המאמר נכתב על ידי ניצן סדן, ראש חטיבת סיכונים מודיעיניים ב-Cymmetria

יולי האחרון היה חודש רע מאוד עבור ספקית כלי הריגול השנוי במחלוקת Hackgin Team. החברה, אשר מכרה כלי למעקב ברשתות נפרצה, וכל הסודות שלה נחשפו. הפורץ שמאחורי הדברים, המכנה את עצמו Phineas Fisher, סיפר לעולם בהודעת Pastebin בדיוק כיצד הצליח לבצע את הפריצה כשהוא מפרט את הכלים, הטקטיקות והתהליכים. בכך הוא/היא העניק לתעשיית האבטחה הצצה נדירה אל תוך תהליך קבלת ההחלטות של התוקף.

הכלים בהם  עשה שימוש נפוצים יחסית בקרב עברייני סייבר מיומנים, ורבים מהם עושים שימוש בשיטות דומות לגניבת נתונים. נעמיד את דרך הפעולה של Phineas Fisher אל מול טקטיקה של הגנה באמצעות הונאה רב שכבתית – ונוכל לראות האם היה ניתן לשטות בו ולעצור אותו. כל המלכודות המפורטות בהמשך יכולות להיות מבוצעות באופן ידני, בין אם באמצעות קוד פתוח או פתרונות ייעודיים.

ניצן סדן, Cymmetria

 הסטת הגישה הראשונית

Phineas Fisher אסף מידע ראשוני אודות הרשת של המטרה שלו באמצעות כלים בסיסיים. הוא השתמש ב- Fierce, theHarvester ו- andrecon-ng כדי למצוא את הסאבדומיינים של החברה, אותם הוא אימת באמצעות Whois.com. לאחר מכן הוא השתמש ב- Zmap, Masscan, WhatWeb ו- BlindElepant כדי לבצע סריקות Nmap, בידיעה כי ה- IDS  של Hacking Team לא יהווה בעיה מאחר ואתרים הפתוחים לרשת אינם נסרקים כל הזמן.

חשוב לציין כי הכלים ששימשו את ההאקר הם אוטומטיים, ואינם יכולים לגלות את ההבדל בין מטרה אמיתית למזויפת.

טכניקה הונאה: ההאקר בנקודה זה רק מרחרח את דרכו אל תוך החברה. לכן, האחראי על הגנת הרשת יכול היה להציב בפניו אתר הניתן לפריצה: פתיון שנוצר כדי להיראות כגרסה ישנה של אתר החברה ואשר ממוקם בטווח הרלוונטי של כתובות IP, כאשר הוא מפנה מבקרים אל האתר האמיתי. הכלים של Phineas Fisher יציגו את לו הפיתיון כנקודת פריצה, והוא יצעד אל תוך המלכודת. עצירה של התוקף בטרם ההתקפה על הרשת היא בהכרח התוצאה הטובה ביותר, מכיוון שהיא מונעת חשיפה של מידע שאינו פתוח לציבור.

פיתיון במהלך חדירה לרשת 

Phineas Fisher הזכיר מספר אפשרויות כניסה, כולל רכישה של גישה אל מכונה קיימת שנפרצה באמצעות שוק לכלי פריצה, או פישינג ממוקד – הערוץ המועדף על תוקפים "מתקדמים". בפועל, Phineas בחר דרך אחרת פנימה: דרך פרצת יום אפס עבור מערכת שלא נחשפה (נתב, VPN או מסנן ספאם). ברגע שהוא ביצע נחיתה ברשת, ההאקר למד את הרשת של המטרה באמצעות סריקות Nmap ו- Respnder.py, כלי חינמי לניצול פרצות בהגדרות רשת נפוצות. Phineas שמר על הסריקות של איטיות, כדי להקטין את הסיכון לזיהוי. הוא מצא שני שרתי MongoDB, אשר שימשו לבדיקות, ושרת עם גיבויי VM – שחלקו היו  שרתי אקסצ'יינג' שהכילו דואר אלקטרוני. Phineas פשוט גנב את הכונן הקשיח של ה- VM, המלא בקבצי החברה.

