Skadlig kod

Cyberspionage anno 1996

Publicerat: 
2017-04-20 10:45

Kaspersky och forskare från Kings College släppte för en dryg vecka sedan rapporten Penquin’s Moonlit Maze –The dawn of Nation-State Digital Espionage. Rapporten är spännande då den påvisar en möjlig länk mellan ryskt cyberspionage i internets vagga och idag, [4].

Jämför man med idag där nyheter om datorangrepp som kostar företag miljonbelopp är vardagsmat, så känns 90-talets datorangrepp förhållandevis milda. De cyberangrepp många minns kring mitten av nittiotalet, var hacktivister som ersatte företags hemsidor med sina egna ofta politiska budskap. Ett känt exempel på detta från 1996 var när CIA:s hemsida hackades i protest mot rättegången mot medlemmarna i Swedish Hacking Association, där Bo Skarinder var åklagare.

Hackad version av CIA:s hemsida

Parallellt med denna typ av attacker initierades dock runt 1996 en våg av cyberangrepp mot olika amerikanska myndigheter och organisationer med försvarskopplingar, inklusive flygbaser, forskningsinstitutioner och NASA. Dessa angrepp pågick i åtminstone två år, gjordes troligen av ryska aktörer i spionageändamål och kom senare att få namnet Moonlight Maze. Kasperskys rapport handlar om dessa angrepp och om eventuella kopplingar mellan dem och Penquin Turla år 2011. För den oinvigde så är Penquin Turla det första upptäcka cyberangreppen mot Linux och Unix från den ryskspråkiga, spionageorienterade och nu aktiva hackergruppen Turla, en känd så kallad APT.

Utgångspunkten för Kasperskys rapport är att de fick tillgång till en gammal server på ett brittiskt företag som de ryska angriparna efter att ha hackat använts som ett hjälpmedel för sina fortsatta angrepp. Den brittiska servern användes först som proxy vilket innebär att trafiken från angriparna skickades genom servern för att dölja angriparnas verkliga IP-adress. Därutöver användes den brittiska servern även som en staging server vilket innebär att servern fungerade som en samlingsplats för skadlig kod och verktyg vilka laddades ned till nya hackade servrar. De angriparna inte visste var dock att serverns roll upptäckts av myndigheterna och att FBI tillsammans med Scotland Yard använde servern för att kartlägga angriparnas förehavande. Servern ställdes därför in för att samla loggar, spara alla filer, fånga trafik och övervaka en specifik användare på servern. Företagets dåvarande systemadministratör bestämde sig för att spara servern och har nyligen gett Kaspersky tillgång till den.

Den initiala attackvektor som angriparna använde sig av var den då välkända sårbarhet i en Common Gateway Interface (CGI) som paketerades som exempelkod med http-daemoner för Linux och därmed ofta fanns på publika webbservrar. Något förenklat är en http-daemon ett bakgrundsprogram som gör att servern kan hantera http-trafik och en CGI gör det möjligt för denna att köra utvalda kod på servern. En risk än idag är dock att denna funktionalitet missbrukas av en angripare för att köra godtyckliga kommandon på servern. Denna typ av sårbarheter uppstår när data och kommandon är möjliga att mata in via samma input och kallas på engelska för command injection. Det finns standardiserade metoder för att mitigera risken för att så ska ske genom exempelvis validering av input och automatiserad formatering av symboler med innebörd i underliggande språk. Trots det ligger command injection på förstaplats på OWASP lista över de tio mest kritiska sårbarheterna för webbapplikationer, och förekommer frekvent inom exempelvis applikationer som gör slagningar mot en bakomliggande SQL-databas [5].

Den CGI som angriparna utnyttjade 1996 hette phf och mot exempelvis IP-adressen 1.2.3.4. Gjorde angreppet genom att göra anropet:

http ://1.2.3.4/cgi-bin/phf?Qalias=%ff/bin/cat%20/etc/passwd

I anropet är %ff oväntad input till variabeln Qalias vilket när det ges som argument till phf (genom phf?Qalias=%ff), gör att det som kommer därefter körs som ett kommando på servern istället för att tolkas som data. I detta fall är det kommando som körs

/bin/cat /etc/passwd

Detta kommando skriver helt enkelt ut innehållet filen passwd, vilket 1996 ofta innehöll såväl användarnamn som lösenord för alla användare. Angriparna använde sedan de erhållna användarnamnen och lösenorden för att logga in på servern via telnet eller ftp. Sårbarheten var känd på sin tid och finns publikt tillgänglig, exempelvis i exakt samma formulering som användes i Moonlight Maze i databasen Fyodor's Exploit World som underhölls fram till 1998 av skaparen till det kända skanningsverktyget nmap, [2].

Exploit Worlds logga

När angriparna kom in på en ny server verkade de i blindo ha laddat ned olika exploits och testa att köra dem i förhoppningen att den aktuella servern skulle vara sårbar mot dessa. Detta tillvägagångssätt är mycket högljutt sätt att angripa en server som riskerar göra offret uppmärksam på angreppet. Idag förknippas därför ett sådant agerande snarare med scriptkiddies än avancerade riktade angrepp. Bland de verktyg som användes på detta sätt fanns bakdörren LOKI2 som publicerats i Phrack, [1].

LOKI2 var skickligt utformad och dolde sin trafik i för ändamålet ovanliga protokoll som DNS och ICMP. Vid angreppens början användes LOKI2 i standardutförande, men anpassades medan angreppen fortgick. En intressant parallell som Kaspersky drar är att ungefär samtidigt som spåren efter Moonlight Maze upphör finns de första spåren av Penquin Turla. Spåren utgörs av data från ett angrepp som påvisar att just en modifierad variant av LOKI2 används i angrepp 2016 mot företaget RUAG som arbetar för den schweiziska militären. Dessa båda varianter av LOKI2 är snarlika och forskarna bakom rapporten spekulerar därför i att Moonlight Maze utvecklades till att bli Turla. Stämmer spekulationerna påvisar de en rysk underrättelseoperation som varit aktiv i 20 år i likhet med, den nyligen upptäcka och troligen NSA-kopplade, Equation Group [3]

Eftersom utvecklingen går så snabbt framåt inom IT-säkerhet är det lätt att glömma bort historien. Detta blir väldigt påtagligt av Kasperskys rapport då skillnaden mellan att ta sig in på servrar genom att använda kända sårbarheter för att få dem att skriva ut lösenord känns extremt avlägset från de skräddarsydda och komplexa attacker som ingår i Turlas arsenal idag och till exempel har innefattat exfiltrering av data via satelliter.

Referenser
[1]- Daemon9, 1997, LOKI2 (the implementation), Phrack Magazine Vol. 7, Issue 51, http://phrack.org/issues/51/6.html#article
[2] – Exploit World, ca. 1996, /cgi-bin/phf vulnerability, http://insecure.org/sploits/phf-cgi.html
[3] - Kaspersky lab, 2015, Equation group questions and answers, https://securelist.com/files/2015/02/Equation_group_questions_and_answer...
[4] – Kaspersky lab, 2017, Penquin’s Moonlit Maze –The dawn of Nation-State Digital Espionage, https://securelist.com/files/2017/04/Penquins_Moonlit_Maze_PDF_eng.pdf
[5] - OWASP, 2013, OWASP Top 10 2013 –The Ten Most Critical Web Application Security Risks, https://www.owasp.org/images/f/f8/OWASP_Top_10_-_2013.pdf

 

Skribent(er): 
Anders Lundman

Det osynliga hotet – lite om Steganografi

Publicerat: 
2017-02-27 16:45
Steganografi, konsten att gömma meddelanden på ett sådant sätt att endast mottagaren känner till att det finns. Det har använts sedan länge, ca 500 år f.v.t. i det forna Grekland berättar Herodotus att Histiaeus lät tatuera in ett meddelande på en slavs rakade skalle. När håret växte ut var meddelandet således dolt och kunde levereras till mottagaren.
Osynligt bläck är en av många typer av steganografi. Steganografi kan användas för att gömma en typ av media i en annan typ av media, t.ex. bilder gömda i bilder, texter gömda i bilder, bilder gömda i ljud eller video för att nämna några kombination. Det finns en mängd metoder att applicera steganografi i digitalt media. Ett sätt är att dölja meddelandet i LSB (least significate bits), dvs den bit i varje pixel som minst påverkar pixelns utseende, eller en enklare metod är att dölja den i slutet av hex-koden, vilket också är enklare att knäcka. Kan du hitta den hemliga kodfrasen i bilden ovan? Tips: Det är en ganska osäker steganografimetod som använts.
Men steganografi används inte bara till att skicka hemliga meddelanden. Det har även använts för att distribuera skadlig kod. Skadlig kod har gömt sig i Genom att bädda in kod i reklambilder och utnyttja sårbarheter i webbläsaren exekveras den inbäddade koden på offrets dator. Tidigare i år upptäcktes AdGholas kampanjen började använda Stegano exploit kit – ett exploit kit som använder sig av steganografi för spridning av skadlig kod. ESETs analys i december för en kampanj visar att reklam med skadlig kod matades till användaren webbläsare om vissa kriterier uppfylldes. Den skadliga koden var gömd i reklamens alpha-kanal, d.v.s. de bitar som definierar transparensen av en pixel. Skillnaderna i reklamen var marginella och inte synliga för det blotta ögat. Bilden nedan visar en förstoring på en del av den reklambild som analyserades av ESET: 
 
änster, förstoring av bild som inte innehåller skadlig kod, Mitten förstoring av reklam som innehåller skadlig kod, Vänster förstärkning av mittenbilden för att förtydliga skillnaderna. Bild från: http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/
Figur 1: Vänster, förstoring av bild som inte innehåller skadlig kod, Mitten förstoring av reklam som innehåller skadlig kod, Vänster förstärkning av mittenbilden för att förtydliga skillnaderna. Bild från: http://www.welivesecurity.com/2016/12/06/readers-popular-websites-target...
 
