Hallo zusammen, herzlich willkommen zu explodingsecurity #09. Diese Woche habe ich dir hinterlistige Smartphone Trojaner, Go Botnets, Microsoft Updates und die üblichen Ransomware-Geschichten mitgebracht. Außerdem zeige ich dir, was es mit diesen Purple Teams auf sich hat.

Rückblick

Was gibt es Neues zu den Themen der letzten Woche?

Häfele

Wie du sicher aus ES #03 noch weißt, wurde der Möbelprimus Opfer einer Hackerattacke. Inzwischen ist bekannt, dass die Ransomware Gang Lockbit dahintersteckte. Die Gruppe verlangt bekanntlich Lösegeld und setzt eine Frist. Diese Frist ist inzwischen abgelaufen und die Daten der Firma sollen veröffentlicht worden sein. Zum jetzigen Zeitpunkt ist bisher nicht bekannt, welche Daten der Dump enthält.

Steico

Wie in ES #07 berichtet, wurde der Baustoffhersteller Opfer der Gruppe Industrial Spy. Auch hier ist die Lösegeld-Frist verstrichen und die Daten, immerhin 278,5 GB, wurden veröffentlicht. Ich kann aktuell keine Aussage zum Inhalt des Leaks treffen.

Zahlenblock

In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Sieben

7 Terabyte an Serverhardware und Daten wurden diese Woche laut BKA beim Geldwäschedienst ChipMixer sichergestellt, wie Heise berichtet. Dazu kamen ca. 44 Millionen Euro in Bitcoins (ein neuer Rekord beim BKA). Die Menge an Daten und Kryptowährungen wurden seit 2017 angesammelt, denn seitdem war der Dienst im Netz verfügbar. Der pseudonyme Dienst ermöglichte es unter anderem Ransomware Gangs ihr Lösegeld zu verschleiern.

Was ist oder war ChipMixer?

Ein sogenannter Mixer dient der Verschleierung von Geldflüssen und kann helfen, Kryptowährungen in Bargeld umzuwandeln. Dazu werden Beträge in Kleinstbeträge aufgeteilt, diese Kleinstbeträge werden vermischt und dann wieder an den Besitzer verteilt. ChipMixer arbeitete hier mit Bitcoins und wurde bei Hetzner gehostet, vermutlich war deswegen auch das BKA involviert. Geld wurde mit dem illegalen Service verdient, denn pro Mix wurden 2,44 % der gesetzten Summe berechnet. Zusätzliche Details lassen sich aus den Unterlagen des US-Justizministerium ziehen, falls du tiefer in die Materie einsteigen möchtest.

Öffnungszeiten

In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Fiege

Das Logistikunternehmen Fiege aus Greven wurde von Lockbit 3.0 angegriffen, der Firma wurde eine Lösegeldabgabe bis 4. April gesetzt, ansonsten sollen ca. 250 GB an Daten veröffentlicht werden. Inhalt des Datenpakets: Unbekannt.

Brauerei Schimpf

Laut unbestätigten Meldungen ist die Brauerei Schimpf Opfer der Gruppe Royal geworden. Die kleine Brauerei wird sicher nicht die Mittel aufbringen können und wollen, um das Lösegeld zu bezahlen. Ein anschauliches Beispiel, für die blinden Angriffe der Ransomware Gruppen, es kann jeder unter die Räder kommen.

Bühnen GmbH

Der 100 Jahre alte Familienbetrieb für Klebesysteme ist von Lockbit 3.0 angegriffen worden, zumindest meldet dies die Ransomware Gruppe auf ihrer Webseite. Das Ausmaß der Schäden ist daher unbekannt, die Webseite buehnen.de ist momentan weiterhin normal zu erreichen.

Schadstoffe

Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

GoBruteforcer Botnet

Forscher von Unit 42 entdeckten kürzlich eine neue Golang-basierte Malware. Der neue Schädling wurde GoBruteforcer getauft und hat es hauptsächlich auf Webserver abgesehen, auf denen PhpMyAdmin, MySQL, FTP und Postgres-Dienste laufen.

