Taggat med: MSB

Så identifieras Cloud Hopper APT10

Uppdatering: Min pull-request till Loki-projektets signaturdatabas har nu gått igenom och det enda du behöver göra är att ladda hem och köra Loki för att detektera APT10.

Myndigheten för samhällsskydd och beredskap (MSB) gick i förrgår ut och varnade för omfattande cyberattacker mot bl.a. Svenska managed service providers. Attacken är riktad mot företag som sköter drift och IT-infrastruktur för samhällssektorer som offentlig verksamhet, IT, kommunikation, sjukvård, energi och forskning.

Cyberattacken går under namnet APT10 eller Cloud Hopper och MSB meddelar att attacken har inriktat sig på att infektera system genom att lura människor. De som ligger bakom angreppen har lagt stora resurser på att kartlägga sina mål, organisationer och deras anställda, för att kunna skicka riktade e-postmeddelanden med trovärdiga dokument (så kallat riktat nätfiske, spearphishing).

Jag har tittat på de IOC:er (Indicators of Compromise) som är släppta av företaget PwC och skapat två filer som kan läsas in av en mängd olika verktyg såsom Loki (som jag använde för att identifiera Project Sauron/Remsec sist), för tyvärr så är PwC:s PDF inte helt lättarbetad.

Du kan därför ladda hem och ändra den Yara-fil samt en fil med Md5-checksummor som jag skapat på Github här: https://github.com/jonaslejon/apt10 och använda den direkt med Loki. Du använder filerna genom att lägga filen apt_apt10.yar i underkatalogen signature-base/yara/ och innehållet från hash-iocs.txt längst ner i den befintliga filen signature-base/iocs/hash-iocs.txt. Detta efter du laddat hem Loki här

Jag har även kört sökningar mot VirusTotal med de checksummor som PwC har släppt och tittat på ett antal olika saker såsom när antivirus-företagen identifierade APT10:

Här följer en skärmdump på en träff när jag använder Loki och MD5-filen samt Yara-filen från mitt Github-repo för test:

Och om jag tittar på statistik från VirusTotal gällande APT10 så är antivirus-mjukvaran McAfee bäst på att detektera APT10. Fortfarande identifieras 69 av 300 delar inte av någon antivirus-mjukvara.

Följande tabell visar på antalet detektioner per antivirus-produkt:

205 McAfee
205 GData
204 McAfee-GW-Edition
203 Symantec
198 Kaspersky
197 BitDefender
196 Emsisoft
195 F-Secure
192 MicroWorld-eScan
191 Panda
190 VIPRE
188 Ikarus
183 Fortinet
181 Sophos
181 Ad-Aware
181 AVG
170 ESET-NOD32
167 NANO-Antivirus
159 TrendMicro-HouseCall
159 AVware

Och tittar vi vidare på några av de exploits som används så har antivirus-företagen klassat dem som följande:

  • CVE-2012-0158
  • CVE-2010-3333
  • Exploit.OLE2.Toolbar
  • JS.S.Exploit.121732
  • JS.S.Exploit.166944
  • Exploit.Win32.OLE.78
  • EXP/Office.Exploit.Gen
  • DOC.S.Exploit.164492[h]
  • Exploit-MSWord!1ECBFF1A46A8

Och några ovan är relativt lätta att utläsa såsom CVE-2012-0158 som är en sårbarhet i Active X och CVE-2010-3333 är en sårbarhet i Microsoft Offices hantering av RTF-formatet.

Om du vill hjälpa till så får du gärna göra pull request på Github-repot med mer IOC-data från PwC PDF:en.

Loki tittar främst på klienter och servrar och därför rekommenderar jag även att titta på nätverkstrafik såsom DNS-uppslagningar, för du har väl sparat undan nätverksdata i PCAP-format?

Ett år av obligatorisk it-incidentrapportering

Det har nu gått nästan ett år sedan den 1:a April 2016 då det är obligatoriskt för Sveriges (nästan) samtliga 244 myndigheter att rapportera in it-incidenter till MSB (Myndigheten för samhällsskydd och beredskap).

MSB rapporterar att det skickats in 214 incidentrapporter från 77 myndigheter och att snittet legat på 25 st per månad. Detta innebär att många myndigheter fortfarande inte skickat in en enda incidentrapport, vilket påvisar ett stort mörkertal. Men troligtvis så tar det några år innan myndigheter anpassar sig.

En annan intressant sak är att incidenter ska rapporteras inom 24h att de upptäckts men i verkligheten ser det annorlunda ut:

Vid genomgång av rapporterna visar det sig att runt 20 procent av incidenterna rapporterats mer än fem dagar efter att de upptäckts, vissa incidenter har rapporterats först efter en månad.

De incidenter som rapporteras in kategoriseras på följande sätt och antal:

Rapporten har även bilaga med sekretessbelagda uppgifter och där framgår vissa särskilda företeelser avseende it-incidentrapporteringen.

För inrapporteringen så används filkryptot KURIR 2.0.

Att loggning är viktigt är något som jag inte understryka nog och detta framkommer även i incidentrapporteringen:

I ett antal incidenter har det framkommit att myndigheter inte har någon dedikerad loggserver, något som är en viktig komponent för att kunna upprätthålla en fungerande övervakning av it-system och för att i efterhand ha möjlighet att klargöra vad som hänt i systemet.

Jag kan även utläsa att MSB använder ordet kryptotrojan återkommande gånger, vilket jag tycker är felaktigt. Utpressningsvirus eller ransomware tycker jag är mer rättvisande och något som Polisen etc använder. Och på tal om ransomware så anger rapporten att 40% av inkomna rapporter om ransomware har lett till informationsförlust. Tyvärr framgår det inte vilken typ av ransomware det rör sig om eller om antivirus-mjukvara detekterat dessa.

Här kan du läsa MSB:s årsrapport om it-incidentrapportering 2016 i sin helhet (PDF):

MSB Årsrapport IT-incidentrapportering

MUST årsöversikt 2016: Ryska påverkansoperationer

Militära underrättelse- och säkerhetstjänsten (MUST) inom Försvarsmakten publicerade precis sin årsöversikt för 2016. Och precis som FRA:s årsredovisning för 2016 så skriver MUST om ökade cyberoperationer.

Och om påverkansoperationer så skriver MUST följande:

”Påverkansoperationer har fått förnyad aktualitet i samband med presidentvalet i USA 2016 men Ryssland har, liksom Sovjetunionen, tillämpat påverkansoperationer som ett utrikespolitiskt verktyg under många år.

Detta sker inte minst genom de ryska underrättelsetjänsterna, som förutom att inhämta underrättelser också har till uppgift att verka för att öka det ryska politiska inflytandet utomlands och aktivt motverka utvecklingar som den ryska statsledningen anser vara negativa.

Att inhämta information som kan användas för att misskreditera politiska motståndare är ett väl etablerat modus operandi, där Internet erbjudit nya sätt att både komma över och sprida sådan information. I detta sammanhang ges också stöd till aktörer som för Rysslands talan i andra länder. En förutsättning för att kunna bedriva effektiva påverkansoperationer mot extern och intern opposition är god direkt eller indirekt kontroll över massmedier.”

Annat som är intressant som förekommer i årsöversikten är den obligatoriska IT-incidentrapporteringen som bidrar till att höja säkerhetsskyddet. Andra myndigheter rapporterar till MSB men myndigheter som ligger under Försvarsdepartementet samt Fortifikationsverket och Försvarshögskolan rapporterar till Försvarsmakten.

MUST fick även i uppdrag av MSB ett reda ut vilka produkter som kan bli godkända för att använda som Krypto för skyddsvärda uppgifter (KSU).

Martin på avdelningen för krypto och IT-säkerhet vid MUST som var granskningskoordinator i projektet berättar att de upptäckte luckor inom några områden i det omfattande underlaget som de hade att tillgå från tidigare undersökningar.

Detta gjorde att MUST behövde göra egna undersökningar och intervjua respektive leverantör. Leverantörernas design av de tekniska lösningarna överensstämde inte alltid med hur MUST ansåg att de borde ha gjort i vissa avseenden. Under intervjuerna med leverantörerna fick MUST däremot förståelse för kompromisser de behövt göra. Förklaringarna låg oftast i linje med hur leverantörerna uppfattade slutanvändarnas behov och säkerhetskrav.

Här kan du läsa MUST årsöversikt:

Myndighetssajter låg nere efter överbelastningsattack

DDoS DNS

Igår låg flertalet myndighetssajter nere såsom Krisinformation.se, Regeringen.se och MSB.se, men även flertalet internationella tjänster såsom Github, Spotify och Twitter. Anledningen till att de låg nere var en överbelastningsattack mot dess DNS-leverantör Dyn.

Ända sedan 2012 är det känt att flertalet svenska myndigheter har lagt alla ägg i samma korg och valt leverantören Dyn för DNS (eller indirekt via företaget Excedo). Dyn är ett amerikanskt företag som inte har några DNS-servrar i Sverige samt har alla DNS-servrar ett och samma AS (Autonomous System).

Stephan Lagerholm på Secure64 och Torbjörn Eklöv, Interlan skrev redan 2012 ett brev och ifrågasatte valet av leverantör för DNS.

Och som Cornucopia påpekade 2013 så ligger ansvaret för psykologiskt skydd hos MSB. Och om en utländsk leverantör handhar DNS:erna så har dessa även möjlighet att modifiera innehållet på myndigheternas webbsidor genom att helt enkelt peka om.

Brev till regeringen, Kustbevakningen och MSB finns här:

Som tur var så verkar MSB eller dess leverantör Excedo ändrat tjänsteleverantör för DNS till svenska Netnod och Dnsnode.

Men vem eller vad stog bakom den stora överbetlastningsattacken? Troligtvis så användes Mirai-bottnätet som utnyttjar svagheter i Internet of Things-enheter såsom övervakningskameror. Dessa svagheter som utnyttjas är bl.a. användarnamn och lösenord som är lätta att gissa eller hårdkodade, dock så väntar vi fortfarande på en djupara analys från Dyn.

Och att Myndigheten för samhällsskydd och beredskap, Regeringen etc var nere beror så klart på collateral damage (sidoskada) då målet troligtvis var något helt annat.

IIS dnscheck är ett bra verktyg för att se några av de vanligt förekommande felen. Här är för MSB.se:

Uppdatering: En observant läsare påpekade att med anledning av flytten för MSB.se så försvann DNSSEC. Även så använder man sig fortfarande enbart av en leverantör.

Uppdatering 2: En annan intressant kedjereaktion på DDoS mot DNS är att DKIM och SPF misslyckas att verifieras vilket får till följd att mängder av E-post hamnar i spam-korgar.

Uppdatering 3: Nu har även DN skrivit om att flertalet experter påpekade detta problem redan 2012.

Kampanj för ökat signalskydd

SignalskyddMyndigheten för samhällsskydd och beredskap (MSB), Försvarsmakten och Försvarets Radioanstalt (FRA) inleder nu en kampanj för att uppmärksamma vikten av bra signalskydd. En webbsida, informationsfolder samt film (se nedan) har upprättats för ändamålet.

Men vad är då signalskydd?

Signalskydd är nationellt godkända kryptosystem. Signalskydd och säkra kryptografiska funktioner kan användas för att skydda information från obehörig insyn och påverkan. Genom nationellt godkända system säkerställer man skyddsnivån och kvaliteten på såväl teknik, som regelverk, rutiner och behörighetsutbildning.

Tyvärr var sajten lite tunn på information men vi kan hoppas på att det fylls på med mer matnyttigt. Statistik som presenteras på sajten:

  • Enligt MSB:s enkätundersökning från 2014, svarade 84 % av de myndigheter som besvarat hela enkäten, att de har en informationssäkerhetspolicy.
  • 26 % av de myndigheter som besvarat hela enkäten kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna.

Richard Oehme, chef för verksamheten för samhällets informations- och cybersäkerhet vid MSB säger:

Vi menar att signalskydd är en av de viktigaste skyddsåtgärderna för att skydda myndigheters och andra organisationers information. Genom kampanjen vill vi öka förståelsen och medvetenheten om signalskydd och hoppas på en utökad användning av de signalskyddssystem som finns att tillgå

Informationsfilmen nedan är dock välgjord:

MSB Trendrapport – samhällets informationssäkerhet 2012

MSBMyndigheten för samhällsskydd och beredskap (MSB) har idag släppt en rapport vid namn Trendrapport – samhällets informationssäkerhet 2012. Rapporten är övergripande och omfattande och tar upp ett antal större händelser som inträffat under de senare åren såsom Anonymous, Stuxnet, E-legitimation och sociala medier.

Det vi finner är intressant är två kapitel som handlar om SSL-certifikat samt intrånget mot företaget RSA. Gällande angrepp mot bl.a. DigiNotar och SSL generellt så reflekterar MSB enligt följande:

– Att den teknik som används för att utfärda äkthetscertifikat till  webbplatser är känslig har varit känt under en längre tid. Det finns idag drygt 600 olika företag som agerar som centrala certifikatutfärdare, och det finns risker förknippade med en sådan mångfald av äkthetsintyg. Många tekniska bedömare betraktar redan den PKI-struktur (”public key infrastructure”) som används som otillförlitlig och en återvändsgränd. Skulle det visa sig att ytterligare falska  webbplatscertifikat inom kort kommer i omlopp så skulle det på sikt kunna minska tilltron till dataintegriteten hos ett stort antal webbtjänster i världen som förlitar sig på SSL. Det arbetas emellertid på lösningar. En av dem är att transportera certifikat via domänsystemet DNS, en metod som håller på att standardiseras av arbetsgruppen DANE inom internets standardiseringsorganisation IETF.

Klicka på rapporten nedan för att läsa den i sin helhet:

 

MSB Trendrapport 2012

Windows 8 lösenord, RC4, Google Wallet och MSB

Vi sammanfattar här några av de nyhterna vi tweetat ut de senaste dagarna:

Du följer väl oss på Twitter? https://twitter.com/kryptera