היעד של סטאקסנט - files.dc9723.org Coming Soon!

Report
‫אמיר טטלבאום‬
‫‪‬‬
‫מייסד חברת סייבריה‬
‫‪‬‬
‫חוקר חולשות ‪ Malware‬מגמות וגופים שונים בעולם הסייבר‬
‫‪‬‬
‫מרצה בקורסי‬
‫‪ Hacking Defined Expert‬ו ‪Cyber Warfare Defence‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪ ~131072‬מחשבים נגועים‬
‫‪ ~65536‬מחשבים באיראן‬
‫‪ ~32768‬מחשבים שאיראן אישרה שנדבקו‬
‫‪ ~1024‬צנטריפוגות הרוסות‬
‫‪ 8‬שיטות התפשטות שונות‬
‫‪ 4‬פגיעויות לא מוכרות (‪)0-Day‬‬
‫‪ 2‬חתימות דיגיטליות גנובות‬
‫‪ 2‬ב‪ ,10 -‬רק היום !‬
‫‪‬‬
‫‪‬‬
‫שוק הפגיעויות פורח‪ ,‬יותר ויותר חוקרים מתפרנסים‬
‫ממנו כמקור הכנסה ראשון‬
‫הפגיעויות בסטאקסנט שוות בשוק מעל ‪$500000‬‬
‫‪30/9/2010‬‬
‫סימנטק משחררת‬
‫את דו"ח הניתוח‬
‫‪17/7/2010‬‬
‫סטאקסנט מופיעה‬
‫עם חתימה חדשה‬
‫של ‪JMicron‬‬
‫‪22/7/2010‬‬
‫‪ Verisign‬שוללת‬
‫את החתימה השניה‬
‫של סטאקסנט‬
‫‪16/7/2010‬‬
‫מיקרוסופט מודיעה‬
‫על חולשת ‪LNK‬‬
‫‪ Verisign‬שוללת‬
‫את החתימה של‬
‫‪Realtek‬‬
‫‪14/7/2010‬‬
‫גרסאת סטאקסנט‬
‫חדשה נבנית עם‬
‫חתימת ‪JMicron‬‬
‫‪13/7/2010‬‬
‫סימנטק חותמת‬
‫על סטאקסנט‬
‫‪06/2009‬‬
‫סטאקסנט‬
‫מופיעה לראשונה‬
‫‪17/06/2010‬‬
‫‪VirusBlokAda‬‬
‫מגלה את סטאקסנט‬
‫‪‬‬
‫פצצת סייבר‬
‫‪‬‬
‫אוטונומי לחלוטין‬
‫◦ מכיל את כל תהליך התקיפה ב‪ Payload‬בודד‬
‫◦ מתקשר עם ‪ 2‬שרתי ‪ C&C‬בלבד‬
‫◦ מתקשר בסביבת ‪ LAN‬בעזרת ‪P2P‬‬
‫‪‬‬
‫גנרי לחלוטין‬
‫◦ לא איראן ולא שום יעד מוגדר אחר מופיעים בקוד‬
‫◦ השפעה על רכיבי ‪ PLC‬שהם ממירי תדר‬
‫‪ ‬אין קשר לגרעין ! בטח ובטח לא לצנטריפוגות‬
‫‪‬‬
‫חמקמק‪ ,‬אך במידה‬
‫◦ שימוש בחתימות דיגיטליות גנובות ע"מ להתחמק מאנטי‪-‬וירוסים‬
‫◦ שימוש ב‪ Rootkit -‬להסתרה של הקבצים שלו‬
‫◦ לעומת זאת – הקוד אינו מוצפן‪ ,‬ללא יכולות ‪Anti-debugging‬‬
‫‪‬‬
‫לא עושה נזק למחשב‬
‫‪‬‬
‫לא מוציא חומר מהארגון הנתקף‬
‫‪‬‬
‫שימוש בחתימות דיגיטליות גנובות‬
‫‪‬‬
‫שימוש בחולשות לא מוכרות‬
‫‪‬‬
‫מנגנוני בלימה‬
‫◦ תקשורת עם שרתי ‪ C&C‬שמאפשרת קבלת פקודת התאבדות‬
‫◦ הגבלת הדבקה באמצעות ‪ DOK‬למקסימום ‪ 3‬דילוגים‬
‫◦ תאריך ‪24/06/2012 – Deadline‬‬
‫‪‬‬
‫החדרה באזור גיאוגרפי ספציפי‬
‫‪‬‬
‫‪‬‬
‫סטאקסנט מציגה מספר חסר תקדים של ‪ 4‬חולשות ‪0-Day‬‬
‫◦ ‪ – MS10-046‬חולשה בקבצי ‪ ,LNK‬משמשת להתפשטות ב‪DOK‬‬
‫◦ ‪ – MS10-061‬חולשה ב‪ ,Print Spooler‬משמשת להתפשטות ברשת‬
‫◦ ‪ – MS10-073‬חולשה ב‪ ,Keyboard Layout‬משמשת ל‪PE‬‬
‫◦ ‪ – MS10-092‬חולשה ב‪ ,Task Scheduler‬משמשת ל‪PE‬‬
‫‪ 2‬חתימות דיגיטליות גנובות‬