Det gömda scriptet kontrollerar sedan om webbläsaren är sårbar, i detta fall utnyttjade en sårbarhet i Internet Explorer, för att sedan skicka användaren till en exploit-sida.
Även ProofPoint och Tredmicro publicerade en analys av en annan AdGholas Stegano-kampanj tidigare i år. Vilka andra innovativa steganografi-hot kan tänkas och hur kan vi upptäcka hoten?
Att gömma skadlig kod i reklam är ett effektivt sätt för att infektera datorer med skadlig kod. Men för att skydda sig mot malvertising och andra hot på internet så är det första rekommendationen att se till att ha alla de senaste säkerhetspatcherna applicerade på sitt system! Man kan även inaktivera JavaScript i sin webbläsare för att förhindra den här typen av attacker, även inaktivering av Flash är fördelaktigt, då det är en annan vanlig infektionsvektor (och inte inte bara för steganografi-angrepp!). Du kan även installera ad-block tillägg i din webbläsare för att blockera reklam för att minska risken för att drabbas av skadlig kod som sprids via reklam.
 
Skribent(er): 
Tiina Loukusa Hyttnäs
Taggar: 

Tänk om opinionsmätningarna var rätt men valresultatet fel?

Publicerat: 
2016-11-11 17:00
Dagen innan presidentvalet i USA utsågs Hillary Clinton som vinnare. Ett annat resultat vore osannolikt enligt mätningarna. Det samma gällde Brexit-omröstningen. Även omröstningen i Colombia avseende fred med FARC-guerillan slog slint. Även i Sverige har opinionsmätningarna visat sig vara felaktiga. I samtliga fall försöker man hitta rimliga förklaringar, som att mätningarna inte är rättvisande, att mätningarna är slappa, att soffliggare får för sig att rösta, arga vita män och så vidare. Det som ingen verkar beröra, eller som man blundar för, är frågan om opinionsmätningarna var rätt men resultatet fel. För min del är det märkligt att mätningar de senaste åren varit så missvisande. 
 
Utan att ha en djupare kunskap om exakt hur IT-systemstöd fungerar i valsammanhang, så måste de lösa en hel del logistiska problem. 
 
1. Hantering av kandidater
2. Hantering av röstlängder 
3. Räkning av röster
 
För små val sker räkningen manuellt, medan för större val så används rösträkningsmaskiner. Logistiken är både komplicerad och måste även hantera en geografisk spridning. Komplexiteten ger utrymme för sårbarheter. För att klara komplexiteten används det alltid någon form av IT-stöd. I vissa fall är systemen tredjepartsprodukter, medan i andra fall har systemen utvecklats själv.
 
En främmande makt som bestämt sig för att påverka ett val kan lägga ner energi och resurser på att påverka valresultat genom att på ett långsiktigt sätt manipulera de IT-system som används i samband med ett val. Genom att få kontroll över rösträkningsmaskiner eller servrar skulle valresultat kunna manipuleras.
 
Frågan är då om hur reell denna risk är? Vi har ett gammalt exempel som visar på att möjligheterna är obegränsade och att risken är stor.
 
Stuxnetviruset tillverkades av USA och Israel och var det första steget i Cyberkrigföring [Kom Zetter]. Attacken riktade in sig mot Siemens SCADA-utrustningar. Stuxnetviruset fungerade i flera lager och spreds från PC till PC. När viruset detekterade att PCn användes för att administrera Siemensenheter aktiverades mer kod, som kontrollerade de SCADA-enheter som PCn kopplades upp till. Stuxnet-viruset kollade om SCADA-enheterna hade specifika serienummer, och om så var fallet injicerade de kod in i SCADA-enheterna. I detta fallet så styrde SCADA-enheterna centrifuger för anrikning av uran, och den kod som injicerades påverkade varvtalet på ett väl uttänkt sätt så att anrikningen saboterades och att centrifugernas livslängd förkortades. På så sätt hejdades Irans kärnvapenprogram, genom att dels sabotera anrikningen samt att dels höja kostnaderna. Koden som injicerades var liten och obetydlig. Stuxnet kom igenom de olika typer av säkerhetskontrollerna genom att tillverkaren av viruset lyckats stjäla certifikat och signera koden som pålitlig. Även efter Stuxnet var iranierna paranoida för varje fel som uppkom. Att veta om det är en logisk bomb eller bara en bug är svår att urskilja. Efter Stuxnet riktades alla blickar mot SCADA-system som det primära målet för cyberkrigföring. Stuxnet var ingen enkel konstruktion och att ta fram Stuxnet innebar utveckling under flera års tid, och utvecklarna var tvungna att testa lösningen på en uppsatt urananrikningsanläggning för att verifiera funktionaliteten [Kim Zetter]. Stuxnet löste dock inte ensamt problemet med Irans kärnvapenprogram, utan kombinerades med lönnmord, attentat och bombanfall. Stuxnet var bara en del i något mycket större.
 
