לכל אורך הזמן שעבר הטרידו אותי שתי שאלות לגבי ה - FLAME:
1. איך הוא הדביק מערכות WINDOWS 7 FULLY PATCHED
2. מה בדיוק קרה שם ב - windows update.
ורק לפני כמה דקות קיבלתי תשובות לשתי השאלות וחשבתי שתרצו לדעת גם כן מהם
מתברר שה - Flame השתמש בטכניקה דומה לטכניקת Man in the middle אך ביצוע הפעולה התבצע לא על ידי בקשות ARP אלא על ידי שינוי הגדרות ה - PROXY בעזרת תהליך הקיים בכל מחשב במידה והגדרות ה - PROXY מוגדרות כאוטומטי (WPAD).
מצב זה אפשר לתפוס כל בקשת HTTP שעוברת מהמחשב המותקף לכיוון רשת האינטרנט כאשר חלק מהבקשות אותם מבצע המחשב בצורה אוטומטית הם בקשות לגטימיות לשרת ה - Windows update.
עם איתור הבקשה הפנה המחשב התוקף את המחשב הנתקף למחשב הנשלט הקיים בתוך הרשת והוריד לו עדכון מזויף אשר מכיל 8 קבצי CAB כאשר אחד מהם מכיל קובץ בשם Wusetup.exe אשר חתום על ידי Microsoft.
מצב זה אפשר הרצה של הקוד ללא כל ידיעה של המשתמש ובקיצור בשפה המקצועית GAME OVER.
להלן תמונות מסך המציגות את הקובץ ואת החתימה שלו שהיום היא Revoked על ידי Microsoft
חייב להגיד כל הכבוד למי שפיתח זאת.
1. איך הוא הדביק מערכות WINDOWS 7 FULLY PATCHED
2. מה בדיוק קרה שם ב - windows update.
ורק לפני כמה דקות קיבלתי תשובות לשתי השאלות וחשבתי שתרצו לדעת גם כן מהם
מתברר שה - Flame השתמש בטכניקה דומה לטכניקת Man in the middle אך ביצוע הפעולה התבצע לא על ידי בקשות ARP אלא על ידי שינוי הגדרות ה - PROXY בעזרת תהליך הקיים בכל מחשב במידה והגדרות ה - PROXY מוגדרות כאוטומטי (WPAD).
מצב זה אפשר לתפוס כל בקשת HTTP שעוברת מהמחשב המותקף לכיוון רשת האינטרנט כאשר חלק מהבקשות אותם מבצע המחשב בצורה אוטומטית הם בקשות לגטימיות לשרת ה - Windows update.
עם איתור הבקשה הפנה המחשב התוקף את המחשב הנתקף למחשב הנשלט הקיים בתוך הרשת והוריד לו עדכון מזויף אשר מכיל 8 קבצי CAB כאשר אחד מהם מכיל קובץ בשם Wusetup.exe אשר חתום על ידי Microsoft.
מצב זה אפשר הרצה של הקוד ללא כל ידיעה של המשתמש ובקיצור בשפה המקצועית GAME OVER.
להלן תמונות מסך המציגות את הקובץ ואת החתימה שלו שהיום היא Revoked על ידי Microsoft
חייב להגיד כל הכבוד למי שפיתח זאת.
0 תגובות:
הוסף רשומת תגובה