Cyberangripare attackerar nu personal som nu jobbar hemma i allt större utstäckning. Med ett nytt modus operandi så ringer angriparen upp den anställde och förmår denne att logga in på en alternativ fiktiv webbsida för VPN-anslutningar.
Denna webbsida innehåller även funktion att lura till sig engångstokens för tvåfaktorsautentisering. Det var även på detta sätt som angripare lyckades göra intrång hos Twitter förra månaden.
Här är ett riktigt exempel på hur webbsidan helpdesk-att.com såg ut för några dagar sedan:
Denna typ av attack kallas för Vishing (voice phising) och har några år på nacken men att nu kombinera detta med attacker mot VPN som stjäl 2FA-tokens är det nya tillvägagångssättet.
Även kan denna attack kombineras med en annan attack som medger att spoofa numret till företagets växel så samtalet ser ut att komma från medarbetarens egna organisation.
Motåtgärder
Först och främst är utbildning en viktig faktor, även återkommande utbildningspass för medarbetare. När det gäller MFA/2FA så har angriparna ännu inte någon metod för att genomföra MITM på hårdvarunycklar såsom Yubikeys.
Och sist men inte minst så är det viktigt med spårbarhet och loggning och övervaka samtliga inloggningar och knyta dessa inloggningar vidare mot klientcertifikat och datorkonfiguration.
Kan även tipsa om svenska startupen Castle.io har en hel del intressanta metoder att hitta kapade konton.
Det amerikanska cybersäkerhetsföretaget Active Countermeasures har en intressant open-source produkt som heter RITA. RITA står för Real Intelligence Threat Analytics är ett verktyg för dig som vill genomföra Cyber Threat Hunting.
RITA läser in data från Zeek (fd Bro) och kan genomföra följande:
Beacon-detektion – Sök efter tecken på beaconing-beteende in och ut ur ditt nätverk.
DNS-tunnelavkänning – Sök efter tecken på DNS-baserade bakdörrskanaler
Kontroll mot svartlisor – Sök mot ett antal olika svartlistor/blocklists
Jag intresserar mig dock mest för beacon-detektion då detta finns inbyggt i flertalet kommersiella produkter såsom Cisco Encrypted Traffic Analytics men få open-source produkter kan söka efter denna typ av nätverkstrafik.
Beacons används av bakdörrs-ramverk (C2 frameworks) såsom Cobalt Strike, Metasploit, Empire, SharpC2 och PoshC2 för att nämna några.
RITA är utvecklat i programspråket Go och kan installeras i SecurityOnion, Ubuntu 16.04, Ubuntu 18.04 eller CentOS 7 om du vill köra med det medföljande scriptet install.sh. Du kan även installera RITA på egen hand eller köra RITA under Docker.
De beroenden som RITA har är förutom Zeek är också databasen MongoDB. Jag installerar RITA utan Zeek och MongoDB och editerar sedan konfigg-filen /etc/rita/config.yaml så att den pekar mot min fristående mongodb.
Observera att du ej kan köra RITA med det paket som följer med Ubuntu 16.04 eftersom det är 2.6.10. RITA behöver mongodb-version som är mellan 3.2.0 och 3.7.0.
Jag fick det att fungera genom att installera mongodb version 3.6.18.
Analysera PCAP efter bakdörrar
Nu när RITA är installerat så måste jag först köra zeek på de pcap-filer jag har sparat ner. Bäst fungerar det om du har en pcap-fil för varje dag, detta kan vara problematiskt om du har många filer men går att lösa med verktyg såsom mergecap.
Första steget är att läsa in ett dygns pcap-fil med zeek och skriva ut loggfilerna. Detta exempel gäller dagen 2020-06-05 och pcap-filen var på 33GB:
$ cd /data/pcap
$ mkdir -p zeek/2020-06-05
$ cd zeek/2020-06-05
$ zeek -Cr ../../trace_2020-06-05.pcap local
Ovan kommando tar cirka 15 minuter på min Raspberry Pi och sedan att importera detta via RITA mot mongodb tar ca 3 minuter:
Nu när vi har importerat mappen 2020-06-05 mot RITA-databasen vid namn 2020-06-05 så kan vi titta på analysen när det gäller beacons på följande sätt:
Observera att ovan bild är censurerad av mig. Men när jag tittar på source/dst-IP så ser jag att två översta går till 8.8.8.8 respektive 8.8.4.4 vilket är Googles DNS och troligtvis false-positive. Det som är intressant här är första kolumnen vid namn score och en score på 0.9 och över är mycket intressant. Kör jag metasploit och meterpreter så hamnar score på 0.987.
Och tittar vi på beacon-trafik från Cobalt Strike så ligger standard på sleeptime 30000 millisekunder och 20% jitter. Vilket motsvarar följande kommando från agressor-klienten:
Vill du läsa mer om den underliggande algoritmen så hittar du koden här:
Och en analys av RITA på Cobalt Strike som legat och kommunicerat en hel dag så blir analysen enligt följande:
Rad 17 som är rödmarkerad är den trafik som tillhör Cobalt Strike, och får enbart en score på 0.829 samt hamnar på 16:de plats på topplistan. Resten är enbart falska positiva, dvs videostreaming, DNS-uppslag osv. Så kontentan är att det inte är helt trivialt att detektera Cobalt Strikes standardkonfigurering.
Gillade du detta blogginlägg? Hjälp mig att blogga mer genom att stödja mig via Patreon >
Goda nyheter! En ny version av Hashcat finns nu ute, nämligen 6.0.0. Hashcat är ett verktyg likt John the Ripper som låter dig knäcka lösenord, eller mer korrekt: hashar.
Prestandan i denna nya version har fått sig en förbättring vilket du kan se i tabellen nedan eller via denna länk. Generella förbättringen ligger på 16%.
NVIDIA GTX 1080
Och med en Titan RTX GPU så ligger prestandan på 61 931 600 H/s för MD5. Andra nyheter är följande:
Backend Interface
Plugin Interface
CUDA Support. Gör det möjligt att köra Hashcat på många fler plattformar såsom NVIDIA Jetson och NVIDIA Xavier
Emulation Mode
Memory/Thread Management
Även så finns det stöd för 51 st nya algoritmer vilket gör att Hashcat nu stödjer totalt 320 st. Läs hela changelog här.
Senaste versionen av Tor Browser som släpptes för några veckor sedan stödjer nu en ny http-header, nämligen Onion-Location. Denna nya header berättar för webbläsaren om det finns en .onion domän tillgänglig.
Användaren får då ett val om att besöka den onion-domän som presenteras i headern och för användaren via webbläsaren. Några domäner som stödjer detta redan nu är torproject.org och propublica.org.
För att lägga till denna header i webbservern Nginx så lägger du bara till följande rad i konfigurationsfilen:
Igår släpptes två nya rapporter från FRA, Försvarsmakten, MSB, Polismyndigheten och Säkerhetspolisen. Dessa rapporter finns bifogade nedan och heter:
Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden
Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder
Jag har läst båda rapporterna och de ger en allmän och övergripande bild över cybersäkerhetsläget. Det framgår också i rapporten att den är just avsiktligt generaliserad samt riktar sig till samtliga offentliga som privata verksamheter. För oss som är djupt nere i träsket så tycker jag att rapporten är lite väl för generell, dock så bör du läsa rapporten med rekommenderade säkerhetsåtgärder.
Rapporten tar upp problem som kan uppstå till följd av utkontraktering och kompetensbrist. Men även beskriver de olika aktörerna som utför cyberattacker såsom statsunderstödda grupperingar, kriminella aktörer och ideologiskt motiverade.
Även tas olika initiala attacker upp såsom vattenhålsangrepp, angrepp mot exponerade tjänster, lösenordsattacker, spearphishing och phishing.
Rapporterna innehåller också ett antal felaktigheter och konstiga antaganden som verkar representera enskilda individers tyckande. Men att producera rapporter hjälper inte Sveriges motståndskraft mot cyberhot. Det viktiga är att cybercentret når en operativ effekt skyndsamt.
Ett modus som rapporten tar upp och viktigt att tänka på är att mer och mer attacker sker mot privatpersoner med viktiga befattningar. Syftet kan vara att hitta information för utpressning eller ta sig vidare in på en organisations system:
Angrepp sker även direkt mot individers personliga it-utrustning.
Det finns också givetvis många organisationer som bör läsa under rubrikerna rekommenderat arbetssätt som återfinnes under samtliga 9 rekommendationer.
Rapporten Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden kan du ladda hem här:
Rapporten Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder kan du ladda hem här:
Om det finns något jag gillar så är det när det kommer verktyg som underlättar min vardag. Nuförtiden så kan jag inte leva utan Docker, Vagrant, Virtualbox och Burp Suite för att nämna några.
Och jag gillar även att labba och testa och dagens tips som jag tänkte skriva om heter DetectionLab. Det är en miljö som är färdiguppsatt för dig som vill testa dina förmågor att upptäcka intrång eller utveckla olika Threat Hunting-koncept.
Ett nytt fuzzningsverktyg vid namn USBFuzz som är utvecklat av två personer från från Purdue University samt Swiss Federal Institute of Technology Lausanne har identifierat 26 sårbarheter.
Alla dessa sårbarheter återfinnes i USB-stacken på Windows, macOS, Linux samt FreeBSD.
De system och versioner som testades med den egenutvecklade fuzzern var följande:
9 senaste versionerna av Linux kerneln: v4.14.81, v4.15,v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2, och v4.20-rc2 (senaste versionen då tesstet kördes)
FreeBSD 12 (senaste release)
MacOS 10.15 Catalina (senaste release)
Windows (både version 8 och 10, med senaste säkerhetspatchar)
Resultatet blev en sårbarhet i FreeBSD, tre i macOS, fyra st i Windows samt 18 st i Linux.
Flertalet sårbarheter har uppdagats i Citrix ShareFile. Dessa sårbarheter håller just nu på att rullas ut på samtliga on-prem installationer.
Produkten Citrix ShareFile är nämligen en produkt som möjliggör fildelning och installeras on-premise.
Vid inloggning dyker följande meddelande upp som uppmanar administratören att uppgradera:
De tre sårbarheterna som åtgärdas är:
CVE-2020-7473
CVE-2020-8982
CVE-2020-8983
Och de versioner av Citrix ShareFile som är sårbara är: 5.9.0 / 5.8.0 /5.7.0/ 5.6.0 / 5.5.0. En eller flera av dessa sårbarheter gör att en angripare kan stjäla filer från servern.
Två av ovan tre sårbarheter identifierades av Danske Bank Red-Team och här finnes mer information direkt från Citrix.
För några månader sedan så införskaffade jag en licens till Cobalt Strike (CS). Jag tänkte dela med mig av mina erfarenheter om vad CS är och vad et kan användas till.
CS är ett kommersiellt bakdörrs-ramverk (C2 framework) som hjälper dig att kommunicera och utföra operationer. Du kan enkelt anpassa ramverket för att försvåra för antivirus-mjukvaror och liknande att upptäcka CS. Det finns även vissa likheter mellan Metasploits Meterpreter och CS, även om Metasploit är kompatibelt med CS.
CS består av tre olika komponenter kan man förenklat säga:
Teamserver – Serverdelen som sköter kommunikationen
Operatörsklient – Används för att erhålla ett grafiskt gränssnitt och ansluta mot serverdelen. Har chatt osv som gör klienten bra att använda vid Red Teaming-operationer där ni är många.
Implantat – Den payload som ska exekveras på målet och skicka beacons till teamserver. Finns som stage och stage-less.
Viktigt också är att veta vad CS inte är:
Hjälper dig inte att identifiera sårbarheter
Få exploits, enbart 2-3 stycken
Implantatet (C2-klienten) funkar enbart på Windows
Mina egna favoriter när det gäller CS är följande:
