Ny tjänst från Google: VirusTotal Monitor

VirusTotal som ägs av Google sedan några år är en bra tjänst för den som vill kontrollera om filer innehåller skadlig kod. Mer än 70 st olika antivirus-motorer söker igenom den fil som du laddar upp till VirusTotal.

Stöd Kryptera.se via Patreon >

Men ett problem för de som utvecklar mjukvara eller operativsystem är att ibland så blir deras filer felaktigt flaggade som skadlig kod. Så därför har VirusTotal släppt en ny tjänst vid namn Monitor som låter mjukvaruutvecklare att ladda upp filer som de utvecklat.

Det finns flertalet fördelar med detta, dels så får utvecklaren och antivirus-leverantören larm om någon av dessa filer ger utslag vid genomsökning. Dels kan jag få en verifikation att filen jag laddade upp ingår eller är en känd mjukvara.

Tidigare har även VirusTotal delat med sig av alla filer som laddats upp men nu kommer dessa filer som laddas upp inom Monitor enbart delas till AV-leverantörer om de flaggas med skadlig kod.

För de utvecklare som har en utvecklingspipeline så finns det även möjlighet att ladda upp filer via ett REST API.

Exempel på hur det kan se ut om du laddar upp en fil till VirusTotal som matchar mjukvara från HP:

Skärmdump från VirusTotal Monitor:

Bakdörrar identifierade på Docker Hub

Ett antal avbilder som återfinnes på populära Docker Hub innehåller bakdörrar. Dessa avbilder med bakdörrar har laddats hem mer än 90000 gånger.  Kontot som laddat upp dessa bakdörrar har namnet docker123321 och bakdörren utnyttjar användarens kapacitet för kryptovaluta-mining.

Det är totalt 14 stycken olika avbilder (images) som innehåller den skadliga koden rapporterar Kromtech Security Center. Totalt har 544.74 Moneros beräknats vilket motsvarar en vinst på ca 791 000 SEK.

Plånboken som tar emot Moneros är:

41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo

Och här är en skärmdump från Github gällande en av bakdörrarna som jack0 upptäckte och rapporterade till Docker:

Exempel på någon som upptäckt att en brandväggs-image innehöll miner den 7:de Augusti 2017:

https://twitter.com/jperras/status/894561761252319232

Jag tror tyvärr att detta är en trend som kommer att öka. I takt med allt fler marknadsplatser såsom Docker Hub och Google Web Store så kommer även antagonisterna att utnyttja detta faktum. För tyvärr är det inte lätt att rapportera skadlig kod och de automatiska testerna som genomförs på sådant som laddas upp är bristfälliga.

Intressant att notera är även att Kromtech står bakom den kontroversiella mjukvaran MacKeeper.

Viktigt: Det vore mycket trevligt om du stödjer Kryptera.se via Patreon >

Twitterstorm mot Yubico

Uppdatering: Markus har nu skrivit ett blogginlägg om händelsen. Tipstack till John

Uppdatering 2: Yubico har gjort en pudel och uppdaterat sin blogg.

En twitter-storm har uppstått på grund av att Yubico hävdas ha kopierat forskning som presenterats under konferensen Offensive Con av Markus Vervier samt antisnatchor.

Forskningen som presenterades under konferensen påvisar en eller flera svagheter i WebUSB som används av bl.a. 2FA nycklar såsom Yubikeys. Chrome stödjer WebUSB och delade ut en belöning på $5000 till Yubico som i sin tur donerade pengarna till Girls Who Code, här kan du hitta Yubicos advisory ”WebUSB Bypass of U2F Phishing Protection”.

Yubico hävdar dock att det säkerhetsproblem som upptäcktes av dem var mycket större än det som presenterades av Markus och antisnatchor:

Our own researchers quickly discovered there was a broader set of security concerns within WebUSB that affected the entire ecosystem of FIDO U2F authenticators

En av många twitterinlägg från upprörda personer:

Den som vill se presentationen från Offensive Con så finns den här:

MSB släpper tre faktablad om IoT-säkerhet

Myndigheten för samhällsskydd och beredskap (MSB) har släppt tre stycken faktablad gällande säkerhet inom Internet of Things-området (IoT).

Stöd Kryptera.se ekonomiskt via Patreon!

Faktabladen är uppdelade på följande områden:

Jag brukar inte vara så kinkig när det gäller stavfel (hehe) men kan undra om någon korrekturläst dessa publikationer: DDOSattacker, kristiska, ”exempelvis seom en del i ett botnet”. I övrigt tycker jag det är bra tips men ställer mig frågande till att myndigheter skulle verka för cyberförsäkringar:

”Verka för olika typer av negativa eller positiva ekonomiska incitament såsom skadeståndsansvar, cyberförsäkringar och frivillig certifiering.”

Åke Holmgren, tillförordnad avdelningschef för cybersäkerhet och skydd av samhällsviktig verksamhet vid MSB säger:

MSB behöver i nära samarbete med offentliga och privata aktörer öka våra ansträngningar inom området. Det är väldigt tydligt att IoT-relaterade risker inte kan lösas av en enskild aktör. En central del för att lyckas är det systematiska informationssäkerhetsarbetet både för information och system med högt skyddsvärde

Och skulle du vara mer intresserad av IoT-säkerhet så håller MSB ett seminarium den 21:a Juni på Fleminggatan 14. Mer info hittar du här, men snabba på. För det finns bara 6 st platser kvar.

Apple inför USB Restricted Mode på iOS-enheter

Apple kommer snart att genomföra en intressant säkerhetshöjande åtgärd. Denna nya åtgärd kallas för USB Restricted Mode och innebär att ingen datakommunikation tillåts via lightning-kontakten om kontakten inte varit upplåst inom 7 dagar. Med upplåst menas att en PIN-kod skrivits in på iPhonen eller iPaden. Att ladda mobiltelefonen kommer fortfarande att fungera.

Stöd Kryptera.se via Patreon. Från 1$/månad ➜ 

De som körde 11.3 beta av iOS hade denna funktion och därför antogs det att den skulle komma i iOS version 11.4 som släpptes förra veckan, men så blev det inte. Istället kommer funktionen att komma i 11.4.1 som är nästa version (oklart när denna släpps?).

Anledningen till att denna funktion kommer att införas är för att försvåra för forensiska verktyg som säljs av företag såsom Cellebrite och GrayShift. När Elcomsoft genomförde tester så gick det inte att utläsa något via lightning-anslutningen så fort USB Restricted Mode blev aktivt.

Givetvis finns det sätt att ta sig förbi även detta. Såsom att du kan återansluta mobiltelefonen till en betrodd enhet om och om igen och då få längre tid på dig att försöka ta dig in i telefonen.

Skärmdump som visar på USB-låst iPhone:

Inställning som indikerar på att det även går att förkorta tiden ner till 1h, se inställningen längst ner:

Snart går Google CTF av stapeln

Den 23:de Juni är det dags för andra året av Googles egna säkerhetsinriktade Capture the Flag-tävling (CTF). Förra året var det första och då vann ett lag från Israel vid namn pasten:

Årets tävling börjar den 23:de Juni och körs live via Internet. Det finns möjlighet till grymma priser såsom checkar och swag.

Förra årets högsta pris var en check på 13337$ vilket är cirka 116000 SEK.

Nytt för detta år är att det kommer att finnas en övning även för nybörjare som kommer att likna en riktig miljö där målet är att genomföra ett penetrationstest.

För den som vill vara med besök: capturetheflag.withgoogle.com

Det finns också ett antal intressanta Write-Ups från förra året att läsa här:

https://drive.google.com/drive/folders/0BwMPuUHZOj0nZ2dGZS1KbWNGN0E

Sårbarheter i DASAN GPON utnyttjas på internet

SANS Internet Storm Center har observerat att försök för att utnyttja DASAN GPON-routrar förekommer på internet. Det är specifikt sårbarheterna CVE2018-10561 samt CVE2018-10562 som utnyttjas. Där den första av dessa två ger en obehörig användare möjlighet att exekvera kommandon på routern.

Följande bild illustrerar försöken till att utnyttja sårbarheterna:

Bildcredd: ISC

VPNMentor har mer information om denna sårbarhet som berör över en miljon hemmaroutrar.

 

Ny intressant sårbarhet i Redhat Linux

En säkerhetsforskare på Google har identifierat en sårbarhet i operativsystemet Redhat Linux och dess derivat såsom Fedora. Sårbarheten återfinnes i DHCP-hanteringen och gör det möjligt för en angripare på samma nätverk att exekvera kod (RCE).

Så här skriver Redhat i det varningsmeddelande som publicerats:

”A malicious DHCP server, or an attacker on the local network able to spoof DHCP responses, could use this flaw to execute arbitrary commands with root privileges on systems using NetworkManager and configured to obtain network configuration using the DHCP protocol.”

Sårbarheten med CVE-2018-1111 är så enkel att utnyttja att den får plats i en tweet:

Och det är klart att det blir problem, för tittar man närmare på den kod som hanterar DHCP-parsningen i ett shellscript via NetworkManager:

Threat Hunting med Bro, Critical Stack och AlienVault OTX

Threat Hunting eller Cyber Threat Hunting som det också kallas har varit ett modeord inom cybersäkerhetsbranschen sedan några år. Och förra året så skrev jag på LinkedIn om vad det är för något. Kort och gått så jobbar du efter en eller flera teser och försöker identifiera antagonister i dina IT-system.

I denna guide tänkte jag gå igenom hur du med hjälp av Bro samt threat-feeds från Critical Stack samt AlienVaults OTX.

AlienVault OTX

Open Threat Exchange (OTX) är en tjänst där du kan dela med dig av Indicators of Compromise (IOC). Jag har exempelvis lagt upp IOC:er för domännamn som anropas från en bakdörr som återfinnes i ett Chrome Extension. Tjänsten är gratis att använda och har ett API där du kan med hjälp av en API-nyckel ladda hem IOC:er som andra eller du själv har lagt upp.

Critical Stack

Intel Feed från företaget Critical Stack är också en gratis tjänst där du kan ladda hem en aggregerad lista med IOC:er. Denna lista som du ladda hem innehåller flertalet andra listor som du själv väljer. Och upp till 160 olika listor finns att välja på hos Critical Stack. Jag har valt 155 st där jag aktivt har valt bort fem stycken listor som ger false-positive larm:

  • hosts-file.net Ad/Tracking Domains
  • sysctl.org Domain Blocklist (Ads)
  • Known Tor Exit Nodes
  • hosts-file.net Misleading Marketing Domains
  • torproject.org Official Exit Node List

Installation

Denna guide förutsätter att du redan har open-source IDS:en Bro installerat. Du kan exempelvis använda min favorit, Linux-disten Security Onion där Bro finns färdiginstallerat.

Jag har inför denna guide sparat ner PCAP-filer för ungefär ett års datatrafik där jag kommer att gå igenom samtliga filer efter indikatorer från listorna ovan. Men du behöver inte köra mot nersparade pcap-filer, för listorna går även att köra direkt mot realtidstrafik i Bro.

