Taggat med: Zerodium

Ökad detektion av 0-days

Googles specialgrupp vid namn Threat Analysis Group (TAG) har skrivit ett intressant inlägg om detektion av 0-days som används vid cyberattacker. 0-days är sårbarheter som är okända och ej åtgärdade av leverantören.

Tittar vi på statistik som TAG presenterar så har detektionen senaste året ökat markant över sårbarheter som utnyttjas ”in the wild”. Dvs sårbarheter som aktivt utnyttjas med en exploit och som sedan detekteras på ett eller annat sätt:

Bildkälla

Men vad beror denna ökning på? Jo det finns ett antal faktorer som spelar in:

  • Det finns fler aktörer som handlar med sårbarheter. Så kallade Cyber Arms Dealers eller exploitmäklare
  • Marknaden har blivit mer mogen och gör det svårare att ta sig in i system via mer traditionella sätt såsom social engineering
  • Vi blir bättre på att detektera 0-days
  • Aktörer såsom Google, Microsoft och Apple anger numera i sina säkerhetsuppdateringar om en viss sårbarhet som åtgärdats, utnyttjas aktivt ”in the wild”
  • Länders budgetar att utföra offensiva cyberoperationer antas öka successivt. Därmed även möjligheterna att införskaffa zero-days

Det jag hoppas och tror är att Apple i framtiden kommer att öppna upp iOS mer så att forensiska undersökningar ska bli lättre och därmed också möjligheterna att detektera 0-days i efterhand bättre. Detta är så klart möjligt i dagsläget till viss del med verktyg såsom MVT.

Värt också att notera är att de som utnyttjar 0-days är måna om att dessa inte detekteras och åtgärdas, därför använder man metoder såsom ECDH för att försvåra analys (anti-forensics).

Som jag också har skrivit om tidigare så ökar troligtvis även N-days/patchgapping-behovet och marknaden. För att nämna några företag som livnär sig i denna gråzon med att förmedla 0-days och utveckla trojaner/bakdörrar kan jag lista:

  • Candiru, Saito Tech Ltd
  • NSO Group
  • Memento Labs (fd. HackingTeam)
  • Gamma Group
  • Zerodium
  • DarkMatter. Med kontor i bla Finland under namnet Zeline 1 Oy, Digital 14 Oy
  • Exodus Intel
  • Endgame

Finns givetvis ett antal till. Kommentera gärna nedan om du känner till fler.

Bakdörr planterad i PHP-projektet

Någon eller några antagonister har lyckats att pusha ett förslag på ändring i källkoden till det populära PHP-projektet som används av ungefär 79% av alla världens webbplatser. Detta förslag på förändring innebär att om en user-agent http-header börjar med zerodium så körs eval på koden, dvs du kan köra vilken php-kod du vill.

Ändringarna genomfördes i namnen Rasmus Lerdorf och Nikita Popov som är två välkända PHP-utvecklare, dessa reagerade direkt och skickade ut ett mail till php-internals maillinglistan med bl.a. följande:

We’re reviewing the repositories for any corruption beyond the two referenced commits.

Transparensen som Github erbjuder är bra och gör att många fler på ett enklare sätt kan se ändringar i koden och därmed upptäcka eventuella bakdörrar. PHP-projektet meddelar även att de inte har tid eller möjlighet att underhålla git.php.net i framtiden och kommer nu enbart att köra med Github i framtiden. Om ändringarna i källkoden tagit sig ut i några skarpa system är oklart i dagsläget.

Ändringarna på github enligt följande:

Länk till ändringar med bakdörr:

Gällande referensen till Zerodium så har nu deras VD uttalat sig på Twitter:

https://twitter.com/cBekrar/status/1376469666084757506

Nya zeroday-priser från Zerodium

Jag skrev detta inlägg på LinkedIn men tänkte dela med mig av denna information även här:

Zeroday-förmedlaren Zerodium har uppdaterat sin prislista. Intressant är att priserna kopplade till Android ökat samt Apple iOS minskat. Vad beror detta på? 🤔

Några av mina gissningar:

✅ Googles arbete med att höja säkerheten i Android har gett utdelning

✅ Större efterfrågan från Zerodiums kunder som vill ta sig in i Android-telefoner

✅ Fler typer av uppkopplade enheter använder Android. Inte bara mobiltelefoner

✅ Det finns redan många iOS-exploits på svarta marknaden

Vad tror du?

Zerodium zero-day priser

Google identifierar ny avancerad attack mot iPhones

Googles Threat Analysis Group (TAG) har identifierat en ny watering hole attack som riktar sig mot iPhone-användare. Attacken är intressant på många sätt, bl.a. så uppger Google att attacken inriktas mot en viss typ av grupp samt att det faktum att fem olika exploit-kedjor används för att ta sig in i iPhones. För en säkerhetsforskare som tar fram en enda exploit-kedja och säljer den till företag såsom Zerodium kan ge upp mot 19 miljoner SEK enligt deras publika prislista.

Gällande exploit-kedjor så anger TAG följande:

seven for the iPhone’s web browser, five for the kernel and two separate sandbox escapes. Initial analysis indicated that at least one of the privilege escalation chains was still 0-day and unpatched at the time of discovery (CVE-2019-7287 & CVE-2019-7286)

När väl dessa sårbarheter utnyttjas så installeras sedan ett implantat som har möjlighet att läsa ut meddelanden ur end-to-end krypterade appar såsom iMessage, Whatsapp och Telegram. Även så kan detta implantat följa iPhone-användaren i realtid via GPS-koordinater som skickas till en Command and Control-server.

Just kommunikationen till C&C-servern går via HTTP och ej HTTPS vilket är annorlunda. Även kan dessa unika strängar användas för att identifiera kommunikation på nätverket:

  • 9ff7172192b7
  • /list/suc?name=

Ovan två förfrågningar går över HTTP GET alternativt POST.

Spekulationer om vem som ligger bakom dessa avancerade attacker riktas mot Kina eller grupperingar kopplade till Kina främst på grund av de omfattande sårbarheterna som utnyttjas mot iPhone samt att företaget Tencent är ett företag vars appar kontrolleras:

  • com.yahoo.Aerogram
  • com.microsoft.Office.Outlook
  • com.netease.mailmaster
  • com.rebelvox.voxer-lite
  • com.viber
  • com.google.Gmail
  • ph.telegra.Telegraph
  • com.tencent.qqmail
  • com.atebits.Tweetie2
  • net.whatsapp.WhatsApp
  • com.skype.skype
  • com.facebook.Facebook
  • com.tencent.xin

Google har själva också varit sparsamma med information gällande implantatet som installeras exempelvis har ingen information om C&C-servrar publicerats. Detta troligtvis eftersom en större utredning pågår av amerikanska myndigheter.

Uppdatering: Enligt källor till TechCrunch är det Uigurer som är målet.

Priser på zero-days

zero days

Det är intressant att titta på prislistor när det gäller zero-days. För den som inte är insatt så kan du få betalt för att identifiera nya sårbarheter och sedan skriva verktyg som utnyttjar dessa med programkod (exploit). Och vice versa så kan du betala för att köpa zero-days.

När du identifierat en (eller flera) sårbarhet och skrivit en exploit så kan du sedan sälja denna till företag såsom Zerodium och Exodus eller använda den vid Pwn2own-tävlingen.

Vad företag som Zerodium sedan gör med zero-dayen när de köpt den är troligtvis att de säljer den vidare till företag såsom Hacking Team eller myndigheter.

Men varför är priser på zero-days så intressant? Jo, för att pengar går att omsätta i tid och resurser. För att någon ska vilja ta sig in i din iPhone så ska de betala 13 miljoner SEK, något förenklat.

Och varför skulle någon vilja betala 13M SEK för att ta sig in i en iPhone? Detta beror på att målobjektet som någon är ute efter använder just en iPhone samt att säkerheten är så pass god. Samt att det verkligen måste spenderas mycket resurser för att lyckas utnyttja en eller flera brister. Andra saker att beakta är interaktionen som behövs för att erhålla kodexekvering, utbrytning ur sandlåda och persistens. Behövs det fysisk tillgång till telefonen eller räcker det med att skicka ett SMS?

Därför lägger även de som köper zero-days även resurser på att försöka sopa igen spåren efter att den utnyttjas med hjälp av anti-forensik. För de vill så klart ha möjlighet att använda zero-dayen mer än endast en gång.

Följande tabell visar på några av prispengarna vid tävlingen Pwn2own som anordnas av The Zero Day Initiative (ZDI), numera ägs av företaget Trend Micro:

Server Side 

  • Apache Web Server on Ubuntu Server – $200,000 (USD)

Virtual Machine Escape (Guest-to-Host)

  • VMware Workstation: $100,000 (USD)
  • Microsoft Hyper-V: $100,000 (USD)

Local Escalation of Privilege

  • Microsoft Windows 10: $30,000 (USD)
  • Apple macOS: $20,000 (USD)
  • Ubuntu Desktop: $15,000 (USD)

Web Browser and Plugins

  • Microsoft Edge: $80,000 (USD)
  • Google Chrome: $80,000 (USD)
  • Mozilla Firefox: $30,000 (USD)
  • Apple Safari: $50,000 (USD)
  • Adobe Flash in Microsoft Edge: $50,000 (USD)