פרסום פרויקט
התחבר עם פייסבוק
התחבר עם LinkedIn
במהלך העשור האחרון, אינספור התקפות סייבר עלו לכותרות, כל התקפה חמורה מהקודמות לה: גדולה יותר בהיקפה, מתוחכמת יותר ומתקדמת יותר בהיקף גניבת הנתונים. מתקפות אלה היו אפשריות הודות לתוכניות זדוניות )לדוגמה: Trojan, Bot ,ו-POS ,)שכוללות טכניקות תקיפה חשאיות, חדשות ומתקדמות אשר מונעות מלזהותן. למרות שבמשך השנים פותחו מגוון טכניקות זיהוי לשם מאבק בפוגענים כאלה, התוקפים ממשיכים למצוא שיטות חדשות ויצירתיות לעקיפת טכניקות אלה. במילים אחרות, טכניקות הגנה קלאסיות למניעה וזיהוי, כגון חומת אש, תכניות מבוססות חתימות וחוקים, אנטי-וירוס ומערכות זיהוי חדירה )Systems Detection Intrusion-IDS ,)אינן מספקות במאבק כנגד מתקפות סייבר. אמנם ייתכן שהן מסוגלות להגן כנגד מתקפות ידועות, אבל מערכות הגנה קלאסיות אינן מועילות בעת הגנה כנגד מתקפות חדשות. לפיכך יש צורך אמיתי לשיטה יצירתית וסתגלנית יותר, שתספק שכבת הגנה נוספת נגד פוגענים. מאמר זה מציע טכניקה חדשה לזיהוי אוטומטי של הדבקות פוגענים בעמדות קצה, תוך שימוש הן בטכניקות התקפה והן בטכניקות הגנה. טכניקה זו ממנפת את הרעיון שכל פיסת קוד מכילה חורי אבטחה שניתן לנצל. בניסויי מעבדה, חקרנו וניתחנו מספר סוגים של פוגענים, פותחה מתודולוגיה וטכניקת זיהוי חדשה אשר מספקות שכבת הגנה נוספת במאבק נגד פוגענים - טכניקה המסוגלת אף לזהות נוזקות בלתי ידועות. https://www.digitalwhisper.co.il/files/Zines/0x67/DigitalWhisper103.pdf
שרשרת התקיפה - שיטת מודל לפלישה לרשת מחשבים שפותחה על-ידי לוקהיד מרטין )2011 ,)מורכבת משבעה צעדים: Reconnaissance - איסוף המידע חימוש - weaponization delivery - שלב החדירה ניצול - exploitation התקנה - installation control and command - תקשורת עם שרת השליטה .יעדים על פעולות - action on objectives בעוד שרוב טכניקות זיהוי קלאסיות מתמקדות בזיהוי הפלישה בשלבי החדירה, הניצול וההתקנה, הרעיון שלנו הוא לזהות את הפלישה בשלב התקשורת עם שרת השליטה. שלב ההתקנה הוא השלב בו הפוגען מותקן על עמדת הקצה, וזה מספק לו גישה מתמדת. לאחר מכן, הפוגען מתקשר עם שרת השליטה, ושולח לו אינפורמציה דרך עמדת הקצה שהודבקה על-ידי הפוגען )אינפורמציה כגון: שם המחשב, שם המעבד, גודל הזיכרון וכדומה(. טבלה 1 מציגה רשימה חלקית של המידע שנאסף על-ידי פוגענים. מידע זה )בדר“כ( נשמר בבסיס נתונים של שרת השליטה ומוצג בפאנל הניהול של התוקף שהוא וובי או אפליקטיבי. בעבודתנו, אנו מנצלים את התקשורת שבין עמדת-הקצה הנגועה לבין פאנל השליטה כדי לגרום לפאנל השליטה לבצע פעולה בלתי רצונית שתשלח התרעה על הדבקה של פוגען בעמדת הקצה הנגועה. כדי לבצע זאת, אנו משתמשים בטכניקת XSS ,ומזריקים מחרוזת XSS לתוך הנתונים שהפוגען שולף מעמדת הקצה הנגועה. במחקר זה, המיקוד היה בתוכניות פוגענים בעלי כלי אדמיניסטרציה שהוא פאנל וובי, כי דפי אינטרנט הם גורם יסודי לשם ניצול פגיעות ה-XSS .שינוי הנתונים נעשה רק על נתונים שאיסופם מעמדות הקצה )ללא ידיעת המשתמש( והצגתו נחשבים זדוניים. באופן כללי ופשטני, בתקיפת סייבר מעורבות שתי ישויות מרכזיות: עמדת הקצה שהודבקה על ידי הפוגען, ושרת השליטה של התוקף. הפוגען מבצע את פעילויותיו הזדוניות על עמדת הקצה על-ידי קבלת פקודות מפאנל השליטה בתדירות מסויימת. הפאנל מסוגל לקבל אינפורמציה ולשלוח פקודות לעמדת הקצה הנגועה. כדי לבנות את מתודולוגיית הזיהוי החדשה שלנו, הוספנו ישות חדשה בתהליך התקיפה - שרת ניטור ייעודי )שרת C ,)המכיל קבצי תמונה הניתנים לפי דרישה )איזו דרישה? זוכרים את השימוש ב-XSS בפסקה למעלה?!, עכשיו רק צריך לראות איך זה מתבצע בפועל(. אנו נגדיר ששרת זה לא אמור לתקשר עם אף ישות אינטרנטית. לפיכך, אם ישות מסוימת פנתה אליו זוהי אינדיקציה לפעילות זדונית. הרעיון ממומש בעמדות קצה בכלי הוכחת יכולת )POC )שפיתחנו, הנקרא PhoeniXSS ,כפי שמתואר במפורט בסעיף "מתודולוגיית הזיהוי".