Networkforensic

Threat hunting

GoDaddy

 25 Januar 2023  - Blog Post # 848

GoDaddy
Igennem de sidste 3 år har GoDaddy været hacket. GoDaddy er ikke hvem som helst når man snakker Certifikater til det brede Internet. Alle har Trusted GoDaddy certifikater i deres browsers, på Windows, Linux, Mac, Android, Iphone mm. Med en kundebase på 20.9 millioner kunder, må det siges at være en stor del. Hvis man husker tilbage til hele sagen omkring Diginotar så må jeg sige jeg syntes at GoDaddy bør lide samme skæbne som Diginotar. De blev lukket ned at myndigheder for mindre end det GoDaddy viser her.

Certifikat udbyderer
Generalt set SKAL sikkerheden bare vare i yderste top når vi snakker om sikkerhed i denne type virksomhed, som sælger "trust" til Internettet via Certifikater. I gennem 3 år har hackerne stjålet source code og regiregeret kunder til yderligere malware sites mm. Det er helt helt uhøt at man kan have tillid til GoDaddy på nogen måde.

Med hackers indefor i over 3 år vil jeg godt skrive under på at det ikke er til at kortlægge hvor meget og hvad de har lavet, heller ikke med de bedste forensic muligheder, så vil det kun lige det sidste år hvis man er heldig at kunne finde lidt. Hos GoDaddy er 28.000 brugere blevet bedt om at skifte passwords fordi hackerne har været ind på brugernes konti og skaffet sig adgang til kundernes data som eks privat keys. Det har afledt en lang række efterfølgende hacks på kunde systemer verden over.  Jeg tror i virkeligheden at mange slet ikke forstår omganget i det her og hvad der er muligt med eks adgange og private keys.

Statement fra GoDaddy
De er kommet med verden kortes statement, hvor de bare siger "
undskyld" Jeg siger også undskyld, men hele deres biks burde blive lukket omgående og al trust til nogen former for Certifikter burde blive fjernet, fra alle systemer.

SNIPS
The 
November 2021 incident led to a data breach affecting 1.2 million Managed WordPress customers after attackers breached GoDaddy's WordPress hosting environment using a compromised password.

Last year,
scammers used hundreds of compromised GoDaddy accounts to create 15,000 subdomains, some of them attempting to impersonate popular websites, to redirect potential victims to spam pages that were pushing snake oil products.

Yderligere har brugerne fået
stjålet private keys osv osv......
Listen fortsætter bare..

Anbefaling
Bruger ,man certifikater fra dem, skift dem ud til nye fra anden udbyder. Bruger man andre servisec fra dem, skift til andet. Fjern trust trust hvis det er muligt i browseres mm. De har desværre Root trust i browseres.

 

Googleaddservice

 23 Januar 2023  - Blog Post # 847

Googleaddservice
Mens mange retter blikket imod Ukraine og kigger på hvad der sker der, så skal man ikke kun rette site fokus den vej, for så bliver man godt nok fanget. Der er mange kræfter der gerne vil ha man kun kigger den vej, men det skal man nok ikke lade sig snyde af. Lige nu bliver opmærksomheden taget af Killnet og Sudan der DDOS'er danske virksomheder, men de gør slet ikke samme skade som det her kan gøre.

Rettet fokus imod googleaddservice
Jeg har siden slutning af sidste år kigget meget på Googleaddservice og alle de malware kampanger der ruller ud igennem netop googleaddservice. Det er som om "alle" de største malware familer pludelig "kun" kommer ud igennem googleaddservice det mere gængs infection chains syntes jeg er aftaget. Det er bemærkelsesværdigt at der er sket et så stort skift på de mange familier på så kort tid. Det kan bestemt godt være relateret til Ukraine.

Det sker igennem falske reklamer med malware der typisk leder til falske sider med kendt software som mange benytter også kaldet Drive-by-download. Der forekommer ved ganske almindelig google søgninger, hvis man tilfældigvis lige søger på noget software som som er målrettet af hackerne.

Målrettet software misbrugt
Jeg har samlet en lille liste af det software jeg selv har set der leder til malware via fake adds fra googleaddservice. Listen er bestemt ikke udelukkende kun til dette.

