יום שישי, 8 במאי 2015

Forensic




אחת מהבעיות העיקריות בביצוע תהליך FORENSIC הוא לאחר ביצוע תהליך שיכפול ה - Harddisk (על פי כל התקנים של שיכפול ביט אחרי ביט), היא לבצע מחקר על מחשב חיי.

כאשר החומרה זהה וניתן לקחת את כל המחשב המשימה דיי קלה, אבל המציאות מושכת אותנו לא מעט פעמים לפיתרונות שדורשים יצירתיות.

לאחרונה נתקלתי בתהליך Forensic שנכנסתי אליו בשלב מתקדם כלומר הלקוח חשד שיש לו אירוע, שיכפל את ה - HD שחשב שהם נגועים והביא לנו לחקירה(הלקוח הוא לקוח בינלאומי)

בבחינה שערכתי אל מול הלקוח לא היה ניתן לקבל את ה - Hardware (הברזלים) של אותו מחשב מכיוון שמרבית המחשבים לא קיימים למכירה, והמחשב "הנגוע" היה בשימוש ולא היה ניתן לקבל אותו, אך עדיין רציתי לעלות את המחשב ולבצע חקירה מעמיקה.

במידה ונעלה את המחשב על חומרה חדשה ניתקל בבעיה חמורה מאוד של דרייברים , ומרבית המקרים אף לא נוכל לעלות אותו עקב בעיה זו.

הפתרון:

עם זה שידוע לי שהפיתרון הנ"ל לא מושלם, הוא עדיין נותן מענה לבעיה באופן דיי טוב לטעמי, אתם בטח שואלים את עצמכם מה הפיתרון ולמה לא נותן מענה מלא, אנסה לפרט זאת למטה.

הפיתרון הוא לאחר ביצוע תהליך שיכפול ה - Harddisk ביט אחרי ביט , יש לבצע גיבוי של ה - Harddisk הנ"ל על ידי תוכנת   Acronis True Image ל - HD חדש.

לאחר יצירת ה - IMAGE יש לשפוך את ה - IMAGE ל  - HD חדש ולהשתמש בפונקציית ה - Universal Restore, פונקציה זו תיקח מ - Disk on key את כל ה - Drivers (במקרה שלנו זה היה מחשב DELL) הנחוצים על מנת לעלות את המערכת באופן תקין ללא כל בעיה.

והמערכת תעלה לנו מהחשב החדש כאילו הייתה תמיד מותקנת שם :)

בעייה נוספת שנתקלתי היא שרציתי לעלות את מערכת ההפעלה בפרופיל של המשתמש על מנת להבין אם משהו הושתל ייעודית על הפרופיל שלו אך למרבה הצער לא סיפקו לנו את שם המשתמש והסיסמא של המשתמש (בעיה נוספת).
על מנת לפתור את הבעיה הנ"ל העלתי את המחשב עם KONBOOT ונכנסתי לפרופיל של המשתמש.

אין ספק שפיתרון זה לא אידאלי כי במידה והסוס טוריאני מזהה מרכיבים כגון Drivers(שעד כמה שאני מכיר לא ראיתי סוס כזה) או לחילופין מבין שהוא לא בסביבה הטיבעית שלו הוא יכול למחוק את עצמו.

אך עם זאת ביצוע בדיקות נוספות כגון ביצוע בדיקה סטאטית או ביצוע בדיקה על המחשב המקורי יכולים לעזור במידה ועולה חשד נוסף.

מקווה שעזרתי לילה טוב :)




יום רביעי, 1 באוקטובר 2014

PowerDumpMail

PowerDumpMail is a mail extractor for Microsoft Outlook.

The Meterpreter script that i wrote was developed in order to give pen testers the ability to extract sensitive information from a controlled stations.

The script gives the user the functionality to extract all Microsoft folder like (inbox,sent items,deleted items,calendar etc...).

The Script is a combination of ruby and powershell script.

The User doesn't need to be login to an Exchange Server or that the Microsoft Outlook program will be opened.

The Meterpreter Script was tested on windows 7 Microsoft Outlook 2010

For any Questions Feel Free to talk to me 

here is a short video i made of using powerdumpmail


יום שני, 14 ביולי 2014

כתבות סייבר

לאורך השנים האחרונות יצא לי להתראיין לא מעט לכתבות בנושא הסייבר לטלוויזיה בערוצי החדשות השונים בארץ, וחשבתי בשבילי למזכרת לרכז את כולם בכתבת בלוג אחת.


















יואב לימור- רצועת הביטחון

יום שישי, 4 באפריל 2014

windows-domain-credentials-phishing-tool

While performing a Pen test for a client me and @NightRang3r needed to catch domain user name and password, there are several ways to gain users passwords and it really depends on a lot of factors on how to get it in my case we didn’t had time to wait for the user to enter his credentials and get it using a key logger so I and @NightRang3r created a fake windows domain login window to tried to force and trick the user to enter his password.
of course it worked like a charm ;)

There are several tools and techniques such as “Mimikatz” but they require you to have administrative/system privileges, you don’t need special privileges to execute “Windows Domain Credentials Phishing Tool”.

* Special Thanks to @NightRang3r For helping in all the stages of developing the tool.



* Please note, this tool require .NET framework on target system.

* This tool should not be used to perform illegal
Windows Domain Credentials Phishing Tool from NightRanger on Vimeo.
activities.

יום ראשון, 5 בינואר 2014

kali on android tablet

לאחרונה החלטתי שצריך שיהיה לי מכשיר מסוג ANDROID בבית (שנים עם מוצרי APPLE), אז החלטתי לקנות "לבת שלי" מכשיר שכזה.
לאחר שהתקנתי לה את כל המשחקים החלטתי שהגיע הזמן להתקין לי את המשחקים .
ואז חשבתי לעצמי מממממממ מה הייתי רוצה שיהיה לי במכשיר.

אז דבר ראשון שעשיתי זה השגתי ROOT על המכשיר, בלי זה אי אפשר להתקין אף תוכנה טובה, לאחר מכן התקנתי כלי נחמד בשם dsploit, כלי זה מאפשר לבצע פעולות שונות על גבי WIRELESS כגון SNIFFING, MITM ועוד, שמדגימות בצורה יפה בעיות באבטחת מידע הקיימות ב - Wireless.


לאחר מכן חשבתי איזה עוד כלים יהיה נחמד שיהיה לי בארגז כלי אבטחת המידע שלי ,אז החלטתי להתקין את KALI, קראתי לא מעט מדריכים המסבירים איך להתקין, אך לאחר מספר ניסיונות שונים גיליתי שהשיטה הפשוטה ביותר היא להשתמש בתוכנה ל - ANDROID בשם linux deploy.

Cover art

תוכנה זו מאפשרת להתקין הפצות שונות בינהם KALI, ההתקנה נמשכת כ - 10 דקות , אבל מה זה 10 דקות בשביל KALI זמין חחחחחחח.

לאחר ההתקנה מומלץ להתקין AndroidVnc ולהתחבר למערכת ההפעלה בעזרת זה על ידי שימוש בסיסמת ברירת המחדל של שירות ה - VNC סיסמה: changeme.

מה שנשאר עכשיו זה לקנות כבל OTG ואנחנו מסודרים.

יום ראשון, 22 בדצמבר 2013

מה יקרה בעוד ...... שנים.

קצת לחוץ בתקופה האחרונה והרגשתי שהזנחתי אותכם ולכן החלטתי להציג לכם סירטון נחמד שנתקלתי בו באחת הקבוצות, מקווה לחזור בקרוב בפוסטים מעניינים.



PLURALITY from Dennis Liu on Vimeo.

יום רביעי, 12 ביוני 2013

PRISM

פרשת ה – PRISM הוכיחה שוב את הקשר הישיר בין העולם הוירטואלי לעולם הפיזי, הקשר הזה בפעם הראשונה פרץ את גבולותיו כאשר תולעת ה – STUXNET פגעה במתקני הגרעינים האירניים ושוב אנו רואים פריצה של גבולות שכאלה.

הרבה אנשים שדיברתי איתם בתעשיה טוענים כי נושא זה היה ברור ולא הופתעו כלל מנושא המעקבים אני דיי מסכים איתם(צפיתי את הנושא בשנת 2010 לינק לכתבה ).
אך מה שחשוב יותר להבין מהפרשה שנחשפה:

א.      היכולת של מדינה לעקוב אחרינו בכל זמן נתון , לקרוא את הנתונים אם זה דרך CHAT של GOOGLE,FACEBOOK העברת תמונות במייל, מיקומים וכדומה שזה הדבר הברור שהחשיפה של המערכת PRISM הציגה לעולם.
ב.      הדבר הפחות ברור שכולנו סוג של שבויים בתוך המערכת הזאת  - הכוונה היא, שעל כולנו נאסף לא מעט מידע ובזמן אמת. שארצות הברית או מדינה שכנה תרצה להשתמש במידע הזה נגדנו, תוכל המדינה לנצל זאת על מנת לקבל שליטה חלקית או מלאה עלינו כבני אדם.

לדוגמא: נניח שאירני בוגד במידנתו ועובד במפעל ביטחוני כזה או אחר שלארצות הברית יש רצון לקבל גישה, או לחילופין אדם שבוגד באישתו ,הימורים וכדומה.
מה שארצות הברית צריכה לעשות זה רק להריץ חיפוש על האדם הרלוונטי הנמצא בקטגוריה זו ולהפעיל עליו לחץ של סחיטה במטרה שיכניס רכיב תוכנה זדוני לרשת או למשוך מידע רלוונטי.
לעולם הקורבן לא ידע בפועל מי הפעיל אותו ויש סיכוי שיבצע את הפעילות מחוסר ברירה.
ג.       היכולת של עובדים להיות חשופים למידע בלחיצת כפתור, הבחור שחשף את הידיעה לעולם ציין כי אם רצה יכל לרגל אחרי נשיא ארצות הברית או כל אדם שחפץ בו. פה נכנס אלמנט נוסף של שוחד ושל גורמים שונים שירצו לשים את היד על המידע הנ"ל.
תמיד מציגים מה יהיה ב – 2020 אך  מול מערכת ה - PRISM ודומות לה אנו ניצבים בבעיה יום יומית וככל שיעבור הזמן כך כמות המידע עלינו ועל הקרובים שלנו תעלה, וגם היכולת שלנו להתגונן כארגונים תיקטן באופן משמעותית.

אני חושב שבשורה התחתונה מערכת PRISM אפשרה לאירגוני הביון לא מעט "הזדמנויות עסקיות" לאתר גורמים שיכולים לעזור או לחילופין להפעיל לחץ על גורמים שכאלה ובעתיד ההשפעה שלה תיגדל בצורה שיהיה באמת קשה לעשות משהו בלי שהעין של האח הגדול תצפה.


צירפתי את הסרטון של אדוארד סנודהן שמתראיין על מערכת PRISM שחשף שווה לראות:





הראיון המלא שלי בערוץ 2 על הנושא: