Taggat med: Remote Access Trojan

Test av MISP, threat sharing

MISP är ett projekt som startades av den belgiska försvarsmakten runt 2011 för att sedan fångas upp och vidareutvecklas av NATO. Projektet är i dagsläget oberoende men finansieras helt eller delvis av CIRCL – Computer Incident Response Center Luxembourg samt EU. Förkortningen MISP stod från början för Malware Information Sharing Project men numera heter projektet enbart: MISP, threat sharing.

Men vad är då MISP kanske du undrar? Jo det är ett verktyg för att underlätta lagring, sökning och kategorisering av cyberunderrättelser, främst olika former av IOC:Er (Indicators of Compromise). Men du kan skriva hela rapporter i MISP:en och länka direkt till IOC:er inom MISP.

När du arbetar mot MISP:en manuellt så kan man säga att du genomför tre steg för att lägga in information om en händelse, eller Event som det heter på MISP-språk. Dessa tre steg är:

  • Skapa Event
  • Lägg till attribut och attachment
  • Publicera eventet

Video som förevisar dessa steg:

Attributen som du kopplar till händelser kan vara checksummor till skadliga filer, textsträngar som återfinnes i exploits, skadlig kod, IP-adresser, domännamn och mycket mer. Här kan du se en lista med samtliga attribut.

Relativt nytt är också att du kan skriva rapporter under event, dessa rapporter kan sedan länka vidare till olika typer av attribut. Rapporterna skrivs i märkspråket markdown.

Exempel på en rapport för Winnti Group:

Och styrkan i MISP är att att dela med sig av denna information. Därav finns det ett avancerat system för vilken information du kan dela med dig av till vem. Det går även att koppla ihop flertalet MISP:ar så dessa synkroniserar information löpande. Även kan MISP:en hämta in olika former av former av feeds i format såsom csv, misp och fritext. Standard så följer 63 olika externa feeds med i MISP som du kan slå på.

Du kan sedan konfigurera dina säkerhetssystem att hämta IOC:er från din lokala MISP, det finns exempelvis stöd i Zeek (fd Bro). Även kan du koppla MISP mot andra system såsom OpenCTI, TheHIVE och MITRE ATT&CK.

När jag testade att starta upp en instans av MISP så var detta mycket enkelt med hjälp av Docker. Men tänk på hur du publicerar din MISP-instans mot internet, för sårbarheter finns det gott om i MISP. Bara detta året har 15 st CVE:er publicerats, men om detta är ett bra mätetal för säkerhet är en helt annan diskussion.

Om Er organisation verkar inom en viss bransch så rekommenderar jag att ni sätter upp en gemensam MISP inom just Er bransch. Men tänk också på att ni måste ha kompetens och en förmåga att underhålla och lägga in information i MISP:en. Här i Sverige har exempelvis Sunet en MISP-installation som Sunet-anslutna lärosäten kan använda sig av.

Är ni en stor organisation med egen ThreatHunting-kapacitet eller en CERT så kan det också vara läge att sätta upp en egen MISP där ni kan lägga in IOC:er och bygga upp er CTI, Cyber threat intelligence.

För API kan man använda PyMISP eller REST-gränssnittet, här testar jag en sökning med hjälp av curl och söker efter 89.203.249.203:

Svaret returnerar ett event info som säger Benkow.cc RAT feed.

Under huven så drivs MISP av en PHP-baserad applikation som använder sig av Apache, MySQL och Redis. MISP:en stödjer även ZeroMQ, Yara och kan exportera/importera STIX 1+2.

Några kommentarer om intrånget mot Gunnebo

Uppdatering 1: Se längre ner.

Uppdatering 2: Brian Krebs gick redan ut i Feb/Mars och kontaktade Gunnebo efter att en server som tillhör dem stod exponerad ut mot internet med RDP-öppet. RDP är ett protokoll som möjliggör fjärradministration, och enligt Brian så var lösenordet password01. Dock är det oklart om det var via denna RDP-exponering som angriparna tog sig in.

Jag tänkte kommentera några saker gällande intrånget hos säkerhetsföretaget Gunnebo och hur denna typ av grupperingar arbetar.

Först och främst så är det enbart en sak som gäller för dessa antagonister: Pengar. De gör detta enbart för ekonomisk vinning, men Sverige som land drabbas på många olika sätt. Ritningar och information om känsliga system hos myndigheter såsom Försvarsmakten, FRA och Riksbanken kan i detta fall ha läckt ut. Det är rätt av Gunnebo att inte betala lösensumma till utpressarna, jag rekommenderar att aldrig göda denna typ av illegal verksamhet. Gunnebo kan själva också drabbas så klart, på flertalet sätt såsom mindre orderingång, prestigeförlust, negativ aktiekurs osv.

