28 Juli 2024 - Blog Post # 866
Sextortion
Det er ren og skær afpresning. Det er også noget der rent faktisk
efterforskes af Politiet og kan derfor anmeldes.
Har brugt min første feriedag på at svare forældre, hvis børn som har
modtaget mails med dette indhold.
Min korte kommentar til dette er slet mailen. Det er et ren og skært
SCAM. De kommer i mange udformninger og ser eks også ud som
herunder.
De mails der er i omløb pt. ser således ud....SLET DEM.
Anmeldelse
Til de meget bekymret forældre kan dette anmeldes til
Politet her
RedBarnet har også noget information her
https://redbarnet.dk/foraeldre/leksikon/sextortion/
Happy hunting.....
20 Juli 2024 - Blog Post # 865
Total Fail
Må inderømme at dette helt klart nok kommer til nr 1 i lang tid på
"Total fail listen". Jeg kan huske mange igennem tiden som er fejlet
af forskellige sikkerheds vendors på forskelige områder. De er
allesammen nogen der brænder sig fast i hukommelsen. Men denne her
slår dem alle alene grundet den impact det har haft. På mange måder
ligner det her Mærsk incident om igen. Dog ikke med noget der ligner
Ransomware men med BSOD. Fejlet opdatering der går meget hurtigt via
Software deployment. Det er designet til at skulle gå hurtigt
hvilket det også gør
Som med Mærsk incidentet hvor "Det russiske told system" brugte en
falg til at bestemme hvem der skulle modtage en opdatering. Så lader
det til at hver CrowStrike kune modtager individuelle AV
opdateringer
på samme måde som det er sket med Mærsk. Men jeg kan stille mange
spørgsmål til hvorfor hver kunde skal have individuelle
opdateringer. Det kan der være mange
årsager til og nødvendige. MEN det giver mange sikkerheds mæssige
udfordringer. Jeg kan tænke mange senarier igennem der ikke er
ønsket her.
Forklarings problem
Genralt har CrowdStrike et meget stort problem med at en opdatering
kan lamme et OS i den anden ende på den måde det har gjort. Det SKAL
fanges i test inden det bliver sendt ud. Her har de et stort
forklaringsproblem. Men det er stort set det samme der er sket for
mange andre sikkerheds producenter igennem tiden, dog ikke med så
stor impact. Tilliden til dem på dette område får konsekvenser, det
får de lidt svært ved at rette op på.
Som sikkerheds analytikker er jeg selv gået uden om producenter der
gentagende gange laver denne type fejl. CrowStrike har lavet flere
fejl end jeg faktisk var klar over. Dem kan man finde rundt om på
nettet, de dukker især op nu. Så jeg mener slet ikke de er så modne
som mange måske tror de er. Men det er heller ikke en nem opgave for
nogen. Det er super kompliceret.
Identificering af fejl.
CrowedStrike Falcon fik da hurtigt identificeret fejlen. Men det
der bliver efterladt, er et helt vildt stort oprydnings arbejde.
Deres vejledning stemmer heller ikke helt mål med virkeligheden.
Mange der eks bruger Azure skal mounte diske ind og ud og med alle
dem der sidder og retter fejl lige nu, så går opgaven latterlig
langsomt. Det meste udstyr skal fejlrettes i hånden. Kender en
virksomhed der er ramt med godt 80.000 maskiner. Der skal løbes
stærkt for at få ting i luften igen her.
OSINT
Det er jo helt latterligt hvor nemt det lige er blevet at lave OSINT
på hvem der bruger CrowdStrike Falcon lige nu. Man skal bare kigge
efter dem der publicerer de er nede grundet et fejlet opdatering i
CrowedStrike. Det ved jeg der helt sikkert er nogen der kan bruge
til noget. Så det er "OSINT for the win"
Microsoft skyld !
Denne gang mener jeg faktisk ikke man kan sige det er Microsoft
skyld. Det er ene og alene CrowdStrike Falcon.
Men da de fleste bruges Microsoft som leverandør til alt hvad de
laver og det hele ligger i cloud, så skal man tænker over at få ting
flyttet væk fra Cloud til "on prim" der måske heller ikke alle sammen køre
på samme type OS. Det er alt for sårbart at alle ligger på de samme
systemer, noget mange sikekrheds folk altid har været klar over, men hvor ingen rigtig lytter til andet end marketings
folk. Men tænk over, at alle der bruger den samme cloud platform
basalt set bliver til den samme virksomhed.
Ironien.
Noget mange sikkerheds folk også ved, er at jo mere du installerer
på et OS jo mere sårbart bliver det og sværre at beskytte. En øvelse
mange virksomheder bør gøre sig er at begrænse installationer på
endpoints og servers og især ikke at ligne alle andre virksomheder.
Ligner alt hianden og der kommer en sårbarhed, så har det indflydes
på alle.
Det her var et ligende eksempel Mikko Hyppönen brugt for godt 20 år
siden. Kommer der en virus der rammer køer. og alle er den samme
type ko. Så forvent at det kan sprede sig til alle de samme køer.
Så er det måske en god ide ikke at ligne de samme køer..... Det er
gælde for OS og det valg af sikkerheds software man benytter.
27 Juni 2024 - Blog Post # 864
GrimResource
Elastic Security har publiceret information omkring en ganske ny
metodik, der fik min store interesse, da man kan sende msc udformet
filer direkte igennem de fleste mail systemer uden de bliver
stoppet. Ved ikke hvorfor det skal være muligt at indlejre scripts i
denne type af filer, men det kan man altså. Det er lige så godt som
at kunne sende EXE filer igennem et mail system uden det blver
stoppet eller blokeret ude på endpoints.
MSC filen
er en Windows Management Console fil, som meget ofte beyttes af
Microsoft admins. MSC filen bliver typisk åbnet på klienter og
servers med mmc.exe. Den nuværende kampage var for et par dage side
helt uden detection herunder 0 hits på VT.
Tiden efter Office default allow scripting
Den evige jagt på muligheder for at afvikle scripts efter Microsoft
har disablet den default opførelse i Office, køre lystigt. Denne
gang er det MSC filer. Man skal ikke tillade MSC extension typer via
mailsystemer, det er MEGET kritisk at man få dette blokeret
omgående.
Opdatering. 02-07-2024
Angående vedhæftet filtype for at udnytte denne angrebsvinkel er
*.msc. Så har jeg teste flere O365 mail systemer hvor det ikke er tilladt
og andre hvor de render fint igennem. Til min overraskelse render
det også fint igennem systemer som Proton-mail. Så uanset tjek lige
eget system og på et O365 er det åbenbart ikke implicit at det er
blokeret.. Man kan desuden lave blokeringer af MSC filer i Windows
med bla Sysmon og mange andre værktøjer.
Sysmon
Via sysmon config, har jeg lavet fuld detection for denne metodik.
Så kommer de med nye skadelige filer og benytter denne metodik, så
har man en chance for at opdage det med Sysmon Config 47.
IDS Detection
Der findes ikke IDS Detection til disse, da de pt bruger almindelig
HTTPS
Happy hunting....
8 Juni 2024 - Blog Post # 863
BIMP-BotNet -
SektorCERT har frigivet "Analyser
af BOTNET" som er en opfølgning på deres frigivelse af "Uautoriserede
scanninger mod energi- og forsyningsselskaber" Rapporten ser på
IP adresser der ikke kunne identificeres i første omgang men
identificere og et Botnet som har kørt længe under radaren. Det er i
forhold til at foretage "low and slow" bruteforce attacks imod stort
set alt der har en "login promt" Det der er det lidt vilde er at det
udelukkende er et Botnet bestående af IOT dimser og som ikke kan
relateres til andre typer Botnet's, som allerede er kendte derude.
Yderligere er der identificeret forskellige andre Botnet's som også
spiller en rolle i forhold til vedvarende daglige angreb. Det er
noget der rammer alle og anbefalinger kan i høj grad anbefales til
alle.
Man kan hente både en Dansk og en Engelsk version på
SektorCERT's hjemmeside.
5 Juni 2024 - Blog Post # 862
Kerio Connect
(GFI) med sikkerheds udfordringer
Inbygget som i så meget andet er der i Kerio Connect mail servers en
inbygget funktion (kassist.exe) som i tilfælde af at noget crasher
indsamler oplysninger om et crash, det er også kaldet for et "crash
dump" Det kan være i tilfælde af at en update fejler, så får
administratoren den mulighed via en GUI at kunne sige ja til at
uploade dette til Kerio (GFI). Det er faktisk ikke noget man lige har
mulighed for at slå fra via config nogen steder, MEN man kan jo sige nej til at uploade
når og hvis GUI fremkommer. Dog
i den seneste version har deres automatiske GUI været lidt fraværende og ikke fremkommet,
hvilket jo kan give lidt udfordringer når der så sker en upload
alligevel.
Indsamling af
data i forbindelse med Crash
Den store udfordring med at kassist.exe indsamler data, er at alle
Configs omkring hele systemet nu bliver indsamlet og sendt direkte
til Kerio
(GFI) . Det betyder i virkeligheden at man kan opsætte en "tro"
kopi at hele mail systemet på et andet test system, herunder alle
brugerer med tilhørende password i form af HASH værdier. Alle sikkerheds indstillinger der er lavet på
systemet er også en del af den pakke. Man kan sige det er nødvendit
i en fejl situation til en udvikler der skal kigge det igennem.
Billedet her viser en SNIP af den indsamlet information fra en
Kerio Connect Mail server
Hvem stoler man på ?
Min kæmpe udfordring, med at det hele
bare bliver indsamlet og sendt er jo at, stoler man på den modtager
i den anden ende, der basalt set nu kan opsætte hele systemet hos
sig selv ? Man ved jo faktisk ikke hvem der har adgang til de data.
Denne form for indsamling gør mig virkelig skeptisk over for den
sikkerhed der praktiseres også selvom det er i forbindelser med
crash og fejlrettelser så skal man altså ikke sende al den form for
information. Dette burde blive håndteret anderledes.
Upload fra kassist via FTP
Når jeg ser FTP upload bliver jeg typisk bekymret, for jeg forventer i dag, at man
benytter en eller anden form for krypteret kanal til fil
overførelser. Hele upload af "Crash dump" filen til
"crash.kerio.com" sker via FTP, som jo er ganske ukrypteret.
Benytter man så alligevel FTP,
så kunne man forvente at filer der bliver overført i et krypteret
format eller password beskytte med et meget langt passwords, så
alle der lytter med på Internet trafikken, ikke bare kan genskabe det
hele.
Hele filen er lige til at carve ud
af netværks trafikken og genskabes på et tilfældig system i
klar tekst. Den kan udpakkes uden password. Man
kunne måske forvente bruger navne og passwords på FTP forbindelsen,
men dette er jo ukrypteret og kan findes i klart format i
netværkstrafikken og er ikke svært at finde. Bruger navnet hertil er
"crash" den hurtige kan gætte hvad password mon kan være ? Det tog mig at under 10 min at se hvad
der skete, og carve filen ud af trafikken og få den udpakket for at
se hvad denne indeholdte.
Billedet her viser FTP forbindelsen direkte til
"crash.kerio.com"
Kassist tilbyder rent faktisk slet ikke andet end FTP overførelser.
Men kan til gengæld gøre det hele i "Silent mode" så ingen opdager
det sker og til placeringer der ikke er "crash.kerio.com".
Det betyder jo også at deres support tools ikke er blevet opdateret til
seneste standarder i mange år. Det er også generalt det jeg syntes
efterhånden kendetegner Kerio Connect. Det bære præg af,
manglende tidsvarende sikkerheds funktioner.
Billedet her viser de switches som kan benyttes af kassist.exe
Remote access tools
Som noget nyt i deres seneste versioner, bliver der installeret et
"Remote Access Tool" som en del af installations pakke. Dette er fra
tailscale som er en del af deres "nye" App Manager. Det virker
som ren "backdoor access" og med samme metodikker som jeg ofte ser
med forskellige RAT-Trojans. Det er bare så meget "NO GO" at dette
bliver default installeret, for det er helt sikkert at det før eller
siden bliver misbrugt til noget utilsigtet.
Bruger manualer med opdateret information.
Man kunne forestille sig, at der var en beskrivelse af hvordan
kassist.exe eller tailscale.exe virker og hvortil forbindelser kan
forventes. Men intet i deres manualer er nævnt om disse værktøjer. Det jeg kan
finde på
kassist er ret sparsomt samt noget tilbage fra
2016. Ang tailscale som er en del af deres ny App manager er
der intet nævnt nogen steder i manualerne og igen er det eneste jeg kan finde,
noget
fiks omkring netop tailscale som er blevet rettet i Kerio App
Manager. Der er derfor i min optik manglende kritisk information i
manualer og vejledninger i håndteringen af disse værktøjer.
Hvad så nu
Jeg er altså ikke særlig imponeret. Et sikkerheds firma som netop
Kerio og GFI som tillader denne form for håndteringer af deres kunders
data og installationer samt Remote tools. Desuden benytter de i stor
stil nu
CNAME Cloaking på de fleste af deres Online Servises. Det
er typisk til ren tracking af deres
brugerer. Jeg har i mange år benytte produkter fra Kerio som firewalls
og proxy gateways AV systemer og port scanners og har været super
glade for disse. MEN må også sande at Kerio (GFI) ikke længere er
for mig, som ønsker en lidt anden standard end det jeg er begyndt at
se i deres produkter.
Læs denne artikel fra Palo Alto ang
CNMAE Cloaking
Kerio var engang en meget respekteret software sikkerheds
udviklingshus, men efter GFI har overtaget det, er sikkerheden altså
skredet en hel del. I dag virker det som en "penge maskine" i
kategorien "support haters".
Anbefaling
Man skal generalt være opmærksom på produkter man benytter i
produktion og hvad de laver. Det samme er gældende for Kerio
Connect. Dog har jeg samlet nogen anbefalinger man kan gøre brug af
herunder.
Ændre rettigheder på følgende foldere:
C:\ProgramData\Tailscale\*
C:\ProgramData\GFIAgent\*
Block fil med Sysmon
<!-- Event ID 27 == File Block
Executable --> <RuleGroup name="FileBlockExecutable" groupRelation="or"> <FileBlockExecutable onmatch="include"> <!-- Unwanted Agent installation --> <TargetFilename name="technique_id=Known unwanted agent installation ,technique_name=Remote access - tailscale" condition="end with">\tailscale.exe</TargetFilename> </FileBlockExecutable> </RuleGroup> |
Drop Domæner
*.tailscale.io
*.tailscale.com
crash.kerio.com
Firewall
Sikre din mailserver med firewall regler, der ikke tillader udgående
forbindelser du ikke kender til.
IDS rule frigivet
Jeg har frigivet et par IDS regler man kan benytte.
Sysmon Config
Desuden kan man benytte min
Sysmon Config fil som fint spotter dette.
Happy Hunting.....
17 April 2024 - Blog Post # 861
Blacknurse.dk
lukker og slukker
Det var/er en type DDOS vi opdagede i TDC-SOC tilbage i 2016. Man kan
læse det meste på mit eget site her eller på
Wikipedia. Man kan desuden hente en
kopi af selve blacknurse.dk her i en zip med en enkelt html fil.
Man kan også hente
PDF rapporten vi frigav i TDC-SOC.
06 Januar 2024 - Blog Post # 860
Sysmon forensic
Igennem lang tid har jeg lavet
Sysmon configs der er rigtig gode til at finde de typisk ting
man leder efter i forbindelse med forensic sager og især når det
handler om hvad der sker på en host når malware bliver hentet og
afviklet. Det er også i forbindelse med forskellige hacker sager at
Sysmon forensic kan være rigtig godt at kunne, da det er en gudlmine
af logs.Det seneste jeg har fået implementeret ind i
Sysmon er næsten alle
LOLBAS
teknikker. LOLBAS er vigtig,da især APT-aktører gør meget brug af
disse helt almindelig tools for at hoppe rundt i systemer. Så at
være god til "LOLBAS hacking" er et must for at hoppe ret uset rundt
i Windows miljøer.
Pen-test
Jeg må indrømme at config filen er rigtig godt testet efterhånden og
mange Pen-testers der har testet Systemer med Config filen, bliver
fundet hver gang, typisk inden de overhovet kommer i gang, ofte
fordi de kræver deres egne tools installeret eller bare lagt på et
system. Sysmon sammen med netværks sensors krydderet med Windows
Event-Logs, så har man et fint overblik over hvad der sker i et
Windows miljø. For der er altid et spor at løbe efter...
Default Windows tools
I forbindelse med jeg har lavet Sysmon configs, hvor jeg primært kun
benytter de default installeret tools fra Windows, da jeg mener det
er vigtigt at kunne bruge de default installeret tools, for at være
god til Windows i det hele taget. For det er typisk kun dem man har
til sin rådighed når det kommer til stykket. For det er lige så
vigtig at lære hvordan ting ser ud når de bruges normalt til når de
bliver misbrugt / udnyttet.
SysmonView
Dog vil jeg fremhæve et tool jeg er faldet over der er rigtig godt i
forbindelse med Sysmon Forensic i de tilfælde hvor Sysmon ikke er
forbundet med et SIEM system eller hvor Sysmon Config filen er meget
stor.
Sysmon View er lavet af Nader
Shalabi og hans tools kan jeg virkelig godt anbefale.
Et lille eksempel på at man via CMD starter Curl og henter en zip og
ligger den et sted på systemet.
Der ligger 3 forskellige tools hos Nader Shalabi - Sysmon View,
Sysmon Shell og Sysmon Box. Alle sammen kan jeg anbefale......
Happy hunting...
28 December 2023 - Blog Post # 859
Analytics Rule Blindness - ARB
Igennem mange år har jeg manglet at kunne sætte ord på netop
- Analytics Rule Blindness som jeg ind imellem ser
analytikkere blive forvirreret af eller hvor de hopper direkte i
"fælden" når de sidder og validerer trafik.
Jeg har her forsøgt at beskrive dette ret kort faktisk, men så det
også bliver lidt forståligt for en analytikker.
Jeg har skrevet en lille PDF file som man kan hente her
Analytics
Rule Blindness.pdf
Alt hvad jeg har skrevet om igennem 2024