושאר מקורבים.
5. personnal filrewall? hips? - קשים מאד לניהול והטמעה ,מיצרים גילויים שגויים (FP) ומכבידים על התחנות ועל העבודה השוטפת של המשתמשים.מנהל הרשת ,גם אם יטמיע פיצ'רים אלה ,תהיה זו ברוב המקרים הטמעה במינימום הקשחה.
6. הקשחת ססמאות,חינוך משתמשים ,הגנה פיזית,הצפנות וכו - גם כאן קיים שיפור כמובן אך הדרך עוד ארוכה.

כמו שאנו רואים - תחום הגנת תחנות הקצה אמנם השתפר אך עדיין ללא ספק לוקה בחסר .התקפות דרך תחנות הקצה בחברה יניבו פירות יפים ובאחוזים גבוהים .

בכל בדיקת חדירות , אני ממליץ לשלב גם client side attacks .

בפוסט הבא אני ידבר על metasploit 3.3 dev והשיפורים ביכולות לבצע התקפות מסוג זה דרכה.

conficker - מניעה-הגנה-גילוי-ניקוי

-קונפיקר בפעולה

...

איטיות כבדה ברשת הפנימית, גישות מוזרות לאינטרנט ושרתים שחדלו מלתת שירות נוrמלי .
טלפונים בהולים מאנשי הסיסטם והתקשורת בזמן ארוחת הצהריים שלי :" עשיתם שינוי בשרת ה AV?","הפצתם איזה משהו?"
אני עונה מיד שלא, ומסיים את הארוחה.
במשרד אני ניגש לבדוק לוגים בשרתי הAV - הכל רגיל,אך אני שם לב למיילים המתריעם על סריקת פורטים בSIM SOC שלנו...הממ משהו מוזר קורה.
בינתיים אנשי הסיסטם כבר מורטים שיערות ואני מנסה להבין את פשר הסריקות המוזרות בתוך הרשת .
מחשבים מנסים לצאת לאינטרנט בפורט 80 ולא דרך הפרוקסי...בעיית ניתוב? תקלה בהגדרות הפרוקסי?
שעה עוברת והתמונה מתחילה להיתבהר ,תמונה עגומה.
מחשבי הארגון סורקים את עצמם ולכיוון סגמטי השרתים בפורט 445 ללא הפסקה ,כל מחשב פותח חיבורים לפי יכולתו
10 - ++1000 ,חגיגה.
הלחץ מגיע לרמות חדשות , עכשיו זה כבר ברור : אני עד להתפרצות חזקה של וירוס ברשת .
אני בודק שוב ושוב את הלוגים מהאנטי וירוסים - נאדה! מה זה!
אנשי הסיסטם כבר מצאו לפחות 10 שמות של וירוסים המתאימים להתנהגות הוירוס ,אבל אף אחד לא מופיע לי על המסך.
אני מתקשר לאחד ממומחי הוירוסים בארץ שתמך בי פעמים רבות בעבר :"מה קורה איש, יש לנו ככה וככה...".
והוא עונה :" כן אני נמצא עכשיו בארגון יותר גדול ממכם, גם כאן המצב דומה , זה כנראה ZERO DAY ATTACK"
-אנחנו צריכים לבא ולקחת ביופסיה ממחשב נגוע ולשלוח לחברת האנטי וירוס שיכתבו לזה חתימה."
מההה! ZERO DAY?

כך למדתי להכיר את וירוס הקונפיקר.

הגנה -מניעה

• התקנת הפאצ' של מיקרוסופט kb958644 המונע את וקטור ההתקפה המרכזי דרכו חודר הקונפיקר לתחנה. - להוריד ולהתקין בהקדם האפשר על כל השרתים והתחנות.

לבדיקה מידית של המצאות ה PATCH על תחנה הריצו:

systeminfo find"KB958644" a

להורדת ה PATCH:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

• ביטול AUTORUN לכל סוגיו בתחנות ובשרתים = עצירת וקטור ההתקפה השני של הוירוס ( הדבקה דרך התקני USB ומדיות נשלפות אחרות).

העתק\הדבק את השורות הבאות לקובץ בסיומת REG. והרץ:

REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"

כמובן לא לשכוח לעדכן GPO :)

• 
  
  
  ביטול שיתופים אדמיניסטרטיביים ככל הניתן ומעבר על שיתופים ברשת תוך צימצום ההרשאות בכל שיתוף. -וקטור ההדבקה השלישי של הקונפיקר הוא באמצעות גישה לשיתופים בכלל ובפרט ל admin$ ,לצערי סעיף זה קשה לביצוע בשל שימוש אפליקטיבי בשיתופים הנ"ל אך ניתן לצמצם את ההרשאות לשיתופים כחלק מפעילות שוטפת של אבטחת מידע. במקרי קיצון של הדבקה מאסיבית ,ניתן להפעיל זמנית פונקציה הקיימת ברוב האנטי וירוסים - make all shares read only (ע"ע מקאפי).



• 
  
  
  הגבלה או מניעת הרשאות לספרית TASKS של windows - וריאנטים מסוימים של הוירוס יוצרים JOB -משימה המפעילה את מנגנון ההדבקה ,סגירת ההרשאות לספריה זו תמנע זאת.



• 
  
  
  יש לדאוג לAV מעודכן בחתימות ובמנוע האחרון ,יש לסרוק את הרשת הארגונית באמצעים נוספים למציאת תחנות ושרתים "סוררים" ללא AV או AV ב DISABLE ו\או מגון תקלות אחרוות.

גילוי:

• הקונפיקר משתמש במנגנון סריקה והדבקה די רעשניים אשר ניתן לזיהוי בקלות ע"י IPS או HIPS ,עומס ברשת יורגש בעיקר בפורטים 445 ו 139 וכן גישת מחשבים ושרתים לאינטרנט.



• GMER - כלי לבדיקת ROOTKITS והזרקת DLL לservices לגיטימיים של וינדוס - הקונפיקר מזריק את עצמו (DLL) ל svchost ,הכלי מזהה ומציג ( באדום) את השירות הנגוע ואת שם ה DLL הרלונטי , הוא מאפשר גם הסרה של ה DLL אך מנסיון הפעולה גוררת ברוב המקרים מסך כחול.



• tasklist /svc ----חיפוש פרוססים הרצים תחת scvhost וזיהוי פרוססמים בשמות מוזרים או לא מוכרים

svchost.exe 1068 AudioSrv, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, HidServ, lanmanserver,lanmanworkstation, Netman, Nla, RasMan,Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv,Themes, TrkWks, W32Time, winmgmt, wscsvc,ddfr , wuauserv, WZCSVC

• 
  
  
  McAfee Conficker Detection Tool - כלי חינמי שיצא יחסית לאחרונה הסורק תחנות ורשתות למציאת מחשבים נגועים בקונפיקר , הכלי יודע לזהות (finger print) תחנות נגועות ללא צורך בהזדהות

הסרה :

במידה והAV מזהה ,גם אם האינדיקציה היא : removed או deleted , אני ממליץ לבצע REBOOT בכדי לאפשר ל AV להסיר שיירים בזיכרון.

שיהיה בהצלחה.