לפני שלוש שנים כתבתי סדרה של כתבות על ערכות פריצה בהן תיארתי כיצד ניתן לרכוש ערכות מוכנות שמאפשרות תקיפה של מחשבים בצורה אוטומטית, ללא צורך ביותר מידי ניסיון או יכולת בתור האקר.
הערכות שכתבתי עליהן התבלטו בזכות הפרסום שלהן, יכולות התקיפה או תוכניות הרישוי שלהן שהעניקו אפשרויות נוספות להרחבת הערכה או השכרה נוחה של שרת ייעודי שדרכו יתבצעו ההתקפות האוטומטיות. הפעם נכיר את ערכת הפריצה Blackhole ששילבה את היכולות של כל ערכות הפריצה הבולטות מהשנים האחרונות, והוסיפה מספר יכולות ייחודיות (כמובן עד ששאר הערכות הגדולות העתיקו ממנה).
התחלה חזקה
ערכת הפריצה Blackhole יצאה לפורומים בדארקנט בגרסת הבטא 1.0.0 באוגוסט 2010, כאשר היא מבוססת על סקריפטים שכתובים ב-PHP ומשתמשת בבסיס נתונים של MySQL, כמו רוב ערכות הפריצה המובילות. מה שייחד אותה מרוב הערכות היא ההצפנה שלה, שלא מבוססת על קוד פתוח אלא על טכנולוגיית ההצפנה המסחרית IonCube שקשה מאוד לפיצוח. קהל הלקוחות של ערכות הפריצה בתשלום בנוי בעיקר מ-script kiddies, אבל חלקם גם האקרים שפעמים רבות פורצים את הקוד על מנת להשתמש בפריצות שהערכה מכילה בשילוב עם ערכות חינמיות או עבור ערכות פריצה מתחרות שהם מפתחים.
ההצפנה החזקה איפשרה ליוצרי הערכה לוותר לחלוטין על מודל התמחור הרגיל של רכישה חד פעמית ותשלום על עדכונים, ולהפוך לערכה הראשונה שהשתמשה במערכת רישוי מבוססת מנוי לתקופת זמן מוגבלת (כיום רוב ערכות הפריצה עושות שימוש במודל תמחור מבוסס מנוי).
הערכה שפורסמה בתור "מערכת לבדיקת אבטחה ברשתות" יצאה עם מספר גדול של אפשרויות פריצה והגנות בפני אנטי וירוסים, שחלקן לא היו זמינות בערכות פריצה מתחרות, והפכה לאחר פחות משנה לערכת הפריצה הפופולרית ביותר בקרב העבריינים באינטרנט, כאשר היא מובילה בשנתיים האחרונות בהפרש ניכר על פני שאר ערכות הפריצה.
במחירון שלמטה, שפורסם יחד עם יציאת הבטא, ניתן לראות שהערכה הושכרה כבר לפני 3 שנים במחיר למנוי שנתי שעלה יותר מהמחיר של ערכות פריצה מובילות אחרות שהיו זמינות באותה התקופה. מודל התמחור שולב עם אפשרות להשכרת שרת ייעודי לתקיפה ישירות מיוצרי הערכה, בניגוד לערכות פריצה אחרות שמשאירות את השכרת שרתי התקיפה לחברות אחרות.
הגנות בפני אנטי וירוסים
בנוסף להצפנת הקוד של הערכה, היא הגיעה עוד בגרסאות המוקדמות שלה עם מספר הגנות מובנות בפני אנטי וירוסים:
- שיטות obfuscation שונות שמסוות את הקוד של הסקריפטים שתוקפים רגישויות ב-JAVA, Adobe Flash, Adobe Reader ו-HTML.
- אותן השיטות משמשות גם להסוואה של הקוד כאשר הוא משולב בספאם או בהתקפות על דפדפנים ומערכות הפעלה.
- המטרה היא למנוע זיהוי וחסימה ע"י תוכנות אנטי וירוס עוד בשלב הפריצה הראשוני.
- תוסף לערכה בתשלום נוסף שמספק בדיקה של נוזקות חדשות בצורה אוטומטית דרך האתר AV-Check (עם אפשרות להשתמש בשירותים מתחרים) שהוא הגרסה של ההאקרים לאתר Virus Total – אתרים שניתן להעלות אליהם קבצים נגועים ולסרוק אותם בו זמנית עם כל האנטי וירוסים שקיימים בשוק. ההבדל הוא שכאן מדובר באתרים שלא שולחים את הדגימות שהם מקבלים לחברות האנטי וירוס.
- כמו כל האתרים והפורומים שמשרתים האקרים, גם אותם לא ניתן למצוא דרך מנועי החיפוש המוכרים, ולא ניתן להיכנס אליהם בלי להירשם קודם לכן דרך הפורומים בדארקנט.
- השירות מאפשר למשתמשים בערכה ליצור ווריאנטים חדשים של הנוזקות או של ההצפנות שלהן, ולבדוק מיידית אם הם מזוהים ע"י אנטי וירוסים לפני שהם משתמשים בהם בפועל.
- רשימת blacklist של כתובות של חברות אבטחת מידע וחברות אנטי וירוס שמתעדכנת בכל עדכון אוטומטי של הערכה, עם יכולת ייבוא של טווחי כתובות אינטרנט ועם שילוב של מערכת שדרכה יכולים המשתמשים בערכה לשתף כתובות אחד עם השני.
- התקפה של כתובת IP רק פעם אחת, כדי להתחמק מ Honeypot של חברות האנטי וירוס.
ממשק מתקדם
כאשר קורבן פוטנציאלי מגיע לדף הנחיתה של הערכה, דרך ספאם, קישור בפייסבוק או דרך אתר לגיטימי שנפרץ, מבצעת הערכה בדיקה ראשונית של המחשב שהותקף שמספקת
לתוקף מידע על:
- סוג הפרצה שהצליחה לפרוץ את המחשב
- מערכת ההפעלה של המחשב שהותקף
- המדינה בה נמצא המחשב שהותקף
- החברה שמספקת הפניות לאתר התקיפה של החברה
- הדפדפן שדרכו התבצעה ההתקפה
כל המידע הסטטיסטי בשילוב עם אחוז ההתקפות המוצלחות מוצג בצורה נוחה ומעוצבת כאשר ניתן אפילו לערוך את התצוגה של הממשק בעזרת ווידג'טים שמציגים את המידע שמעניין את המשתמש בערכה.
כפי שניתן לראות בצילום המסך שלקוח מגרסת הבטא של Blackhole, החלון הראשי בממשק מספק סטטיסטיקות עם התקפות מוצלחות על כל סוגי הדפדפנים הפופולריים, התקפות דרך Flash, JAVA, PDF ו- HTML, וכל מערכות ההפעלה הנפוצות.
גם ישראל נמצאת בדוגמא, ואני יכול להעיד שמגיעים אלינו לקוחות חדשים רבים שנפגעו מנוזקות שהגיעו דרך הערכה.
לסיכום
חשוב לזכור שערכות הפריצה לא עובדות רק דרך אתרים יעודיים שמפנים אליהם כמו אתרי פורנו ושיתוף קבצים, אלא גם דרך אתרים לגיטימיים ואפילו פורטלים גדולים ופופולריים. האתרים הגדולים עולים בדרך כלל על הפריצה תוך זמן קצר יחסית, אבל התעבורה הגבוהה של גולשים באתר עדיין מאפשרת לתוקף להגיע למספר גדול של מחשבים.
במהלך השנתיים האחרונות היו לא מעט מקרים בהם הפורטלים הגדולים ביותר בארץ נפרצו ושימשו להפצת נוזקות, כאשר כמובן לא התפרסם בעניין שום מידע בתקשורת.
לכן חשוב להקפיד לעדכן את Flash Player, JAVA או PDF ברגע שיוצא עדכון אבטחה (עדיף להשתמש בקורא PDF שאינו של חברת Adobe "כמו Foxit"), ולא להשאיר את ההתראות על העדכונים בשורת המשימות ללא התייחסות, כמו שאני רואה בדר”כ כשאני מתחבר למחשב נגוע.
את הפריצה הראשונית אנטי וירוסים חינמיים או בסיסיים בדר"כ לא יגלו, וגם את הנוזקה שמושתלת באמצעות הפריצה מפספסות רוב התוכנות החינמיות, לכן חשוב גם להשתמש בחבילת אבטחה מלאה של אחת מחברות האנטי וירוס המובילות.
במאמר הבא נראה כיצד ערכת הפריצה Blackhole התפתחה במהלך השנתיים האחרונות, וכיצד הפכה לערכת הפריצה שאחראית על אחוז ההדבקות הגדול ביותר בעולם.
קרדיט תמונה: Shutterstock