Uppdatering: Min pull-request till Loki-projektets signaturdatabas har nu gått igenom och det enda du behöver göra är att ladda hem och köra Loki för att detektera APT10.
Myndigheten för samhällsskydd och beredskap (MSB) gick i förrgår ut och varnade för omfattande cyberattacker mot bl.a. Svenska managed service providers. Attacken är riktad mot företag som sköter drift och IT-infrastruktur för samhällssektorer som offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning.
Cyberattacken går under namnet APT10 eller Cloud Hopper och MSB meddelar att attacken har inriktat sig på att infektera system genom att lura människor. De som ligger bakom angreppen har lagt stora resurser på att kartlägga sina mål, organisationer och deras anställda, för att kunna skicka riktade e-postmeddelanden med trovärdiga dokument (så kallat riktat nätfiske, spearphishing).
Jag har tittat på de IOC:er (Indicators of Compromise) som är släppta av företaget PwC och skapat två filer som kan läsas in av en mängd olika verktyg såsom Loki (som jag använde för att identifiera Project Sauron/Remsec sist), för tyvärr så är PwC:s PDF inte helt lättarbetad.
Du kan därför ladda hem och ändra den Yara-fil samt en fil med Md5-checksummor som jag skapat på Github här: https://github.com/jonaslejon/apt10 och använda den direkt med Loki. Du använder filerna genom att lägga filen apt_apt10.yar i underkatalogen signature-base/yara/ och innehållet från hash-iocs.txt längst ner i den befintliga filen signature-base/iocs/hash-iocs.txt. Detta efter du laddat hem Loki här
Jag har även kört sökningar mot VirusTotal med de checksummor som PwC har släppt och tittat på ett antal olika saker såsom när antivirus-företagen identifierade APT10:
Här följer en skärmdump på en träff när jag använder Loki och MD5-filen samt Yara-filen från mitt Github-repo för test:
Och om jag tittar på statistik från VirusTotal gällande APT10 så är antivirus-mjukvaran McAfee bäst på att detektera APT10. Fortfarande identifieras 69 av 300 delar inte av någon antivirus-mjukvara.
Följande tabell visar på antalet detektioner per antivirus-produkt:
Och tittar vi vidare på några av de exploits som används så har antivirus-företagen klassat dem som följande:
CVE-2012-0158
CVE-2010-3333
Exploit.OLE2.Toolbar
JS.S.Exploit.121732
JS.S.Exploit.166944
Exploit.Win32.OLE.78
EXP/Office.Exploit.Gen
DOC.S.Exploit.164492[h]
Exploit-MSWord!1ECBFF1A46A8
Och några ovan är relativt lätta att utläsa såsom CVE-2012-0158 som är en sårbarhet i Active X och CVE-2010-3333 är en sårbarhet i Microsoft Offices hantering av RTF-formatet.
Om du vill hjälpa till så får du gärna göra pull request på Github-repot med mer IOC-data från DHS.
Loki tittar främst på klienter och servrar och därför rekommenderar jag även att titta på nätverkstrafik såsom DNS-uppslagningar, för du har väl sparat undan nätverksdata i PCAP-format?
Om några veckor är det dags för årets upplaga av den internationella konferensen om IT-säkerhet i cyberfysiska system (SCADA). Konferensen går under namnet 4SICS (four-six dvs landskoden till Sverige) och hålls på Nalen mitt i Stockholm.
Erik Johansson som tillsammans med Robert Malmgren står bakom konferensen berättar att ämnen som kommer att behandlas på konferensen i år är cyberattackerna mot Ukraina i slutet av december 2015. Då drabbades flera elbolag i Ukraina av samordnade IT-attacker som slog ut elförsörjningen för mer än en kvarts miljon abonnenter. De Ukrainska elbolagen utsattes för en så kallad APT (Advanced Persistent Threat) då en grupp sofistikerade angripare under lång tid planerade, beredde sig tillgång till, och från insidan studerade elbolagens IT-miljöer. I över ett halvårs tid planterades skadlig kod, öppnades nya bakvägar och stals information i olika förberedelsesteg inför det att man den 23:e december mörklade delar av Ukraina.
Robert M. Lee, expert på säkerhet i SCADA-system och en av de som bistod Ukrainska myndigheter med utredningen, är en av de internationella specialister som bjudits in som talare på konferensen.
