Taggat med: Stuxnet

Så utvecklas ett cybervapen

Cybervapen i ett cyberkrig

Vad är det som skiljer vanlig skadlig kod mot ett avancerat cybervapen och hur utvecklas ett cybervapen?

🚀 Stöd mitt bloggande via Patreon: https://www.patreon.com/kryptera

Enligt många säkerhetsforskare var Stuxnet ett av de första och mest uppmärksammade cybervapnet. Resurserna som behövdes för att utveckla Stuxnet och dess olika delar är troligtvis något som enbart en nation har: Flertalet programspråk, mängder av moduler, flertalet zero-days, kunskap om urananrikningsanläggningen Natanz centrifuger och stulna certifikat för att nämna några delar som gör att det troligtvis ligger en stat bakom.

Leveransdelen

Denna del av cybervapenet gör att den träffar sitt mål. Eller når rätt klient, hårdvara eller nätverk. Leveransen kan ske via E-post, USB-minne, CD-skiva eller fysiskt ansluta mot den server, klient, TV eller liknande. Vilket bl.a Vault7 läckorna från CIA visade på. Inte helt ovanligt att HUMINT- och SIGINT -resurser nyttjas.

Leveransdelen kan också ske i form av ett implantat som installeras när utrustningen skickas ut till kund. För att nå sitt slutgiltiga mål som kanske är längre in i nätverket kan även zero-days användas eller kod för att detektera och ta sig förbi airgaps eller luftgap som det också kallas. Nätverk som är känsliga och inte anslutna till internet exempelvis.

Verkansdelen

Verkansdelen tillgodoser att målet med cybervapnet uppnås. Det kan vara att påverka en process i ett SCADA-system eller förstöra vitala delar i samhällskritiska system. Även kan detta vara att exfiltrera känslig information från målsystemet.

cybervapen

Kommunikationsdelen

Denna del är inte alltid nödvändig men gör det möjligt att via ett unikt ID ringa hem och meddela att cybervapnet har nått sitt mål eller utfört ett delmål. Kommunikationsdelen är också viktig om cybervapnet ligger dolt under en längre tid och ska aktivera verkansdelen på ett givet kommando.

För att försvåra upptäckt via nätverksforensik och IDS:er (intrångsdetekteringssystem) kan populära sajter såsom Dropbox, Twitter.com eller Instagram användas, givetvis krypterad med TLS.

Steganografi där meddelanden exfiltreras med hjälpa av bilder har även observerats samt kommunikation mot IP-adresser där satellitlänk används och antagonisten haft möjlighet att läsa av kommunikationen med hjälp av SIGINT (signalspaning) eller annan utrustning.

Om kommunikationsdelen använder redan befintlig infrastruktur för att uppdatera mjukvara eller kontrollera om nya versioner finns tillgängliga så är detta också svårt att detektera (se källa 4 nedan).

Kommunikationsdelen kan också användas för att ladda hem och aktivera nya moduler, droppers etc.

Stealth-mode

Det finns många sätt att försöka undgå upptäckt. Jag har tagit upp några sätt här på bloggen tidigare såsom ”Living-off-the-land” där komponenter som redan finnes i systemet återanvänds för andra syften.

En av de äldsta och vanligaste förekommande metoderna är obfuskering eller kryptering. Även kan relativt enkla saker såsom modularitet göra att det är svårt att se helheten i cybervapnet, exempelvis kan sniff-funktioner ligga i en modul, keylogger i en modul osv.

Även så finns det något som heter environmental keyed payloads där en modul kan vara krypterad med en nyckel som bara återfinnes i målnätverket eller systemet.

En annan viktig aspekt är OPSEC för de som utvecklar cybervapen. För allt lämnar spår och något som blir vanligare och vanligare är falskflaggning eller ”false flag”. Spåren kanske ser ut att peka mot ett land men kan i själva verket vara utvecklat av ett helt annat: Språk, tidzoner osv som kan ändras.

Persistens

Ibland så ligger verkansdelen enbart i enhetens RAM-minne och försvinner således om enheten krashar eller startar om. Men som vanligast så vill den som skapat cybervapnet att det ska ligga kvar under en längre tid och då finns det otroligt många sätt att gömma sig.

Jag gjorde denna video för ett tag sedan då jag går igenom 10 olika sätt att lägga in bakdörrar:

Propagering

En skillnad mellan exempelvis WannaCry och ett cybervapen är att cybervapnets målsättning enbart är att propagera inom ett mindre område. Det kan röra sig om en enskild organisation eller nätverk. Med en mindre spridning blir också en eventuell detektion svårare.

Propagering kan dock vara ett måste som jag skrev under leveransdelen så kanske det finns luftgap mellan processnätverket/hemliga nätverket och internet.

Upprensning

Den eller de aktörer som lägger resurser på att utveckla ett cybervapen vill gärna inte bli upptäckt. När uppdraget är slutfört ska vapnet radera sig själv, även kan det finnas en inbyggd räknare som automatiskt ser till att radering genomförs efter exempelvis 12 månader.

Gillar du detta blogginlägg? Bli gärna månadsgivare via Patreon:

Källor

  1. Turla malware
  2. Gauss payload
  3. Falskflaggning med CIA Marble framework
  4. M.E.Doc och C&C via uppdateringsservrar, NotPetya

Nytt verktyg för att upptäcka Stuxnet-liknande attacker

The Volatility Foundation som står bakom det IT-forensiska verktyget Volatility genomförde nyligen en tävling där den som tar fram det bästa pluginet till Volatility vinner 16000 SEK samt utbildning.

Vinnaren i tävlingen blev Monnappa K A som skapade hollowfind som underlättar detektion av process hollowing. En metod som avancerad skadlig kod såsom Stuxnet och Taidoor använt sig av. Metoden går ut på att byta ut en legitim process såsom lsass.exe mot den skadliga koden och på så sätt försvåra för antivirus samt IT-forensiska undersökningar.

Jag måste så klart testa detta nya plugin och se om det är möjligt att detektera Stuxnet, och som tur var så finns det färdiga minnesdumpar på infekterade datorer. Just denna minnesdump kommer från boken Malware Cookbook.

Först laddar vi hem minnesdumpen och packar upp den samt kontrollerar vilket OS som den skapats från:

$ for a in {a..d}; do wget https://github.com/ganboing/malwarecookbook/raw/master/stuxnet.vmem.zip.a$a; done
$ cat stuxnet.vmem.zip.a* > stuxnet.vmem.zip
$ unzip stuxnet.vmem.zip
$ volatility -f stuxnet.vmem imageinfo
$ export VOLATILITY_PROFILE=WinXPSP2x86

Och sedan laddar vi hem pluginet och testar det:

$ git clone https://github.com/monnappa22/HollowFind.git
$ volatility --plugins=./HollowFind/ -f stuxnet.vmem hollowfind

Vi ser då att två stycken lsass.exe flaggats som suspekta:

Type: Invalid EXE Memory Protection and Process Path Discrepancy

Volatility med HollowFind-plugin

Det var väl enkelt? Skulle vi analysera vidare så skulle vi även identifiera att lsass.exe lyssnar på port 500 samt 4500 vilket också är ett avvikande beteende. Även om man jämför antalet inladdade DLL:er:

$ volatility -f stuxnet.vmem sockets
$ volatility -f stuxnet.vmem pslist
$ volatility -f stuxnet.vmem dlllist -p 1928|wc -l
35
$ volatility -f stuxnet.vmem dlllist -p 868|wc -l
15
$ volatility -f stuxnet.vmem dlllist -p 680|wc -l
64

Ett till plugin för att försöka identifiera skadlig kod följer med och heter malfind.  Ett annat intressant bidrag i tävlingen och som kom på tredje plats är “The Advanced Malware Hunters Kit”.

Mer om tävlingen och andra bidrag kan du läsa här.

Vad innebär en aktiv svensk cyberförmåga?

cyberförmåga

SOFFUnder onsdagen höll Säkerhets- och försvarsföretagen (SOFF) ett lunchseminarium gällande aktiv svensk cyberförmåga.

Talare var följande tre personer:

  • Ingvar Åkesson, tidigare GD FRA. Numera PwC Ekelöw
  • Fredrik Wallin, FRA
  • Johan Sigholm, Försvarshögskolan (ersatte Lars Nicander)

Förutom ovanstående talare var det cirka 30 personer anmälda. Från företag och organisationer såsom Ekelöw, Bitsec, Regeringskansliet, Krigsrådet, KKrVA, Ganeida Security, CGI, SAS Institute, Försvarsmakten, Eltel Network, Inspektionen för strategiska produkter, Triop.

Första talare ut var Fredrik Wallin som berättade om skillnaden mellan CND, CNE och CNA:

  • CND, computer network defence
  • CNA, computer network attack
  • CNE, computer network exploitation

FRAFredrik berättade även om cybervapnet Stuxnet samt att FRA har möjlighet att följa angripare i deras framfart mot svenska intressen. Även så understrykte Fredrik vikten av samverkan mellan myndigheter.

Den andra talaren var Johan Sigholm som berättade vad FHS gör inom cyberområdet. Johan berättade att cyberövningar är ett bra sätt att träna upp förmågan samt att det lag som brukar ligga bäst till vid övningar är de som representerar privata sektorn.

Att man bör se datornätverksoperationer (förkortat på engelska till CNO) som ett Venn-diagram där alla tre ben samverkar:

cyberförsvar

 

Behöver din organisation hjälp med ett aktivt cyberförsvar? Kontakta Triop AB →

Sista talaren var Ingvar Åkesson, och tidigare talare refererade till Försvarsmaktens regleringsbrev 2016 där följande framgår:

Försvarsmakten ska med stöd av Försvarets radioanstalt och eventuellt övriga berörda försvarsmyndigheter analysera och redovisa hur Sveriges cyberförsvar, inklusive en förmåga att genomföra aktiva operationer i cybermiljön, kan utvecklas och förstärkas. Föreslås konkreta åtgärder ska dessa rymmas inom given ekonomisk ram. Uppdraget ska löpande återrapporteras till Regeringskansliet (Försvarsdepartementet). En första delredovisning ska ske den 17 juni 2016.

