Taggat med: command and control

Omfattande pågående cyberattack: WannaCry/Wcry

Flertalet nyhetsmedier samt CERT-SE varnar just nu för en ny pågående cyberattack. Detta är en ransomware-kampanj som nyttjar sårbarheten MS17-010. Ett flertal länder är drabbade och däribland även Sverige.

I detta fall är det en ny variant av WannaCry (kallas även Wcry eller WanaCrypt0r) som infekterar Windows-system och krypterar filer både lokalt och på delade nätverksytor och sedan håller dessa som gissla samt begär betalning i Bitcoin.

Sårbarheten som åtgärdas i MS17-010 som släpptes för cirka två månader sedan och har och göra med hur Windows hanterar SMBv1-paket (EternalBlue). WannaCry använder även Tor för att sköta Command and control (C&C), detta för att försvåra spårning.

Här finns en karta för den som i realtid vill se infektioner:

WannaCry

Skärmdump från meddelandet som dyker upp om du blir infekterad:

C2’17 – Ny spännande IT-säkerhetskonferens

Jag fick möjlighet att ställa några frågor till Åsa Schwarz som är en av initiativtagarna till den nya IT-säkerhetskonferensen Command & Control (C2) som går av stapeln den 17:de Januari 2017 i Stockholm.

Bland talarna på konferensen hittar vi bl.a Ulrika Evertsson Hansson som kommer att berätta om hur Militära underrättelse- och säkerhetstjänsten (MUST) aktivt arbetar med att få in it-säkerhet i hela systemutvecklingsprocessen och vilka säkerhetsfunktioner som måste omhändertas i Försvarsmaktens IT-system.

Anne-Marie Eklund-Löwinder, CISO på IIS kommer att berätta hur DNSSEC-roten är uppbyggd och säkrad med 7 st nycklar där Anne-Marie ansvarar för en av dessa nycklar.

Ovan två föredrag samt en mängda andra intressanta föredrag kommer att hållas under dagen, klicka här för om du vill se hela agendan.

Berätta vad Command and Control är för konferens?

Det är endagskonferens där vi får lyssna på några av Sveriges mest spännande företag och myndigheter. Vi har plockat ut aktuella ämnena inom it- och informationssäkerheten inför 2017. Några exempel är hur toppdomänen för internet förblir säker, hur Volvo arbetar med it-säkerhet i självkörande bilar och hur informationssäkerhet är en del av Polisens verksamhet.

Vilken målgrupp riktar ni Er till?

Främst till personer som under 2017 kommer att arbeta professionellt med it- och informationssäkerhetsfrågor. Vi kommer även ha ett antal studenter på plats eftersom vi inom kort kommer ha ett en stort brist på experter inom området och måste locka nya till branschen.

Ser ni ett behov att fylla?

Den svenska föreläsningsscenen inom säkerhetsområdet har varit relativt homogen, där samma personer ständigt återkommer år efter år. Vi har plockat ut några av Sveriges främsta experter som inte synts lika frekvent men som har väldigt mycket att bidra med. De kommer ge nya tankeväckande infallsvinklar och kunskap. Vi har också länge funderat på varför mässor, konferenser och expertpaneler har så få kvinnor inom it- och informationssäkerhetsområdet.

Svaret man ofta får är att det inte finns några. Vi tänkte en gång för alla visa att det inte stämmer. Eftersom marknaden växer kraftigt måste vi se till att bli en attraktiv bransch för alla som är intresserade av säkerhet. C2’17 är helt enkelt ett naturligt led i att vi vill göra Sverige till en av världens mest dynamiska säkerhetsarenor.

Vilka höjdpunkter ser du själv på konferensen?

Jag ser mycket fram emot mycket är att lyssna på råd från en organisationspsykolog hur vi får våra medarbetare att förändra beteende och arbeta på ett säkrare sätt. Det kommer säkert också bli mycket intressanta samtal under lunchen och möjlighet att knyta nya kontakter vid kaffet.

Vilka är ni som anordnar konferensen?

Vi som arrangerar och står bakom denna konferens är en grupp personer som tillsammans vill verka för att höja it- och informationssäkerheten i Sverige. Genom att förändra föreläsningsscenen, media och rekryteringsprinciper vill vi skapa en av världens mest dynamiska säkerhetsarenor. Vi kallar oss själva för Kontrollgruppen. Du hittar medlemmarna här: www.c217.se/arrangor

Vad har ni valt för plats och varför?

Vi kommer att vara på Bygget Fest & Konferens på Norrlandsgatan 11 i Stockholm.

Anledningen är att lokalen ligger centralt och att vi har både konferens och mingelytor för oss själva. Vi tycker att kontaktskapandet och dialogen mellan åhörarna är lika viktig som själva föreläsningarna. Den gemensamma kunskapen och erfarenheten bland alla deltagare är minst sagt imponerande.

Analys och förmildring av överbelastningsattacker (DDoS)

Att analysera och förmildra en DDoS-attack kan göras genom ett antal olika metoder. Även finns det DDoS-attacker där motverkansmedel kan användas och således göra attacken mindre effektiv. Givetvis kan filtrering genomföras på ISP-nivå också, men det är ett relativt trubbigt verktyg.

Först och främst måste trafikdata i form av PCAP-format eller liknande samlas in, detta kan visa på ledtrådar såsom vilket verktyg som används eller om det är förfalskade paket (spoofade). Även så kan loggar på servern analyseras för att avgöra exempelvis om det är en eller flera stora bilder som laddas om och om igen. Finns inte råa paket kan även netflow-data användas och analyseras med verktyg såsom Argus.

🔎 Reklam: Triop AB analyserar och kan ta fram motverkansmedel mot DDoS

När vi vet vem avsändaren är så måste denna analyseras närmare, rör det sig om klientdatorer eller servrar med hög kapacitet? Om det är klientdatorer så rör det sig troligtvis om ett bot-nät med infekterade privatpersoner, är fallet högprestanda-servrar så kan det vara hyrda servrar direkt av antagonisten eller som är vanligare: hackade servrar.

Finns även fall där klienter kan surfa in på en speciell sida så exekveras ett javascript som hämtar en eller flera tunga filer om och om igen, denna attack är implementerad i bl.a JS LOIC.

Wireshark är ett bra verktyg att visuellt analysera nätverkstrafik men fungerar ej väl med större datamängder. Nedan exempel visar hur det ser ut i Wireshark när LOIC används:

LOIC Wireshark

Skärmdump från webbsida som har JS LOIC:

JS LOIC

Skärmdump från JS LOIC storebror LOIC. LOIC står för Low Orbit Ion Cannon:

Low_Orbit_Ion_Cannon

Ovan två exempel använder dock enbart den egna kapaciteten. För att uppnå mer skada på slutmålet så kan även antagonisten använda sig av en förstärkt DDoS (amplification DDoS attack).

Genom att skicka en mindre mängd data till ett antal servrar och sedan får dessa att svara med flertalet gånger större mängd data till en annan server så kan större effekt uppnås:

DDoS amplification attack

Vanligtvis används UDP baserade protokoll såsom DNS och NTP (MON_GETLIST) men även så har vi sett attacker där WordPress pingback används för att rikta om svar. Dessa servrar har också oftast en relativt god kapacitet mot internet till skillnad från många hemanvändare och privatpersoner.

I vissa fall så måste även reverse-engineering utföras för att förstå hur attack-koden fungerar.

Skärmdump från klienten som användes mot SpamHaus. Reverse-engineering utförd med Ollydbg:

SpamHaus DDoS

Genom att analysera klientkoden som körs så kan man även i slutändan troligtvis identifiera puppetmastern, som styr klienterna. Vanligt förekommande kontrollkanaler (C&C) är IRC, HTTP osv. Men inte helt ovanligt heller så använder den som utför kommandon någon form av anonymiseringsverktyg såsom Tor.

Att just LOIC används som exempel ovan är för att denna programvara användes för att slå ut flertalet myndighetssajter år 2012.