משתמשי קצה - החוליה החלשה
TRANSCRIPT
![Page 1: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/1.jpg)
www.clearsky.co.il
משתמשי קצה
החוליה -
החלשהOmri Moyal - Red Team and Research Leader ClearSky
![Page 2: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/2.jpg)
www.clearsky.com
clearsky
![Page 3: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/3.jpg)
www.clearsky.co.il
ClearSkyייעוץ ופתרונות למרחב הסייבר
מתודולוגיה ואסטרטגיה•
מחקר ומודיעין•
הטמעה ופיתוח•
![Page 4: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/4.jpg)
Overview
![Page 5: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/5.jpg)
www.clearsky.co.il
כללי
מנצלות חולשות מרבית תקיפות הסייבר המודרניות •
אצל המשתמשים ותחנות קצה
וערכימידע רגיש עשויות להוביל להשגת •
סיבה עיקרית לשינוי היא השיפור במערכי האבטחה •
בארגונים ושיפור שיטות ההגנה ופיתוח מאובטח
![Page 6: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/6.jpg)
www.clearsky.co.il
חדירה לנכסים ארגוניים הפכה קשה יותר
forensics כתיבת קוד מאובטח
הקשחת מערכות ובדיקות
קונפיגורציה
מערכות שליטה ובקרה
צוותי אבטחה כלי ניטורובודקי חדירות
![Page 7: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/7.jpg)
www.clearsky.co.il
?למה לתקוף את משתמשי הקצה
הודעה או אתר לגיטימי קושי להבחין בין •
לזדוני
תוכנות ומערכות הפעלה לא מעודכנות•
דיפולטיביותהגדרות מערכת •
תוכנות צד שלישי•
אחסון מידע רגיש בצורה לא מאובטחת •
מחזור סיסמאות •
שימוש בסיסמאות חלשות•
(אם בכלל)זמן ארוך לגילוי תקיפה •
![Page 8: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/8.jpg)
www.clearsky.co.il
משל האריההאריה אינו מנסה לטרוף . ונגל'גורמים זדונים מתנהגים בצורה דומה לאריה בג
.חיות יותר חזקות ממנו אלא תוקף חיות חלשות ופגיעות
.מחפשים את נקודות החדירה הקלה והמהירה ביותר-כך גם תוקפים
![Page 9: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/9.jpg)
www.clearsky.co.il
ובמידע פיננסי, בפגיעויות, סחר בכלי תקיפה: יעדי גורמי פשיעה
![Page 10: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/10.jpg)
www.clearsky.co.il
איך זה עובד
botnets :500$-10,000$כלי תקיפה וניהול •
שיתוף פעולה בין התוקפים•
לאנונימיותBITCOINSשימוש ב •
בקרה ותמחור, אמצעי דירוג: שירות לקוחות•
![Page 11: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/11.jpg)
www.clearsky.co.il
דוגמהבחודשים האחרונים מפתחים רבים בפורומים רוסים מנסים לעקוף את תוכנת •
Rapport שלTrusteer
$ 1500במחיר anti-Rapportלאוקטובר הוצע למכירה 6-ב•
.עבר בדיקה מקיפה של חברי הפורום והוגדר כמוצלח ביותר•
![Page 12: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/12.jpg)
www.clearsky.co.il
?מה היא מתקפת משתמש קצה
Client-side attacks
תוכנות ואפליקציות בשימוש יומיומי , תקיפה המתמקדת בתחנות קצה
.מאגרי מידע וכדומה, נתבים, בתשתית הארגונית הכוללת שרתיםולא
תוכנות בשימוש משרדי•
דפדפנים•
נגני מדיה•
העברת מסרים•
תוכנות נוספות•
![Page 13: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/13.jpg)
www.clearsky.co.il
ערוצי תקיפה
קישורים לאתרים זדוניים•
doc ,pptאך בעלי קוד זדוני כגון כלגיטימיםקבצים הנראים • ,pdf
בקשות להתחברות לשירותים וגניבת הרשאות•
ניצול פגיעויות בדפדפנים ותוספי צד שלישי•
CSRFו XSS-שימוש בקוד זדוני בקישורים או הטמעתו באתרים •
JavaScriptהורדת קבצים והרצתם דרך •
man-in-the-middleמסוג חטיפת רשתות אלחוטיות וביצוע מתקפות •
לגניבת מידעkeyloggersהתקנת חומרה על מחשבים כגון •
disc on keyהעברת קבצים זדוניים באמצעות •
![Page 14: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/14.jpg)
www.clearsky.co.il
Phishing email
![Page 15: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/15.jpg)
www.clearsky.co.il
Phishing email
<a href=“http://hidden.malicious.site.com/index.html"> eStatment</a>
![Page 16: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/16.jpg)
www.clearsky.co.il
?איך נמנעיםאימון ותרגול של המשתמשים•
מכניסה לשירותים חשובים דרך קישורים הימנעות •
באתרים ומייל
•two factor authentication
בערוץ )בדיקת אמינות דרך יצירת קשר עם השולח •
!(נפרד
שימוש בשירותי אינטרנט כגון •
urlquery.net לבדיקה חיצונית של
.הקישורים
![Page 17: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/17.jpg)
www.clearsky.co.il
https://urlquery.net
. שירות אינטרנטי חינמי לניתוח ואנליזה של קישורים ואתרים
מטרת האתר היא לעזור לתעשיית האבטחה באיתור אתרים וחומר זדוני באינטרנט
![Page 18: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/18.jpg)
www.clearsky.co.il
![Page 19: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/19.jpg)
www.clearsky.co.il
Malicious pdf file
![Page 20: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/20.jpg)
www.clearsky.co.il
(לגיטימי)קובץ נקי
קוד זדוניCVE-2009-4324
CVE-2009-4324
![Page 21: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/21.jpg)
www.clearsky.co.il
קובץ נקי
PDFiD.py כלי לניתוח קבציpdf
קובץ זדוני
![Page 22: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/22.jpg)
www.clearsky.co.il
![Page 23: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/23.jpg)
![Page 24: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/24.jpg)
![Page 25: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/25.jpg)
www.clearsky.co.il
הימים האחרונים30-בAdobe-התפלגות תקיפות באמצעות
malwaretracker.com/pdfthreat.php
![Page 26: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/26.jpg)
www.clearsky.co.il
Black hole exploit kit
CVE slangProduct /
typeExploit Description
CVE-2006-0003 mdac IE 6 MS IE _MS06-014 f or lE6/Microsof t Data Access
Components (MDAC) Remote Code Execution
CVE-2010-0188 PDF Libtiff / Lib PDF < 9.3.1 ADOBE PDF Exploit - LibTif f Integer Ov erf low
CVE-2012-0507 Java Atomic Java 6u30,
7u2
JAVA _ AtomicRef erenceArray
CVE-2012-1723 Java Byte / verifier Java 6u32,
7u4
JAVA Remote Code Execution
CVE-2012-4681 Java Gondvv /
Gondzz
IE 6-9 JAVA _craf ted applet that by passes
Security Manager restrictions
CVE-2012-5076 JAX-WS <Java 7u8 JAVA Arbitrary Code Execution
CVE-2013-0422 < Java 7u11 JAVA: JMB/MBEAN and Ref lection API allow a
craf ted applet to by pass Security Manager
restrictions
CVE-2013-0431 Java 7u11 JAVA: abuses the JMX classes f rom a Jav a Applet
to run arbitrary Jav a code outside of the sandbox
.ערכת תקיפה נפוצה במיוחד מבוססת ווב•
PDF-וJava Environemts,בדפדפניםפגיעויותמנצלת •)!(רישיון או שירות ענן : מכירה•.יוצר ומפיץ ערכת התקיפה, Paunchנעצר2013באוקטובר •
contagiodump.blogspot.co.il/2010/06/overview-of-exploit-packs-update.html
![Page 27: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/27.jpg)
www.clearsky.co.il
BlackHole exploit kitJava 7 Applet Remote Code Execution - CVE-2013-2423
Malicious site
![Page 28: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/28.jpg)
www.clearsky.co.il
BlackHole exploit kit:Java 7 Applet Remote Code Execution - CVE-2013-2423
![Page 29: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/29.jpg)
www.clearsky.co.il
registration.caselogic.co.il
Caselogicהישראלית שאתר הרישום של Defconבנובמבר דיווח חבר בקבוצת 3-ב
Anonghostהישראלי נפרץ על ידי
![Page 30: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/30.jpg)
www.clearsky.co.il
( Malware drive-by)אווה סקריפט וקובץ זדוני 'התוקף העלה לאתר ג
:על המתחברים לאתרRAT/Bot agentלהתקנת
![Page 31: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/31.jpg)
www.clearsky.co.il
![Page 32: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/32.jpg)
![Page 33: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/33.jpg)
![Page 34: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/34.jpg)
www.clearsky.co.il
FallaGa Rat v1.2
![Page 35: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/35.jpg)
www.clearsky.co.il
השלכות
שליטה מלאה על המחשב המותקף•
-וbackdoor ,RATהתקנת •
Trojans
דריסת רגל ברשת הארגונית•
(RansomWare)התקנת תוכנות כופר •
DDOSיצירת תשתית למתקפות •
![Page 36: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/36.jpg)
www.clearsky.co.il
![Page 37: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/37.jpg)
www.clearsky.co.il
![Page 38: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/38.jpg)
www.clearsky.co.il
![Page 39: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/39.jpg)
www.clearsky.co.il
![Page 40: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/40.jpg)
www.clearsky.co.il
?איך מתגוננים!! לעדכן ושוב פעם לעדכן, לעדכן•
( ולעדכן)התקנת תוכנות אנטי וירוס •
!אם יש ספק אז אין ספק•
הימנעות מפתיחת קבצים ממקורות לא •
מוכרים
העלאת קבצים נתונים בספק לשירותי •
,virustoalsאנאליזה כגון
sophos ולמתקדמים יותרanubis
הקשחת הגדרות מערכת•
•Urlqueryדיברנו?
![Page 41: משתמשי קצה - החוליה החלשה](https://reader031.vdocuments.site/reader031/viewer/2022011722/58efbb961a28ab11728b4591/html5/thumbnails/41.jpg)
www.clearsky.co.il
שירות אינטרנטי חינמי להעלאה וסקירה של קבצים זדוניים