exploding security

exploding security #18 - MalasLocker - CACTUS - Prompt Injection - Ransomware Control Matrix - CVE Trends - Rust Grundlagen

Scramble Competition ist ein Begriff aus der Ökologie. Er bezeichnet das Verhalten einer Gruppe rund um eine knappe Ressource, die für alle verfügbar ist, aber eben nicht für alle ausreicht. Ein solcher Wettbewerb konnte während der Corona Pandemie gut in Supermärkten beobachtet werden.

sral

8 min read
exploding security #18 - MalasLocker - CACTUS - Prompt Injection - Ransomware Control Matrix - CVE Trends - Rust Grundlagen
Photo by Toby Elliott / Unsplash

Scramble Competition ist ein Begriff aus der Ökologie. Er bezeichnet das Verhalten einer Gruppe rund um eine knappe Ressource, die für alle verfügbar ist, aber eben nicht für alle ausreicht. Ein solcher Wettbewerb konnte während der Coronapandemie gut in Supermärkten beobachtet werden, und zwar um die Ressource Klopapier.

In der IT-Security gibt es ebenfalls Wettbewerbe, sogenanntes Capture the Flag (CTF) Events. Hier geht es darum, eine versteckte „digitale Flagge“ in IT Systemen zu finden, möglichst schnell und effektiv zu sein und natürlich Erster zu werden.

rueckblick-2
Rückblick: Was gibt es Neues zu den Themen der letzten Woche?

BianLian Ransomware

Vergangene Woche hatte ich dir eine kleine, aber feine Übersicht an Ransomware Gruppen präsentiert. Passend dazu hat die CISA ein Advisory zu BianLian veröffentlicht. Die CISA veröffentlicht in unregelmäßigen Abständen Dokumente zu der Thematik, im Rahmen ihrer #stopransomware Kampagne.

VirusTotal Code Insight

In ES #16 hatte ich Code Insight vorgestellt. Eine KI Erweiterung des Onlinedienstes zur Schadstoff Analyse. VirusTotal hat neben PowerShell nun weitere Formate aufgenommen:

Auch ein kleines Einführungsvideo wurde veröffentlicht.

Zusätzlich dazu wurde Anfang Mai ein Crowdsourced YARA Hub integriert. Du findest ihn unter Livehunt. Das Repository erleichtert es, passende YARA Regeln zu finden. Das neue Tool ist praktisch, erinnert allerdings an bestehende Projekte wie YARAify, ein Initiative von abuse.ch, welche dem gleichen Zweck dient.

Deepdive Play Ransomware

Kleiner Nachtrag noch zur Play Ransomware. Auf Chuongs Security Blog findest du eine weitere Tiefenanalyse der Play Ransomware.

zahlenblock
Zahlenblock: In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Nuspire Q1 Report für 2023

Nuspire hat diese Woche seinen Q1 Report für 2023 veröffentlicht. Folgende Kennzahlen hat die Firma ermittelt:

  • 39,19 % Anstieg der Malware Aktivitäten im Vergleich zu Q4 2022
  • Wechsel der Angreifer weg von MS Word/Excel Makros Malware hin zu JavaScript (OneNote)
  • 58,23 % Anstieg der Botnet Aktivitäten im Vergleich zu Q4 2022
  • Torpig Mebroot, NetSupportRat und Andromeda Botnet wurde am häufigsten gesichtet
  • FatalRAT Botnet ist der aktuelle Newcomer
  • 151,66 % Anstieg der Exploit Aktivitäten im Vergleich zu Q4 2022
  • Apache Log4j machte hier knapp die Hälfte der ausgenutzten Exploits aus

oeffnungszeiten-2
In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Ransomware News

Neben nicht wenigen Ransomware Angriffen stach diese Woche die relativ neue Gruppe MalasLocker hervor. Die Gruppe hat eine Liste mit 169 Firmen veröffentlicht. Unter dem Titel „Defaulters“ (säumige Zahler) finden sich auch Firmen aus dem DACH Raum. Die Gruppe legt ein besonderes Verhalten an den Tag. Details findest du bei den Schadstoffen.