Um dorthin zu gelangen, scannt GoBruteforcer ganze CIDR Blöcke auf Port 21, 80, 3306 und 5432. Wurde ein potenzielles Opfer gefunden, erfolgt via Brut Force Methode (teilweise mit fest hinterlegten Passwörtern) ein Angriffsversuch. Sollte dieser erfolgreich sein, wird auf einem System mit PhpMyAdmin ein IRC Bot für x86_64 und ARM Architekturen ausgeliefert, welcher danach Kontakt zum Kontrollserver aufnimmt.

Auf anderen Systemen, beispielsweise mit MySQL- und Postgres-Diensten, wird versucht, die Datenbank mit bestimmten Zugangsdaten anzupingen. Bei erfolgreichem Zugriff wird eine vorhanden PHP-Web-Shell mit Reverse-Shell- und Bind-Shell-Funktionen geladen.

GoBruteforcer reiht sich nahtlos in die Reihe der neuen in Golang geschriebenen Tools ein. Da Golang eine einfache Syntax hat und plattformübergreifenden Binärdateien ohne Abhängigkeiten erstellt, ist die Sprache bei Malware-Herstellern beliebt.

Etwas besorgniserregend ist der Fakt, dass der ursprüngliche Angriffsvektor für GoBruteforcer und die PHP-Web-Shell zurzeit noch unbekannt ist.

Das aktuelle Vorgehen verbildlicht dir die folgende Attack Chain:

Xenomorph.C und die 400 Banken

Banking-Trojaner haben Konjunktur. Ich hatte dir bereits in ES #03 über In the Box berichtet, ein Anbieter von Web Injects für Banking Apps. Xenomorph ist eine weitere Gefahr fürs Mobile Banking und wurde nun von Threatfabric erneut untersucht.

Ursprünglich wurde der Banktrojaner im Februar 2022 das erste Mal im Google Play Store mit ca. 50 000 Installationen entdeckt. Zu dieser Zeit hatte Xenomorph noch 56 Banken im Visier. Damals hatte die dahinterstehende Hadoken Security Group den Trojaner in kleinen Wellen (GymDrop dropper Operation, später Zombifinder Operation) verteilt.

Die soeben entdeckte neue Variante V3 mit den Namen Xenomorph.C baut auf ein Automated Transfer System (ATS) Framework, was den Tätern erlaubt, die komplette Angriffskette zu automatisieren. Zusätzlich hat der Trojaner von 56 auf 400 Bankenziele aufgestockt und unterstützt zusätzlich diverse Kryptowallets. Unter den betroffenen Geldhäusern finden sich 18 deutsche Banken, wie ING, Comdirect, Commerzbank, Citibank, Targobank oder die Deutsche Bank. Die schiere Menge an Geldinstituten und der Grad an Automatisierung macht Xenomorph zu einem der derzeit gefährlichsten Banking Trojaner. Richtig interessant wird es wohl erst, wenn die Malware Hersteller dank der aktuellen Entwicklung in KI Bereich einen weiteren Schub bekommen.

Erschreckend sind die einzelnen Trigger des ATS Frameworks, die zum Start des Trojaners auf dem infizierten Smartphone führen. So erkennt er, ob eine Authenticator App (2FA) gestartet wird und liest automatisch mit und aus. Xenomorph ist somit auf der Höhe der Zeit und eine Gefahr, denn viele Banken haben SMS Multi-Faktor Authentication (MFA) inzwischen abgeschaltet und setzen nur noch auf Authenticator Apps.

Microsoft hat den Giftschrank geschlossen

Im Hause Microsoft ist bekanntlich jeden Monat ein Patch Day. Hier werden Sicherheitsupdates für alle relevanten System veröffentlicht.

Beim aktuellen Update vom 14.3.23 sind kritische Updates dabei, welche zuständige Administratoren ad hoc einspielen sollten. So hat die Outlook-Schwachstelle CVE-2023-23397 einen Score von 9.8 Kritisch. Die Zero-Day-Sicherheitslücke wird bereits aktiv angegriffen, denn sie ist seit letztem Jahr bekannt.

Zwischen April und Dezember 2022 nutzte die staatlich geförderte russische Hackergruppe APT28 (auch bekannt als STRONTIUM, Sednit, Sofacy und Fancy Bear) CVE-2023-23397 aktiv aus, um in die Netzwerke von Regierungs-, Militär-, Energie- und Transportunternehmen einzudringen.

Microsoft stellte ein PowerShell-Skript zur Verfügung, mit dem rückwirkend nach potenziell bösartigen Nachrichten gesucht werden kann, die diese Sicherheitslücke enthalten.

Eine weitere kritische Lücke mit Score 9.8 betrifft das Internet Control Message Protokoll (ICMP) von Windows-11- und Server 2022-Systemen, allerdings, nur wenn sie RAW-Sockets nutzen. Heißt, für dich besteht trotz des hohen Scores eher weniger Gefahr.

Und zu guter Letzt noch eine weitere Score 9.8 Sicherheitslücke für die oben genannten Systeme. Die HTTP Protokoll Stack (http.sys) Remote Code Execution Vulnerability CVE-2023-23392 erlaubt es durch Senden speziell präparierter Pakete Schadcode einzuschleusen und wird deswegen als wormable eingestuft.

Allein diese drei geschlossenen Sicherheitslücken sind schon nicht ohne, allerdings hat Microsoft noch einige mehr geschlossen, die teilweise keinen hohen Score haben, aber bereits exploited wurden, siehe beispielsweise CVE-2023-24880.

Eine Übersicht aller geschlossenen Sicherheitslücken findest du auf der Seite der ZeroDayInitiative.

Schulbank

Die Schulbank soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Was ist ein Red Team, Blue Team oder Purple Team

Analog zur Cyber Kill Chain aus ES #09 stammt auch der Begriff des Red Teams vom Militär ab und wurde für Cybersecurity adaptiert.

Red Teams werden häufig mit Penetrationstestern verwechselt, das sind sie aber bei Weitem nicht, denn sie legen viel langfristigere Projekte oder Tests an, um Sicherheitslücken aufzudecken. Es wird sozusagen mehr die Realität abgebildet, als bei einem reinen Penetrationstest, so wird beispielsweise auch auf die Reaktionen des Blue Teams bzw. der Mitarbeiter geachtet.

Blue Teams hingegen bilden die Verteidigungslinie und ähneln eher den IT-Security-Teams einer Firma. Sie sind aber nicht mit diesen gleichzusetzen, denn ein Blue Team konzentriert sich nur auf simulierte Angriffe von Red Teams oder richtigen Angriffen von außen. Im Gegensatz zu einer IT-Abteilung ist es 24/7 im Einsatz und versucht die Infrastruktur proaktiv zu monitoren und zu verteidigen.

Purple Teams kommen zum Einsatz, wenn das Red Team und Blue Team an einem Strang ziehen. Diese Teams teilen Informationen und Einblicke untereinander, um die Sicherheit eines Unternehmens insgesamt zu verbessern. Ziel ist es, die Fähigkeiten und Möglichkeiten beider Teams zu vereinen und zu verbessern. Um diese Teamform zu unterstützen, hat Kali Linux eine neue Distribution Kali Purple veröffentlicht, mehr dazu in Werkzeugkasten Bereich.

Daniel Miessler hat einen aufschlussreichen Artikel zu dieser Thematik verfasst und gibt dir weitere Einblicke. Ihm entstammt auch die folgende Infografik zu Red, Blue und Purple Teams.

Was ist CORS

Vermutlich wirst du CORS schon kennen, da es aber letzte Woche Teil eines Rätsels war, hier eine kleine Erklärung zu CORS.

Cross Origin Resource Sharing (CORS) ist ein Feature, welches über den HTTP Antwort-Header gesteuert wird. Der Mechanismus steuert Anfragen von Clients über verschiedene Origins hinweg. Du rufst etwa die Domäne example-a.xyz auf, aber die dort angezeigten Inhalte werden von example-b.xyz nachgeladen (domainübergreifende Inhalte).

