Taggat med: Google Threat Analysis Group

Ökad detektion av 0-days

Googles specialgrupp vid namn Threat Analysis Group (TAG) har skrivit ett intressant inlägg om detektion av 0-days som används vid cyberattacker. 0-days är sårbarheter som är okända och ej åtgärdade av leverantören.

Tittar vi på statistik som TAG presenterar så har detektionen senaste året ökat markant över sårbarheter som utnyttjas ”in the wild”. Dvs sårbarheter som aktivt utnyttjas med en exploit och som sedan detekteras på ett eller annat sätt:

Bildkälla

Men vad beror denna ökning på? Jo det finns ett antal faktorer som spelar in:

  • Det finns fler aktörer som handlar med sårbarheter. Så kallade Cyber Arms Dealers eller exploitmäklare
  • Marknaden har blivit mer mogen och gör det svårare att ta sig in i system via mer traditionella sätt såsom social engineering
  • Vi blir bättre på att detektera 0-days
  • Aktörer såsom Google, Microsoft och Apple anger numera i sina säkerhetsuppdateringar om en viss sårbarhet som åtgärdats, utnyttjas aktivt ”in the wild”
  • Länders budgetar att utföra offensiva cyberoperationer antas öka successivt. Därmed även möjligheterna att införskaffa zero-days

Det jag hoppas och tror är att Apple i framtiden kommer att öppna upp iOS mer så att forensiska undersökningar ska bli lättre och därmed också möjligheterna att detektera 0-days i efterhand bättre. Detta är så klart möjligt i dagsläget till viss del med verktyg såsom MVT.

Värt också att notera är att de som utnyttjar 0-days är måna om att dessa inte detekteras och åtgärdas, därför använder man metoder såsom ECDH för att försvåra analys (anti-forensics).

Som jag också har skrivit om tidigare så ökar troligtvis även N-days/patchgapping-behovet och marknaden. För att nämna några företag som livnär sig i denna gråzon med att förmedla 0-days och utveckla trojaner/bakdörrar kan jag lista:

  • Candiru, Saito Tech Ltd
  • NSO Group
  • Memento Labs (fd. HackingTeam)
  • Gamma Group
  • Zerodium
  • DarkMatter. Med kontor i bla Finland under namnet Zeline 1 Oy, Digital 14 Oy
  • Exodus Intel
  • Endgame

Finns givetvis ett antal till. Kommentera gärna nedan om du känner till fler.

Google identifierar ny avancerad attack mot iPhones

Googles Threat Analysis Group (TAG) har identifierat en ny watering hole attack som riktar sig mot iPhone-användare. Attacken är intressant på många sätt, bl.a. så uppger Google att attacken inriktas mot en viss typ av grupp samt att det faktum att fem olika exploit-kedjor används för att ta sig in i iPhones. För en säkerhetsforskare som tar fram en enda exploit-kedja och säljer den till företag såsom Zerodium kan ge upp mot 19 miljoner SEK enligt deras publika prislista.

Gällande exploit-kedjor så anger TAG följande:

seven for the iPhone’s web browser, five for the kernel and two separate sandbox escapes. Initial analysis indicated that at least one of the privilege escalation chains was still 0-day and unpatched at the time of discovery (CVE-2019-7287 & CVE-2019-7286)

När väl dessa sårbarheter utnyttjas så installeras sedan ett implantat som har möjlighet att läsa ut meddelanden ur end-to-end krypterade appar såsom iMessage, Whatsapp och Telegram. Även så kan detta implantat följa iPhone-användaren i realtid via GPS-koordinater som skickas till en Command and Control-server.

Just kommunikationen till C&C-servern går via HTTP och ej HTTPS vilket är annorlunda. Även kan dessa unika strängar användas för att identifiera kommunikation på nätverket:

  • 9ff7172192b7
  • /list/suc?name=

Ovan två förfrågningar går över HTTP GET alternativt POST.

Spekulationer om vem som ligger bakom dessa avancerade attacker riktas mot Kina eller grupperingar kopplade till Kina främst på grund av de omfattande sårbarheterna som utnyttjas mot iPhone samt att företaget Tencent är ett företag vars appar kontrolleras:

  • com.yahoo.Aerogram
  • com.microsoft.Office.Outlook
  • com.netease.mailmaster
  • com.rebelvox.voxer-lite
  • com.viber
  • com.google.Gmail
  • ph.telegra.Telegraph
  • com.tencent.qqmail
  • com.atebits.Tweetie2
  • net.whatsapp.WhatsApp
  • com.skype.skype
  • com.facebook.Facebook
  • com.tencent.xin

Google har själva också varit sparsamma med information gällande implantatet som installeras exempelvis har ingen information om C&C-servrar publicerats. Detta troligtvis eftersom en större utredning pågår av amerikanska myndigheter.

Uppdatering: Enligt källor till TechCrunch är det Uigurer som är målet.

Ny riktad cyberattack använder Adobe Flash Player

adobe-flash-player-bug

En ny riktad cyberattack har upptäckts av Google Threat Analysis Group. Attacken använder sig av en sårbarhet i Adobe Flash Player och har fått CVE-2016-7855.

Operativsystem som är såbara för denna nya säkerhetsbrist är Flash Player under Windows, Linux, samt Mac OS X. Även den medföljande Flash-spelaren i Chrome OS samt Edge/Internet Explorer 11 är sårbar.

Detta är inte första gången detta år som zero-days har uppdagats i Flash, för Adobe släppte kritiska uppdateringar även i April, Maj och Juni. Denna uppdatering ligger således utanför Flash Players regelbundna uppdateringscykel. Denna säkerhetsbrist är en såkallad use-after-free sårbarhet.

Även CERT-SE vid Myndigheten för samhällsskydd och beredskap rekommenderar en skyndsam uppgradering.

Såbarheten är åtgärdad i version 23.0.0.205 samt 11.2.202.643 till Linux. För mer info se Adobes webbsida.

Det är i dagsläget oklart hur Google uppdagade denna sårbarhet men troligtvis så har Google system och metoder för att upptäcka zero-days mot riktas mot dem eller fastnar i dess sensor-nätverk. Google Mail (GMail) genomför exempelvis antivirus-skanning på samtliga bilagor.