מידע באבטחת 236349פרוייקט 2011חורף

Who’s been stealing my honey – analyzing hacker activities in honeypots

שציוקין אנסטסיהקשת ליאור

שולמן בהנחיית עמיחי

Honeypotsתזכורת - •Honeypot ולנתח לנטר מנת על האקרים אליו למשוך המיועד שרת הינו

. פעילותם אופי את

http://www.syshacks.com/showthread.php/11338-Honey-Pots

רשת - TORתזכורת•TOR . יכול אדם כל באינטרנט אנונימית גלישה המאפשרת רשת הינה

רשת דרך .TORלהתחבר זהותו את להסתיר ובכך• : לשרת מתחבר הקצה משתמש עובד זה . TORאיך רנדומלי באופן כלשהו

לשרת מתחבר זה (, TORשרת דרך ) הלאה וכך רנדומלי באופן שוב נוסף " . אל ל הנ בשרשרת האחרון מהשרת עוברת התעבורה לבסוף שרתים שרשרת

. היעד מחשב• – : מ מעבר בכל כך מוסתרת המשתמשים שרתים ) Nodeל – Nodeאנונימיות

ה(, – , headerבשרשרת " שכל כך שונים מפתחות י ע מוצפן החבילה שלNode – ה את רק מכיר בשרשרת , Nodeהמשתתף יכול ולא ואחריו לפניו

. המידע את לפענח• , המקור ) לא אך שלה היעד כולל היוצאת התעוברה את שרואה היחיד השרת

. בשרשרת( האחרון השרת הוא שלהכ ) – • קצר זמן פרק , 10בכל ) בצורה תנותב והתעבורה משתנה השרשרת דקות

חדשה.

:honeypotה – שלנו

בשרת • משתמשים דרכו, TORאנחנו עוברת קודם שהוסבר כפי אשרמרשת , TORתעבורה מהווה. השרת זו מתעבורה חלק בתוך nodeעבור

. התעבורה, יעד מה לדעת מסוגל לא ולכן השרשרת• , , בשרשרת קצה כשרת נבחר שלנו השרת התעבורה של אחר חלק עבור

. המידע של היעד את לראות ניתן וכךמערכת • בעזרת מנתחים אנחנו המידע SECRETאת

ה - - מערכת SECRETתזכורת

ה - - מערכת SECRETתזכורת•SECRET – SECurity Research EnviornmenT• " חברת י ע פותחה זו Impervaמערכתבקשות • הינו במערכת המתקבל HTTPהמידעשל • קצה בשרת העובר מידע של גדולה כמות לנתח מיועדת המערכת

TOR - " ה, בקשות סינון י .HTTPע מראש להגדרה הניתנים כללים פי על

הפרוייקט מטרותזדונית ) • התעבורה כל שלא לב נשים הזדונית התעבורה של אפקטיבי זיהוי

ברשת, מהמשתמשים חלק על TORבהכרח שמירה למטרות זאת עושים ,) הנאספת הלגיטימית התעבורה כמות מזעור תוך בלבד פרטיותם

במערכת. •. חיפוש מנועי באמצעות זדונית פעילות ניתוחבעלות ) • או מסוים יעד כלפי המכוונת התקפות מספר של וניתוח גילוי

.) משותפת מטרה•.) ' , וכו ) סוג יעד משותף מכנה בעלות התקפות זיהוי

הנתונים ניתוח• " כ סה עם עבדנו הפרוייקט בשרת 4,143,030במהלך שעברו שונות חבילות

TOR מערכת באמצעות ניתחנו .SECRETואותןמ – • החל נאספו ה – 17.10.2011הנתונים קצת ) 25.1.2012ועד תקופה

(.3מעל חודשים בקשות" מכלל קטן מאוד חלק מהווים וניתחנו שמצאנו האירועים כ סה

:HTTPה- במערכת שהתקבלו

Brazilian Federal Site ExecutablesGoogle Dorks Remote File Include 1SQL Injection 1 SQLi on LumenSQL injection on naenara accessing many japanese blogsnot tagged

לאתרים מיועד במערכת שהתקבלה התעבורה של הגדול רובה. ב" בארה

העבודה צורת•: , עיקריות דרכים בשתי עבדנו זדונית תעבורה למצוא מנת על1 " " תעבורה. " של סינון י ע שלנו בשרת שעברו מוכרות התקפות חיפוש

. עבור לדוגמא חיפשנו אותה להתקפה חיפשנו, SQL Injectionבהתאםפקודות עם מחרוזות המכילות .SQLחבילות

2 . של. גדולה כמות חיפשנו היתר בין בשרת עברה אשר התעבורה ניתוחכלי ) ידי על נוצרו כלומר קצר זמן בפרק יעד לאותו נשלחו אשר חבילות

" י(, ע שנשלחו חבילות .User Agentsאוטומטי , ועוד חשודים , . - , ניתן זו בדרך שני מצד מזל קצת וכן וזמן יצירתיות מעט לא דורשת זו צורה

. מעניינות יותר ולעיתים מוכרות פחות בהתקפות להתקל

ברזילאית ממשלתית סוכנות על התקפהמיסים /http://www.receita.fazenda.gov.brהמנהלת

Receita Federal הקשור המידע כל את שמרכזת ממשלתית סוכנות זוהי. , , הוצאות: ובדיקת טפסים מילוי ושכירים חברות של הכנסה הצהרות למיסים , , זהות תעודות ואימות בדיקה לצורך שלה הנתונים למסד לגשת ניתן כן כמו

.' וכו מיסים תשלומי פרטי: הבאים, לנתונים השאר בין לגשת ניתן באתר

CPF- Social Security NumberCNPJ- a company’s social security number

של סטטוס לבדוק היחידות , CNPJו CPFהדרכים האתר באמצעות הםלמלא יש בנתונים הצפייה (. Captchaולפני ווקאלית ) או רגילה

,' , " , , את לבדוק צריכות וכו אשראי ד עו משרדי בנקים כגון ברזיליות חברות , מספקת אינה שהממשלה מכיוון באתר ידנית בצורה הלקוחות APIפרטי

, , . אדם ובכח בכסף חסכון לצורך בו מצב נוצר כך פרטים בדיקת לצורךשל לפריצות חוקיות לא תוכנות רוכשות אלה .captchasחברות

Receita Federal. , חדשות הגבלות פעם בכל ומוסיפה למצב מודעת

CNPJ from Santander Bank in Brazil

• - ה :101,250תפס TORשרת התאריכים בטווח 17/10/11-25/01/12אירועיםשדה" • של ניתוח י משתי , User agentעפ נעשו כנראה הגישות כי עולה

: הפעלה - windows 7 64-bit versionמערכות .linux Ubuntu v.7.10ו - ה) ששדה נראה כי לב לשים (, user agentיש נכון ) לא או מעודכן לא השני

). הפיירפוקס גרסת גם וכך מאוד ישנה הלינוקס שגרסת כיוון

פתירת • לצורך רק נעשות מהווינדוס המשתמש CPFשל captcha הגישות ואילו - ל גם ניגש .CNPJהשני

accessing CPF accessing CNPJ/scripts/srf/inter-cepta/captcha.aspx

" י עפ קיבוץ פונות, URLאחרי במערכת שהתקבלו הגישות רוב כי לראות ניתן.CNPJל , חברות-. לנתוני כלומר

יפני בלוגים אתר של התקפה•Ameba- , כ אליו שרשומים פופולרי יפני בלוגים אתר .20הוא משתמשים מיליוןה • : 46,886תפס- TORשרת התאריכים בטווח . 17/10/11-25/01/12אירועים• - ל בפרקים רציפה גישה נעשתה ההתקפה של 964במהלך משתמשים דפי

. " אוטומטיים כלים י ע האתר

שדה" של בדיקה י את Http Headers: Accept-Languageעפ מקבלים: הבאים הנתונים

רק כי לראות , 11%ניתן " השאר וכל היפנית השפה את ל הנ בשדה הכילו מהגישות. אנגלית רק הכילו

. יפן אינו כנראה ההתקפה מקור לכן

, " תדירות כי מראה שניתחנו הזמן תקופת במשך ליום האירועים מספר י עפ ניתוח. משתנה הבלוגים אתר לדפי הגישה

-18/12/11ב- ה , שרת הבוקר שמיועדות TORבשעות חבילות לקבל הפסיקל, Amebaל עד האירועים בין פער . 28/12/11וישנו

, על התקפה היתה כי מצאנו ברשת - Amebaבחיפוש ב 50,000שפגעה - ה , מליל היתר ובין הצליחו 24/12/11משתמשים לא רבים משתמשים

להתחבר.בשרת, , TORכאמור שיש חושבים אנו אך זה מועד סביב אירועים נקלטו לא

. האירועים בין קשר

, שקיבלנו, מהנתונים אך ההתקפה היתה מה מצוין לא בכתבה בנוסףהתקפת- היתה זו כנראה .DoSמהשרת

יפני בלוגים אתר של התקפה

SQL Injectionניתוח •SQL injection: על נתונים מסדי אל בגישה פירצות המנצלת התקפה

. רגיל במצב לבצע גישה אין שלתוקף פעולות בו לבצע מנת• , חבילות חיפשנו זה מסוג להתקפות השייכות חבילות למצוא מנת על

הבא - הרגולרי הביטוי את |select.*(from|where|union|setהמכילותdrop)|from.*(where|union|set|drop)|where.*(union|set|

drop)|union.*(set|drop)|set.*(union|drop)|•*.UNION.*ALL*.

התקפות • שיותר כמה למצוא במטרה נבנה כמה ) אמיתיותהביטוי לפספס.) , התקפות שאינם אירועים שפחות כמה ולקבל אירעו שכן התקפות שפחות

לכ – • הגענו זה חוק , – 10,000באמצעות לכ למעשה משוייכות אשר חבילות.SQL injectionהתקפות 15 שונות

על SQL Injectionהתקפת www.filesonic.com

הרלוונטיות החבילות מציאת

שנמצאו בחבילות ניווט

ההתקפה מתוך ספציפית אחת חבילה על מבט

הזדוני הקוד

SQL Injection עלfilesonic

פני • על נפרשה , – 212ההתקפה כ לאורך . 8חבילות דקות כ, – כל חבילה נשלחה .2כלומר אוטומטי כלי שניות

) ספציפית ) אחת בחבילה הנתונים למסד להזריק שניסו הזדוני :הקוד

-2068 UNION ALL SELECT NULL, NULL, NULL, NULL, CONCAT(0x3a676b743a,IFNULL(CAST(COUNT(*) AS CHAR),0x20),0x3a736f6f3a), NULL, NULL, NULL, NULL, NULL, NULL, NULL FROM information_schema.COLUMNS WHERE table_name=0x646f776e6c6f6164735f636f756e746572735f313534 AND table_schema=0x66696c65736f6e69635f646f776e6c6f616473#

התקפת www.lumen.com.mxעל SQLiניתוחכ – • בעלת מקסיקנית ברשת , 50מדובר המוכרת סניפים

. שונים מוצרים

שנמצאו" חבילות כ החוק סה הגדרת

: לדוגמא חבילה

ההתקפה ניתוח

נשלחו" • כ , – 2,907בסה כ במשך זו מתקפה תחת . 8חבילות כלומר דקותשל (.6ממוצע , אוטומטי ) כלי שוב לשניה חבילות

לשדה • התבצעה הקוד (.IDSECהזרקת הקודם ) בשקף מסומןה ) – דרך להבין קל באתר שנבחרו המוצרים קטגוריית את מסמן זה שדה

View Source.) עצמו באתר

ההתקפה ניתוח1 AND (SELECT 3169 FROM(SELECT COUNT(*),CONCAT(0x3a6e686d3a,(SELECT

MID((IFNULL(CAST(RESPUESTA AS CHAR),0x20)),601,50) FROM lumen_lumen.COMETrespuesta ORDER BY ID LIMIT 8688,1),0x3a73646c3a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)

• , איזה מול לזהות צריך התוקף המקרים . Databaseברוב במקרה עובד הוא , שהוא, שרואים מכיוון הנתונים מסד על מוקדם מידע יש שלתוקף כנראה זה

. באמצעות זאת גילה שהוא להיות יכול במסד שדות של בשמות משתמש. מוקדמת התקפה

• . , שהכלי כנראה קטנים ביניהן ההבדלים אשר רבות ממחרוזות בנויה ההתקפהמה – תשובה מקבל להתקפה ששימש שאילתה, Databaseהאוטומטי ובונה

. התשובה פי על נוספת

•:) מאד ) דומות השאילתות שאר גם לדוגמא נוספת שאילתה

1 AND (SELECT 4589 FROM(SELECT COUNT(*),CONCAT(0x3a6e686d3a,(SELECT MID((IFNULL(CAST(RESPUESTA AS CHAR),0x20)),4051,50) FROM lumen_lumen.COMETrespuesta ORDER BY ID LIMIT 8699,1),0x3a73646c3a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)

Google hackingניתוח באמצעות • חיפוש של המתקדמות ביכולות משתמשת googleההתקפה

. מחפש התוקף שאותם ספציפיים מאד לעמודים להגיע מנת עלבהן – • להשתמש שניתן לדוגמא של: - inurlפקודות כתובת בתוך חיפוש

. Intitleאתרים. העמוד: - בכותרת קובץ: Filetypeחיפוש סוג חיפושמסויים.

•. זה מסוג התקפות לזהות מנת על אלו כגון בפקודות השתמשנו• – : ה בשדה המכילות חבילות רלוונטי לחוק HTTP Parametersדוגמא

הביטוי .* :.*intitle:.*inurlאתהתקבלו" • כ .1,315בסה כאלו מחוקים חבילות•: בה שנתקלנו לחבילה דוגמא•intitle:"Index of..etc" passwd

site:www.megsonfitzpa.trick.com

Google hacking

•( " , ל הנ החבילות כל כי להבין ניתן שמצאנו האירועים שייכות( 1,315מניתוח – , ב שאירעה אחת השעות, 30.11.2011למתקפה 19:06ל – 19:02בין

כ ) – שונות 5.5בערב (.בשנייהחבילותעמודים • מחפש אשר אוטומטי בכלי השתמשו שהתוקפים להניח מאד סביר

. , להתקיף ניסו אותם אשר ספציפיים אתרים עבור כזו למתקפה החשופים

: ההתקפה מתוך דוגמאותקבצי ) • מסויימים מקבצים סיסמאות בשליפת התמקדו החיפושים , DATרוב

(:SQLאקסל, •filetype:dat "password.dat" site:figbug.com•"login: *" "password= *" filetype:xls site:spin-centre.ca•filetype:sql ("values * MD5" | "values * password" | "values

* encrypt") site:figbug.com•: אתר של מלוגים סיסמא שליפת ניסיון•"your password is" filetype:log site:qa1.ironlab.orgהבא – • בשקף זו התקפה עבור תוצאות

- ) האתר ) על הדרישה השמטת תוך החיפוש login: *" "password= *" filetype:xls"עבורמעניינות תוצאות התקבלו

: שנמצא האתר

האקסל קובץ תוכן) ישירות) להוריד שניתן

שרותי – המספק מאתר הזמנה נוספת תוצאהSearch Engine Optimization ,

המזמין פרטי כולל

, התקבלו" כ "483,000בסה ל הנ לחיפוש תוצאות

ומסקנות סיכום• . שונות התקפות למציאת חוקים לנסח היתה זה פרוייקט של המטרות אחת

כגון נפוצות התקפות googleו , SQL Injection , Path traversalעבורhacking . נדרש עדיין אך האירועים למציאת ברורים חוקים לנסח היה ניתן

למצוא וכדי אחר מסוג התקפות מציאת לצורך האירועים סך על מעבר , . הבלוגים אתר על ההתקפה לדוגמא שונים חוקים לניסוח חדשים כיוונים " ותדירה גדולה כמות ומציאת האירועים כלל על מעבר י ע נמצאה היפני

. סוג מאותו בקשות של יחסית

בשיטה • היו שמצאנו ההתקפות של . GETרוב חולשה נקודת ניצלו הן . , הבקשות בכמות שהעמיסו או כלשהו אתר

כתובת • על דבר יודעים לא שאנו מכך נובע התעבורה בניתוח גדול קושי " הפרמטרים. של מאפיינים י ע התוקפים למיקום רמזים למצוא ניתן המקור

(, Accept Languageכגון כתגובה ) יקבל שהשולח User Agentשפות , -) לשנות) שניתן כיוון אמינים תמיד לא הם גם אך ההפעלה מערכת שפת

. בקלות אותם

• , , שלרוב מכיוון מאירוע שנרצה המידע כל את לקבל תמיד ניתן לא בנוסף- ה בקשת של הראשונה החבילה את רק מקבלים . HTTPאנו

ה • . SECRETמערכת ניתן בו נח ממשק זהו עבודתנו על הקלה מאוד- ה בשרת המתקבלות החבילות את התקפות. TORלנתח למצוא כדי

בצורה המידע את לנתח חשוב מתאימים חוקים למציאת וכלים נוספות , של. חולשות כגון אחרים מכיוונים התקפות לחפש ניתן כן כמו מדגמית

.' וכו, קודמות מפורסמות התקפות אתרים

- המשך ומסקנות סיכום