Kom igång med DetectionLab

Om det finns något jag gillar så är det när det kommer verktyg som underlättar min vardag. Nuförtiden så kan jag inte leva utan Docker, Vagrant, Virtualbox och Burp Suite för att nämna några.

Detectionlab

Och jag gillar även att labba och testa och dagens tips som jag tänkte skriva om heter DetectionLab. Det är en miljö som är färdiguppsatt för dig som vill testa dina förmågor att upptäcka intrång eller utveckla olika Threat Hunting-koncept.

Miljön kommer installerad med följande mjukvaror:

Miljön kräver Virtualbox eller VMware Fusion/Workstation, Packer, Vagrant och minst 16GB ram samt minimum 55GB diskutrymme.

Observera att det kan ta lång tid att bygga miljön, åtskilliga timmar får du nog räkna med.

Här hittar du DetectionLab:

https://github.com/clong/DetectionLab

Du kan även bygga miljön hos Amazon med hjälp av Terraform, och då tar det runt 25 minuter. Se video:

Uppdatering 1:a Juni 2020 från DetectionLab på twitter:

USBFuzz identifierar 26 sårbarheter

Ett nytt fuzzningsverktyg vid namn USBFuzz som är utvecklat av två personer från från Purdue University samt Swiss Federal Institute of Technology Lausanne har identifierat 26 sårbarheter.

Alla dessa sårbarheter återfinnes i USB-stacken på Windows, macOS, Linux samt FreeBSD.

De system och versioner som testades med den egenutvecklade fuzzern var följande:

  • 9 senaste versionerna av Linux kerneln: v4.14.81, v4.15,v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2, och v4.20-rc2 (senaste versionen då tesstet kördes)
  • FreeBSD 12 (senaste release)
  • MacOS 10.15 Catalina (senaste release)
  • Windows (både version 8 och 10, med senaste säkerhetspatchar)

Resultatet blev en sårbarhet i FreeBSD, tre i macOS, fyra st i Windows samt 18 st i Linux.

Överblick av arkitekturen i USBfuzz:

Källkoden till USBFuzz kommer att släppas som öppen källkod på Github under följande URL: https://github.com/HexHive/USBFuzz

Intresserad av att fuzza USB? Kolla då även in syzkaller från Google.

Här kan du ladda hem pappret om USSBFuzz:

Sårbarheter i Citrix ShareFile

Citrix Sharefile

Flertalet sårbarheter har uppdagats i Citrix ShareFile. Dessa sårbarheter håller just nu på att rullas ut på samtliga on-prem installationer.

Produkten Citrix ShareFile är nämligen en produkt som möjliggör fildelning och installeras on-premise.

Vid inloggning dyker följande meddelande upp som uppmanar administratören att uppgradera:

De tre sårbarheterna som åtgärdas är:

  • CVE-2020-7473
  • CVE-2020-8982
  • CVE-2020-8983

Och de versioner av Citrix ShareFile som är sårbara är: 5.9.0 / 5.8.0 /5.7.0/ 5.6.0 / 5.5.0. En eller flera av dessa sårbarheter gör att en angripare kan stjäla filer från servern.

Två av ovan tre sårbarheter identifierades av Danske Bank Red-Team och här finnes mer information direkt från Citrix.

Test av Cobalt Strike

Cobalt Strike

För några månader sedan så införskaffade jag en licens till Cobalt Strike (CS). Jag tänkte dela med mig av mina erfarenheter om vad CS är och vad et kan användas till.

CS är ett kommersiellt bakdörrs-ramverk (C2 framework) som hjälper dig att kommunicera och utföra operationer. Du kan enkelt anpassa ramverket för att försvåra för antivirus-mjukvaror och liknande att upptäcka CS. Det finns även vissa likheter mellan Metasploits Meterpreter och CS, även om Metasploit är kompatibelt med CS.

