Hashes of Mass Destruction

October 18, 2015

כאשר מסתכלים על שלל התקיפות בעולם הרשתי, בעולם הסייבר, מתגלה נתון מדהים. אחד הכלים המרכזיים המשמש האקרים בכדי לפרוץ לרשת ארגונית ולגנוב כרטיסי אשראי ומידע אישי, כמו מספר תעודת זהות או פרטיים רפואיים, בעצם נמצא כבר ברשת. לא אנטי וירוס מתוחכם ולא הדור הבא של חומות האש (next generation firewall) מאפשרים הגנה על החשבונות הרגישים ברשת הארגונית. אותם חשבונות, המוכרים לנו לרוב כחשבון Admininstrator, מהווים אבני יסוד לרשתות ארגוניות בכך שאותם חשבונות מאפשרים לנו לנהל את הרשת, לשנות הגדרות ולהקים מערכי הגנה. ומנגד, מאפשרים לתוקפים לעשות ככל העולה על רוחם.

 

לפני מספר חודשים, שמענו על פריצה לרשתות של משרדי ממשלה בארה"ב (Office of Personal Managment). המשרד מנהל את תהליך הקניית הסיווג לכל אחד ואחד מאנשי הממשל והביון של ארה"ב. הנכסים הרשתיים של המשרד, שאחסנו מידע רגיש אודות כל אותם אנשים, נפרצו והמידע מצא את דרכו לבעלי העניין. בעלי העניין בתקיפה זו עדיין אינם ברורים, אך פרסומים רבים קושרים קבוצות סיניות שבצעו מספר תקיפות באמצעים ושיטות דומות לאלו שנותחו בפריצה זו. אבל כאמור, המידע אינו חד משמעי ומורכב ברובו משמועות הנפוצות מבעלי עניין.

בתקיפה זו, כמו ברבות תקיפות אחרות בשנה האחרונה, התוקפים עשו שימוש בחשבונות עם הרשאות גבוהות על מנת להגיע לנכסים הרגישים והוציאו את המידע לנקודות איסוף שונות ברחבי העולם. כלים חיצווניים כמו תולעים וסוסים טרויינים, שלעיתים משאירים עקבות וחתימות שעלולות להתגלות על ידי אמצאי אבטחה, כמעט ולא היו בשימוש. שם משתמש וסיסמה של חשבון פריבלגי מספיקים כדי למוטט רשת ארגונית ולאפשר לתוקפים לשים את ידם על מידע רגיש ולהוציאו מחוץ לתחומי הרשת. החשבונות האלו, כאשר הם אינם מוגנים פשוט מהווים נשק להשמדה רשתית המונית.

 

ברשתות ארגוניות גדולות לרוב נעשה שימוש נרחב במערכת ההפעלה של מיקרוסופט שמאפשרת למתמשי הקצה להכניס פעם אחת שם משתמש וסיסמה ומשם הרשת פתוחה בפניהם לרווחה. הרשת על כל נכסיה, היא מצרך חיוני ונוחות הגישה למדפסת ושרת קבצים או הדואר האלקטרוני הם חלק מהשירותים המאוד בסיסים אותם אנו צורכים ובעצם מתאפשרים על ידי פעולות של מערכת ההפעלה מאחורי הקלעים. המערכת שומרת את הסיסמה שלנו בצורת האש (hash). ההאש הוא בעצם ייצוג של הסיסמה שלנו ומאפשר למערכת מצד לבצע פעולות בשמנו - ההאש בעצם מהווה אסמכתה שמאפשרת למחשב לבצע משיכה של דואר בשמי או להתחבר לשרת קבצים בשמי מבלי שאצטרך להזדהות על ידי הקלדת הסיסמה פעם נוספת.

ועכשיו לצד החשוך. תוקפים מחפשים את אותו האש ומשתמשים בו בכדי לגנוב את זהות המשתמש ולגשת לאותם נכסים רשתיים אליהם אותו חשבון מאפשר גישה. זה כל העניין. כדי לחלץ את האש מהמכונה נדרשים כלים בסיסיים בלבד, שאת רובם ניתן להסליק ולמנוע מאמצעי ההגנה ברשת לזהות את התקיפה ולבלום אותה.

 

במערכת ההפעלה החדשה של מיקרוסופט, חלונות 10, נעשה ניסיון להגן על אותה אסמכתה, על אותו האש, על ידי הקמת אזור מוגן במערכת ההפעלה, שלא יאפשר גישה של משתמש גם עם ההרשאות הגבוהות ביותר. באופן לא מפתיע, חוקרי אבטחה בעולם כבר הצליחו לדלות את ההאש מתוך הזכרון ולעשות בו שימוש. (פרטים נופים ניתן למצוא כאן - קישור - Mimikatz הוא כלי המאפשר חילוץ של האש מהזכרון גם במערכת ההפעלה חלונות 10)

 

הפתרון המושלם כרגע לא נראה באופק. יש הרבה פתרונות להגנה על אותם חשובנות, ביניהם כמובן גם סייברארק, שמאפשרים צמצום משמעותי בחשיפה של אותם חשבונות וניתור פעילות חשודה. אך מספיק איש IT אחד לא זהיר שלוחץ על קישור מפוקפק, כדי לחשוף חשבון פריבלגי לתוקף נחוש. פתרונות כמו second factor authentication, חומות אש מתקדמות וניתוח התנהגויות  מאפשרים הגנה מסויימת על הארגון מבחוץ אבל אינם מאפשרות הגנה מספקת מבפנים.

 

אז עד שימצא הפתרון המושלם:  Keep Calm and Rebuild the Forest

 

 

 

Please reload

Featured Posts

Chaos!

April 27, 2016

1/4
Please reload

Recent Posts

November 15, 2017

September 22, 2017

Please reload

Archive
Please reload

Search By Tags