מחקר מעניין של חברת Profero הישראלית בו היא מציגה כיצד תוקף, שתקף לא מעט גם בישראל, בנה נוזקה שבורה ולא מאובטחת 😄 לפי ה

מחקר מעניין של חברת Profero הישראלית בו היא מציגה כיצד תוקף, שתקף לא מעט גם בישראל, בנה נוזקה שבורה ולא מאובטחת 😄 לפי המחקר של Profero, התוקף עשה שימוש ב-Discord כשרת C2 אבל את המפתח לדיסקורד הוא השאיר Hardcoded בתוך הנוזקה... החברה עשתה שימוש בטוקן כדי לנטר את הפעילות של התוקף, ולמשוך היסטוריית הדבקות, לאתר קרבנות שהותקפו ועוד. עוד מתברר שהתוקף בנה את הנוזקה בצורה עקומה ככה שכל עמדה שהודבקה היא גם מקבלת פקודות מה-C2, אבל יכולה גם לשלוח פקודות לכל מי שהודבק, כך שלמעשה אפשר היה להשתמש בטוקן החשוף כדי לשלוח פקודות לכל העמדות שהודבקו (לדוגמא, פקודה שמוחקת את הנוזקה מכל מי שהודבק...) בקיצור, נראה שהתוקף יצר נוזקה עם וייב קודינג. מחקר מעניין שמכיל גם אינדיקטורים ורלוונטי לישראל. זה אמנם החלק השני אבל תמצאו שם קישור גם לחלק הראשון: profero.io
t.me

סיכום מאמר

חברת Profero הישראלית פרסמה מחקר מעניין על תוקף שפעל בישראל ובנה נוזקה פגומה ולא מאובטחת. לפי המחקר, התוקף השתמש ב-Discord כשרת C2, אך השאיר את המפתח לדיסקורד hardcoded בתוך הנוזקה, מה שהוביל לחשיפת הפעילות שלו. החברה השתמשה בטוקן החשוף כדי לנטר את הפעילות של התוקף ולזהות קרבנות שהותקפו. עוד התגלה שהנוזקה נבנתה בצורה לקויה, כך שכל עמדה שהודבקה יכלה לקבל ולשלוח פקודות לכל שאר העמדות שהודבקו. המחקר מדגיש את החשיבות של אבטחת מידע ומספק אינדיקטורים רלוונטיים לישראל. ניתן למצוא קישור לחלק הראשון של המחקר באתר Profero. המחקר מדגים כיצד טעויות של תוקפים יכולים להוביל לחשיפתם ולפגיעה בפעילותם.