Deze week in beveiliging: onderzoek en detectie van symbionten, routeringskapingen, bruggling en meer

Vorige week hebben we de Symbiote Rootkit behandeld, gebaseerd op het uitstekende werk van Blackberry, Intezer en Cyber Geeks. Dit specifieke stukje malware neemt een aantal bijzonder slimme en slinkse stappen om te verbergen. Het gebruikt een LD_PRELOAD om on-the-fly met systeembibliotheken te interfereren, bepaalde bestanden, processen, poorten en zelfs verkeer van gebruikers en detectietools te verbergen. Lees de column van vorige week en de daar gelinkte bronartikelen voor de details.

Er is een algemene techniek voor het detecteren van rootkits, waarbij een tool een bestand of proces maakt dat de elementen van de rootkit nabootst, en vervolgens controleert of een van de vervalsingen op mysterieuze wijze verdwijnt. Toen ik over Symbiote las, zocht ik naar tools die we konden aanbevelen, die deze techniek gebruiken om te controleren op infecties. Kortom, ik veegde mijn hoed van de veiligheidsonderzoeker af en ging aan het werk. Een zeer nuttige aanwijzing van Intezer leidde me naar: MalwareBazaar's pagina op Symbiote. Houd er rekening mee dat die pagina live voorbeelden van malware bevat. Niet zomaar downloaden.

Dit brengt ons bij het eerste grote probleem dat we moeten aanpakken. Hoe ga je om met malware zonder dat je machine en een groter netwerk geïnfecteerd raken? Virtualisatie kan hier een groot deel van het antwoord zijn. Het is een hele grote stap voor malware om een virtuele machine te infecteren en vervolgens over de kloof te springen om de host te infecteren. Een beetje zorgvuldige installatie kan dat nog veiliger maken. Gebruik eerst een ander besturingssysteem of een andere distro voor uw VM-host en onderzoeksclient. Geavanceerde malware is meestal zeer gericht en het is onwaarschijnlijk dat een bepaald voorbeeld ondersteuning biedt voor twee verschillende distributies. De bare-metal host is een up-to-date installatie voor de beste beveiliging, maar hoe zit het met het slachtoffer?

Hoewel we een kogelvrije basis willen, moet onze onderzoeks-VM kwetsbaar zijn. Als de malware is gericht op een specifieke kernelversie of bibliotheek, hebben we die exacte versie nodig om zelfs maar te beginnen. Helaas bevatten de monsters op MalwareBazaar geen details over de machine waarop ze zijn gevonden, maar ze bevatten wel links naar andere analysetools, zoals Intezer Analyse. Een bepaalde ingebedde string trok mijn aandacht: GCC: (GNU) 4.4.7 20120313 (Red Hat 4.4.7-17) Dat komt waarschijnlijk van de machine waarop dit specifieke Symbiote-voorbeeld is gecompileerd, en het lijkt een goed startpunt. GCC 4.4.7-17 wordt geleverd met Red Hat Enterprise Linux versie 6.8. Dus pakken we een CentOS 6.8 live DVD ISO en laten deze opstarten op onze VM-host.

De volgende stap is om de malwarevoorbeelden rechtstreeks van MalwareBazaar te downloaden. Ze komen in gecodeerde ritsen, alleen om het moeilijker te maken om jezelf per ongeluk te infecteren. We willen niet dat die ergens anders landen dan het beoogde doel. Ik ging een stap verder en ontkoppelde zowel de virtuele netwerkadapter als de fysieke netwerkkabel, om mijn onderzoeksomgeving echt te luchten. Ik had mijn malware en waarschijnlijk doelwit, en het was tijd om mijn theorie te testen dat Symbiote te hard zijn best deed om stiekem te zijn, en alarm zou slaan als ik het precies goed porde.

Succes! We gebruiken touch om een bestand met de naam te maken java.h, en met ls om te controleren of het er echt is. Voeg vervolgens de LD_PRELOAD en loop ls weer en java.h op mysterieuze wijze ontbreekt. Een soortgelijke truc werkt voor het detecteren van het verbergen van processen. We draaien java.h in een script door te schrijven while true; do sleep 1; done erin. Voer het script op de achtergrond uit en kijk of het wordt vermeld in ps -A -caf. Voor een bestandsnaam op de verberglijst van Symbiote verdwijnt deze ook. Het beste is dat we deze detectie kunnen scripten. Ik geef je, sym-test.sh. Het maakt en voert een eenvoudig script uit voor elk van de bekende Symbiote-bestanden en gebruikt vervolgens ls en ps om de scripts te zoeken. Een Symbiote-variant die werkt zoals de monsters die we in het wild hebben gezien, zal zijn aanwezigheid verraden en worden gedetecteerd. Als je Symbiote op je computer vindt via dit script, laat het ons dan zeker weten!

BGP-kaping - Misschien

Er was een beetje BGP-gekheid vorige week, waar de Het Russische telecombedrijf Rostelecom heeft routering aangekondigd voor 17.70.96.0/19. Dit blok IP's is eigendom van Apple en alle tekenen wijzen erop dat dit een ongeautoriseerde aankondiging is. BGP, het Border Gateway Protocol, is een van de belangrijkste netwerkprotocollen waar je misschien nog nooit van hebt gehoord, en bevat in wezen de instructies voor het routeren van internetverkeer over de hele wereld. Het heeft ook historisch gezien geen ingebouwde beveiligingsprotocollen, gewoon vertrouwend op goed gedrag van alle spelers. Er bestaat RPKI, een nieuwe standaard voor cryptografische handtekeningen voor routeringsupdates, maar het is geen harde vereiste en wordt nog niet op grote schaal toegepast.

BGP, zonder een van de beveiligingsverbeteringsschema's, werkt door de meest specifieke beschikbare route te respecteren. Apple kondigt routes aan voor 17.0.0.0/9, een netwerk van meer dan 8,000,000 IP's. Rostelecom begon 17.70.96.0/19 aan te kondigen, een veel kleiner subnet met iets meer dan 8,000 IP's. De meer specifieke route wint en Rostelecom heeft een geldige ASN, dus internet heeft de routering veranderd. Iemand bij Apple lette goed op en pushte een routeringsupdate voor 17.70.96.0/21, waardoor wat vermoedelijk de belangrijkste 2,046 IP's zijn, terug naar hun juiste bestemming worden verplaatst. Na ongeveer 12 uur liet Rostelecom de valse routes vallen. Noch Apple noch Rostelecom hebben verklaringen over het incident vrijgegeven.

Als dit het eerste incident was waarbij Rostelecom betrokken was, zou het logisch zijn om te concluderen dat dit een eerlijke fout was. Rostelecom heeft in het verleden slecht gedrag vertoond, dus het element van plausibele ontkenning neemt af. Zou dit onderdeel kunnen zijn van een gerichte operatie tegen iemands iPhone of Apple-account? Het is moeilijk te zeggen of we binnenkort op de hoogte zullen zijn van de details. Op z'n minst, je kunt een herhaling van het netwerkbloedbad bekijken.

Kaping van e-mailroutering

Cloudflare breidt uit naar e-mailrouting, en onderzoeker [Albert Pedersen] was een beetje boos om niet uitgenodigd te worden voor de gesloten bèta. (De bèta is nu geopend, als je virtuele e-mailadressen voor je domeinen nodig hebt.) Blijkt dat je zoiets als de Burp Suite kunt gebruiken om je stiekem aan te melden voor de bèta - onderschep gewoon de Cloudflare API-reactie bij het laden van het dashboard en stel in "beta": true. De backend controleert niet na de eerste dashboardlading. Hoewel toegang tot een tijdelijk gesloten bèta geen groot beveiligingsprobleem is, suggereert het dat er vergelijkbare bugs te vinden zijn. Spoilers: die waren er.

Wanneer u een domein instelt op uw Cloudflare-account, voegt u eerst het domein toe en doorloopt u vervolgens de stappen om het eigendom te verifiëren. Totdat dat is voltooid, is het een niet-geverifieerd domein, een toestand waarin u niets anders zou moeten kunnen doen dan de verificatie voltooien of het domein laten vallen. Zelfs als een domein volledig actief is in een account, kunt u proberen het toe te voegen aan een ander account, waarna het wordt weergegeven als een van deze in behandeling zijnde domeinen. Onze onverschrokken hacker moest controleren, was hier een soortgelijke ontbrekende cheque? Wat gebeurt er als je e-mailrouting toevoegt aan een niet-geverifieerd domein? Het bleek destijds dat het zonder klachten werkte. Een domein moest al Cloudflare gebruiken voor e-mail, maar met deze truc konden alle e-mails die naar zo'n domein gingen, worden onderschept. [Albert] geïnformeerd Cloudflare via HackerOne, en scoorde een handige $ 6,000 voor de vondst. Mooi hoor!

Post-kwantum, maar nog steeds gepakt

Het National Institute of Standards and Technology, NIST, houdt een voortdurende wedstrijd om de volgende generatie cryptografie-algoritmen te selecteren, met als doel een reeks normen die immuun zijn voor kwantumcomputers. Er was onlangs een nogal grimmige herinnering dat naast weerstand tegen kwantumalgoritmen, een cryptografisch schema moet ook beveiligd zijn tegen klassieke aanvallen.

SIKE was een van de algoritmen die zich een weg door het selectieproces baande, en onlangs werd een paper gepubliceerd waarin een techniek werd gedemonstreerd om het algoritme in ongeveer een uur te kraken. De gebruikte techniek is al een tijdje bekend, maar is wiskunde van extreem hoog niveau, daarom duurde het zo lang voordat de exacte aanval werd aangetoond. Hoewel cryptografen wiskundigen zijn, werken ze over het algemeen niet op het gebied van geavanceerde wiskunde, dus deze onverwachte interacties verschijnen van tijd tot tijd. Als er niets anders is, is het geweldig dat de fout nu is ontdekt, en niet na ratificatie en wijdverbreid gebruik van de nieuwe techniek.

Bits en Bruggling Bytes

Een samentrekking van Browser en Smokkel, Bruggling is een nieuwe data-exfiltratietechniek die gewoon dom genoeg is om te werken. Sommige bedrijfsnetwerken doen erg hun best om de manieren te beperken waarop gebruikers en kwaadwillende toepassingen gegevens van het netwerk kunnen krijgen en via internet naar een kwaadwillende kunnen sturen. Dit is iets van een hopeloze zoektocht, en Bruggling is nog een ander voorbeeld. Dus wat is het? Bruggling stopt gegevens in de namen en inhoud van bladwijzers en laat de browser die bladwijzers synchroniseren. Aangezien dit op normaal verkeer lijkt, hoewel het mogelijk *veel* verkeer is, zal het over het algemeen geen IDS-systemen activeren zoals vreemde DNS-verzoeken. Tot dusverre is Bruggling slechts een academisch idee en is het nog niet in het wild waargenomen, maar het zou zomaar kunnen dat er malware bij u in de buurt komt.

LibreOffice heeft zojuist een handvol problemen verholpen, en twee daarvan zijn bijzonder opmerkelijk. De eerste is CVE-2022-26305, een fout in de manier waarop macro's worden ondertekend en geverifieerd. De handtekening van de macro zelf was niet goed gecontroleerd en door het serienummer en de uitgeversreeks van een vertrouwde macro te klonen, kon een kwaadwillende het normale filter omzeilen. En CVE-2022-26306 is een cryptografische zwakte in hoe LibreOffice wachtwoorden opslaat. De initialisatievector die werd gebruikt voor codering was een statische waarde in plaats van willekeurig gemaakt voor elke installatie. Dit soort fout maakt meestal een pre-computation-aanval mogelijk, waarbij een opzoektabel kan worden gecompileerd waarmee snel een willekeurig versleutelde dataset kan worden gekraakt. In up-to-date versies van LibreOffice wordt de gebruiker, als hij deze functie gebruikt, om een nieuw wachtwoord gevraagd om zijn configuratie veiliger opnieuw te versleutelen.

Samba heeft ook een handvol problemen opgelost, waarvan er één klinkt als een geweldig plotpunt voor een Hollywood-hackfilm. De eerste is CVE-2022-32744, een logische fout waarbij elk geldig wachtwoord wordt geaccepteerd voor een verzoek om wachtwoordwijziging, in plaats van alleen het geldige wachtwoord voor het account dat wordt gewijzigd te accepteren. En CVE-2022-32742 is de leuke, waarbij een SMB1-verbinding een buffer-underflow kan veroorzaken. In wezen vertelt een client de server dat hij 10 megabytes wil printen, en stuurt de 15 bytes mee om af te drukken (nummers worden gefabriceerd om het punt te maken). De server kopieert de gegevens uit de veel te kleine buffer en gebruikt de waarde die is ingesteld door de aanvaller, a la heartbleed. Ik wil de caper-film zien waarin gegevens worden gestolen door dit soort bug te gebruiken om het uit te printen naar de lang vergeten line-feed printer.

En tenslotte Atlassian Confluence-installaties worden actief aangevallen, als gevolg van een handvol exploits. Er waren hard-gecodeerde inloggegevens achtergelaten in de on-premise Confluence-oplossing en die inloggegevens werden online vrijgegeven. Een paar kritieke kwetsbaarheden in Servlet-filters kunnen worden misbruikt zonder geldige inloggegevens. Als je nog steeds niet-gepatchte, regelrechte Confluence-installaties uitvoert, is het misschien tijd om direct over te gaan tot insluiting en opschonen. Au!

Generatieve data-intelligentie

Deze week in beveiliging: onderzoek en detectie van symbionten, routering van kapingen, overbrugging en meer

BGP-kaping - Misschien

Kaping van e-mailroutering

Post-kwantum, maar nog steeds gepakt

Bits en Bruggling Bytes

De werkelijke kosten: landelijke implementatie van oplaadinfrastructuur voor elektrische voertuigen – CleanTechnica

Nieuw analyseplatform werpt licht op de toekomst van zonne-energie van nutsbedrijven – CleanTechnica

Laatste intelligentie

Deutsche Bank sluit zich aan bij MAS' Project Guardian om activatokenisatie te onderzoeken - Fintech Singapore

Het risico van ontbossing in financiële portefeuilles aanpakken | GroenBiz

Authenticiteit in het tijdperk van deepfakes: de meerlaagse ZOLOZ eKYC-aanpak – Fintech Singapore

Zijn gamingtokens het volgende grote ding in virtuele financiën?

Recordreductie van de Europese ETS-emissies in 2023.

Verminderde emissierecords van ETS Europa in 2023.