Neem contact met ons op

Artikelen

25-10-2017

#Badrabbit

Note: This post discusses active research by Talos into a new threat. This information should be considered preliminary and will be updated as research continues.

On October 24, 2017, Cisco Talos was alerted to a widescale ransomware campaign affecting organizations across eastern Europe and Russia. As was the case in previous situations, we quickly mobilized to assess the situation and ensure that customers remain protected from this and other threats as they emerge across the threat landscape.

There have been several large scale ransomware campaigns over the last several months. This appears to have some similarities to Nyetya in that it is also based on Petya ransomware. Major portions of the code appear to have been rewritten. The distribution does not appear to have the sophistication of the supply chain attacks we have seen recently.

DISTRIBUTION
Talos assesses with high confidence that a fake Flash Player update is being delivered via a drive-by-download and compromising systems. The sites that were seen redirecting to BadRabbit were a variety of sites that are based in Russia, Bulgaria, and Turkey.

When users visited one of the compromised websites, they were redirected to 1dnscontrol[.]com, the site which was hosting the malicious file. Before the actual malicious file was downloaded a POST request was observed to a static IP address (185.149.120[.]3). This request was found to be posting to a static path of "/scholasgoogle" and provided the user agent, referring site, cookie, and domain name of the session. After the POST the dropper was downloaded from two different paths from 1dnscontrol[.]com, /index.php and /flash_install.php. Despite two paths being utilized only a single file was downloaded. Based on current information, the malware appears to have been active for approximately six hours before the server 1dnscontrol[.]com was taken down. The initial download was observed around 2017-10-24 08:22 UTC.

The dropper (630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da) requires a user to facilitate the infection and does not use any exploit to compromise the system directly. This dropper contains the BadRabbit ransomware. Once installed there is an SMB component used for lateral movement and further infection. This appears to use a combination of an included list of weak credentials and a version of mimikatz similar to that which was used in Nyetya. Below is a list of the username/password combinations that we have observed. Note there is overlap with the 1995 cult classic "Hackers".

Observed Password List

Despite initial reports, we currently have no evidence that the EternalBlue exploit is being utilized to spread the infection. However, our research continues and we will update as we learn more.

TECHNICAL DETAILS
The malware contains a dropper which is responsible for extracting and executing the worm payload. This payload contains additional binaries stored in the resources (compressed with zlib):
legitimate binaries associated with DiskCryptor (2 drivers x86/x64 and 1 client);
2 mimikatz-like binaries (x86/x64) similar to the sample seen during Nyetya. A popular open source tool used for recovery of user credentials from computer memory using several different techniques.
It drops files into the C:Windows directory. The mimikatz-like binaries are executed using the same technique that was leveraged in the Nyetya campaign. The communication between the payload and the stealer will be performed by a named pipe, for example:

C:WINDOWS561D.tmp .pipe{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

The malware then uses RunDLL32.exe to execute the malware and continue the malicious operations. The malware then creates a scheduled task with the parameters shown in the screenshot below:

In addition to the aforementioned scheduled task, the malware creates a second scheduled task that is responsible for rebooting the system. This second task does not occur instantaneously but is scheduled to occur later.

If the names for these scheduled tasks look familiar they appear to be a reference to Game of Thrones, specifically they match the names of the dragons. The malware also creates a file on the infected user's desktop called DECRYPT. Executing this file causes the following ransom note to be displayed to victims.

To demonstrate how quickly these sorts of threats can propagate globally, the below graphic reflects the DNS related activity associated with one of the domains that were being used to distribute the fake Adobe Flash update that was used to drop the malware on victims' systems.

The malware modifies the Master Boot Record (MBR) of the infected system's hard drive to redirect the boot process into the malware authors code for the purposes of displaying a ransom note. The ransom note that is displayed following the system reboot is below, and is very similar to the ransom notes displayed by other ransomware variants, namely Petya, that we have observed in other notable attacks this year.

This is the payment page from the TOR site: *BLOCKED*

CONCLUSION
This is yet another example of how effective ransomware can be delivered leveraging secondary propagation methods such as SMB to proliferate. In this example the initial vector wasn't a sophisticated supply chain attack. Instead it was a basic drive-by-download leveraging compromised websites. This is quickly becoming the new normal for the threat landscape. Threats spreading quickly, for a short window, to inflict maximum damage. Ransomware is the threat of choice for both its monetary gain as well as destructive nature. As long as there is money to be made or destruction to be had these threats are going to continue.

This threat also amplifies another key area that needs to be addressed, user education. In this attack the user needs to facilitate the initial infection. If a user doesn't help the process along by installing the flash update it would be benign and not wreak the devastation it has across the region. Once a user facilitates the initial infection the malware leverages existing methods, such as SMB, to propagate around the network without user interaction.

COVERAGE

Advanced Malware Protection (AMP) is ideally suited to prevent the execution of the malware used by these threat actors.

CWS or WSA web scanning prevents access to malicious websites and detects malware used in these attacks.

Network Security appliances such as NGFW, NGIPS, and Meraki MX can detect malicious activity associated with this threat.

AMP Threat Grid helps identify malicious binaries and build protection into all Cisco Security products.

Umbrella, our secure internet gateway (SIG), blocks users from connecting to malicious domains, IPs, and URLs, whether users are on or off the corporate network.

Email has not been identified as an attack vector at this time. The malware, if transferred across these systems on your networks, will be blocked.

INDICATORS OF COMPROMISE
Hashes (SHA256)
Dropper:
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
Payload:
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93 C:Windowsdispci.exe (diskcryptor client)
682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806 C:Windowscscc.dat (x32 diskcryptor drv)
0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6 C:Windowscscc.dat (x64 diskcryptor drv)
579FD8A0385482FB4C789561A30B09F25671E86422F40EF5CCA2036B28F99648 C:Windowsinfpub.dat
2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035 (mimikatz-like x86)
301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c (mimikat-like x64)
Scheduled Tasks names
viserion_
rhaegal
drogon
Domains
Distribution domain:
1dnscontrol[.]com

Distribution Paths:
/flash_install.php
/index.php

Intermediary Server:
185.149.120[.]3

Referrer Sites:
Argumentiru[.]com
Fontanka[.]ru
Adblibri[.]ro
Spbvoditel[.]ru
Grupovo[.]bg
www.sinematurk[.]com

Hidden service:
caforssztxqzf2nm[.]onion

More info: Kijk hier voor de laatste updates en op security.nl

06 jul Anti-Virus is dood, lang leve Anti-Virus?

De opkomst van ransomware heeft het grote publiek getoond wat iedereen in de security industry eigenlijk al tien jaar weet: het omzeilen van Anti-Virus software is voor kwaadwillenden zeer eenvoudig. Ransomware is een vorm van malware (malicious software) dat bestanden van slachtoffers gijzelt en pas na betaling weer beschikbaar maakt.

Resultaten uit het verleden bieden geen garantie voor de toekomst

Anti-Virus heeft lange tijd alleen met een zogenaamde “checksum” gewerkt. Hierbij wordt de complete inhoud van (potentiële) malware geverifieerd aan eerder ontdekte malware. Malware ontwikkelaars hebben hier altijd misbruik van gemaakt door in de malware een paar regels code aan te passen. Hierdoor zal de checksum niet meer kloppen en wordt de malware niet gedetecteerd door de Anti-Virus. Pas na een aantal besmettingen met de nieuwste vorm van malware kunnen Anti-Virus leveranciers een nieuwe checksum aan hun databases toevoegen. En zo is dit tot op de dag van vandaag een oneindig kat en muis spel gebleven.

Ransomware ontwikkelaars pakken het tegenwoordig nog slimmer aan. Zij weten dat de Anti-Virus leveranciers tijd nodig hebben om malware te analyseren en vervolgens de checksum te verwerken in hun databases. Deze malware schrijvers testen in hun eigen laboratorium door hen ontwikkelde ransomware op de diverse Anti-Virus software en zorgen er vervolgens voor dat hun nieuwste versie ransomware niet gedetecteerd wordt.

