FOI – Totalförsvarets forskningsinstitut anordnar nästa helg en CTF, Capture The Flag. Det är en teknisk cyberövning som utförs över Internet och går ut på att plocka poäng. Övningen börjar klockan 14.00 på lördag den 26:de September 2020.
Områden som du kommer att hitta flaggor (poäng) inom är: Exploatering, Kryptografi, Reversering, Webb och Övriga. Du kan delta i grupp eller enskilt och den som redovisar flest poäng kl 22 vinner.
För att vara med så registrerar du dig själv eller din grupp på följande länk:
På ovan webbsida kan du även se vilka lag som registrerat sig samt en poängtavla.
FOI meddelar att namnet 20/20 CTF är dels inspirerat av det år som den första upplagan genomförs, dels en ordlek på den beskrivning av synskärpa som tagits fram av American Medical Association, 20/20 vision som ett mått på god syn 👁.
Sårbarheten som fått smeknamnet Zerologon och med CVE 2020-1472. Har en högsta möjliga CVSS score på 10 av 10. Detta gör den synnerligen intressant.
Sårbarheten går ut på att använda Netlogon Remote Protocol (MS-NRPC) mot Windows domänkontrollanten (DC) och sedan utnyttja en brist som gör att angriparen kan sätta datorlösenordet på DC:n till ett känt värde (använder en brist i implementationen av AES-CFB8). Och sedan erhålla domain-admin på domänen.
”It attempts to perform the Netlogon authentication bypass. The script will immediately terminate when succesfully performing the bypass, and not perform any Netlogon operations. When a domain controller is patched, the detection script will give up after sending 2000 pairs of RPC calls and conclude the target is not vulnerable (with a false negative chance of 0.04%).”
För att åtgärda detta rekommenderas det att installera patcharna som släpptes 11:de Augusti 2020 samt sätta DC:n i enforce mode. Under Q1 2021 så kommer dock enforce mode att bli standard meddelar Microsoft. Registernyckeln för detta är: FullSecureChannelProtection.
Projektet Fem små hus är ett nytt intressant initiativ på uppdrag av TU-stiftelsen. Stiftelsen är relativt anonym för den som inte är insatt i internet-Sverige.
Stiftelsen för telematikens utveckling (TU–stiftelsen) skapades 1996 samtidigt som II-stiftelsen, numera Internetstiftelsen. TU-stiftelsen är ägare till Netnod som bl.a. sköter om internetknutpunkter i Sverige och utomlands.
Projektet utförs i samarbete med ett antal olika företag, organisationer och myndigheter. Man har tagit fram en robust arkitektur som förstärker dagens infrastruktur för att uppfylla samhällets krav.
Arbetet med förslaget har bedrivits med låg profil under flertalet år men nu finns ett första resultat att ta del av (se länk nedan).
Namnet på projektet syftar till decentraliserade autonoma regioner som bättre ska klara oavsiktliga och avsiktliga incidenter och attacker. Likt denna bild:
Tanken är att det ska finnas ett finmaskigt nät med många redundanta vägar mellan varje så kallad region, vissa delar av denna infrastruktur kan finnas i dagsläget men kan behöva moderniseras. Projektet pekar också på vikten av diversitet i alla led såsom leverantörer för drift, underhåll, kommunikation eller materialförsörjning.
Detta har blivit extra påtagligt under COVID19-krisen då det kan vara svårt att få ut personal eller få tag på utrustning från vissa länder som tillverkar vitala komponenter.
Förslaget innehåller även stöd för att i samma infrastruktur driva lokala och nationella nät skyddade av stark kryptering, exempelvis för myndigheter. Stor vikt läggs även på IPv6 som bärare vilket jag tycker är bra.
Delar av detta projekt är även ett resultat av Särimner som jag skrev tidigare om. Där man även såg att många stödtjänster hos operatörer var centraliserade, vilket detta projekt omhändertar.
Vidare arbete
Man föreslår ett samordningskansli, testmiljö samt pilotprojekt för att driva projektet vidare. En kommunikationsarkitektur kan med fördel förfinas genom ett kansli som bryter ner projektet i mindre delprojekt, är något som föreslås.
Dock hittar jag inget om hur finansieringen ska lösas framöver men Patrik Fältström från Netnod uppger att tanken är att dels kommer TU-Stiftelsen hålla dokumenten uppdaterade, dels hoppas man att olika organisationer ska driva vidare och implementera olika delar.
Mer läsning hittar man på TU-stiftelsens Github-repo:
Felix Wilhelm från Google Project Zero har identifierat tre sårbarheter i webbservern Apache. Apache är den nästa populära webbservern på internet efter Nginx.
Säkerhetsbuggarna är enligt följande:
important: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-9490)
moderate: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-11993)
Den allvarligaste av dessa tre och har allvarlighetsgrad important kan mitigeras genom att sätta H2Push off i konfigg-filen för Apache. Rekommenderat är även att uppgradera till version 2.4.44 av Apache som åtgärdar dessa brister.
Apache 2.4.46 has fixes for three vulnerabilities I reported (https://t.co/8yW2PIBv9G) The http2 push diary bug is the most interesting one: Depending on your distris mod_http2 version it is either a wild memmove or a controlled OOB write (https://t.co/JEQ6jwLTwO)
Följande lista är de mest sökta orden för att hamna på Kryptera.se:
anonymiseringstjänst
kryptering
gratis vpn
anonymiseringstjänster
free vpn
vpn tunnel gratis
anonine
yubikey
kryptera
avlyssna gsm
Inga kanske direkta överraskningar på denna lista men många verkar vara intresserade av att använda sig av gratis VPN-tjänster. Detta är troligtvis för att jag skrev ett inlägg för många år sedan (2013) om Tor Browser som gratis VPN.
Denna blogg är nu över 12 år gammal och första inlägget hittar du här som skrevs 2008-05-20.
FritzFrog är en ny typ av malware som är skrivet i programspråket Go och riktar sig mot servrar som exponerar SSH.
Den skadliga koden är modulärt uppbyggd och skriver inga filer till disk efter infektion. Det som kanske är mest intressant är att kommunikationen använder sig av ett helt egenutvecklat peer-to-peer protokoll.
Karta över infektioner från företaget Guardicore:
Vid infektion så startas en process vid namn ifconfig och nginx upp. Som lyssnar på TCP port 1234. Den skadliga koden är packad med UPX och efter att processerna startats upp så raderas filer på disk. För att undvika detektion på nätverket så tunnlas kommunikation över port 1234 via SSH. Denna kanal används även för P2P-protokollet som gör nyckelutbyte med hjälp av Diffie Hellman samt kryptering med AES.
Kommandon som kickas via P2P-protokollet:
Även så lägger den skadliga koden en publik nyckel till .ssh/authorized_keys för att ge möjlighet att ta sig in i systemet vid senare tillfälle.
På Github så finns det IOC:er samt kod för att detektera FritzFrog. En av syftet med den skadliga koden är att utvinna kryptovalutan Monero med hjälp av mjukvaran XMRig miner som ansluter mot web.xmrpool.eu över port 5555.
Antalet attacker från nätverket har ökat stadigt sedan början på året:
Cyberangripare attackerar nu personal som nu jobbar hemma i allt större utstäckning. Med ett nytt modus operandi så ringer angriparen upp den anställde och förmår denne att logga in på en alternativ fiktiv webbsida för VPN-anslutningar.
Denna webbsida innehåller även funktion att lura till sig engångstokens för tvåfaktorsautentisering. Det var även på detta sätt som angripare lyckades göra intrång hos Twitter förra månaden.
Här är ett riktigt exempel på hur webbsidan helpdesk-att.com såg ut för några dagar sedan:
Denna typ av attack kallas för Vishing (voice phising) och har några år på nacken men att nu kombinera detta med attacker mot VPN som stjäl 2FA-tokens är det nya tillvägagångssättet.
Även kan denna attack kombineras med en annan attack som medger att spoofa numret till företagets växel så samtalet ser ut att komma från medarbetarens egna organisation.
Motåtgärder
Först och främst är utbildning en viktig faktor, även återkommande utbildningspass för medarbetare. När det gäller MFA/2FA så har angriparna ännu inte någon metod för att genomföra MITM på hårdvarunycklar såsom Yubikeys.