טכניקה הונאה: בשלב זה, התוקף חשף את עצמו למספר מלכודות, שכולן היו יכולות לזהות אותו:

• שרתי קבצים ו- DB: אלה היו יכולים למשוך את התוקף בקלות. הוא היה מוצא את אלה במהלך חיפושו אחר אפשרויות לתנועה רוחבית. שימוש בסוגים אלה של קבצים לתנועה רוחבית הוא למעשה ה- MO של התוקף. אם הפיתיון היה שרת MongoDB נוסף עם אותו ייעוד, התוקף היה מאתר אותו בסריקה שלו כפי שזיהה את השרתים האמיתיים, מגיע אליו ונחשף.
• שרתי גיבוי: שרתי גיבוי נחשבים לגורם משיכה עבור התוקפים, ומכוונים אליהם במטרה למצוא נתונים זמינים. פיתיון שהיה מייצג שרת גיבוי ישן (עם שם אשר מייצג שנה מסוימת או שם פרויקט, לדוגמא Project_vulcan2008-draft) היה מפיל את התוקף. הוא היה מנסה לראות אם נשמרו בשרת סיסמאות רלוונטיות, תיקיות משותפות או נתונים, ונלכד.
• שרת ShaerPoint: בתור בנק הידע של החברה, שרת זה חייב להיות זמין עבור מחלקות רבות בארגון. התוקף, אשר מחפש אחר מידע רגיש, יכול להתייחס לשרת זה כצעד נוסף לפריצה. הוא יתפתה להציץ בו, במטרה למצוא פרויקטים רלוונטים או נכסים ארגוניים אחרים כדי למקד בהם את הפעילות שלו, ולהפחית בכך הסיכון לחשיפה כתוצאה משיטוט ברשת.

אדמין של גיבוי ודומיינים כפיתיון

בשלב הבא, Phineas הרחיב את ההרשאות שלו: הוא השתמש ב- LASdump כדי לסרוק את הלוגים של שרת הגיבוי, ואיתר סיסמא פעילה לשירות של בלקברי. לאחר הרחבת הרשאות שלו על מכונה זו הוא היה מסוגל להשיג סיסמאות נוספות – שאחת מהן הייתה של מנהל דומיין.

במהלך חיפוש אחר נתוני חברה רגישים, Phineas גילה את ה- Revision Control System ( RCS) של החברה. עם זאת, היא הייתה על רשת נפרדת שלא הייתה לו גישה אליה. במטרה להשיג גישה הוא ניסה להרחיב את ההרשאות שלו לרמת מנהל מערכת באמצעות חיפוש הרשאות השייכות לבכיר מסוים ב- Hacking Team. ההאקר העריך כי למשתמש זה יהיו הרשאות אדמין מערכת וגישה לסודות הרגישים ביותר של החברה.

שיטת הונאה: בשלב זה, Phineas לא ממש מתחבא. הוא לא מריץ סריקות, אלא פשוט משתמש בחשבון הפרוץ כדי לנוע ברחבי הרשת כמשתמש מן המניין. בכך הוא חשוף במיוחד למרכיבי הונאה המפוזרים ברחבי הרשת. אותם פתיונות שהזכרתי לעיל יכולים להיות אפקטיביים. בשלב הקודם, התוקף היה פגיע כשחיפש אחר הרשאות יעילות כדי לחפש מידע ברשת. כעת יש לו את הרשאות, וסביר יותר להניח שיבלע את פתיון כאשר הוא מחפש אחר המטרות הסופיות שלו. בנוסף, מאחר וה- MO של תוקפים מתקדמים רבים כולל איתור ופריצה של מכונות אדמין מערכת או הרשאות, מגן חכם יכול ליצור מכונת אדמין מערכת כפיתיון – עם שירותי RDP ו- SSH כפיתיון משלים. מכונה שכזו יכולה להתחבר לפתיונוות אחרים (אם פלטפורמת ההונאה תומכת בכך), במטרה להציג לתוקף משטח התקיף רציף.