Vervolgens maken zij ook ten volle gebruik van de voordelen van de cloud. Het is namelijk heel eenvoudig geworden om de ransomware in een keer tegelijk naar heel veel slachtoffers tegelijk te emailen. Deze slachtoffers krijgen direct de mail met (links naar de) malware binnen en beginnen met klikken op de bijlagen of linkjes in de emails. Op dat moment wordt de malware dus nog niet herkend door Anti-Virus. Vanaf dat moment kunnen Anti-Virus leveranciers beginnen met het analyseren van de malware. Mits het bij ze gemeld wordt natuurlijk! Aangezien dit een uitermate technische aangelegenheid is, zal het analyseren vaak enkele uren in beslag nemen. Het kan ook voorkomen dat het analyseren vele malen langer duurt. De ransomware schrijvers hebben in de tussentijd vrij spel: ze profiteren van de tijd tussen het verzenden van de emails en het opnemen van nieuwe checksum in de Anti-Virus software. Ondertussen doet de wet van de grote getallen zijn werk: als je miljoenen emails verstuurd, dan zijn er altijd voldoende systemen die je kunt gijzelen en waar losgeld voor gevraagd kan worden. Lucratieve business dus!

Oude wijn in nieuwe zakken

Leveranciers van Anti-Virus software hebben inmiddels nieuwe producten ontwikkeld die ze onder de noemer “Endpoint Security” en “Endpoint Protection” verkopen. Termen zoals “advanced machine learning” en “zero day detection” worden hierbij gebruikt om het geheel zeer indrukwekkend en modern te laten lijken. Hoewel deze termen het in de marketing goed doen en vertrouwenwekkend overkomen op een gewone computer gebruiker, borduren Anti-Virus leveranciers gewoon voor op wat ze al jaren deden. In feite zijn deze “nieuwe” producten gebaseerd op de patroonherkenning die ze al jaren inzetten. Resultaten van analyses van oude malware wordt ingezet in de hoop nieuwe malware te vinden. Probleem hierbij blijft dat malware schrijvers nog steeds de mogelijkheid hebben om de Anti-Virus software in hun eigen laboratorium te installeren en eenvoudig nieuwe technieken kunnen testen om die te omzeilen.

Defense maatregelen: je hebt ze al gekocht!

Helaas beloven Anti-Virus leveranciers met hun producten een vals gevoel van veiligheid. De producten bieden geen veiligheid of bescherming, in ieder geval slechts ten dele. Gelukkig zijn er steeds meer organisaties in gaan zien dat er voor andere maatregelen in plaats van of naast Anti-Virus gekozen moet worden. Met eenvoudige oplossingen die aanwezig zijn in het Windows besturingssystemen zelf zijn al een hele hoop bedreigingen de pas af te snijden. Denk hierbij aan AppLocker waarmee programma’s niet zomaar meer opgestart mogen worden. Een ander voorbeeld zijn software restrictie policy’s of uitzetten van Office macro’s. Met het uitvoeren van een aantal simpele clicks, zonder aanvullende investeringen in software, kan veel vooruitgang geboekt worden met het preventief beschermen tegen de uitvoer van malware.

Anti-Virus als paard van Troje

Er is echter nog een probleem met Anti-Virus software dat de afgelopen jaren steeds prominenter is geworden. Anti-Virus software bevat door de complexiteit waarmee malware gecontroleerd moet worden inmiddels zelf ook veel zeer ernstige kwetsbaarheden. Bekende onderzoekers van onder andere Google’s Project Zero hebben dit de afgelopen periode in bijna alle Anti-Virus software aangetoond. Naast dat de software veel kwetsbaarheden bevat, werd ook duidelijk dat deze leveranciers totaal geen moeite hebben gestoken in het beschermen van hun software door mitigatie maatregelen. Indien een lek gevonden wordt is dit dan ook gelijk eenvoudig te misbruiken. Dit doordater geen rekening gehouden hoeft te worden met mitigatie maatregelen die in gangbare software juist wel aanwezig zijn.

Het zogenaamde directe aanvalsoppervlak vanaf het internet is de afgelopen paar jaar steeds kleiner geworden. Denk bijvoorbeeld aan het standaard uitschakelen van Flash (een veel misbruikte aanvalsmethode) in populaire browsers zoals Google’s Chrome of alle mitigatie oplossingen in Windows 10. Online criminelen hebben daardoor nieuwe aanvalsmethodes nodig. En wat is dan beter om, de ironie ten spijt, de “end point security” software te misbruiken die iedereen geïnstalleerd heeft om dit juist te voorkomen?

Geen Anti-Virus gebruiken dus?

Na het lezen van deze bijdrage zou je bijna denken dat we het gebruik van Anti-Virus afraden. Dat is absoluut niet het geval. Er zijn echter wel situaties waarin Anti-Virus zinloos is en daardoor zonde van het geld. Voor veruit de meeste organisaties geldt dat zij wel baat hebben bij Anti-Virus omdat in ieder geval de oude malware gedetecteerd wordt. Organisaties zullen zich in onze visie echter veel meer moeten focussen op het op orde brengen van de defense maatregelen. Je moet er vanuit gaan dat nieuwe malware een keer je netwerk binnen komt, hoe zorg je er dan voor dat het geen schade kan veroorzaken? Welke verdedigingsmechanismen zijn er in het netwerk aanwezig die kwaadaardige software de pas afsnijdt? Wij geloven erin dat je systemen beter beveiligt door dat juist op orde te hebben.

Dit artikel is geschreven door Robert van Hamburg, senior security engineer bij onze 2Staff Partner Guardian360

25-10-2017

IBM Q-qradar vs Splunk

IT and security managers in the IT Central Station online community say that the most important characteristics of security information and event management (SIEM) products is the ability to combine information from several sources and the ability to do intelligent queries on that information. Four of the top SIEM solutions are Splunk, HPE ArcSight, LogRhythm, and IBM Security QRadar SIEM, according to online reviews by enterprise users in the IT Central Station community.
But what do enterprise users really think about these tools? Here, users give a shout out for some of their favorite features, but also give the vendors a little tough love.

Read Article IBM Q-Radar vs Splunk

04 jul Het is tijd voor defensieve informatiebeveiliging!

De security industrie wordt al jaren gedomineerd door offensieve acties en maatregelen. Dit lijkt er al ingeslopen te zijn sinds de eerste security oplossingen in de jaren negentig gelanceerd werden. Het geeft een security specialist een veel “cooler” imago als hij “0-day exploits” onderzoekt. Terwijl iemand die een effectieve defensieve oplossing heeft snel gezien wordt als een “wannabe hacker”.

Achter de feiten aanlopen

Het gevolg hiervan is dat er vooral reactieve oplossingen worden ingezet. Denk hierbij aan het installeren van patches, of het stuk-voor-stuk vinden van alle kwetsbaarheden in een systeem. Dit zijn absoluut waardevolle activiteiten die in elke organisatie in de bedrijfsprocessen opgenomen moet worden. Updates en patches helpen echter alleen tegen bekende kwetsbaarheden in software. Maar wat als er een lek wordt misbruikt dat nog niet bij software leveranciers bekend is. Of wanneer er nog geen patch voor een bekende kwetsbaarheid beschikbaar is vanwege de complexiteit van de oplossing in het product? Dan loop je dus altijd achter de feiten aan en heb je de kans dat jouw omgeving misbruikt wordt.

Daarnaast zien we dat online criminelen geen ‘traditionele’ lekken meer misbruiken, maar juist gebruik maken van beschikbare functionaliteit in software. Een goed voorbeeld hiervan is ransomware. Deze vorm van malicious software maakt gebruik van de mogelijkheid binnen Office om macro’s uit te voeren. Dit is een standaard functionaliteit, geen patch of update die hier tegen helpt!

Teveel focus op kwetsbaarheden

Een van de grootste obsessies binnen de security industrie op dit moment is het vinden van security kwetsbaarheden. Het lijkt haast wel of het ultieme doel is om elke kwetsbaarheid die er is aan te tonen. Organisaties willen de tellers op ‘0’ hebben, elke kwetsbaarheid moet worden opgelost! Software wordt echter door mensen geschreven en zal daarom altijd fouten bevatten, hoe goed de ontwikkelaars ook is. We kunnen er dus wel van uit gaan dat fouten zullen blijven ontstaan zo lang de mens code schrijft.

Helpt het dan om je blind te starten op dezelfde kwetsbaarheden die al duizenden keren in de afgelopen 10-20 jaar voorbij gekomen zijn, in een of andere vorm? Wij zijn er van overtuigd dat dit niet het geval is. Het is een zeer reactieve (en arbeidsintensieve!) aanpak om elke bug stuk voor stuk aan te tonen en op te lossen. Regelmatig wordt geconstateerd dat een ernstige kwetsbaarheid al vele jaren in een product aanwezig is, ondanks dat meerdere security researchers de software onderzocht hebben. In sommige gevallen heeft het meer dan 10 jaar geduurd voordat een lek ontdekt en gepatcht werd! Al de tijd had dit lek misbruikt kunnen worden door criminelen. Dit bevestigt dat alleen het vinden van lekken niet de oplossing is!

Defense-in-depth

Steeds meer organisaties krijgen gelukkig door dat alleen updaten of het inzetten van Anti-Virus oplossingen niet helpt. Er wordt gezocht naar andere oplossingen die wel effectief zijn. Denk hierbij aan defense(-in-depth) maatregelen, zoals het simpelweg uitzetten van de macro functionaliteit in Office. Ook zorgen restrictie policies op software en maatregel zoals “AppLocker” of “Device Guard” dat het uitvoeren van ransomware en andere malware niet meer mogelijk is. Dus ook wanneer een gebruiker op een verdachte link klikt of een attachment probeert te openen zal de malware geen schade aanrichten. Door deze preventieve “defense-in-depth” maatregelen op verschillende lagen binnen de organisatie toe te passen, kunnen zo veel aanvallen worden voorkomen of het effect ervan fors worden terug gebracht.

Leveranciers en ontwikkelaars van essentiële systemen, zoals bijvoorbeeld het besturingssysteem dat je elke dag gebruikt, beginnen door te krijgen dat het oneindig oplossen van kwetsbaarheden geen echte oplossing is voor het probleem. We constateren dat er op verschillende niveau’s steeds meer mitigatie maatregelen worden ontwikkeld. Deze maatregelen kunnen preventief of pro-actief kunnen worden ingezet om organisaties te beschermen tegen het misbruik van kwetsbaarheden. In veel gevallen is de oplossing voor organisaties eenvoudig, gebruik bijvoorbeeld gewoon de laatste versie van het besturingssysteem met deze mitigatie technieken.

Guardian360 zal zich de komende periode meer gaan focussen op het in kaart brengen van ontbrekende defense-in-depth maatregelen in netwerken en webapplicaties omdat we er van overtuigd zijn dat we organisaties zo veel beter kunnen helpen!

Bescherming van webapplicaties

De afgelopen periode zijn extra beschermingslagen voor websites in opkomst, bijvoorbeeld door zogenaamde “security headers” toe te passen. Deze headers kunnen helpen bij het beschermen van de bezoeker van een website of gebruiker van een webapplicatie. Een voorbeeld hiervan is het tegengaan van het uitvoeren van kwaadaardige script code in de browser. Dus mocht er in de website een programmeerfout aanwezig zijn die nog niet is ontdekt, dan kunnen de maatregelen ervoor zorgen dat kwaadwillenden misbruik maken van het lek zodra e dat hebben weten te achterhalen.

2Staff Quickscan

2Staff in 2016 powered by Guardian360 een gratis dienst ontwikkeld waarmee website ontwikkelaars, webshopeigenaren en webapplicatie aanbieders eenvoudig kunnen testen of de defense in depth maatregelen goed zijn geconfigureerd. Ga naar de website om een gratis scan te doen!

Dit artikel is geschreven door Robert van Hamburg, senior security engineer bij onze partner Guardian360