Nytt intressant malware: FritzFrog

👉 Stöd mitt bloggande via Patreon

FritzFrog Malware

FritzFrog är en ny typ av malware som är skrivet i programspråket Go och riktar sig mot servrar som exponerar SSH.

Den skadliga koden är modulärt uppbyggd och skriver inga filer till disk efter infektion. Det som kanske är mest intressant är att kommunikationen använder sig av ett helt egenutvecklat peer-to-peer protokoll.

Karta över infektioner från företaget Guardicore:

Vid infektion så startas en process vid namn ifconfig och nginx upp. Som lyssnar på TCP port 1234. Den skadliga koden är packad med UPX och efter att processerna startats upp så raderas filer på disk. För att undvika detektion på nätverket så tunnlas kommunikation över port 1234 via SSH. Denna kanal används även för P2P-protokollet som gör nyckelutbyte med hjälp av Diffie Hellman samt kryptering med AES.

Kommandon som kickas via P2P-protokollet:

Även så lägger den skadliga koden en publik nyckel till .ssh/authorized_keys för att ge möjlighet att ta sig in i systemet vid senare tillfälle.

Github så finns det IOC:er samt kod för att detektera FritzFrog. En av syftet med den skadliga koden är att utvinna kryptovalutan Monero med hjälp av mjukvaran XMRig miner som ansluter mot web.xmrpool.eu över port 5555.

Antalet attacker från nätverket har ökat stadigt sedan början på året:

Intresserad av botnets? Kolla in Guardicores Botnet Encyclopedia.

Nya attacker mot VPN med hjälp av vishing

VPN Vishing

Cyberangripare attackerar nu personal som nu jobbar hemma i allt större utstäckning. Med ett nytt modus operandi så ringer angriparen upp den anställde och förmår denne att logga in på en alternativ fiktiv webbsida för VPN-anslutningar.

👉 Stöd mitt bloggande via Patreon

Denna webbsida innehåller även funktion att lura till sig engångstokens för tvåfaktorsautentisering. Det var även på detta sätt som angripare lyckades göra intrång hos Twitter förra månaden.

Här är ett riktigt exempel på hur webbsidan helpdesk-att.com såg ut för några dagar sedan:

AT&T fiktiv VPN-portal inloggning. Bildcredd: urlscan.io

Denna typ av attack kallas för Vishing (voice phising) och har några år på nacken men att nu kombinera detta med attacker mot VPN som stjäl 2FA-tokens är det nya tillvägagångssättet.

Även kan denna attack kombineras med en annan attack som medger att spoofa numret till företagets växel så samtalet ser ut att komma från medarbetarens egna organisation.

Motåtgärder

Först och främst är utbildning en viktig faktor, även återkommande utbildningspass för medarbetare. När det gäller MFA/2FA så har angriparna ännu inte någon metod för att genomföra MITM på hårdvarunycklar såsom Yubikeys.

Och sist men inte minst så är det viktigt med spårbarhet och loggning och övervaka samtliga inloggningar och knyta dessa inloggningar vidare mot klientcertifikat och datorkonfiguration.

Kan även tipsa om svenska startupen Castle.io har en hel del intressanta metoder att hitta kapade konton.

Semester på bloggen

Som du kanske har märkt så händer det inte så mycket här på bloggen just nu. Bloggandet kommer igång igenom om några veckor igen.

Hoppas du får en skön och härlig sommar.

Jag på en SUP på Luleälven

Identifiera beacons (bakdörrstrafik) med RITA

Identifiera beacons (bakdörrstrafik) med RITA

Det amerikanska cybersäkerhetsföretaget Active Countermeasures har en intressant open-source produkt som heter RITA. RITA står för Real Intelligence Threat Analytics är ett verktyg för dig som vill genomföra Cyber Threat Hunting.

RITA läser in data från Zeek (fd Bro) och kan genomföra följande:

  • Beacon-detektion – Sök efter tecken på beaconing-beteende in och ut ur ditt nätverk.
  • DNS-tunnelavkänning – Sök efter tecken på DNS-baserade bakdörrskanaler
  • Kontroll mot svartlisor – Sök mot ett antal olika svartlistor/blocklists

Jag intresserar mig dock mest för beacon-detektion då detta finns inbyggt i flertalet kommersiella produkter såsom Cisco Encrypted Traffic Analytics  men få open-source produkter kan söka efter denna typ av nätverkstrafik.

Beacons används av bakdörrs-ramverk (C2 frameworks) såsom Cobalt Strike, Metasploit, Empire, SharpC2 och PoshC2 för att nämna några.

RITA är utvecklat i programspråket Go och kan installeras i SecurityOnion, Ubuntu 16.04, Ubuntu 18.04 eller CentOS 7 om du vill köra med det medföljande scriptet install.sh. Du kan även installera RITA på egen hand eller köra RITA under Docker.

Stöd gärna mitt bloggande via Patreon >

De beroenden som RITA har är förutom Zeek är också databasen MongoDB. Jag installerar RITA utan Zeek och MongoDB och editerar sedan konfigg-filen /etc/rita/config.yaml så att den pekar mot min fristående mongodb.

Observera att du ej kan köra RITA med det paket som följer med Ubuntu 16.04 eftersom det är 2.6.10. RITA behöver mongodb-version som är mellan 3.2.0 och 3.7.0.

Jag fick det att fungera genom att installera mongodb version 3.6.18.

Analysera PCAP efter bakdörrar

Nu när RITA är installerat så måste jag först köra zeek på de pcap-filer jag har sparat ner. Bäst fungerar det om du har en pcap-fil för varje dag, detta kan vara problematiskt om du har många filer men går att lösa med verktyg såsom mergecap.

Första steget är att läsa in ett dygns pcap-fil med zeek och skriva ut loggfilerna. Detta exempel gäller dagen 2020-06-05 och pcap-filen var på 33GB:

$ cd /data/pcap
$ mkdir -p zeek/2020-06-05
$ cd zeek/2020-06-05
$ zeek -Cr ../../trace_2020-06-05.pcap local

Ovan kommando tar cirka 15 minuter på min Raspberry Pi och sedan att importera detta via RITA mot mongodb tar ca 3 minuter:

Nu när vi har importerat mappen 2020-06-05 mot RITA-databasen vid namn 2020-06-05 så kan vi titta på analysen när det gäller beacons på följande sätt:

Observera att ovan bild är censurerad av mig. Men när jag tittar på source/dst-IP så ser jag att två översta går till 8.8.8.8 respektive 8.8.4.4 vilket är Googles DNS och troligtvis false-positive. Det som är intressant här är första kolumnen vid namn score och en score på 0.9 och över är mycket intressant. Kör jag metasploit och meterpreter så hamnar score på 0.987.

Och tittar vi på beacon-trafik från Cobalt Strike så ligger standard på sleeptime 30000 millisekunder och 20% jitter. Vilket motsvarar följande kommando från agressor-klienten:

Vill du läsa mer om den underliggande algoritmen så hittar du koden här:

Och en analys av RITA på Cobalt Strike som legat och kommunicerat en hel dag så blir analysen enligt följande:

RITA beacon Cobalt Strike

Rad 17 som är rödmarkerad är den trafik som tillhör Cobalt Strike, och får enbart en score på 0.829 samt hamnar på 16:de plats på topplistan. Resten är enbart falska positiva, dvs videostreaming, DNS-uppslag osv. Så kontentan är att det inte är helt trivialt att detektera Cobalt Strikes standardkonfigurering.

Gillade du detta blogginlägg? Hjälp mig att blogga mer genom att stödja mig via Patreon >

hashcat v6.0.0

Goda nyheter! En ny version av Hashcat finns nu ute, nämligen 6.0.0. Hashcat är ett verktyg likt John the Ripper som låter dig knäcka lösenord, eller mer korrekt: hashar.

Prestandan i denna nya version har fått sig en förbättring vilket du kan se i tabellen nedan eller via denna länk. Generella förbättringen ligger på 16%.


NVIDIA GTX 1080

Och med en Titan RTX GPU så ligger prestandan på 61 931 600 H/s för MD5. Andra nyheter är följande:

  • Backend Interface
  • Plugin Interface
  • CUDA Support. Gör det möjligt att köra Hashcat på många fler plattformar såsom NVIDIA Jetson och NVIDIA Xavier
  • Emulation Mode
  • Memory/Thread Management

Även så finns det stöd för 51 st nya algoritmer vilket gör att Hashcat nu stödjer totalt 320 st. Läs hela changelog här.

Alla 51 st nya algoritmer är:

  • AES Crypt (SHA256)
  • Android Backup
  • AuthMe sha256
  • BitLocker
  • BitShares v0.x
  • Blockchain, My Wallet, Second Password (SHA256)
  • Citrix NetScaler (SHA512)
  • DiskCryptor
  • Electrum Wallet (Salt-Type 3-5)
  • Huawei Router sha1(md5($pass).$salt)
  • Java Object hashCode()
  • Kerberos 5 Pre-Auth etype 17 (AES128-CTS-HMAC-SHA1-96)
  • Kerberos 5 Pre-Auth etype 18 (AES256-CTS-HMAC-SHA1-96)
  • Kerberos 5 TGS-REP etype 17 (AES128-CTS-HMAC-SHA1-96)
  • Kerberos 5 TGS-REP etype 18 (AES256-CTS-HMAC-SHA1-96)
  • MultiBit Classic .key (MD5)
  • MultiBit HD (scrypt)
  • MySQL $A$ (sha256crypt)
  • Open Document Format (ODF) 1.1 (SHA-1, Blowfish)
  • Open Document Format (ODF) 1.2 (SHA-256, AES)
  • Oracle Transportation Management (SHA256)
  • PKZIP archive encryption
  • PKZIP Master Key
  • Python passlib pbkdf2-sha1
  • Python passlib pbkdf2-sha256
  • Python passlib pbkdf2-sha512
  • QNX /etc/shadow (MD5)
  • QNX /etc/shadow (SHA256)
  • QNX /etc/shadow (SHA512)
  • RedHat 389-DS LDAP (PBKDF2-HMAC-SHA256)
  • Ruby on Rails Restful-Authentication
  • SecureZIP AES-128
  • SecureZIP AES-192
  • SecureZIP AES-256
  • SolarWinds Orion
  • Telegram Desktop App Passcode (PBKDF2-HMAC-SHA1)
  • Telegram Mobile App Passcode (SHA256)
  • Web2py pbkdf2-sha512
  • WPA-PBKDF2-PMKID+EAPOL
  • WPA-PMK-PMKID+EAPOL
  • md5($salt.sha1($salt.$pass))
  • md5(sha1($pass).md5($pass).sha1($pass))
  • md5(sha1($salt).md5($pass))
  • sha1(md5(md5($pass)))
  • sha1(md5($pass.$salt))
  • sha1(md5($pass).$salt)
  • sha1($salt1.$pass.$salt2)
  • sha256(md5($pass))
  • sha256($salt.$pass.$salt)
  • sha256(sha256_bin($pass))
  • sha256(sha256($pass).$salt)

Tor Browser 9.5

Senaste versionen av Tor Browser som släpptes för några veckor sedan stödjer nu en ny http-header, nämligen Onion-Location. Denna nya header berättar för webbläsaren om det finns en .onion domän tillgänglig.

Användaren får då ett val om att besöka den onion-domän som presenteras i headern och för användaren via webbläsaren. Några domäner som stödjer detta redan nu är torproject.org och propublica.org.

För att lägga till denna header i webbservern Nginx så lägger du bara till följande rad i konfigurationsfilen:

add_header Onion-Location http://<your-onion-address>.onion$request_uri;

Byt ut <your-onion-address> med din onion-adress.

Skärmdump på hur det kan se ut när en .onion finns tillgänlig:

Tor Browser 9.5 innehåller en hel del annat intressant. Bl.a. möjligheten att använda autentiserade klienter (client auth).

Även så indikerar ett antal ikoner status på anslutningen till onion-sajten du besöker på följande sätt:

Sveriges mot­stånds­kraft mot cyberhot

Igår släpptes två nya rapporter från FRA, Försvarsmakten, MSB, Polismyndigheten och Säkerhetspolisen. Dessa rapporter finns bifogade nedan och heter:

  • Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden
  • Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder

Jag har läst båda rapporterna och de ger en allmän och övergripande bild över cybersäkerhetsläget. Det framgår också i rapporten att den är just avsiktligt generaliserad samt riktar sig till samtliga offentliga som privata verksamheter. För oss som är djupt nere i träsket så tycker jag att rapporten är lite väl för generell, dock så bör du läsa rapporten med rekommenderade säkerhetsåtgärder.

Rapporten tar upp problem som kan uppstå till följd av utkontraktering och kompetensbrist. Men även beskriver de olika aktörerna som utför cyberattacker såsom statsunderstödda grupperingar, kriminella aktörer och ideologiskt motiverade.

Även tas olika initiala attacker upp såsom vattenhålsangrepp, angrepp mot exponerade tjänster, lösenordsattacker, spearphishing och phishing.

Rapporterna innehåller också ett antal felaktigheter och konstiga antaganden som verkar representera enskilda individers tyckande. Men att producera rapporter hjälper inte Sveriges motståndskraft mot cyberhot. Det viktiga är att cybercentret når en operativ effekt skyndsamt.

Ett modus som rapporten tar upp och viktigt att tänka på är att mer och mer attacker sker mot privatpersoner med viktiga befattningar. Syftet kan vara att hitta information för utpressning eller ta sig vidare in på en organisations system:

Angrepp sker även direkt mot individers personliga it-utrustning.

Det finns också givetvis många organisationer som bör läsa under rubrikerna rekommenderat arbetssätt som återfinnes under samtliga 9 rekommendationer.

Rapporten Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden kan du ladda hem här:

Rapporten Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder kan du ladda hem här:

Kom igång med DetectionLab

Om det finns något jag gillar så är det när det kommer verktyg som underlättar min vardag. Nuförtiden så kan jag inte leva utan Docker, Vagrant, Virtualbox och Burp Suite för att nämna några.

Detectionlab

Och jag gillar även att labba och testa och dagens tips som jag tänkte skriva om heter DetectionLab. Det är en miljö som är färdiguppsatt för dig som vill testa dina förmågor att upptäcka intrång eller utveckla olika Threat Hunting-koncept.

Miljön kommer installerad med följande mjukvaror:

Miljön kräver Virtualbox eller VMware Fusion/Workstation, Packer, Vagrant och minst 16GB ram samt minimum 55GB diskutrymme.

Observera att det kan ta lång tid att bygga miljön, åtskilliga timmar får du nog räkna med.

Här hittar du DetectionLab:

https://github.com/clong/DetectionLab

Du kan även bygga miljön hos Amazon med hjälp av Terraform, och då tar det runt 25 minuter. Se video:

Uppdatering 1:a Juni 2020 från DetectionLab på twitter:

USBFuzz identifierar 26 sårbarheter

Ett nytt fuzzningsverktyg vid namn USBFuzz som är utvecklat av två personer från från Purdue University samt Swiss Federal Institute of Technology Lausanne har identifierat 26 sårbarheter.

Alla dessa sårbarheter återfinnes i USB-stacken på Windows, macOS, Linux samt FreeBSD.

De system och versioner som testades med den egenutvecklade fuzzern var följande:

  • 9 senaste versionerna av Linux kerneln: v4.14.81, v4.15,v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2, och v4.20-rc2 (senaste versionen då tesstet kördes)
  • FreeBSD 12 (senaste release)
  • MacOS 10.15 Catalina (senaste release)
  • Windows (både version 8 och 10, med senaste säkerhetspatchar)

Resultatet blev en sårbarhet i FreeBSD, tre i macOS, fyra st i Windows samt 18 st i Linux.

Överblick av arkitekturen i USBfuzz:

Källkoden till USBFuzz kommer att släppas som öppen källkod på Github under följande URL: https://github.com/HexHive/USBFuzz

Intresserad av att fuzza USB? Kolla då även in syzkaller från Google.

Här kan du ladda hem pappret om USSBFuzz:

Sårbarheter i Citrix ShareFile

Citrix Sharefile

Flertalet sårbarheter har uppdagats i Citrix ShareFile. Dessa sårbarheter håller just nu på att rullas ut på samtliga on-prem installationer.

Produkten Citrix ShareFile är nämligen en produkt som möjliggör fildelning och installeras on-premise.

Vid inloggning dyker följande meddelande upp som uppmanar administratören att uppgradera:

De tre sårbarheterna som åtgärdas är:

  • CVE-2020-7473
  • CVE-2020-8982
  • CVE-2020-8983

Och de versioner av Citrix ShareFile som är sårbara är: 5.9.0 / 5.8.0 /5.7.0/ 5.6.0 / 5.5.0. En eller flera av dessa sårbarheter gör att en angripare kan stjäla filer från servern.

Två av ovan tre sårbarheter identifierades av Danske Bank Red-Team och här finnes mer information direkt från Citrix.