2020-07-18

Semester på bloggen

Som du kanske har märkt så händer det inte så mycket här på bloggen just nu. Bloggandet kommer igång igenom om några veckor igen.

Hoppas du får en skön och härlig sommar.

2020-06-25

Identifiera beacons (bakdörrstrafik) med RITA

Det amerikanska cybersäkerhetsföretaget Active Countermeasures har en intressant open-source produkt som heter RITA. RITA står för Real Intelligence Threat Analytics är ett verktyg för dig som vill genomföra Cyber Threat Hunting.

RITA läser in data från Zeek (fd Bro) och kan genomföra följande:

Beacon-detektion – Sök efter tecken på beaconing-beteende in och ut ur ditt nätverk.
DNS-tunnelavkänning – Sök efter tecken på DNS-baserade bakdörrskanaler
Kontroll mot svartlisor – Sök mot ett antal olika svartlistor/blocklists

Jag intresserar mig dock mest för beacon-detektion då detta finns inbyggt i flertalet kommersiella produkter såsom Cisco Encrypted Traffic Analytics men få open-source produkter kan söka efter denna typ av nätverkstrafik.

Beacons används av bakdörrs-ramverk (C2 frameworks) såsom Cobalt Strike, Metasploit, Empire, SharpC2 och PoshC2 för att nämna några.

RITA är utvecklat i programspråket Go och kan installeras i SecurityOnion, Ubuntu 16.04, Ubuntu 18.04 eller CentOS 7 om du vill köra med det medföljande scriptet install.sh. Du kan även installera RITA på egen hand eller köra RITA under Docker.

Stöd gärna mitt bloggande via Patreon >

De beroenden som RITA har är förutom Zeek är också databasen MongoDB. Jag installerar RITA utan Zeek och MongoDB och editerar sedan konfigg-filen /etc/rita/config.yaml så att den pekar mot min fristående mongodb.

Observera att du ej kan köra RITA med det paket som följer med Ubuntu 16.04 eftersom det är 2.6.10. RITA behöver mongodb-version som är mellan 3.2.0 och 3.7.0.

Jag fick det att fungera genom att installera mongodb version 3.6.18.

Analysera PCAP efter bakdörrar

Nu när RITA är installerat så måste jag först köra zeek på de pcap-filer jag har sparat ner. Bäst fungerar det om du har en pcap-fil för varje dag, detta kan vara problematiskt om du har många filer men går att lösa med verktyg såsom mergecap.

Första steget är att läsa in ett dygns pcap-fil med zeek och skriva ut loggfilerna. Detta exempel gäller dagen 2020-06-05 och pcap-filen var på 33GB:

$ cd /data/pcap
$ mkdir -p zeek/2020-06-05
$ cd zeek/2020-06-05
$ zeek -Cr ../../trace_2020-06-05.pcap local

Ovan kommando tar cirka 15 minuter på min Raspberry Pi och sedan att importera detta via RITA mot mongodb tar ca 3 minuter:

Nu när vi har importerat mappen 2020-06-05 mot RITA-databasen vid namn 2020-06-05 så kan vi titta på analysen när det gäller beacons på följande sätt:

Observera att ovan bild är censurerad av mig. Men när jag tittar på source/dst-IP så ser jag att två översta går till 8.8.8.8 respektive 8.8.4.4 vilket är Googles DNS och troligtvis false-positive. Det som är intressant här är första kolumnen vid namn score och en score på 0.9 och över är mycket intressant. Kör jag metasploit och meterpreter så hamnar score på 0.987.

Och tittar vi på beacon-trafik från Cobalt Strike så ligger standard på sleeptime 30000 millisekunder och 20% jitter. Vilket motsvarar följande kommando från agressor-klienten:

Vill du läsa mer om den underliggande algoritmen så hittar du koden här:

https://github.com/activecm/rita/blob/master/pkg/beacon/analyzer.go

Och en analys av RITA på Cobalt Strike som legat och kommunicerat en hel dag så blir analysen enligt följande:

Rad 17 som är rödmarkerad är den trafik som tillhör Cobalt Strike, och får enbart en score på 0.829 samt hamnar på 16:de plats på topplistan. Resten är enbart falska positiva, dvs videostreaming, DNS-uppslag osv. Så kontentan är att det inte är helt trivialt att detektera Cobalt Strikes standardkonfigurering.

Gillade du detta blogginlägg? Hjälp mig att blogga mer genom att stödja mig via Patreon >

2020-06-17

hashcat v6.0.0

Goda nyheter! En ny version av Hashcat finns nu ute, nämligen 6.0.0. Hashcat är ett verktyg likt John the Ripper som låter dig knäcka lösenord, eller mer korrekt: hashar.

Prestandan i denna nya version har fått sig en förbättring vilket du kan se i tabellen nedan eller via denna länk. Generella förbättringen ligger på 16%.

Och med en Titan RTX GPU så ligger prestandan på 61 931 600 H/s för MD5. Andra nyheter är följande:

Backend Interface
Plugin Interface
CUDA Support. Gör det möjligt att köra Hashcat på många fler plattformar såsom NVIDIA Jetson och NVIDIA Xavier
Emulation Mode
Memory/Thread Management

Även så finns det stöd för 51 st nya algoritmer vilket gör att Hashcat nu stödjer totalt 320 st. Läs hela changelog här.

Alla 51 st nya algoritmer är:

AES Crypt (SHA256)
Android Backup
AuthMe sha256
BitLocker
BitShares v0.x
Blockchain, My Wallet, Second Password (SHA256)
Citrix NetScaler (SHA512)
DiskCryptor
Electrum Wallet (Salt-Type 3-5)
Huawei Router sha1(md5($pass).$salt)
Java Object hashCode()
Kerberos 5 Pre-Auth etype 17 (AES128-CTS-HMAC-SHA1-96)
Kerberos 5 Pre-Auth etype 18 (AES256-CTS-HMAC-SHA1-96)
Kerberos 5 TGS-REP etype 17 (AES128-CTS-HMAC-SHA1-96)
Kerberos 5 TGS-REP etype 18 (AES256-CTS-HMAC-SHA1-96)
MultiBit Classic .key (MD5)
MultiBit HD (scrypt)
MySQL $A$ (sha256crypt)
Open Document Format (ODF) 1.1 (SHA-1, Blowfish)
Open Document Format (ODF) 1.2 (SHA-256, AES)
Oracle Transportation Management (SHA256)
PKZIP archive encryption
PKZIP Master Key
Python passlib pbkdf2-sha1
Python passlib pbkdf2-sha256
Python passlib pbkdf2-sha512
QNX /etc/shadow (MD5)
QNX /etc/shadow (SHA256)
QNX /etc/shadow (SHA512)
RedHat 389-DS LDAP (PBKDF2-HMAC-SHA256)
Ruby on Rails Restful-Authentication
SecureZIP AES-128
SecureZIP AES-192
SecureZIP AES-256
SolarWinds Orion
Telegram Desktop App Passcode (PBKDF2-HMAC-SHA1)
Telegram Mobile App Passcode (SHA256)
Web2py pbkdf2-sha512
WPA-PBKDF2-PMKID+EAPOL
WPA-PMK-PMKID+EAPOL
md5($salt.sha1($salt.$pass))
md5(sha1($pass).md5($pass).sha1($pass))
md5(sha1($salt).md5($pass))
sha1(md5(md5($pass)))
sha1(md5($pass.$salt))
sha1(md5($pass).$salt)
sha1($salt1.$pass.$salt2)
sha256(md5($pass))
sha256($salt.$pass.$salt)
sha256(sha256_bin($pass))
sha256(sha256($pass).$salt)

2020-06-15

Tor Browser 9.5

Senaste versionen av Tor Browser som släpptes för några veckor sedan stödjer nu en ny http-header, nämligen Onion-Location. Denna nya header berättar för webbläsaren om det finns en .onion domän tillgänglig.

Användaren får då ett val om att besöka den onion-domän som presenteras i headern och för användaren via webbläsaren. Några domäner som stödjer detta redan nu är torproject.org och propublica.org.

För att lägga till denna header i webbservern Nginx så lägger du bara till följande rad i konfigurationsfilen:

add_header Onion-Location http://<your-onion-address>.onion$request_uri;

Byt ut <your-onion-address> med din onion-adress.

Skärmdump på hur det kan se ut när en .onion finns tillgänlig:

Tor Browser 9.5 innehåller en hel del annat intressant. Bl.a. möjligheten att använda autentiserade klienter (client auth).

Även så indikerar ett antal ikoner status på anslutningen till onion-sajten du besöker på följande sätt:

2020-06-04

Sveriges motståndskraft mot cyberhot

Igår släpptes två nya rapporter från FRA, Försvarsmakten, MSB, Polismyndigheten och Säkerhetspolisen. Dessa rapporter finns bifogade nedan och heter:

Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden
Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder

Jag har läst båda rapporterna och de ger en allmän och övergripande bild över cybersäkerhetsläget. Det framgår också i rapporten att den är just avsiktligt generaliserad samt riktar sig till samtliga offentliga som privata verksamheter. För oss som är djupt nere i träsket så tycker jag att rapporten är lite väl för generell, dock så bör du läsa rapporten med rekommenderade säkerhetsåtgärder.

Rapporten tar upp problem som kan uppstå till följd av utkontraktering och kompetensbrist. Men även beskriver de olika aktörerna som utför cyberattacker såsom statsunderstödda grupperingar, kriminella aktörer och ideologiskt motiverade.

Även tas olika initiala attacker upp såsom vattenhålsangrepp, angrepp mot exponerade tjänster, lösenordsattacker, spearphishing och phishing.

Rapporterna innehåller också ett antal felaktigheter och konstiga antaganden som verkar representera enskilda individers tyckande. Men att producera rapporter hjälper inte Sveriges motståndskraft mot cyberhot. Det viktiga är att cybercentret når en operativ effekt skyndsamt.

Ett modus som rapporten tar upp och viktigt att tänka på är att mer och mer attacker sker mot privatpersoner med viktiga befattningar. Syftet kan vara att hitta information för utpressning eller ta sig vidare in på en organisations system:

Angrepp sker även direkt mot individers personliga it-utrustning.

Det finns också givetvis många organisationer som bör läsa under rubrikerna rekommenderat arbetssätt som återfinnes under samtliga 9 rekommendationer.

Rapporten Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden kan du ladda hem här:

Rapporten Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder kan du ladda hem här:

2020-05-30

Kom igång med DetectionLab

Om det finns något jag gillar så är det när det kommer verktyg som underlättar min vardag. Nuförtiden så kan jag inte leva utan Docker, Vagrant, Virtualbox och Burp Suite för att nämna några.

Och jag gillar även att labba och testa och dagens tips som jag tänkte skriva om heter DetectionLab. Det är en miljö som är färdiguppsatt för dig som vill testa dina förmågor att upptäcka intrång eller utveckla olika Threat Hunting-koncept.

Miljön kommer installerad med följande mjukvaror:

Microsoft Advanced Threat Analytics (https://www.microsoft.com/en-us/cloud-platform/advanced-threat-analytics) är installerad på WEF klienten, och med en lightweight ATA gateway installerad på DC
Splunk forwarders är installerat och index är skapade. Technology add-ons för Windows är för-konfigurerat.
En särskild Windows auditing-konfiguration skickas ut via en GPO för att göra command line process auditing och även andra OS-loggningar
Palantir’s Windows Event Forwarding
Powershell transcript logging är på. Loggarnas sparas till \\wef\pslogs
osquery är färdiginstallerat samt så är TLS konfigurerat att prata med Fleet. Använder sig även av Palantir’s osquery Configuration
Sysmon är installerat och använder SwiftOnSecuritys konfiguration
Alla autostart-händelser loggas via Windows Event Logs. Använder AutorunsToWinEventLog
SMBv1 Auditing är påslaget

Miljön kräver Virtualbox eller VMware Fusion/Workstation, Packer, Vagrant och minst 16GB ram samt minimum 55GB diskutrymme.

Observera att det kan ta lång tid att bygga miljön, åtskilliga timmar får du nog räkna med.

Här hittar du DetectionLab:

https://github.com/clong/DetectionLab

Du kan även bygga miljön hos Amazon med hjälp av Terraform, och då tar det runt 25 minuter. Se video:

Uppdatering 1:a Juni 2020 från DetectionLab på twitter:

Updated the Splunk Dashboard to include Sysmon Events, License Usage, and @jackcr 's awesome Beacon Hunting query! pic.twitter.com/ExmaVd8HvQ
— DetectionLab (@DetectionLab) June 1, 2020

2020-05-29

USBFuzz identifierar 26 sårbarheter

Ett nytt fuzzningsverktyg vid namn USBFuzz som är utvecklat av två personer från från Purdue University samt Swiss Federal Institute of Technology Lausanne har identifierat 26 sårbarheter.

Alla dessa sårbarheter återfinnes i USB-stacken på Windows, macOS, Linux samt FreeBSD.

De system och versioner som testades med den egenutvecklade fuzzern var följande:

9 senaste versionerna av Linux kerneln: v4.14.81, v4.15,v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2, och v4.20-rc2 (senaste versionen då tesstet kördes)
FreeBSD 12 (senaste release)
MacOS 10.15 Catalina (senaste release)
Windows (både version 8 och 10, med senaste säkerhetspatchar)

Resultatet blev en sårbarhet i FreeBSD, tre i macOS, fyra st i Windows samt 18 st i Linux.

Överblick av arkitekturen i USBfuzz:

Källkoden till USBFuzz kommer att släppas som öppen källkod på Github under följande URL: https://github.com/HexHive/USBFuzz

Intresserad av att fuzza USB? Kolla då även in syzkaller från Google.

Här kan du ladda hem pappret om USSBFuzz:

2020-05-06

Sårbarheter i Citrix ShareFile

Flertalet sårbarheter har uppdagats i Citrix ShareFile. Dessa sårbarheter håller just nu på att rullas ut på samtliga on-prem installationer.

Produkten Citrix ShareFile är nämligen en produkt som möjliggör fildelning och installeras on-premise.

Vid inloggning dyker följande meddelande upp som uppmanar administratören att uppgradera:

De tre sårbarheterna som åtgärdas är:

CVE-2020-7473
CVE-2020-8982
CVE-2020-8983

Och de versioner av Citrix ShareFile som är sårbara är: 5.9.0 / 5.8.0 /5.7.0/ 5.6.0 / 5.5.0. En eller flera av dessa sårbarheter gör att en angripare kan stjäla filer från servern.

Två av ovan tre sårbarheter identifierades av Danske Bank Red-Team och här finnes mer information direkt från Citrix.

2020-04-28

Test av Cobalt Strike

För några månader sedan så införskaffade jag en licens till Cobalt Strike (CS). Jag tänkte dela med mig av mina erfarenheter om vad CS är och vad et kan användas till.

CS är ett kommersiellt bakdörrs-ramverk (C2 framework) som hjälper dig att kommunicera och utföra operationer. Du kan enkelt anpassa ramverket för att försvåra för antivirus-mjukvaror och liknande att upptäcka CS. Det finns även vissa likheter mellan Metasploits Meterpreter och CS, även om Metasploit är kompatibelt med CS.

CS består av tre olika komponenter kan man förenklat säga:

Teamserver – Serverdelen som sköter kommunikationen
Operatörsklient – Används för att erhålla ett grafiskt gränssnitt och ansluta mot serverdelen. Har chatt osv som gör klienten bra att använda vid Red Teaming-operationer där ni är många.
Implantat – Den payload som ska exekveras på målet och skicka beacons till teamserver. Finns som stage och stage-less.

Viktigt också är att veta vad CS inte är:

Hjälper dig inte att identifiera sårbarheter
Få exploits, enbart 2-3 stycken
Implantatet (C2-klienten) funkar enbart på Windows

Mina egna favoriter när det gäller CS är följande:

Malleable profiles – Möjliggör unik beacon-nätverkstrafik
Man in the browser – Gör att du kan använda webbläsaren som en proxy och använda autentiserade sessioner med smartcards exempelvis
Utbildning – Grundaren Raphael Mudge har lagt upp hundratals videos på YouTube för den som vill lära sig.
Artifact Kit – För dig som vill ändra implantatet så inte antivirus upptäcker din bakdörr.

För den som vill hålla sig uppdaterad med nya funktioner rekommenderar jag att följa den ändringslogg som återfinnes här: https://www.cobaltstrike.com/releasenotes.txt

Kostnaden för en licens ligger på 35000 SEK första året och sedan 25000 SEK efterkommande år.

2020-04-08

Säkerhetspolisens årsbok 2019

Säkerhetspolisen släppte nyligen sin årsbok för året 2019 och jag tänkte tolka cyber-relaterade bitar från årsboken.

Först och främst så får det nya cybersäkerhetscentret en hel del utrymme, och om du vill läsa mer om det rekommenderar jag följande blogginlägg.

Kina pekas ut och kinesiska underrättelsehotet omfattar nu även cyberspionage.

Locked Shields är en cyberövning där personal från Säpo medverkat. Den gick av stapeln 10–11 april 2019 och Sverige placerade sig på en tredje plats. Locked Shields anordnas av Natos cyberförsvarscenter, CCDCOE i Estland.

En bild som förevisar hur cyberspionage går till är med i årsboken. Inte så mycket nytt här:

Detta tyckte jag dock var intressant och värt att trycka lite extra på:

Cyberhotet riskerar att få allvarliga konsekvenser för samhällets funktionalitet. Den genomgripande digitaliseringen, att fler enheter kopplas upp mot internet samt fortsatt stora brister i it-säkerheten innebär att riskerna för störningar i samhällsviktiga verksamheter ökar. Även cyberangrepp som riktas mot mål i andra länder kan få allvarliga följdverkningar i Sverige.

Speciellt det sista stycket är av intresse: Även cyberangrepp som riktas mot mål i andra länder kan få allvarliga följdverkningar i Sverige. Vad kan betyda är att vi har långa och komplexa leverantörskedjor där svenska organisationer kan vara underleverantörer till underleverantörer till ett mål.

Det kan också betyda att bakdörrar som placeras hos leverantörer av IT-utrustning eller mjukvara som är avsedda för ett annat mål också kan hamna hos svenska organisationer. Ett exempel på detta är Operation ShadowHammer där uppdateringar till ASUS-datorer innehöll en bakdörr.

Värt att nämna är att även 5G samt IoT (Internet of Things), AI (artificiell intelligens) också förekommer. Där Säpo ser dessa som exempel kring teknikutveckling och säkerhet för kommande åren.

Glöm inte heller att det behövs samråd med Säpo om en säkerhetskänslig verksamhet ska driftsätta ett system eller göra en väsentlig förändring i ett informationssystem som hanterar säkerhetsskyddsklassificerade uppgifter.

Det är viktigt att Säpo är med tidigt i processen för att kunna lämna vägledning i säkerhetsskyddsfrågor. Beroende på hur omfattande samrådet är genomförs flertalet dialoger.

Det slutliga yttrandet, som utgår från säkerhetsskyddsbedömningen, kommer att lämnas sent i processen när verksamheten är klar med alla tester som visar att alla säkerhetsskyddskrav är uppfyllda. Sedan när yttrandet från Säpo lämnas kan verksamheten fatta beslut om driftgodkännande.

Även framgår det att myndigheten avser att intensifiera tillsynen inom säkerhetsskydd och där ingår bl.a. penetrationstester av it-system, där sårbarheter i systemen identifieras.

Årsboken slutar med att tre medarbetare presenteras där en av dessa är ”Alexander” som jobbat med IT-forensik.

Här kan du ladda hem årsboken i sin helhet:

Sapo-Arsbok-2019.pdf