För organisationer som jobbar med leverantörer och underleverantörer såsom Gunnebo gäller det att dela med sig av minimalt med information. Efter uppdraget är slut eller upphandlingen är avklarad är det viktigt att gallra och radera information. Det gäller även eventuella backuper, mail-lådor osv där känslig information också kan sparas under en längre tid.

Intrånget genomfördes mest troligt på följande sätt:

En eller flertalet anställda får riktad E-post under längre tid där budskapet finjusteras till just att träffa deras organisation.

Mailet innehåller en bifogad fil alternativt en länk till en bifogad fil där mottagaren uppmanas att öppna filen. Denna fil innehåller någon typ av RAT (Remote Access Trojan) som inte upptäcks av antivirus-program.

Angriparen får nu ett initialt fotfäste inom Gunnebo och kan börja utforska system och behörigheter. När angriparen är väl innanför det yttre perimieterskyddet så har de flesta organisationer ett något sämre skydd och separation.

Detta är en kritisk punkt: Om organisationen har väl fungerande sensor-system så fångar dessa upp avvikande aktivitet hos användaren eller systemet. En SOC (Security Operations Center) kan fånga upp händelser när angriparen försöker eskalera rättigheter och genomföra lateral movements (sidorörelse?). Organisationen måste då snabbt isolera systemet och genomföra IT-forensik och Threat Hunting med ett EDR-system (Endpoint detection and response). Även kan kommando-kanalen (C&C) fångas upp med ett system som tittar och analyserar nätverkstrafiken, samt själva exfiltrationen som i detta fall handlade om 7.6TB som skickats ut ur nätverket.

Desto längre tid angriparen kan vara i nätverket och utforska desto mer system kan de erhålla tillgång till och sno information från.

Du bör även testa denna förmåga med återkommande annonserade och oannonserade tester. Hela flödet samt inviduella tester såsom phishing-tester mot personal, som förhoppningsvis utbildas löpande i detta.

Utpressarna har troligtvis krypterat delar eller stora mängder med information hos Gunnebo. Därför är det också viktigt att ha backup och testa dessa rutiner kontinuerligt.

Mount Locker som ligger bakom attacken mot Gunnebo arbetar troligtvis med flertalet andra hacker-grupper som tillgodoser den initiala intrångsvektorn. De ger sig på större organisationer såsom börsbolag som har möjlighet att pynta upp över 10 miljoner SEK i lösensumma.

Cybersäkerhet är inte lätt och måste få kosta tid, pengar och resurser

Ledningen måste vara med på tåget och tillgodose att detta finns avsatt och prioritera just detta. Distansarbete i samband med COVID-19 gör också att hotbilden förändras och VPN används i större utsträckning, jag återkommer med ett separat blogginlägg om detta.

Här är en lista med 861 andra organisationer som blivit utsatta av ransomware av 18 olika ransomware-grupperingar:

Uppdatering:

En annan aspekt i det hela att Gunnebo även utvecklar mjukvara till deras fysiska säkerhetssystem. En väl placerad bakdörr i denna mjukvara gör att en angripare kan ta sig förbi det fysiska skyddet.

Från darknet (Tor .onion) så kan man se följande skärmdumpar (källa)

Och den som vill djupdyka närmare när det gäller den typ av skadlig kod som troligtvis riktats eller använts mot Gunnebo kan se mer på Google-ägda VirusTotal.

Ny trojan utnyttjar OLE-sårbarhet i Microsoft Office

PowerPoint malware

Sårbarheten som går under benämningen CVE-2017-0199 utnyttjas i en ny spearphishing-kampanj. Sårbarheten återfinnes i Microsoft Office gränssnitt mot Object Linking and Embedding (OLE). Samma sårbarhet har även tidigare utnyttjas i bank-trojanen DRIDEX.

Attacken går ut på att en PowerPoint-bilaga med filändelsen .PPSX skickas till målet på följande sätt:

När målet sedan öppnar den bifogade PPSX filen så visas texten CVE-2017-8570 i dokumentet. Men sårbarheten som utnyttjas i dokumentet är i själva verket CVE-2017-0199. Bifogat i PPSX-filen så finnes filen ppt/slides/_rels/slide1.xml.rels som i sin tur laddar hem logo.doc externt.

Logo.doc är dock en XML-scriplet som laddar hem trojanen Ratman.EXE dvs REMCOS RAT vilket följande skärmdump från Wireshark visar:

Remcos är en kommersiell fjärrstyrningsmjukvara/RAT och kan köpas för cirka 500kr eller laddas hem gratis.

Skärmdump som visar på funktionalitet hos Remcos:

Källa: TrendMicro