Lee berättar:
IT-attacken på det ukrainska kraftnätet var den första i sitt slag. Många detaljer kring attacken har kommit till allmän kännedom, men på 4SICS kommer de som deltog i analysen av attacken att samlas och belysa detaljer och erfarenheter på ett sätt som inte gjorts tidigare.
Andra inbjudna specialister är Anton Cherepanov & Robert Lipovsky från antivirusföretaget ESET som kommer att göra en djupare genomgång av vad man egentligen vet om den skadliga koden vid namn BlackEnergy som bland annat användes mot elbolagen i Ukraina.
Erik berättar även att presentationerna kommer att avslutas med rundabordssamtal där tekniska specialister och myndighetsföreträdare kommer diskutera tekniska brister, tillvägagångssätt, konsekvenser samt IT som vapen i olika konflikter. Innan konferensen finns det även möjlighet att gå flertalet kurser inom säkerhet i cyberfysiska system.
Ett axplock av övriga talare är: Jens Zerbst, CIO på Vattenfall, som kommer beskriva hur man uppnår försvar på djupet i en tid när det finns APT. Maik Brüggemann, säkerhetsforskaren som påvisat hur skadlig kod kan sprida sig direkt mellan olika PLC:er.
Margrete Raaum, CEO vid norska KraftCERT, med egna erfarenheter från härom året då Norge utsattes för cyberattacker och vet hur man bör hantera incidenter.
Konferensen och kurserna går under datumet 25-27 Oktober 2016, läs mer här: https://4sics.se
För några dagar sedan så gick flertalet stora antivirus-leverantörer ut med en varning samt teknisk analys av en ny form av avancerad skadlig kod som troligtvis är utvecklad av gruppen Strider. Denna APT-liknande grupp (advanced persistent threat) har utvecklat Sauron (Remsec) sedan 2011 och har identifieras hos myndigheter i länder såsom Kina, Sverige, Ryssland och Belgien.
Projekt Sauron är sannolikt utvecklat av en stat eller statsunderstödd grupp i likhet med skadlig kod såsom Duqu, Flame, Equation, och Regin.
Koden är modulär och majoriteten av modulerna är skriva i programspråket Lua (precis som Stuxnet).
Att den skadliga koden fått namnet Sauron är på grund av denna Lua-modul som sköter tangentbords-loggningen (keylogger):
Även så innehåller den skadliga koden en loggningsmodul som även krypterar och komprimerar loggar. I övrigt har inga felstavningar observerats men exempelvis så förekommer italienska ord när nätvertrafik genomsöks efter ord såsom secret, pw, pass codice|uin|signin|strCodUtente|.*pass.*|.*pw|pw.*|additional_info|.*secret.*|.*segreto.*
Antivirusdetektion
En del av den skadliga koden som laddar in binära objekt upptäcktes först av Kaspersky 20160406 och då som HEUR:Trojan.Multi.Remsec.gen. Ungefär en vecka efter detta så kan även AegisLab, Antiy-AVL och Rising den skadliga koden.
Luftgap
Den skadliga koden ProjectSauron har även stöd för att ta sig över ”airgaps” eller luftgap som det heter på svenska. Dvs system som är så pass säkra/hemliga att de inte är anslutna till Internet. När en USB-sticka ansluts så skapas det ett virtuellt filsystem som inte är synligt med blotta ögat.
Även så är någon slags zero-day involverad som nyttjas när USB-stickor förflyttas mellan nätverk. Men varken Symantec eller Kaspersky vet ännu inte hur detta fungerar exakt.
Persistens
Installerar sig som en SSPI, Security Support Provider Interface och exporterar funktionen InitSecurityInterfaceW.
Kryptering
Över nätverket sker kryptering med RSA samt RC6 (5?). Lokala filer krypteras med RC4 samt Salsa20.
Nyckel som används är: 0xBAADF00D. Även kan C&C-kommandon skickas via ICMP och lyckas dekrypteringen av ICMP-paketet så kommer koden att exekveras på systemet.
False flag
Att baka in felaktiga eller information som vilseleder den som analyserar skadlig kod är något som blivit populärt på senare tid. Även Sauron gör detta och är extra tydligt när man tittar på metadata såsom när koden kompilerades: