Ny version av John the Ripper

John the Ripper

Det var över 4 år sedan en ny version av programvaran John the Ripper (JtR) släpptes. JtR är en av mina favoritverktyg när det gäller att knäcka lösenord (tätt följt av hashcat).

Den nya versionen heter John the Ripper 1.9.0-jumbo-1 och över 6000 commits ligger bakom denna release.

Nyheterna är bl.a. följande:

  • Snabbare och effektivare inläsning av mycket stora lösenordsfiler
  • Stöd för 7 st hash-typer i FPGA:n ZTEX 1.15y
  • Inget mer stöd för CUDA. Istället satsas på OpenCL
  • Och på tal om OpenCL så supportas 88 algoritmer, se listan med –list=formats –format=opencl
  • För CPU-knäckning (till skillnad mot GPU) så stödjs hela 407 olika format
  • AES-NI instruktioner används i större omfattning

Du kan ladda hem JtR här:

Kryptera.se blir CC BY 4.0

Alla artiklar och innehåll på Kryptera.se blir licensierat nu enligt Creative Commons Erkännande 4.0 Internationell (CC BY 4.0).

Du har tillstånd att:

  • Dela — kopiera och vidaredistribuera materialet oavsett medium eller format
  • Bearbeta — remixa, transformera, och bygg vidare på materialet
  • för alla ändamål, även kommersiellt.

Och villkor för detta är:

  • Inga ytterligare begränsningar — Du får inte tillämpa lagliga begränsningar eller teknologiska metoder som juridiskt begränsar andra från att gör något som licensen tillåter.
CC BY 4.0

För att läsa om CC BY 4.0 i sin helhet kan du kolla här:

Licensen gäller inte för sådant som jag själv köpt in eller licensierat. Detta rör sig oftast om bilder som används här på bloggen.

Och du får givetvis gärna också stödja mitt bloggande via Patreon:

Verizon 2019 Data Breach Investigations Report

Företaget Verizon har precis släppt sin rapport med titeln 2019 Data Breach Investigations Report (DBIR). Rapporten är på hela 78 sidor och baseras på analyser av 41686 st säkerhetsincidenter samt 2013 bekräftade läckor från 2018.

De slutsatser jag kan dra från rapporten är följande:

  • Hotet från systemadministratörer ökade under föregående år. Det rör sig om slarv samt insiders
  • Aktivister som hackar är högsta sedan 2012
  • Organiserad brottslighet minskade(!)
  • Generellt är Office-dokument bärare av skadlig kod
  • Majoriteten av attackerna är finansiellt motiverade följt av olika former av spionage. Angripare som vill erhålla ett försprång genom att exempelvis exfiltrera klassificerad information

När det gäller taktik hos angriparen så var någon form av hackning det vanligaste sättet vid intrång följt av social engineering:

Rapporten kan du ladda hem här.

Så utvecklas ett cybervapen

Cybervapen i ett cyberkrig

Vad är det som skiljer vanlig skadlig kod mot ett avancerat cybervapen och hur utvecklas ett cybervapen?

🚀 Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Enligt många säkerhetsforskare var Stuxnet ett av de första och mest uppmärksammade cybervapnet. Resurserna som behövdes för att utveckla Stuxnet och dess olika delar är troligtvis något som enbart en nation har: Flertalet programspråk, mängder av moduler, flertalet zero-days, kunskap om urananrikningsanläggningen Natanz centrifuger och stulna certifikat för att nämna några delar som gör att det troligtvis ligger en stat bakom.

Leveransdelen

Denna del av cybervapenet gör att den träffar sitt mål. Eller når rätt klient, hårdvara eller nätverk. Leveransen kan ske via E-post, USB-minne, CD-skiva eller fysiskt ansluta mot den server, klient, TV eller liknande. Vilket bl.a Vault7 läckorna från CIA visade på. Inte helt ovanligt att HUMINT- och SIGINT -resurser nyttjas.

Leveransdelen kan också ske i form av ett implantat som installeras när utrustningen skickas ut till kund. För att nå sitt slutgiltiga mål som kanske är längre in i nätverket kan även zero-days användas eller kod för att detektera och ta sig förbi airgaps eller luftgap som det också kallas. Nätverk som är känsliga och inte anslutna till internet exempelvis.

Verkansdelen

Verkansdelen tillgodoser att målet med cybervapnet uppnås. Det kan vara att påverka en process i ett SCADA-system eller förstöra vitala delar i samhällskritiska system. Även kan detta vara att exfiltrera känslig information från målsystemet.

cybervapen

Kommunikationsdelen

Denna del är inte alltid nödvändig men gör det möjligt att via ett unikt ID ringa hem och meddela att cybervapnet har nått sitt mål eller utfört ett delmål. Kommunikationsdelen är också viktig om cybervapnet ligger dolt under en längre tid och ska aktivera verkansdelen på ett givet kommando.

