Networkforensic

Threat hunting

 LOTS Detection

 12 Oktober 2024  - Blog Post # 868

LOTS - "Living off trusted sites"
Domæner som mange benytter har mange virksomheder og IT-Sikkerheds folk det med at få whitelistet i mange forskellige sikkerheds systemer. Det er langt fra nyt. Det kan være støj i logs, langsomme systemer, optimeret AV scanninger, tilpasset EDR systemer, der sender for mange logs, DNS opslag der støjer osv osv.... Men faktum er at mange af disse forskellige tjenester hvor der kan hostes filer, kode hvor download / upload er mulig, de har og vil altid blive udnyttet i forbindelse med forskellige attacktyper, til Payloads, Data-X-fil, Phishing, C&C osv...  Det er en stor udfordring især når man benytter sig af Cloud tjenester som eks O365 løsninger, hvor alle virksomheder i bund og grund bliver den samme virksomhed.

Microsoft er selv kommet med at advarsel om stigende attacks hvor denne type sites bliver benyttet. Metodikken der ofte bliver benyttet kan være svær for mange at opdage. Selv metodikken de beskriver her syntes jeg er "smukt" udført og kan være meget svær at opdage og de fleste vil sikkert aldrig bliver opdaget. Jeg udførste selv et par test med at inficerere en host via Sharepoint med en exe fil og en inficeret DOCX fil. EXE filen bliver forsøgt stoppet på mange måder men DOCX filen ryger lige igennem.



Eksempler på nogen udnyttet sites.
Bare lige for at komme med et par eksempler som tit bliver udnyttet det kunne være Sharepoint, Dropbox, OneDrive, Google drive, forskellige Office sites, Facebook, Meta, Slack, Telegram osv osv listen er lang. For at få et indblik i hvilke sites der kan være tale om, så kan man tage et kig på lots-project. Listen er slet ikke komplet i mine øjne og der mangler sites som er lige så meget udnyttet som ikke er med på listen. Det er lidt i forlængelse af eks LOLBAS og LOLdrivers. Teknikker/metodikker som i virkeligheden er helt fantastiske til attacks, da de sjældent kræver bagdøre og ny malware. Kort sagt man benytter sig bare af det der er tilgængeligt på systemerne i forvejen og som sjældet rejser nogen sikkerheds flag og i mange tilfælde er whitelistet.

LOLBAS, LOTS, og Loldrivers.
Dette er alle ting man kan tune sin Sysmon detection til at kunne opdage uden de helt store problemer. Netop detection af LOLBAS, LOLdrivers og LOTS er noget jeg har haft indsamlet meget længe i min egen config af Sysmon. Dog vil jeg sige at LOTS har fået mere opmærksomhed nu end tidligere. Det gør at man får de rigtige logs indsamlet. Der hvor selve detection / alert delen skal laves er ofte på et SIEM system, der kan overvåge disse kontinuerligt op imod eks MISP, Virustotal data og anden form for relevant data.

Metodikkerne
Selve udnyttelsen at disse metodikker, er noget der i højere og højere grad er er fokus på fra APT aktører. Der udkommer mange TI reports hvor man kan se at det er tilfældet. Det er helt almindelig ting de bare udnytter.

I en modernet hacker verden er det faktisk ikke "så svært" at få adgang til systemer især når der ikke bliver benyttet 2FA på alle systemer og der benyttes åbne porte der udstiller en bagved liggende web-server. Det ser vi desvære hver eneste dag. Desuden har vi alt for meget trust til mange af disse kendte sites generalt, som nok er den største sikkerheds risiko. Så alle der eks bruger O365, der truster man jo allerede alle de sites som Microsoft tilbyder igennem deres løsning. Det her er ikke for at slå løs på Microsoft og O365 det kan være alle mulige andre ting også, se bare hvor lang liste med LOTS site er og hvor mangelfuld den samtidigt også kan være.

Et par gode råd
En par ting mange overser er brugen af TLS/SSL VPN løsninger, hvor man udstiller et web-Interface til brug for log-on til VPN. Udfordringen er at web-serveren ligger på samme boks og basalt set exponerer den bagved liggende web-server til brug for Log-on i forbindelse med VPN adgangen, men ofte er det web-server delen der er en sårbarhed i og når så et exploit bliver frigivet er det oftes web-serveren delen der så giver adgangen for en attacker.

Men vi ser jo også en kæmpe stigning i "low and slow bruteforce attacks"  imod alle systemer hvor der kan forsøges at blive logget ind. Disse attacks kører i døgndrift derude. Jeg har selv afdækket BIMP-BotNettet, som gør netop dette. Så generalt set er mange servises langt fra sikret godt nok udadtil. Antallet af afdækket Botnets der laver bruteforce attacks bliver også flere og flere. Det er derfor vigtigere nu end nogen siden før at få lukket åbne servises ned. Netop Microsoft seneste advarsel beskriver netop en bruger konto der giver adgang. Så min henvisning til VPN og web-interfaces går i virkeligheden på at man nok ikke længere bør benyttes sig af denne type adgange hvor der ligger en web-server og udstiller en log-on promt der giver adgang til ens virksomhed. Nye alternativer bør blive undersøgt.

Happy hunting.....

 SNORT
NF IDS Rules

Latest Updates

CUPS DDOS Attack

Test rules update

Radius servers

Kerio Crash FTP

Kerio crash Domain

Zendesk Crypto mining

Download   
 

 Suricata
NF IDS Rules

3 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 

Download

Sysmon Config
Latest Updates

Version 15.15 Config 55

Download