End-user are the weakest link at ISOC-IL Sharing a lecture I gave last year about the current threats and recommended defensive measures for end-user at the ISOC-IL.

1. www.clearsky.co.il
‫קצה‬ ‫משתמשי‬
-‫החוליה‬
‫החלשה‬
Omri Moyal - Red Team and Research Leader ClearSky

2. www.clearsky.com
clearsky

3. www.clearsky.co.il
ClearSky
‫הסייבר‬ ‫למרחב‬ ‫ופתרונות‬ ‫ייעוץ‬
•‫ואסטרטגיה‬ ‫מתודולוגיה‬
•‫ומודיעין‬ ‫מחקר‬
•‫ופיתוח‬ ‫הטמעה‬

4. Overview

5. www.clearsky.co.il
‫כללי‬
•‫המודרניות‬ ‫הסייבר‬ ‫תקיפות‬ ‫מרבית‬‫חולשות‬ ‫מנצלות‬
‫קצה‬ ‫ותחנות‬ ‫המשתמשים‬ ‫אצל‬
•‫להשגת‬ ‫להוביל‬ ‫עשויות‬‫רגיש‬ ‫מידע‬‫וערכי‬
•‫האבטחה‬ ‫במערכי‬ ‫השיפור‬ ‫היא‬ ‫לשינוי‬ ‫עיקרית‬ ‫סיבה‬
‫מאובטח‬ ‫ופיתוח‬ ‫ההגנה‬ ‫שיטות‬ ‫ושיפור‬ ‫בארגונים‬

6. www.clearsky.co.il
‫יותר‬ ‫קשה‬ ‫הפכה‬ ‫ארגוניים‬ ‫לנכסים‬ ‫חדירה‬
forensics ‫קוד‬ ‫כתיבת‬
‫מאובטח‬
‫מערכות‬ ‫הקשחת‬
‫ובדיקות‬
‫קונפיגורציה‬
‫שליטה‬ ‫מערכות‬
‫ובקרה‬
‫ניטור‬ ‫כלי‬‫אבטחה‬ ‫צוותי‬
‫חדירות‬ ‫ובודקי‬

7. www.clearsky.co.il
‫הקצה‬ ‫משתמשי‬ ‫את‬ ‫לתקוף‬ ‫למה‬?
•‫בין‬ ‫להבחין‬ ‫קושי‬‫לגיטימי‬ ‫אתר‬ ‫או‬ ‫הודעה‬
‫לזדוני‬
•‫מעודכנות‬ ‫לא‬ ‫הפעלה‬ ‫ומערכות‬ ‫תוכנות‬
•‫מערכת‬ ‫הגדרות‬‫דיפולטיביות‬
•‫שלישי‬ ‫צד‬ ‫תוכנות‬
•‫מאובטחת‬ ‫לא‬ ‫בצורה‬ ‫רגיש‬ ‫מידע‬ ‫אחסון‬
•‫סיסמאות‬ ‫מחזור‬
•‫חלשות‬ ‫בסיסמאות‬ ‫שימוש‬
•‫תקיפה‬ ‫לגילוי‬ ‫ארוך‬ ‫זמן‬(‫בכלל‬ ‫אם‬)

8. www.clearsky.co.il
‫האריה‬ ‫משל‬
‫בג‬ ‫לאריה‬ ‫דומה‬ ‫בצורה‬ ‫מתנהגים‬ ‫זדונים‬ ‫גורמים‬'‫ונגל‬.‫לטרוף‬ ‫מנסה‬ ‫אינו‬ ‫האריה‬
‫ופגיעות‬ ‫חלשות‬ ‫חיות‬ ‫תוקף‬ ‫אלא‬ ‫ממנו‬ ‫חזקות‬ ‫יותר‬ ‫חיות‬.
‫תוקפים‬ ‫גם‬ ‫כך‬-‫ביותר‬ ‫והמהירה‬ ‫הקלה‬ ‫החדירה‬ ‫נקודות‬ ‫את‬ ‫מחפשים‬.

9. www.clearsky.co.il
‫פשיעה‬ ‫גורמי‬ ‫יעדי‬:‫תקיפה‬ ‫בכלי‬ ‫סחר‬,‫בפגיעויות‬,‫פיננסי‬ ‫ובמידע‬

10. www.clearsky.co.il
‫עובד‬ ‫זה‬ ‫איך‬
•‫וניהול‬ ‫תקיפה‬ ‫כלי‬botnets:500$-10,000$
•‫התוקפים‬ ‫בין‬ ‫פעולה‬ ‫שיתוף‬
•‫ב‬ ‫שימוש‬BITCOINS‫לאנונימיות‬
•‫לקוחות‬ ‫שירות‬:‫דירוג‬ ‫אמצעי‬,‫ותמחור‬ ‫בקרה‬

11. www.clearsky.co.il
‫דוגמה‬
•‫תוכנת‬ ‫את‬ ‫לעקוף‬ ‫מנסים‬ ‫רוסים‬ ‫בפורומים‬ ‫רבים‬ ‫מפתחים‬ ‫האחרונים‬ ‫בחודשים‬
Rapport‫של‬Trusteer
•‫ב‬-6‫למכירה‬ ‫הוצע‬ ‫לאוקטובר‬anti-Rapport‫במחיר‬1500$
•‫ביותר‬ ‫כמוצלח‬ ‫והוגדר‬ ‫הפורום‬ ‫חברי‬ ‫של‬ ‫מקיפה‬ ‫בדיקה‬ ‫עבר‬.

12. www.clearsky.co.il
‫קצה‬ ‫משתמש‬ ‫מתקפת‬ ‫היא‬ ‫מה‬?
Client-side attacks
‫קצה‬ ‫בתחנות‬ ‫המתמקדת‬ ‫תקיפה‬,‫יומיומי‬ ‫בשימוש‬ ‫ואפליקציות‬ ‫תוכנות‬
‫ולא‬‫שרתים‬ ‫הכוללת‬ ‫הארגונית‬ ‫בתשתית‬,‫נתבים‬,‫וכדומה‬ ‫מידע‬ ‫מאגרי‬.
•‫משרדי‬ ‫בשימוש‬ ‫תוכנות‬
•‫דפדפנים‬
•‫מדיה‬ ‫נגני‬
•‫מסרים‬ ‫העברת‬
•‫נוספות‬ ‫תוכנות‬

13. www.clearsky.co.il
‫תקיפה‬ ‫ערוצי‬
•‫זדוניים‬ ‫לאתרים‬ ‫קישורים‬
•‫הנראים‬ ‫קבצים‬‫כלגיטימים‬‫כגון‬ ‫זדוני‬ ‫קוד‬ ‫בעלי‬ ‫אך‬doc ,ppt ,pdf
•‫הרשאות‬ ‫וגניבת‬ ‫לשירותים‬ ‫להתחברות‬ ‫בקשות‬
•‫שלישי‬ ‫צד‬ ‫ותוספי‬ ‫בדפדפנים‬ ‫פגיעויות‬ ‫ניצול‬
•‫באתרים‬ ‫הטמעתו‬ ‫או‬ ‫בקישורים‬ ‫זדוני‬ ‫בקוד‬ ‫שימוש‬-XSS‫ו‬CSRF
•‫דרך‬ ‫והרצתם‬ ‫קבצים‬ ‫הורדת‬JavaScript
•‫מתקפות‬ ‫וביצוע‬ ‫אלחוטיות‬ ‫רשתות‬ ‫חטיפת‬‫מסוג‬man-in-the-middle
•‫כגון‬ ‫מחשבים‬ ‫על‬ ‫חומרה‬ ‫התקנת‬keyloggers‫מידע‬ ‫לגניבת‬
•‫באמצעות‬ ‫זדוניים‬ ‫קבצים‬ ‫העברת‬disc on key

14. www.clearsky.co.il
Phishing email

15. www.clearsky.co.il
Phishing email
<a href=“http://hidden.malicious.site.com/index.html"> eStatment</a>

16. www.clearsky.co.il
‫נמנעים‬ ‫איך‬?
•‫המשתמשים‬ ‫של‬ ‫ותרגול‬ ‫אימון‬
•‫הימנעות‬‫קישורים‬ ‫דרך‬ ‫חשובים‬ ‫לשירותים‬ ‫מכניסה‬
‫ומייל‬ ‫באתרים‬
•two factor authentication
•‫השולח‬ ‫עם‬ ‫קשר‬ ‫יצירת‬ ‫דרך‬ ‫אמינות‬ ‫בדיקת‬(‫בערוץ‬
‫נפרד‬)!
•‫כגון‬ ‫אינטרנט‬ ‫בשירותי‬ ‫שימוש‬
urlquery.net‫של‬ ‫חיצונית‬ ‫לבדיקה‬
‫הקישורים‬.

17. www.clearsky.co.il
https://urlquery.net
‫ואתרים‬ ‫קישורים‬ ‫של‬ ‫ואנליזה‬ ‫לניתוח‬ ‫חינמי‬ ‫אינטרנטי‬ ‫שירות‬.
‫באינטרנט‬ ‫זדוני‬ ‫וחומר‬ ‫אתרים‬ ‫באיתור‬ ‫האבטחה‬ ‫לתעשיית‬ ‫לעזור‬ ‫היא‬ ‫האתר‬ ‫מטרת‬

18. www.clearsky.co.il

19. www.clearsky.co.il
Malicious pdf file

20. www.clearsky.co.il
‫נקי‬ ‫קובץ‬(‫לגיטימי‬)
‫זדוני‬ ‫קוד‬
CVE-2009-4324
CVE-2009-4324

21. www.clearsky.co.il
‫נקי‬ ‫קובץ‬
PDFiD.py‫קבצי‬ ‫לניתוח‬ ‫כלי‬pdf
‫זדוני‬ ‫קובץ‬

22. www.clearsky.co.il

25. www.clearsky.co.il
‫באמצעות‬ ‫תקיפות‬ ‫התפלגות‬-Adobe‫ב‬-30‫האחרונים‬ ‫הימים‬
malwaretracker.com/pdfthreat.php

