יום שלישי, 26 ביוני 2012

כלי נחמד לגניבת סיסמאות

Quarks PwDump is a native Win32 tool to extract credentials from Windows operating systems.
It currently extracts :
  • Local accounts NT/LM hashes + history
  • Domain accounts NT/LM hashes + history
  • Cached domain password
  • Bitlocker recovery information (recovery passwords & key packages)
Supported OS : XP/2003/Vista/7/2008/8

Bitlocker and domain accounts information are extracted offline from NTDS.dit. It's not currently full offline mode cause the tool is dynamically linked with ESENT.dll which differs between Windows version (see README.txt for details).
Local account and cached information are extracted live from SAM and SECURITY hive in a proper way and without code injection or service installation.
In all cases, the tool must be executed on the targeted machine with administrator privileges.
The project is still in beta test and we would really appreciate to have feedbacks or suggestions/comments about potential bugs

יום שלישי, 5 ביוני 2012

תפתחויות ה – FLAME מידע נוסף נחשף - חלק שלישי

יש דברים שחבל להרוס בתרגום מרתתתתתתתתתתק

ww.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers

יום שני, 4 ביוני 2012

התפתחויות ה – FLAME מידע נוסף נחשף - חלק שני

לכל אורך הזמן שעבר הטרידו אותי שתי שאלות לגבי ה - FLAME:

1. איך הוא הדביק מערכות WINDOWS 7 FULLY PATCHED
2. מה בדיוק קרה שם ב - windows update.

ורק לפני כמה דקות קיבלתי תשובות לשתי השאלות וחשבתי שתרצו לדעת גם כן מהם

מתברר שה -  Flame השתמש בטכניקה דומה לטכניקת Man in the middle אך ביצוע הפעולה התבצע לא על ידי בקשות ARP אלא על ידי שינוי הגדרות ה - PROXY בעזרת תהליך הקיים בכל מחשב במידה והגדרות ה - PROXY מוגדרות כאוטומטי (WPAD).
מצב זה אפשר לתפוס כל בקשת HTTP שעוברת מהמחשב המותקף לכיוון רשת האינטרנט כאשר חלק מהבקשות אותם מבצע המחשב בצורה אוטומטית הם בקשות לגטימיות לשרת ה - Windows update.
עם איתור הבקשה הפנה המחשב התוקף את המחשב הנתקף למחשב הנשלט הקיים בתוך הרשת והוריד לו עדכון מזויף אשר מכיל 8 קבצי CAB כאשר אחד מהם מכיל קובץ בשם Wusetup.exe אשר חתום על ידי Microsoft.
מצב זה אפשר הרצה של הקוד ללא כל ידיעה של המשתמש ובקיצור בשפה המקצועית GAME OVER.
להלן תמונות מסך המציגות את הקובץ ואת החתימה שלו שהיום היא Revoked על ידי Microsoft



חייב להגיד כל הכבוד למי שפיתח זאת.

התפתחויות ה – FLAME מידע נוסף נחשף



מיקרוסופט שיחררה אתמול טלאי אבטחה לאחר שגילתה שוירוס ה – FLAME ביצע שימוש לרעה במנגנון חתימת הקבצים שלה .( http://support.microsoft.com/kb/2718704)

החתימה בוצעה על ידי שימוש בחולשה הקיימת ברכיב ה – TERMINAL SERVER. ואפשרה ל – Flame  
לחתום רכיבים שונים שלה ועל ידי כך ליצור מצב בו משתמשים או מנהלי רשת יחשבו כי רכיבי ה – Flame  שייכים למוצרי חברת Microsoft.

להלן ציטוט של Microsoft Security Response Center Senior Director) Mike Reavey):


 "We identified that an older cryptography algorithm could be exploited and then be used to sign code as if it originated from Microsoft. Specifically, our Terminal Server Licensing Service, which allowed customers to authorize Remote Desktop services in their enterprise, used that older algorithm and provided certificates with the ability to sign code, thus permitting code to be signed as if it came from Microsoft."


גילוי זה יוצר קשר דומה בין Stuxnet לבין Flame להסתרת הרכיבים.
Stuxnet השתמש בחתימת הרכיבים שלו על ידי חתימה של Realtek Semiconductor Corp


אני מעריך שככל שיעבור הזמן נגלה פרטים נוספים מעניינים 

לינק לכתבה ב - Mako:

יום שישי, 1 ביוני 2012

וירוס הלהבה

ראיון שלי בערוץ 2 בנושא וירוס הלהבה בתוכנית של שש עם עודד בן עמי