04 December 2022 - Blog Post # 844
IcedID BackConnect Protocol
Jeg har lavet en opdatering på alle "IcedID BackConnect Protocol"
IDS rule. Basalt set kun ændringer på porte, så TCP port 443 nu er
med. Det giver desværre en lille smule overhead på IDS sensors, da
"HTTPS" trafik skal inspectes med disse IDS rules. Dog er der så
meget andet der bliver matchet op imod HTTPS trafik i forvejen.Men
IBP lyser nu som et juletræ.
NETRESEC
Erik Hjelvik
nævnte godt at man burde tilføje port 443 til [443,8080]. I
forhold til seneste malware kampange som er delt af Brad Duncan, er
det netop en kampange der benytter sig af TCP PORT 443.
Qakbot
pr0xylife har i samme forbindelse nu identificeret 448
Qakbot malware doamins. Der kan være valide domæner imellem, men så
er det hacket web-sites der nu deployer Qakbot. Jeg vil anbefale man
blokerer disse domæner.
Listen af domæner kan hentes herunder:
File name:
Qakbot-Malware-Domains.7z
SHA1: 63aadd6aa83398c376449c8acd22536800d615ef
IDS-Rules frigivet
Finder alle steder hvor IBP benyttes.
03 December 2022 - Blog Post # 843
RemCOS-RAT
Har gennemgået flere kampanger og nu kan finde alle de kampanger der
er kørt siden 2020. Det er faktisk lidt utroligt at dette rent
faktisk sælges som et ganske almindeligt admin tool. Det kan ikke
blive mere RAT end det her er. Men for 58$ kan man bruge det i 1
måned.
IDS-Rules frigivet
Kan finde alle kampanger tilbage til 2020.
15 November 2022 - Blog Post # 842
IDS Rules frigivet
Baseret på den frigivet liste har
jeg frigivet 232 IDS rules til detection af scanninger.
Alt efter hvor ens sensors sidder vil jeg mene at de kommer
til at give en del alerts, men det er også meningen med disse
alerts, det er så man rent faktisk med selvsyn kan se hvor meget man
blliver scannet.
NF Scanners kan hentes her.
14 November 2022 - Blog Post # 841
Uautoristrede scanninger mod energi
og forsyningsselskaber
I mange år har jeg bemærket de mange scaninger som bliver hyppigerer
og mere omfangsrige i hvad de konstant scanner efter. Det har været
en udfordring egenteligt at sætte tal på, da jeg ofte kun kan
undersøge egen virksomhed i logs mm for at se hvor meget der
egenteligt foregår imod en selv.
Det er heller ikke noget andre har produceret nogen tal på,
andet end de siger det er ofte. MEN nu har
EnergiCERT i Danmark
endeligt kunne sætte nogen tal på og jeg må indrømme at tallet er
lang større end først antaget.
Research
Det har ofte gået under "dække" af "jamen det er research"
og NEJ det er ikke tilfældet, 90%. Det er ren og skær data
indsamling og sårbarheds scanninger. Informationer både "gives væk"
og sælges til dem der måtte være interesseret.
Udfordringer
Det er forbundet med mange udfordringer at dette sker. Jeg
vil lige ridse et par eksempler op her.
Er man en virksomhed så har man typisk en del servises man tilbyder.
Måden hvorpå det foregår på er typisk man måske har et mailsystem,
en eller mange web-servers, SSH, VPN og meget meget mere stående
åbent, således at brugere og ansatte kan få adgang til disse.
Disse kan være fuldt opdateret og ingen problemer i det.
Nu kommer der så en scanning der indsamler informationer om alle
desystemer man tilbyder, det kan være web-server versioner, systemer
navne, plugins der bruges på web-sites, porte der er åbne mm. og alt
dette kan være opdateret til det helt perfekte.
Det der rent faktisk sker, er at nu ligger de inde med alle de data
de har indsamlet fra virksomheden. Bliver der så opdaget en svaghed
i en af de systemer man tilbyder, så kan alverden hente "gratis"
eller købe disse oplysninger fra en af de servises der scanner
konstant over alle dem der har denne svaghed. Det er ikke til at
sige hvem der henter dem. Men ofte ser vi at når en svaghed bliver
opdaget så er tiden fra opdagelsen og publicering omkring
information om svagheden til den forsøges udnyttet næsten nede til
få timer. Det kan og vil ramme virksomheden, der nu kan risikere alt
fra Ramsomware til egenteligt hacking af hele virksomheden.
Gør man ikke noget aktivt for at undgå alle disse data
indsamlinger, så er vejen til en fuld kompromitering af ens
virksomhed meget lille i dag.
Research
Når jeg kigger på data over hvad en service der scanner og
sammenligner med egentelig Research fra eksempelvis universiteter så
er der MEGET stor forskel i hvad de laver. Så alle dem der dækker
sig under "Research" fanen egentelig bare en "løgn" så der ser mere
legalt ud for dem at scanner som de gør. Tilgængeligheden for
data der er indsamlet fra et Universitet er ikke lige noget man bare
får adgang til, så det ville kunne misbruges til angreb imod
virksomheder mm. Her vil jeg klart uderstrege at jeg går 100% ind
for research men ikke dem der kalder bebyder det er research, men
hvor det er rene sårbarheds scanners, der sælger eller deler data
frit.
Manglende genkendelse
Udfordringen er at ingen kigger på hvad der sker på deres systemer
godt nok, og tror at de bare lige så en der forsøgte en enkelt ting
imod ens systemer, men det er ikke tilfældet. Typisk spreder de
scanninger af systemer fra mange forskellige IP-adresser således at
det ikke ligner noget i logs mm. De hopper fra NET til NET fra ISP
til ISP for at "skjule" hvad" de egenteligt laver. Men det samlet
billede er at man lige er blevet fuldt sårbarheds scannet på alle
ens systemer på stort set alle porte, det skete bare over et par
dage. Men sandheden er at man nu er fuldt indekseret hos den der
scannede. Antallet af dem der scanner er steget drastisk over de
seneste par år. Hos EnergiCERT har man nu
identifceret 67 forskellige "grupper" der scanner inden for alle
kategorier. Det er bare dem der er identificeret
pt. Det tal forventes at være langt højere i virkeligheden.
Hvem kigger på data ?
Det er i bund og grund ikke til at sige 100% sikkert, det
kan være "Nation state" til hackers der har fundet en sårbarhed på
et givet system. Nogen gange bliver der publiceret informationer om
sårbarheden efter et stykke tid hvis der overhovedet sker, såfremt
de ikke bare selv beholder informationer om sårbarheden så den kan
misbruges.
Det er så tit fremme, Russerne kommer og undersøger vores
net for indgange, ja måske men de behøver ikke scanne os for det har
vi jo selv gjort for dem, de kan jo bare hente det allerede
tilgængelig indsamlet data, som jo glædeligt bliver solgt.
Det seneste eksempel jeg har set er SocRadar der scannede
helt vildt i ugerne og dagene op til frigivelsen af
Bluebleed, og som mange hoppede glædeligt på. Og tillykke til
SocRadar der fik mange til at hoppe med på deres ambulance-salg og
fik deres navn på scanner kortet. I virkeligheden er de en lille
spiller sammenlignet med eks Binaryedge der
virkelig er gode til at jumpe og hoppe rundt.
ISP'er
Hver gang jeg kigger på de ISP'er der bliver brugt til at
hoste scanners så optræder DigitalOcean og Linode alt for ofte på
listen over dem der hoster scanners. Her kan man med fordel kigge
listen igennem, og eks bare IP blokere hele ISP'en. Det er ikke
udelukkende de 2 omtalte ISP'er, dem er der flere af.
Jeg har forsøgt dette og virker forbavsende godt især imod
de scanners der hopper fra NET til NET og ISP til ISP hele tiden. Et
par af dem er virkelig gode til at udskifte IP'er, ISP og NET en
gang om ugen. Så gå efter at bloker for ISP'en.
Lovgivning
Det har udartet sig til det vilde vesten på dette scanner
område, uden nogen form for "oversight" og det gør rigtig ondt på
rigtig mange derude, der kommer meget galt afsted, med ransomware om
meget meget mere.
Det bedste ville være at der kommer loggivning omkring dette for at
begrænse alle de skader vi ser. Der skal simpelhen skabes mere tid
til at få sikkerheds patchet systemer, og en attacker skal være
tvunget til at scanne hele internettet selv. Det skal ikke kunne
hentes som en liste på 10 sekunder. DER SKAL LOVGIVNING TIL
og det skal være lovgivning der batter noget.
EnergiCERT
EnergiCERT har netop frigivet en fin publikation omkring
netop de mange scanninger, samt en ip liste over rigtig mange af dem
der scanner. Det vil jeg klart anbefale man benytter på alle ens
systemer. For den eneste mulighed lige nu er at begynde at gøre de
data der er indsamlet "gamle" og ubrugbare, det kan kun gøres ved at
blokerer for disse scanninger.
https://energicert.dk/wp-content/uploads/2022/11/Uautoriserede-scanninger-v1.0.pdf
https://energicert.dk/wp-content/uploads/2022/11/ipliste.txt
02 November 2022 - Blog Post # 840
Malware IcedID BackConnect
Erik fra Netresec
har identificeret "IcedID BackConnect Protocol" Det er et fint
arbejde der er gjort her. Stort set alle dele af trafikken er
identificeret og man kan nu identificerer hvilke commands der bliver
sendt til et system.
Tilretning
Jeg har rent faktisk måtte tilrettet en tidligerer frigivet
IDS rule, samt jeg har frigivet en nye IDS regel til at følge med i
at kunne opdage når IceID laver BackConnect til sin C2 server.
Den tidligere IDS regle fejlagtigt identificerede IcedID
BackConnect Protocol som værende DarkVNC, det var ikke tilfældet.
Jeg er desuden ikke den eneste der har fået det lidt galt i
halsen.
Brad Duncan fra SANS har også kigget det igennem
og været behjælpelig med trace filer.
Så der har ligget et stort arbejde i af kunne genkende
IceID.
JA3
Disse kan jeg forbinde med Slack.com
og forskellige subdomæner derunder.
598872011444709307b861ae817a4b60
cd08e31494f9531f560d64c695473da9
IDS Rule frigivet
Finder IcedID BackConnect
Protocol til C2. Vær opmærksom på at der kan laves flere IDS regler
på forskellige dele af trafikken. Men lige nu er den eneste
IDS regel der identificerer IcedID
BackConnect Protocol denne her
Flere IDS regler frigivet: 03-11-2022
28 Oktober 2022 - Blog Post # 839
Fjernstyrings software
I min dagligdag ser jeg mange typer "fjernstyrings
software". Fjernstyring software kommer i rigtig mange forskellige
udformninger. Typisk har virksomheder en policy omkring hvad der er
tilladt at benytte og sådan bør det være. Det er meget vigtig at man
som ansat overholder disse policys, da den kan have store
konsekvenser for sikkerheden i en virksomhed.
Hackere kan også godt li' udvalget der er derude i de mange
forskellige typer fjernstyrings software der findes. Typisk kommer
dette som helt "almindelige" kommercielle løsninger til Trojan RAT's
og simple command line tools osv. Der mange muligheder. Muligheden
for bare at smide en exe fil på en desktop "uden man behøver at
installerer noget" er desværre også meget lang. For det kræver
typisk ikke admin rettigheder for alle tools, at køre på et system.
Desværre ser man desværre også personale der har fået "godkendt" at
de har admin rettigehder til et lokalt system som typisk er deres
desktop pc. Her ser man desværre, at disse rettigheder bliver
"misbrugt" til at installerer "fjernstyrings værktøjer" de selv lige
finder på nettet og har lyst til at bruge. Det er bestemt ikke uden
risiko for virsomheder.
Malware / Hacking
Ind imellem ser vi i sikkerheds verden, at mange af de gratis tools
pludselig indgår i forskellige hacker kampanger og automatiseret
malware. Det er langt fra et unormalt fænomen. Et par af disse er
eks TeamViewer, Anydesk eller radmin som har været udsat for dette
og sikkert stadig bliver udsat for det. Men det stopper jo ikke
ligefrem der. Der er mange på listen vi har set over tid og som jeg
kan huske.
De mere GUI basseret, ser vi der er blevet
solgt adgang til via forskellige undergrunds web-sites. Prisen
for disse er i virkeligheden "latterlig" lav. Og man kan selv vælge
hvilket land, virksomhed osv man gerne vil købe. Det er meget
skræmmende det er blevet så nemt, lige at købe adgang til et system.
Og der er efterhånden mange steder de kan købes. Der sidder simpelt
hackerer derude, der hacker forskellige systemer for så at sælge
adgang videre.
Nye fjernstyrings værktøjer
Der popper hele tiden nyt fjernstyrings software op. Jeg har netop
kigget en god håndfuld af disse igennem, som lige nu ligger på en
tilfældig top 10 jeg fandt på nettet. De fleste af dem ligner til
forveksling de mange Trojan RAT's man også kan købe. Når jeg kigger
dem igennem, gør jeg det ud fra at jeg gerne vil kunne opdage disse
via netværkstrafikken eller som et samspil imellem lokale logfiler
og IDS alerts. Jeg har valgt nogen fra mens jeg undersøgte dem og
forholder mig kun til dem, hvor man bare lige starter en fil på en
desktop med GUI og som ser lidt lyssky ud og samtidigt minder om
Trojan RAT's.
Noget jeg bemærker som jeg syntes går igen på mange af dem, er at
mange bruger UDP protokollen men ikke udelukkende med en eller anden
form for kryptering af data indhold. Det vil jeg påstå er fordi,
mange ikke laver firewall regler på UDP. Derfor virker de bare uden
problemer igennem et netværk. Den store udfordring er at man i
virkeligheden ikke ved hvem der kontrollere "gateway
rederigerings serveren" i den anden ende. Og hvad man kan med dem ?
Det er uvist...... Men er det ligesom som alle andre RAT's kan man
stort set alt.
Man skal være klar over at listen af over fjernstyrings software er
meget lang, og det arbejde jeg har lavet her ikke kommer i nærheden
af hvor meget der findes derude. Det her er mere for at bringe lidt
opmærksom imod at man skal være vågen overfor fjernstyrings software
i egen virksomhed. Det er for mange, ikke noget man bare lige
opdager. Der kommer ikke mange alerts i forhold til denne type
software nogen steder. Typisk kigger de fleste sikkerheds systemer
slet ikke i denne retning ellers er det kun meget begrænset hvad de
ser og kommer med alerts på. I virkeligheden jeg kunne arbejde kun
omkring fjernstyrings software i et år, uden at være kommet igennem
af hvad der findes.
Anbefaling
Lige en par gode anbefalinger:
Policy:
- En god beskrevet policy omkring brugen af fjernstyring software
der må benyttes, bør alle virksomheder have liggende.
- En stram policy omkring brugen af admin rettigheder. Herunder at
man mister sine admin rettigheder såfremt man ikke overholder en
beskrevet policy. Dette kunne hjælpe på en analytikkers føelser i
lysten til at opdage nye ting i hverdagen, frem for en føelse af at
der alligevel aldrig sker noget ved det. For det skal give mening
for en sikkerheds person / analytikker at opdage det.
Detection:
- Brug IDS/IPS systemer til at opdage brugen af "fjernstyring
software"
- Benyt EDR software.
- Man kan bruge Sysmon og sende logs til et SIEM system. En god
config til
Sysmon, kan opdage alle dem jeg har testet her.
Prevention:
- Firewall regler der dækker UDP.
- Lokale firewall policys på alle host systemer. Det kan betale sig
at fjerne lokale admin fra at kunne tilføje firewall regler. Noget
af det testede oprettede selv firewall regler.
- Ingen lokale admins på pc'er.
- App Locker. (Whitelist) Ville nok være det bedste prevention. Det
virker via MS GPO'er. Så de fleste kan forhindre det allerede. Det
ville også fjerne alt muligt andet skrald.
IDS Rule frigivet
Jeg har netop frigivet en række IDS rules til at opdage dem
jeg har testet.
Bemærk:
Jeg har set
TikTok
subdomæner med samme JA3 og JA3S som passer på Getscreen.exe.
Hvorfor de lige passer ind i TikTok, syntes jeg er lidt underligt.
Især når jeg ikke kan finde andre sammenfald.
Getscreen.exe
JA3: 4f5db9264e36d1afb9b3296b9bb5630d
JA3S: 9c664bcf4e3fcac2ed91a62334af1af4
16 Oktober 2022 - Blog Post # 838
HTML Smuggling.
Det er en teknik mange ikke rigtig beskytter sig imod. Det korte er
at det typisk kommer som vedhæftet filer i mail i html format. Det
er en loader teknik, til at få hentet malware ned til en maskine
bare ved at en bruger klikker en enkelt gang. Eller hvis det kommer
som vedhæftet html filer kræver det typisk lidt flere klik. Filen
indeholder et lille javascript med noget HTML5 kode. Det er så
browseren der henter filen ned. Nogen gange med en lille ISO fil i,
der så skal mountes og køres.
Læs mere her
Anbefaling
Det er noget jeg har beskrevet før, men til stadighed ser bliver
brugt i større omfang. Det er en nem teknik for en attacker at
bruge, da mange ikke blokerer for vedhæftet html filer i mail. Det
er nemt hurtigt at lave nye angreb med denne teknik og især velegnet
til targeted attacks.
Husk nu at mail formateret i html ikke er det samme som en mail
med en vedhæftet html fil, så man kan i min optik godt blokerer for
vedhæftet html filer i mail. Tillader man vedhæftet html filer lever
man livet lidt farligt og udsætter sin virksomhed for en risiko der
ville være have være nem at blokere for.
Jeg kan desuden anbefale man kigger mine tidligerer posts igennem
fra i år.
26 September 2022 - Blog Post # 837
Defacing stadig en ting
Man skulle tro at mange leverandører efterhånden har fået så meget
styr på at holde øje med om deres kunder bliver defaced eller på
anden måde hacket på deres web-portaler. Dog er det lidt rammende at
se, at de typisk er de samme leverandører og deres kunder der hele
tiden står for skud igen og igen.
Når jeg kigger igennem hvor mange gange et domæne har været ramt af
denne type sikkerheds problemer, så er der tit nogen der stikker ud.
Denne gang er det igen Falckcc (Det er ikke Falck men deres
personale "Falck Camping Club") Dem skrev jeg om for præcis 2 år
siden i dag. Det er næsten fast hvor tit de har udfordringer
Se evt 26 September 2020 - Blog Post # 775.
De er ikke de eneste.
Det er desværre ikke de eneste jeg ser der går igen, dem er der
faktisk mange af.
Et andet eksempel er tidsskrift[.]dk (Det Kgl. Bibliotek)
2022/07/04 tidsskrift[.]dk/public/site/imag
2020/04/13 tidsskrift[.]dk/public/site/imag
2017/04/07 tidsskrift[.]dk/public/site/imag
Anbefalinger
Man bør nok overveje hvilken leverandør man benytter til at få
hostet sit web-site på. Desuden bør man overveje hvordan ens
web-site er strikket sammen og især hvor mange underlige plugins man
benytter. Ikke mindst at få ting sikkerheds opdateret i tide.
Man skal også være meget vågen overfor at det typisk er det
eneste mulige en hacker typisk lige kan når de finder et
sikkerhedshul. Typisk er defacing noget en hacker gør, når de ikke
rigtigt gidder gøre mere ved et web-site, at de så lige afslutter
med at efterlade et web-site defaced. Der findes mange attack
muligheder....... Det kan også være hele den hosted løsning med alle
hosted web-sites på samme server, der har udfordringer.
Security.txt en varm anbefaling.
Som web-site ejer burde man sørge for at få implementeret en
security.txt
file. Det gør det noget nemmerer at komme i kontakt med sikkerheds
folk, så når denne slags bliver opdaget, at det så er muligt at
komme i kontakt med de rigtige fra starten af. Det er eks slet ikke
muligt hos hverken, falckcc eller tidsskrift. Det er heller ikke
muligt via deres "hoved sites" på Falck eller det Det Kgl.
Bibliotek.
28 August 2022 - Blog Post # 836
Stadig rammende
Godt 8 år efter jeg postede dette på mit gamle netcowboy website,
syntes jeg faktisk det stadig er rammende.
Det holder stadig vand det meste af det. Det var dengang ment som
lidt af en provokation til alle dem der bare ikke følger gode råd
omkring sikkerhed og hvor helt basale ting bare ikke er noget man
gør...
Det skræmmer mig fatisk lidt, at mange bare
ikke følger de basale budskaber på mange områder. Vi kunne undgå så
mange incidents i det daglige. Jeg må indrømme at jeg tit bare
ryster på hovedet når jeg ser dem. Jeg oplever også at de helt
basale ting bare bliver ignoreret, med helt ubrugelige
undskyldninger. Her savner man tit en "firkantet hår hånd"
Gamle ting at tænke over i
julen 2014
21 August 2022 - Blog Post # 835
IceID
Siden midt sidste år har jeg kigget en del på BumbleBee downloader.
Typisk bruges det i forbindelse som downloader til IceID, DarkVNC og
Cobalt strike.
Trafik
Jeg har gennemgået godt 27 kampanger siden midt sidste år. Jeg har
fundet et par indikatorer i hvordan de ofte opføre sig i
netværkstrafikken, der nu gør at jeg med et par regler kan finde
BumBleBee når det er i forbindelse med disse kampanger. De har
ændret trafik mønster i forhold til DarkVNC, til noget krypteret
(encoded) trafik. Men ikke al kryptering er lige godt, så det er
faktisk muligt at finde dette i trafikken hver gang der er tale om
DarkVNC.
Cobalt strike trafikken, kan jeg også finde hver gang nu. Dette
kræver dog lidt opsætning i Elastic og Kibana, så her er den ikke
nogen frigivet IDS regler. Men ret simpelt at få øje på nu, dog
efter mange fejlet forsøg fra min side.
Domæner
Jeg frigiver desuden de domæner jeg er faldet over i forbindelse med
BumbleBee downloader af IceID
De kan hentes her.
Bemærk at mange af dem er stadige aktive.
IDS Rule frigivet
Der er figivet IDS regler til BumbleBee og DarkVNC. Til BumbleBee
(IceID kampanger kan de finde de nuværende og helt tilbage til den
første kampange. DarkVNC, der er det til de nuværende kampanger og
tidligere frigivet IDS regler finder resten pt.
16 August 2022 - Blog Post # 834
Realtek
Netop udkommet frisk fra Defcon - CVE-2022-27255. En sårbarhed der
kan være lidt sværd at finde, men kan have står betydning for mange,
da dette er en sårbarhed i selve firmwaren hvor der er benyttet
Reltek. Der er frigivet POC Exploit. Lige nu er de rettet imod SIP
og Telnet. Men den kan i virkeligheden være meget andet vil jeg
mene.
POC
Der er frigivet
POC og virkelig gode skriv, der beskriver sårbarheden. Desuden
kan man hente deres slides fra
Defcon her
IDS Rule frigivet
Jeg har tilpasse den IDS rule som kom fra
SANS så den virker
i mit rule set. MEN
vær opmærksom på at der kan eks køres payloads og expolits af via
eks Telnet imod enheder. Man behøver heller ikke at have Firewall
porte stående åbne til enheder. Læser enheden pakken, vil
exploit virke. Det er heller ikke en sårbarhed men eks kan port
scanne efter med eks nmap, som man normalt plejer at kunne. Den er lidt giftig og man skal kende sine
enheder. Desuden er det muligt at hente
en pcap med exploit
herfra.
Jeg kan anbefale at man kigger Johannes
Ullrich's præsentation igennem for management, den er faktisk meget
fin.
Fil:
Realtek_SDK_SIP_Vulnerablity.pptx
SHA1: 053177e93d1d4cb0176d81c5e65944d20a7a3b93
14 August 2022 - Blog Post # 833
DanDomain
Jeg har en del domæner og en del web-sites. Meget af det er hostet
igennem
DanDomain
hvilket jeg har været udemærket tilfreds med igennem tiden, men hen
over det sidste stykke tid er de begyndt at få lidt underlige
praksis indført.
Et domæne jeg har som jeg ønsker bare skal udløbe har jeg lukket via
DK-Hostmaster. I pricippet kan man bare lade være med at betale for
domænet, så udløber det. Jeg får så en regning for nytegninge af
domænet igennem Dan Domain. Det svare jeg på og fortæller det bare
skal udløbe, så kan man bare fjerne DNS pegepinde efterfølgende.
Simpelt og nemt......skulle man tro.
Domæne
rettelse
Jeg sidder så og skal foretage domæne rettelser på et domæne, hvor
der skal opsættes SPF og Caller ID (Mail sikkerheds features) Så
fordi de mener jeg skal betale for domænet (husk det er ny tegning,
så der har været betalt det der skal være betalt) Nu mener de de
bare kan blokere for hele adgangen til at de andre domæner og
servises jeg har hos dem indtil jeg har betalt, hvilket jeg ikke
kommer til. Det forhindre jo jeg overhovedet kan ændre på
opsætninger og adgang på alt det andet jeg har hos dem inklusiv
sikkerheds ændringer.
Jeg må indrømme jeg er helt oppe i det rødt feldt over denne
praksis......
Så andre skal nok overveje om det er en hosting udbyder man gidder
benytte, da de bare lukker en ude af systemerne uden at være klar
over man kan have flere ting under samme konti. Man skal da ikke
holde folk ude, men derimod eventuelt bare luk den service hvor der
kan være en ubetalt regning. I dette tilfælde en DNS pegepind men i
stedet lukker man for tilgangen til alle andre services man også
har...
24 Juli 2022 - Blog Post # 832
Flipper Zero
Mens der går "Tour De france" feber i alting, så
er der lidt fra min ferie og det som IT geaks bruger tid på.
Besøgte en god ven, der lige have fået sin Flipper Zero ind af
døren. Det vilde var at jeg rent faktisk fik lov til at pakke den ud
for ham.....Hold da op en "fest" :-) Det var sjovt.
Det er sjældent noget i IT branchen efterhånden kan imponere mig,
men det blev jeg af
Flipper Zero
Den hurtigeeste kloning jeg nogen
sinde har set
Fra udpakning til de første ting der blev clonet gik der under 2
min, Alle blev lige teste for at de nu også virker, og DET GØR DET.
På under 10 min. blev følgende typer lige clonet HID Prox cards,
EM-4100 en iButton key, RFID 125 kHz key cards og ikke mindst en
infrarød fjernbetjening og forresten også lige porten til
parkeringskælderen.
Til virksomheder.
Nu fik vi lige testet en del forskellige virksomheds ID kort (Dem
der typisk også giver adgang igennem døre til en hel virksomhed) Her
skal man som virksomhed være MEGET vågen. Jeg vil tro at alle ID
kort der benyttes kan klones på 1 sekund. Så her skal der lige
arbejdes en del for om ting som det eventuelt kan spottes via logs ?
Tilbage
Tja venter stadig på at min egen den kommer. Den er betalt for
måneder siden.... Kan kun sige det er en perfekt lile geak dims, vi
sikkert kommer til at se mere til. Vi er allerede igang med at
planlægge andre typer systemer vi lige skal have testet og her
kommer jeg hurtigt til at tænke på alle de biler og MC'er der
benytter nøglefri tænding. Hvordan mon de har det med en Flipper :-)
Jeg er overbevist om vi kommer til at se mange "sjove" ting der
kommer på listen. Alle de elektronikse låse er ikke mere værd en en
gammeldags københavner nøgle og hvor alle tyve render rundt med en
bumper key.
Fortsat god sommer....
18 Juni 2022 - Blog Post # 831
Matanbuchus
Det er den
nye trojan downloader man skal være lidt opmærksom på. Der
ligger en pæn stor infrastruktur bag denne, og de sidste domæner
blev første aktive sent i går aftes, hvorfra Cobolt strike hentes.
Det bliver nok noget man skal holde lidt øje med. Det er ikke noget
der kan testes i vm, viratuelle miljøer osv, da den tjekker hvordan
CPU opsætningen er. Lidt smart.... Der er mange nye metodikker i
forbindelse med Matanbuchus.
Unit42 har nok det bedste skriv indtil videre jeg kan anbefale
man læser igennem. Desuden har
SANS et skriv også. Man skal også være opmærksom på at den
allerede nu skifter metodikker, meget hurtigt, jeg har allerede selv
set flere udformninger af denne.
Navnet Matanbuchus er
direkte
henvisning til den okkulte verden. Men tiden må vise hvor
okkulte de i virkeligheden er. Den slags hovmod har det med at
falde...
IOC'er
Jeg har samlet en
liste af domæner man med fordel lige nu kan blokerer for. Der
findes desuden mange andre IOS'er man kan kigge igennem.
IDS Rule frigivet
Kigger på den aktuelle kampange. Det kan meget vel ændre sig og jeg
ved der allerede nu findes flere IDS rules der kan laves.
14 Juni 2022 - Blog Post # 830
Bumblebee malware downloader
Det er desværre noget jeg ser blive hyppigt benyttet.
Bumblebee er en malware downloader, man ofte ser i forbindelse
med forskellige typer malware som, Emotet, CoboltStrike, RedLine
Stealer, Conti, IcedID og mange flere. Det er blevet lidt en
standard, at det bruges, men det gør det jo også lidt nemt finde
inficeret hosts...
SNORT Rule Frigivet
Kigger efter typisk certifikate der benyttes af Bumblebee. Det er
klart anbefalet at undersøge hosts hvor denne IDS rule giver alerts.
24 Maj 2022 - Blog Post # 829
Malware og anti-vm samt forensic tools og anti-forensic
Bumblebee loader er det seneste skud på stammen der bruges af
mange forskellige cybercrime grupper. Herunder Conti og Diavol og
flere. Det er med Bumblebee som med mange malware typer, at de
typisk holder øje med forensictools som køre på en maskine eller
bare har en tilstedværelse. Bliver de fundet vil malware typisk
ikke foretage sig noget eller helt
fjerne sig selv. Det er kendt taktik som går under navnet "malware
antiforensic" simpelt for at undgå at et stykke malware bliver
undersøgt eller afsløret for hurtigt.
Som analytikker kender man forhåbenteligt også til tools som
Paranoidfish der kan hjælpe med at opsætte tools
til en analyse maskine for at fjerne spor at et viratuelt miljø og
forskellige tools mm.
Brug forensic tools
Jeg ved ikke rigtigt hvad man skal kalde det, men det lader
efterhånden til at man som defender "bare" skal have et eller flere
af disse tools liggende på systemer, eller bare have et par "falske
processor kørende" så kan man helt undgå at hosts bliver inficeret
med visse typer loaders og dermed mange forskellige følgetyper af
malware.
Det er jo lidt den omvendte verden, hvor man bruger malware
grupperens egne taktikker imod dem selv og til fordel for en selv
som defender. Man "spiller" jo lidt på at et stykke malware benytter
sig af disse teknikker, (hvilket alt malware langtfra gør) men det
kan have en heldig positiv effekt, som kan fungerer som en form for
"vaccine" på et system overfor mange typer malware. Det vil langt
fra virke imod alt, men det vil virke imod rigtig mange malware
loaders. Ugheldigvis er der ingen jeg kender til der holder øje med
hvilket og hvor meget malware der benytter disse antiforensic
teknikker og i hvilke kategorier de rent faktisk ligger i.
Tools
Mange af disse forensic tools der bliver holdt øje med, er slet ikke
farlige i sig selv at have på et system. Tænker man efterhånden skal
lave en pakke af tools der bliver installeret på drift systemer,
hvor man kan sikre disse med rettigheder osv. Typisk holder malware
kun øje med selve process navnet, så i virkeligheden kunne det være
en omdøbt notepad.exe til eks tcpview.exe man starter op og har
kørende. Tænker det hele kan sikres med rettigheder så en alm
bruger ikke kan benyttes disse tools. Dog findes der rigtig mange
antiforensic teknikker og det ville være svært at bruge dem alle
sammen, men det meste malware er slet ikke så udviklet og finder de
bare en af de forensic tools holder loaderen helt op med at virke,
og resultatet er at man ikke blev inficeret den dag.
Der er egentelig ikke lavet nogen stats over hvor meget og hvilket
malware som beskytter sig selv på denne måde. Måske det kunne være
værd at undersøge. Jeg ved bare at mere og mere malware især
loaders, benytter samme teknikker og det sikkert kunne være en
fordel at begynde at holde øje med disse ting. En optimeret
indsamling af disse oplysninger kunne vise hvad der blev holdt mest
øje med og derved kunne man optimere hvad man skulle have liggende
på en maskine som "vaccine"..........
20 Maj 2022 - Blog Post # 828
Industroyer2.
Man kan læse en god gennemgang af Industroyer2 fra Netresec
her Det handler om at man via IEC-104 protokollen ændre circuit
breaker switches fra ON til OFF og derved kan man lukke for strøm på
visse typer powergrids. IEC-104 protokollen er bestemt ikke noget
man som analytikker kommer til at se hver dag, så det er lidt at et
scoop vi ser dette og bestemt takket være Erik Hjelmvik fantastiske
forarbejde.
Malware sampels
Erik fra Netresec har fået fingerne i dette malware, der har
muliggjort capture af hvordan trafikken ser ud når der sker en
ændring via IEC-104. De frigivet pcap's fra Netresec er ikke super
venlige at foretage analyse på. Derfor er disse blevet omskrevet fra
RAW til Ethernet via TCPREWRITE og en tur igennem CyberChef for at
ændre både SRC og DST ip'er der alle var de samme. Den sidste del
stod Jesper Lindgren (TDC NET) for og hans altid fantastiske hovede
til den slags analyse arbejde, hvilket har muliggjort, at vi nu i et
mere venligt format kan frigive de omskrevet pcap's.
EnergiCERT i danmark var faktisk dem der ønskede detection i denne
protokol, fordi der ikke findes noget derude der kan opdage
ændringer til en "OFF state", vi takker derfor for deres ønske
omkring dette.
