Taggat med: antivirus

Test av Cobalt Strike

Cobalt Strike

För några månader sedan så införskaffade jag en licens till Cobalt Strike (CS). Jag tänkte dela med mig av mina erfarenheter om vad CS är och vad et kan användas till.

CS är ett kommersiellt bakdörrs-ramverk (C2 framework) som hjälper dig att kommunicera och utföra operationer. Du kan enkelt anpassa ramverket för att försvåra för antivirus-mjukvaror och liknande att upptäcka CS. Det finns även vissa likheter mellan Metasploits Meterpreter och CS, även om Metasploit är kompatibelt med CS.

CS består av tre olika komponenter kan man förenklat säga:

  • Teamserver – Serverdelen som sköter kommunikationen
  • Operatörsklient – Används för att erhålla ett grafiskt gränssnitt och ansluta mot serverdelen. Har chatt osv som gör klienten bra att använda vid Red Teaming-operationer där ni är många.
  • Implantat – Den payload som ska exekveras på målet och skicka beacons till teamserver. Finns som stage och stage-less.

Viktigt också är att veta vad CS inte är:

  • Hjälper dig inte att identifiera sårbarheter
  • Få exploits, enbart 2-3 stycken
  • Implantatet (C2-klienten) funkar enbart på Windows

Mina egna favoriter när det gäller CS är följande:

  • Malleable profiles – Möjliggör unik beacon-nätverkstrafik
  • Man in the browser – Gör att du kan använda webbläsaren som en proxy och använda autentiserade sessioner med smartcards exempelvis
  • Utbildning – Grundaren Raphael Mudge har lagt upp hundratals videos på YouTube för den som vill lära sig.
  • Artifact Kit – För dig som vill ändra implantatet så inte antivirus upptäcker din bakdörr.

För den som vill hålla sig uppdaterad med nya funktioner rekommenderar jag att följa den ändringslogg som återfinnes här: https://www.cobaltstrike.com/releasenotes.txt

Kostnaden för en licens ligger på 35000 SEK första året och sedan 25000 SEK efterkommande år.

Identifiera Projekt Sauron (Remsec)

Detta är en guide till hur Er organisation kan identifiera den senaste avancerade skadliga koden vid namn Projekt Sauron.

Förutom att uppdatera antivirus med senate databaser så kan du även titta på nätverkstrafik för att se kommunikation till kontrollservrar (C&C). Ett till alternativ är att söka efter så kallade IOC:er (indicators of compromise).

IOC:er kan vara hashsummor, text-strängar, IP-adresser, URL:ar och mycket mer. Man kan säga att det är en typ av signaturer som är öppna, till skillnad från många antivirus-databaser som är stängda (förutom clamav).

Det finns ett antal gratis verktyg för att söka efter IOC:er samt ett antal olika öppna sammanställda listor med IOC:er.

Exempel på en IOC som identifierar Powershell verktyget Invoke Mimikatz:

Invoke Mimikatz Powershell

Ovan regel använder sig av Yara-formatet som är C-liknande. Yara är även ett öppet verktyg samt bibliotek till Python.

Följande metodik är framtagen av OpenIOC-projektet.

IOC metodik

lokiOch som du kan se av ovan process så är tanken att IOC:er snabbt ska gå att applicera i en mängd olika mjukvaror såsom IDS/IPS, SIEM, nätverket eller lokalt på en klient/server.

För att försöka identifiera Projekt Sauron så laddar jag hem först Loki-scannern:

wget https://github.com/Neo23x0/Loki/raw/master/loki.exe

Och sedan senaste signaturbiblioteket:

wget https://github.com/Neo23x0/signature-base/archive/754d19604d7c36580a3f254f341d220343ca9bdd.zip

Sedan måste du se till att hash-summan för loki.exe är korrekt samt att katalogstrukturen är korrekt. Sha256:

99239b002d76ea81fe239de2ad4d8fef4157ea0759a39e777a68e050df580342

Annars får du ett felmeddelande likt detta om katalogstrukturen är felaktig:

Traceback (most recent call last):
 File "<string>", line 811, in initialize_filename_iocs
WindowsError: [Error 3] The system cannot find the path specified: 'E:\\./signat
ure-base/iocs/*.*'
Traceback (most recent call last):
 File "<string>", line 1253, in <module>
 File "<string>", line 119, in __init__
 File "<string>", line 860, in initialize_filename_iocs
UnboundLocalError: local variable 'ioc_filename' referenced before assignment

När allt väl är på plats så är det bara att starta genomsökningen. Förslagsvis som en användare med behörighet att läsa processer och filer (Administratör):

LOKI IOC Scanner

Sen är det bara att vänta. En genomsökning kan ta flera timmar för en enda klient eller server.

När den är klar söker du efter följande text:

[RESULT] Indicators detected!
[RESULT] Loki recommends checking the elements on Virustotal.com or Google an
riage with a professional triage tool like THOR APT Scanner in corporate netw
s.
[NOTICE] Finished LOKI Scan SYSTEM: IE9WIN7 TIME: 20160813T10:53:49Z

Håll även koll på falska positiva (false-positives) indikationer. Windows sökverktyg SearchIndexer.exe gillar exempelvis att indexera upp dina signaturer och kan göra så att Loki varnar.

Loki arbetar med följande kontroller:

1. Filnamns IOC:Er
Regex-matchning på sökväg eller namn

2. Yara Regelkontroll
Yara signaturkontroll på fil eller process (minne)

3. Hashkontroll
Jämför hashar i en mängd olika format (MD5, SHA1, SHA256)

4. C2 kontrollkanal
Kontrollerar anslutningspunkter mot C2 IOCs (nytt sedan Loki version 0.10)

Och även följande presentations-bild från företaget Mandiant FireEye beskriver en indikator bra:

whats-an-indicator-copy_1

Senare kommer jag även gå igenom hur du använder verktyget Volatility för offline-analys, en av mina favoriter.

Denna guide fungerar för att identifiera nästan all skadlig kod, bara man vet vad man söker efter. Givetvis så bör även nätverkstrafik kontrolleras, men i fallet med Sauron så finns det ännu inga DNS-namn eller IP-adresser ut som man kan kontrollera för kommunikation och kontrollkanaler (C&C).

Och så klart underlättar nätverksforensik om du redan sparar undan DNS-uppslag eller all trafik som flödar ut/in på nätverket med trafikinspelning, något jag rekommenderar.

Värt även att poängtera är att när du exekverar kod såsom Loki i enlighet ovan så kan även detta innebära en säkerhetsrisk.

Men att kontrollera mot filnamn, hashsummor och annat är sådant som är statiskt. Antagonisten kommer bara att ändra sådant när hen blir upptäckt. Därför är det även bra att lära sig metoderna som nyttjas och kontrollera dessa.

Cryptzone köper upp SE46

IT-Säkerhetsföretaget Cryptzone meddelade just att de förvärvar SE46. Köpet genomförs till summan 2 750 000 kronor vilket betalas ut i form av nyutgivna aktier. SE46 är specialiserade på mjukvaruutveckling inom IT-säkerhetsområdet och dess populära produkt CIS vilket är en typ av vitlistning av programmvaror. Eller enligt dem själva:

CIS (Computer Integrity System) adresserar problemet genom att vända på problematiken runt vanliga antivirus system. Istället för att leta efter skadliga beteenden och signaturer på farlig kod (virus, trojaner etc) så tillåter den enbart känd, ”god” programvara att starta.

Cryptzone har tidigare köpt upp bl.a. Appgate vilket vi rapporterat om tidigare.

Läs pressreleasen här.