CS består av tre olika komponenter kan man förenklat säga:

  • Teamserver – Serverdelen som sköter kommunikationen
  • Operatörsklient – Används för att erhålla ett grafiskt gränssnitt och ansluta mot serverdelen. Har chatt osv som gör klienten bra att använda vid Red Teaming-operationer där ni är många.
  • Implantat – Den payload som ska exekveras på målet och skicka beacons till teamserver. Finns som stage och stage-less.

Viktigt också är att veta vad CS inte är:

  • Hjälper dig inte att identifiera sårbarheter
  • Få exploits, enbart 2-3 stycken
  • Implantatet (C2-klienten) funkar enbart på Windows

Mina egna favoriter när det gäller CS är följande:

  • Malleable profiles – Möjliggör unik beacon-nätverkstrafik
  • Man in the browser – Gör att du kan använda webbläsaren som en proxy och använda autentiserade sessioner med smartcards exempelvis
  • Utbildning – Grundaren Raphael Mudge har lagt upp hundratals videos på YouTube för den som vill lära sig.
  • Artifact Kit – För dig som vill ändra implantatet så inte antivirus upptäcker din bakdörr.

För den som vill hålla sig uppdaterad med nya funktioner rekommenderar jag att följa den ändringslogg som återfinnes här: https://www.cobaltstrike.com/releasenotes.txt

Kostnaden för en licens ligger på 35000 SEK första året och sedan 25000 SEK efterkommande år.

Säkerhetspolisens årsbok 2019

Säkerhetspolisen

Säkerhetspolisen släppte nyligen sin årsbok för året 2019 och jag tänkte tolka cyber-relaterade bitar från årsboken.

Först och främst så får det nya cybersäkerhetscentret en hel del utrymme, och om du vill läsa mer om det rekommenderar jag följande blogginlägg.

Kina pekas ut och kinesiska underrättelsehotet omfattar nu även cyberspionage.

Locked Shields är en cyberövning där personal från Säpo medverkat. Den gick av stapeln 10–11 april 2019 och Sverige placerade sig på en tredje plats. Locked Shields anordnas av Natos cyberförsvarscenter, CCDCOE i Estland.

En bild som förevisar hur cyberspionage går till är med i årsboken. Inte så mycket nytt här:

Detta tyckte jag dock var intressant och värt att trycka lite extra på:

Cyberhotet riskerar att få allvarliga konsekvenser för samhällets funktionalitet. Den genomgripande digitaliseringen, att fler enheter kopplas upp mot internet samt fortsatt stora brister i it-säkerheten innebär att riskerna för störningar i samhällsviktiga verksamheter ökar. Även cyberangrepp som riktas mot mål i andra länder kan få allvarliga följdverkningar i Sverige. 

Speciellt det sista stycket är av intresse: Även cyberangrepp som riktas mot mål i andra länder kan få allvarliga följdverkningar i Sverige. Vad kan betyda är att vi har långa och komplexa leverantörskedjor där svenska organisationer kan vara underleverantörer till underleverantörer till ett mål.

Det kan också betyda att bakdörrar som placeras hos leverantörer av IT-utrustning eller mjukvara som är avsedda för ett annat mål också kan hamna hos svenska organisationer. Ett exempel på detta är Operation ShadowHammer där uppdateringar till ASUS-datorer innehöll en bakdörr.

Värt att nämna är att även 5G samt IoT (Internet of Things), AI (artificiell intelligens) också förekommer. Där Säpo ser dessa som exempel kring teknikutveckling och säkerhet för kommande åren.

Glöm inte heller att det behövs samråd med Säpo om en säkerhetskänslig verksamhet ska driftsätta ett system eller göra en väsentlig förändring i ett informationssystem som hanterar säkerhetsskyddsklassificerade uppgifter.

Det är viktigt att Säpo är med tidigt i processen för att kunna lämna vägledning i säkerhetsskyddsfrågor. Beroende på hur omfattande samrådet är genomförs flertalet dialoger.

Det slutliga yttrandet, som utgår från säkerhetsskyddsbedömningen, kommer att lämnas sent i processen när verksamheten är klar med alla tester som visar att alla säkerhetsskyddskrav är uppfyllda. Sedan när yttrandet från Säpo lämnas kan verksamheten fatta beslut om driftgodkännande. 

Även framgår det att myndigheten avser att intensifiera tillsynen inom säkerhetsskydd och där ingår bl.a. penetrationstester av it-system, där sårbarheter i systemen identifieras.

Årsboken slutar med att tre medarbetare presenteras där en av dessa är ”Alexander” som jobbat med IT-forensik.

Här kan du ladda hem årsboken i sin helhet:

VPN-bugg i Apple iOS

Gänget bakom ProtonVPN identifierade en intressant bug när det gäller VPN som etableras från Apples iOS-baserade enheter. Det är nämligen så att anslutningar som redan är etablerade innan VPN-kopplingen upprättas kvarstår. Det innebär att även om ny datatrafik går via VPN-kopplingen så kan gamla redan etablerade TCP-anslutningar ligga kvar i minuter eller flera timmar.

Ett sådant klassiskt känt exempel är Apples pushmeddelanden som nyttjar långlivade TCP-uppkopplingar.

Det finns i dagsläget två stycken workarounds, den ena går ut på att du ansluter till ditt VPN och sedan slår på flygplansläge och sedan slår av flygplansläge så har du dödat alla gamla anslutningar.

Den andar workarounden är att använda Always-on VPN, som tyvärr enbart går att slå på via MDM-profiler.

Och när vi ändå är inne på Apple iOS så tänkte jag passa på att slå ett slag för just Always-on VPN. Just för att det i dagsläget är svårt att undersöka intrång mot Apple iOS, men just Always-on VPN kan hjälp att identifiera intrångsförsök, intrång eller exfiltration. Genom att köra trafiken genom en punkt där ni har goda möjligheter att undersöka vad som går till och från Apple-telefonerna.

Nåväl, vi kan alltid hoppas att Apple EndpointSecurity Framework kommer till iOS i framtiden och inte enbart macOS.

Oklart hur dessa påverkar VPN-leverantörer såsom Mullvad och OVPN som baserar sin mobilkoppling på OpenVPN. Men troligtvis är dessa också sårbara eftersom OpenVPN Connect till iOS lägger till en VPN-profil i telefonen.

Vet du mer? Kommentera gärna nedan.

Identifiera cyberintrång med Moloch

Identifiera cyberintrång med Moloch

Uppdatering 2020-11-20: Moloch har nu bytt namn till Arkime. Läs mer om bakgrunden till namnbytet här.

Jag har haft på min todo-lista ända sedan det första släppet av Moloch som var år 2012 att jag ska testa verktyget. Moloch utvecklades innan 2012 internt hos AOL men släppte det sedan fritt för allmänheten. Dock så dröjde ända tills November 2019 innan jag fick bekanta mig mer med verktyget.

Moloch är ett verktyg som låter dig göra indexerade sökningar i stora mängder data. Säg exempelvis att du lagrar många hundra terabyte av PCAP-data och vill hitta vilka datorer på ditt nätverk som pratat med en viss IP-adress. Att göra en sådan sökning i mängder med PCAP:s kan ta otroligt lång tid. Du kan så klart använda Argus-metadata för att snabba upp sökningen men Moloch är mer användarvänligt samt avkodar information om varje protokoll också, som så klart också är sökbart.

Som backend använder Moloch sökmotorn Elasticsearch som är skriven i Java. Även så tillför Moloch ett snyggt webbgränssnitt och ett REST-API.

Förutom själva webb-gränssnittet så finns även mjukvaran moloch-capture med som antingen kan importera PCAP-filer offline eller läsa av data direkt från ett interface.

Du kan även enkelt tagga upp information från andra system såsom Maltrail eller Suricata och sedan se dessa taggar eller söka på taggarna i Moloch via API:et eller verktyget som följer med:

capture/plugins/taggerUpload.pl localhost:9200 ip iptagdata tag tag .. tag
capture/plugins/taggerUpload.pl localhost:9200 host hosttagdata tag ..
capture/plugins/taggerUpload.pl localhost:9200 md5 md5tagdata tag
capture/plugins/taggerUpload.pl localhost:9200 email emailtagdata tag
capture/plugins/taggerUpload.pl localhost:9200 uri uritagdata tag

Det jag gillar mest med Moloch är att den kan avkoda ett antal olika protokoll såsom DNS, SSH, HTTPS, HTTP, DHCP, radius, socks osv.

För att ge ett exempel på en av många Threat Hunting teser du kan köra:

Vilka unika HASSH klient fingerprint SSH finns det och vart ansluter dom?

Så steg ett är att exportera dessa, exempelvis genom att gå på SPI-vyn och sedan Export unique HASSH. Då öppnas en ny länk med följande tre HASSH-fingerprints:

Tre unika HASSH (bilden är maskad)

Sedan klickar jag på Sessions-fliken och kan söka på sessioner med någon av dessa unika HASSH-fingerprints:

Sökning på en unik hassh i Moloch, bilden är maskad.

Om du är observant så ser du även att det finns en flik som heter Hunt. Den kan användas för att göra klartext-sökningar med intervaller, tyvärr inte så användbar om du inte kör TLSI (TLS Inspection).

Du kan även lägga upp något som heter Cron-queries som körs vid intervaller som sedan skickar notifieringar via Slack, E-post eller Twilio.

Sammanfattning Moloch

Verktyget är gratis att använda och stödjer Er verksamhet i att analysera nätverkstrafik. Det är ingen hög inlärningströskel och kan snabba upp arbete som i dagsläget kanske är mindre effektivt.

Moloch kompletterar andra open-source verktyg såsom Zeek och Suricata mycket bra.

Även har Moloch möjlighet att exportera data som PCAP från sessioner, vilket gör det enklare också om du vill analysera en händelse ytterligare med exempelvis Wireshark.

Ny allvarlig sårbarhet i SMBv3

Uppdatering: Nu har Microsoft släppt information också. De skriver att du kan använda följande Powershell-oneliner för att stänga av SMBv3-komprimering tillsvidare:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force

Observera att ovan oneliner ej hjälper mot klient-attacker.

Uppdatering 2: Nu kan du skanna ditt nätverk med följande verktyg: https://github.com/ollypwn/SMBGhost sårbarheten har fått namnet SMBghost

Information har nyligen släppts angående en sårbarhet i Windows hantering av SMBv3-protokollet. Denna sårbarhet kan jämföras med EternalBlue som var mycket allvarlig, dock så var det sårbarhet i SMBv1. Efter malware såsom WannaCryNotPetya och BadRabbit så hoppas jag verkligen att SMB-kommunikation är begränsad i många nätverk.

Fortiguard som varit snabba att släppa information uppger att det är nedan operativsystem som är sårbara. Titeln på Fortguards sida är: ”MS.SMB.Server.Compression.Transform.Header.Memory.Corruption”

  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows Server, version 1903 (Server Core installation)
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows Server, version 1909 (Server Core installation)

Denna sårbarhet går under CVE-2020-0796 och enligt en cachad sida hos Cisco Talos så verkar det som om Cisco felaktigt trodde att Microsoft patchat denna under dagens patch-tisdag.

Följande sökning ligger kvar hos sökmotorn DuckDuckGo:

Enligt Niall Newman på Twitter så går det att stänga av stödet för komprimering i SMBv3 med följande registernyckel, dock otestat:

Bild

Så slutsatsen är att detta kan leda till en ny mask som sprids snabbt. Microsoft kan tvingas att släppa en patch i förtid och enligt ovan så kan det eventuellt gå att stänga av komprimering i SMBv3.

Hur många attacker stoppar en WAF?

Svar: Mellan 1 och 100% av alla attacker enligt en ny undersökning. Läs mer nedan.

Finska cybersäkerhetsföretaget Fraktal bestämde sig för att göra ett test för att se hur väl en Web Application Firewall (WAF) fungerar.

Det finns rätt många WAF-leverantörer på marknaden och Fraktal fokuserade enbart på Azure Waf Amazon Managed, AWS WAF Fortinet Managed, Azure Waf with CRS 3.1 samt Barracuda WAF-as-a-Service.

Jag kan säkert komma på minst 10 andra WAF-tjänster som ej är testade, vilket är lite tråkigt.

Testresultatet ser ut enligt följande:

Och detta resultat är rätt anmärkningsvärt. Främst för att vissa produkter enbart fångade upp 1-2% av attackerna samt andra konstigheter såsom:

  • AWS Managed WAF hanterar POST och GET olika. Följande anrop blockerades i GET men inte i POST: %2e%2e//etc/passwd
  • Barracuda blockerar om är det enda i ett anrop. Men inte anrop såsom eval(‘sleep 5’)

Slutsatsen från denna undersökning tycker jag bottna i att vi ej bör lita helt på en WAF utan att den enbart fångar mellan 1-100% beroende på vilken WAF som används.

En WAF kan fånga lågt hängande frukter och en angripare med någorlunda kunskap bör kunna ta sig förbi en WAF.

CRS står för Core Rule Set och kommer från OWASP. Azure WAF har som standard version 3.0 och den nyaste versionen är 3.1 som man själv kan slå på. Version 3.1 innehåller fixar för false positives, file upload regler, Java-attacker och mer.

Givetvis kan även OWASP Core Rule Set även användas med ModSecurity/NAXSI och webbservrar såsom Nginx och Apache.

FRA årsrapport 2019

Ett återkommande tema på denna blogg är att skriva några rader gällande den årsrapport som FRA publicerar. Årsrapporten för året 2019 släpptes igår Torsdag den 20:de.

Årsrapporten ger oss en inblick i en verksamhet som omfattas av mycket sekretess. Men först, på uppmaning av FRA: lös kryptot nedan.

KODSXTTUMEVSXENXTEÄOGSUXRKCR

KTFIEHIALÖGRXTPAREHIEXNXSENT

Årsrapporten inleds av ett förord av FRA:s nya generaldirektör Björn Lyrvall som varit på plats sedan några veckor tillbaka. Från tiden att Dag Hartelius avgick tills det att Björn var på plats så var Charlotta Gustafsson tillförordnad GD (och numera överdirektör).

Rapporten går även igenom nya initiativet Sommarlovön där 15 stycken gynmnasieungdomar fick testa på att hacka och försvara en fiktiv myndighet. Som hjälp hade eleverna experter från FRA:s avdelning för cyberverksamhet.

Samverkan är en viktig del och det nya säkerhetscentret nämns givetvis i rapporten också, även framhålls det att NCSC ofta framhålls som en väl fungerade enhet.

Cyberförsvarspodden och Tekniskt Detekterings- och Varningssystem (TDV) nämns också samt att fler verksamheter har fått systemet installerat. Jag har tidigare skrivit om TDV här på bloggen ett antal gånger.

Nygamla hot såsom gråzons-problematiken och icke-linjär krigföring (hybridhot) tas också upp.

Under förra året har det kommit ny lagstiftning som tydligt klargör att FRA:s underrättelserapporter inte får användas i en brottsutredning och i rättsskipning. Detta gör att FRA kan rapportera även under en pågående förundersökning.

Här nedan du ladda hem årsrapporten i sin helhet (PDF)