Filnavn (PCAP):
indu.zip
SHA1: fac6fcfd12b414b0e8e94e1bcb51ab560b41d8ef
SNORT Rule Frigivet
Denne er frigivet via mit SCADA IDS rule detection set SID:120002001
https://networkforensic.dk/SNORT/NF-SCADA.zip
Vær opmærkstom på, at det kan betale sig KUN at benytte denne IDS
rule i et miljø hvor man kan sætte IP'adresser op på hvor IDS reglen
skal detecte fra. Man skal også være opmærksom på at jeg ikke
direkte kigger efter
Industroyer2 trafik men en alm command fra IEC-104 der benyttes
af Industroyer2, dog benyttes denne command meget flittigt imod
systemer, og det er klart noget man gerne vil holde øje med sker.
Opdatering: 21-05-2022
Jeg er opmærksom på en ny version at loaders til Industroyer mm. Men
de har ingen betydning i denne forbindelse, da nye loaders, malware
der inficerede et system, ikke kan ændre på de commnads der skal
benyttes for at flippe en circuit breaker.
I forhold til at flippe til en ON state, så blev det også en ønske
fra nogen, at man også kunne se dette. Det er hermed også lagt ud i
mine SCADA IDS rules
13 Maj 2022 - Blog Post # 827
Password protected zip filer.
Credman event id 5379 kan godt være noget der støjer rigtig
meget i SIEM systemer, især når man logger fra alle klienter.
Personligt her jeg ikke selv fundet brug for dem før, nu og
hvor Credman events giver god mening at indsamle fra hosts.
Et eksempel
Meget malware kommer via mail som password protected zip
filer. En bruger der udpakker en password beskyttet zip fil med
Windows explorer, vil efterlade en windows event 5379, hvor man kan
se navn osv. på den udpakket zip fil. Det er rigtig nyttig i
forbindelse med incident hvor man jagter "patient zero" eller
starten på en infection chain på anden vis. Det kan være til
alverdens former for malware attacks for rigtig meget benytter
password beskyttet zip filer.
Bemærk man kun ser
dette såfremt man benytter "Details view" og kigger i "Friendly
view" eller "Details"
Anbefalling
Det er klart anbefalet at opsamle Event ID 5379 Event data type 1.
Kig efter udpakket zip filer fra klienter og servers. Lav et
dashboard i jeres SIEM systemer der holder øje med det her når det
sker.
14 April 2022 - Blog Post # 826
Metastealer
Den benytter "nye" teknikker for at undgå detection, og er
også ret sværdt at identificere 100% sikkert hver gang via
netværkstrafik.
Derfor har jeg måtte slå flere IDS regler sammen, for at få
en mere nøjeagtig detection imod dette.
SANS har skrevet om det og jeg har selv tidligere informeret
omkring dette. Dengang blev det dog identificeret som AgentTesla.
Det er malware der benytter RTLO in deres exe filer,
hvilket kan snyde rigtig mange detection systemer.
Det ankommer typipsk via vedhæftet excell filer i mail.
Læs mere fra min tidligere post her
Malware exe file made with "Right-to-Left Override"
19 Marts 2022 - Blog Post # 823
IDS Rule frigivet
Man bør undersøge bmp filer for RTLO exe filer i disse med disse IDS
regler.
06 April 2022 - Blog Post # 825
DeepWeb Inteligense Feed
Til dem der ikke kan leve uden at skulle sidde og holde øje
med hvad de forskellige Ransomware Crews ligger og laver.
https://darkfeed.io
Kan nok anbefale man bruger en test maskine og ikke sin virksomheds
pc, når man ligger og besøger dem her. Desuden ville jeg nok bruge
noget VPN i en eller anden form (Måske en TOR browser igennem en VPN
løsning)
26 Marts 2022 - Blog Post # 824
Oprydning i IDS regler
For at få et mere relevant IDS regelsæt er mere end 500 IDS
regler taget ud af de nuværende frigivet IDS
regler. Så det nuværende regelsæt er på 644 IDS regler.
Jeg forsøger kun at lave IDS regler til noget der ikke
findes andre steder. Jeg bruger eks ikke tid på noget jeg kan se
andre allerede har lavet der virker. Dog oplever jeg at når man
kigger de mere kommercielle regler igennem på eks nye malware
kampanger, så har angreb skiftet karekter og regler virker derfor
ikke. I disse tilfælde laver jeg nye IDS regler.
Bemærk at jeg ikke er tilhænger af at lave IDS regler baseret på
DNS. Det er alt for ofte bare tidskrævende valideringer af falske
positiver, der dræber enhver analytikkers lyst til at arbejde. Til
DNS identificeringer anbefaler jeg at benytte
NXFilter,
eller en tilsvarende løsning.
De gamle regler
Dem kan man stadig hente. Men det vil ikke være dem jeg opdaterer på
fremadrettet. Men det giver muligheden for at se hvad der er fjernet
eller såfremt man har brug for en ældre IDS regel.
Fil: NF-local-OLD.zip
SHA1: 2e80bc57313f50ec3d5a185fa67360225a053c66
19 Marts 2022 - Blog Post # 823
AgentTesla
Faldt over en malware kampange hvor payload exe filen var lavet med
"Right-to-Left Override"
Det er jo pænt meget "Masquerading
- MITRE -> T1036 - Defense Evasion"
Malware sample
File name: Hyyyox Deoettcv.bmp (Hyyyox.exe)
SHA1: 54ff4ca946e8004f8af1a1e854ae06b3ab2fc46b
0 Detection på VT
OC'er
mail.beta1000.cl -> 69.16.244.78
tralkan.servidor21.com -> 69.16.244.78 (cname)
Kig efter forsøg på outbound mail TCP port 587
IDS Rule frigivet
Generic detection lavet så exe filer hvor der bliver benyttet RTLO bliver opdaget.
Kigger kun på HTTP porte
(Ren malware hver gang)
SID:5018812 - REV:2
10 Marts 2022 - Blog Post # 822
Default CURL i Windows 10
CURL blev tilføjet helt tilbage i 2017. Dog er det
første gang jeg ser det bliver brugt i forbindelse med en
info stealer skrevet direkte i en bat fil og hvor CURL bruges
til at hente den ondsindet kode. CURL er et ganske fint tool og
bruges til mange forskellige ting. Det kan bla downloade og uploade
stuff mm. Microsoft har også været så flinke at ligge curl.exe i
"system32".
Vær lige lidt vågen her
Man skal lige være lidt vågen, for der er ikke super meget detection
på CURL. Sammenligner jeg eks CURL med certutill og BITS, så er
de 2 sidste forholdsvis nemme at spotte, fordi de typisk kun henter
fra Microsoft / Windows domæner. CURL må forventes at gøre dette fra
alt mulig underligt herunder også malware nu. Det skal nok puttes
lidt i samme kasse som eks PowerShell og CMD. Så hvad CURL ligger og
laver på Windows systemerne skal man lige have et våget øje for.
Tjek dine egen version af CURL
Simple download command
Det understøtter en del protokoller - Fin liste herunder i deres versions oplysninger
06 Marts 2022 - Blog Post # 821
DNS Tunneling
DNSCat2
er bestemt et fint tool til tunneling af trafik hen over DNS. Det er
ude i en beta 1 version af DNSCat2. Det kan flippe imellem
forskellige typer DNS request som eks TXT, MX, A osv... Alt for ikke
at skabe for meget opmærksomhed i logs mm. Det kommer til
forskellige typer OS herunder Windows.
Krypteret trafik
Alle forespørgelser og svar er krypteret, rigtig fint. Men det er
netop det der gør man kan fange det, uanset hvilken type request det
benytter.
Det vil virke rigtig mange steder
Som de selv skriver, vil det her virke rigtig mange steder,
simpelthen fordi man ikke holder øje med sin netværkstrafik eller
gør det på en utilstrækkelig måde. Ser rigtig mange der den dag i
dag, slet ikke har styr på hvordan DNS trafik må flyve ind og ud af
virksomheden. Der er rigtig mange der slet ikke har styr på begreber
som SPLIT DNS eller DNS choking. Mange tror at fordi de lige har
outsourcet til tredjepart, at så er der styr på det. Det er der
sjældent.
IDS Rules frigivet
Fanger DNSCat2 - Ingen kendte falske positiver.
03 Marts 2022 - Blog Post # 820
SYN - FIN
TCP pakker med et af disse flags sat (SYN eller FIN), er de eneste
der ikke må indeholde data. LEN=0 er det eneste disse må være sat
til. Læs evt selv RFC793. Det er så nu "TCP
Middlebox Reflection" attack.
På det sidste er man dog begyndt at se, det slet ikke er tilfældet.
Det ene er set i forbindelse med
port knocking sekvenser til bagdøre på firewalls/routers og nu
også i forbindelse med at udnytte middelbokses til
amplifyed DDOS attacks.
Det er altid lidt sjovt at se hvor mange forskellige konsekvenser,
det kan have forskellige steder, når producnter ikke overholder
standarden, især men hensyn til middelbokses. Det åbner jo helt op
for "pandoras æske" af uforudsete ting der kan ske rent
sikkerhedsmæssigt. Det gælder også når man forsøger sig med bagdøre
der ikke ligger inde for standarden. Man bliver nemmere at få øje
på.
IDS Rules frigivet
Har oprettet "Bad TCP packets" som indeholder til både SYN
og FIN packets med payloads.
Benytter man dem på en sensor ude foran en Router/Firewall, kan jeg
anbefale man måske opsætter noget thresholding på sid:5020201 og
sid:5020202 til eks. 1 alert pr 60 sec. -
SNORT REF
Bemærk dog, at benytter man thresholding, så finder man sikkert ikke
port knocking sekvenser til bagdøre som er ret vigtig i denne
forbindelse.
01 Marts 2022 - Blog Post # 819
Remote Tools
Både
Mandiant og
Sophos har beskrevet de samme typer angreb af
Conti gruppen.
Noget der er interesseant er brugen af nogen typisk remote admin
tools, som jeg har set misbrugt før i helt andre typer angreb.
Jeg har samlet en række IDS rules til at opdage denne type tools
såfremt de kører i infrastrukturen.Desuden har jeg en lang række domæner
som også bruges i forbindelse med disse omtalte angreb (dog ikke
frigivet). jeg har
samlet disse IDS rules i en kategori som er under navnet "Remote management
software".
Desuden arbejder jeg lige nu på flere remote management tools, der
vil komme ind under samme kategori.
Splashtop (ScreenConnect) og Atera
Splashtop og Atera er det samme og bygger på det samme. UI er dog forskellig. Jeg
er også ret overbevist om at disse producenter slet ikke har rent mel
i posen. Nu har jeg igennem tiden arbejdet rigtig meget med analyser af
forskellige MalwareRAT's familier. Den eneste forskel jeg rent faktisk ser
her, er at det nu køre i en "cloud" men hele metodikken og
opsætningen ligner så meget en typisk RAT. Det undre mig også, at en
gruppe som Conti bruger interfaces som det her, for så er de nød
til at efterlade meget kraftige spor
efter sig selv, da man skal oprettets på disse servises osv
osv..
Desuden har jeg igennem tiden set rigtig meget brug/misbrug af
remote tools. Men når 2 tools der ligner så meget hianden og rent
faktisk deler domæner, installers mm og tilmed ligner alt det jeg
kender fra malware "RAT's" verden. Så lugter det rigitg meget.....
Her kommer det smukke. Når nu man har en maskine inde i deres
interface og man ønsker at foretage fjernadgang af hosten, så var
det ens i begge løsninger, at man fik en fejlbesked om at management
ikke kunne foretages, men man lige skulle installerer deres "remote
exe fil" på ens egen host :-) Smukt... På den måde kan man jo også
få fat i den person med alle formodet adgange til en virksomhed.
Dont ever go there..
IDS Rules frigivet
Finder de her tools såfremt de køre på det indterne netværk. De er
oprettet som "POLICY" rules.
24 Februar 2022 - Blog Post # 818
Bvp47
Pangu Lab har frigivet hvad der lader til at være en ret
omfattende undersøgelse af noget implant malware lavet af NSA. Det
bemærkelsesværdige set fra mit synsvinkel, er at man også har
beskrevet hvordan hele deres "port knocking" sekvenser ser ud med
magic payloads. Det er meget sjældent
man ser det frigivet. De beskriver også at "covert communication
system is cutting edge" Sammenfaldet af denne publicering med
krigens start i Ukraine kan være et vildt sammentræf eller nøje
planlagt. Kina og Rusland er allieret på "cyber" fronten, så mon der
kan være en sammenhæng....døm selv.
Data
De IOC'er og det data som denne report bygger på, ser dog ud til at
være af ældre dato. Så hvor meget der kunne være i live, har jeg
ingen ide om, men vil tro noget sikkert er. Dog optræder der også et
enkelt dansk domæne, som ikke længerer ser aktivt ud. Men flere NATO
lande optræder på listen, hvilket undre mig en del.
Report kan også hentes her
The_Bvp47_a_top-tier_backdoor_of_us_nsa_equation_group.en
SHA1:
4f3beb306f760932a53b54e92a9bc695913daeef
SYN eller ACK
For at gøre det hele lidt mere forvirrende, så beskriver de i deres
report, at der er tale om SYN pakker. Men billedet der er vedhæftet
i deres report, viser ACK pakker. Det må siges at være noget at en
graverende "hovsa" fejl. Det kan være en billedefejl / skrivefejl.
IDS Rules frigivet
Selvom jeg er klar over forvirringen med SYN / ACK pakkker, så har
jeg fremstillet IDS rules til både ACK og SYN pakker der er
målrettet selve angrebet.
Jeg har måtte lave en del "packet crafting" for at lave packet ud
fra de opgivet speks. Men i virkeligheden ikke så svært som det
lyder. Bemæk at den ene IDS rule kigger på SYN packet med payloads.
Det er helt unormalt og bør ikke forekomme. Så sker der fremover
"ting" hvor nogen forsøger sig med payoads i SYN pakker vil de blive
opdaget med det samme. Dog har det taget lidt tid at få det hele
beskrevet og til at fungere, grundet deres fejl i rapporten.
Om nogen skulle få nogen hits på disse regler høre jeg meget gerne
om det. Inden for networkforensinc verden kan det ikke blive meget
mere "high tech", sammenholdt med hvad det er brugt til. Men
egenteligt simpelt at opdage, da man forsøger ting som egenteligt er
tilladt i følge standarden, såfremt der var tale om et fuldt
handshake, men det er ikke tilfældt her. 1 SYN packet med payload på
en bestemt port og ikke et fuldt handshake.
IDS rules til at kigge på ACK pakker med payloads er straks en
anden ting. Det forekommer ofte. Men IDS rules er lavet til både SYN
og ACK attacket. Så handler det kun om valideringer såfremt noget
giver alerts.
IDS Rules frigivet
Ingen kendte falske positiver. Men vær opmærksom på at de sikkert
har begrænset levetid.
19 Februar 2022 - Blog Post # 817
AsyncRAT
Dette var en del af nogen af de første payloads hvor ISO filer bleve
oprettet via vedhæftet html filer.
Der er ingen tvivl om at oprettet IDS sigs til dette, meget hurtigt
kan blive forældet. Dog er det lykkedes mig at udtrække JA3 sigs der
finder alle versioner af dette hver gang. Ellers må jeg sige det er
et meget sejt framework, og det er nemt at skjule. Der er god
dækning imod dette på anti-virus siden.
Forskellige
rats
Jeg har haft en del upubliceret IDS rules liggende til detection af
forskellige RAT's. Dem frigiver jeg lige i samme omgang.
NetWiredRCRAT
NetSupportRAT
QuasarRAT
CrimsonRAT
AsyncRAT
AgentTeslaRAT
CyberGateRAT
NanocoreRAT
NjRatRAT
AsyncRAT
JA3. fc54e0d16d9764783542f0146a98b300
17 Februar 2022 - Blog Post # 816
SANS Internet Storm Center
De har nu også endelig
fået øjne for alle disse attacks fra
et stadig stigende antal IOT eneheder der fortager mange forskellige
attacks efterhånden. Listen af porte der bliver angrebet lader
åbenbart også til at vokse ifølge det SANS Internet Storm Center har
frigivet. Yderligere er listen af enheder meget li det jeg ser.
En opdateret liste med ip adresser. Bemærk at mange lande ikke
indgår, dette skyldes GEO blokering.
RAW-IP-LIST-IOT-BOTNET-FEB-2022.zip
SHA1: 2d5061817b77b27ef6457170c50ac71eb55fc990
Jeg har tidligere frigivet både IDS
signatur samt en helt unik JA3 hash på alle IP adresser der
foretager disse angreb.
IDS Sigs
IOT BotNet password guessing attack - 16-12-2021
IOT BotNet password attacks - 21-12-2021
JA3: f17ca639ecdcaa65b4521c49e3515ef9
Du kan læse mere om det jeg tidligerer har frigivet
10 December 2021 - Blog Post # 805
16 December 2021 - Blog Post # 806
1 Januar 2022 - Blog Post # 810
15 Februar 2022 - Blog Post # 815
Nye angreb der virker.
Det lader til at det ændre sig hurtigt. Man skal som virksomhed
virkelig være klar til at blokerer for vedhæftet html filer udefra i
mail. Har man ikke allerede gjort det, ville jeg gøre det med det
samme. Lige nu er det bare CinaRAT, det kan være hvad som helt der
bliver lagt ind som vbs downloaderen bare henter ned, man bliver
ramt af.
Denne gang er det html koden ændret en del og nu med
CinaRAT, (QuasarRAT). Sans har lige
beskrevet nye tilfælde hvor der er
0 i detection på VT.
SHA256:
ef579d9bf2dba387c3be9effa09258902c4833dfb7634f4ed804d96e8849da74
Anbefaling
Bloker vedhæftet html filer i mail.
Det er yderst vigtigt at man får Anti-virus scannet sine mail stores
igennem med jævne mellemrum. Tror jeg uden at overdrive kan sige at
mange mangler at opsætte scanninger i mail stores med jævne
mellemrum. Jeg har set at de her mails bare får lov til at ligge og
putte sig på systemerne, uden at blive fjernet efterfølgende når
signaturer efterfølgende kan kende dem. Det er et simpelt tegn på
manglende periodisk scaning af mail stores.
Det kan være en tikkende bombe.
Har man ikke modet til at lukke for vedhæftet html filer, så kan
man i virkeligheden bare lukke op for vedhæftet, eksempel exe og scr
filer, for de her html filer ville kunne skjule dem alle alligevel
og bypasse ethvert extension filter. Jeg kan godt huske dengang man
diskuterede længe om hvorvidt det var en god ide at lukke for exe og
scr filer i mail for mange år siden. Historien viste også at det
dengang var en klog beslutning at man fjernede dem.
13 Februar 2022 - Blog Post # 814
ISO fil "angrebet"
Det var noget jeg blev opmærksom på via en
publicering fra Morphisec. De beskrev dette meget fint.
Til hverdag sidder jeg med forskellige mailsystemer og jeg altid
opmærksom på, når nye angreb via mail opstår og derfor kigger jeg
dem altid nøje igennem. Mail er stadig den mest udnyttet vektor
for en angriber, til at få fat i virksomheder. Det er ofte alt
for nemt og mange har kun fokus på Phishing angreb i forhold til
deres brugerer. Det faktum kender hackerne også.
SANS har
beskrevet hvad jeg vil kalde "forløberen" til dette angreb.
Dengang var det bare brugen af vedhæftet ISO filer som indeholdt exe
filer. Men de har også
beskrevet en andet eksempel af det samme type som jeg har kigget på.
Mit testet malware sample
MD5: 31c701aef60f588ece18d3d1392da916
Download: pw
"infected"
VT link
Selve angrebet - html filen
Som beskrevet af Morphisec, modtager man en simpel vedhæftet html
fil i en mail. Bemærk her, at der er stor forskel på html formateret
mail og en html vedhæftet fil. Man kan godt i en html formateret
mail og have en vedhæftet html fil. Det nemmeste i verden her og som
ville forhindre hele angrebet var at lave et html extension filter
på sine mail systemer når mail ankommer udefra. Det er altså ikke
imellem ansatte som er på et mail system, hvor det skal være "forbudt". Så det
handler om udefrakommende mails. Simpelt og nemt.
Åbningen af html filen
Når html vedhæftningen åbnes vil denne automatisk bare blive kørt af
den pågælde browser der nu fortolker html koden. Html koden
indeholder javascript der obfuskeret. Javascript koden sampler nu en
iso fil og præsenterer denne for brugeren. (uden der sker adgang til
Internettet "lidt sejt"). Nu begynder de lidt "grimme" ting at opstå. Eks i
Outlook er det sikkerhed der sørger på at scripting er slået fra, så
en bruger ikke ville kunne køre scripts. Men det er langt fra det
der sker her. Systemet åbner bare en browser og kører filen når der
bliver klikket på den, så det
sker ikke i kontekst af outlook, men med browseren og med de
rettigheder en bruger nu engang har til at åben en browser. (Det kan
alle) Så har man ikke blokeret for alle vedhæftet html filer, så har
man nu angrebet helt nede på klienten. På det eksempel jeg har
testet på, har ingenting triggert. Jeg har sågår testet det igennem
forskellige mailsystemer herunder O365 og Outlook som de fleste jo
benytter, Mailen ligger nu bare og putter sig i systemet. Det er
heller ikke blevet fjernet ved efterfølgende scanninger af mail
stores. (lidt skræmmende - Tror ikke det er noget der sker ret tit i
O365 mail)
Det angreb som Morphisec beskriver og det jeg har testet, kan man pt
sagtes finde når det udfolder sig, fordi man kan finde det grundet oprettelse af filer,
på steder de ikke bør være, brugen af powershell og CMD osv. Men det
er jo lige nu og kun fordi de i det her attack har gjort det på den
måde de har, med brugen af VBS scripts Jeg kan hurtigt forestille mig en simpel exe fil, der
bliver samplet i iso filen af html filen istedet for et vbs script, så vil den
bare køre, såfremt det ikke er identificeret af Anti-virus mm. Det
kan
åbne op for rigtig mange muligheder
at angribe på.
Extension filters
Rigtig tit har mange systemer kun default opsatte extension filters
implementert. Mange tager ikke højde nogen sinde for at få dem
testet af. Benytter man kun default filters på filtyper i Windows så
er man rigtig nem at udnytte.
De fleste i DK tillader html som vedhæftet filer og gør ikke noget
ved det. Derfor er det min klare opfattelse at denne angrebstype kan
gå hen og blive rigtig farlig for mange. Især fordi den nu kan
bypass alle andre eksisterende extension filters der allerede måtte
være opsat. Denne teknik vil jeg tro kan bypass 90% af allerde
opsatte sikkerheds løsninger vi har derude i dag.
ISO filen igen
En iso fil kan på samtlige Windows systemer mountes som et DVD drev
(Kræver ikke andre tools installeret).
Mounter brugeren denne, får man nu vist et vbs i det nuværende
angreb og det er først her, der begynder at blive hentet yderligere
filer ned til systemet. Men igen var det en exe fil der bare starter
en krypteret forbindelse ud (Måske vi QUIC protokollen), så bliver
det lidt noget andet at finde. Jeg er udemærket klar over at mange
holder øje med nye ukendte processor fra systemer og meget andet.
Men sidder man et stort sted er det sjældent man nogen siden for
gået dem alle igennem, der simpelthen for mange. Analytikkere bliver også
pålagt alt muligt andet de skal lave og have fokus på, men som i
virkeligheden er ligegyldige opgaver i forhold til dette. Rigtig
mange har slet ingen eller for få analytikkerer, til at kunne
overvåget det det hele. Det samme gør sig
gældende for kørte powershell scripts og cmd commands og især hvis det er et
rent Windows miljø, så blender det forholdsvis fint og nemt ind i
mængden. Mængden af eks powershell logs alene kan være kæmpestor
for rigtig mange.
Men det vigtigste er at dette angreb ikke kræver
andet end at brugeren lige klikker et par gange. Så kan man sige sige at
virksomheden nu er solgt.
"Det er lidt tankevækkende at det kun lige
kræver et par klik at "sælge" sin virksomhed, når alt havd det
krævede var et html extension filter for at beholde den"
Sikkerheds løsninger
Mange sikkerheds løsninger jeg har testet kan ikke scanne og finde
den skadelige kode i html filen. Det flyver lige igennem. Den
skadelige kode bliver slet ikke identificeret. Mange
sikkerhedløsninger kan ikke lige finde mounted iso filer via VHD og
få det logget. Dem jeg har testet som er noget Winlogbeat eller
Sysmon de kan sagtes opsættes til at kigge efter det og finde det, såfremt det er opsat med lidt
tilpasning. De fleste kigger ikke efter mounted DVD drives
(CDROM) og leder efter filer der blev kørt fra disse drev. Andre meget dyre systemer, kan ikke slet ikke
opsættes til at opsamle de nødvendige logs. Dog kan de godt finde
andre dele at det nuværende angreb grundet bla PowerShell, men igen
ting som hurtigt kan gemme sig i mængden af logs og andre alerts,
der måske anses at være mere valide at jagte efter.
Mange af dem jeg kender og som sidder med SIEM og logsystemer til
daglig har slet ikke fokus på mounted VHD.
En ting der er interesseant er at filstørrelsen på den ISO der i
dette angreb bliver mounted kun er 50 KB stor, hvilket i sig
selv er meget unormalt. Typisk ville man nok forvente noget cd, dvd
størrelser, der bliver mounted.
Fil associering
En simpel metodik jeg har kigget på er at ændre fil associeringr på
vbs som benyttes i det her angreb. Det kan godt lade sig gøre. Det ville gøre, at når en bruger så når helt ind
til vbs filen med den skadelige downloader, og så klikker på filen,
vil det bare åbne i eks notepad. Brugeren skal altså foretage sig
noget ekstra for at åbne og køre vbs filen. Det kan i mange tilfælde
alene stoppe et angreb. Man skal huske det er brugeren der skal
"klikke" angrebet igang. Det sker ikke automatisk pt. om det ville
kunne indgå i Javascriptet vil jeg tro det godt kunne.
Anbefalet
Har salmet en del ting man kan gøre, alle er ikke lige gode
og der findes sikkert flere ting man kan gøre. Det er ikke noget jeg
betvivler.
Bloker alle vedhæftet html filer i mails udefra.
Det er nok det bedste man kan gøre. Det behøver kun at være
gældende pt. for udefra kommende mails med vedhæftet html filer.
Tillad ikke private web-mail
Det evigt omdiskuteret emne i mange virksomheder. Igen er det
lidt ledernes skyld når virksomheden ofte går i gulvet. Fordi de
selv vil tilgå deres egne private mailsystemer. Jeg har undersøgt
uanet mængder af malware angreb og rigtig mange skyldes brugen af
privat web-mail. Men det viser jo ofte at man så ikke implementere
de nødvendige tiltag, der kunne ligge andre steder som vil være
gældende for en host.
Hold øje med mounted filer der ikke er ret store (fra KB
størrelse til et par mb i størrelse.
Det kan gøres med alm logovervågning.
Opsæt logning af mounted filer til VHD
Microsoft-Windows-VHDMP-Operational
er vejen frem. Opsæt dit SIEM så det kan få øje på det.
Kig evt her
Event id 1 og 2 samt Event id 4663 kan benyttes.
Ændre default fil associering på vbs filer til eks notepad
Det er en mulighed og ville gøre at en bruger skulle gøre noget
ekstra for at køre et angreb. Denne metodik kan også bruges imod
andre filtyper der ofte misbruges i andre typer angreb.
Men i dag kræver det ofte hacking af Windows for at få det til at
virke.
Benyt SRP rules der beskytter imod hmtl filer fra temp
folders.
SRP på html filer fra temp, vil jeg nok være rigtig forsigtig med at benytte.
Men den vil virke. BAT filer fra malware oprettet "Run" folderen vil
breake det her attack.
%TEMP%\*.html
%PUBLIC%\Run\*.BAT
Vær opmærksom på at html skal tilføjes som "Designated File Types"
Hvorfor ikke bare bruge SRP rules imod iso eller vbs. Simpelt fordi
der ikke findes en default systemvariabel til CD-ROM eller DVD
drives i Windows. Dog kan de oprettes med noget scripting.
Files mounted on CdRom drev
Dette kan bruges til søgninger i Kibana.
Look for files mounted on CdRom drives:
Event id: 4663 - An attempt was made to access an object
event_data.ObjectName
Task: Removable Storage
event_data.ProcessName
Wildcard Search - *CdRom*
AV-Scanninger på mail stores
Indfør periodeske scanninger på alle mailstores. Dette skal være en
del af ens complaint policy der er aktivt og virker. Det skal
testes og alle resultater fra scanninger når scannerne finder noget
bør man undersøge. For det betyder i bund og grund at malware er
sluppet igennem på et tidligere tidspunkt. (Slet ikke filer, men sæt
dem i karentæne så de efterfølgende kan undersøges)
OBS - Benytter man Microsoft Defender, så skal man slå email
scanning til via GPO'er først. Men det betyder ikke at den så kan
finde ud af at scanner alle filtyer der typisk kan indeholde mail.
Benytter man Defender til et mailsystem skal man være opmærksom på
at Defender langt fra kan scanne alle mail typer. Bruger man
andet end beskrevet her, vil den slet ikke kunne finde malware i
mails der ligger i eks eml. Windows Defender er en lidt begrænset
kop te i virkeligheden. Jeg vil i virkeligheden have min tvivl ved
at benytte det i en enterprice og især til mail scannning på andet
end hvad det lige understøtter.
Man kan evt teste med
MpCmdRun
Yara rules og OpenIOC
Der kan laves yara rules, såfremt man har den mulighed. Kræver man
kigger den nuværende metodik igennem. IOC kan oprettet og benyttes
de steder man har mulighed for det.
MITRE
På MITRE
findes denne form for angreb slet ikke, dog kun løsligt beskrevet,
men det er i forbindelse med noget x-fil af data.
21 Februar 2022 - Blog Post # 813
rBlackNurse
NexusGuard har nu identificeret en udvikling af
BlackNurse DOS attacket som jeg var en stor del af af foretage
analyse af tilbage i
2016 sammen med et par kolleagaer fra min daværende arbejdsplads i
TDC-SOC. BlackNurse som bestemt ikke er forsvundet, er nu blevet
udviklet til "Black Storm" hvilket er vildt.
Black Storm i en nøddeskal
En spoofet UDP pakke bliver sendt til en enhed (Porte behøver ikke
være åbne)
Enheden vil så svare den spoofet IP med en ICMP pakke. Der bliver
svaret på samme måde som i BlackNurse attacket med Type 3 Code 3. Og
vupti nu er BlackNurse pludselig noget der kan udnyttes i et
distriburet spoofet angreb. Smart og rigtig farligt, for de fleste
kan ikke gøre noget ved det, hvis det bliver angrebet. Eks kan man
jo bare angribe enhederne før det target man ønsker at angribe og
target kan slet ikke se hvad det er der sker.
Anbefalet
NexusGuard har et par anbefalinger i deres paper, jeg vil
anbefale man lige får kigget igennem.
Test dit eget netværk
Igen kan man teste med "Hping3 -2
<target ip> -p <closed port> -c 1" Modtager du en
Type 3 Code 3 tilbage, skal du nok gøre noget. Mere om Hping syntax
her -
https://diarium.usal.es/pmgallardo/2020/10/16/hping3-syntax/
19 Januar 2022 - Blog Post # 812
Emotet
Emotet Trojan er bestemt ikke ny.
Det blev taget ned og nogen forsøger nu at puste liv i det igen.
Det støjer så det halve kan være nok i IDS systemer. Dog forsøger
det et par nye ting, som gør det endnu nemmerer at få øje på.
SANS Storm Center
På næsten samme måde som jeg lige har beskrevet noget
malware helt tilbage fra 2002 som er relateret til Cutwail/Pushdo,
laver Emotet nu samme fejl i EHLO på SMTP porte. Derved kan
inficeret host med Emotet identificeres ret hurtigt.
Brand Duncan har et fint write-up
IOC
Domæner man kan lede efter.
IDS Rules frigivet
Ingen kendte falske positiver
17 Januar 2022 - Blog Post # 811
EHLO ylmf-pc
Nogen gange falder man over meget gamle ting som åbenbart bare ikke
skifter eller forsvinder. Denne gang brute force password guessing
attack fra Cutwail/Pushdo. Der er helt tilbage i
august 2016 skrevet artikler omkring disse attacks. Må
sige det køre lystingt derude stadig imod mail systemer.
Det er stadig meget aktivt
Efter jeg fik øje på det her, må jeg sige det ikke er noget
blevet mindre aktivt igennem tiden. Det kan godt betale sig lige at
holde et våget øje med dette. Det bedste er nok bare at droppe
forbindelser med denne signatur. EHLO/HELO indeholder
ylmf-pc
IDS Rules frigivet
Ingen falske positiver. Der findes heller ikke noget andre IDS rules
derude jeg har kunnet finde.
1 Januar 2022 - Blog Post # 810
Password attacks fra IOT Botnet
Skrev 10 December 2021 om
angreb jeg så fra et IOTBotnet. Jeg har lige verificeret hvor mange
forskellige IP adresser jeg har set som deltager i password attacks
imod bla mail systemer. Det her er fra små 14 dages trafik, på
antallet af attacks der er blevet droppet.
Betydelig størrelse
Med det estimat jeg har lavet her, som faktisk er rent begrænset i
omfang,
vil jeg tro at tallet kan være min 4-5 gange højere. Da det ikke kun
er mig der har set de her attacks, må jeg sige det kan have en
betydelig indvirkning på sikkerheden generalt for rigtig mange, der
dels ikke opdager disse attacks eller for den sags skyld at de har
inficeret udstyr med malware der deltager i disse attacks.
Mange bliver angrebet
Mange bliver angrebet og mange har allerede udstyr, som er inficeret
og deltager i angreb. Det er lidt bemærkelsesværdigt at der ikke er
langt mere fokus på at tage denne form for Botnet's ned, da der i
virkeligheden jo ikke er grænser for hvilke ulykker de reaelt kan
foretage på internettet.
Liste med IP-adresser
Har her igen frigivet en liste med de IP adresser som har udført
angreb. Så skrevet indeholder den ip adresser på 3835 enheder
der er inficeret med malware allerede.
IDS Rules - JA3 hash
Blev frigivet i tidligerer publicering.
Alt hvad jeg har skrevet om igennem 2022