Taggat med: Github

Analys av förundersökningsprotokollet från hackerhärvan

En hacker som skriver på ett tangentbord. Mycket avancerad hacker

Det senaste omtalade dataintrånget där fleratlet inblandade står åtalade har orsakat stor medial uppmärksamhet. Men hur avancerade var intrången och vilka metoder användes i hackerhärvan B 8322-16.

Förundersökningsprotokollet (FUP) innehåller mängder med olika åtalspunkter där många består i att skadlig kod har skickat i form av Word-filer där makron funnits bifogade. Dessa makron har sedan exekverat PowerShell-kod och efter detta har lösenord dumpats ut samt så har förflyttningar internt genomförts (lateral movements).

Vi kan utläsa att bl.a. den åtalade 37-åringen som varit ansvarig för dataintrången lagt ut uppdrag på sajten Freelancer.com för att få skadlig kod utvecklad.

Nedan skärmdump från Freelancer.com visar att 37-åringen vill ha en exploit utvecklad i C# för sårbarheten MS16-032 för ca 14 EUR vilket var det vinnande budet:

Denna exploit har sedan troligtvis används lokalt hos offren som fått Word-filer för att eskalera behörigheter, eftersom MS16-032 är en lokal sårbarhet.

Som kommunikation mellan personerna i ligan användes Jabber och enligt FUP:en så återfinns kortare utdrag av chatt-kommunikationen vilket indikerar på att historik lagrades eller frånvarande kryptering (hemlig telefonavlyssning av datatrafik).

Tittar vi på Github-sidan tillhörande 37-åringen så ser vi mängder med forkade repon som bl.a. innehåller PoshC2, laZange, Powershell-attacker samt lokala Windows-exploits.

Även återfinnes luckystrike som är ett verktyg för att skapa skadliga office-makron:

Som mail-tjänst användes bl.a. svenskutvecklade CounterMail. Jag kan även utläsa att flertalet olika BankID utnyttjats där man bl.a. kommit över någons SEB digipass för att sedan installera BankID på en iPad, detta för att komma åt bankkonton och ändra uppgifter hos Bolagsverket.

Falska snarlika domäner har registrerats där riktiga företaget har haft .se men bedragarna har registrerat .nu, även felstavningar av .se-domäner har registrerats och nyttjats för bedrägeri via E-post (falska intyg, pass osv).

Flertalet affärssystem har ändrats så att utbetalningsuppgifter går till bedragarna. Ett av affärssystemen som används var Microsoft Dynamics AX. De förekomster där bedragarna har blivit upptäckta är där manuella metoder varit inblandade och extra avstämningar har genomförts.

Slutsats

Min slutsats är att intrången inte var speciellt avancerade men utnyttjade det faktum att viss tillit finns mellan personer och företag och därmed användes social engineering.

Även har attackerna med tiden förfinats och blivit mer och mer avancerade. Av stor vikt är att monitorera exekveringar av PowerShell samt följ upp samtliga antivirus-larm i Er organisation.

🐈 Hashcat och oclHashcat nu öppen källkod

hashcat

Hashcat och oclHashcat har nu släppts som öppen källkod på Github. Verktygen används för att knäcka lösenord och är ett bra alternativ till John the Ripper. Att Hashcat nu är öppen källkod kommer eventuellt göra att stöd för fler plattformar och algoritmer kommer in snabbare samt så är det bra för många av oss som jobbar med slutna projekt.

World’s fastest and most advanced GPGPU-based password recovery utility

Främst används oclHashcat för dess stöd när det gäller GPU:er och (AMD) OpenCL samt (Nvidia) CUDA.

Även så stödjer hashcat hela 170 olika lösenordshashar från vanliga såsom MD5, SHA-512, SHA-3 och mer ovanliga såsom Streebog, Juniper, Lastpass och 1Password.

Hashcat Prestada

För att förstå hur bra prestanda hashcat har så finnes följande exempel med fyra olika datorer utrustade med diverse hårdvara:

  • PC1: Windows 7, 32 bit
  • Catalyst 14.9
  • 1x AMD hd7970
  • 1000mhz core clock
  • oclHashcat v1.35
  • PC2: Windows 7, 64 bit
  • ForceWare 347.52
  • 1x NVidia gtx580
  • stock core clock
  • oclHashcat v1.35
  • PC3: Ubuntu 14.04, 64 bit
  • ForceWare 346.29
  • 8x NVidia Titan X
  • stock core clock
  • oclHashcat v1.36
  • PC4: Ubuntu 14.04, 64 bit
  • Catalyst 14.9
  • 8x AMD R9 290X
  • stock core clock
  • oclHashcat v1.35

 

Hash Type PC1 PC2 PC3 PC4
MD5 8581 Mh/s 2753 Mh/s 115840 Mh/s 92672 Mh/s
SHA1 3037 Mh/s 655 Mh/s 37336 Mh/s 31552 Mh/s
SHA256 1122 Mh/s 355 Mh/s 14416 Mh/s 12288 Mh/s
SHA512 414 Mh/s 104 Mh/s 4976 Mh/s 4552 Mh/s
SHA-3 (Keccak) 179 Mh/s 92 Mh/s 3400 Mh/s 2032 Mh/s
RipeMD160 1810 Mh/s 623 Mh/s 23936 Mh/s 20016 Mh/s
Whirlpool 65845 kh/s 85383 kh/s 1480000 kh/s 1122304 kh/s
LM 1388 Mh/s 450 Mh/s 15616 Mh/s 16392 Mh/s
NTLM 16916 Mh/s 4185 Mh/s 250360 Mh/s 175808 Mh/s
NetNTLMv1 9108 Mh/s 2330 Mh/s 56448 Mh/s 97800 Mh/s
NetNTLMv2 589 Mh/s 200 Mh/s 7944 Mh/s 6496 Mh/s
WPA/WPA2 142 kh/s 48 kh/s 2096 kh/s 1536 kh/s

Länk till Github:

Nätverksforensik med Dshell från US Army

Den amerikanska militärens forskningscenter vid namn U.S. Army Research Laboratory har släppt ett verktyg för att analysera nätverkstrafik (nätverksforensik). Verktyget är skrivet i Python och ligger uppe på Github för vem som helst att ladda ner och testa samt skicka in förbättringsförslag.

Även så är Dshell modulärt och har stöd för att återskapa TCP-strömmar samt IPv4 och IPv6.

Installation Dshell

Följande kommandon exekveras för att installera paketberoenden på exempelvis Ubuntu:

$ sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap python-pip unzip build-essential
$ sudo pip install pygeoip
$ wget https://github.com/USArmyResearchLab/Dshell/archive/master.zip
$ unzip master.zip
$ cd Dshell-master
$ make

Då var installationen klar och du bör ha en fil vid namn dshell.

Nätverksforensik med dshell

Om du ej sitter på inspelad nätverkstrafik i form av pcap-filer så kan du ladda hem någon av de publika filerna från Netresec:

$ wget http://download.netresec.com/pcap/maccdc-2012/maccdc2012_00016.pcap.gz
$ gzip -d maccdc2012_00016.pcap.gz

Dshell stödjer även att köras i realtid mot ett nätverkskort, använd då flaggan -i (för interface).

Finemang. Då startar vi dshell och listar de avkodningsmoduler som följer med som standard med decode -l

Dshell modulerFör att få hjälp med en specifik avkodningsmodul kan man skriva:

Dshell> decode -d rip-http -h

Vi vill nu testa rip-http som är en modul som extraherar hur nedladdningar över http. Vi ser även att det finns möjlighet att ange filändelse så vi anger att vi vill läsa ut alla .PNG-bilder:

Dshell> mkdir img
Dshell> cd img
Dshell> decode -q -d rip-http ../maccdc2012_00016.pcap --rip-http_name_filter="\.png"

Vi får då upp ett antal rader på skärmen som bekräftar att det identifierats PNG-bilder i nätverkstrafiken (eller åtminstone vad filändelsen säger).

Men det var ju mindre kul, låt oss istället försöka hitta på någon slags skadlig kod:

Dshell> cd ..
Dshell> mkdir files
Dshell> sudo apt-get install clamav
Dshell> cd files
Dshell> decode -q -d rip-http ../maccdc2012_00016.pcap

Sen väntar du ett bra tag på att samtliga nedladdningar ska skrivas ut till disk. Du kan testa att labba med -t och -p som står för trådat respektive parallella körningar.

När det är klart så kan vi testa att söka igenom samtliga filer med clamav:

$ clamscan -i -r

Och får då ut att ett antal suspekta filer identifierades:

/home/vagrant/Dshell-master/files/apache.php_: JS.Agent-144 FOUND
/home/vagrant/Dshell-master/files/apache.php: JS.Agent-144 FOUND
/home/vagrant/Dshell-master/files/apache.php__: JS.Agent-144 FOUND
/home/vagrant/Dshell-master/files/process.php: PHP.ShellExec FOUND

Det var väl ett trevligt verktyg för att utföra nätverksforensik? Intressant är också att det finns en decoder för INNUENDO DNS-kanal som skapats genom att observera en produktvideo från Immunity som är företaget som utvecklar INNUENDO-produkten.

Gratis SSL/TLS med Let’s Encrypt

Let’s Encrypt är ett nytt initiativ av Internet Security Research Group som backas upp av en mängd stora företag där målet är att tillhandahålla TLS helt gratis.

Företagen som sponsrar satsningen är följande:

Gratis TLS

Även är ett av målen att det ska vara lätt att komma igång. Därför behöver du enbart skriva följande kommando för att komma igång:

$ sudo apt-get install lets-encrypt
$ lets-encrypt example.com

Underliggande säkra protokoll som används är nyutvecklat och går under namnet ACME (Automated Certificate Management Environment) och används för att underlätta verifiering av domännamn. Detta har varit krångligt tidigare då E-post och dylikt har används för SSL/TLS-certifikat.

Specifikationen är tillgänglig via Github här: https://github.com/letsencrypt/acme-spec/blob/master/draft-barnes-acme.md

Projektet kommer att starta/fungera från sommaren 2015.

SSL für alle

Peter Magnusson och Joachim Strömbergson höll för ett tag sedan en bra presentation på OWASP Göteborg om SSL och dess säkerhetsproblematik.

Presentationen (PDF) har allt som är vettigt att veta om SSL och dess säkerhetproblem. Även så påvisar man hur SSL felaktigt implementeras i ett antal olika mjukvaror.

Tips! Kolla in sslyze av iSEC Partners som finnes på Github. Näms även i nedan presentation.

OWASP SSL

www.owasp.org/images/d/d8/OWASP_SSL_20131128_preso.pdf (pdf)