30 December 2017 - Blog Post # 672
DDOS service
Igennem mange år er julen bla. kendt for et kænpe spring i antallet
af DDOS attacks netop i jule dagene. Denne gang har FBI været pænt
fremsynet og
taget 15 af de største ned lige inden julen. Tænker at mange nu
kan game uforstyrret igennem julen.....
FBI jagter nu alle dem med en konto på en af disse DDOS services.
Måske nogen så får en extra julegave
92 SCADA IDS Rules
Efter frigivelsen af de første 69 SCADA IDS Rules, har jeg modtaget
flere pcap filer fra SCADA miljøer. Derfor har jeg opdateret de
nuværende 69 IDS rules til 92 SCADA IDS Rules.
Når man kigger ind i SCADA net med IDS systemer bør man se efter
anomale ting, dette har jeg også gjort med disse rules og de
tidligerer. I de nye pcap filer har jeg bemærket 2 væsentelig ting i
disse som jeg kort vil beskrive.
TCP Zero Windows
Når der foretages nmap scanninger imod SCADA udstyr så skal man være
meget opmærksom
på at da SCADA enheder typisk ikke har nogen særlig kraftig CPU, der
i forvejen er afsat til afvikling af den kode som de nu engang skal
køre. Med en simpel nmap scanning vil der ske det, at når der nmap
scannes imod enheder deres står og afvilker kode så er de yderst
nemt at opnå en "TCP
Zero Window" Det betyder kort sagt at enhenden nu ikke længere
kan behandles flere forespørgelser af enheden, så selvom man port
scanner imod noget der ville være åbent så vil man ikke set det i
sin nmap scanning alligevel, yderligere kan der opstå en DOS
tilstand på den enklete SCADA enhed. Scanner man i et
produktions miljø kan en simpel nmap scanning så kan det få
katastrofale konsekvenser for produktionen. Benyt derfor timer
funktionen i nmap såfremt et SCADA net ovehovedet skal scannes og
sæt denne lavt.
DNS
DNS er set i forbindelse med at disse PCAP filer er optaget i et
storet SCADA test netværk. Der er ikke en DHCP server eller DNS
servers til rådighed i et vel administreteret SCADA net. Så at se
efter DHCP Request bør få alle klokker til at ringe og DNS
forespørgelser bør ikke forekommer overhovedet. Men hvorfor ikke
opsætte DHCP og en DNS server på et SCADA net. Her tænker jeg det
udstyr der der bliver sat "ulovligt" på SCADA nettet kan man så
tildele IP, DNS og Gateways hen imod sinkholet net og honypot
systemer. Dette ville være rigtig godt til at fange uønsket ting der
bliver koblet på et SCADA net. Bare det at smide en almindelig
ubuntu maskine på et SCADA net vil give alerts big time for slet
ikke at nævne bare det en browser i dag starter som Firefox, IE og
Chrome laver ustyrligt mange DNS opslag rent default. På denne måde
kan man afslører rigtig mange ting der foregår som ikke burde
foregå. Alle logs kunne opsamles via et SIEM system og alerting
kunne laves på det.
Frigivet IDS Rules
Såfremt man syntes man skal kører nmap scanninger i sit
SCADA net vil jeg anbefale at man enten slår "General rules for NMAP
identification - SID:100001001 - SID:100002000" fra eller man
opsætter
Rule Threshold - Limit to logging 1 event per 60 seconds
26 December 2017 - Blog Post # 671
4SICS - Nogen laver NC3 challenges. Men her laver vi PCAP
challenges.......
Basseret på frigivelse af ca 359MB pcap filer fra
netresec fra 4SICS, har jeg gennemgået disse for at se hvordan
SCADA
systemer angribes. Med almindelige SNORT eller ET-PRO rulesets er
der meget begrænset genkendelse af angreb imod typisk SCADA udstyr.
Med default opsatte rules fik jeg til at starte med 0 Alerts. Derfor
har jeg faktisk lavet 69 IDS rules til hvad der
sker i de frigivet pcap filer. Så nu kommer der alerts BIG Time....
De er jo begrænset til det jeg har set ske i disse PCAP filer og de
er lavet for at finde en metodik til generiske IDS rules og
metodikker for oprettelse af IDS Rule sets, der skal overvåge SCADA
netværk. Metodikken til at overvåge SCADA netværk er ikke så
forskellige som overvågning af almindelige netværk. Trafikken er
faktisk også meget begrænset til forholdsvis få protokoller porte
osv.
Dog ligger den store opgave i at kende sit eget netværk, men har man styr på det, vil det være en overkommelig opgave at opsætte IDS til overvågning af SCADA netværk. Det kræver dog at der bliver lavet IDS Rules ud fra PCAP filer optaget fra alle ens SCADA enheder, her er det ikke hver eneste men begrænset til modeller og versioner. Assesments til denne type netværk kræver dog lidt hardware hvilket ikke er dyrt, jeg har det selv liggende til en overkommelig pris.
Selve metodikken beskrev jeg på mit gamle netcowboy.dk web-site
tilbage i til 17 Oktober 2015 - Blog Post #502
Missede du denne kan du
hente den her i
PDF format.
IDS rules frigivet
Der er forskellige kategorier. Det er ikke de rigtige til alle
net, men vil alligevel sikkert kunne blive brugt af nogen.
Anbefaling
Jeg vil anbefale at man tager sin pcap fil og ruller denne igennem
tshark med følgende command:
tshark -r input.pcap -T fields -E
occurrence=f -e eth >
c:\output.txt
OBS - Benytter man
eth.src
får man en ren MAC liste.
Det er langt hurtigerer at få et MAC-adresse
ejer overblik over hvad der egenteligt kører på ens netværk af
forventet SCADA udstyr via et MAC adresse overblik og det kan spare
en for bunker at tid i jagten på SCADA enheder. Har selv lavet et
lille powershell script der kan slå alle MAC ejerer op ud fra en TXT
file med MAC adresser.
Yderligere vil jeg anbefale at alle rules bliver kørt på en
Security Onion,
det giver mange gode muligheder enten via ELSA eller via ELK at
opsætte alerts og anden for for databehandling. Kender ikke til
nogen kommercielle løsninger der kan give den samme mulighed for
netværkovervågning end en gratis Security Onion. Alt hvad du skal
bruge ligger der.
Jeg drømmer
om den dag hvor SNORT virker ned på MAC adresser....Det ville godt
nok hjælpe på en assesment !
Man kan benytte Wiresharks eget
online OUI tool.
https://www.wireshark.org/tools/oui-lookup.html
Basic known rules
Dækker over typiske ting jeg ser ske og som ikke burde ske i et
SCADA netværk, så som nmap scanninger, brute force attacks, SSH på
unormale porte, Remote Shell, Telnet på unormal porte, SSLv2 og 3
enheder, SNMP og HTTP.
Known SCADA equipment detection rules
Dækker over de enheder jeg har kunne finde trafik til der kan
genkende enheden ud fra tilgangen til disse enheder helt ned til model nummer. Jeg vil nok ikke
anbefale at de er aktive hele tiden men kun i forbindelse med en
assesment periode. De dækker jo langt fra over alt det der i dag
findes derunde af SCADA enheder.
17 December 2017 - Blog Post # 670
Endnu en Bitcoin Miner
Rig EX skubber igen bitcoin miners ud. De fleste bygger på en forked
version af Pooler's CPUMiner. Der er fin AV detection på alle
sammen, så ingen problemer der. Dog kan de køre på forskellige OS.
IDS Rule Frigivet
Ligner næsten IDS rule fra XmRIG.
16 December 2017 - Blog Post # 669
Bitcoin krusens skyld ?
Efter at Bitcoin kurserne er exploderet, ser vi nu en del Miners der
bliver spredt via de kendte exploit kits og Botnets.
Senest er open source XmRIG på vej ud i stort tempo.
Bemærk lige at al den energi mængde vi bruger i hele Danmark om
året er den samme mængde energi der bruges alene på BitCoin mining i
verden i dag. Det er ikke holdbart, det er også en af
årsagerne til jeg ikke er tilhænger af BitCoins. Politikkerne må
vågne lidt op nu. Flere lande har allerede truffe et standpunkt i
forhold til crypto valuta. Iden er god men energi forbruget er
yderst skidt for os alle. Alene det burde være argument nok til ikke
at tillade det.
IDS Rule frigivet
Kunne kun finde rules der ser efter andet en helt bestemte
kampanger. Den frigivet rule herfra ser efter alle versioner af
XmRig Trojan. Lidt tung IDS Rule med alle bliver fundet og
identificeret.
13 December 2017 - Blog Post # 668
Hvem kan ikke li popcorn
Lader til at ISP'erne i Danmark nu skal blokke for domæner der
tilhøre Popcorntime. Jeg har skrevet om netop popcorntime tilbage i
Oktober 2016. Allerede fra dengang til nu er næsten alle domæner
skiftet ud. Hvordan forventer Statsadvokaten nogen siden at vinde
noget som helst her ved DNS blokeringer ? Det er mig en gåde.
De domæner de har beslaglagt er i virkeligheden ikke beslaglagt. De
skulle nok have været sinkholet men lige nu virker de dog stadig
fint (Testet imod TDC DNS servers) Den liste af domæner jeg kender
fra Oktober 2016 til i dag ser meget anderledes ud, gad vide hvem
der fremadrettet skal vedligeholde denne ? Det bliver jo endeløs
spil af penge til advokater.
Det virker også som om at de går efter de forkerte personer og ikke
bagmændene bag Popcorntime og alle dem der hoster deres
infrastruktur. Det kunne være de skulle prøve det, da det nok ville
have en bedre effekt, end at jagte brugerne som tit ikke ander hvad
der er lovligt på Internettet og hvad der ikke er.
Allerede under opstarten af popcorntime beder de dig starter din VPN. Man kan ikke fjerne VPN fra Internettet såfremt de skulle få en god ide her.
IDS Rule frigivet
Alle de gamle IDS Rules jeg tidligere havde frigivet er fjernet, da
de simpelthen ikke virker mere. Dog har jeg bemærket at SØIK (Særlig
økonomisk og International kriminalitet) har fået oprettet et
sinkhole til alle de domæner som de ved dom har overtaget. En IDS
rule til dette er frigivet i stedet for.
11 December 2017 - Blog Post # 667
Kæmpe bunke Yara rules
Det var godt nok mange Yara rules på en gang der er frigivet på
github af icewater. Det virker næsten som en fejl at de er frigivet,
men har da hentet en kopi af det hele...
Download herfra:
https://github.com/SupportIntelligence/Icewater
10 December 2017 - Blog Post # 666
Darkweb browser detection - hmmmm
Sjovt som ting får nye navne når befolkningen snakker om det. Men
darkweb browseren (hørt i radioen) altså
TOR Browseren
som er så "annonym" benytter et NAT tjek for at kontrollerer om den
befinder sig bag en NAT enhed. Fordi den laver det tjek, kan man
altid se om der er en der benytter sig af TOR Browseren og som
ønsker at være annonym. Dette tjek sker hver gang TOR browseren
starter op.
Det er i virkeligheden TLS trafik og kan decodes rimelig nemt i Wireshark. Man behøver dog ikke decode for man kan se direkte ind TLS data pakken.
Tidligerer frigivet IDS Rule
Jeg har tidligerer frigivet en IDS rule, denne var dog ret svag og
ikke aktiv som default da den krævede man skulle ændre i snort.conf
før end at den virkede.
IDS Rule frigivet
Denne lader til at virke hver gang og kræver ingen ændringer i
snort.conf. Så ønsker man at finde dem der benytter en TOR Browser,
så er der her en mulighed.
9 December 2017 - Blog Post # 665
SHODAN en velkendt scanner.
Jeg har flere gange nævnt at det bestemt ikke er hensigtsmæssingt at
få sit udstyr scannet af SHODAN. Nu lader det til at SANS også har
fået samme holdning, hvilket jeg syntes også var på tide men rigtig
godt.
SANS daglig identificering af SHODAN
SANS har nu frigivet en URL hvorfra det er muligt at hente dagens
høst af SHODAN scanners.
https://isc.sans.edu/api/threatlist/shodan/
Dette virker direkte til IP tabels, hvilket er super fedt.
https://isc.sans.edu/forums/diary/Using+Our+API+To+Adjust+iptables+Rules/23113/
IDS Rules
Har opdateret IDS rules til dette. Bemærk at såfremt man ser disse
trigger, bør man tilpasse sine firewalls således at trafikken bliver
stoppet. Yderligere har jeg lavet en
liste med de IP adresser man bør blokke.
5 December 2017 - Blog Post # 664
Gamarue også kendt som Andromeda
takedown af FBI, Europol, Microsoft, Shadow Server mm
Tager hatten af for dem når de kan lave
denne type takedown. Syntes det er fedt når denne form for
samarbejde sker. Der burde ske meget mere af det.
Har selvfølgelig kigget på om man kunne lave lidt IDS rules der kan
identificere dette botnet, der er kendt for mere end 80 malware
familier. Det bedste er at se om der er trafik fra ens netværk til
nogle af sinkhole IP adresser som der benyttes til at sinkhole dette
"forholdsvis" store botnet.
Der findes lidt man kan kigge efter, som
er helt sikkert at se efter. Bestemt 1 IP adresse peger på Microsoft
også den del der er kendt for microsoftinternetsafety. Der findes
dog flere man kan benytte men har kun frigivet denne ene som burde
være nok. Det handler også kun om ca 1200+ domæner.
Læs mere her:
Microsoft
https://blogs.technet.microsoft.com/mmpc/2017/12/04/microsoft-teams-up-with-law-enforcement-and-other-partners-to-disrupt-gamarue-andromeda/
Europol
https://www.europol.europa.eu/newsroom/news/andromeda-botnet-dismantled-in-international-cyber-operation
Shadow Server
http://blog.shadowserver.org/2017/12/04/avalanche-year-two-this-time-with-andromeda/
IDS Rule frigivet
IDS rule er frigivet under Gamarue alias Andromeda BotNet. Bemærk at
jeg ikke har kunnet finde andre IDS rules der peger på dette.
30 November 2017 - Blog Post # 663
Det er næsten lige som godt som
at have en Trojan
RAT installeret.
Netop dette advarede jeg om på linkdin for en del dage siden. Der er
dog nu blevet publiceret en liste med en del danske domæner. Jeg kan
kun anbefale at man blokker alle domæner på listen indstil de har
fjernet disse scripts. Eller at man benytter ting som no-script osv.
Kan kun sige der er meget ufint
og så kan man ikke forstå, at folket benytter add blockers og
no-script osv.
Det her bidrager ikke til fordel for web-site ejerne.
Derudover kan man blokke disse domæner (Listen opdateret
02-12-2017)
clicktale[.]net
decibelinsight[.]net
fullstory[.]com
hotjar[.]com
inspectlet[.]com
logrocket[.]com
luckyorange[.]com
mouseflow[.]com
quantummetric[.]com
salemove[.]com
sessioncam[.]com
smartlook[.]com
userreplay[.]net
yandex[.]ru
Læs mere fra kilden her:
https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts/
Version2
https://www.version2.dk/artikel/315-danske-hjemmesider-filmer-hvordan-du-bruger-dem-totalovervaagning-1083285
Dk-Domæne liste
Hent
listen her med danske domæner
Den fulde liste fra kilden
https://webtransparency.cs.princeton.edu/no_boundaries/data/sr_site_list.csv.zip
Eller herfra
Networkforensic.dk
29 November 2017 - Blog Post # 662
Alternativet liste T.
Skal venligst gøre opmærksom på en lille forvirring ang Alternativet
og web defacement. Det er fra
Alternativet liste
T. Det Alternativet som de fleste kender ligger under liste Å
med Uffe Elbæk i spidsen. Men hvor kommer navnet så fra til
Alternativet liste Å kommer det mon fra
Odsherred ?. Men Alternativet litse Å vil ikke kendes ved
Alternativet liste T. Så meget kan jeg da konstaterer.
Beklager forvirringen Alternativet.
Men bare rolig...min IDS rule er heldigvis ligeglad med om det er
Alternativet eller andre der er blevet ramt af 7sign. Men jeg ville
da anbefale
Zitcom
at benytte den.
27 November 2017 - Blog Post # 661
DNS Tunneling Trojan er armatør
argtig
Unit42 har
publiceret en fin analyse af det de mener er forbundet med
APT-Oilrig. Det er et ret teknisk stykke malware, men måden DNS
tunnelen sender data på er begrænset til 4 Bytes pr. request . Dette
giver rig mulighed for at finde den på en DNS server. Mange DNS
servers i dag har en begrænsning på hvor mange DNS opslag det er
tilladt at foretage pr minut. Problemt er dog at finde denne
type DNS opslag såfremt det eksempelvis er en travl DNS server.
Bemærk at der i forhold til beskrivelsen og hvad de viser er
uoverenstemmeler i længder på unique identfer.
IDS Rule frigivet
IDS rule på domænet frigivet, selvom jeg stadig ikke er tilhænger af
IDS rules på DNS opslag. Det giver simpelthen for mange falske
positiver man så efterfølgende skal sidde og validerer. Har man
prøvet det ! Ved man at man ikke gidder det særligt længe. Jeg har
derfor lavet en IDS rule der ser generisk på udforminingen af DNS
opslaget op til de første 16 bytes. Jeg har ikke fået falske
positver ved replay af mere end 100GB trafik. Men man ved aldrig
hvordan det ser ud andre steder, så måske den vil kræve tilpasning.
26 November 2017 - Blog Post # 660
Website defacements er ikke nyt, langt fra.23 November 2017 - Blog Post # 659
Anbefaling
Blok for følgene domæne authorize-eu[.]com og kig efter de
hosts der har tilgået et web-site med følgende certifikat:
cert_serial=0315FFC1F9492F8AEA0F9A4CA7BA22174611
Søg på domænet
og få alle IP der har tilgåeet phishing sitet. Ud fra trafik kan det
ikke afgøres om brugeren har indtastet bruger navn eller password.
Kontakt brugerne.
webcmd.netflixsupport.billingupdate.authlogin.authorize-eu.com
groupby:srcip
23 November 2017 - Blog Post # 658
Fik en henvendelse om en manglende IDS rule
Det lader til jeg fik skrevet artiklen omkring RDP på unormale
porte, men aldrig fik publicret denne IDS rule. Det er den så nu -
Beklager det gik sikkert lidt for hurtigt.
Den er publiceret med sid:5022601
17 November 2017 - Blog Post # 657
27.000 medarbejdere med admin rettigheder og passwords der ikke har været udskiftet i 9 år12 November 2017 - Blog Post # 656
Hacker adgang via RDP på random porte.
IDS Rule frigivet
Jeg har på baggrund af dette, lavet en IDS Policy Rule der
kigger efter RDP forbindelser på porte der normalt ikke benyttes til
RDP.
22 Oktober 2017 - Blog Post # 655
IDS ruels til Necurs Botnet
IDS Rule frigivet
Har selvfølgelilg frigivet en IDS rule der kigger efter
POST imod domæner med en Microsoft User-Agent som ikke er relateret
til Microsoft / windowsupdate.com
21 Oktober 2017 - Blog Post # 654
0-day exploit i MS-Office
Info
Sensepost har frigivet information om hvad nogen kalder for et
exploit 9 Okt 2017, det vil jeg nok ikke kalde det, men nok mere en
udnyttelse af features i MS Office der leder til ren command
execution.
Ondsindet kode i omløb
Lidt nu er der blevet opfanget kode der installerer bla. Locky
Ransomware, DNSMessenger mm. Dette sker bla via Necurs Botnet som
kontrollere mere end 6 millioner pc'er verden over. Der er
ikke ummidelbar god genkeldelse af denne type angreb. Kun 15 ud
af 60 AV producenter fanger det.
Test
Jeg har
frigivet en test
man
selv kan prøve med følgende kode indlejret: -> Password: NETC123
{DDEAUTO c:\\windows\\system32\\cmd.exe
"/k calc.exe" }
Anbefaling
Jeg ved ikke om Microsoft lige er på trapperne med en fix til dette
problem, men lige nu virker det i Word og Excell. Jeg kan klart
anbefale at man slår "Update
automatic links at open" fra i både word og excell. Kan også
gøres som herunder via et reg hack.
Command execution kan spottes såfremt man benytter sysmon, her kan
man se at office har været startet med et Command line argument.
Ref til reg filer
https://gist.github.com/wdormann/732bb88d9b5dd5a66c9f1e1498f31a1b
13 Oktober 2017 - Blog Post # 653
Phishing med overraskende stor succes
Lidt lærer penge til alle der benytter Office 365
Har netop været på et kursus hos SANS i Prag. Her var der en der
fortalte os hvor stor susses Phishing imod virksomheder der benytter
sin af Office 365 egentelig har
Vi har på det seneste set en del angreb imod virksomheder der benytter sig af Office 365. Det foregår som almindelige phishing angreb. Brugerne hopper så i fælden og giver sit password til hackerne bag phishing sitet. Nu kommer så det der overrasker.....
Hackeren logger så på udefra til Office 365. Her kan han have adgang indtil at det opdages at brugeren er blevet udsat for Phishing. Typsik vil virsomheden så lave et password reset på den pågældende bruger der er blevet udsat for phishing. Her skulle man så tro at man var "home safe" Men nej... Hackeren har adgang indtil at den validerings token udløber som virksomhedens har udstet via egen AD controller op imod Office 365. Typisk er det fra 1 til 7 dage. Som virksomhed skal man tilsikre at alle udstete tokens bliver resat og ikke kun brugerens password.
Bemærk at mange også har bla, sharepoint sites, onedrive, kontakter, mails mm liggende på Office 365. Her er det vigtigt at alle ADFS logs bliver gennemgået for x-fil af data fra disse. MEGET VIGTIGT...Yderligere skal man tjekke brugerens konti da hackeren typisk opretter forward rules direkte fra brugerens slettet mails. herfra begyder hele cirkuset til CEO-Fraud.
Anbefaling
Såfremt man benytter sig af løsninger som office 365 eller
tilsvarende. Så er det et yderst vigtigt at man benytter sig af two
factor authentication. Dette skal også gælde for mobil telefoner og
mobil telefon kan ikke bruges som en second factor, såfremt der også
ligger mails på den.
Det er næsten det eneste der tilsikre at virksomheden ikke mister alle sine data, ved simple angreb som det her. Derudover siker two factor authentication også imod så meget andet.
IDS Rule frigivet
Har selvfølgelilg frigivet en IDS rule der kigger efter
Office 365 Phishing web-sites.
29 September 2017 - Blog Post # 652
Det er altså en ommer.23 September 2017 - Blog Post # 651
CCleaner er også en del af ens supply chain.16 September 2017 - Blog Post # 650
Bekæmp Ransomware med Windows Software Restriction Policy.20 August 2017 - Blog Post # 649
Syn Attack Detected og manglende Event ID's.9 August 2017 - Blog Post # 648
Konstante scanninger fra University of Michigan.2 August 2017 - Blog Post # 647
Stretchoid er endnu en bunke af servers der scanner din infrastruktur konstant
Domains by proxy
Faldt over en bunke af IP adresser der scanner konstant og
gemmer deres domæne bag
Domains By
Proxy.
Lært fra tidligerer, så snart dette er tilfældet at nogen prøver at
gemme sig bag denne type service så er det typisk fordi det bliver
benyttet til lyssky formål. Antallet af ip adresser som benyttes er
væsenteligt højere end det som benyttes af eks. SHODAN.
IP adresser
De benytter sig af IP adresser tildelt fra DigitalOcean og
kommer typisk fra et rimeligt stort IP range 45.55.0.0/16. Disse
indeholder også valide systemer, så man skal skal ikke bare blokke
hele ip rangen. Den bedste måde at identificere dem på er ved at
slå PTR recorden op og kigge efter
domænet i PTR recorden stretchoid[.]com.
Identificert IP
adresser der kan blokkes i firewalls mm.
De IP adresser som jeg har identificeret kan downloades herfra i en
zip fil som
indeholder en txt fil med de 152 IP adresser jeg pt. har kunnet finde
på dem. Vil man være rigtig hård i sine blokeringer kan nedstående
IP ranges blokkes, men man vil komme til at blokke for legale
domæner.
45.55.0.0/24 45.55.1.0/24 45.55.2.0/24 45.55.3.0/24 45.55.4.0/24 45.55.5.0/24 45.55.6.0/24 45.55.7.0/24 45.55.9.0/24 45.55.13.0/24 |
45.55.14.0/24 45.55.15.0/24 45.55.16.0/24 45.55.17.0/24 45.55.18.0/24 45.55.19.0/24 45.55.20.0/24 45.55.21.0/24 45.55.22.0/24 |
Microsoft går efter Fancy Bear - APT 28
Fancy Bear
Fancy Bear eller APT 28 er en russisk relateret hacker gruppe som
efterhånden menes at stå bag mange forskellige hacks rundt om i
verden.
Lister med domæner
I forbindelse med den
Court order som er frigivet er der også frigivet en stor bunke
domæner hvor den ene er på 78 domæner og en anden liste er på intet
mindre end 35.842 domæner.
Anbefaling
Jeg vil anbefale at man som min kigger efter domæner fra den lille
liste på 78 domæner i egen infrastruktur. Dette skal gøres helt
tilbage fra omkring august 2016 og frem. Ellers kan man holde øje
med forbindelser til IP 40.112.210.240. Enhver form for forbindelser
til denne IP skal man betragte som en mulig inficeret host og en
mulig fuld komprimitering af ens infrastruktur.
Lister
Begge lister kan hentes herfra -
24 Juli 2017 - Blog Post # 642
SHODAN har fået nye ip adresser de scanner fra
SHODAN
Shodan er efterhånden en velkendt scanner der konstant står og
scanner Internettet efter åbne porte og servises. Disse havner i
deres databaser og bliver metadata indexceret. Hackers og security
researchers kan herefter hente data som nu ligger hos SHODAN og
benytte disse. SHODAN har for et stykke tid siden tilføjet nye ip
adresser de benytter til at scanne fra.
Problem stilling
Når man bliver scannet kan det eks. være ens web-server. Denne
behøver ikke at fejle noget, men hvis en hacker ligger inde med en
sårbarhede til netop din type web-server som ellers er fuldt
patchet, så kan du meget sansynligt være bladt de første der bliver
hacket. Derfor er det en god ide at blokke alle de ip adresser som
SHODAN benytter til at scanne fra.
Vær ikke for nysgerrig før end du har
tilføjet blokerings regler til din firewall
Er du nysgerirg og bare lige vil tjekke
om dine ip adresser ligger i databasen, så husk at såfremt du ikke
gør, så vil SHODAN nu gå igang med at scanne den/de ipadresser du
lige har søgt på. Tillykke du vil så ligge der fremover.
Den eneste måde hvorpå man kan herefter kan gøre disse data ubrulige
er ved at blokke IP adresserne som SHODAN benytter til at scanne
fra. Derved kan man over tid, gøre de data de ligger inde med
ubrulige. Det kan godt tage lang tid.
Lister
Jeg har her samlet en liste med alle de IP adresser der pt er kendte
og som er set flere steder scanne virksomheders infrastruktur.
Download
SNORT
Jeg har desuden opdateret de frigivet SNORT IDS Rules
16 Juni 2017 - Blog Post # 641
DNS covert channels via DNS TXT queryes
Talos
Talos har
publiceret information omkring DNSMessenger som benytter sig af
DNS TXT til brug for covert channels. Til lige netop dette har jeg
publiceret en SNORT IDS rule, den var faktisk rimelig simpel at
fremstille, ud fra et simpelt billede.
DNSMessenger DNX TXT response
Bemærk at det er rigeligt at tjekke for $e+=`
i DNS svaret i TXT feltet, da der faktisk ikke findes meget andet
end DNSMessenger malwaren, der benytter dette i et DNS TXT felt.
Plus tegnet skal med se billede fra Talos.
DNS TXT blokeringer
NXFilter er en fin
lillle DNS / Sinkhole løsning, hvor man bla. kan oprette egne lister
af domæner man ønsker stoppet. Yderligere kan man blokke for DNS
Covert channelse. Dette sker ved at klienter / servers ikke får
mulighed for at lave DNS opslag imod DNS TXT feltet. Aktiverer
man dette og benytter mail servers skal man jo sørge for at mail
serveren via en policy får adgang til dette i NXFilter, da DNS TXT
feltet er meget brugt til bla SPF opslag som nødvendige for
mail systemer.
Specielt klienter har ikke brug for DNS TXT feltet. Dette er dog kun
næsten rigtigt, da bla. Apple benytter DNS TXT til bla. push
beskeder. Har man eks Iphone's kørende på sit netværk, så vil
man opleve denne form for overdrevet "misbrug" af DNS TXT feltet
sker meget hyppigt fra Appels side. Blokker man dette uden
videre vil der eks ikke være muligt at opdaterer IOS.
Malware og hacker tools
Malware og forskellige former for hacker tools, kan benytte sig af
netop DNS TXT feltet som en covert channel. Det giver derfor god
mening at blokke adgangen til DNS TXT feltet fra klient miljøer og
telefoner, dog skal man være klar over at DNS TXT feltet ikke er det
eneste DNS misbrug der kan finde sted.
IDS Rule
Jeg har derfor frigivet en IDS rule der finder hver gang at der
benyttes DNS TXT opslag. Der er taget højde for 2 vigtige ting.
Mail systemer er undtaget, derfor skal snort.conf have indtastet ip
adresser på mail systemer og der er taget højde for Apples misbrug
af DNS TXT opslag. IDS Alerts viser meget fint hvad der står i
DNS TXT feltet og det er typisk værd at undersøge disse Alerts
Cheat Sheet til Security Onion fra Chris Sanders
Anvenligt Cheat
Sheet
Er selv en der benytter denne type Cheat
Sheets. Har efterhånden en del samlet i et ringbind jeg både har på
mit kontor og i min daglige arbejds taske som jeg slæber med rundt.
Jeg finder dem praktisk anvendelige.
Det kan hentes fra
Chris Sanders Hjemmeside.
Kan det være rigtigt at en privat virksomhed ligger inde med dropdata fra andre virksomheder ?