היהלום שבכתר

בסופו של דבר, Phineas התחבר למחשב של החבר הבכיר ב- Hacking Team כמנהל דומיין, והריץ תהליך WMI שאפשר לו להתקין Keylogger. לאחר מכן, הוא השיג את הסיסמא הנדרשת ומינף את ההרשאות שלו לרמת Sysadmin. משם, הדרך הייתה פתוחה לפריצת RCS של Hacking Team ושל קוד המקור.

בשלב זה לתוקף היה כל מה שנדרש כדי להשיג את מה שחיפש מבלי לדאוג לגבי IDS או אמצעי אבטחת מידע אחרים. ברגע שתוקף נכנס לרשת הפנימית בה מערכת ה- RCS ממוקמת, הוא רואה בכל דבר נכס חיוני של החברה. זה, אחרי הכל, הרכיב המוגן ביותר בו הוא נתקל במהלך פעילותו ברשת.

שיטת הונאה: בשלב מאוחר זה בתהליך הפריצה, הונאה היא בערך הסוג היחיד של רכיב אבטחה אשר עדיין יכול לזהות וליירט את התוקף. פיתיון המחקה את שרת בסיס הנתונים בתוך הרשת – בדיוק ליד ה- RCS  – יכול היה לגרום לתוקף לחשוף את קלפיו. בהינתן הנזק שכבר נגרב בשלב זה, לארגון הקורבן היה מקבל לפחות התראה לגבי הפריצה והוא יכול להתחיל לחקור, לחסום גישה ולבצע בקרת נזקים.

מסקנה

אנו יכולים לראות כי תוכנית הונאה רב שכבתית הייתה יכולה למנוע את הפריצה ב- Hacking Team. היא גם יכולה להפחית את הסיכוי לגניבת נתונים מוצלחת בארגונים אחרים. אפילו אם התוקפים משתמשים במכונות פרוצות קיימות או באפיק של פישינג ממוקד, הפיתיון המתאים עדיין יכול להוות כמלכודת דבש ולחשוף אותם.

(מקור תמונה: ShutterStock)

 יולי האחרון היה חודש רע מאוד עבור ספקית כלי הריגול השנוי במחלוקת Hackgin Team. החברה, אשר מכרה כלי למעקב ברשתות נפרצה, וכל הסודות שלה נחשפו. הפורץ שמאחורי הדברים, המכנה את עצמו Phineas Fisher, סיפר לעולם בהודעת Pastebin בדיוק כיצד הצליח לבצע את הפריצה כשהוא מפרט את הכלים, הטקטיקות והתהליכים. בכך הוא/היא העניק לתעשיית האבטחה הצצה נדירה אל תוך תהליך קבלת ההחלטות של התוקף.

הכלים בהם  עשה שימוש נפוצים יחסית בקרב עברייני סייבר מיומנים, ורבים מהם עושים שימוש בשיטות דומות לגניבת נתונים. נעמיד את דרך הפעולה של Phineas Fisher אל מול טקטיקה של הגנה באמצעות הונאה רב שכבתית – ונוכל לראות האם היה ניתן לשטות בו ולעצור אותו. כל המלכודות המפורטות בהמשך יכולות להיות מבוצעות באופן ידני, בין אם באמצעות קוד פתוח או פתרונות ייעודיים.

הסטת הגישה הראשונית

Phineas Fisher אסף מידע ראשוני אודות הרשת של המטרה שלו באמצעות כלים בסיסיים. הוא השתמש ב- Fierce, theHarvester ו- andrecon-ng כדי למצוא את הסאבדומיינים של החברה, אותם הוא אימת באמצעות Whois.com. לאחר מכן הוא השתמש ב- Zmap, Masscan, WhatWeb ו- BlindElepant כדי לבצע סריקות Nmap, בידיעה כי ה- IDS  של Hacking Team לא יהווה בעיה מאחר ואתרים הפתוחים לרשת אינם נסרקים כל הזמן.

חשוב לציין כי הכלים ששימשו את ההאקר הם אוטומטיים, ואינם יכולים לגלות את ההבדל בין מטרה אמיתית למזויפת.

טכניקה הונאה: ההאקר בנקודה זה רק מרחרח את דרכו אל תוך החברה. לכן, האחראי על הגנת הרשת יכול היה להציב בפניו אתר הניתן לפריצה: פתיון שנוצר כדי להיראות כגרסה ישנה של אתר החברה ואשר ממוקם בטווח הרלוונטי של כתובות IP, כאשר הוא מפנה מבקרים אל האתר האמיתי. הכלים של Phineas Fisher יציגו את לו הפיתיון כנקודת פריצה, והוא יצעד אל תוך המלכודת. עצירה של התוקף בטרם ההתקפה על הרשת היא בהכרח התוצאה הטובה ביותר, מכיוון שהיא מונעת חשיפה של מידע שאינו פתוח לציבור.

פיתיון במהלך חדירה לרשת

Phineas Fisher הזכיר מספר אפשרויות כניסה, כולל רכישה של גישה אל מכונה קיימת שנפרצה באמצעות שוק לכלי פריצה, או פישינג ממוקד – הערוץ המועדף על תוקפים "מתקדמים". בפועל, Phineas בחר דרך אחרת פנימה: דרך פרצת יום אפס עבור מערכת שלא נחשפה (נתב, VPN או מסנן ספאם). ברגע שהוא ביצע נחיתה ברשת, ההאקר למד את הרשת של המטרה באמצעות סריקות Nmap ו- Respnder.py, כלי חינמי לניצול פרצות בהגדרות רשת נפוצות. Phineas שמר על הסריקות של איטיות, כדי להקטין את הסיכון לזיהוי. הוא מצא שני שרתי MongoDB, אשר שימשו לבדיקות, ושרת עם גיבויי VM – שחלקו היו  שרתי אקסצ'יינג' שהכילו דואר אלקטרוני. Phineas פשוט גנב את הכונן הקשיח של ה- VM, המלא בקבצי החברה.

טכניקה הונאה: בשלב זה, התוקף חשף את עצמו למספר מלכודות, שכולן היו יכולות לזהות אותו:

• שרתי קבצים ו- DB: אלה היו יכולים למשוך את התוקף בקלות. הוא היה מוצא את אלה במהלך חיפושו אחר אפשרויות לתנועה רוחבית. שימוש בסוגים אלה של קבצים לתנועה רוחבית הוא למעשה ה- MO של התוקף. אם הפיתיון היה שרת MongoDB נוסף עם אותו ייעוד, התוקף היה מאתר אותו בסריקה שלו כפי שזיהה את השרתים האמיתיים, מגיע אליו ונחשף.
• שרתי גיבוי: שרתי גיבוי נחשבים לגורם משיכה עבור התוקפים, ומכוונים אליהם במטרה למצוא נתונים זמינים. פיתיון שהיה מייצג שרת גיבוי ישן (עם שם אשר מייצג שנה מסוימת או שם פרויקט, לדוגמא Project_vulcan2008-draft) היה מפיל את התוקף. הוא היה מנסה לראות אם נשמרו בשרת סיסמאות רלוונטיות, תיקיות משותפות או נתונים, ונלכד.
• שרת ShaerPoint: בתור בנק הידע של החברה, שרת זה חייב להיות זמין עבור מחלקות רבות בארגון. התוקף, אשר מחפש אחר מידע רגיש, יכול להתייחס לשרת זה כצעד נוסף לפריצה. הוא יתפתה להציץ בו, במטרה למצוא פרויקטים רלוונטים או נכסים ארגוניים אחרים כדי למקד בהם את הפעילות שלו, ולהפחית בכך הסיכון לחשיפה כתוצאה משיטוט ברשת.

אדמין של גיבוי ודומיינים כפיתיון

בשלב הבא, Phineas הרחיב את ההרשאות שלו: הוא השתמש ב- LASdump כדי לסרוק את הלוגים של שרת הגיבוי, ואיתר סיסמא פעילה לשירות של בלקברי. לאחר הרחבת הרשאות שלו על מכונה זו הוא היה מסוגל להשיג סיסמאות נוספות – שאחת מהן הייתה של מנהל דומיין.

