QakBot

exploding security #33 – QakBot offline – Ransomware August – UNC4841 – OWASP WrongSecrets - mTLS – Kernel Exploits

sral

7 min read
exploding security #33 – QakBot offline – Ransomware August – UNC4841 – OWASP WrongSecrets - mTLS – Kernel Exploits
Photo by Eugene Golovesov / Unsplash

Die Entropie ist ein Maß für die Unordnung in einem System. Sie umgibt uns und ist allgegenwärtig. Da das Universum am Anfang dicht auf engem Raum geordnet war und sich nun unordentlich auf größerem Raum ausbreitet, ist es einfach so. Für dich ändert sich beispielsweise auch nichts, beim Umzug in eine neue Wohnung mit größerem Kinderzimmer. Die Spielsachen werden sich auch im großen Zimmer im gleichen Maße verteilen, es ist einfach so. Jetzt denkst du sicher „Was ist, wenn ich aufräume?“, dann entsteht an andere Stelle eben Unordnung, das Universum sorgt einfach dafür, du kannst es nicht verhindern.

In der IT ist Entropie ebenfalls wichtig, denn je höher die Entropie, desto sicherer dein Passwort. Bei Cloudflare entsteht die Entropie für Linuxsysteme beispielsweise aus den Zufallsdaten diverser Lavalampen.

Um etwas Ordnung in deinen Wochenrückblick zu bringen, jetzt explodingsecurity #33 für dich.

rueckblick-2
Rückblick: Was gibt es Neues zu den Themen der letzten Wochen?

Die Deutsche Leasing wurde bekanntlich geblackbastaert (ES#31). Der eigentliche Vorfall ereignete sich bereits im Juni dieses Jahres. Damals konnte nach eigenen Aussagen kein Datenabfluss festgestellt werden. Der Angriffsvektor blieb zumindest der Öffentlichkeit unbekannt. Dennoch wurde wohl ein Dienstleister mit Darknet Monitoring beauftragt, um sicherzugehen, dass keine Daten auftauchen. Genau das ist passiert in KW33, mitgeteilt wird das in KW35. Die ganze Geschichte hinterlässt ein Geschmäckle. Komisch, dass bei der Untersuchung oder dem Monitoring nicht aufgefallen ist, dass eine größere Menge Daten hinausgetragen wurden. Dann tauchen Daten auf, erst zwei Wochen später wird das dann in eine Pressemitteilung gepackt. Die Meldung enthält die eventuell abgeflossenen Daten wie Bankdaten, Pässe oder Steuer ID und empfiehlt den betroffenen Kunden wachsam in Bezug auf ihre Daten zu sein.

Die Deutsche Leasing bittet Sie daher, mit Blick auf die Sicherheit Ihrer personenbezogenen Daten wachsam zu bleiben

You had one job … Datenabfluss nicht mitbekommen, aber die Kunden zu Wachsamkeit mahnen, netter Zug.

BlackBasta verwendet übrigens gerne QBot als Einstiegspunkt (Palo Alto). Was ein Glück für die Deutsche Leasing, dass der nun abgeschaltet wurde.

zahlenblock
Zahlenblock: In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Monatsende heißt bei exploding security Überblick zum letzten Monat, du kennst das bereits. Der August war wild, nicht nur Wacken ist im Schlamm versunken, auch deutsche Firmen im Cybersumpf. BlackBasta hat im August wie üblich abgeliefert, LockBit ohnehin. Cl0p dagegen muss wohl gerade die Datenmenge in Torrents packen, hier ist der August sehr ruhig verlaufen.

Mehrere neue Ransomwaregruppen traten an die Öffentlichkeit, so tragen Metaencryptor und Cloak zum Anstieg des letzten Monates bei. Wie immer gilt, in der Grafik wird da Funddatum, genauer gesagt die Veröffentlichung der Gruppen festgehalten. Einzelne Vorfälle können schon etwas zurückliegen, wie bei der neuen Gruppe Cloak.

Schlussendlich ist das Mai Niveau erreicht und von Beruhigung keine Spur.

oeffnungszeiten-2
In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Wochen berichten.

Ransomware News

Aus deutscher Sicht eine normale Woche würde ich behaupten wollen. Durch die Abschaltung von Qbot könnte es vielleicht auch ruhiger werden in nächster Zeit. Wir werden sehen, bisher lag ich damit falsch, positiv bleiben. :)

Optoflux GmbH

  • Angreifer: Lockbit
  • Angriffsart: Ransomware

Grebe & Sohn GmbH

  • Angreifer: Lockbit
  • Angriffsart: Ransomware

Bundesverband Deutscher Unternehmensberatungen BDU e.V.

  • Angreifer: Cloak
  • Angriffsart: Ransomware

Stadtverwaltung Alzey

  • Angreifer: unbekannt
  • Angriffsart: unbekannt

Verbandsgemeinde Wörrstadt

  • Angreifer: unbekannt
  • Angriffsart: unbekannt

DDoS News

Kurz zusammengefasst. Polen, die Niederlande und Tschechien standen in der letzten Woche im Fokus und diverse Webseiten unter Überlast. Frankreich hatte ebenfalls einige Angriffe durch Mysterious Team Bangladesh und der ausgerufenen „OpFrance“ zu verzeichnen (Le Label France Cybersecurity, Welcome to France, French Healthcare Association oder der Flughafen Charles de Gaulle).

Die NET – WORKER ALLIANCE griff Interpol an und das Türk Hack Team griechische Webseiten, sowie die ENISA, die European Union Agency for Cybersecurity.

schadstoffe-1
Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

QakBot offline

In ES#20 und ES#30 gab es die letzten Updates zu Qakbot. Jetzt ist Schicht im Schacht und 700 000 Server Quakbot Opfer wurden aus dem Netzwerk entfernt. Zumindest steht dies im Bericht des US-Justizministeriums zu der koordinierten Aktion gegen die Schadsoftware. Am 25.8.23 verschafften sich die ITler Zugang zum Botnet, leiteten den Verkehr um und verteilten einen Qakbot-Deinstaller auf den 700 000 Geräten. Beim Fe0do Tracker kannst du die Aktion nachverfolgen, dort werden die Qakbot C2 Server alle als abgeschaltet gelistet.

Drüben bei Born findest du einen ausführlichen Bericht zu der Aktion, daher werde ich die Thematik hier nicht weiter ausführen. Du kannst bei Have I been Pwned prüfen, ob deine Zugangsdaten von Qakbot abgegriffen wurden.

Böse Signal und Telegram Apps

In Googles und Samsungs App Store sind wohl verseuchte Signal und Telegram unterwegs gewesen. Ausgeliefert wurden die Apps mit der Spyware BadBazaar, welche auf die chinesische Gruppe GREF zurückgeht. ESET berichtet ausführlich über die verseuchten Apps mit den Namen FlyGram und Signal Plus Messenger. Laut den Telemetry Daten von ESET scheint Deutschland hiervon stark betroffen, also Augen auf im App-Store.

Deep Dive – UNC4841 Barracuda ESG Zero Day

Fast schon untergegangen durch die ganzen Qakbot Meldungen ist der Deep Dive von Mandiant zur Barracuda ESG Zero Day Vulnerability (CVE-2023-2868). Diese wird vom chinesischen Akteur UNC4841 unter Beschuss genommen. Es handelt sich um ein Follow-up zum Juni Artikel, der sich bereits um die gleiche Thematik drehte. Lesenswert, denn UNC4841 scheint hier recht professionell vorzugehen.

You are fucked Podcast

Drüben bei Fefe gab es diese Woche den Hinweis auf den You are fucked Podcast vom MDR zum Ransomware-Angriff auf den Landkreis Anhalt-Bitterfeld im Jahr 2021. Der Angriff erfolgte damals durch Pay or Grief, ehemals DoppelPaymer. Ich habe den Podcast für dich angehört und weiß nun nicht, ob ich lachen oder weinen soll. In den 6 Folgen kommen haarsträubende Details zutage, wie:

  • Alle Nutzer waren lokale Admins
  • Die Nutzer waren Domain Admins !!!
  • Backup defekt
  • Kein Bandbackup vorhanden
  • Beim Abgleich mit der Personalabteilung wurde festgestellt, dass ein paar Hundert User zu viel im System sind
  • Die IT hatte keine Zeit in die Logs zu schauen
  • Die Forensik Firma kassierte 250.000 € für ihren Report (da kannste dann auch gleich das Lösegeld zahlen)

Ja, ich weiß, in den Ämtern oder bei den Dienstleistern mangelt es an Personal und Co und bei den Ämtern selbst auch am IT-Verständnis. Windows AD und Co einzusetzen ist das eine, lokale Admins das andere, aber alle Domänen Admins, Leute Leute …

Am schlimmsten für mich persönlich ist sicherlich das Trauma durch den Begriff Cyberkatastrophe, den der Sprecher inflationär verwendet, da träume ich jetzt eine Woche von, Danke dafür.

schulbank-1
Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Chaos Communication Camp 2023

Vom 15. bis 19.08.2023 fand das Chaos Communication Camp2023 im Ziegeleipark Mildenberg statt. In der CCC Mediathek sind die Beiträge inzwischen online. Es geht unter anderem um Jens Spahns Bonität, eSIM, den DB Schnüffelnavigator, Saugroboter und Leihroller. Schau mal rein, beim nächsten Regentag.

Windows API Function Cheatsheets

Jemand hat auf Github Windows API Funktionen zusammengetragen. Du findest dort Funktionsaufrufe wie Dateioperationen, Prozessverwaltung, Speicherverwaltung, Thread-Verwaltung, DLL-Verwaltung (Dynamic-Link Library), Synchronisierung, Kommunikation zwischen Prozessen, Unicode-Stringmanipulation, Fehlerbehandlung, Winsock-Netzwerkoperationen und Registrierungsoperationen. Mehr zu Windows API direkt bei Microsoft.

Kleine Reise in Windows Kernel Exploits

Weiterer lesbarer Artikel aus dem Windows Universum ist Journey into Windows Kernel Exploitation: The Basics. Der Name verrät bereits, wohin die Reise geht. Die 20min hast du sicher.

mTLS – Zertifikatsauthentifizierung kann schwierig sein

In ES#27 hatte ich dir mTLS und preshared Key mit dem Tool kbtls vorgestellt. Heute soll es um mögliche Angriffsszenarien bei der mTLS-Authentifizierung gehen. In einem Deep Dive geht Michael Stepankin auf Zertifikatsketten, Java Keystores ein und warum Zertifikatssperrungen (Revocation) auch Probleme bereiten können.

werkzeugkasten-1
Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Linux From Scratch 12

Mal in die Grundlagen eintauchen und Linux von Grund auf installieren? Das alles ist möglich mit Linux From Scratch, was nun in Version 12 erschienen ist. Linux From Scratch 12.0 enthält GCC 13.2, Glibc 2.38, GNU Binutils 2.41 und Linux 6.4.12 Upstream-Kernel ist der Standard.

Wapalyzer

Wapalyzer ist ein Community Fork des bekannten Wappalyzer, welcher nicht mehr auf Github zur Verfügung steht. Du kannst damit Webtechnologien suchen und finden. Ein klassisches Research Tool, was aber auch manchen Marketing-Menschen das Herz höher schlagen lässt.

OWASP WrongSecrets

Spielerisch was über Passwortsicherheit lernen, genau das ermöglicht dir OWASP WrongSecrets. In 35 Herausforderungen kannst du dein Wissen testen oder erweitern. Wobei der Fokus auf Docker und Git liegt, es werden aber auch Terraform und CI/CD abgedeckt. Probier es einfach aus, es kommen SAST Tools wie git-secrets oder truffhog zum Einsatz, die du als ES Leser bereits kennen solltest.

endladung

Tschüss WordPad, wer auch immer dich vermissen wird 🤷

abschluss
Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.