Hvad er dropdata
Dropdata er typisk data der kommer fra en stykke malware der stjæler
data fra en pc og sender dette data til et såkaldt dropsite. Her
samler en hacker al det data som er stjålet. Det kan være fra
private pc'er og pc'er tilhørende virksomheder i Danmark. Data kan
være alt hvad en hacker nu ønsker at stjæle, men typisk er dette
ting som brugernavne og passwords, log-in oplysninger til VPN
forbindelser, samt opsætninger mm. Det kan være dokumenter eller
password containers fra eks. Keepass med tilhørende keystrokelogs
der giver passwordet til denne keepass-fil. Det kan være adgange til
alt hvad en pc nu engang kan indeholde der havner på et dropsite.
Adgang til dropdata
Data bliver for det meste, som en krypteret blop sendt til et
dropsite, derfor kræver dettet at der foretages malware reversing af
malware for af finde en svaghed eller krypterings nøgler, således at
data på dropsitet kan læses. En sjælden gang bliver data ikke
beskyttet på denne måde og uploades til et givet dropsite i klar
tekst. Det er dog nok mere sjældent efterhånden at det sker. Typisk
vil den hacker det stjæler data gerne selv have sine data. Det
fleste gange kan der skaffes adgang til et dropsite ved at man
hacker et web-site hvor data nu engang er sendt hen.
Data Brokers
I Danmark har vi en virksomhed der har
som speciale at hente disse data tilbage fra de forskellige botnets.
Det betyder jo at de vil komme til at ligge inde med personlige data
om dig og mig fra virksomheder i Danmark og fra virksomheder i
udlandet. Da man ikke lige kan vide hvilke data man nu engang får
fat i, så er det alt som et givet botnet nu ligger inde med, man nu
lige får adgang til. Disse data kan så købes tilbage via denne
virksomhed, der har dette som speciale. Det betyder jo så at de først
og fremmest, er det man kalder for data brokers. De lever at at
sælge vores data til andre uanset hvem, bare der betales for dem.
Mange gange er der typisk fokus på stjålet bank oplysninger men ikke
udelukkende. Gæt hvem der gerne vil have disse oplysninger.
De store spørgsmål
- Må en privat aktør først og fremmest skaffe sig adgang til disse
data uanset hvordan det sker ?
- Er det moralsk rigtigt at sælge den form for data tilbage til en
der i forevejen ejer disse ?
- Må en anden privat virksomhed købe disse data af en anden ? Er
hæleren ikke lige så god som stjæleren ?
- Må en privat aktør der skaffer sig adgang til disse data, ligge
inde med bruger navne og password der tilhøre andre ? Hvorfor skal
politi og myndigheder ikke underrettes ?
- Må en privat aktør overhovet skaffe sig adgang og er dette ikke en
opgave for vores myndigheder i Danmark ?
- Hvorfor skal der ikke en dommerkendelse til denne form for
indhentning ?
- Må vores myndigheder overhovedet bede en privat aktør om af skaffe
sig adgang til denne form for data, bare fordi de ikke selv kan
eller har recourser nok til dette ?
- Såfremt vores myndigheder allerede har kendskab til at dette sker,
hvorfor har de så ikke allerede bedt om at der sker en lovændring på
dette område ?
- Hvad er datasikrings krav til hvordan denne form for data skal
sikres og opbevares ? For vi har ingen lov der omhandler dette.
- Er det i de hele taget ikke bare hammer ulovligt at drive denne
form for forretning i Danmark ?
- Jeg håber da efterhånden at vores myndigheder begynder at åbne
deres øjne og ikke bare vender det blinde til hele tiden !!!
I Danmark har vi kun 1 virksomhed der laver denne form for forretning. De kalder det for cyber crime intelligence.
Kært barn har mange navne og hvor
er der mange der kloger sig lige nu i medierne.
Mange kommer med helt forkert anbefalinger og mange aner ikke
hvad de snakker om. Det er mere vildledning end noget der kan bruges
til noget. Det er ren marketing. Vi har mere end hvad der
skal til at beskytte os imod dette i Danmark og er bestemt ikke enig
med John Foley her og mange af de andre der kloger sig lige nu. Det
kræver ikke et magisk værktøj her, men opsætning af det man allerede
har.
Patch
Patch dine klienter og servers med
ms17-010 derved forhindre du automatisk spredning i dit miljø
via TCP port 445 og 139 Bemærk at den er flyttet til en Rollup
opdatering fordi det er lang tid siden den er frigivet.
EternalBlue exploiter netop SMB. Bruger du ikke firewall på
klienter og servers så lever du i 90'erne med dit miljø. Men du har
travlt med at få patchet lige nu selvom disse blev frigivet i 14
Marts 2017. Som chefen fra DKCERT sagde "blir du ramt er du selv
skyld i det" Helt enig med ham her. Netop EternalBlue har været
brugt af NSA til at angribe bank verden. Man kan sågar hente patches
til Windows XP.
IDS
ET-PRO har frigivet SIGS til dette for lang tid siden
sid:2024208 til 2024219
Mail
Man kan lukke for modtagelse af PDF eller forsinke disse 24 timer så
AV kan følge med. Bruger man den type AV der er bagud, er det tid
til at udskifte det.
Benyt Graylistning på dit mail system. Dette forhindre typisk
udsendelse af denne type SPAM da SPAM senderen ikke vender tilbage
og forsøger gensendelse. Dog vil man have et hul der hedder, at
tillader man bruges af ekstern webmail i virksomheden så kan man
også blive ramt denne vej.
Microsoft Office
Tillad ikke at brugerne kan køre macros i office dokumenter, kan
løses med en GPO.
PDF
Brug noget andet end Adobe PDF. Brug noget der ikke kan køre scripts
eller anden form for embedded indhold. SumatraPDF er et godt bud på
dette.
TOR trafik i dit netværk
Generalt tillad ikke TOR trafik i dit netværk. Man skal benytte tor
via web, da betaling skal ske via .onion sites. så blok for .onion
TLD domænet.
Firewalls på
alle klienter og servers
Brug firewalls på alle klienter og servers. Slå file and printer
sharing fra der hvor du ikke har brug for det. Brug et HIPS system
på klienter så som F-Secure Client Security benytter du og Premium
får man patchning med af alle klienter og servers det giver et nemt
overblik over patchning og man får patchet al sin software ikke kun
Microsoft patches. Fjern også default shares på klienter og servers
og tillad kun det nødvendigste at få adgang til SMB generalt.
Tillad slet ikke SMB via internettet, hverken ud eller ind.
Sinkhole
Domæne er allerede sinkholet. Men har man trafik til IP
217.182.172.139 eller 79.137.66.14 imod dette domæne skal man nok
vågne lidt op
www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com Yderligere
findes der en række af domæner og IP der også kan blokkes for. (ikke
frigivet offenteligt...desværre)
Links
http://thehackernews.com/2017/05/wannacry-ransomware-windows.html
http://blog.talosintelligence.com/2017/05/wannacry.html
08 Maj 2017 - Blog Post # 637
Siemens Ruggedcom RS900
nu også på listen over systemer der er sårbare overfor blacknurse
attacks.
Denne switch type benyttes
oftest i kritisk infrastruktur både herhjemme og i store dele af
norden
2 Ting
Det er kritisk at den allerede "dør" ved en 62% CPU
belastning. Siemens syntes ikke det er kritisk, da den jo lige som
alle andre svarer igen når et attack stopper. Men hvem bestemmer så
? Er det ikke udelukkende angriberen ?
Anbefalet læsning
I forbindelse med Blacknurse kom
Craig Dods via Junipers forum med en meget fin beskrivelse af
problematikken i dette attack og hvorfor dette rent faktisk af nogen
producenter ikke bliver fikset. Men det er typisk ikke det de
fortæller. Jeg vil formode at det er samme problematik her og
forventer at de rent faktisk ikke kan fikse problemet grundet
hardware design fejl.
Få mere information
på blacknurse.dk
Download den originale rapport herfra
http://soc.tdc.dk/blacknurse/blacknurse.pdf
08 Maj 2017 - Blog Post # 636
Hacking Device Lan-Turtle IDS Rules til default installationer https://lanturtle.com/
Der er ingen tvivl om at det er en sjov lille pen-test hacking device. Men man skal være vågen såfremt denne skal benyttes i en pen-test. Da den bla indeholder en DHCP server og oprettet en lokalt lan imod det udstyr man stikker denne device i så kan der være flere uforudsete hindringer der gør at denne ikke kommer til at virke. Dette kan være sikret LANs med certifikater, udstyr med automatisk profiler på firewalls, USB device driver hindringer osv osv. Dette var bare nogel af de hindringer jeg selv oplevede da jeg kiggede på denne device. Derudover findes der flere IDS rules end dem jeg har lavet der trigger som en vild såfremt denne benyttes.
Moduler
Der er ingen tvivl om at denne kan tilpasses således at den passer
imod en given pen-test. Der findes mange sjove moduler man bare kan
hente ned til den. Men her skal man være forsigtig. Denne tilpasning
kan ikke foregå under en pen-test, alt skal være på plads inden den
benyttes, ellers vil man hurtigt kunne afsløre at den sidder på ens
netværk
DHCP Server genkendelse.
Alle de Lan-Turtles jeg har undersøgt som er 4 forskellige, købt af
forskellige personer på forskellige tidspunkter fra forskellige
web-shops benytter alle MAC adresser med 00:13:37 som første 6 bytes
(Vendor) Kigger man på en DHCP server så er det typisk at alle
maskiner identificere sig selv overfor en DHCP server med navn
vendor osv. Undtagen en Lan-Turtle. Den skriver ikke noget til DHCP
serveren. Her kunne man godt tænke sig at den kunne spoofe rigtige
navne osv. Så den er for nem at finde i en DHCP server efter min
mening.
Default NTP
Alle Lan-Turtles jeg har set, er opsat med default NTP server,
der synkes der HVER gang den starter op. Dette er imod bestemte NTP
server som er nemme af finde især hvis man har styr på NTP i eget
LAN. Skal den benyttes skal man huske at skifte eller helt fjerne
NTP opslag. Men NTP er nødvendig såfremt man skal have korrekte time
stamps med i sine logs, forbindelser osv osv. Men hvem bruger
openwrt i et Microsoft miljø ?
IDS RULES
Vær opmærksom at har man andet udstyr der benytter NTP som
benytter samme NTP server som en Lan-Turtle skal man nok slå NTP
rules fra som er lavet her.
Lan-Turtle - sid:5023451 - sid:5023500
Alt hvad jeg har skrevet om igennem 2017