Installation Critial Stack

Du kan antingen köra den mer osäkra vägen via Packagecloud eller installera deb-paktet:

curl https://packagecloud.io/install/repositories/criticalstack/critical-stack-intel/script.deb.sh | sudo bash

Eller:

wget https://intel.criticalstack.com/client/critical-stack-intel-arm.deb
sudo dpkg -i critical-stack-intel-arm.deb

Sedan måste du skapa ett konto på Criticalstack för i nästa steg ska du skriva in din API-nyckel (key)

sudo -u critical-stack critical-stack-intel api abc-123API-nyckel

Nedan skärmdump påvisar förfarandet då jag laddar hem den aggregerade listan och skriver samtliga IOC:er till filen master-public.bro.dat

För att sedan uppdatera löpande så kan du lägga ett cron-jobb för att uppdatera eller manuellt köra:

sudo -u critical-stack critical-stack-intel pull

Vi kan sedan verifiera hur många IOC:er vi fick hem genom att kontrollera antalet rader i

$ wc -l /opt/critical-stack/frameworks/intel/master-public.bro.dat
81442 /opt/critical-stack/frameworks/intel/master-public.bro.dat

Och indikatorerna är uppdelade på följande typer:

  • 42815 st Intel::DOMAIN
  • 37097 st Intel::ADDR
  • 1043 st Intel::FILE_HASH
  • 477 st Intel::URL
  • 4 st Intel::FILE_NAME
  • 1 st Intel::EMAIL

För mer information om Bro:s Intelligence Framework kan du läsa här.

Installation Alienvault OTX

Först registrerar du dig för ett gratis-konto och får sedan tillgång till en API-nyckel. Sedan klonar vi ner ett projekt från Github som heter Alienvault OTX Bro IDS Connector. Viktigt här är att vi klonar ner projektet till rätt katalog.

Eller så kör vi detta script som automatiserar förfarandet:

wget https://raw.githubusercontent.com/weslambert/securityonion-otx/master/securityonion-otx

sudo bash securityonion-otx

Om allt går vägen så laddas IOC:erna hem till filen otx.dat och vi kan kontrollera antalet rader:

securityonion$ wc -l /opt/bro/share/bro/policy/bro-otx/otx.dat
 39015 /opt/bro/share/bro/policy/bro-otx/otx.dat

Och kollar vi på uppdelningen gällande vilka typer så skiljer det sig något mot Critical Stacks indikatorer:

  • 17354 st Intel::DOMAIN
  • 15018 st Intel::FILE_HASH
  • 5969 st Intel::URL
  • 594 st Intel::ADDR
  • 75 st Intel::EMAIL

Analysera PCAP-filerna

Nu är det bara sista steget kvar och det är att köra bro direkt mot pcap-filerna. Jag brukar göra ett enkelt shellscript på 4-5 rader som loopar igenom alla sparade pcap-filer och skapar en ny katalog för varje dag (om du lagrar en fil per dag).

En av fördelarna med att köra Bro istället för att enbart titta på käll- och destinations- IP-nummer är att Bro avkodar och tittar i protokoll. Såsom om certifikatet i en TLS-förbindelse har ett CN (CommonName) som matchar en IOC.

Jag kör Bro med följande argument:

time bro -r filnamn.pcap local "Site::local_nets += {10.0.0.0/8}"

Jag hoppas att denna guide kan hjälpa dig att identifiera intrång. Du kommer troligtvis även att behöva filtrera bort en hel del falska positiva larm.

Sårbarhet identifierad i hantering av PGP/GPG och S/MIME

Uppdatering: Sajten efail.de är uppe och har mer information om sårbarheterna. PDF finns länkad här.

En grupp med säkerhetsforskare har gått ut med en förhandsvarning gällande en eller flera sårbarheter som kommer att släppas imorgon den 15:de Maj 2018. Det gäller främst följande mjukvaror som hanterar PGP och S/MIME:

  • Thunderbird med Enigmail
  • Apple Mail med GPGTools
  • Outlook med Gpg4win

Använder du någon av ovanstående mjukvaror så bör du omedelbart stänga av funktionen för automatisk dekryptering av PGP- och S/MIME-mail alternativt avinstallera mjukvaran tills det att en säkerhetspatch har släpps.

Sårbarheten kan göra det möjligt att komma åt tidigare krypterade meddelanden i klartext.

Så här skriver Sebastian Schinzel på sin twitter:

Källa: EFF