exploding security #14 - Grauzone Telegram – Ransomware Rekord – No Code OWASP Top 10 - verteiltes Scannen mit Axiom und Co – CensysGPT – deps.dev

In NRW wurde diese Woche das Abitur verschoben, Software Problem wer hätte das gedacht. Ich kann nicht sagen, was die IT in NRW so macht, aber ein Fallback erarbeiten oder ein Lasttest wäre im Vorfeld sicherlich sinnvoll gewesen. Immerhin gibt es durch diesen Fauxpas viele neue Kandidaten für fancy Abisprüche à la „404 - ABI not found“.

explodingsecurity #14 wird diese Woche natürlich nicht verschoben.

Rückblick: Was gibt es Neues zu den Themen der letzten Woche?

DDosia Project

Ich hatte in den vergangenen Newslettern Noname057 und das Projekt DDosia schon des Öfteren erwähnt. Das Pendant zum ukrainischen Disbalancer wurde nun vom Avast Team noch einmal im Detail untersucht. Das Projekt hat inzwischen von Python zu Golang gewechselt und unterstützt bekannte Systeme, wie Windows, Mac, Linux.

Die neue Konfiguration beinhaltet vier Angriffsarten: HTTP, HTTP2, NGINX_loris und TCP. Außerdem wurde versucht, temporäre DNS Records zu implementieren, was allerdings scheiterte. Dafür wurde Request Authentication für den C2 Server eingerichtet, damit die Ziellisten nicht mehr von jedem geladen werden können. Weitere Sicherungsmaßnahmen des Netzwerkes sind wohl geplant.

3CX Lieferketten Attacke

Doppelt hält besser, dieser Spruch passt zwar nicht ganz auf die 3CX Supply Chain Attack der letzten Wochen, kommt aber nahe an die neuen Erkenntnisse heran. Mandiant hat aufgedeckt, dass die Kette ihren Ursprung bei der Tradingsoftware X-Trader hatte. Diese hatte die nordkoreanische Gruppe UNC4736 mit bösartigen DLLs manipuliert. Ein Download und eine Installation eines 3CX Mitarbeiters führte dann zur 3CX Attacke, welche ich in Exploding Security #11 bereits behandelt hatte.

Nach neuesten Erkenntnissen von Symantec, sollen von X-Trader zwei bisher unbekannte Firmen mit kritischer Infrastruktur aus dem Energiesektor betroffen sein.

Zahlenblock: In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Das Zahlenwerk wird diese Woche von der NCC Group präsentiert. Dort wurden im March’s Threat Intelligence Reports die Ransomware Attacken des letzten Monats (März 23) ausgewertet.

Mit 459 Vorfällen ist ein neuer Rekord aufgestellt worden (+91 % zum Vormonat). Zum neuen Spitzenwert haben die Massenangriffe auf Anwender von Fortra's GoAnywhere beigetragen. Allein 130 GoAnywhere Vorfälle gehen auf das Konto der CL0P Ransomware Gang. Auch wenn die Gruppe von (fast) Null auf 130 geprescht ist, darf der zweite Platz mit Lockbit 3.0 nicht vernachlässigt werden. Denn diese Gruppe liefert konstant jeden Monat eine Anzahl von neuen Opfern ab. Im Monat März waren es bereits wieder fast 100 neue Fälle.

Die Ziele sind dagegen insgesamt ähnlich geblieben, 32 % für den Industriesektor und 48 % in Nordamerika führen die Statistiken an. Europa folgt auf den Plätzen mit 28 %.

Ransomware Attacken bleiben damit das Top-Risiko für die Industrie.

In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Ransomware News

Auch diese Woche gab es eine bunte Mischung an Ransomwareattacken. Solche Gefahren wurden auf der Potsdamer Sicherheitskonferenz als momentan größtes Risiko eingestuft und der Ruf nach mehr Awareness und Hackbacks wurde laut. Nicht weiter verwunderlich, mit Blick auf die Rekordzahlen aus dem März 23.

Mich persönlich erinnern die aktuellen Aufschreie an die Bekämpfung der organisierten Offline-Kriminalität der letzten Jahrzehnte, die Gruppierung mit dem aktuell größten Momentum galt es zu bekämpfen, mal Biker, mal Mafia, mal Clans.

Ein langfristiges Umdenken und Investitionen in IT-Infrastruktur, Desaster Recovery, Schulung der Verantwortlichen und MitarbeiterInnen wäre sicherlich der bessere Weg, um der Problematik entgegenzutreten. Was mit dem Schlagwort Hackbacks erreicht werden will, bleibt mir ein Rätsel, vermutlich ist es der daraus abgeleitete Aktionismus, welcher in manchen Ohren wohlklingend zu sein scheint.

Badischen Stahlwerke in Kehl

• Angreifer: Unklar
• Angriffsart: Ransomware

Chemiewerk Schirm GmbH

• Angreifer: Play
• Angriffsart: Ransomware

Europäische Organisation zur Sicherung der Luftfahrt

• Angreifer: Killnet
• Angriffsart: DDoS

SOMMER Antriebs- und Funktechnik GmbH

• Angreifer: Lockbit
• Angriffsart: Ransomware

GKS Hydraulik

• Angreifer: Royal
• Angriffsart: Ransomware

Stürtz Maschinenbau GmbH

• Angreifer: Lockbit
• Angriffsart: Ransomware

AUT-TECH Fertigungstechnik GmbH

• Angreifer: CL0P
• Angriffsart: Ransomware

Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Alarm! Lockbit macOS Ransomware

Wenn es diese Woche ein Top-Thema gab, welches die Medien aufgegriffen haben, dann war es die Meldung, dass Lockbit nun Ransomware für macOS entwickelt hat. Zumindest in den ersten 24 Stunden machte sich das Gefühl breit, dass wir wohl alle dem Untergang geweiht sind.

Glücklicherweise haben sich die Wogen nach Untersuchungen durch diverse Profis (ua. Patrick Wardle von Objective-See) schnell wieder geglättet. Es handelt sich lediglich um eine mit heißer Nadel gestrickte Testversion, von der erst mal keine weitere Gefahr ausgeht, da sie weder funktional noch vollständig ist.

Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Telegram – Messenger, Hackertool, C2 Server und Sprachrohr

Telegram war im Januar 2021 mit mehr als 63 Millionen Installationen die am häufigsten heruntergeladene App weltweit. Der Messenger schafft es, die Zahl der aktiven NutzerInnen von 550 auf 700 Millionen im Jahr 2022 zu steigern.

Lange war der Messenger nicht vielen bekannt, galt zwar als funktionsreich, kam aber nie an WhatsApp vorbei. Spätestens seit dem Privacy Skandal hat 2021 hat sich diese Tendenz geändert. Allerdings war Telegram oft mit nicht immer positiv besetzten News in den Medien, dank Trump, QAnon oder Coronaleugnern. In Deutschland hatte der Messenger im Januar einen Marktanteil von ca. 20 %. International gesehen, allerdings nur 2 %.

Neben Ottonormalverbrauchern nutzen diverse Hackergruppen Telegram für ihre Zwecke. Sei es zur Kommunikation, für Eigenwerbung, das Verkaufen von Malware oder dem Veröffentlichen von Dateien. Telegram bietet neben der Möglichkeit Bots einzusetzen, auch die Möglichkeit anonym Telefonnummer zu verwenden. Hier für dich ein kurzer Telegram Überblick:

No-SIM Anmeldung

Für die Registrierung benötigt Telegram eine Telefonnummer. Wer keine Telefonnummer besitzt, kann sich über die eigene Plattform Fragment eine kaufen. Bei Fragments handelt es sich um eine Auktionsplattform, wo du mit der Kryptowährung Toncoin handeln kannst. Du benötigst somit eine TON-Wallet und TONs, um mitbieten zu können. Eine ausführliche Anleitung findest du auf der Plattform selbst. Auf Fragment kannst du neben Telefonnummern auch Nutzernamen ersteigern. Die versprochene Anonymität würde ich infrage stellen und eher von Pseudonymisierung ausgehen, immerhin finden Transaktionen auf einer Blockchain statt und IPs lassen sich ebenfalls tracken. Ein Punkt, der für die Verfolgung von Straftätern sicherlich relevant ist.

Ende-zu-Ende-Verschlüsselung

Telegram unterstützt eine Ende-zu-Ende-Verschlüsselung (e2e), allerdings muss diese für einen Chat explizit ausgewählt werden. Diese Chats werden ausschließlich lokal gespeichert und nicht in der Cloud abgelegt, sie sind somit auf das jeweilige Gerät gebunden. Die Webversion und Windows-App unterstützen keine geheimen Chats, da sie die sichere Speicherung der Chats auf dem Gerät nicht gewährleisten können. Die Verschlüsselung ist nur bei 1 zu 1 Kommunikation möglich, Gruppenchats werden nicht unterstützt. Dagegen sind Audio- und Videotelefonie immer Ende-zu-Ende verschlüsselt, das erkennst du an den übereinstimmenden Symbolen, die während eines Calls angezeigt werden.

Telegram Bots

Ein sehr beliebtes Feature des Telegram Messengers sind Bots. Diese werden nicht nur von öffentlichen Institutionen wie der Tagesschau angeboten, sondern sind ebenfalls in der Grauzone beliebt. Dealer vertreiben ihre Ware über Bots (unter anderem wird hier auf die Nearby Funktion zurückgegriffen), Kryptowährungen werden darüber verwaltet und gehandelt, aber auch Hacker Gruppen nutzen die kleinen Helferlein. So werden Bots für Phishing Kampagnen verwendet, für das Verkaufen von Malware (ZingoStealer, Meow Stealer) oder der Koordination von DDoS Angriffen (NoName057(16)).

Speziell Phishing Angriffe auf OTP und SMS haben dank ChatGPT Unterstützung zuletzt wieder zugenommen (Phishing-as-a-Service). Diese Art von Bots hat nicht umsonst eine eigene Kategorie, namens OTP-Bot erhalten. Die Kosten von OTP Bots hat Kaspersky erst vor ein paar Tagen in einem Bericht über den Phishing Markt veröffentlicht und listet Preise für Phishing-Kits je nach Ausstattung zwischen 10 und 300 $ auf.

Sprachrohr

Neben Twitter hat sich Telegram als Sprachrohr und Austauschplattform diverser Untergrundgruppen etabliert. So veröffentlichen Gruppen wie Killnet, Anonymous oder NoName057 regelmäßig ihre Ziele vor oder nach einem Angriff auf ihren Telegram Kanälen. Letztere haben für ihre internationalen Ziele extra einen englischsprachigen Kanal erstellt. Abseits der Angriffsmeldungen wird fleißig Propaganda für die eigene Sache gemacht oder zu neuen Aktionen aufgerufen, genauer gesagt in neue Gruppen eingeladen und sich ausgetauscht. Telegram hat natürlich nicht nur eine Grauzone, so berichten dort ebenfalls Blue- und Red Teams von ihren Erkenntnissen. Die Sicherheitsforscher von vx-underground beispielsweise veröffentlichen parallel auf Twitter und Telegram aktuelle News.

Daten Leaks

Da Telegram große Dateiuploads und diverse Formate unterstützt, bietet sich der Messenger für einige Gruppen als Leakplattform an. Meistens veröffentlichen Ransomware Gangs Daten ihrer Opfer direkt im Darknet, allerdings werden diese Pakete inzwischen zusätzlich in diversen Telegram Kanälen angeboten. So bietet die Gruppe Industrial Spy auch einen Telegram Kanal an, vermutlich um mehr Aufmerksamkeit zu schaffen. Denn der Messenger hat eine geringere Einstiegshürde als das Tor Netzwerk.

C2 Server

Immer öfter wird Telegram als Command & Control Server für Malware und Co verwendet. Malware, die Telegram als C2-Kanal nutzt, verwendet in der Regel die Telegram Bot API für die Kommunikation. So wird aktuell der Zaraza Bot über Telegram vertrieben und nutzt dessen Infrastruktur. Gleiches Verhalten zeigte schon der Raccoon Stealer, ToxicEye oder KamiKakaBot.

Fazit

Telegram ist in erster Linie ein funktionsreicher Messenger. Dass dubiose Gruppierungen davor nicht haltmachen, ist bedauerlich, aber nicht verwunderlich. Mit seinen Botfunktionalitäten und der eher schwachen Zusammenarbeit mit Behörden, bietet Telegram natürlich einen guten Nährboden für Untergrundaktivitäten. Sollte sich dies in naher Zukunft ändern, werden sich die Gruppierungen allerdings einfach wieder vermehrt auf andere Tools und Systeme verteilen. Telegram stellt somit nur einen Arm von vielen der Grauzonen-Hydra dar.

A Pentester’s Guide to NoSQL Injection

Du kennst SQL und dir sagt NoSQL etwas. Du möchtest wissen, was der Unterschied ist und wie du Datenbanken, die einen nicht relationalen Ansatz verfolgen, auf Sicherheit untersuchen kannst. Der Pentester Guide für NoSQL Injektions ist dann für dich der richtige Lesestoff für diese Woche. Senior Consultant Aditya hat alles Wichtige zu der Thematik zusammengefasst.

Ghostscript CVE-2023-28879 im Detail

Eine ausführliche Zusammenfassung für die Remote Code Execution (RCE) Lücke in Ghostscript der vergangenen Wochen. Die Lücke wurde bereits geschlossen, du erfährst in diesem Bericht ein paar Details zum Fund und dem Ausnutzen dieser Schwachstelle.

OWASP Low-Code/No-Code Top 10

No-Code Tools, wie Bubble, Zapier, Airtable und Co sind sicher keine neue Erscheinung. Sie haben sich allerdings stetig weiterentwickelt und sind schon lange nicht mehr nur Automatisierungstools für Tweets und Co. Inzwischen sind Low Code, No Code Tools weitaus mehr, seit dem KI-Hype beliebter denn je. Google will beispielsweise eine „Gen App Builder“ getaufte Anwendung direkt in Bard (ChatGPT Alternative) einbinden. Das ist allerdings Zukunftsmusik, wichtiger ist das Hier und Jetzt und dazu gehört eben auch die Sicherheit. Angesichts dessen stellt das Open Worldwide Application Security Project (OWASP) eine Low-Code/No-Code Top 10 bereit:

1. Account Impersonation (Accountmissbrauch)
2. Authorization Misuse (Berechtigungsmissbrauch)
3. Data Leakage and Unexpected Consequences (Datenlecks)
4. Authentication and Secure Communication Failures (Fehler bei der Authentifizierung)
5. Security Misconfiguration (Falsche Sicherheitskonfiguration)
6. Injection Handling Failures (Injection Fehler)
7. Vulnerable and Untrusted Components (verwundbare Komponenten)
8. Data and Secret Handling Failures (Falscher Umgang mit Geheimnissen)
9. Asset Management Failures (Fehlende Dokumentation und Inventarisierung)
10. Security Logging and Monitoring Failures (Monitoring Defizite)

Solltest du ein No-Code Projekt starten, bietet dir dieser 10 Punkte Leitfaden eine gute Übersicht, auf welche Sicherheitsrisiken du auf jeden Fall achten solltest.

Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

CensysGPT

Censys, eine der populärsten IP-Adresssuchmaschinen, neben Shodan, verfügt nun über ein Beta KI-Tool, das geschriebene menschliche Anfragen in Abfragen mit Suchoperatoren umwandelt. Zusammengefasst: Bisher musstest du die Abfragesprache kennen und dir Befehle merken, zum Beispiel: same_service(services.service_name: "SSH" and not services.port: {22, 2222}) (steht für Hosts mit einem SSH Service nicht auf Port 22 and 2222). Solche Abfragen übernimmt jetzt CensysGPT für dich und du musst nur noch wissen, was du willst und nicht mehr die Abfragesprache kennen.

Axiom

Axiom ist ein Infrastruktur-Framework für die effiziente Nutzung von Cloud-Umgebungen, genauer gesagt den Aufbau und die Bereitstellung einer wiederkehrenden Infrastruktur. Das Tool funktioniert hier analog zu anderen Image Buildern, der Unterschied ist, dass Axiom nur bestimmte Tools unterstützt und sich auf Sicherheitsscans spezialisiert hat (Liste). Du musst deine gewünschten Tools auf dem Basissystem installieren und konfigurieren axiom-configure, danach wird ein Image daraus erstelltaxiom-build. Das Image kann dann relativ einfach auf 100 Instanzen deployt werden axiom-init. Danach kann ein Scan über diese Instanzen skaliert werden axiom-scan. Einen Überblick über alle Instanzen kannst du dir mit axiom-ls verschaffen.

Axiom unterstützt mehrere Cloud-Provider wie DigitalOcean, IBM Cloud, Linode, Azure und AWS.

Fleex

Neben Axiom gibt es das Tool Fleex, welches dich beim Distributed Scanning unterstützen kann. Es erlaubt dir virtuelle private Server (VPS) Images für Linode, DigitalOcean und Vultr zu erstellen. Das Golang Tool wird einmalig nach der Installation initialisiert fleex config init. Alle weiteren Schritte verrät dir die Dokumentation.

ShadowClone

Zu guter Letzt, noch ein drittes Tool für verteiltes Scannen. ShadowClone schlägt in die gleiche Kerbe wie Fleex und Axion und unterstützt dich beim Aufbau einer verteilten Infrastruktur. Das Tool behauptet von sich, schnell, kostengünstig und effizient zu sein. Bestätigen kann ich diese Vorteile nicht, da ich das Tool nicht getestet habe. Solltest du zeitaufwendige Aufgaben an die Cloud delegieren wollen, ist ShadowClone evtl. ein Alternative.

deps.dev API

Google hat diese Woche im Zuge seiner Open Source Insights Initiative deps.dev gepusht. Die Plattform stellt eine API bereit, die es ermöglicht Abhängigkeiten von Paketen der Projekte npm, Maven, Go, PyPi und Cargo zu sichten. Dadurch lassen sich Supply Chain Attacken besser verhindern. Abfragen über JSON over HTTP oder über gRPC können in CI/CD-Prozesse eingebunden werden, die dadurch gewonnen Erkenntnisse, wie Abhängigkeiten oder Metadaten, bieten tiefere Einblicke in das jeweilige Paket.

Ein Test mit dem frisch in Version 2.0 veröffentlichten Python Paket Pandas zeigt beispielsweise 4 direkte und eine indirekte Abhängigkeit. Zusätzlich lassen sich Versionen vergleichen und die Lizenzform abfragen. Interessierte können ebenfalls überprüfen, welche Module das Pandas-Paket verwenden. Mit dem OpenSSF Score (Open Source Security Foundation) wird zusätzlich eine Metrik zu Bewertung des Pakets angezeigt, was zusätzlich bei Einschätzungen unterstützt.

Ich hatte dir in Exploding Security #12 bereits osv.dev aus dem Hause Google vorgestellt. Mit der deps.dev API ergänzt der Konzern recht gut sein bisheriges Portfolio zur Absicherung von Open-Source-Projekten.

Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.