Den europeiska säkerhetsmyndigheten ENISA har precis släppt rapporten över cyberhotlandskapet 2020, detta är den åttonde gången de släpper Threat Landscape Report (ETL).
Följande infografik tycker jag bra representerar den statistik som är underlag för ENISA:s bedömning av Threat Landscape 2019-2020:
Rapporten pekar på att COVID-19 gjorde att många organisationer snabbt var tvungen att skynda på sin digitala transformering och därmed så förändrades också hotbilden och de utmaningar som många som jobbar med cybersäkerhet ställs inför.
Den största motiveringen bakom cyberattacker är finansiella motiv samt så är det ransomware som kostar organisationer mest pengar. Fler och fler organisationer genomför förebyggande arbete i form av Cyber Threat Intelligence (CTI).
Egentligen så är det inte en enda rapport som ENISA släpper utan sju stycken olika som riktar sig mot olika målgrupper:
Svensk-grundade företaget Recorded Future har släppt ett browser-plugin som låter dig söka igenom IOC:er (Indicators of Compromise) på webbsidor.
Det kan först låta lite konstigt att man skulle vilja söka igenom webbsidor efter IOC:er men många SIEM-system i dagsläget såsom Moloch och Maltrail (som jag bloggat om tidigare) har webbgränssnitt.
Pluginet finns till Google Chrome, Edge samt Mozilla Firefox och för att använda det måste du registrera dig med en E-post och sedan erhålla en licensnyckel. Denna licensnyckel används sedan för att göra slagningar mot Recorded Futures databas över IOC:er såsom:
Checksummer över skadlig kod
Kolla upp CVE-nummer och prioritera sårbarheter
Domännamn som används för skadliga syften
Suspekta E-postadresser (kollar domänerna)
Pluginet är gratis att använda men viss data samlas in av Recorded Future (se nedan). Och har du en betalversion såsom Core eller Advanced så kan du länkas direkt vidare till din dashboard hos Recorded Future.
Nedan skärmdump visar på hur malware-kampanjen vid namn Gamaredon larmar på flertalet IOC:er:
Jag upplever det som om det mesta finns med hos Recorded Future och att täckningen är väl över 90% av alla kända IOC:er jag har kollat på.
Dock så finns ett antal URL:er inte med som IOC:er hos Recorded Future såsom denna:
message-office.ddns.net
Vilken uppenbarligen finns med på Maltrails IOC-lista över APT Gamaredon (pterodo, primitive bear). Tyvärr identifieras inte heller CVE 2017-0199 på sidan ovan hos MalCrawler. Men på en annan test-sida så identifieras CVE-2017-11882 korrekt (kanske har med bindestreck att göra?).
Här nedan är ett exempel där Checkpoint kollat på flertalet kampanjer och RF Express fångar upp alla IOC:er utmärkt. Du ser en röd eller gul prick till höger om checksumman som Chrome pluginet lägger till.
Det känns som om det var år och dar sedan en ny version av Nmap släpptes. Och anledningen till att det tagit så lång tid är för att stort fokus har lagts på Npcap, version 1.0 släpptes för några veckor sedan.
Och nu när Npcap finns ute i en stabil version 1.0 så kan äntligen Nmap fungera precis som på Linux, men till Windows. Ncap används även av andra verktyg såsom Wireshark.
Nytt är även att det går att köpa en kommersiell licens av Nmap, kallad Nmap OEM Edition. Denna version är till för dig som vill skeppa med Nmap i din produkt eller system. Priserna ligger på cirka 100,000 SEK per år och med en startavgift på 340,000 SEK (minsta licensen).
Version 7.90 innehåller mer än 70 buggfixar och uppdaterade fingerprints för tjänster och operativsystem samt nya NSE-script. Tyvärr bara tre stycken nya NSE-script: dicom-brute, dicom-ping, uptime-agent-info.
FOI – Totalförsvarets forskningsinstitut anordnar nästa helg en CTF, Capture The Flag. Det är en teknisk cyberövning som utförs över Internet och går ut på att plocka poäng. Övningen börjar klockan 14.00 på lördag den 26:de September 2020.
Områden som du kommer att hitta flaggor (poäng) inom är: Exploatering, Kryptografi, Reversering, Webb och Övriga. Du kan delta i grupp eller enskilt och den som redovisar flest poäng kl 22 vinner.
För att vara med så registrerar du dig själv eller din grupp på följande länk:
På ovan webbsida kan du även se vilka lag som registrerat sig samt en poängtavla.
FOI meddelar att namnet 20/20 CTF är dels inspirerat av det år som den första upplagan genomförs, dels en ordlek på den beskrivning av synskärpa som tagits fram av American Medical Association, 20/20 vision som ett mått på god syn 👁.
Uppdatering 2: Microsoft går nu ut och varnar att antagonister nu utnyttjar denna sårbarhet aktivt. Och publicerat följande IOC:er för exploits, SHA256:
Sårbarheten som fått smeknamnet Zerologon och med CVE 2020-1472. Har en högsta möjliga CVSS score på 10 av 10. Detta gör den synnerligen intressant.
Sårbarheten går ut på att använda Netlogon Remote Protocol (MS-NRPC) mot Windows domänkontrollanten (DC) och sedan utnyttja en brist som gör att angriparen kan sätta datorlösenordet på DC:n till ett känt värde (använder en brist i implementationen av AES-CFB8). Och sedan erhålla domain-admin på domänen.
”It attempts to perform the Netlogon authentication bypass. The script will immediately terminate when succesfully performing the bypass, and not perform any Netlogon operations. When a domain controller is patched, the detection script will give up after sending 2000 pairs of RPC calls and conclude the target is not vulnerable (with a false negative chance of 0.04%).”
För att åtgärda detta rekommenderas det att installera patcharna som släpptes 11:de Augusti 2020 samt sätta DC:n i enforce mode. Under Q1 2021 så kommer dock enforce mode att bli standard meddelar Microsoft. Registernyckeln för detta är: FullSecureChannelProtection.
Projektet Fem små hus är ett nytt intressant initiativ på uppdrag av TU-stiftelsen. Stiftelsen är relativt anonym för den som inte är insatt i internet-Sverige.
Stiftelsen för telematikens utveckling (TU–stiftelsen) skapades 1996 samtidigt som II-stiftelsen, numera Internetstiftelsen. TU-stiftelsen är ägare till Netnod som bl.a. sköter om internetknutpunkter i Sverige och utomlands.
Projektet utförs i samarbete med ett antal olika företag, organisationer och myndigheter. Man har tagit fram en robust arkitektur som förstärker dagens infrastruktur för att uppfylla samhällets krav.
Arbetet med förslaget har bedrivits med låg profil under flertalet år men nu finns ett första resultat att ta del av (se länk nedan).
Namnet på projektet syftar till decentraliserade autonoma regioner som bättre ska klara oavsiktliga och avsiktliga incidenter och attacker. Likt denna bild:
Tanken är att det ska finnas ett finmaskigt nät med många redundanta vägar mellan varje så kallad region, vissa delar av denna infrastruktur kan finnas i dagsläget men kan behöva moderniseras. Projektet pekar också på vikten av diversitet i alla led såsom leverantörer för drift, underhåll, kommunikation eller materialförsörjning.
Detta har blivit extra påtagligt under COVID19-krisen då det kan vara svårt att få ut personal eller få tag på utrustning från vissa länder som tillverkar vitala komponenter.
Förslaget innehåller även stöd för att i samma infrastruktur driva lokala och nationella nät skyddade av stark kryptering, exempelvis för myndigheter. Stor vikt läggs även på IPv6 som bärare vilket jag tycker är bra.
Delar av detta projekt är även ett resultat av Särimner som jag skrev tidigare om. Där man även såg att många stödtjänster hos operatörer var centraliserade, vilket detta projekt omhändertar.
Vidare arbete
Man föreslår ett samordningskansli, testmiljö samt pilotprojekt för att driva projektet vidare. En kommunikationsarkitektur kan med fördel förfinas genom ett kansli som bryter ner projektet i mindre delprojekt, är något som föreslås.
Dock hittar jag inget om hur finansieringen ska lösas framöver men Patrik Fältström från Netnod uppger att tanken är att dels kommer TU-Stiftelsen hålla dokumenten uppdaterade, dels hoppas man att olika organisationer ska driva vidare och implementera olika delar.
Mer läsning hittar man på TU-stiftelsens Github-repo:
Felix Wilhelm från Google Project Zero har identifierat tre sårbarheter i webbservern Apache. Apache är den nästa populära webbservern på internet efter Nginx.
Säkerhetsbuggarna är enligt följande:
important: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-9490)
moderate: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-11993)
Den allvarligaste av dessa tre och har allvarlighetsgrad important kan mitigeras genom att sätta H2Push off i konfigg-filen för Apache. Rekommenderat är även att uppgradera till version 2.4.44 av Apache som åtgärdar dessa brister.
Apache 2.4.46 has fixes for three vulnerabilities I reported (https://t.co/8yW2PIBv9G) The http2 push diary bug is the most interesting one: Depending on your distris mod_http2 version it is either a wild memmove or a controlled OOB write (https://t.co/JEQ6jwLTwO)
Följande lista är de mest sökta orden för att hamna på Kryptera.se:
anonymiseringstjänst
kryptering
gratis vpn
anonymiseringstjänster
free vpn
vpn tunnel gratis
anonine
yubikey
kryptera
avlyssna gsm
Inga kanske direkta överraskningar på denna lista men många verkar vara intresserade av att använda sig av gratis VPN-tjänster. Detta är troligtvis för att jag skrev ett inlägg för många år sedan (2013) om Tor Browser som gratis VPN.
Denna blogg är nu över 12 år gammal och första inlägget hittar du här som skrevs 2008-05-20.
FritzFrog är en ny typ av malware som är skrivet i programspråket Go och riktar sig mot servrar som exponerar SSH.
Den skadliga koden är modulärt uppbyggd och skriver inga filer till disk efter infektion. Det som kanske är mest intressant är att kommunikationen använder sig av ett helt egenutvecklat peer-to-peer protokoll.
Karta över infektioner från företaget Guardicore:
Vid infektion så startas en process vid namn ifconfig och nginx upp. Som lyssnar på TCP port 1234. Den skadliga koden är packad med UPX och efter att processerna startats upp så raderas filer på disk. För att undvika detektion på nätverket så tunnlas kommunikation över port 1234 via SSH. Denna kanal används även för P2P-protokollet som gör nyckelutbyte med hjälp av Diffie Hellman samt kryptering med AES.
Kommandon som kickas via P2P-protokollet:
Även så lägger den skadliga koden en publik nyckel till .ssh/authorized_keys för att ge möjlighet att ta sig in i systemet vid senare tillfälle.
På Github så finns det IOC:er samt kod för att detektera FritzFrog. En av syftet med den skadliga koden är att utvinna kryptovalutan Monero med hjälp av mjukvaran XMRig miner som ansluter mot web.xmrpool.eu över port 5555.
Antalet attacker från nätverket har ökat stadigt sedan början på året:
