Networkforensic
Threat hunting
LOTS Detection
12 Oktober 2024 - Blog Post # 868
LOTS - "Living off trusted sites"
Domæner som mange benytter har mange virksomheder og IT-Sikkerheds
folk det med at få whitelistet i mange forskellige sikkerheds
systemer. Det er langt fra nyt. Det kan være støj i logs, langsomme
systemer, optimeret AV scanninger, tilpasset EDR systemer, der
sender for mange logs, DNS opslag der støjer osv osv.... Men faktum
er at mange af disse forskellige tjenester hvor der kan hostes
filer, kode hvor download / upload er mulig, de har og vil altid
blive udnyttet i forbindelse med forskellige attacktyper, til
Payloads, Data-X-fil, Phishing, C&C osv... Det er en stor
udfordring især når man benytter sig af Cloud tjenester som eks O365
løsninger, hvor alle virksomheder i bund og grund bliver den samme
virksomhed.
Microsoft er selv kommet med at advarsel om stigende attacks
hvor denne type sites bliver benyttet. Metodikken der ofte bliver
benyttet kan være svær for mange at opdage. Selv metodikken de
beskriver her syntes jeg er "smukt" udført og kan være meget svær at
opdage og de fleste vil sikkert aldrig bliver opdaget. Jeg udførste
selv et par test med at inficerere en host via Sharepoint med en exe
fil og en inficeret DOCX fil. EXE filen bliver forsøgt stoppet på
mange måder men DOCX filen ryger lige igennem.
Eksempler på nogen udnyttet sites.
Bare lige for at komme med et par eksempler som tit bliver udnyttet
det kunne være Sharepoint, Dropbox, OneDrive, Google drive,
forskellige Office sites, Facebook, Meta, Slack, Telegram osv osv
listen er lang. For at få et indblik i hvilke sites der kan være
tale om, så kan man tage et kig på
lots-project.
Listen er slet ikke komplet i mine øjne og der mangler sites som er
lige så meget udnyttet som ikke er med på listen. Det er lidt i
forlængelse af eks
LOLBAS
og LOLdrivers.
Teknikker/metodikker som i virkeligheden er helt fantastiske til
attacks, da de sjældent kræver bagdøre og ny malware. Kort sagt man
benytter sig bare af det der er tilgængeligt på systemerne i
forvejen og som sjældet rejser nogen sikkerheds flag og i mange
tilfælde er whitelistet.
LOLBAS, LOTS, og Loldrivers.
Dette er alle ting man kan tune sin Sysmon detection til at kunne
opdage uden de helt store problemer. Netop detection af LOLBAS,
LOLdrivers og LOTS er noget jeg har haft indsamlet meget længe i min
egen config af Sysmon. Dog vil jeg sige at LOTS har fået mere
opmærksomhed nu end tidligere. Det gør at man får de rigtige logs
indsamlet. Der hvor selve detection / alert delen skal laves er ofte
på et SIEM system, der kan overvåge disse kontinuerligt op imod eks
MISP, Virustotal data og anden form for relevant data.
Metodikkerne
Selve udnyttelsen at disse metodikker, er noget der i
højere og højere grad er er fokus på fra APT aktører. Der udkommer
mange TI reports hvor man kan se at det er tilfældet. Det er helt
almindelig ting de bare udnytter.
I en modernet hacker verden er det faktisk ikke "så svært" at få
adgang til systemer især når der ikke bliver benyttet 2FA på alle
systemer og der benyttes åbne porte der udstiller en bagved liggende
web-server. Det ser vi desvære hver eneste dag. Desuden har vi alt
for meget trust til mange af disse kendte sites generalt, som nok er
den største sikkerheds risiko. Så alle der eks bruger O365, der
truster man jo allerede alle de sites som Microsoft tilbyder igennem
deres løsning. Det her er ikke for at slå løs på Microsoft og O365
det kan være alle mulige andre ting også, se bare hvor lang liste
med LOTS site er og hvor mangelfuld den samtidigt også kan være.
Et par gode råd
En par ting mange overser er brugen af TLS/SSL VPN løsninger, hvor
man udstiller et web-Interface til brug for log-on til VPN.
Udfordringen er at web-serveren ligger på samme boks og basalt set
exponerer den bagved liggende web-server til brug for Log-on i
forbindelse med VPN adgangen, men ofte er det web-server delen der
er en sårbarhed i og når så et exploit bliver frigivet er det oftes
web-serveren delen der så giver adgangen for en attacker.
Men vi ser jo også en kæmpe stigning i "low and slow bruteforce
attacks" imod alle systemer hvor der kan forsøges at blive
logget ind. Disse attacks kører i døgndrift derude. Jeg har selv
afdækket
BIMP-BotNettet, som gør netop dette. Så generalt set er mange
servises langt fra sikret godt nok udadtil. Antallet af afdækket
Botnets der laver bruteforce attacks bliver også flere og flere. Det
er derfor vigtigere nu end nogen siden før at få lukket åbne
servises ned. Netop Microsoft seneste advarsel beskriver netop en
bruger konto der giver adgang. Så min henvisning til VPN og
web-interfaces går i virkeligheden på at man nok ikke længere bør
benyttes sig af denne type adgange hvor der ligger en web-server og
udstiller en log-on promt der giver adgang til ens virksomhed. Nye
alternativer bør blive undersøgt.
Happy hunting.....
SNORT
NF IDS Rules
Latest Updates
CUPS DDOS Attack
Test rules update
Radius servers
Kerio Crash FTP
Kerio crash Domain
Zendesk Crypto
mining
Download
Suricata
NF IDS Rules
3 Latest Updates
BIMP-BotNet
Remcos-RAT
IOT-Password Attacks
Download
Sysmon
Config
Latest Updates
Version 15.15 Config 55
Download