Baur Hausverwaltung

  • Angreifer: MalasLocker
  • Angriffsart: Ransomware

Diete + Siepmann Ingenieurgesellschaft mbH

  • Angreifer: MalasLocker
  • Angriffsart: Ransomware

ISONA GmbH

  • Angreifer: MalasLocker
  • Angriffsart: Ransomware

DALIM SOFTWARE GmbH

  • Angreifer: MalasLocker
  • Angriffsart: Ransomware

Fraport Skyliners

  • Angreifer: MalasLocker
  • Angriffsart: Ransomware

SOWITEC group GmbH

  • Angreifer: Play
  • Angriffsart: Ransomware

AVIAREPS AG

  • Angreifer: Black Basta
  • Angriffsart: Ransomware

Maklersoftware

  • Angreifer: Black Basta
  • Angriffsart: Ransomware

Maier Sanitär und Heizungstechnik GmbH

  • Angreifer: Qilin
  • Angriffsart: Ransomware

DDoS News

Auch NoName057 war diese Woche aktiv, als Grund wurde der Besuch des ukrainischen Präsidenten und die neuen Waffenlieferungen angegeben.

MBDA Deutschland GmbH

  • Angreifer: NoName057 (16)
  • Angriffsart: DDoS

Leistritz AG

  • Angreifer: NoName057 (16)
  • Angriffsart: DDoS

BND

  • Angreifer: Anonymous Russia
  • Angriffsart: DDoS

A.T.U Auto-Teile-Unger Handels GmbH & Co. KG

  • Angreifer: unbekannt
  • Angriffsart: unbekannt

Heidenheimer Zeitung/Südwest Presse

  • Angreifer: unbekannt
  • Angriffsart: unbekannt

schadstoffe-1
Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

MalasLocker Ransomware

Wie oben bereits angedeutet, gibt es mit MalasLocker eine neue Ransomware Gruppe.

  • Erstkontakt: 3/2023
  • Verschlüsselung: Age encryption (X25519 (ECDH curve), ChaChar20-Poly1305, HMAC-SHA256.)
  • Dateierweiterung: -
  • Decryptor: unbekannt

Die Gruppe stammt aus Kolumbien und hat sich aktuell auf Zimbra Server spezialisiert. Betroffene haben unter anderem Files wie heartbeat.jsp oder Startup1_3.jsp im Ordner „/opt/zimbra/jetty_base/webapps/zimbra/ and /opt/zimbra/jetty/webapps/zimbra/public“ gefunden. Welche Lücke dafür ausgenutzt wurde, ist mir nicht bekannt, Zimbra hatte aber in letzter Zeit Probleme mit CVE-2022-27926 (siehe Winter Vivern) oder CVE-2022-41352. Die Firma selbst bietet eine Übersicht, der bekannten Sicherheitslücken.

Interessanterweise verlangt die Gruppe kein Lösegeld, sondern fordert die Opfer zu einer Spende an gemeinnützige Organisationen auf. Danach soll angeblich ein Entschlüsselungstool zur Verfügung gestellt werden. Die vor kurzem veröffentlichte Liste enthält Opfer rund um den Globus. Das lässt vermuten, dass weltweit nach einer Schwachstelle gescannt wurde.

CACTUS Ransomware

Ebenfalls erst seit Kurzem aktiv ist die Cactus Ransomware.

  • Erstkontakt: 3/2023
  • Verschlüsselung: AES/RSA
  • Dateierweiterung: .cts1
  • Decryptor: unbekannt

Anders als der oben erwähnte MalasLocker hat es Cactus auf kommerzielle Einrichtungen abgesehen. Spezialisiert hat sich Cactus auf Fortinet VPN Appliances. Allein diese Spezialisierung zeigt, dass die Gruppe eher auf größere Unternehmen ausgerichtet ist. Dabei gehen die Täter geschickt vor, denn das eingeschleuste Verschlüsselungs-Binary ist geschützt, um dieses auszuführen wird über eine ntuser.dat ein AES-Schlüssel zur Entschlüsselung des öffentlichen RSA-Schlüssels zu übergeben (Na noch dabei?).