Mit CORS wird SOP (Same Origin Policy) umgangen. SOP versucht das Laden aus verschiedenen Quellen zu verhindern, was ein wichtiges Sicherheitsfeature darstellt und nicht ohne Weiteres deaktiviert werden sollte. Denn eine falsch konfigurierte Richtlinie kann Cross-Site-Request-Forgery- (CSRF) und Cross-Site-Scripting- (XSS) Angriffe erleichtern. Weitere Ausführungen findest du bei Mozilla.

HTTP/1.1 204 No Content
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET,HEAD,PUT,PATCH,POST,DELETE
Vary: Access-Control-Request-Headers
Access-Control-Allow-Headers: Content-Type, Accept

Werkzeugkasten

Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Kali Purple

Mit dem Release von Kali Linux 2023.1 hat das OffSec Team eine neue Variante seiner Distribution veröffentlicht. Die Purple Variante richtet sich nun nicht mehr nur an Red Teams, sondern auch an Blue Teams. Das Projekt erweitert damit sein Portfolio und schlägt einen weiteren defensiven Weg ein, um den offensiven zu ergänzen. In meinen Augen ein nötiger Schritt, um mit dem Zeitgeist zu gehen. Die neue Distribution enthält bekannte Tools, hier ein kleiner Auszug:

Über 100 Tools wie:

• Arkime full packet capture
• Cyberchef
• Elasticsearch SIEM
• GVM vulnerability scanner
• TheHive incident response platform
• Malcolm
• Suricata IDS
• Zeek IDS
• and of course all the usual Kali tools

Weitere Informationen findest du in der taufrischen Kali Purple Dokumentation. Happy Defending

NMapify

Ein kleines Tool, um aus nmap Scan Ergebnissen automatisch eine Mindmap zu erstellen. NMapify benötigt dazu FreeMind und eine XML-Ausgabe, der Rest ist selbsterklärend. Solltest du also mal eine kleine grafische Übersicht deines Nmap-Scans benötigen, ist das Python Tool genau das richtige.

TelemetrySource

Vielleicht hast du dich schon gefragt, was die verschiedenen Windows Security Events im Log Editor bedeuten. Google spuckt für jedes Ereignis sicher ein Ergebnis aus, dennoch führt dieses Google Sheet schneller zum Ziel. Momentan sind 38 Windows-Events gelistet, dazu kommen noch Sysmon und Microsoft-Windows-Threat-Intelligence Meldungen.

Kurz vor Schluss

Zunächst möchte ich für dich das Rätsel aus ES #08 lösen, auch wenn du es sicher schon in den Twitter Kommentaren nachgelesen hast. Ein POST Request ist eine einfache Anfrage, PUT dagegen erfordert eine CORS Policy. Mehr Details findest du auf der Schulbank, die du (solltest du bis hier gelesen haben) bereits kennst. ;)

Ich bin der Telefonmann! Ich geh ans Telefon ran

Die Zahl 21 würde locker als Zahl der Woche durchgehen, denn genau so oft wurde die Berliner Cyberhotline in Bezug auf wirkliche Vorfälle angerufen. Wie Netzpolitik berichtet, wurden insgesamt 34 Anrufe getätigt und 19 Anrufer sogar weiter vermittelt, Kostenpunkt 135.000 EUR, ca. 6000 EUR pro Cyber Problem Anrufer. Ein teurer Spaß wie ich finde, für die 6000 EUR hätte die Berliner Verwaltung auch gleich einen Fachmann direkt zur betroffenen Firma schicken können.

Auch wenn ich bisher nicht wusste, dass es in Berlin eine solche Nummer gibt, stellt sich mir die Sinnfrage. Die Polizei betreibt in jedem Bundesland zentrale Ansprechstellen Cybercrime für die Wirtschaft, die genau für einen solchen Zweck eingerichtet wurden.

Abschluss

Ich habe fertig, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.