Petrichor, ist ein Wort, das sicher nicht viele kennen, aber jeder hat es schon mal gerochen. Ja, gerochen, denn als Petrichor wird der Geruch des Regens bezeichnet. Das Wort setzt sich aus den griechischen Worten petra für Stein und Ichor, das Götterblut, zusammen.

Viel Spaß beim Reinschnuppern in explodingsecurity #11.

In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Materna​

• Angreifer: Unklar
• Angriffsart: Ransomware

Helmholtz

• Angreifer Royal
• Angriffsart: Ransomware

Fichtner Ingenieure

• Angreifer: Stormous
• Angriffsart: Ransomware

All4Labels

• Angreifer: Alphv
• Angriffsart: Ransomware

Hahn Group

• Angreifer: Unklar
• Angriffsart: Unklar

FlyHosting offline

Seit etwa 2021 war der DDoS-Dienst & Webhoster FlyHosting aktiv. Am 30.3.23 hat sich das geändert, denn an diesem Tag gab es in mehreren Bundesländern Hausdurchsuchungen, durchgeführt vom LKA Hessen. Der Webstresser steht im Verdacht, an DDoS-Angriffen auf Unternehmen in Baden-Württemberg und Hessen beteiligt gewesen zu sein. Die hessische Polizei ist ebenfalls unter den Opfern. Neben Überlastungsangriffen für kleines Geld, hat der Hoster seine Infrastruktur wohl zum Verteilen von Malware oder dem Hosten von Command and Control Servern genutzt. Weitere Details kannst du dem Bericht von Brian Krebs entnehmen.

Erst Ende 2022 gab es einen großen Schlag gegen die Webstresser/Booter Szene, damals wurden 48 Domains beschlagnahmt, die für 30 Millionen DDoS-Angriffe verantwortlich gewesen sein sollen. Trotz solcher Aktionen gibt es immer noch eine Reihe von Anbietern, die als vermeintlicher Stresstest für die eigene Webseite daherkommen, aber im Prinzip überwiegend von Kunden für dubiose Zwecke verwendet werden. Wenn du deine Webseite testen möchtest, geht das auch mit hauseigenen Linux Tools, informiere aber vorher deinen Hoster.

Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Rheinmetall

Der Rüstungshersteller stand in der letzten Woche mehrfach unter Beschuss. Grund dürften die gelieferten Panzer an die Ukraine sein. Die Gruppe NoName057 (Deep Dive siehe ES #08) hat mehrfach DDoS Attacken angekündigt.

Bundesbank

Die prorussische Gruppe ChaosSec hatte bereits vorletzte Woche Webseiten der Bundesbank im Visier, wie sie auf ihrem Kanal verkünden. Zusätzlich ist die Gruppe bei Global Navigation Satellite Systems (GNSS) aktiv, doch dazu nächste Woche mehr.

Ukraine wieder aufbauen

Das Portal des Entwicklungsministeriums zum Wiederaufbau der Ukraine wurde von Killnet für mehrere Stunden durch Überlastungsangriffe attackiert.

Royal Ransomware

Das Helmholtz-Zentrum München wurde vor ein paar Tagen Opfer einer Ransomware Attacke. Hinter diesem Angriff steckte die Royal Ransomware, ein Grund sich die Gruppierung etwas genauer anzuschauen.

Royal ist noch recht jung und trat im September 2022 das erste Mal in den USA und Brasilien in Erscheinung. Bei den Angriffen konnte ein Schwerpunkt auf kritische Infrastrukturen ausgemacht werden.

Potenzielle Opfer werden nicht, wie bei anderen Gruppen üblich, mit Ransomware-as-a-Service (RaaS) angegriffen, sondern durch Phishing oder Social Engineering (66,7 %), oder das Remote Desktop Protokoll (3,3 %) penetriert. Zusätzlich war die Gruppe an den vergangenen ESXi Attacken beteiligt.

Sobald ein Zugang zum Opfer gefunden wurde, wird über Chisel, ein Open Source TCP/UDP tunnel over HTTP Tool, kontakt zum Command & Control Server aufgenommen (C2). Um sich im System festzusetzen (Persistenz), wird meist normale Remote Monitoring Software wie AnyDesk, LogMeIn oder Altera verwendet. Für die Exfiltration werden bekannte Pen-Testing-Tools umfunktioniert.

Die CISA hat der Royal Gruppe, im Zuge ihrer #StopRansomware Kampagne, einen eigenen Artikel gewidmet. Eine weitere technische Analyse zur Royal Ransomware findest du bei Security Scorecard.

3CX Supply Chain Attacke

Die bekannte Telefonie-Software von 3CX war diese Woche Top-Thema. Du hast sicherlich an anderer Stelle davon gelesen, dennoch möchte ich hier die neuesten Entwicklungen für dich zusammenfassen.

Bereits am 22. März 2023 werden verdächtige Installationen des Windows und macOS 3CX Clients, laut Nutzern des 3CX Forums, von Virenscannern bemängelt. Erst als der Security Hersteller SentinelOne Alarm schlägt, kommt Bewegung in die Sache.

Inzwischen ist bekannt, dass die nordkoreanische Lazarus Gruppe Schadcode in die Clients einschleusen konnte und das bereits seit 8. März. Die Gruppe hat zwei DLLs (ffmpeg.dll und d3dcompiler_47.dll), die von der Desktop-Anwendung verwendet werden, durch bösartige Versionen ersetzt, die zusätzliche Malware herunterladen können. In diesem Fall einen Infostealer, der weitere Programme wie Chrome, Firefox oder Chrome analysiert, vermutlich um weitere Systeme zu kompromittieren.

Folgende Windows Infection Chain ist bekannt:

Die Lücke hat inzwischen eine eigene Common Vulnerabilities and Exposures (CVE) Nummer bekommen, CVE-2023-29059. Eine der bösartigen DLLs, die für den Angriff verwendet wird, ist eine von Microsoft signierte DLL namens d3dcompiler_47.dll. Besonderes Augenmerk auf von Microsoft signiert! Die Täter machten sich eine 10 Jahre alte Windows Lücke CVE-2013-3900 zunutze. Für diese Schwachstelle existiert zwar ein Patch, allerdings hat Microsoft sich dazu entschieden, diesen nur optional anzubieten, warum er vermutlich auf vielen Systemen nicht eingespielt ist. Wie leicht sich DLLs manipulieren lassen, hatte ich die bereits in ES #08 gezeigt.

Das Problem lässt sich ad hoc mit folgenden Registry Einträgen mitigieren. Bedenke, dass die Einträge bei einem Update auf Windows 11 wieder verloren gehen und dein System wieder für DDL-Sideloading anfällig ist.

Windows Registry Editor Version 5.00  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]   
"EnableCertPaddingCheck"="1"

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] 
"EnableCertPaddingCheck"="1"

Betroffene Länder

Fortinet hat die Verbreitung des schädlichen 3CX Clients untersucht und einen Heatmap erstellt. Aus dieser Karte geht hervor, dass Deutschland zu den Top 3 der betroffenen Länder zählt, kein Wunder, denn insgesamt 60 % fallen auf Europa. Hauptmarkt von 3CX ist der europäische Markt, zusätzlich hat die Firma mit Übernahmen von Elastix im Jahr 2016 den Kundestamm für Linux Serversysteme vergrößern können.

Betroffene 3CX Client Versionen

Um zu prüfen, ob deine Version betroffen sein könnte, genügt ein Blick auf die Versionsnummer.

3CX Electron Windows App:

• 18.12.416
• 18.12.407

3CX Electron Mac App:

• 18.11.1213
• 18.12.402
• 18.12.407
• 18.12.416

AlienFox

Der Alien-Fuchs geht um. Gemeint ist ein Toolset, welches aus mehreren Scripten besteht, die es auf Zugangsdaten von Cloudanbietern abgesehen haben. SentinelOne bezeichnet das Tool in seinem Bericht als Schweizer Taschenmesser für Spammer. Zig Online-Services deckt die Python Scripte Sammlung ab, darunter bekannte Namen wie 1und1, SendGrid, Mailgun, Office365, Laravel, Drupal, Joomla, Magento, Opencart, PrestaShop und WordPress.

Angeboten wird die AlienFox Sammlung meist in Telegram Kanälen, dort wird dem Laien eingangs erklärt, wie einfach Python zu verwenden ist. Die Toolsammlung selbst existiert in mehreren Versionen und wurde in jeder Iteration angepasst und verbessert. Die älteste davon (Version 2) konzentrierte sich auf AWS Simple E-Mail Service (SES) und das Laravel PHP Framework. Der Sentinel One Bericht beinhaltet auf 39 Seiten eine ausführliche Analyse der Funktionen und Taktiken aller Version, so wird unter anderem versucht CVE-2022-31279 auszunutzen.

AlienFox Version 3 beinhaltet bereits ein Automatisierungsscript (Lar.py) für das Laravel PHP Framework. Die neueste Version 4 verfolgt dagegen einen neuen Ansatz und listet 19 Tools auf (ALIENFOXV4.py), die dem Angreifer in die Hände spielen sollen. Zusätzlich wurde hier ein BTC und ETH Wallet Cracker integriert, der allerdings zum jetzigen Zeitpunkt nur eine Seed Phrase generiert.

Alle verwendeten Scripte benötigen Ziele, dazu nutzt AlienFox Informationen der Webseite LeakIX. Der Dienst stellt Informationen zu unsicheren Webseiten bereit. Diese Funktion scheint allerdings noch in der Entwicklung, denn nicht alle Scripte rufen das Script erfolgreich ab.

Das umfassende Toolset zum Sammeln von Anmeldeinformationen ist kompatibel für mehrere Cloud-Service-Anbieter und stellt die nächste Generation für Cyberangriffe auf Cloud Services dar. Möglich machen das gut dokumentiere APIs und verbesserte Programmierfähigkeiten der Angreifer, vielleicht sogar mithilfe von Tools wie ChatGPT.

Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Microsoft Security Copilot

Microsoft hat diese Woche den Microsoft Security Copilot vorgestellt. Das Tool soll Sicherheitsverantwortlichen bei der Analyse der eigenen Infrastruktur unterstützen. Dem Zeitgeist entsprechend hat Microsoft ChatGPT integriert, keine Ahnung, was ich dazu sagen soll. Die KI wird mit Meldungen von Microsoft Sentinel, Intune, Defender und Microsofts Threat Intelligence Database gefüttert und soll zusätzlich mit Daten aus dem eigenen Netz angereichert werden. Ziel ist es, Komplexes für Sicherheitsverantwortliche einfach darzustellen und zu unterstützen.

Daten werden laut Microsoft nicht weitergereicht, dennoch stellt sich mir die Frage, wieso jemand dem aktuellen KI Hypetrain Vertrauen schenken sollte. GPT-4 wirkt zwar schlau und gibt intelligente Antworten, dennoch ist die Fehlerquote hoch und sollte das Tool keine Antwort kennen, erfindet es eine. Microsoft zeigt im Promovideo selbst, wie der Microsoft Security Copilot von Windows 9 redet, was es offensichtlich nicht gibt. Es wird also einem nicht Fachmann weiterhin schwerfallen, Echt und Unecht zu unterscheiden.

Auch wenn es sich nur um eine Vorschau handelt, sollten Unternehmen doch eher Fachleute anstellen, anstatt blind auf Security KI zu vertrauen. Wartens wir es mal ab, was daraus wird.

Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Cyberchef

Der Cyberchef von Didier Stevens ist ein Standardtool, eigentlich eher ein Schweizer Taschenmesser für Verschlüsselung, Codierung, Kompression und Datenanalyse. Du kannst mit sogenannten Rezepten Daten analysieren, umwandeln, decodieren usw. Der Cyberchef ist nun in Version 10 veröffentlicht worden und hat neue Features wie eine informelle Statusleiste, End of line Separators oder eine Darstellung von nicht druckbaren Zeichen erhalten. Der Cyberchef sollte auf deinem Rechner nicht fehlen, benötigt keine weitere Installation und ist einfach nur praktisch.

Katana

Project Discovery, die Macher von Nuclei, haben Katana 1.o veröffentlicht. Bei Katana handelt es sich um ein Crawling und Spidering Framework der nächsten Generation. Das Tool wurde in Golang geschrieben und ist für Debian Systeme oder als Docker Container verfügbar. Der Crawler kann auf einen lokal installierten Chrome zugreifen und unterstützt einen headless Modus. Interessant ist die qurl Option, welche es dir erlaubt, nur nach URLs mit einem Query Parameter zu scannen.

waybackurls

Ergänzend zu Katana kannst du bei einem angemeldeten Security-Test auch auf das Golang Script waybackurls zurückgreifen. Das Tool verwendet dazu das Internetarchiv Wayback Machines, um an alle URLs eines Ziels zu kommen.

BadSecrets

Tools, die Geheimnisse in Form von Passwörtern im Code finden, hatte ich dir schon einige vorgestellt. So eine statische Codeanalyse gehört inzwischen zum guten Ton. Mit BadSecrets präsentiere ich dir nun eine Python Library, die genau diese Funktion für diverse Web Frameworks anbietet. Eine einfache Installation via Python Pip ermöglicht dir das Scannen von Telerik, Django's Session Cookies, Ruby on Rails Secret Key Base und mehr.

In jede IT-Abteilung gehören Gadgets, angefangen vom Nerf Blaster bis zum Panikbutton. CISOtopia hat sich auf IT-Security spezialisiert und bietet eine kleine Auswahl an Zeug Gadgets, um dir den Alltag vor dem Rechner zu versüßen. Mein persönlicher Favorit ist der Attack Surface Reducer.

Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.