Networkforensic

Threat hunting

Analyser af BOTNET - SektorCERT

 8 Juni 2024  - Blog Post # 863

BIMP-BotNet -
SektorCERT har frigivet "Analyser af BOTNET" som er en opfølgning på deres  frigivelse af "Uautoriserede scanninger mod energi- og forsyningsselskaber" Rapporten ser på IP adresser der ikke kunne identificeres i første omgang men identificere og et Botnet som har kørt længe under radaren. Det er i forhold til at foretage "low and slow" bruteforce attacks imod stort set alt der har en "login promt" Det der er det lidt vilde er at det udelukkende er et Botnet bestående af IOT dimser og som ikke kan relateres til andre typer Botnet's, som allerede er kendte derude. Yderligere er der identificeret forskellige andre Botnet's som også spiller en rolle i forhold til vedvarende daglige angreb. Det er noget der rammer alle og anbefalinger kan i høj grad anbefales til alle.

Man kan hente både en Dansk og en Engelsk version på SektorCERT's hjemmeside.



 

Kerio Connect (GFI) Upload og Remote Tools giver udfordringer med privacy og sikkerhed

 5 Juni 2024  - Blog Post # 862

Kerio Connect (GFI) med sikkerheds udfordringer
Inbygget som i så meget andet er der i Kerio Connect mail servers en inbygget funktion (kassist.exe) som i tilfælde af at noget crasher indsamler oplysninger om et crash, det er også kaldet for et "crash dump" Det kan være i tilfælde af at en update fejler, så får administratoren den mulighed via en GUI at kunne sige ja til at uploade dette til Kerio (GFI). Det er faktisk ikke noget man lige har mulighed for at slå fra via config nogen steder, MEN man kan jo sige nej til at uploade når og hvis GUI fremkommer. Dog i den seneste version har deres automatiske GUI været lidt fraværende og ikke fremkommet, hvilket jo kan give lidt udfordringer når der så sker en upload alligevel.





Indsamling af data i forbindelse med Crash
Den store udfordring med at kassist.exe indsamler data, er at alle Configs omkring hele systemet nu bliver indsamlet og sendt direkte til Kerio (GFI) . Det betyder i virkeligheden at man kan opsætte en "tro" kopi at hele mail systemet på et andet test system, herunder alle brugerer med tilhørende password i form af HASH værdier. Alle sikkerheds indstillinger der er lavet på systemet er også en del af den pakke. Man kan sige det er nødvendit i en fejl situation til en udvikler der skal kigge det igennem.


Billedet her viser en SNIP af den indsamlet information fra en Kerio Connect Mail server


Hvem stoler man på ?
Min kæmpe udfordring, med at det hele bare bliver indsamlet og sendt er jo at, stoler man på den modtager i den anden ende, der basalt set nu kan opsætte hele systemet hos sig selv ? Man ved jo faktisk ikke hvem der har adgang til de data. Denne form for indsamling gør mig virkelig skeptisk over for den sikkerhed der praktiseres også selvom det er i forbindelser med crash og fejlrettelser så skal man altså ikke sende al den form for information. Dette burde blive håndteret anderledes.

Upload fra kassist via FTP
Når jeg ser FTP upload bliver jeg typisk bekymret, for jeg forventer i dag, at man benytter en eller anden form for krypteret kanal til fil overførelser. Hele upload af "Crash dump" filen til "crash.kerio.com" sker via FTP, som jo er ganske ukrypteret.

Benytter man så alligevel FTP, så kunne man forvente at filer der bliver overført i et krypteret format eller password beskytte med et meget langt passwords, så alle der lytter med på Internet trafikken, ikke bare kan genskabe det hele.

Hele filen er lige til at carve ud af  netværks trafikken og genskabes på et tilfældig system i klar tekst. Den kan udpakkes uden password. Man kunne måske forvente bruger navne og passwords på FTP forbindelsen, men dette er jo ukrypteret og kan findes i klart format i netværkstrafikken og er ikke svært at finde. Bruger navnet hertil er "crash" den hurtige kan gætte hvad password mon kan være ? Det tog mig at under 10 min at se hvad der skete, og carve filen ud af trafikken og få den udpakket for at se hvad denne indeholdte.

Billedet her viser FTP forbindelsen direkte til "crash.kerio.com"


Kassist tilbyder rent faktisk slet ikke andet end FTP overførelser. Men kan til gengæld gøre det hele i "Silent mode" så ingen opdager det sker og til placeringer der ikke er "crash.kerio.com".

Det betyder jo også at deres support tools ikke er blevet opdateret til seneste standarder i mange år. Det er også generalt det jeg syntes efterhånden kendetegner Kerio Connect. Det bære præg af, manglende tidsvarende sikkerheds funktioner.

Billedet her viser de switches som kan benyttes af kassist.exe



Remote access tools
Som noget nyt i deres seneste versioner, bliver der installeret et "Remote Access Tool" som en del af installations pakke. Dette er fra tailscale som er en del af deres "nye" App Manager. Det virker som ren "backdoor access" og med samme metodikker som jeg ofte ser med forskellige RAT-Trojans. Det er bare så meget "NO GO" at dette bliver default installeret, for det er helt sikkert at det før eller siden bliver misbrugt til noget utilsigtet.

Bruger manualer med opdateret information.
Man kunne forestille sig, at der var en beskrivelse af hvordan kassist.exe eller tailscale.exe virker og hvortil forbindelser kan forventes. Men intet i deres manualer er nævnt om disse værktøjer. Det jeg kan finde på kassist er ret sparsomt samt noget tilbage fra 2016. Ang tailscale som er en del af deres ny App manager er der intet nævnt nogen steder i manualerne og igen er det eneste jeg kan finde, noget fiks omkring netop tailscale som er blevet rettet i Kerio App Manager. Der er derfor i min optik manglende kritisk information i manualer og vejledninger i håndteringen af disse værktøjer.

Hvad så nu
Jeg er altså ikke særlig imponeret. Et sikkerheds firma som netop Kerio og GFI som tillader denne form for håndteringer af deres kunders data og installationer samt Remote tools. Desuden benytter de i stor stil nu CNAME  Cloaking på de fleste af deres Online Servises. Det er typisk til ren tracking af deres brugerer. Jeg har i mange år benytte produkter fra Kerio som firewalls og proxy gateways AV systemer og port scanners og har været super glade for disse. MEN må også sande at Kerio (GFI) ikke længere er for mig, som ønsker en lidt anden standard end det jeg er begyndt at se i deres produkter.

Læs denne artikel fra Palo Alto ang CNMAE Cloaking



Kerio var engang en meget respekteret software sikkerheds udviklingshus, men efter GFI har overtaget det, er sikkerheden altså skredet en hel del. I dag virker det som en "penge maskine" i kategorien "support haters".

Anbefaling
Man skal generalt være opmærksom på produkter man benytter i produktion og hvad de laver. Det samme er gældende for Kerio Connect. Dog har jeg samlet nogen anbefalinger man kan gøre brug af herunder.

Ændre rettigheder på følgende foldere:
C:\ProgramData\Tailscale\*
C:\ProgramData\GFIAgent\*

Block fil med Sysmon

<!-- Event ID 27 == File Block Executable -->
<RuleGroup name="FileBlockExecutable" groupRelation="or">
<FileBlockExecutable onmatch="include">
<!-- Unwanted Agent installation -->
<TargetFilename name="technique_id=Known unwanted agent installation ,technique_name=Remote access - tailscale" condition="end with">\tailscale.exe</TargetFilename>
</FileBlockExecutable>
</RuleGroup>

Drop Domæner
*.tailscale.io
*.tailscale.com
crash.kerio.com

Firewall
Sikre din mailserver med firewall regler, der ikke tillader udgående forbindelser du ikke kender til.

IDS rule frigivet
Jeg har frigivet et par IDS regler man kan benytte.

Sysmon Config
Desuden kan man benytte min Sysmon Config fil som fint spotter dette.


Happy Hunting.....

 SNORT
NF IDS Rules

10 Latest Updates

Kerio Crash FTP

Kerio crash Domain

Zendesk Crypto mining

Russian RMS Agent

Synology Quickconnect

ThightVNC Faild auth

Trojan Linux/Morila!MTB

RDP Connection from outside

DNS Tunneling

BitCoin Miner c3pool

BitCoin Miner xmrig

Download   
 

 Suricata
NF IDS Rules

10 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 

Download