‫◦ ‪Realtek Semiconductor Corps‬‬
‫◦ ‪JMicron Technology Corps‬‬
‫‪‬‬
‫באג דיזיין בקבצי ‪LNK‬‬
‫‪‬‬
‫קבצי ‪ LNK‬יכולים להצביע לקבצי ‪( CPL‬שהם ‪DLL‬ים)‬
‫‪‬‬
‫הקוד הפגיע מנסה לטעון אייקונים מתוך קבצי ה‪CPL‬‬
‫‪‬‬
‫טעינת קבצי ה‪ CPL‬לטובת חיפוש האייקון מריצה את ה‪CPL‬‬
‫‪‬‬
‫קורה בכל פעם שמסתכלים על תיקיה‬
‫‪‬‬
‫חולשה ב‪Print Spooler Service -‬‬
‫‪‬‬
‫מאפשרת "הדפסה" מרחוק של קובץ‬
‫◦ הקובץ נשמר תחת תיקיית ‪ %SystemRoot%\System32‬לפי בחירתנו‬
‫◦ תוכן הקובץ שנשמר בשליטתנו‬
‫◦ שם הקובץ שנשמר בשליטתנו‬
‫‪‬‬
‫הדפסת קבצי ‪ MOF‬לתיקיית ‪%SystemRoot%\System32\wbem\mof‬‬
‫◦ קבצים בתיקיה זו רצים באופן אוטומטי‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫חולשה במנגנון ה‪ Keyboard Layout‬של חלונות‬
‫העלאת הרשאות ממשתמש רגיל ל‪Kernel‬‬
‫מבוססת על טעות בבדיקה של מערך מצביעים לפונקציות‬
‫‪‬‬
‫חולשה ב‪ Task Scheduler‬של חלונות‬
‫‪‬‬
‫כל משתמש יכול ליצור משימה אשר תתבצע בעתיד (בהרשאות שלו)‬
‫‪‬‬
‫משימות נשמרות בתיקיית ‪C:\windows\system32\tasks‬‬
‫‪‬‬
‫כל קובץ משימה מכיל את ההרשאות שאיתן תתבצע המשימה‬
‫‪‬‬
‫מה מונע מאיתנו לשנות את ההרשאות הללו לאחר יצירת המשימה ?‬
‫◦ קיים מנגנון חתימה דיגיטלית על הקבצים ‪‬‬
‫◦ מנגנון החתימה הדיגיטלית הוא ‪ CRC32‬‬
‫‪‬‬
‫‪‬‬
‫בקרי ‪ SCADA‬של חברת סימנס‬
‫לא סתם בקרי ‪:SCADA‬‬
‫◦ ‪6ES7-417‬‬
‫◦ ‪6ES7-315-2‬‬
‫◦ ‪CP 342-5‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫תדר עבודה תקין של קסקדה נע בין ‪ 807Hz‬ל ‪1210Hz‬‬
‫סטאקסנט משנה את תדר העבודה ל‪ 1410Hz‬לפרק זמן מסוים‪ ,‬ואז‬
‫מוריד בבת אחת את תדר העבודה ל‪2Hz‬‬
‫שינוים קיצוניים אלה‪ ,‬פוגמים גם בתפוקה וגם בקסקדה עצמה‪ ,‬עד כדי‬
‫שבירת הציר‬
‫‪‬‬
‫‪ – Cyberspace is real‬השפעה גם בעולם המוחשי‬
‫‪‬‬
‫פצצות סייבר כבר לא ‪Science Fiction‬‬
‫‪‬‬
‫עולם הסייבר הפך ל"חזית החמישית" של המלחמה‬
‫‪‬‬
‫הבנה שגם בעולם הסייבר קיים ‪Collateral Damage‬‬
‫◦ סימנס מדווחת על לפחות ‪ 19‬לקוחות אחרים אשר נדבקו‬
‫סטאקסנט כשינוי פרדימה בעולם הסייבר‬
‫ האחרון‬BlackHat ‫לקט הרצאות "חמות" מ‬
Exploiting Siemens Simatic S7 PLCs ◦
Vulnerabilities in Wireless Water Meter Networks ◦
Battery Firmware Hacking ◦
Hacking Medical Devices for Fun and Insulin: ◦
Breaking the Human SCADA System

Open Source Cyber Weapon
‫ נעזר בסטאקסנט‬CyberCrime‫ה‬
‫ותוקף בחזרה בארה"ב‬
‫‪Open Source Cyber Weapon‬‬
‫‪‬‬
‫הקוד של סטאקסנט מסתובב באינטרנט‬
‫‪‬‬
‫רק מחכה לשימוש חוזר‬
‫תודה רבה !‬

similar documents