Cactus as a hacker - Quelle: BlueWillow

Kroll hat diese neue Variante entdeckt und liefert dementsprechend Details im Analysebericht. Die eingesetzte Software erinnert an das Vorgehen anderer Gruppen. Es kommt eine SSH Backdoor zum Einsatz. Die gehackte Umgebung wird mit Splashtop, AnyDesk oder CobaltStrike zusammen mit Chisel verwaltet. (Na, wer kennt es noch? Genau auch die Gruppe Royal setzt auf Chisel, den TCP/UDP tunnel over HTTP, siehe ES #17). Auch das eingesetzte TotalExec.ps1 ist von der Gruppe BlackBasta bekannt. CACTUS scheint sich wohl die besten Methoden zusammen gesucht zu haben.

Microsoft Visual Studio Code Plugins

Da ich teilweise selbst Microsofts VS Code nutze, möchte ich die Zeilen nutzen, um darauf hinzuweisen, dass dort inzwischen schadhafte Plugins Einzug gehalten haben. Microsoft hat zwar präventive Maßnahmen im Programm, um genau dies zu verhindern, allerdings scheinen diese nicht zu 100 % zu greifen (MS kocht, wie alle, auch nur mit Wasser).

Checkpoint hat in der letzten Woche den VSCode Marketplace genauer unter die Lupe genommen und drei schadhafte Erweiterungen gefunden. Folgende Plugins wurden entdeckt:

  • Prettiest java
  • Darcula dark
  • Python-vscode

Wie gut zu erkennen ist, setzen die Erweiterungen auf Name Squatting. Im Code wurden Personally Identifiable Information (PII) Stealer gefunden. Für insgesamt 50 000 Erweiterungen sind drei wirklich nicht der Rede wert. Allerdings sollte es die Sinne schärfen, nicht einfach überall auf Install zu klicken.

schulbank-1
Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Ransomware Control Matrix

Wie schützt du dein Unternehmen am besten gegen Ransomware? Diese Frage werden sich in den vergangenen Wochen viele Unternehmer gestellt haben und tun es sicher immer noch. Ich hatte dir in der Vergangenheit öfter schon erörtert, dass es dafür kein Patentrezept gibt, sondern es wie so oft viele kleine Schritte zu mehr Sicherheit benötigt.

Die Ransomware-Kontrollmatrix (RCX) ist ein umfassendes Dokument, das dir oder deinem Unternehmen beim Schutz vor Ransomware-Angriffen helfen soll. Es bietet einen strukturierten Ansatz für die Identifizierung und Implementierung wirksamer Kontrollen und Maßnahmen, von Basisschutz bis zum Elitemodus. Insgesamt werden über 70 Punkte behandelt. Diese werden wiederum mit dem MITRE ATT&CK Framework (Adversarial Tactics, Techniques (ATT) & Common Knowledge (CK)) kombiniert. Der Basisschutz gestaltet sich laut RCX wie folgt:

  • Web Application Firewall verwenden
  • Security Logging und Monitoring
  • Vulnerability Scanning
  • E-Mail Authentication Protokolle
  • Monitoring von Social Media
  • Software and Firmware Security Standards einsetzen
  • Web Filterung
  • Browser Extensions
  • Antivirus and anti Malware Software verwenden
  • Patch und Update Management
  • Netzwerk Segmentierung in der DMZ
  • Security Awareness
  • Sicherheitssoftware auf Mobilgeräten einsetzen
  • Host-based Firewalls aktivieren
  • DNS security implementieren
  • 2FA aktivieren
  • Fernzugriff absichern
  • Network Security Kontrolle (Firewalls/VPNS/Proxys)
  • Anti-Phishing Software
  • Spam Filter/E-Mail Inhaltsprüfung
  • Durchführung von Risikobewertungen für Hersteller
  • Sichere Kommunikation/Sichere Protokolle/Sicherer Datenaustausch
  • Verschlüsselung einsetzen
  • Sicherheitsrichtlinien implementieren
  • Regelmäßige Sicherheitsbewertungen durchführen
  • Reaktionsplan für Phishing-Vorfälle

Die dazugehörige Matrix kann als Excel Datei heruntergeladen werden und bietet sicherlich ein praktische Grundlage, um die Sicherheit im Unternehmen zu prüfen. Das BSI bietet mit dem Maßnahmenkatalog Ransomware ebenfalls ein ausführliches Dokument inklusive Matrix zur Vorsorge gegen Ransomware an.

Einführung in Rust

Die Programmiersprache Rust erfreut sich breiter Beliebtheit. So soll nicht nur Teile des Linux Kernels in Rust neu geschrieben werden, auch Microsoft will Rust in den Windows Kernel einziehen lassen. Die großen Vorteile von Rust, sind Speichersicherheit und Geschwindigkeit. It's FOSS hat eine kleine Serie mit Rust Grundlagen veröffentlicht und zeigt dir die Basics der Programmiersprache in 8 Kapiteln.

werkzeugkasten-1
Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

CVE Trends - crowdsourced CVE intel

Die Webseite CVEtrends listet aktuelle Common Vulnerabilities and Exposures (CVE). Um aktuelle Trends zu erkennen, nutzt der Dienst Twitter und scannt Tweets mit CVEs, diese werden danach in einem schicken Ranking dargestellt und mit Inhalten aus NISTs NVD und Reddit ergänzt. Zusätzlich gibt es verschiedene Filter für den Zeitrahmen (24h oder 7 Tage) oder die Inhalte. Tolles Teil.

ChatGPT Plugins – Cloudflare, Wolfram und Co

OpenAI hat diese Woche Plugins in die Beta gehoben. Das bedeutet, dass du (als zahlender ChatGPT Kunde) bereits auf die Erweiterungen zurückgreifen kannst. Cloudflare bietet bereits ein ChatGPT Plugin an, welches dir erlaubt Daten aus dem Cloudflare Radar auszulesen. Der CDN Anbieter hat der Neuerung einen Blogartikel gewidmet.

Layer3/4 Traffic DE via Cloudflare Radar - Quelle: Cloudflare

Richtig interessant wird das neue Plugin in Verbindung mit der WolframAlpha Erweiterung. Dieses erlaubt dir direkt eine Grafik mit Daten aus dem Radar in ChatGPT zu plotten. Craig Balding demonstriert diese praktische Funktion in seinem aktuellen Threat Prompt Newsletter.

RustScan

Passend zur kleinen Rust Einführung, habe ich für dich ein kleines Tool im Gepäck. RustScan, der moderne Scanner, scannt nach eigenen Angaben 65 000 Ports ins 3 Sekunden. Damit kannst du dein eigenes Netz sicher schneller prüfen, als mit anderen Tools, das Ganze ist allerdings mit Vorsicht zu genießen, denn 3000 Ports pro Sekunde, können böse Nebeneffekte haben. Du kannst RustScan schnell mit Python, Lua oder Shellskripten erweitern und Ergebnisse direkt in NMAP pipen. Zusätzlich verhält sich der Scanner smart und lernt mit jedem Durchgang dazu, dabei setzt er ausdrücklich nicht auf KI.

endladung

Zum Schluss gibt es, passend zur Einführung, eine kleine Herausforderung für dich. Diese Woche kannst du Gandalf treffen, der alte Mann verrät dir ein Passwort, wenn du es richtig anstellst.

Gandalf Spiel – Quelle Lakera

Insgesamt 7 Level hält das Prompt Injection Spiel der Schweizer Firma Lakera für dich bereit. Es soll Sicherheitslücken in Large Language Modellen (LLM) demonstrieren. Viel Spaß!

abschluss
Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.