En hackerattack mot ett röstningssystem kan inte ensamt vinna ett val. Det krävs att angriparen också lägger ner resurser på att vara opinionsbildare, att angriparen genomför informations- och desinformationskampanjer, samtidigt som denne ger ekonomiskt stöd för att valkampanjer ska lyckas. 
 
Däremot vill man vinna ett cyber-krig mot demokratier så är det värt att lägga ner energi på att angripa de system som används för rösträkning. Genom att låta ogynnsamma partier, kandidater eller alternativ vinna val eller omröstningar kan man sakta bryta ner ett lands förmåga att fungera. För att säkra demokratin behöver vi se cyberkrigföring i ett vidare perspektiv och verkligen se till att bevisa att våra val och omröstningar är säkra.
 
 
För att läsa mer se:
Bok som beskriver det första cyberkriget och Stuxnet är Kim Zetters – Countdown to Zeroday.
 
I USA används röstmaskiner. Dess säkerhet har ifrågasatts vid flertalet tillfällen. Röstmaskiner används bl.a. i de så kallade swing staterna Pennsylvania, Florida och Virginia.
En bra artikel som ifrågasätter säkerheten i röstmaskinerna hittas på:
 
Hursti hack som genomfördes 2005 visar hur man kan påverka ett val. https://en.wikipedia.org/wiki/Hursti_Hack
 
I Wired Magazine finns en artikel med en annan vinkling på hur val kan påverkas genom hacking.
I
 
Skribent(er): 
Mikael Simovits

Kort om APT ProjectSauron

Publicerat: 
2016-08-16 16:35

Förra veckan gick flera stora anti-virusföretag med information om att en ny APT-plattform identifierats under hösten 2015 som döpts till ProjectSauron av Kaspersky respektive Remsec av Symantec. APTn misstänks ha varit aktivt sedan 2011. Aktivitet har identifierats i bland annat Ryssland, Kina, Iran, Rwanda, Belgien och även en organisation i Sverige har blivit drabbad. Infektionsvektorn är dock inte känd och den har endast setts användas för att angripa Windows-baserade operativsystem.

ProjectSauron är en modulär plattform som används för cyberspionage, där fler moduler laddas ner vid behov. Plattformen gör det möjligt för en angripare att ta kontroll över ett system och röra sig över nätverk. Modulerna kan exempelvis användas för att lyssna på kommandon över nätverk, öppna bakdörrar, spela in knapptryckingar genom keylogger-moduler samt för att stjäla filer. Det finns närmare 50 olika moduler som ProjectSauron kan utnyttna. För att kommunicera utnyttjar ProjectSauron ett flertal vanliga kommunikationsprotokoll, där DNS-protokollet används i stor utsträckning för att exfiltrera data men även för att rapportera ”status”.

Nätverk som är air-gappade kan också bli angripna av ProjectSauron genom en specifik modul. Denna modul gör det möjligt att från ett air-gappat system flytta data till ett system som är anslutet till internet genom förflytta data med flyttbart USB-media. USB-mediat partitioneras på ett sådant sätt att den inte identifieras av operativsystemet korrekt, vilket medför att data från ett isolerat system kan förflyttas obemärkt och därefter exfiltreras från ett internetanslutet systemet.

ProjectSauron har kunnat agera obemärkt under flera år av tack vare flera olika egenskaper. ProjectSauron körs i många fall inte aktivt utan fungerar som en ”sovande-cell” och väntar på nätverkskommandon för att aktiveras, vissa moduler kör även endast i minnet vilket försvårar upptäckt. För kommunikation används vanligt förekommande kommunikationsprotokoll för att exfiltrera data och skicka statusuppdateringar och på så sätt döljer sig den aktiviteten enkelt bland normal nätverkstrafik.
 

Hur kan man skydda sig?
ProjectSauron förändras beroende på mål, så klassiska signaturer är troligen inte användbara. Men både Kaspersky och Symantec har tagit fram ett antal IoC:er (Indicators of Compromise) utifrån de fall de har undersökt för att identifiera ProjectSauron.
https://securelist.com/files/2016/07/The-ProjectSauron-APT_IOCs_KL.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response...

