Networkforensic
Threat hunting
Ny angrebs metodik "GrimResource"
27 Juni 2024 - Blog Post # 864
GrimResource
Elastic Security har publiceret information omkring en ganske ny
metodik, der fik min store interesse, da man kan sende msc udformet
filer direkte igennem de fleste mail systemer uden de bliver
stoppet. Ved ikke hvorfor det skal være muligt at indlejre scripts i
denne type af filer, men det kan man altså. Det er lige så godt som
at kunne sende EXE filer igennem et mail system uden det blver
stoppet eller blokeret ude på endpoints.
MSC filen
er en Windows Management Console fil, som meget ofte beyttes af
Microsoft admins. MSC filen bliver typisk åbnet på klienter og
servers med mmc.exe. Den nuværende kampage var for et par dage side
helt uden detection herunder 0 hits på VT.
Tiden efter Office default allow scripting
Den evige jagt på muligheder for at afvikle scripts efter Microsoft
har disablet den default opførelse i Office, køre lystigt. Denne
gang er det MSC filer. Man skal ikke tillade MSC extension typer via
mailsystemer, det er MEGET kritisk at man få dette blokeret
omgående.
Opdatering. 02-07-2024
Angående vedhæftet filtype for at udnytte denne angrebsvinkel er
*.msc. Så har jeg teste flere O365 mail systemer hvor det ikke er tilladt
og andre hvor de render fint igennem. Til min overraskelse render
det også fint igennem systemer som Proton-mail. Så uanset tjek lige
eget system og på et O365 er det åbenbart ikke implicit at det er
blokeret.. Man kan desuden lave blokeringer af MSC filer i Windows
med bla Sysmon og mange andre værktøjer.
Sysmon
Via sysmon config, har jeg lavet fuld detection for denne metodik.
Så kommer de med nye skadelige filer og benytter denne metodik, så
har man en chance for at opdage det med Sysmon Config 47.
IDS Detection
Der findes ikke IDS Detection til disse, da de pt bruger almindelig
HTTPS
Happy hunting....
Analyser af BOTNET - SektorCERT
8 Juni 2024 - Blog Post # 863
BIMP-BotNet -
SektorCERT har frigivet "Analyser
af BOTNET" som er en opfølgning på deres frigivelse af "Uautoriserede
scanninger mod energi- og forsyningsselskaber" Rapporten ser på
IP adresser der ikke kunne identificeres i første omgang men
identificere og et Botnet som har kørt længe under radaren. Det er i
forhold til at foretage "low and slow" bruteforce attacks imod stort
set alt der har en "login promt" Det der er det lidt vilde er at det
udelukkende er et Botnet bestående af IOT dimser og som ikke kan
relateres til andre typer Botnet's, som allerede er kendte derude.
Yderligere er der identificeret forskellige andre Botnet's som også
spiller en rolle i forhold til vedvarende daglige angreb. Det er
noget der rammer alle og anbefalinger kan i høj grad anbefales til
alle.
Man kan hente både en Dansk og en Engelsk version på
SektorCERT's hjemmeside.
Kerio Connect (GFI) Upload og Remote Tools giver udfordringer med privacy og sikkerhed
5 Juni 2024 - Blog Post # 862
Kerio Connect
(GFI) med sikkerheds udfordringer
Inbygget som i så meget andet er der i Kerio Connect mail servers en
inbygget funktion (kassist.exe) som i tilfælde af at noget crasher
indsamler oplysninger om et crash, det er også kaldet for et "crash
dump" Det kan være i tilfælde af at en update fejler, så får
administratoren den mulighed via en GUI at kunne sige ja til at
uploade dette til Kerio (GFI). Det er faktisk ikke noget man lige har
mulighed for at slå fra via config nogen steder, MEN man kan jo sige nej til at uploade
når og hvis GUI fremkommer. Dog
i den seneste version har deres automatiske GUI været lidt fraværende og ikke fremkommet,
hvilket jo kan give lidt udfordringer når der så sker en upload
alligevel.
Indsamling af
data i forbindelse med Crash
Den store udfordring med at kassist.exe indsamler data, er at alle
Configs omkring hele systemet nu bliver indsamlet og sendt direkte
til Kerio
(GFI) . Det betyder i virkeligheden at man kan opsætte en "tro"
kopi at hele mail systemet på et andet test system, herunder alle
brugerer med tilhørende password i form af HASH værdier. Alle sikkerheds indstillinger der er lavet på
systemet er også en del af den pakke. Man kan sige det er nødvendit
i en fejl situation til en udvikler der skal kigge det igennem.
