2020-10-12

Test av Recorded Future Express

Svensk-grundade företaget Recorded Future har släppt ett browser-plugin som låter dig söka igenom IOC:er (Indicators of Compromise) på webbsidor.

Det kan först låta lite konstigt att man skulle vilja söka igenom webbsidor efter IOC:er men många SIEM-system i dagsläget såsom Moloch och Maltrail (som jag bloggat om tidigare) har webbgränssnitt.

Pluginet finns till Google Chrome, Edge samt Mozilla Firefox och för att använda det måste du registrera dig med en E-post och sedan erhålla en licensnyckel. Denna licensnyckel används sedan för att göra slagningar mot Recorded Futures databas över IOC:er såsom:

Checksummer över skadlig kod
Kolla upp CVE-nummer och prioritera sårbarheter
Domännamn som används för skadliga syften
Suspekta E-postadresser (kollar domänerna)

Pluginet är gratis att använda men viss data samlas in av Recorded Future (se nedan). Och har du en betalversion såsom Core eller Advanced så kan du länkas direkt vidare till din dashboard hos Recorded Future.

Nedan skärmdump visar på hur malware-kampanjen vid namn Gamaredon larmar på flertalet IOC:er:

Recorded Future Express — Källa: MalCrawler

Jag upplever det som om det mesta finns med hos Recorded Future och att täckningen är väl över 90% av alla kända IOC:er jag har kollat på.

Dock så finns ett antal URL:er inte med som IOC:er hos Recorded Future såsom denna:

message-office.ddns.net

Vilken uppenbarligen finns med på Maltrails IOC-lista över APT Gamaredon (pterodo, primitive bear). Tyvärr identifieras inte heller CVE 2017-0199 på sidan ovan hos MalCrawler. Men på en annan test-sida så identifieras CVE-2017-11882 korrekt (kanske har med bindestreck att göra?).

Här nedan är ett exempel där Checkpoint kollat på flertalet kampanjer och RF Express fångar upp alla IOC:er utmärkt. Du ser en röd eller gul prick till höger om checksumman som Chrome pluginet lägger till.

Här kan du testa Express:

https://go.recordedfuture.com/express

2020-10-05

Nmap 7.90

Det känns som om det var år och dar sedan en ny version av Nmap släpptes. Och anledningen till att det tagit så lång tid är för att stort fokus har lagts på Npcap, version 1.0 släpptes för några veckor sedan.

Och nu när Npcap finns ute i en stabil version 1.0 så kan äntligen Nmap fungera precis som på Linux, men till Windows. Ncap används även av andra verktyg såsom Wireshark.

Nytt är även att det går att köpa en kommersiell licens av Nmap, kallad Nmap OEM Edition. Denna version är till för dig som vill skeppa med Nmap i din produkt eller system. Priserna ligger på cirka 100,000 SEK per år och med en startavgift på 340,000 SEK (minsta licensen).

Version 7.90 innehåller mer än 70 buggfixar och uppdaterade fingerprints för tjänster och operativsystem samt nya NSE-script. Tyvärr bara tre stycken nya NSE-script: dicom-brute, dicom-ping, uptime-agent-info.

Nytt är även att nmap-update är borttaget.

Här kan du ladda hem Nmap version 7.90:

nmap.org/download.html

Eller som jag rekommenderar: Att använda operativsystemets inbyggda uppdateringsfunktion.

2020-09-16

FOI anordnar en tävling i cybersäkerhet

FOI – Totalförsvarets forskningsinstitut anordnar nästa helg en CTF, Capture The Flag. Det är en teknisk cyberövning som utförs över Internet och går ut på att plocka poäng. Övningen börjar klockan 14.00 på lördag den 26:de September 2020.

Stöd gärna mitt bloggande på Kryptera.se via Patreon

Områden som du kommer att hitta flaggor (poäng) inom är: Exploatering, Kryptografi, Reversering, Webb och Övriga. Du kan delta i grupp eller enskilt och den som redovisar flest poäng kl 22 vinner.

För att vara med så registrerar du dig själv eller din grupp på följande länk:

https://2020ctf.crate.foi.se/

På ovan webbsida kan du även se vilka lag som registrerat sig samt en poängtavla.

FOI meddelar att namnet 20/20 CTF är dels inspirerat av det år som den första upplagan genomförs, dels en ordlek på den beskrivning av synskärpa som tagits fram av American Medical Association, 20/20 vision som ett mått på god syn 👁.

2020-09-14

Zerologon: CVE 2020-1472 (CVSS:10)

Uppdatering: Här finns det en exploit-PoC >

Uppdatering 2: Microsoft går nu ut och varnar att antagonister nu utnyttjar denna sårbarhet aktivt. Och publicerat följande IOC:er för exploits, SHA256:

b9088bea916e1d2137805edeb0b6a549f876746999fbb1b4890fb66288a59f9d
24d425448e4a09e1e1f8daf56a1d893791347d029a7ba32ed8c43e88a2d06439
c4a97815d2167df4bdf9bfb8a9351f4ca9a175c3ef7c36993407c766b57c805b

Sårbarheten som fått smeknamnet Zerologon och med CVE 2020-1472. Har en högsta möjliga CVSS score på 10 av 10. Detta gör den synnerligen intressant.

Sårbarheten går ut på att använda Netlogon Remote Protocol (MS-NRPC) mot Windows domänkontrollanten (DC) och sedan utnyttja en brist som gör att angriparen kan sätta datorlösenordet på DC:n till ett känt värde (använder en brist i implementationen av AES-CFB8). Och sedan erhålla domain-admin på domänen.

Bli månadssupporter till denna blogg via Patreon

Se bifogat whitepaper längre ner i detta inlägg.

Skärmdump på hur attacken utnyttjas (källa)

Företaget Secura har släppt ett python-script för att testa denna sårbarhet mot DC: https://github.com/SecuraBV/CVE-2020-1472

Beskrivning av scriptet:

”It attempts to perform the Netlogon authentication bypass. The script will immediately terminate when succesfully performing the bypass, and not perform any Netlogon operations. When a domain controller is patched, the detection script will give up after sending 2000 pairs of RPC calls and conclude the target is not vulnerable (with a false negative chance of 0.04%).”

För att åtgärda detta rekommenderas det att installera patcharna som släpptes 11:de Augusti 2020 samt sätta DC:n i enforce mode. Under Q1 2021 så kommer dock enforce mode att bli standard meddelar Microsoft. Registernyckeln för detta är: FullSecureChannelProtection.

Se mer här från Microsoft.

Whitepaper från Secura:

zerologon_v1.0.pdf Ladda ner

2020-09-09

Projektet Fem små hus

Projektet Fem små hus är ett nytt intressant initiativ på uppdrag av TU-stiftelsen. Stiftelsen är relativt anonym för den som inte är insatt i internet-Sverige.

Stiftelsen för telematikens utveckling (TU–stiftelsen) skapades 1996 samtidigt som II-stiftelsen, numera Internetstiftelsen. TU-stiftelsen är ägare till Netnod som bl.a. sköter om internetknutpunkter i Sverige och utomlands.

Projektet utförs i samarbete med ett antal olika företag, organisationer och myndigheter. Man har tagit fram en robust arkitektur som förstärker dagens infrastruktur för att uppfylla samhällets krav.

Arbetet med förslaget har bedrivits med låg profil under flertalet år men nu finns ett första resultat att ta del av (se länk nedan).

Namnet på projektet syftar till decentraliserade autonoma regioner som bättre ska klara oavsiktliga och avsiktliga incidenter och attacker. Likt denna bild:

Tanken är att det ska finnas ett finmaskigt nät med många redundanta vägar mellan varje så kallad region, vissa delar av denna infrastruktur kan finnas i dagsläget men kan behöva moderniseras. Projektet pekar också på vikten av diversitet i alla led såsom leverantörer för drift, underhåll, kommunikation eller materialförsörjning.

Detta har blivit extra påtagligt under COVID19-krisen då det kan vara svårt att få ut personal eller få tag på utrustning från vissa länder som tillverkar vitala komponenter.

Förslaget innehåller även stöd för att i samma infrastruktur driva lokala och nationella nät skyddade av stark kryptering, exempelvis för myndigheter. Stor vikt läggs även på IPv6 som bärare vilket jag tycker är bra.

Delar av detta projekt är även ett resultat av Särimner som jag skrev tidigare om. Där man även såg att många stödtjänster hos operatörer var centraliserade, vilket detta projekt omhändertar.

Vidare arbete

Man föreslår ett samordningskansli, testmiljö samt pilotprojekt för att driva projektet vidare. En kommunikationsarkitektur kan med fördel förfinas genom ett kansli som bryter ner projektet i mindre delprojekt, är något som föreslås.

Dock hittar jag inget om hur finansieringen ska lösas framöver men Patrik Fältström från Netnod uppger att tanken är att dels kommer TU-Stiftelsen hålla dokumenten uppdaterade, dels hoppas man att olika organisationer ska driva vidare och implementera olika delar.

Mer läsning hittar man på TU-stiftelsens Github-repo:

github.com/tu-stiftelsen/femsmahus

Transparens: Jag är ordförande i ISOC-SE som bildade Internetstiftelsen.

2020-09-04

YouTube

Du vet väl att jag även har en YouTube-kanal? Den uppdateras relativt sporadiskt men jag ska försöka att uppdatera den mer frekvent.

Följ mig här: https://www.youtube.com/kryptera

Senaste videon där jag berättar lite om boken Red Team – Development and operations:

2020-08-25

Flertalet sårbarheter åtgärdade i Apache

Felix Wilhelm från Google Project Zero har identifierat tre sårbarheter i webbservern Apache. Apache är den nästa populära webbservern på internet efter Nginx.

Säkerhetsbuggarna är enligt följande:

important: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-9490)
moderate: mod_proxy_uwsgi buffer overflow (CVE-2020-11984)
moderate: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-11993)

Den allvarligaste av dessa tre och har allvarlighetsgrad important kan mitigeras genom att sätta H2Push off i konfigg-filen för Apache. Rekommenderat är även att uppgradera till version 2.4.44 av Apache som åtgärdar dessa brister.

För mer information gällande CVE-2020-9490 kan du även se följande länk: https://bugs.chromium.org/p/project-zero/issues/detail?id=2030

Tweet från @_fel1x:

Apache 2.4.46 has fixes for three vulnerabilities I reported (https://t.co/8yW2PIBv9G) The http2 push diary bug is the most interesting one: Depending on your distris mod_http2 version it is either a wild memmove or a controlled OOB write (https://t.co/JEQ6jwLTwO)
— Felix Wilhelm (@_fel1x) August 24, 2020

2020-08-25

Populära sökningar

Följande lista är de mest sökta orden för att hamna på Kryptera.se:

anonymiseringstjänst
kryptering
gratis vpn
anonymiseringstjänster
free vpn
vpn tunnel gratis
anonine
yubikey
kryptera
avlyssna gsm

Inga kanske direkta överraskningar på denna lista men många verkar vara intresserade av att använda sig av gratis VPN-tjänster. Detta är troligtvis för att jag skrev ett inlägg för många år sedan (2013) om Tor Browser som gratis VPN.

Denna blogg är nu över 12 år gammal och första inlägget hittar du här som skrevs 2008-05-20.

2020-08-25

Nytt intressant malware: FritzFrog

👉 Stöd mitt bloggande via Patreon

FritzFrog är en ny typ av malware som är skrivet i programspråket Go och riktar sig mot servrar som exponerar SSH.

Den skadliga koden är modulärt uppbyggd och skriver inga filer till disk efter infektion. Det som kanske är mest intressant är att kommunikationen använder sig av ett helt egenutvecklat peer-to-peer protokoll.

Karta över infektioner från företaget Guardicore:

Vid infektion så startas en process vid namn ifconfig och nginx upp. Som lyssnar på TCP port 1234. Den skadliga koden är packad med UPX och efter att processerna startats upp så raderas filer på disk. För att undvika detektion på nätverket så tunnlas kommunikation över port 1234 via SSH. Denna kanal används även för P2P-protokollet som gör nyckelutbyte med hjälp av Diffie Hellman samt kryptering med AES.

Kommandon som kickas via P2P-protokollet:

Även så lägger den skadliga koden en publik nyckel till .ssh/authorized_keys för att ge möjlighet att ta sig in i systemet vid senare tillfälle.

På Github så finns det IOC:er samt kod för att detektera FritzFrog. En av syftet med den skadliga koden är att utvinna kryptovalutan Monero med hjälp av mjukvaran XMRig miner som ansluter mot web.xmrpool.eu över port 5555.

Antalet attacker från nätverket har ökat stadigt sedan början på året:

Intresserad av botnets? Kolla in Guardicores Botnet Encyclopedia.

2020-08-24

Nya attacker mot VPN med hjälp av vishing

Cyberangripare attackerar nu personal som nu jobbar hemma i allt större utstäckning. Med ett nytt modus operandi så ringer angriparen upp den anställde och förmår denne att logga in på en alternativ fiktiv webbsida för VPN-anslutningar.

👉 Stöd mitt bloggande via Patreon

Denna webbsida innehåller även funktion att lura till sig engångstokens för tvåfaktorsautentisering. Det var även på detta sätt som angripare lyckades göra intrång hos Twitter förra månaden.

Här är ett riktigt exempel på hur webbsidan helpdesk-att.com såg ut för några dagar sedan:

AT&T fiktiv VPN-portal inloggning. Bildcredd: urlscan.io

Denna typ av attack kallas för Vishing (voice phising) och har några år på nacken men att nu kombinera detta med attacker mot VPN som stjäl 2FA-tokens är det nya tillvägagångssättet.

Även kan denna attack kombineras med en annan attack som medger att spoofa numret till företagets växel så samtalet ser ut att komma från medarbetarens egna organisation.

Motåtgärder

Först och främst är utbildning en viktig faktor, även återkommande utbildningspass för medarbetare. När det gäller MFA/2FA så har angriparna ännu inte någon metod för att genomföra MITM på hårdvarunycklar såsom Yubikeys.

Och sist men inte minst så är det viktigt med spårbarhet och loggning och övervaka samtliga inloggningar och knyta dessa inloggningar vidare mot klientcertifikat och datorkonfiguration.

Kan även tipsa om svenska startupen Castle.io har en hel del intressanta metoder att hitta kapade konton.