Ingvar delade även med sig av några privata reflektioner från sin tid som GD och vad som kan göras inom cyberarenan.

Några punkter som Ingvar tog upp:

  • Förebygga cyberangrepp
  • Upptäcka cyberangrepp
  • Blockera angriparen
  • Vilseleda angriparen
  • Exploatera angriparens infrastruktur
  • Försvåra. Exempelvis DDoS mot angriparens infrastruktur
  • Förhindra. Slå ut angriparens infrastruktur

Viktigt att notera också att det är en skillnad  mellan aktiv och offensiv cyberförmåga.

Jag passade även på att fråga Johan Östlund på Ganeida Security om Sveriges cyberförmåga:

Sveriges aktiva cyberförmåga är ett mycket intressant och viktigt område och jag tycker det är bra att ämnet berörs. Dess känsliga natur gör dock att det är väldigt svårt att föra en rak och öppen dialog med berörda myndigheter.

Vidare säger Johan:

Detta är något av ett dilemma eftersom jag är övertygad om att privata aktörer har mycket att tillföra i utvecklingen av denna kapacitet. Min uppfattning är att myndigheterna aktivt måste söka kontakt med det privata näringslivet för att få fart på detta.

Vad gäller innehållet i själva seminariet kan jag tycka att man kanske borde ha lagt kunskapsnivån något högre och fokuserat mer på praktiska detaljer. Nu blev det väldigt mycket grundläggande teori.

4SICS: Ny konferens om SCADA-säkerhet

4SICS är en ny svensk konferens om säkerhet i cyberfysiska system (SCADA). Konferensen går av stapeln 22-23 Oktober 2014 i Stockholm.

Arrangörer är Erik Johansson samt Robert Malmgren som är två av sveriges främsta experter på IT-säkerhet i cyberfysiska system. Lokalen är Skyddsrummet som ligger på Söder Mälarstrand.

4SICS riktar sig till dig som jobbar med IT-säkerhet inom el, vatten, kärnkraft, transport eller energi -sektorn.

Att säkerhet inom SCADA är hett på tapeten bekräftas bl.a. genom att CERT-SE samt norska NSM NorCERT nyligen gick med ett meddelande om att norska energi- och olje-bolag blivit utsatta för riktade attacker. Samt så har många fortfarande Stuxnet färskt i minnet vilket anses vara ett välutvecklat IT-vapen.

Talarlista:

  • Stefan Lüders (CH) – Head of IT security at CERN
  • Joel Langill (US)  – Industrial Cyber Security Expert
  • John Matherly (US)  – Internet cartographer
  • Ruben Santamarta (ES)  – Principal Security  Consultant at IOActive
  • Sergey Gordeychik (RU) – SCADA StrangeLove ICS  Security Research Team
  • Erik Hjelmvik (SE)  – Security researcher and developer
  • Vyacheslav Borilin (RU)  – Business Development Manager
  • Margrete Raaum (NO)  – Statnett Security Incident Response Energy sector
  • Samuel Linares (ES) – Director at Industrial Cybersecurity Center
  • Anders Rodrick (SE)  – Founder and Principal Consultant at ARICT AB
  • Fredrik Hesse (SE) – Software Security Architect at Svenska Spel AB

Priset för två dagars konferens är 12.000 SEK + skatt. Detta pris gäller om du är snabb och registrerar dig för earlybird-priset.

Det går även att följa 4SICS på Twitter: @4sics

MSB Trendrapport – samhällets informationssäkerhet 2012

MSBMyndigheten för samhällsskydd och beredskap (MSB) har idag släppt en rapport vid namn Trendrapport – samhällets informationssäkerhet 2012. Rapporten är övergripande och omfattande och tar upp ett antal större händelser som inträffat under de senare åren såsom Anonymous, Stuxnet, E-legitimation och sociala medier.

Det vi finner är intressant är två kapitel som handlar om SSL-certifikat samt intrånget mot företaget RSA. Gällande angrepp mot bl.a. DigiNotar och SSL generellt så reflekterar MSB enligt följande:

– Att den teknik som används för att utfärda äkthetscertifikat till  webbplatser är känslig har varit känt under en längre tid. Det finns idag drygt 600 olika företag som agerar som centrala certifikatutfärdare, och det finns risker förknippade med en sådan mångfald av äkthetsintyg. Många tekniska bedömare betraktar redan den PKI-struktur (”public key infrastructure”) som används som otillförlitlig och en återvändsgränd. Skulle det visa sig att ytterligare falska  webbplatscertifikat inom kort kommer i omlopp så skulle det på sikt kunna minska tilltron till dataintegriteten hos ett stort antal webbtjänster i världen som förlitar sig på SSL. Det arbetas emellertid på lösningar. En av dem är att transportera certifikat via domänsystemet DNS, en metod som håller på att standardiseras av arbetsgruppen DANE inom internets standardiseringsorganisation IETF.

Klicka på rapporten nedan för att läsa den i sin helhet:

 

MSB Trendrapport 2012