Willkommen im März und zu Nr. 7 des explodingsecurity Newsletters. Ich hoffe, es geht dir gut und du hast Lust auf einen bunten Strauß IT-Security News, mit neuen Zahlen, interessanten PoCs und fetzigen Analysen. Energie!

Zahlenblock

In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

CrowdStrike, eine Cybersecurity SaaS Lösung aus Kalifornien, hat in dieser Woche den „2023 Global Threat Report“ veröffentlicht, welcher einige interessante Details enthält. So wurden im Jahr 2022 71 % der entdeckten Aktivitäten ohne Malware durchgeführt, ein Anstieg von 9 % im Vergleich zum Jahr 2021. CrowdStrike begründet dies mit der häufigen Verfügbarkeit gültiger Zugangsdaten durch Leaks und Co. Zusätzlich trägt die Geschwindigkeit der veröffentlichen neuen Sicherheitslücken zu diesem Trend bei. Warum sich also noch die Mühe mit Malware machen, wenn es auch einfacher geht.

Ebenfalls stark zugenommen hat die Zahl interaktiver Angriffe. Um ganze 50 % sollen diese im Jahr 2022 gestiegen sein. Der klassische unentdeckte Tastatur-Hacker scheint wohl langsam der Vergangenheit anzugehören, so wie ich das sehe. Am meisten betroffen war übrigens (wer hätte es gedacht) der Techsektor mit 21,6 % gefolgt vom Finanzsektor 8,4 % und dem Gesundheitswesen mit 8,3 %.

Cloud Freunde kommen im Report ebenfalls nicht zu kurz. So haben sich in diesem Bereich die Angriffe zu 2021 nahezu verdreifacht und sind um 95 % gestiegen.

Rückblick

Was gibt es neues zu den Themen der letzten Woche?

Activisions Azure Datenbank wurde auf einem Hackerforum veröffentlicht. Der anbietende Nutzer behauptet, dass die Datenbank 19.444 Datensätze mit Mitarbeiterinformationen enthält, die am 5. Dezember 2022 entwendet wurden. (ES #06).

Öffnungszeiten

In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten

LastPass

In dieser Woche kamst du sicher nicht um LastPass Artikel auf diversen Nachrichtenseiten herum. Grund war der neue Bericht zum zweiten Angriff auf deren Infrastruktur. Das brisante dieses Mal: Ein Angreifer verschaffte sich über den Privat-PC eines Mitarbeiters Zugang zu sensiblen AWS Daten des Passwortmanageranbieters. Geholfen haben dabei die Daten aus dem ersten Hack. So wurde auf dem Rechner eines Senior DevOps ein Keylogger installiert, der Rest ist selbsterklärend. Dev(Sec)Ops erhält hier eine ganz neue Bedeutung. Bleibt die Frage, warum hatte die betroffene Person Zugang zu kritischer Infrastruktur von zu Hause? Wurden nach dem ersten Hack die Passwörter resetet? War 2FA aktiv?

Ich würde dir immer zu einem lokalen Passwortmanager wie KeePassXC raten, aber ich möchte hier zusätzlich auf Bitwarden hinweisen. Das Passwort-Tool hat gerade zwei externe Audits über sich ergehen lassen und ist in einer On-premise Variante verfügbar.

BlackLotus

Eine Premiere gab es diese Woche für Windows 11 und Secure Boot. Das BlackLotus UEFI Bootkit hebelt den Sicherheitsmechanismus von Secure Boot kurzerhand aus, selbst auf einem voll gepatchten Windows 11.

Was sind UEFI Boot Kits?

UEFI-Bootkits (Unified Extensible Firmware Interface) sind hochwirksame Angriffe auf Systeme, da sie bereits den Startvorgang des Betriebssystems vollständig kontrollieren können. Sie graben sich tief ins System ein und manipulieren sowohl System als auch Nutzereinstellungen (BitLocker, Windows Defender oder Kernel-Treiber). Um solche Angriffe zu verhindern wurde Secure Boot ins Leben gerufen. Das neu entdeckte Bootkit kann diesen Schutz umgehen.

ESET hat das Vorgehen von BlackLotus Bootkit in einem ausführlichen Bericht unter die Lupe genommen. Als Sprungbrett dient die nur unzureichend geschlossene Sicherheitslücke CVE-2022-21894. Diese ermöglicht es, dem System einen manipulierten Bootloader unterzuschieben.

Schadstoffe

Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Angriffen handeln. Allerdings ist Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

TU Ilmenau - Sachsen

Laut MDR hat die TU Ilmenau einen Brute-Force-Angriff auf ihre Infrastruktur abwehren können. Es handelte sich um einen nicht zielgerichteter Angriff, Anfang Februar. Insgesamt berichtet die Uni von 27 Angriffe zwischen 2015 und 2020.

Aufgrund dieses und den vergangenen Angriffen auf die Uni Freiberg, Zwickau oder diverse KMUs, hat das Land Sachsen ein Cyber-Sicherheitsnetzwerk ins Leben gerufen. Darin will die zum Wirtschaftsministerium gehörende Digitalagentur des Freistaates mit Industrie- und Handelskammern, Handwerkskammern und Kriminalpolizei kooperieren, um in Zukunft besser gerüstet zu sein.

Steico

Der Baustoffhersteller Steico meldete diese Woche einen Ransomware-Angriff auf seiner Homepage. Die Feldkirchener sind laut eigenen Aussagen momentan nicht eingeschränkt und arbeiten an der Wiederherstellung ihrer Systeme. Backups lohnen sich.

Stadtwerke Karlsruhe

Wie der Spiegel berichtet, haben Hacker die Stadtwerke ausgespäht. Die Sachlage ist aktuell noch etwas unklar, denn laut Spiegel handelte es sich um einen gescheiterten Ransomware-Angriff. Laut Twitter tauchten die Stadtwerke auf einem Cobalt Strike Log File auf und wurden daraufhin vom BSI gewarnt, um Schlimmeres zu verhindern. Karlsruhe fiel in den letzten Wochen immer wieder mit Cyberattacken auf (siehe ES KW07/23).

Schulbank

Die Schulbank soll nicht abschrecken, sondern euch eine Möglichkeit geben, Wissen im IT-Security Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Githubs Secret Scanning

Microsofts GitHub hat das Secret Scanning für die breite Öffentlichkeit aktiviert. Das heißt für dich etwas mehr Sicherheit im Repository, denn du wirst bei gefundenen API-Keys oder Passwörtern automatisch benachrichtigt. Das Prinzip basiert auf RegEx Patterns, du kennst das von Tools wie TruffleHog oder GitLeak. GitHub unterstützt momentan 200+ solcher Patterns und ist gleichzeitig noch auf der Suche nach Partnern. Die aktuelle Liste mit Einträgen von Adobe bis Yandex hat noch Luft nach oben.

Die neue Einstellung findest du unter Setting/Code Security and Analysis.

Gaming Cheat unter Lupe

Wer kennt das nicht, irgendwo im Internet wird ein Game Cheat oder Ähnliches angeboten, in diesem Fall via Telegram. Doch was ist eigentlich in so einer Datei alles drin? Der Autor hat die ihm angebotene Datei untersucht und teilt seine Erkenntnisse.

Bei der Analyse kommen freie Tools wie DetectItEasy, CyberChef, PE-Bear, VirusTotal oder app.any.run zum Einsatz. Ich will euch nicht zu viel verraten, allerdings lädt eine der Dateien alleine schon 11 RATs (Remote Access Trojaner) auf eurem System ab.

Fingerprinting Headless Chrome

Im November 2022 wurde ein neuer Headless Chrome veröffentlicht, dieser ist bisher noch kein Standard und kann nur mit dem Aufruf --headless=new verwendet werden. Allerdings ändert sich einiges bei der Boterkennung, welche auf Browserfingerprinting basieren. Antoine Vastel vergleicht die alte und neue Version und liefert dir die Unterschiede. So wird die neue Version im User-Agent kein HeadlessChrome mehr anzeigen. Ein ähnliches Verhalten zeigt, ⁣ navigator.plugins was die Erkennung weiter erschwert. Gleiches gilt für navigator.mimeTypes.

Er verweist explizit auf weitere Techniken, um ein erfolgreiches Fingerprinting durchzuführen. Das empfehle ich dir auch, denn ein Indikator reicht bei weitem nicht aus, um ein genaues Fingerprinting durchzuführen. Dennoch schade, dass der neue Headless Chrome hier unnötige Änderungen integriert, die Angreifern eventuell in die Finger spielen.

• Behavior (client-side and server-side)
• Different kinds of reputations (IP, sessions, user)
• Proxy detection, in particular, residential proxy detection
• Contextual information: time of the day, country, etc
• TLS fingerprinting.

Einmal alles mit Chrome Add-ons

Matt Frisbie zeigt dir in seinem Beitrag, wie einfach es ist eine Chrome Erweiterung zu bauen, die Zugriff auf fast alles hat. Du hast dich ja sicherlich auch schon mal dabei erwischt, wie du eine Erweiterung installierst und einfach überall OK klickst, ohne weitere Hintergedanken, ob die Berechtigungen gebraucht werden.

Chrome kann zum Beispiel mit chrome.tabs.captureVisibleTab() jederzeit einen Screenshot deiner aktuellen Ansicht machen, deine History chrome.history.search({ text: "" }) auslesen oder den Traffic mitlesen. Der Beitrag verdeutlicht dir sehr gut, wie wichtig es ist nicht irgendwelche Erweiterungen aus unbekannten Quellen zu installieren und nicht über jede Berechtigungsanforderung nur drüberzufliegen. Auch wenn es sich hier um ein POC (Proof of Concept) handelt, sei dir bewusst, dass Googles neues Manifest v3 nicht vor allem schützt :)

Werkzeugkasten

Im Bereich Werkzeugkasten werden euch Tools aus dem IT-Security Universum vorgestellt. Bitte beachtet, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Ignitetechnologies Mindmaps

Es gibt ein Mindmap Repository von Ignitetechnolgies in dem Infografiken und Cheatsheets zur Cybersecurity bereitgestellt werden. Angefangen von Burp Suite über Mimikatz zu Windows Privilegien (letzteres stellt der unleserliche Screenshot dar) Bei insgesamt über 40 Mindmaps sollte für dich zumindest eine brauchbare Grafik dabei sein.

CrowdSec – eine Alternative zu Fail2Ban

Fail2Ban dürfte bei vielen Linux Admins zum Standardrepertoire gehören. Mit dem auf Golang basierenden CrowdSec steht eine Open-Source Alternative zur Verfügung, die allerdings etwas mehr Offenheit verlangt. Dafür soll sie schneller sein und IPv6 unterstützen. Anders als Fail2Ban ist CrowdSec von einem französischen Hersteller und bezieht seine Informationen aus einer zentralen CTI Datenbank. Wie du der Grafik entnehmen kannst, benötigt das Tool einen lokalen Agenten, der mithilfe von Grok Pattern und YAML Scenarios Datenquellen überwacht.

Sobald ein ungewünschtes Verhalten auftritt, kommen die sogenannten Bouncer ins Spiel und blockieren dieses. Sie nutzen iptables/nftables und können für bestimmte Szenarien mit vorgefertigten Richtlinien heruntergeladen werden. Zum Beispiele für WordPress, Nginx, Apache, Cloudflare oder Fastly.

CrowdSec steht unter MIT license, teilt aber in der freien Version gefundene Daten, um die eigene Datenbank zu verbessern und hat somit Crowd Superpower. Laut eigenen Angaben ist die Firma dahinter DS-GVO konform, d. h. CrowdSec kann eine wirkungsvolle und dynamische Alternative für Fail2Ban sein.

Firefly

Firefly ist ein neuer Blackbox Fuzzer für Webanwendungen. Das Go Tool kann beispielsweise für Penetrationstest verwendet werden. Es ist mit v1.0 wirklich noch nagelneu, bringt aber mit eingebauten Check-Modulen nicht nur einen Vorteil mit:

• Heavy use of gorutines and internal hardware for great preformance
• Built-in engine that handles each task for „x“ response results inductively
• Highly customized to handle more complex fuzzing
• Filter options and request verifications to avoid junk results
• Friendly error and debug output
• Build in payloads (default list are mixed with the wordlist from seclists)
• Payload tampering and encoding functionality

Bei YesWeHack findest du eine ausführlichere Beschreibung der einzelnen Methoden.

urlscan.io

Als Letztes möchte ich dir urlscan.io vorstellen. Ein schlichter Webservice zur Domainanalyse. Der Dienst kann zur Reconnaissance verwendet werden oder zum Prüfen einer möglichen Phishing URL. Urlscan.io ist als Freemium Service verfügbar und entlockt einer gescannten Domain nützliche Information, wie verwendete Technologien, Hoster, Verhalten, SSL-Zertifikate, JavaScript, DOM-Inhalte, usw.

Abschluss

Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.