Billedet her viser en SNIP af den indsamlet information fra en
Kerio Connect Mail server
Hvem stoler man på ?
Min kæmpe udfordring, med at det hele
bare bliver indsamlet og sendt er jo at, stoler man på den modtager
i den anden ende, der basalt set nu kan opsætte hele systemet hos
sig selv ? Man ved jo faktisk ikke hvem der har adgang til de data.
Denne form for indsamling gør mig virkelig skeptisk over for den
sikkerhed der praktiseres også selvom det er i forbindelser med
crash og fejlrettelser så skal man altså ikke sende al den form for
information. Dette burde blive håndteret anderledes.
Upload fra kassist via FTP
Når jeg ser FTP upload bliver jeg typisk bekymret, for jeg forventer i dag, at man
benytter en eller anden form for krypteret kanal til fil
overførelser. Hele upload af "Crash dump" filen til
"crash.kerio.com" sker via FTP, som jo er ganske ukrypteret.
Benytter man så alligevel FTP,
så kunne man forvente at filer der bliver overført i et krypteret
format eller password beskytte med et meget langt passwords, så
alle der lytter med på Internet trafikken, ikke bare kan genskabe det
hele.
Hele filen er lige til at carve ud
af netværks trafikken og genskabes på et tilfældig system i
klar tekst. Den kan udpakkes uden password. Man
kunne måske forvente bruger navne og passwords på FTP forbindelsen,
men dette er jo ukrypteret og kan findes i klart format i
netværkstrafikken og er ikke svært at finde. Bruger navnet hertil er
"crash" den hurtige kan gætte hvad password mon kan være ? Det tog mig at under 10 min at se hvad
der skete, og carve filen ud af trafikken og få den udpakket for at
se hvad denne indeholdte.
Billedet her viser FTP forbindelsen direkte til
"crash.kerio.com"
Kassist tilbyder rent faktisk slet ikke andet end FTP overførelser.
Men kan til gengæld gøre det hele i "Silent mode" så ingen opdager
det sker og til placeringer der ikke er "crash.kerio.com".
Det betyder jo også at deres support tools ikke er blevet opdateret til
seneste standarder i mange år. Det er også generalt det jeg syntes
efterhånden kendetegner Kerio Connect. Det bære præg af,
manglende tidsvarende sikkerheds funktioner.
Billedet her viser de switches som kan benyttes af kassist.exe
Remote access tools
Som noget nyt i deres seneste versioner, bliver der installeret et
"Remote Access Tool" som en del af installations pakke. Dette er fra
tailscale som er en del af deres "nye" App Manager. Det virker
som ren "backdoor access" og med samme metodikker som jeg ofte ser
med forskellige RAT-Trojans. Det er bare så meget "NO GO" at dette
bliver default installeret, for det er helt sikkert at det før eller
siden bliver misbrugt til noget utilsigtet.
Bruger manualer med opdateret information.
Man kunne forestille sig, at der var en beskrivelse af hvordan
kassist.exe eller tailscale.exe virker og hvortil forbindelser kan
forventes. Men intet i deres manualer er nævnt om disse værktøjer. Det jeg kan
finde på
kassist er ret sparsomt samt noget tilbage fra
2016. Ang tailscale som er en del af deres ny App manager er
der intet nævnt nogen steder i manualerne og igen er det eneste jeg kan finde,
noget
fiks omkring netop tailscale som er blevet rettet i Kerio App
Manager. Der er derfor i min optik manglende kritisk information i
manualer og vejledninger i håndteringen af disse værktøjer.
Hvad så nu
Jeg er altså ikke særlig imponeret. Et sikkerheds firma som netop
Kerio og GFI som tillader denne form for håndteringer af deres kunders
data og installationer samt Remote tools. Desuden benytter de i stor
stil nu
CNAME Cloaking på de fleste af deres Online Servises. Det
er typisk til ren tracking af deres
brugerer. Jeg har i mange år benytte produkter fra Kerio som firewalls
og proxy gateways AV systemer og port scanners og har været super
glade for disse. MEN må også sande at Kerio (GFI) ikke længere er
for mig, som ønsker en lidt anden standard end det jeg er begyndt at
se i deres produkter.
Læs denne artikel fra Palo Alto ang
CNMAE Cloaking
Kerio var engang en meget respekteret software sikkerheds
udviklingshus, men efter GFI har overtaget det, er sikkerheden altså
skredet en hel del. I dag virker det som en "penge maskine" i
kategorien "support haters".
Anbefaling
Man skal generalt være opmærksom på produkter man benytter i
produktion og hvad de laver. Det samme er gældende for Kerio
Connect. Dog har jeg samlet nogen anbefalinger man kan gøre brug af
herunder.
Ændre rettigheder på følgende foldere:
C:\ProgramData\Tailscale\*
C:\ProgramData\GFIAgent\*
Block fil med Sysmon
| <!-- Event ID 27 == File Block
Executable --> <RuleGroup name="FileBlockExecutable" groupRelation="or"> <FileBlockExecutable onmatch="include"> <!-- Unwanted Agent installation --> <TargetFilename name="technique_id=Known unwanted agent installation ,technique_name=Remote access - tailscale" condition="end with">\tailscale.exe</TargetFilename> </FileBlockExecutable> </RuleGroup> |
Drop Domæner
*.tailscale.io
*.tailscale.com
crash.kerio.com
Firewall
Sikre din mailserver med firewall regler, der ikke tillader udgående
forbindelser du ikke kender til.
IDS rule frigivet
Jeg har frigivet et par IDS regler man kan benytte.
Sysmon Config
Desuden kan man benytte min
Sysmon Config fil som fint spotter dette.
Happy Hunting.....
Blacknurse
17 April 2024 - Blog Post # 861
Blacknurse.dk
lukker og slukker
Det var/er en type DDOS vi opdagede i TDC-SOC tilbage i 2016. Man kan
læse det meste på mit eget site her eller på
Wikipedia. Man kan desuden hente en
kopi af selve blacknurse.dk her i en zip med en enkelt html fil.
Man kan også hente
PDF rapporten vi frigav i TDC-SOC.
Sysmon forensic tool - SysmonViewer
06 Januar 2024 - Blog Post # 860
Sysmon forensic
Igennem lang tid har jeg lavet
Sysmon configs der er rigtig gode til at finde de typisk ting
man leder efter i forbindelse med forensic sager og især når det
handler om hvad der sker på en host når malware bliver hentet og
afviklet. Det er også i forbindelse med forskellige hacker sager at
Sysmon forensic kan være rigtig godt at kunne, da det er en gudlmine
af logs.Det seneste jeg har fået implementeret ind i
Sysmon er næsten alle
LOLBAS
teknikker. LOLBAS er vigtig,da især APT-aktører gør meget brug af
disse helt almindelig tools for at hoppe rundt i systemer. Så at
være god til "LOLBAS hacking" er et must for at hoppe ret uset rundt
i Windows miljøer.
Pen-test
Jeg må indrømme at config filen er rigtig godt testet efterhånden og
mange Pen-testers der har testet Systemer med Config filen, bliver
fundet hver gang, typisk inden de overhovet kommer i gang, ofte
fordi de kræver deres egne tools installeret eller bare lagt på et
system. Sysmon sammen med netværks sensors krydderet med Windows
Event-Logs, så har man et fint overblik over hvad der sker i et
Windows miljø. For der er altid et spor at løbe efter...
Default Windows tools
I forbindelse med jeg har lavet Sysmon configs, hvor jeg primært kun
benytter de default installeret tools fra Windows, da jeg mener det
er vigtigt at kunne bruge de default installeret tools, for at være
god til Windows i det hele taget. For det er typisk kun dem man har
til sin rådighed når det kommer til stykket. For det er lige så
vigtig at lære hvordan ting ser ud når de bruges normalt til når de
bliver misbrugt / udnyttet.
SysmonView
Dog vil jeg fremhæve et tool jeg er faldet over der er rigtig godt i
forbindelse med Sysmon Forensic i de tilfælde hvor Sysmon ikke er
forbundet med et SIEM system eller hvor Sysmon Config filen er meget
stor.
Sysmon View er lavet af Nader
Shalabi og hans tools kan jeg virkelig godt anbefale.
Et lille eksempel på at man via CMD starter Curl og henter en zip og
ligger den et sted på systemet.
Der ligger 3 forskellige tools hos Nader Shalabi - Sysmon View,
Sysmon Shell og Sysmon Box. Alle sammen kan jeg anbefale......
Happy hunting...
Analytics Rule Blindness
28 December 2023 - Blog Post # 859
Analytics Rule Blindness - ARB
Igennem mange år har jeg manglet at kunne sætte ord på netop
- Analytics Rule Blindness som jeg ind imellem ser
analytikkere blive forvirreret af eller hvor de hopper direkte i
"fælden" når de sidder og validerer trafik.
Jeg har her forsøgt at beskrive dette ret kort faktisk, men så det
også bliver lidt forståligt for en analytikker.
Jeg har skrevet en lille PDF file som man kan hente her
Analytics
Rule Blindness.pdf
Blog posts
Alt hvad jeg har skrevet om igennem 2024