DNSpooq – Ny DNS-attack

DNSpooq är det fiffiga namnet på en ny cache-poisoning attack mot mjukvaran Dnsmasq. Dnsmasq är en liten cachande rekursiv resolver som vanligtvis finnes i olika typer av inbyggda enheter såsom mobiltelefoner, Cisco-enheter, brandväggar, Ubiquiti-produkter för att nämna några av de 40 olika tillverkarna som skeppar med dnsmasq. Företaget som ligger bakom attacken har räknat ut att det finns ungefär 1 miljon sårbara enheter som är direkt kopplade till internet och troligtvis många fler som inte går att nå från internet.

DNSpooq består av flertalet olika sårbarheter som identifierats och ser ut enligt följande:

Och kan sammanfattas med följande citat:

The vulnerabilities all reduce the entropy of identiers TXID (Transaction ID) and source port and their combination, which should consist of 32 non-predictable bits in total, according to [8]. The vulnerabilities need to be combined in order to produce a feasible attack.

En dnsspoof-attack kan visas på följande sätt:

Förutom cachespoofnings-attackerna som identifierats har även fyra buffer-overflow sårbarheter identifierats i hanteringen av DNSSEC i dnsmasq.

Alla versioner av dnsmasq före 2.83 är sårbara för dessa attacker. Och denna version släpps idag den 19:de Januari.

Rapporten från JSOF går att ladda hem som PDF här.

Listan med CVE:er är följande:

  • CVE-2020-25681: A heap-based buffer overflow in dnsmasq in the way it sorts RRSets before validating them with DNSSEC data in an unsolicited DNS response
  • CVE-2020-25682: A buffer overflow vulnerability in the way dnsmasq extract names from DNS packets before validating them with DNSSEC data
  • CVE-2020-25683: A heap-based buffer overflow in get_rdata subroutine of dnsmasq, when DNSSEC is enabled and before it validates the received DNS entries
  • CVE-2020-25687: A heap-based buffer overflow in sort_rrset subroutine of dnsmasq, when DNSSEC is enabled and before it validates the received DNS entries
  • CVE-2020-25684: Dnsmasq does not validate the combination of address/port and the query-id fields of DNS request when accepting DNS responses
  • CVE-2020-25685: Dnsmasq uses a weak hashing algorithm (CRC32) when compiled without DNSSEC to validate DNS responses
  • CVE-2020-25686: Dnsmasq does not check for an existing pending request for the same name and forwards a new request thus allowing an attacker to perform a ”Birthday Attack” scenario to forge replies and potentially poison the DNS cache

Ubiquiti hackade

Igår fick jag ett mail om att amerikanska företaget Ubiquiti har blivit hackade. Ubiquiti är bl.a. en av världens största tillverkare av bas-enheter för WiFi-kommunikation. Mailet innehåller relativt lite information eftersom att företaget uppger att de inte känner till omfattningen ännu.

Även om det var länge sedan jag själv använde Ubiquitis molntjänst så antar jag att det är fullt möjligt att erhålla access till det lokala nätverket via Ubiquitis centrala tjänst, därav är detta extra allvarligt. Även kan jag tänka mig att DNS kan omkonfigureras, firmware kan ändras osv.

Det som framgår i mailet är att användarnamn, hashat lösenord, adress och telefonnummer kan ha läckt. Samt framgår det även att det rör sig om en tredjepartsleverantör där läckan ska ha skett.

Utskicket har även bekräftats av Ubiquiti själva, se forumtråd här (via Säkerhetsbubblan). Utskicket gick via Mailchimp och använde bl.a. tracking-länkar, vilket gjorde att det var initialt svårt att avgöra äktheten i mailet.

Statligt sponsrade cyberattacker

Nu finns den andra live-inspelningen på YouTube, Facebook och LinkedIn. Denna gång pratar jag med Christoffer Strömblad som driver cstromblad.com. Vi pratade nästan en timme om statliga cyberattacker, deras förmågor och konsekvenserna av statligt sponsrade cyberattacker:

Den tidigare live-inspelningen med Christian på Cybix om CTF:er (Capture The Flag) finns att beskåda här.

Så gick intrånget mot FireEye till

Uppdaterat 2020-12-15: SolarWinds har i sin 8-K anmälan till US Securities and Exchange Commission angett följande: ”SolarWinds currently believes the actual number of customers that may have had an installation of the Orion products that contained this vulnerability to be fewer than 18,000”. Detta kan betyda att 18000 installationer har genomförts med bakdörren.

Uppdatering 2020-12-16: Bra analys av bakdörren av Qeeqbox.

Uppdatering 2020-12-17: Jag glömde i en tidigare version av detta blogginlägg att länka till källan som bekräftar att det är via SolarWinds som angriparna tog sig in hos FireEye, den källan återfinner du här.

Sent igårkväll så släpptes information om hur FireEye hackades via en så kallad supply-chain attack. Allt tyder på att intrånget genomfördes av APT29, Cozy Bear som är en grupp som kopplas mot ryska staten samt att en mjukvara från SolarWinds användes som intrångsvektor. Förutom FireEye så kunde även APT29 läsa mail under några månader på amerikanska myndigheten U.S. Treasury and Commerce.

APT29 placerade en bakdörr i SolarWinds mjukvara Orion som används för nätverksövervakning någon gång under mars-juni 2020. Den mjukvaran kommunicerade hem till SolarWinds som vanligt men kunde även fjärrstyra datorn som hade bakdörren installerad. Troligtvis genomförds intrånget mot SolarWinds genom deras byggsystem eftersom bakdörren också var signerad med SolarWinds certifikat.

Bland SolarWinds kunder kan man hitta en intressant lista med organisationer:

Bland kunder listas Volvo, Ericsson och Telenor. Oklart om det är just Orion som används av dessa kunder eftersom SolarWinds är ett stort företag med många produkter.

Bakdörren återfanns i filen SolarWinds.Orion.Core.BusinessLayer.dll. Och bl.a. Microsoft Defender kan upptäcka denna bakdörr som Solorigate. Andra namn för bakdörren är även SUNBURST samt operation UNC2452.

Att bakdörren var oupptäckt enbart under några månader beror troligtvis på att angriparna blev giriga och ville komma åt mer information i fler system. När spåren började att nystas upp så pekade de på SolarWinds produkt Orion och att ge sig på FireEye som är specialister på att göra IT-forensiska utredningar är troligtvis en bidragande faktor till att bakdörren inte blev så långlivad.

Intressant i denna historia är också att lokala VPS-anslutningar (virtuella privata servrar) inom landet användes för att inte väcka misstanke mot trafik som går utom landet. Även framhäver FireEye följande som också är intressant:

After a dormant period of up to two weeks, the malware will attempt to resolve a subdomain of avsvmcloud[.]com. The DNS response will return a CNAME record that points to a Command and Control (C2) domain. The C2 traffic to the malicious domains is designed to mimic normal SolarWinds API communications

Kontrollera alltså dina PCAP-filer eller brandväggsloggar efter DNS-uppslag mot avsvmcloud[.]com, förslagsvis under hela 2020. Här är ett exempel när jag söker efter denna information i Moloch (numera Arkime):

Bakdörren finns uppladdad på VX Underground här och läs även på om reproducerbara byggen som jag skrev om 2017, vilket är en av flera metoder för att försvåra denna typ av attack.

IOC:er

  • b91ce2fa41029f6955bff20079468448
  • 02af7cec58b9a5da1c542b5a32151ba1
  • avsvmcloud[.]com

Se även FireEyes Yara-regler på Github här samt länken i början av detta blogginlägg.

Säkerhetsföretaget FireEye hackade

FireEye

FireEye som är ett av världens största säkerhetsföretag gick i förrgår ut med information om att dom blivit hackade. Enligt dem så har ingen information om kunduppgifter komprometterats vad de identifierat ännu men om så skulle vara fallet så har dessa kunder kontaktas direkt.

Att ge sig på och hacka säkerhetsföretag är ingen direkt nyhet och har hänt flertalet gånger tidigare. Bl.a. Kaspersky identifierade ett intrång 2015.

Det som däremot FireEye har gått ut och bekräftat som stulet (exfiltrerat) är deras verktyg som används vid penetrationstester och Red-Teaming. Inga zero-days har används eller blivit stulna, vilket är bra. Jag förvånas också över mängden verktyg, över 200 st som de blivit av med.

De som ligger bakom attacken är en avancerad angripare som kan mätas eller är en statlig aktör uppger företaget. FireEye som själva jobbar med att utreda intrång skriver att de aldrig sett denna typ av avancerade angreppsvektorer tidigare. Även FBI bekräftar denna bild som förmedlas. Följande kommentar var rätt intressant också:

Consistent with a nation-state cyber-espionage effort, the attacker primarily sought information related to certain government customers

Tyvärr verkar inte FireEye släppa några IOC:Er som hjälper att identifiera angriparna. Enligt bl.a Dave Kennedy så pekar på att det är Ryssland som ligger bakom attacken, bl.a baserat på att FireEye tidigare avslöjat ryska cyberoperationer. Utredningen pågår fortfarande och mer information kommer förhoppningsvis längre fram.

Kevin Mandia som är VD på FireEye kommenterar följande i press-releasen:

På GitHub har man lagt upp signaturer i form av IOC:er för att känna igen de verktyg som stulits och jag har kollat på verktygen och det ser ut att vara branschpraxis-verktyg såsom BloodHound (CoreHound), SafetyKatz (Mimikatz) och egna såsom Sharpersist och Sharpivot. Mycket är baserat på .Net men även så finns det Python, Rust och programspråket D.

Intressant också att det finns kod som heter matryoshka.rs (Rust) och just matryoshka kan ju vara rätt allmänt använt eftersom matryoshka är en rysk trädocka i flertalet dockor inuti. Men också namnet på en iransk hackinggrupps RAT, CopyKittens.

Här kan du ladda hem en sammanställning med verktygen i Yara-format:

Test av MISP, threat sharing

MISP är ett projekt som startades av den belgiska försvarsmakten runt 2011 för att sedan fångas upp och vidareutvecklas av NATO. Projektet är i dagsläget oberoende men finansieras helt eller delvis av CIRCL – Computer Incident Response Center Luxembourg samt EU. Förkortningen MISP stod från början för Malware Information Sharing Project men numera heter projektet enbart: MISP, threat sharing.

Men vad är då MISP kanske du undrar? Jo det är ett verktyg för att underlätta lagring, sökning och kategorisering av cyberunderrättelser, främst olika former av IOC:Er (Indicators of Compromise). Men du kan skriva hela rapporter i MISP:en och länka direkt till IOC:er inom MISP.

När du arbetar mot MISP:en manuellt så kan man säga att du genomför tre steg för att lägga in information om en händelse, eller Event som det heter på MISP-språk. Dessa tre steg är:

  • Skapa Event
  • Lägg till attribut och attachment
  • Publicera eventet

Video som förevisar dessa steg:

Attributen som du kopplar till händelser kan vara checksummor till skadliga filer, textsträngar som återfinnes i exploits, skadlig kod, IP-adresser, domännamn och mycket mer. Här kan du se en lista med samtliga attribut.

Relativt nytt är också att du kan skriva rapporter under event, dessa rapporter kan sedan länka vidare till olika typer av attribut. Rapporterna skrivs i märkspråket markdown.

Exempel på en rapport för Winnti Group:

Och styrkan i MISP är att att dela med sig av denna information. Därav finns det ett avancerat system för vilken information du kan dela med dig av till vem. Det går även att koppla ihop flertalet MISP:ar så dessa synkroniserar information löpande. Även kan MISP:en hämta in olika former av former av feeds i format såsom csv, misp och fritext. Standard så följer 63 olika externa feeds med i MISP som du kan slå på.

Du kan sedan konfigurera dina säkerhetssystem att hämta IOC:er från din lokala MISP, det finns exempelvis stöd i Zeek (fd Bro). Även kan du koppla MISP mot andra system såsom OpenCTI, TheHIVE och MITRE ATT&CK.

När jag testade att starta upp en instans av MISP så var detta mycket enkelt med hjälp av Docker. Men tänk på hur du publicerar din MISP-instans mot internet, för sårbarheter finns det gott om i MISP. Bara detta året har 15 st CVE:er publicerats, men om detta är ett bra mätetal för säkerhet är en helt annan diskussion.

Om Er organisation verkar inom en viss bransch så rekommenderar jag att ni sätter upp en gemensam MISP inom just Er bransch. Men tänk också på att ni måste ha kompetens och en förmåga att underhålla och lägga in information i MISP:en. Här i Sverige har exempelvis Sunet en MISP-installation som Sunet-anslutna lärosäten kan använda sig av.

Är ni en stor organisation med egen ThreatHunting-kapacitet eller en CERT så kan det också vara läge att sätta upp en egen MISP där ni kan lägga in IOC:er och bygga upp er CTI, Cyber threat intelligence.

För API kan man använda PyMISP eller REST-gränssnittet, här testar jag en sökning med hjälp av curl och söker efter 89.203.249.203:

Svaret returnerar ett event info som säger Benkow.cc RAT feed.

Under huven så drivs MISP av en PHP-baserad applikation som använder sig av Apache, MySQL och Redis. MISP:en stödjer även ZeroMQ, Yara och kan exportera/importera STIX 1+2.

Att starta eget inom cybersäkerhet

Att starta eget företag

Jag har nu varit företagare i 12 år varav senaste sex åren på heltid inom cybersäkerhet. Jag tänkte i detta blogginlägg dela med mig av några erfarenheter som jag dragit som egenföretagare och som kanske kan hjälpa dig om du vill köra eget inom cybersäkerhet.

Först och främst så finns det inget optimalt tillfälle att starta eget, även om vi nu är mitt i en COVID-19 pandemi så skulle jag inte avråda någon från att starta eget. Kompetens inom cybersäkerhet är otroligt eftertraktat.

Och glöm inte att våga fråga om tips och råd från personer som kört eget företag eller som varit företagare länge.

Börja i liten skala

Se över dina möjligheter att dra ner på ditt ordinarie dagsjobb eller om du har möjlighet att köra eget på kvällar eller helger. Detta för att testa och se hur det är att vara egenföretagare med allt som det innebär.

Det blir så klart lite av ett moment-22 problem också eftersom att du inte kan avsluta ditt ordinarie jobb innan du har uppdrag så du klarar dig. Men jag rekommenderar att du har en privat buffert så du klarar dig runt sex månader utan uppdrag.

Gräv också där du står: Vilka organisationer har du kontakt med och vad är det unika med just din kompetens. Men glöm inte heller att som företagare så måste du även vara bra på att kommunicera, dokumentera och eventuellt sälja (din egen kompetens).

Hitta partners

Ensam är inte stark, hitta företag som du kan jobba med och använd ditt kontaktnät. Men gå inte på massor av onödiga möten som äter upp all din tid. Det ska ske i rimliga mängder och försök att vara lite selektiv med vem du träffar när.

Hitta andra mindre företagare och samarbeta med dessa så kan ni ta större affärer och konkurrera mot större företag.

Uppdrag är allt

Att ta in uppdrag och leverera är mycket viktigt. Var lyhörd och se vad din kund vill ha hjälp med och leverera det kunden vill och lite till. Undersök vad konsultförmedlare har för uppdrag ute och bevaka löpande nya uppdrag som kommer ut. I början så får man inte vara så kräsen när det gäller timarvoden och att uppdragen kanske inte matchar helt rätt med din profil. Observera dock att konsultförmedlare kan ta allt från 5% till 30% på timarvodet ut till kund.

Fakturera så fort uppdraget är slutfört och följ upp att fakturorna betalas i tid.

Du kanske är jätteduktig på reverse-engineering eller IT-forensik men uppdragen i Sverige inom områden som dessa växer inte på träd. Men med tiden så kanske du kan bygga upp ditt nätverk och enbart pyssla med ett smalt område. Internationellt är det dock en annan femma, men att sälja cybersäkerhet handlar om att bygga upp ett förtroende över tid.

Timarvodet på en konsult inom cybersäkerhet ligger mellan 1100kr och 1900kr exkl moms. Vissa kunder vill ha fastpris och vissa vill betala löpande. Att räkna på fastpris kan vara klurigt, så se till att inhämta mycket underlag när du räknar på fastpris. Speciellt om det är ett längre uppdrag på större summor.

Håll nere utgifterna

Det är lätt att börjar bränna pengar på företaget när du fått din första faktura betald. Men försök att hålla nere utgifterna till mer eller mindre noll åtminstone första 6-12 månaderna. Undvik utgifter såsom laptops, tjänstebil, mobiltelefoner, böcker, licenser, utbildningar osv. Ta ut minimalt med lön och se till att företaget flyger innan du tar på dig kostnader.

Vissa saker bör man dock inte kompromissa över såsom företagsförsäkring, se även till att du har en reseförsäkring eftersom mycket av det du gör som konsult går under reseförsäkringen.

Ny zero-day i Chrome

Google rapporterar om att en ny zero-day utnyttjas i Google Chrome, den har fått CVE-2020-15999 och utnyttjas en brist i freetype. GNU FreeType är ett open-source projekt som används av fler projekt än Chrome och sårbarheten är fixad i freetype version 2.10.4.

Men för en angripare att utnyttja en sårbarhet i Chrome så måste även sandlådan brytas ur, en så kallad ”sandbox escape”. Och det upptäckte även Google att angriparna som utnyttjade freetype-buggen gjorde, en helt ny sårbarhet i Windows-kärnan. Den har fått CVE-2020-17087, se även här.

Google uppger även att utnyttjandet av denna kedja av sårbarheter inte har något med valet i USA att göra. En fix till Windows-buggen beräknas släppas 10:e November.

Kernel-buggen utnyttjar det faktum att Windows Kernel Cryptography Driver (cng.sys) har \Device\CNG som exponeras mot Chrome och följande IOCTL: 0x390400 utnyttjas. För denna bugg uppger google:

We have evidence that this bug is being used in the wild. Therefore, this bug is subject to a 7 day disclosure deadline

Ben Hawkes som är chef för Google Project Zero som skriver följande på Twitter:

Några kommentarer om intrånget mot Gunnebo

Uppdatering 1: Se längre ner.

Uppdatering 2: Brian Krebs gick redan ut i Feb/Mars och kontaktade Gunnebo efter att en server som tillhör dem stod exponerad ut mot internet med RDP-öppet. RDP är ett protokoll som möjliggör fjärradministration, och enligt Brian så var lösenordet password01. Dock är det oklart om det var via denna RDP-exponering som angriparna tog sig in.

Jag tänkte kommentera några saker gällande intrånget hos säkerhetsföretaget Gunnebo och hur denna typ av grupperingar arbetar.

Först och främst så är det enbart en sak som gäller för dessa antagonister: Pengar. De gör detta enbart för ekonomisk vinning, men Sverige som land drabbas på många olika sätt. Ritningar och information om känsliga system hos myndigheter såsom Försvarsmakten, FRA och Riksbanken kan i detta fall ha läckt ut. Det är rätt av Gunnebo att inte betala lösensumma till utpressarna, jag rekommenderar att aldrig göda denna typ av illegal verksamhet. Gunnebo kan själva också drabbas så klart, på flertalet sätt såsom mindre orderingång, prestigeförlust, negativ aktiekurs osv.

För organisationer som jobbar med leverantörer och underleverantörer såsom Gunnebo gäller det att dela med sig av minimalt med information. Efter uppdraget är slut eller upphandlingen är avklarad är det viktigt att gallra och radera information. Det gäller även eventuella backuper, mail-lådor osv där känslig information också kan sparas under en längre tid.

Intrånget genomfördes mest troligt på följande sätt:

En eller flertalet anställda får riktad E-post under längre tid där budskapet finjusteras till just att träffa deras organisation.

Mailet innehåller en bifogad fil alternativt en länk till en bifogad fil där mottagaren uppmanas att öppna filen. Denna fil innehåller någon typ av RAT (Remote Access Trojan) som inte upptäcks av antivirus-program.

Angriparen får nu ett initialt fotfäste inom Gunnebo och kan börja utforska system och behörigheter. När angriparen är väl innanför det yttre perimieterskyddet så har de flesta organisationer ett något sämre skydd och separation.

Detta är en kritisk punkt: Om organisationen har väl fungerande sensor-system så fångar dessa upp avvikande aktivitet hos användaren eller systemet. En SOC (Security Operations Center) kan fånga upp händelser när angriparen försöker eskalera rättigheter och genomföra lateral movements (sidorörelse?). Organisationen måste då snabbt isolera systemet och genomföra IT-forensik och Threat Hunting med ett EDR-system (Endpoint detection and response). Även kan kommando-kanalen (C&C) fångas upp med ett system som tittar och analyserar nätverkstrafiken, samt själva exfiltrationen som i detta fall handlade om 7.6TB som skickats ut ur nätverket.

Desto längre tid angriparen kan vara i nätverket och utforska desto mer system kan de erhålla tillgång till och sno information från.

Du bör även testa denna förmåga med återkommande annonserade och oannonserade tester. Hela flödet samt inviduella tester såsom phishing-tester mot personal, som förhoppningsvis utbildas löpande i detta.

Utpressarna har troligtvis krypterat delar eller stora mängder med information hos Gunnebo. Därför är det också viktigt att ha backup och testa dessa rutiner kontinuerligt.

Mount Locker som ligger bakom attacken mot Gunnebo arbetar troligtvis med flertalet andra hacker-grupper som tillgodoser den initiala intrångsvektorn. De ger sig på större organisationer såsom börsbolag som har möjlighet att pynta upp över 10 miljoner SEK i lösensumma.

Cybersäkerhet är inte lätt och måste få kosta tid, pengar och resurser

Ledningen måste vara med på tåget och tillgodose att detta finns avsatt och prioritera just detta. Distansarbete i samband med COVID-19 gör också att hotbilden förändras och VPN används i större utsträckning, jag återkommer med ett separat blogginlägg om detta.

Här är en lista med 861 andra organisationer som blivit utsatta av ransomware av 18 olika ransomware-grupperingar:

Ransomware-lista.pdfLadda ner

Uppdatering:

En annan aspekt i det hela att Gunnebo även utvecklar mjukvara till deras fysiska säkerhetssystem. En väl placerad bakdörr i denna mjukvara gör att en angripare kan ta sig förbi det fysiska skyddet.

Från darknet (Tor .onion) så kan man se följande skärmdumpar (källa)

Och den som vill djupdyka närmare när det gäller den typ av skadlig kod som troligtvis riktats eller använts mot Gunnebo kan se mer på Google-ägda VirusTotal.

Hotlandskapet 2020

Den europeiska säkerhetsmyndigheten ENISA har precis släppt rapporten över cyberhotlandskapet 2020, detta är den åttonde gången de släpper Threat Landscape Report (ETL).

Följande infografik tycker jag bra representerar den statistik som är underlag för ENISA:s bedömning av Threat Landscape 2019-2020:

Rapporten pekar på att COVID-19 gjorde att många organisationer snabbt var tvungen att skynda på sin digitala transformering och därmed så förändrades också hotbilden och de utmaningar som många som jobbar med cybersäkerhet ställs inför.

Den största motiveringen bakom cyberattacker är finansiella motiv samt så är det ransomware som kostar organisationer mest pengar. Fler och fler organisationer genomför förebyggande arbete i form av Cyber Threat Intelligence (CTI).

Egentligen så är det inte en enda rapport som ENISA släpper utan sju stycken olika som riktar sig mot olika målgrupper:

  • THE YEAR IN REVIEW
  • CYBER THREAT INTELLIGENCE OVERVIEW
  • SECTORAL AND THEMATIC THREAT ANALYSIS
  • MAIN INCIDENTS IN THE EU AND WORLDWIDE
  • RESEARCH TOPICS
  • EMERGING TRENDS
  • LIST OF TOP 15 THREATS

Här kan du läsa respektive rapport från ENISA: