25 Januar 2023 - Blog Post # 848
GoDaddy
Igennem de sidste
3 år har GoDaddy været hacket. GoDaddy er ikke hvem som helst
når man snakker Certifikater til det brede Internet. Alle har
Trusted GoDaddy certifikater i deres browsers, på Windows, Linux,
Mac, Android, Iphone mm. Med en kundebase på 20.9 millioner kunder,
må det siges at være en stor del. Hvis man husker tilbage til hele
sagen omkring
Diginotar så må jeg sige jeg syntes at GoDaddy bør lide samme
skæbne som Diginotar. De blev lukket ned at myndigheder for mindre
end det GoDaddy viser her.
Certifikat udbyderer
Generalt set SKAL sikkerheden bare vare i yderste top når
vi snakker om sikkerhed i denne type virksomhed, som sælger "trust"
til Internettet via Certifikater. I gennem 3 år har hackerne stjålet
source code og regiregeret kunder til yderligere malware sites mm. Det er helt helt uhøt at man kan have
tillid til GoDaddy på nogen måde.
Med hackers indefor i over 3 år vil jeg godt skrive under på at det
ikke er til at kortlægge hvor meget og hvad de har lavet, heller
ikke med de bedste forensic muligheder, så vil det kun lige det
sidste år hvis man er heldig at kunne finde lidt. Hos GoDaddy er
28.000 brugere blevet bedt om at skifte passwords fordi hackerne har
været ind på brugernes konti og skaffet sig adgang til kundernes
data som eks privat keys. Det har afledt en lang række efterfølgende
hacks på kunde systemer verden over. Jeg tror i virkeligheden
at mange slet ikke forstår omganget i det her og hvad der er muligt
med eks adgange og private keys.
Statement fra GoDaddy
De er kommet med verden kortes statement, hvor de bare siger "undskyld"
Jeg siger også undskyld, men hele deres biks burde blive lukket
omgående og al trust til nogen former for Certifikter burde blive
fjernet, fra alle systemer.
SNIPS
The November
2021 incident led to a data breach affecting 1.2
million Managed WordPress customers after attackers breached
GoDaddy's WordPress hosting environment using a compromised
password.
Last year,
scammers used hundreds of compromised GoDaddy accounts to create
15,000 subdomains, some of them attempting to impersonate popular
websites, to redirect potential victims to spam pages that were
pushing snake oil products.
Yderligere har brugerne fået
stjålet private keys osv osv......
Listen
fortsætter bare..
Anbefaling
Bruger ,man certifikater fra dem,
skift dem ud til nye fra anden udbyder. Bruger man andre servisec
fra dem, skift til andet. Fjern trust trust hvis det er muligt i
browseres mm. De har desværre Root trust i browseres.
23 Januar 2023 - Blog Post # 847
Googleaddservice
Mens mange retter blikket imod Ukraine og kigger på hvad der sker
der, så skal man ikke kun rette site fokus den vej, for så bliver
man godt nok fanget. Der er mange kræfter der gerne vil ha man kun
kigger den vej, men det skal man nok ikke lade sig snyde af. Lige nu
bliver opmærksomheden taget af Killnet og Sudan der DDOS'er danske
virksomheder, men de gør slet ikke samme skade som det her kan gøre.
Rettet fokus imod googleaddservice
Jeg har siden slutning af sidste år kigget
meget på Googleaddservice og alle de malware kampanger der ruller ud
igennem netop googleaddservice. Det er som om "alle" de største
malware familer pludelig "kun" kommer ud igennem googleaddservice
det mere gængs infection chains syntes jeg er aftaget. Det er bemærkelsesværdigt at der er sket
et så stort skift på de mange familier på så kort tid. Det kan
bestemt godt være relateret til Ukraine.
Det sker igennem falske reklamer med malware der typisk leder til
falske sider med kendt software som mange benytter også kaldet
Drive-by-download. Der forekommer ved ganske almindelig google
søgninger, hvis man tilfældigvis lige søger på noget software som
som er målrettet af hackerne.
Målrettet software misbrugt
Jeg har samlet en lille liste af det software jeg selv har set der
leder til malware via fake adds fra googleaddservice. Listen er
bestemt ikke udelukkende kun til dette.
Software | |
7-Zip Adobe Audacit AnyDesk Audacity AutoHotkey CCleaner Dashlane gpg4win Microsoft Teamviewer MSI Afterburner |
Grammarly IrfanViewer ITorrent μTorrent Libre Office Open Broadcaster Software Ring Slack teamviewer Terminal App Service VLC Malwarebytes |
Den bedste beskyttelse lige nu og
min klare anbefaling
Den bedste er helt at undgå google adds reklmaer i sin browser.
Blokering af domænet er det nok bedste man lige nu kan gøre. Især
gælder dette for virksomheder. jeg kan desuden anbefale at
virksomheder begynder at deploye add blockers til virksomhedens
maskiner. For et DNS filter på en primeter er slet ikke dækkende i
dag. Der er for mange smutveje uden om, især fordi de fleste slet
ikke choker outbound DNS.
Bloker følgende domæne
www[.]googleadservices[.]com
En meget kortfattet liste af malware domæner. Bemærk
at der er mange hundrede domæner.
microsofteamsus[.]top
amydecke[.]online
anydeskcloud[.]tech
yes2food[.]com
cpu-id[.]top
wvv-llbreofflce[.]top
obsqroject[.]com
llbroofice[.]com
archiver-7zip[.]software
adobereaders[.]co
bravebrowsers[.]cc
sraelifrenchbulldogs[.]com/teamviewer
dogotungtam[.]com/teamviewer
08 Januar 2023 - Blog Post # 846
Websocket
Websocket er det man kan kalde den "pålidlige" version af HTTP.
HTTP er en upålidlig protokol bygget oven på TCP der så gør den
pålidlig. Den store forskel er nok at man kun behøver at åbne 1
session, man så kan holde gående meget længe frem for en http
forbindelse der meget ofte så skal igennem 3-way handshake og skal
åbne nye sessioner. Der er klart store foreskelle imellem de 2, men
mere om det kan du læse om
her
Encoding er ikke kryptering
Dog en særlig ting gør sig gældende i websockets er "Masked" det
består af en Masking-key og maked payload.
Det er helt simpelt for at forhindre ting som eks proxyes i at
snoope på trafikken. Endnu mere vigtig er det at trafikken ikke er
krypteret med "MASKED" kun encoded. Bla
Fiddler kan decode websockets. Wireshark kan ikke gøre det.
Data X-fil / C2 trafik
Det er klart at foretrække websocket frem for alm http såfremt man
skal lave data-x-fil hvis man skal vælge imellem de 2, da websockets
har det med at gå mere ubemærket igennem et netværk, da det ikke
støjer særlig meget.
Derfor skal man som defender også holde et skarpt øje med websocket
trafik i ens netværk.
MIn erfaring siger mig, at det ikke er noget der er mest af, dog vil
man støde på det, og det er meget hurtigt at validere om det er
skadelig trafik eller ej. Man skal være opmærksom på at websockets
også virker hen over HTTPS.
Trojan Rhadamanthys
Netop Trojan Rhadamanthys benytter sig af websockets, noget man ikke
ser hver dag. Derfor har jeg lavet en IDS rule der netop kigger
efter websockets og selvfølgelig og til at identificere Trojan
Rhadamanthys malware. Der findes bla også
PurpleFox botnet der benytter sig af websockets og mange mange
flere.
IDS Rule frigivet
Websocket og Trojan Rhadamanthys.
01 Januar 2023 - Blog Post # 845
Har været på en del år
I 2005 startede jeg med at skrive aktivt og publicerer en
masse ting jeg fandt interesseant i forhold til IT-Sikkerheds
relateret emner, dengang var det på et gammelt domæne og sidenhen
netcowboy.dk og nu er jeg igang med 7 år herinde, så samlet set har
jeg brugt 22 år og er igang med 23 år.
Jeg må sige at der er sket meget igennem 23 år på IT-Sikkerheds
området, det er helt vildt. De kommende år bliver sikkert med lige
så mange udfordringer og spændende ting, noget der sikkert aldrig
vil aftage.
Ny start
Jeg starter 2023 med at skifte til nyt job og vil fremadrettet
arbejde for
EnergiCERT. Det er inden for områder jeg er vandt til at arbejde
i og med meget spændende opgaver. Noget jeg ser rigtig meget frem
til og som vil passe bedre til mig fremadrettet både arbejdsmæssigt
og på især det private område.
Jeg har altid elsket at arbejde i en CERT funktion som analytikker
der dækker store områder af den danske infrastruktur. Det at bidrage
til øget sikkerhed er noget der altid har været mig nært.
Så 2023 bliver sikkert et år med mange nye ting og nye
mennesker jeg skal møde og lære at kende. En del af dem kender jeg
dog i forvejen. Men jeg glæder mig.
Pænt farvel
2022 er jo også et år hvor jeg har takket af med TDC og hvor jeg
faktisk har været glad for at være, og til alle dem i TDC kan jeg
kun komme med et kæmpe varmt tak for tiden og pænt farvel.
Alt hvad jeg har skrevet om igennem 2023