Skribent(er): 
Tiina Loukusa Hyttnäs

RSAC2016 - Lösenfrasknäckning, samt Hackerspårning med hjälp av Sysinternals SysMon

Publicerat: 
2016-03-24

I början av månaden gick RSA Conference USA 2016 av stapeln i San Francisco. Jag och Mikael var där och höll vår presentation angående mitt/vårt arbete med lösenfrasknäckning med hjälp av Markovkedjor. Vi fick bra respons och många frågor efteråt, och det kändes som att åhörarna tyckte det var intressant, nydanande och att de kommer att få inspiration av vår metod för knäckning av långa lösenordsfraser. Åtminstone kommer de nog tänka till lite extra innan de väljer sin nästa lösenordsfras.

Vår session fick dessutom privilegiet att vara en av de tre som presenterades under rubriken "Agenda & Tracks" på förstasidan på konferensens site, dessutom strax jämte keynotetalaren Sean Penn, bara en sån sak… Nu har de precis ersatt både Sean och oss med andra rubriker, men vi fick pryda huvudsidan i ungefär tre veckor, däribland hela den vecka som konferensen pågick.

Mer information om vårt arbete med knäckning av lösenordsfraser kan hittas via referenserna [2] samt [3]. Rapport finns nu även publicerad på International Association For Cryptologic Research [4].

Givetvis fanns även en hel del andra sessioner som var mycket intressanta, och en av dem som jag kände kunde ha stor praktisk nytta i mitt arbete såväl som privat, var en genomgång av Sysinternals-svitens relativt nya tillskott ”SysMon” (1,5 år gammalt, men ny version ute nyligen). Denna sessions titel var “Tracking Hackers on Your Network with Sysinternals Sysmon”, och jag tänkte här försöka återberätta de intressantare delarna med hjälp av egna ord, kommentarer och tester.

Sysinternals

För den som inte känner till Sysinternals [7], så var det ett företag som skapade en mängd praktiska och kraftfulla freeware-systemverktyg för Windows med hjälp av operativsystemets mestadels odokumenterade nativa API, vilket gör att de ofta kan trolla mer med avancerade funktioner i Windows än verktyg som använder de mer officiella API:erna. Företaget är sedan en bra tid tillbaks uppköpt och en del av Microsoft TechNet, men de lyckades vid övertagandet förhandla fram att hela deras svit skulle vara fortsatt gratis och fritt att använda.

SysMon

Ett av de senare verktygen de tagit fram är alltså SysMon [8], och dessutom släpptes en ny version strax innan RSA-konferensen, så huvudutvecklaren Mark Russinovich var där och presenterade verktyget och dess nya features samt gav en del tips om det.

SysMon är i princip det enda verktyget i sviten som behöver installeras, och det körs sedan som en service som startar automatiskt vid varje systemstart, och loggar vissa systemaktiviteter som kan vara typiska vid exempelvis intrång och/eller malware. Dessa loggar skrivs till en egen sökväg i Windows eventlog, och kan vara till god hjälp både för att upptäcka och spåra konstiga processer/malware samt vid forensikarbete efter ett eventuellt intrång eller virusangrepp.

Aktivitetstyper som kan loggas: (alla är inte påslagna i defaultinstallationen)

1 Process Create
Detaljerad information om startade processer, såsom full kommandorad, processens ID och GUID, filens hashvärde (SHA1 som default, men det går att aktivera andra), användare etc.

2 File Creation Time Changed
När en process i efterhand ändrar tiden för skapande av en fil. Utan filtrering kan detta ge många false positives då exempelvis komprimeringsprogram och webbläsare kan ändra denna tidsstämpel för att den ska matcha originalfilens, men det är även ett vanligt sätt för hackare och malware att dölja sina spår.

3 Network Connection
Loggar nya nätverksanslutningar över såväl UDP som TCP. Här sparas bland annat vilken process som initierade anslutningen, vilket protokoll, IP, port som användes hos såväl mottagare som avsändare, samt i förekommande fall dnsnamn och portnamn.

4 Sysmon Service State Change
Loggning vid ändring av körstatus på själva SysMons service. Här kan man alltså se om och när SysMon stängts av eller satts igång.

5 Process Terminated
Processens ID och GUID, samt aktuell tid anges här för en process som avslutats.

6 Driver Loaded
Loggar laddade drivrutiner med information om vilken avbild som använts, dess hashvärde(n), samt om den är signerad och i sådant fall av vem.

7 Image Loaded
Logg över vilka moduler (dll-filer) som laddas av olika processer. Logghändelsen innehåller information om processens ID, GUID samt sökväg till avbild, den laddade modulen och dess hashvärde(n) samt om den är signerad och i sådant fall av vem.
Denna loggning är avstängd i grundinställningarna och bör användas med försiktighet då det även vid vanlig användning skapas väldigt många sådana här event. På 2,5 minuter loggades 480 händelser när jag testade denna funktion. Denna loggning kan vara bäst att använda för att med hjälp av config-filen filtrera på och bevaka någon speciell process eller modul.

8 CreateRemoteThread
Loggar när en process skapar en tråd i en annan process. Detta är vanligt att angripare/malware gör för att exempelvis använda sig av andra processer för att hålla sig dolda eller eskalera sin behörighet. Dock finns det också legitim användning även av denna metod.
Loggar innehåller diverse information om källprocess, målprocess, samt vilken adress i minnet tråden startades på.

9 RawAccessRead
Skapar loggar över direktläsning av diskar/volymer. Detta är vanligt bland malware i försök att kringgå filsystemets normala säkerhetsskydd för filer etc.  

255 Error
Om något fel inträffar i själva SysMon loggas det som en händelse av denna typ.

Sökning av hashvärden i Virustotal

En fils beräknade hashvärde kan ses som ett (i princip) unikt globalt ID för filen. Ett mycket användbart sätt att använda de hashvärden som sparas i SysMons loggar, är att göra en sökning på dem på exempelvis siten virustotal [10], för att få en indikation på om det aktuella programmet är pålitligt eller ej.

Nedan visas ett exempel på en sökning av en process startad av taskeng.exe (som normalt startar schemalagda uppgifter):

I eventet på bilden ser vi en hel del information om den startade processen, såsom användare som startade den, vilken sökväg den startades på, vilken kommandorad den startades med, information om den överordnade processen etc. Enligt denna information i eventet kan man skapa en hypotes om att det antagligen är en schemalagd uppdatering för Flash som startats, men eftersom vi är misstänksamma av oss vill vi bekräfta detta. I eventet hittar vi även hashvärden för processens fil, något av dessa använder vi i nästa steg för att på virustotal.com verifiera filens ursprung, samt om den kan vara skadlig.

SHA1-värdet som är markerat i bilden ovan klistrar man enkelt in på virustotal (fliken "Sök"/"Search") enligt bild nedan:

Just denna fil verkar enligt virustotal rätt ofarlig enligt sökresultatet:

Sökresultat visar att den aktuella filen inte är flaggad som direkt farlig

Man kan även exempelvis se på fliken "File Detail" att filen tillhör Flash Player Update Service, och är signerad av Adobe/Verisign, vilket ytterligare bekräftar vår initiala hypotes.

Filen är signerad av Adobe/Verisign, och tillhör Flash uppdateringstjänst.

Om man nu anser att ett program som Flash är pålitligt och oskadligt (!?), så kan man nu pusta ut och avfärda sin misstänksamhet mot denna processtart.

Installation/konfiguration

Installationen av SysMon sker genom att, efter nedladdning/uppackning, som administratör köra exempelvis kommandot:

sysmon –accepteula –i

Detta installerar SysMon med defaultkonfiguration, vilket innebär att endast SHA1-hashvärden beräknas för de filer som förekommer i loggarna, samt att loggning av nätverksanslutningar (eventID 3) och modulladdning (eventID 7) är avstängda. Med -accepteula slipper man dessutom popuprutan med licensavtalet, vilket vi antagligen sett förut då det är samma för samtliga sysinternalsverktyg.

Det finns ett fåtal ytterligare alternativ man kan sätta antingen direkt vid installationen, eller efteråt med nedanstående kommando.

sysmon –c [alternativ]

med de alternativ man vill ha (om man inte ger ytterligare alternativ visas nuvarande konfig).

Exempel kan vara att man vill att alla stödda typer av hashvärden (sha1, sha256, md5, imphash) skall visas för de filer som förekommer i eventen, vilket fås av kommandot

sysmon –c –h *

för att aktivera loggning av nätverksanslutningar lägger man till –n

för att aktivera loggning av modulladdningar lägger man till –l (med eventuell påföljande lista på målprocesser att övervaka, för att slippa överflödsinformation)

Konfigurationsfil och filtrering

För att ha större kontroll och lättare kunna göra mer avancerade inställningar, speciellt filtrering, är det dock smidigare att först skapa en konfigurationsfil som man sedan laddar genom kommandot

sysmon –c [sökvägtillkonfigfil].xml

Filen skall vara i xml-format, och här ges ett exempel med en del mer eller mindre användbara filter (gjorda mest för illustration), några kopierade från [6].
 

<Sysmon schemaversion="2.01">
 
  <!--Inkludera alla typer av hashvärden-->
  <HashAlgorithms>*</HashAlgorithms>
 
  <EventFiltering>
 
  <!--Logga bara inkommande anslutningar eller till port 443-->
    <NetworkConnect onmatch="include">
      <Initiated condition="is">false</Initiated>
      <DestinationPort condition="is">443</DestinationPort>
    </NetworkConnect >
 
    <!--Logga bara trådinjektioner i lsass eller winlogon-->
    <CreateRemoteThread onmatch="include">
      <TargetImage condition="image">lsass.exe</TargetImage>
      <TargetImage condition="image">winlogon.exe</TargetImage>
    </CreateRemoteThread >
 
    <!--Strunta i att logga start av moduler signerade av Microsoft-->
    <ImageLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </ImageLoad>
 
    <!--Ignorera filtidsändringar gjorda av chrome och 7zip-->
    <FileCreateTime onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="contains">7zip</Image>
    </FileCreateTime>
 
    <!--Stäng av loggning av avslutade processer (för att vi inkluderar ingenting)-->
    <ProcessTerminate onmatch="include" />
 
  </EventFiltering>
</Sysmon>

 

Man kan filtrera på vilka fält man vill i eventen, och villkoren kan vara exempelvis vad fältet ska innehålla, sluta med, vara lika med, vara lägre/högre än m.m.

För att helt sätta på eller stänga av loggning av en händelsetyp, använder man ”exclude” respektive ”include” utan att specificera några filter. Det känns kanske fel att stänga av all loggning genom att skriva ”include”, men det är ju för att listan på händelser man ska inkludera är tom (se sista regeln i exempelfilen ovan).

Konfigurationsfilen är riktigt användbar om man vill sålla bort ointressanta händelser (false positives), eller enbart vill leta efter/övervaka en mycket specifik händelse.

För mer info och detaljer om konfigurationsfiler rekommenderas framför allt Marks slides [6] från RSA-konferensen.

Central loggning/övervakning

Windows eventloggar är inte är särskilt skyddade mot manipulering/radering om nu en angripare väl tagit kontroll över den lokala datorn, så för att skydda loggarna och dessutom för att få en central övervakning/loggning så är det relativt enkelt att integrera med exempelvis Splunk eller Microsoft OMS för att skicka iväg och spara loggarna centralt. Vid en sådan setup kan man bland annat skapa dashboards och larm baserat på informationen från SysMons loggar från samtliga datorer i nätverket, och exempelvis korrelera händelser från olika datorer för att skapa larm etc. Hur man skapar en sådan setup är något beroende av det övervakningsprogram man valt, men det finns länkar och mer info om integrering med Splunk eller OMS i bland annat [6] och [9].

Slutsats

Som de flesta andra i Sysinternals svit, är Sysmon ett verktyg med stor användbarhet för Windowsanvändare/administratörer/säkerhetsspecialister etc.

SysMon är ett intressant verktyg bara att köra lokalt, men det har ännu större potential om man i en företagsmiljö installerar det på samtliga datorer och sätter upp en nätverksspännande övervakning. Då kan dess loggar användas för exempelvis central larmning och dashboards, och vara till oerhörd stor hjälp vid såväl upptäckt som spårning/forensisk utredning vid incidenter som malware eller hackerintrång som spridit sig via nätverket, vilket inte är helt ovanligt för APT exempelvis.

Även om vi säkerhetsfolk brukar gilla ordentlig loggning så kan det ibland gå till överdrift, så lite tid och tanke bör nog läggas på att konstruera en konfigurationsfil som filtrerar bort vissa händelser för att inte överflöda loggutrymmet med ointressanta loggar.

Slutord och rekommendation blir: Installera och testa SysMon, för en vacker dag kommer även du den bäste att råka ut för någon slags incident som detta verktyg kan vara till god hjälp vid.

Referenser/länkar:

[1] – RSA Conference USA 2016, http://www.rsaconference.com/events/us16

[2] – Session: Linguistic Passphrase Cracking, https://www.rsaconference.com/events/us16/agenda/sessions/2396/linguistic-passphrase-cracking

[3] – Post Passwords 2015 - Phraser release on Github (earlier blogpost related to our talk), http://www.simovits.com/blogg/post-passwords-2015-conference-phraser-release-github

[4] – International Association For Cryptologic Research, Report 2016/246 - Linguistic Cracking of Passphrases using Markov Chains, https://eprint.iacr.org/2016/246

[5] – Session: Tracking Hackers on Your Network with Sysinternals Sysmon, https://www.rsaconference.com/events/us16/agenda/sessions/2461/tracking-hackers-on-your-network-with-sysinternals

[6] – Slides: Tracking Hackers on Your Network with Sysinternals Sysmon, https://www.rsaconference.com/writable/presentations/file_upload/hta-w05-tracking_hackers_on_your_network_with_sysinternals_sysmon.pdf

[7] – Sysinternals website, www.sysinternals.com or https://technet.microsoft.com/sysinternals/

[8] – SysMon info & download, https://technet.microsoft.com/sysinternals/sysmon

[9] – SysMon/Splunk integration, http://blogs.splunk.com/2014/11/24/monitoring-network-traffic-with-sysmon-and-splunk/

[10] – Virustotal search, https://www.virustotal.com

Skribent(er): 
Peder Sparell

Ransomware - det växande hotet.

Publicerat: 
2015-11-13 11:20

Ransomware är ett av de mest högljudda hoten i dag, risken är liten att du missar att du har blivit drabbad. Det drabbar både privatpersoner och företag hårt genom att göra att filer blir otillgängliga och förblir så såvida du inte betalar den lösensumma som begärs ut. Filer som den krypterar ligger oftast inte bara lokalt, utan de inkluderar exempelvis nätverkshårddiskar som finns mappade så att ännu fler blir drabbade.

Infektion sker oftast genom en av två infektionsvägar; antingen via bilagor i phishingmail och ibland finns det även länkar som skickar användaren till URLer som kör exploit-kits. Ett exploit-kit kan utnyttja brister i olika programvaror som användaren har installerad på datorn för att leverera skadlig kod.

Det första ransomwaret sägs vara upptäckt i Ryssland 2006 som då skapade lösenordsskyddade zip-filer och raderade orginalfilerna. Då fick offret betala 300$ för att kunna låsa upp de lösenordsskyddade filerna. Under en lång period hade ransomware en begränsad spridning, men 2012 började de även dyka upp i Europa. Den första typen av ransomware var ”polis ransomware” som låste användarens dator på något sätt eller krypterade filer som gjorde dem otillgängliga för användaren. En bild visades till användaren där det stod att “polisen” hade “beslagtagit” dina filer för att du hade gjort något olagligt. Den information som visades till användaren var ofta anpassad så att det såg ut som det var den lokala polisorganisationen som krävde lösensumman. I exemplet nedan som ser ut att komma från Polisen kostade det 1000 SEK att låsa upp datorn eller filerna.

Ransomware som utger sig för att vara från Polisen

Sedan under 2013 kom den första versionen av CryptoLocker och därefter har en mängd varianter vuxit fram. Idag dominerar ransomwarefamiljerna TeslaCrypt, CryptoWall, CBT-Locker och Cryptolocker. Symantec rapporterar att ransomware (alla typer, inte bara crypto-ransomware) haft en ökning på 113% från 2013 till 2014. Samtidigt ser 2015 ut att vara året för de nya varianterna av ransomware… Även McAfee förutspår en ökning för 2016 där den nya affärsmodellen ”Ransomware-as-a-service”  fortsätter att växa.

Statistik från McAfee visar en ökning av det totala antalet ransomware.

Redan under de senaste veckorna har det skett några förändringar i ransomware-sfären. Den senaste varianten av CryptoWall v4 skapar nu slumpmässiga filnamn. En annan variant av ransomware, Chimera, hotar med att publicera filerna som den har tagit som gisslan. Och nu är inte heller Linux-användare säkra med Linux.Encoder.1 i det vilda. Som tur är hade den första varianten av Linux-ransomwaret några brister och BitDefender har tagit fram ett verktyg för dekryptering.

Det är inte första missen som utvecklarna av ransomware gör, till exempel så har Kaspersky utvecklat verktyget Rakhni Dekryptor för ransomware som bland annat skapar filändelserna .locked, .oshit, .encrypted på de krypterade filerna. Men man kan inte alltid förlita sig på att det finns ett verktyg som kan dekryptera filerna, cert.se gick ut med en uppmaning med råd hur man kan skydda sig och vad man kan göra om man blir drabbad. Följande är några generella råd som alltid är bra att följa:

  1. Filtrera inkommande e-post, baserat på misstänkta sändare/domäner och bilagor som exempelvis är .exe filer.
  2. Blockera åtkomst till kända webbsidor som sprider skadlig kod, här kan båda din anti-virusprogramvara vara tillhjälp, men för företag som använder andra säkerhetskomponenter kan applicera filter på flera nivåer för att öka skyddet ytterligare.
  3. Svartlista/Vitlista program, exempelvis genom att konfigurera grupp-policies (GPO:er) som förhindrar att vissa program körs på systemet samt varifrån program får köras och vad de tillåts att göra.
  4. Ta backuper, på hela eller delar av disken, och se till att återställning av backuper fungerar.
  5. Se till att uppdatera datorn med de senaste uppdateringarna för programvaror och operativsystem och anti-virusskydd.
  6. Undvika att vara inloggad med lokala administratörsrättigheter
  7. Begränsa behörigheter på nätverksdiskar

Vad kan vi vänta oss härnäst då? Vad händer om Ransomware börjar plantera exekverbara filer med skadlig kod på filytor som delas med andra användare? Ja, det skulle säkert leda till en ökad spridning. McAfee förutspår en ökning av ”RaaS” och ransomware som inte gör så mycket väsen av sig, utan krypterar i det tysta. Det skulle kunna medföra att krypterade filer även hamnar i backuper som tas regelbundet, och då kan man inte längre förlita sig på att kunna använda sig av backuper för att återskapa filer.

Och förresten… Var extra försiktiga på fredagar, då är det tydligen är den dag i veckan som flest malware sprids!

Skribent(er): 
Tiina Loukusa Hyttnäs