Och sist men inte minst så är det viktigt med spårbarhet och loggning och övervaka samtliga inloggningar och knyta dessa inloggningar vidare mot klientcertifikat och datorkonfiguration.
Kan även tipsa om svenska startupen Castle.io har en hel del intressanta metoder att hitta kapade konton.
Det amerikanska cybersäkerhetsföretaget Active Countermeasures har en intressant open-source produkt som heter RITA. RITA står för Real Intelligence Threat Analytics är ett verktyg för dig som vill genomföra Cyber Threat Hunting.
RITA läser in data från Zeek (fd Bro) och kan genomföra följande:
Beacon-detektion – Sök efter tecken på beaconing-beteende in och ut ur ditt nätverk.
DNS-tunnelavkänning – Sök efter tecken på DNS-baserade bakdörrskanaler
Kontroll mot svartlisor – Sök mot ett antal olika svartlistor/blocklists
Jag intresserar mig dock mest för beacon-detektion då detta finns inbyggt i flertalet kommersiella produkter såsom Cisco Encrypted Traffic Analytics men få open-source produkter kan söka efter denna typ av nätverkstrafik.
Beacons används av bakdörrs-ramverk (C2 frameworks) såsom Cobalt Strike, Metasploit, Empire, SharpC2 och PoshC2 för att nämna några.
RITA är utvecklat i programspråket Go och kan installeras i SecurityOnion, Ubuntu 16.04, Ubuntu 18.04 eller CentOS 7 om du vill köra med det medföljande scriptet install.sh. Du kan även installera RITA på egen hand eller köra RITA under Docker.
De beroenden som RITA har är förutom Zeek är också databasen MongoDB. Jag installerar RITA utan Zeek och MongoDB och editerar sedan konfigg-filen /etc/rita/config.yaml så att den pekar mot min fristående mongodb.
Observera att du ej kan köra RITA med det paket som följer med Ubuntu 16.04 eftersom det är 2.6.10. RITA behöver mongodb-version som är mellan 3.2.0 och 3.7.0.
Jag fick det att fungera genom att installera mongodb version 3.6.18.
Analysera PCAP efter bakdörrar
Nu när RITA är installerat så måste jag först köra zeek på de pcap-filer jag har sparat ner. Bäst fungerar det om du har en pcap-fil för varje dag, detta kan vara problematiskt om du har många filer men går att lösa med verktyg såsom mergecap.
Första steget är att läsa in ett dygns pcap-fil med zeek och skriva ut loggfilerna. Detta exempel gäller dagen 2020-06-05 och pcap-filen var på 33GB:
$ cd /data/pcap
$ mkdir -p zeek/2020-06-05
$ cd zeek/2020-06-05
$ zeek -Cr ../../trace_2020-06-05.pcap local
Ovan kommando tar cirka 15 minuter på min Raspberry Pi och sedan att importera detta via RITA mot mongodb tar ca 3 minuter:
Nu när vi har importerat mappen 2020-06-05 mot RITA-databasen vid namn 2020-06-05 så kan vi titta på analysen när det gäller beacons på följande sätt:
Observera att ovan bild är censurerad av mig. Men när jag tittar på source/dst-IP så ser jag att två översta går till 8.8.8.8 respektive 8.8.4.4 vilket är Googles DNS och troligtvis false-positive. Det som är intressant här är första kolumnen vid namn score och en score på 0.9 och över är mycket intressant. Kör jag metasploit och meterpreter så hamnar score på 0.987.
Och tittar vi på beacon-trafik från Cobalt Strike så ligger standard på sleeptime 30000 millisekunder och 20% jitter. Vilket motsvarar följande kommando från agressor-klienten:
Vill du läsa mer om den underliggande algoritmen så hittar du koden här:
Och en analys av RITA på Cobalt Strike som legat och kommunicerat en hel dag så blir analysen enligt följande:
Rad 17 som är rödmarkerad är den trafik som tillhör Cobalt Strike, och får enbart en score på 0.829 samt hamnar på 16:de plats på topplistan. Resten är enbart falska positiva, dvs videostreaming, DNS-uppslag osv. Så kontentan är att det inte är helt trivialt att detektera Cobalt Strikes standardkonfigurering.
Gillade du detta blogginlägg? Hjälp mig att blogga mer genom att stödja mig via Patreon >