במהלך חיפוש אחר נתוני חברה רגישים, Phineas גילה את ה- Revision Control System ( RCS) של החברה. עם זאת, היא הייתה על רשת נפרדת שלא הייתה לו גישה אליה. במטרה להשיג גישה הוא ניסה להרחיב את ההרשאות שלו לרמת מנהל מערכת באמצעות חיפוש הרשאות השייכות לבכיר מסוים ב- Hacking Team. ההאקר העריך כי למשתמש זה יהיו הרשאות אדמין מערכת וגישה לסודות הרגישים ביותר של החברה.

שיטת הונאה: בשלב זה, Phineas לא ממש מתחבא. הוא לא מריץ סריקות, אלא פשוט משתמש בחשבון הפרוץ כדי לנוע ברחבי הרשת כמשתמש מן המניין. בכך הוא חשוף במיוחד למרכיבי הונאה המפוזרים ברחבי הרשת. אותם פתיונות שהזכרתי לעיל יכולים להיות אפקטיביים. בשלב הקודם, התוקף היה פגיע כשחיפש אחר הרשאות יעילות כדי לחפש מידע ברשת. כעת יש לו את הרשאות, וסביר יותר להניח שיבלע את פתיון כאשר הוא מחפש אחר המטרות הסופיות שלו. בנוסף, מאחר וה- MO של תוקפים מתקדמים רבים כולל איתור ופריצה של מכונות אדמין מערכת או הרשאות, מגן חכם יכול ליצור מכונת אדמין מערכת כפיתיון – עם שירותי RDP ו- SSH כפיתיון משלים. מכונה שכזו יכולה להתחבר לפתיונוות אחרים (אם פלטפורמת ההונאה תומכת בכך), במטרה להציג לתוקף משטח התקיף רציף.

היהלום שבכתר

 בסופו של דבר, Phineas התחבר למחשב של החבר הבכיר ב- Hacking Team כמנהל דומיין, והריץ תהליך WMI שאפשר לו להתקין Keylogger. לאחר מכן, הוא השיג את הסיסמא הנדרשת ומינף את ההרשאות שלו לרמת Sysadmin. משם, הדרך הייתה פתוחה לפריצת RCS של Hacking Team ושל קוד המקור.

בשלב זה לתוקף היה כל מה שנדרש כדי להשיג את מה שחיפש מבלי לדאוג לגבי IDS או אמצעי אבטחת מידע אחרים. ברגע שתוקף נכנס לרשת הפנימית בה מערכת ה- RCS ממוקמת, הוא רואה בכל דבר נכס חיוני של החברה. זה, אחרי הכל, הרכיב המוגן ביותר בו הוא נתקל במהלך פעילותו ברשת.

שיטת הונאה: בשלב מאוחר זה בתהליך הפריצה, הונאה היא בערך הסוג היחיד של רכיב אבטחה אשר עדיין יכול לזהות וליירט את התוקף. פיתיון המחקה את שרת בסיס הנתונים בתוך הרשת – בדיוק ליד ה- RCS  – יכול היה לגרום לתוקף לחשוף את קלפיו. בהינתן הנזק שכבר נגרב בשלב זה, לארגון הקורבן היה מקבל לפחות התראה לגבי הפריצה והוא יכול להתחיל לחקור, לחסום גישה ולבצע בקרת נזקים.

מסקנה

אנו יכולים לראות כי תוכנית הונאה רב שכבתית הייתה יכולה למנוע את הפריצה ב- Hacking Team. היא גם יכולה להפחית את הסיכוי לגניבת נתונים מוצלחת בארגונים אחרים. אפילו אם התוקפים משתמשים במכונות פרוצות קיימות או באפיק של פישינג ממוקד, הפיתיון המתאים עדיין יכול להוות כמלכודת דבש ולחשוף אותם.

ניצן סדן הוא ראש