exploding security #19 - 8Base und Nokoyowa Ransomware - KI Attack Map und Sicherheitslücken - Canary Tokens - Cybersicherheitsarchitektur

Ein langes Wochenende liegt hinter dir. Ich hoffe, du hast IT mal IT sein lassen und warst an der frischen Luft oder gar Waldbaden. Denn es macht schon einen Unterschied, ob die Blätter rauschen oder nur der Lüfter des Rechners. Shinrin Yoku hin oder her, ein wenig explodingsecurity #19 muss sein, wenn auch etwas kürzer diese Woche.

Rückblick: Was gibt es Neues zu den Themen der letzten Woche?

Legion

Der Credential Harvester Legion (hatte ich in ES #13 vorgestellt) hat ein Update erhalten. So kann er inzwischen Datenbank Zugangsdaten abgreifen und für SSH Logins nutzen. Legion hat seinen Schwerpunkt auf Laravel und versucht Zugangsdaten für DynamoDB oder Amazon CloudWatch zu ergattern. Cado hat dazu ein Update veröffentlicht.

Zahlenblock: In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Sicherheitslage E-Commerce

Wie ist die aktuelle Sicherheitslage im E-Commerce? Diese Frage hat Arkose Labs im aktuellen Report beantwortet. Daraus geht hervor, dass im Vergleich zum letzten Quartal automatisierte Angriffe (Bad Bots) um 10 % gesunken sind, dagegen stieg der Anteil von Betrugsversuchen mit menschlicher Beteiligung (Fraud farm attacks) um 44 % an. Dennoch bleiben Bad Bots führend und sind immer noch um ein Vielfaches größer als Betrugsversuche.

Credential Stuffing und Co sind nicht die einzigen Bot Aufgaben, sie erstellen vermehrt Fake Accounts, um diese wiederum für Betrugsversuche zu missbrauchen.

Allgemein stellten 20 % des E-Commerce Traffics im letzten Quartal Angriffsverkehr dar. Finde ich noch im Rahmen. Im letzten Zahlenwerk, speziell über Bad Bots waren die Erkenntnisse erschreckender.

In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

DDoS News

Auch in Woche 21 war NoName mit DDoS Attacken aktiv, dazu gesellte sich Play und Lockbit 3.0, sowie ein Angriff auf den IT-Dienstleister Mivitec. Dieser hatte zur Folge, dass Seiten wie das Digitale Schwarze Brett der heinekingmedia GmbH oder Webseiten des Erzbistums Köln nur noch eingeschränkt zur Verfügung standen. Eine weitere Webseite, die mit den Hoster Problemen in Verbindung steht, ist die Deutsche Energie-Agentur GmbH (dena)

Insgesamt 3 Hosting Anbieter waren diesen Woche von Cyberangriffen betroffen, was teilweise zu weitreichenden Folgen bei den Kunden führte, genauer gesagt führen wird. Da scheinen wohl einige ITler ihre Hausaufgaben nicht richtig gemacht zu haben un müssen nun leider Nachtschichten schieben. Ich kann das nur auf die Ransomware Control Matrix aus ES #18 verweisen und viel Erfolg beim Wiederaufbau der Infrastruktur wünschen.

Airport Weeze

• Angreifer: NoName057 (16)
• Angriffsart: DDoS

Leistritz AG

• Angreifer: NoName057 (16)
• Angriffsart: DDoS

Annalena Baerbock

• Angreifer: NoName057 (16)
• Angriffsart: DDoS

Bundesministerium für Digitales und Verkehr

• Angreifer: NoName057 (16)
• Angriffsart: DDoS

Ransomware News

Zscaler ThreatLabz hat diese Woche eine neue Leak Site der Ransomware Gruppe 8Base ausfindig gemacht. Dort sind ca. 60 Opfer gelistet, von April 2022 bis Mai 2023. Auf der Liste sind auch Namen aus dem DACH Raum, allerdings alle aus dem Jahr 2022. Mit dabei sind Immobilien Claussen, DBT Druckluft, LebensWohnArt und AS Netz.

Associated Brands Europe(ABE GmbH)

• Angreifer: Lockbit
• Angriffsart: Ransomware

myLoc managed IT AG (vormals MIVITEC GmbH)

• Angreifer: Unbekannt
• Angriffsart: Ransomware

Black Cat Networks

• Angreifer: Play
• Angriffsart: Ransomware

United Hoster GmbH

• Angreifer: Unbekannt
• Angriffsart: Ransomware

Photostudios GmbH

• Angreifer: Play
• Angriffsart: Ransomware

Stockmann Natursteine & Fliesen

• Angreifer: Nokoyowa
• Angriffsart: Ransomware

Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

8base Ranomware

• Erstkontakt: 4/2022
• Verschlüsselung:
• Dateierweiterung:
• Decryptor: unbekannt

Die Gruppe 8Base scheint seit letzter Woche die Öffentlichkeit zu suchen, denn neben einer neuen Leak Seite im Darknet, wurde ebenfalls ein Telegram Kanal erstellt, der zusätzlich über Aktivitäten berichtet. Viel gibt es über die Gruppe noch nicht zu erfahren, sie scheint kleine und mittelständische Unternehmen anzugreifen, zum größten Teil aus den USA, gefolgt von der EU.

Sobald es neues gibt, werde ich dich informieren.

Nokoyowa Ranomware

• Erstkontakt: 3/2022
• Programmiersprache: C nun Rust
• Verschlüsselung: ECC mit Curve25519 und Salsa20
• Dateierweiterung: .NOKOYAWA
• Decryptor: unbekannt

Ebenfalls diese Woche wieder auferstanden ist die Ransomware Nokoyowa. Die Gruppe meldete sich mit 24 neuen Opfern auf dem Spielfeld zurück. Interessanterweise überlappen sich diese teilweise mit der Snatch Ransomware. Nokoyowa war bisher eher in Südamerika aktiv, das scheint sich allerdings gerade zu ändern. Die Ransomware hat sich seit Beginn stetig weiter entwickelt, so wurde von C zu Rust gewechselt und x25519_dalek für die Verschlüsselung eingebunden. TrendMirco hat die Gruppe als Erstes im März 2022 unter die Lupe genommen. Bei aktuellen Angriffen soll die Gruppe CVE-2023-28252 ausgenutzt haben, um in Systeme einzudringen, meldet Kaspersky.

Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

AI Attack Surface Map

Daniel Miessler hat sich mit Angriffsszenarien auf KI Systeme beschäftigt. So gibt es neben Prompt Injection auch potenzielle Angriffsmöglichkeiten beim Training der Systeme. Aber auch Angriffsvektoren im Storage oder bei den Agents. Herausgekommen ist ein erster Entwurf einer Angriffsübersicht für KI Systeme.

Staatliche Cybersicherheitsarchitektur

Die Stiftung Neue Verantwortung gibt zweimal im Jahr eine interaktive Zusammenstellung der staatlichen Cybersicherheitsarchitektur heraus. Dieses etwas komplexere Netzwerk aus Stellen und Akteuren ist nun in einer aktuellen Version erschienen.

Die Grafik kann einen erschlagen! Super interessant wäre ein Vergleich mit anderen Ländern.

OWASP Top 10 for Large Language Model Apps

Das Open Worldwide Application Security Project (OWASP) geht mit der Zeit und hat einen ersten Entwurf für Large Language Model (LLM) Anwendungen veröffentlicht. Noch ist die Liste nur Version 0.1, also noch nicht ganz final. Das sollte dich für eine Orientierung allerdings nicht weiter stören. Wie bereits in der obigen Attack Map herausgearbeitet wurde, sind Prompt Injections und Data Leakage ganz oben gelistet.

• Prompt Injections
• Data Leakage
• Inadequate Sandboxing
• Unauthorized Code Execution
• SSRF Vulnerabilities
• Overreliance on LLM-generated Content
• Inadequate AI Alignment
• Insufficient Access Controls
• Improper Error Handling
• Training Data Poisoning

Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

AI Vulnerability Database (AVID)

Sicherheitslücken machen vor Künstlicher Intelligenz nicht halt, das konntest du bereits letzte Woche spielerisch mit Gandalf erkunden. Natürlich sollten Schwachstellen auch erfasst werden und genau das hat sich AVID auf die Fahnen geschrieben. Sicherheitslücken sammeln und einheitlich zugänglich machen.

Die freie Datenbank ist unterteilt in 2 Bereiche, einerseits geht es um Klassifizierungen, andererseits um fehlerhafte Umsetzungen. Die Klassifizierungen orientieren sich an der MITRE ATT&CK Matrix und die Sicherheitslücken am MITRE ATLAS.

Dabei sind nicht nur aktuelle Sicherheitslücken, wie die SQL Prompt Injection von boxcars.ai, mit von der Partie, sondern auch ältere Geschichten. Wer erinnert sich noch an den Microsoft ChatBot (Tay.ai) aus dem Jahr 2016, welcher nach 24 wieder offline ging, weil er/sie sich sexistisch, rassistisch und antisemitisch äußerte?

Canary Tokens

Canary Tokens sind ein einfaches Mittel, um schadhafte Netzwerkaktivitäten zu erkennen und zu verfolgen. Du kannst damit gewissermaßen potenzielle Hacker nachverfolgen. Der Name leitet sich von Kanarienvögeln ab, die Minenarbeitern in der Vergangenheit dabei geholfen haben, Gasaustritte frühzeitig zu erkennen.

Ein Canary Token kann eine URL sein, eine MS Office Datei, ein DNS Hostname, ein AWS Key, eine Wireguard Konfiguration und vieles mehr. Alle diese Formate dienen dazu, dem Ersteller mitzuteilen, wenn sie aufgerufen werden. So kann unter anderem ein URL Canary Token in ein Dokument oder eine versteckten Bereich einer Webseite eingebettet werden. Sobald die URL getriggert wird, erhältst du eine Rückmeldung. Im Prinzip handelt es sich um zielgerichtete Honeypots in einfach.

OSINT-Browser-Extensions

Du wolltest schon öfter selbst Dinge recherchieren und wusstest nicht so richtig, wo du anfangen sollst? Vielleicht hilft dir dabei diese Sammlung an Chrome Erweiterungen für Open Source Intelligence im Web. Ca. 50 Tools helfen dir bei der Suche, Analyse und Überwachung.

Hacktoria bietet dir webbasierte Capture the Flag Spiele in Retro Optik. Ich hatte selbst noch keine Zeit dazu, vielleicht hast du ja mehr. Stylisch sieht es auf jeden Fall aus.

Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.