26. www.clearsky.co.il
Black hole exploit kit
CVE slang
Product /
type
Exploit Description
CVE-2006-0003 mdac IE 6 MS IE _MS06-014 f or lE6/Microsof t Data Access
Components (MDAC) Remote Code Execution
CVE-2010-0188 PDF Libtiff / Lib PDF < 9.3.1 ADOBE PDF Exploit - LibTif f Integer Ov erf low
CVE-2012-0507 Java Atomic Java 6u30,
7u2
JAVA _ AtomicRef erenceArray
CVE-2012-1723 Java Byte / verifier Java 6u32,
7u4
JAVA Remote Code Execution
CVE-2012-4681 Java Gondvv /
Gondzz
IE 6-9 JAVA _craf ted applet that by passes
Security Manager restrictions
CVE-2012-5076 JAX-WS <Java 7u8 JAVA Arbitrary Code Execution
CVE-2013-0422 < Java 7u11 JAVA: JMB/MBEAN and Ref lection API allow a
craf ted applet to by pass Security Manager
restrictions
CVE-2013-0431 Java 7u11 JAVA: abuses the JMX classes f rom a Jav a Applet
to run arbitrary Jav a code outside of the sandbox
•‫ווב‬ ‫מבוססת‬ ‫במיוחד‬ ‫נפוצה‬ ‫תקיפה‬ ‫ערכת‬.
•‫מנצלת‬‫פגיעויות‬‫בדפדפנים‬,Java Environemts‫ו‬-PDF
•‫מכירה‬:‫ענן‬ ‫שירות‬ ‫או‬ ‫רישיון‬)!(
•‫באוקטובר‬2013‫נעצר‬Paunch,‫התקיפה‬ ‫ערכת‬ ‫ומפיץ‬ ‫יוצר‬.
contagiodump.blogspot.co.il/2010/06/overview-of-exploit-packs-update.html

27. www.clearsky.co.il
BlackHole exploit kit
Java 7 Applet Remote Code Execution - CVE-2013-2423
Malicious site

28. www.clearsky.co.il
BlackHole exploit kit:
Java 7 Applet Remote Code Execution - CVE-2013-2423

29. www.clearsky.co.il
registration.caselogic.co.il
‫ב‬-3‫בקבוצת‬ ‫חבר‬ ‫דיווח‬ ‫בנובמבר‬Defcon‫של‬ ‫הרישום‬ ‫שאתר‬ ‫הישראלית‬Caselogic
‫ידי‬ ‫על‬ ‫נפרץ‬ ‫הישראלי‬Anonghost

30. www.clearsky.co.il
‫ג‬ ‫לאתר‬ ‫העלה‬ ‫התוקף‬'‫זדוני‬ ‫וקובץ‬ ‫סקריפט‬ ‫אווה‬(Malware drive-by)
‫להתקנת‬RAT/Bot agent‫לאתר‬ ‫המתחברים‬ ‫על‬:

31. www.clearsky.co.il

34. www.clearsky.co.il
FallaGa Rat v1.2

35. www.clearsky.co.il
‫השלכות‬
•‫המותקף‬ ‫המחשב‬ ‫על‬ ‫מלאה‬ ‫שליטה‬
•‫התקנת‬backdoor,RAT‫ו‬-
Trojans
•‫הארגונית‬ ‫ברשת‬ ‫רגל‬ ‫דריסת‬
•‫כופר‬ ‫תוכנות‬ ‫התקנת‬(RansomWare)
•‫למתקפות‬ ‫תשתית‬ ‫יצירת‬DDOS

36. www.clearsky.co.il

37. www.clearsky.co.il

38. www.clearsky.co.il

39. www.clearsky.co.il

40. www.clearsky.co.il
‫מתגוננים‬ ‫איך‬?
•‫לעדכן‬,‫לעדכן‬ ‫פעם‬ ‫ושוב‬ ‫לעדכן‬!!
•‫וירוס‬ ‫אנטי‬ ‫תוכנות‬ ‫התקנת‬(‫ולעדכן‬)
•‫ספק‬ ‫אין‬ ‫אז‬ ‫ספק‬ ‫יש‬ ‫אם‬!
•‫לא‬ ‫ממקורות‬ ‫קבצים‬ ‫מפתיחת‬ ‫הימנעות‬
‫מוכרים‬
•‫לשירותי‬ ‫בספק‬ ‫נתונים‬ ‫קבצים‬ ‫העלאת‬
‫כגון‬ ‫אנאליזה‬virustoals,
sophos‫יותר‬ ‫ולמתקדמים‬anubis
•‫מערכת‬ ‫הגדרות‬ ‫הקשחת‬
•Urlquery‫דיברנו‬?

41. www.clearsky.co.il
‫זדוניים‬ ‫קבצים‬ ‫של‬ ‫וסקירה‬ ‫להעלאה‬ ‫חינמי‬ ‫אינטרנטי‬ ‫שירות‬