Software
7-Zip
Adobe
Audacit
AnyDesk
Audacity
AutoHotkey
CCleaner
Dashlane
gpg4win
Microsoft Teamviewer
MSI Afterburner
Grammarly
IrfanViewer
ITorrent
μTorrent
Libre Office
Open Broadcaster Software
Ring
Slack
teamviewer
Terminal App Service
VLC
Malwarebytes

Den bedste beskyttelse lige nu og min klare anbefaling
Den bedste er helt at undgå google adds reklmaer i sin browser. Blokering af domænet er det nok bedste man lige nu kan gøre. Især gælder dette for virksomheder. jeg kan desuden anbefale at virksomheder begynder at deploye add blockers til virksomhedens maskiner. For et DNS filter på en primeter er slet ikke dækkende i dag. Der er for mange smutveje uden om, især fordi de fleste slet ikke choker outbound DNS.

Bloker følgende domæne
www[.]googleadservices[.]com

En meget kortfattet liste af malware domæner. Bemærk at der er mange hundrede domæner.
microsofteamsus[.]top
amydecke[.]online
anydeskcloud[.]tech
yes2food[.]com
cpu-id[.]top
wvv-llbreofflce[.]top
obsqroject[.]com
llbroofice[.]com
archiver-7zip[.]software
adobereaders[.]co
bravebrowsers[.]cc
sraelifrenchbulldogs[.]com/teamviewer
dogotungtam[.]com/teamviewer

 

Websocket

 08 Januar 2023  - Blog Post # 846

Websocket
Websocket er det man kan kalde den "pålidlige" version af HTTP. HTTP er en upålidlig protokol bygget oven på TCP der så gør den pålidlig. Den store forskel er nok at man kun behøver at åbne 1 session, man så kan holde gående meget længe frem for en http forbindelse der meget ofte så skal igennem 3-way handshake og skal åbne nye sessioner. Der er klart store foreskelle imellem de 2, men mere om det kan du læse om her

Encoding er ikke kryptering
Dog en særlig ting gør sig gældende i websockets er "Masked" det består af en Masking-key og maked payload.
Det er helt simpelt for at forhindre ting som eks proxyes i at snoope på trafikken. Endnu mere vigtig er det at trafikken ikke er krypteret med "MASKED" kun encoded. Bla Fiddler kan decode websockets. Wireshark kan ikke gøre det.




Data X-fil / C2 trafik
Det er klart at foretrække websocket frem for alm http såfremt man skal lave data-x-fil hvis man skal vælge imellem de 2, da websockets har det med at gå mere ubemærket igennem et netværk, da det ikke støjer særlig meget.
Derfor skal man som defender også holde et skarpt øje med websocket trafik i ens netværk.

MIn erfaring siger mig, at det ikke er noget der er mest af, dog vil man støde på det, og det er meget hurtigt at validere om det er skadelig trafik eller ej. Man skal være opmærksom på at websockets også virker hen over HTTPS.

Trojan Rhadamanthys
Netop Trojan Rhadamanthys benytter sig af websockets, noget man ikke ser hver dag. Derfor har jeg lavet en IDS rule der netop kigger efter websockets og selvfølgelig og til at identificere Trojan Rhadamanthys malware. Der findes bla også PurpleFox botnet der benytter sig af websockets og mange mange flere.

IDS Rule frigivet
Websocket og Trojan Rhadamanthys.
 

 

Velkommen til 2023

 01 Januar 2023  - Blog Post # 845

Har været på en del år
I 2005 startede jeg med at skrive aktivt og publicerer en masse ting jeg fandt interesseant i forhold til IT-Sikkerheds relateret emner, dengang var det på et gammelt domæne og sidenhen netcowboy.dk og nu er jeg igang med 7 år herinde, så samlet set har jeg brugt 22 år og er igang med 23 år. 

Jeg må sige at der er sket meget igennem 23 år på IT-Sikkerheds området, det er helt vildt. De kommende år bliver sikkert med lige så mange udfordringer og spændende ting, noget der sikkert aldrig vil aftage.

Ny start
Jeg starter 2023 med at skifte til nyt job og vil fremadrettet arbejde for EnergiCERT. Det er inden for områder jeg er vandt til at arbejde i og med meget spændende opgaver. Noget jeg ser rigtig meget frem til og som vil passe bedre til mig fremadrettet både arbejdsmæssigt og på især det private område.

Jeg har altid elsket at arbejde i en CERT funktion som analytikker der dækker store områder af den danske infrastruktur. Det at bidrage til øget sikkerhed er noget der altid har været mig nært.

Så 2023 bliver sikkert et år med mange nye ting og nye mennesker jeg skal møde og lære at kende. En del af dem kender jeg dog i forvejen. Men jeg glæder mig.

Pænt farvel
2022 er jo også et år hvor jeg har takket af med TDC og hvor jeg faktisk har været glad for at være, og til alle dem i TDC kan jeg kun komme med et kæmpe varmt tak for tiden og pænt farvel.

 

Blog posts

Alt hvad jeg har skrevet om igennem 2023