דיילי ציפי

RSA מציגה: עכברושי אבטחה

18/10/2012 14:55
מעבדה מדעית על הבמה

אחת ההרצאות היותר מסקרנות ב-RSA Conference Europe 2012, שנערך בלונדון בתחילת החודש, היתה "ניתוח עכברוש בהרצאה". המרצים המבוקשים, שמשכו קהל רב, היו אורי ריבנר – בכיר במעבדות המחקר RSA ישראל עד לא מכבר, וכיום סגן נשיא לפיתוח עסקי ואסטרטגיית סייבר; ואורי פליידר, חוקר בכיר במעבדות אלה זה ארבע וחצי שנים. ההרצאה היתה במבנה של מעבדה מדעית על הבמה.

מעבדה מדעית על הבמה

המוטו: "מדוע העכברושים מתרבים במחתרת?"

פותח את ההרצאה. אורי ריבנר עם החלוק, כמו חוקר מעבדה

אורי פליידר מתכונן לקטע הניתוח הדו-משמעי שלו. מתברר שהוא גם מתנדב בעמותת "תנו לחיות לחיות". בתפקידו הוא חוקר מתקפות סייבר, כאשר מירב ההתמקדות היא בחקירת נוזקות בעלות אוריינטציה פיננסית. לרוב מדובר בסוסים טרויאניים, אשר מתמקדים בחשבונות בנק ושירותי אונליין אחרים, שיכולים להביא לרווחים כספיים מהירים יחסית לתוקף. צוות המעבדה חוקר את כלל הפלטפורמות האפשריות - החל מארכיטקטורות PC השונות וכלה במכשירים סלולריים, על מגוון מערכות ההפעלה שלהם

ממה מתרשם הקהל הרב? אורי את אורי הדגימו את אחת השיטות היותר שכיחות בעולם ה-Fraud בשנים האחרונות לתקיפה של לקוחות הבנקים השונים. התסריט כלל הדבקה של מחשב הקורבן באמצעות טכניקת ה-Drive By (הקורבן גולש לאתר שהתוקף פרץ ושתל בתוכו Malicious iFrame, אשר מפנה את הדפדפן של הקורבן ל-Exploit Kit). ה-Payload של אותו Exploit Kit הוא סוס טרויאני בעל אוריינטציה פיננסית, כאשר במקרה שלנו מדובר בסוס טרויאני מסוג "ZeuS". הסוס הטרויאני מגיע עם קונפיגורציה מוכנה מראש של web-injections (מדובר ב-client side injections, אשר משלבות HTML ו-JavaScript), שנשתלים בתוך הדפדפן ברגע שהקורבן גולש לאחד מן האתרים המתמקדים על ידי הסוס הטרויאני. כעת, לאחר ההדבקה, כאשר הקורבן מנסה להתחבר לחשבון הבנק שלו - הדפדפן נועל את הגישה לחשבון, תוך כדי הצגת הודעה בסגנון: "אנא המתן, אנו בודקים את נתוני ההתחברות שהזנת". זאת, בזמן שהנתונים שהוקלדו על ידי הקורבן (שם משתמש וסיסמה) נשלחים אל התוקף בזמן אמת באמצעות פרוטוקול Jabber, ופרוטוקול HTTPS/HTTP

אורי מדבר ואורי מדגימים – שניהם יחד וכל אחד לחוד. בשלב זה התוקף מתחבר אל המחשב של הקורבן שלו באמצעות פרוטוקול VNC (הבינארי של ה-“ZeuS” מגיע מקומפל מראש עם גרסה פרטית של שרת VNC), והקורבן לא רואה שום פעילות חריגה מפני שהתוקף מייצר hidden instance of the victim’s desktop. כעת, כאשר התוקף נמצא בשליטה מלאה במחשב של הקורבן, התוקף גולש אל חשבון הבנק של הקורבן (הוא משתמש בנתונים הגנובים של הקורבן על מנת להתחבר) ומבצע העברות כספיות אל חשבונות ה-Mule שלו. מידה שהבנק דורש להכניס קוד סודי חד-פעמי כדי לבצע את ההעברה הכספית (TAN or any other out-of-band OTP), התוקף משתמש בטכניקת ההנדסה החברתית על-מנת לשכנע את הקורבן לספק לו את מבוקשו. כך, התוקף משתמש בממשק מובנה בפאנל הניהול שלו, על מנת להציג הודעות על גבי הדפדפן של הקורבן, ומשכנע אותו להקליד את הקוד הסודי שלו בטענה שזה נדרש כדי להוכיח את זהותו ולאפשר לו להתחבר לחשבון. בסיום ההעברה התוקף מציג לקורבן הודעה בסגנון: "אנו מצטערים, אך עקב תחזוקה שוטפת של השרתים לא ניתן להשתמש במערכת ב-24 השעות הקרובות". מטרתה של הודעה זו היא להרוויח זמן עבור ה-Mule לבצע את משיכת הכספים או העברתם הלאה לחשבון אחר, לפני שהקורבן ישים לב ויתלונן לבנק שלו אודות התרמית

RSA

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים