היעד של סטאקסנט - files.dc9723.org Coming Soon!
Download
Report
Transcript היעד של סטאקסנט - files.dc9723.org Coming Soon!
אמיר טטלבאום
מייסד חברת סייבריה
חוקר חולשות Malwareמגמות וגופים שונים בעולם הסייבר
מרצה בקורסי
Hacking Defined Expertו Cyber Warfare Defence
~131072מחשבים נגועים
~65536מחשבים באיראן
~32768מחשבים שאיראן אישרה שנדבקו
~1024צנטריפוגות הרוסות
8שיטות התפשטות שונות
4פגיעויות לא מוכרות ()0-Day
2חתימות דיגיטליות גנובות
2ב ,10 -רק היום !
שוק הפגיעויות פורח ,יותר ויותר חוקרים מתפרנסים
ממנו כמקור הכנסה ראשון
הפגיעויות בסטאקסנט שוות בשוק מעל $500000
30/9/2010
סימנטק משחררת
את דו"ח הניתוח
17/7/2010
סטאקסנט מופיעה
עם חתימה חדשה
של JMicron
22/7/2010
Verisignשוללת
את החתימה השניה
של סטאקסנט
16/7/2010
מיקרוסופט מודיעה
על חולשת LNK
Verisignשוללת
את החתימה של
Realtek
14/7/2010
גרסאת סטאקסנט
חדשה נבנית עם
חתימת JMicron
13/7/2010
סימנטק חותמת
על סטאקסנט
06/2009
סטאקסנט
מופיעה לראשונה
17/06/2010
VirusBlokAda
מגלה את סטאקסנט
פצצת סייבר
אוטונומי לחלוטין
◦ מכיל את כל תהליך התקיפה ב Payloadבודד
◦ מתקשר עם 2שרתי C&Cבלבד
◦ מתקשר בסביבת LANבעזרת P2P
גנרי לחלוטין
◦ לא איראן ולא שום יעד מוגדר אחר מופיעים בקוד
◦ השפעה על רכיבי PLCשהם ממירי תדר
אין קשר לגרעין ! בטח ובטח לא לצנטריפוגות
חמקמק ,אך במידה
◦ שימוש בחתימות דיגיטליות גנובות ע"מ להתחמק מאנטי-וירוסים
◦ שימוש ב Rootkit -להסתרה של הקבצים שלו
◦ לעומת זאת – הקוד אינו מוצפן ,ללא יכולות Anti-debugging
לא עושה נזק למחשב
לא מוציא חומר מהארגון הנתקף
שימוש בחתימות דיגיטליות גנובות
שימוש בחולשות לא מוכרות
מנגנוני בלימה
◦ תקשורת עם שרתי C&Cשמאפשרת קבלת פקודת התאבדות
◦ הגבלת הדבקה באמצעות DOKלמקסימום 3דילוגים
◦ תאריך 24/06/2012 – Deadline
החדרה באזור גיאוגרפי ספציפי
סטאקסנט מציגה מספר חסר תקדים של 4חולשות 0-Day
◦ – MS10-046חולשה בקבצי ,LNKמשמשת להתפשטות בDOK
◦ – MS10-061חולשה ב ,Print Spoolerמשמשת להתפשטות ברשת
◦ – MS10-073חולשה ב ,Keyboard Layoutמשמשת לPE
◦ – MS10-092חולשה ב ,Task Schedulerמשמשת לPE
2חתימות דיגיטליות גנובות
◦ Realtek Semiconductor Corps
◦ JMicron Technology Corps
באג דיזיין בקבצי LNK
קבצי LNKיכולים להצביע לקבצי ( CPLשהם DLLים)
הקוד הפגיע מנסה לטעון אייקונים מתוך קבצי הCPL
טעינת קבצי ה CPLלטובת חיפוש האייקון מריצה את הCPL
קורה בכל פעם שמסתכלים על תיקיה
חולשה בPrint Spooler Service -
מאפשרת "הדפסה" מרחוק של קובץ
◦ הקובץ נשמר תחת תיקיית %SystemRoot%\System32לפי בחירתנו
◦ תוכן הקובץ שנשמר בשליטתנו
◦ שם הקובץ שנשמר בשליטתנו
הדפסת קבצי MOFלתיקיית %SystemRoot%\System32\wbem\mof
◦ קבצים בתיקיה זו רצים באופן אוטומטי
חולשה במנגנון ה Keyboard Layoutשל חלונות
העלאת הרשאות ממשתמש רגיל לKernel
מבוססת על טעות בבדיקה של מערך מצביעים לפונקציות
חולשה ב Task Schedulerשל חלונות
כל משתמש יכול ליצור משימה אשר תתבצע בעתיד (בהרשאות שלו)
משימות נשמרות בתיקיית C:\windows\system32\tasks
כל קובץ משימה מכיל את ההרשאות שאיתן תתבצע המשימה
מה מונע מאיתנו לשנות את ההרשאות הללו לאחר יצירת המשימה ?
◦ קיים מנגנון חתימה דיגיטלית על הקבצים
◦ מנגנון החתימה הדיגיטלית הוא CRC32
בקרי SCADAשל חברת סימנס
לא סתם בקרי :SCADA
◦ 6ES7-417
◦ 6ES7-315-2
◦ CP 342-5
תדר עבודה תקין של קסקדה נע בין 807Hzל 1210Hz
סטאקסנט משנה את תדר העבודה ל 1410Hzלפרק זמן מסוים ,ואז
מוריד בבת אחת את תדר העבודה ל2Hz
שינוים קיצוניים אלה ,פוגמים גם בתפוקה וגם בקסקדה עצמה ,עד כדי
שבירת הציר
– Cyberspace is realהשפעה גם בעולם המוחשי
פצצות סייבר כבר לא Science Fiction
עולם הסייבר הפך ל"חזית החמישית" של המלחמה
הבנה שגם בעולם הסייבר קיים Collateral Damage
◦ סימנס מדווחת על לפחות 19לקוחות אחרים אשר נדבקו
סטאקסנט כשינוי פרדימה בעולם הסייבר
האחרוןBlackHat לקט הרצאות "חמות" מ
Exploiting Siemens Simatic S7 PLCs ◦
Vulnerabilities in Wireless Water Meter Networks ◦
Battery Firmware Hacking ◦
Hacking Medical Devices for Fun and Insulin: ◦
Breaking the Human SCADA System
Open Source Cyber Weapon
נעזר בסטאקסנטCyberCrimeה
ותוקף בחזרה בארה"ב
Open Source Cyber Weapon
הקוד של סטאקסנט מסתובב באינטרנט
רק מחכה לשימוש חוזר
תודה רבה !