För att försvåra upptäckt via nätverksforensik och IDS:er (intrångsdetekteringssystem) kan populära sajter såsom Dropbox, Twitter.com eller Instagram användas, givetvis krypterad med TLS.

Steganografi där meddelanden exfiltreras med hjälpa av bilder har även observerats samt kommunikation mot IP-adresser där satellitlänk används och antagonisten haft möjlighet att läsa av kommunikationen med hjälp av SIGINT (signalspaning) eller annan utrustning.

Om kommunikationsdelen använder redan befintlig infrastruktur för att uppdatera mjukvara eller kontrollera om nya versioner finns tillgängliga så är detta också svårt att detektera (se källa 4 nedan).

Kommunikationsdelen kan också användas för att ladda hem och aktivera nya moduler, droppers etc.

Stealth-mode

Det finns många sätt att försöka undgå upptäckt. Jag har tagit upp några sätt här på bloggen tidigare såsom ”Living-off-the-land” där komponenter som redan finnes i systemet återanvänds för andra syften.

En av de äldsta och vanligaste förekommande metoderna är obfuskering eller kryptering. Även kan relativt enkla saker såsom modularitet göra att det är svårt att se helheten i cybervapnet, exempelvis kan sniff-funktioner ligga i en modul, keylogger i en modul osv.

Även så finns det något som heter environmental keyed payloads där en modul kan vara krypterad med en nyckel som bara återfinnes i målnätverket eller systemet.

En annan viktig aspekt är OPSEC för de som utvecklar cybervapen. För allt lämnar spår och något som blir vanligare och vanligare är falskflaggning eller ”false flag”. Spåren kanske ser ut att peka mot ett land men kan i själva verket vara utvecklat av ett helt annat: Språk, tidzoner osv som kan ändras.

Persistens

Ibland så ligger verkansdelen enbart i enhetens RAM-minne och försvinner således om enheten krashar eller startar om. Men som vanligast så vill den som skapat cybervapnet att det ska ligga kvar under en längre tid och då finns det otroligt många sätt att gömma sig.

Jag gjorde denna video för ett tag sedan då jag går igenom 10 olika sätt att lägga in bakdörrar:

Propagering

En skillnad mellan exempelvis WannaCry och ett cybervapen är att cybervapnets målsättning enbart är att propagera inom ett mindre område. Det kan röra sig om en enskild organisation eller nätverk. Med en mindre spridning blir också en eventuell detektion svårare.

Propagering kan dock vara ett måste som jag skrev under leveransdelen så kanske det finns luftgap mellan processnätverket/hemliga nätverket och internet.

Upprensning

Den eller de aktörer som lägger resurser på att utveckla ett cybervapen vill gärna inte bli upptäckt. När uppdraget är slutfört ska vapnet radera sig själv, även kan det finnas en inbyggd räknare som automatiskt ser till att radering genomförs efter exempelvis 12 månader.

Gillar du detta blogginlägg? Bli gärna månadsgivare via Patreon:

Källor

  1. Turla malware
  2. Gauss payload
  3. Falskflaggning med CIA Marble framework
  4. M.E.Doc och C&C via uppdateringsservrar, NotPetya

Shodan Monitor

Shodan Monitor

Shodan är en onlinetjänst som har funnits sedan 2009 och söker kontinuerligt av hela internet med omfattande portskanningar. Tjänsten är omtyckt och ger bra statistik samt har en sökfunktion som visar sådant som organisationer exponerar mot internet.

För några veckor sedan så släppte Shodan en ny intressant funktion som går under namnet Shodan Monitor. Med hjälp av Monitor kan Er organisation övervaka den internet-exponering ni har och få notifieringar över händelser.

Även för mig som konsult kan detta vara intressant då jag kan övervaka mina kunder och meddela dem om något nytt suspekt dyker upp eller som ett OSINT-verktyg vid RedTeam och penetrationstester.

Det går att lägga upp nya nät och övervaka via webbgränssnittet som återfinnes på monitor.shodan.io eller direkt via CLI och det python-program som Shodan tillhandahåller (byt ut APIKEY mot din nyckel och ALERTID mot det ID som returneras)

sudo pip install shodan
shodan init APIKEY
shodan alert create "My Production Networks" 198.20.0.0/16 8.20.5.0/24
shodan alert triggers
shodan alert enable ALERTID malware

När du skriver shodan alert triggers så kan du se vilka larm du kan slå på eller av. Listan ser ut enligt följande:

Du kan även ange ”any” och då får du larm för samtliga ovan kategorier:

shodan alert enable ALERTID any

Innan du kan övervaka några IP-nummer så måste du först bli betalande medlem. Jag valde den nivå som heter Freelancer och gör att jag kan lägga upp övervakning 5120 IPs och kostar 59$ per månad (ca 560 kr). Övriga nivåer är enligt följande:

  • $299 /månad (2 865 sek) ger dig 65536 IPs
  • $899 /månad (8 614 sek) ger dig 300000 IPs

Efter några timmar dyker det första larmet upp i min E-post. Relativt ointressant men som tur var så finns det även en möjlighet att vitlista vissa portar, så här ser mailet ut:

Och längst ner så finns länken ”Ignore this event in the future”.

Andra användningsområden för Shodan Monitor kan också vara för nät som ingår i Bug Bounty-program. Du får även använda tjänsten i kommersiellt syfte.

Samtliga argument till shodan alert för den som kör med python-mjukvaran:

Det är även möjligt att erhålla realtidsdata via shodan stream på följande sätt:

Video med demo:

Aktiva attacker mot Oracle WebLogic

En ny säkerhetsbugg har identifierats i Oracle WebLogic och utnyttjas just nu av angripare på Internet för att installera kryptominers. Sårbarheten är ett serialiseringsproblem och har fått CVE nummer 2019-2725. CVSS base score ligger på hela 9.8.

Du bör uppgradera till version 10.3.6 (?) och en patch för version 12.1.3 kommer på måndag uppger Oracle.

SANS ISC som kör en Weblogic honeypot fick upp följande meddelande:

####<Apr 28, 2019 10:47:02 PM UTC> <Error> <HTTP> <0aa00a61ebfc> <AdminServer> <[ACTIVE] ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1556491622309> <BEA-101019> <[[email protected][app:bea_wls_internal module:bea_wls_internal.war path:/bea_wls_internal spec-version:null]] Servlet failed with IOException
java.io.IOException: Cannot run program "wget": java.io.IOException: error=2, No such file or directory

Angriparen försöker här köra wget, men wget finns inte installerat på systemet. Även finns det indikationer på att Muhstik Botnet samt Sodinokibi ransomware nyttjar säkerhetsbuggen.

ISC har även publicerat en PCAP-fil med denna förfrågan:

Threat Hunting med Maltrail

Maltrail är en open-source mjukvara för att upptäcka skadlig kod, skriven i programspråket python. Mjukvaran består av en serverdel och en klientdel som kan köras fristående.

Maltrail kan titta på nätverkstrafik och larma om något av följande matchar någon av de medföljande listorna:

  • HTTP Host Headers
  • DNS-uppslag
  • IP-adresser
  • URL
  • User-agent

För att installera Maltrail så klonar du bara hem Git-repot och installerar beroenden såsom python-pcapy. Jag kör dessa tester på en Raspberry Pi och det fungerar fint.

Och när du startar upp Maltrail för första gången så laddas 68 stycken olika publika listor hem med IOCer:

Förutom att sniffa nätverkstrafik direkt mot ett interface så kan köra sensor.py mot en pcap-fil på följande sätt:

$ sudo python sensor.py -i /data/pcap/trace_2018-12-15_14.54.33.pcap

Och vill du se vad som larmar direkt till konsollen kan du starta Maltrail på följande sätt med –console:

sudo python sensor.py -i /data/pcap/trace_2018-12-15_14.54.33.pcap --console

En annan sak som jag noterar är att dessa 68 st listor som laddas hem innehåller hela 1 396 712 st IOC:er samt att det pcap-filter som används som standard är enligt följande:

udp or icmp or (tcp and (tcp[tcpflags] == tcp-syn or port 80 or port 1080 or port 3128 or port 8000 or port 8080 or port 8118))

Vilket den observanta läsaren kan se att HTTPS tcp port 443 exempelvis inte finns med, dock all ICMP och UDP. Som standard kontrollerar inte maltrail http-host headern men detta kan snabbt ändras i maltrail.conf som du bör ta en titt på. Du kan även ändra pcap-filtret i konfigurationsfilen, men då tar analysen givetvis längre tid.

Att analysera en 2.2GB pcap-fil med min Raspberry Pi 3 Model B+ tog cirka 3 minuter. Då hade jag satt USE_HEURISTICS till false samt CHECK_HOST_DOMAINS till true, främst för att USE_HEURISTICS gav så många false-positives.

För den som gillar trevliga webb-gränssnitt så finns det även ett till Maltrail och startas upp med server.py:

Sedan är det bara att surfa till IP-adressen där du har Maltrail installerat och port 8838. Du måste även logga in med användarnamn och lösenord som är satt till admin/changeme! som standard. Går givetvis att ändra i konfigg-filen, och server.py stödjer även SSL/TLS.

Följande bild är en skärmdump på en dag där det identifierats 145 st threats:

Maltrail larm

Majoriteten av larmen som dykt upp under mina tester är klassificerade som medium eller low. Och precis som vid Threat Hunting så är det viktigt att följa upp varför just dessa larm uppstår. Vid denna vidare analys kan det vara intressant att kolla källan som framgår samt om du har rådata i pcap:ar kvar så bidrar även detta till större framgång.

Ett annat tips är att kolla datakällor såsom Zoomeye, Censys.io och Shodan där dessa IP-nummer eller domäner kan identifieras.

Docker Hub hackade

Inatt så hackades tjänsten Docker Hub. Enligt många var det bara en tidsfråga innan just Docker Hub skulle hackas. Det är nämligen så att de templates för operativsystem som den populära mjukvaran Docker använder hämtas hem från Docker hub. Sedan några år är Alpine Linux den standard Linux-dist som används av Docker.

Om en bakdörr skulle läggas in i något av de mer populära avbildningsfilerna såsom Alpine på Docker Hub så skulle troligtvis tusentals installera denna avbildning automatiskt.

I sitt utskick så meddelar Docker att mindre än 5% av kontona kan ha blivit röjda vilket rör sig om ungefär 190 000 konton. Även bör dessa konton återställa sina länkade Bitbucket samt GitHub-konton. Du kan nämligen länka dessa tredjepartstjänster mot ditt Docker Hub-konton via oauth, för automatiska byggen.

På HackerNews klagar många på hur just integrationen mot Github fungerar och att det krävs skriv samt läsrättigheter till hela kontot (om man inte använder Github Apps). Även så vore det trevligt om Alpine var ett reproducerbart bygge för att öka transparensen och göra det lättare att upptäcka bakdörrar. Dock finns det inget som tyder på att bakdörrar har lagts in i detta skede.

Meddelanet som skickades ut:

Facebook underlättar för whitehats

Facebook har nu infört en ändring i dess mobila appar som underlättar för den som vill inspektera trafiken från apparna till Facebooks servrar.

Tidigare har Facebook anammat strikt TLS-pinning och således försvårat för den som vill titta på underliggande protokoll och försöka identifiera säkerhetsbrister inom Facebooks Bug Bounty-program.

Men med denna nya inställning så kan du slå av pinning och tillåta egna TLS-certifikat. Även kan du tillåta att Facebooks förfrågningar går igenom en proxy, själv gillar jag Burp Suite.

Inställningarna gäller för Messenger, Facebook samt Instagram och hittas under menyn Settings och sedan Whitehat Settings:

Och så här ser det ut via webbläsare och Facebook.com där du först måste aktivera denna funktion:

Nationell handlingsplan för samhällets informations- och cybersäkerhet

Samverkansgruppen för informationssäkerhet (SAMFI) har nu släppt en nationell handlingsplan för samhällets informations- och cybersäkerhet. Handlingsplanen består av 77 förslag på åtgärder och kommer att uppdateras årligen under åren 2019 fram till 2022.

Följande myndigheter har varit med och tagit fram handlingsplanen:

  • Myndigheten för samhällsskydd och beredskap (MSB)
  • Försvarets radioanstalt (FRA)
  • Försvarets materielverk (FMV)
  • Försvarsmakten
  • Post- och telestyrelsen (PTS)
  • Säkerhetspolisen
  • Polismyndigheten

Dock ska rapporten inte ses som en komplett redovisning av alla de åtgärder som de olika myndigheterna avser att genomföra inom sina respektive verksamheter på informations- och cybersäkerhetsområdet.

De 77 förslag som presenteras i rapporten på åtgärder ansluter till Sveriges nationella strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213).

Strategin omfattar sex strategiska prioriteringar:

  • Säkerställa en systematisk och samlad ansats i arbetet med informations och cybersäkerhet
  • Öka säkerheten i nätverk, produkter och system
  • Stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter
  • Öka möjligheterna att förebygga och bekämpa it-relaterad brottslighet
  • Öka kunskapen och främja kompetensutvecklingen
  • Stärka det internationella samarbetet

Här kan du ladda hem handlingsplanen som PDF: