Cybersecuria

exploding security #20 - Top Ransomware im Mai - Quakbot - Tesla Botnet - UserSec - Netside Botnet - Map of GitHub - Pandas AI - Kali Linux 2023.2

Nach meteorologischer Zeitrechnung haben wir seit dem 1.6.23 Sommer. Nun werden die Klamotten kürzer und die Kollegen (meist wegen Urlaub) im Büro weniger. Das ändert allerdings nichts an der Bedrohungslage.

sral

9 min read
exploding security #20 - Top Ransomware im Mai - Quakbot - Tesla Botnet - UserSec - Netside Botnet - Map of GitHub - Pandas AI - Kali Linux 2023.2
Photo by Markus Petritz / Unsplash

Nach meteorologischer Zeitrechnung haben wir seit dem 1.6.23 Sommer. Nun werden die Klamotten kürzer und die Kollegen (meist wegen Urlaub) im Büro weniger. Das ändert allerdings nichts an der Bedrohungslage, denn diese ist immer da. Besonders im Sommer, wenn der Admin mal wandern ist und die Zero Day Lücke offen wie ein Scheunentor bleibt.

Wenigstens hast du mit exploding security #20 die passende Lektüre für die warmen Tage in abgedunkelten Büros. Viel Spaß!

rueckblick-2
Rückblick: Was gibt es Neues zu den Themen der letzten Woche?

Bremer Gesundheit Nord

Der Angriff auf die Bremer Kliniken Mitte Mai hat zu einem großen Datenabfluss geführt. Laut Heise wurde kein Lösegeld gefordert und es ist weiterhin unklar, wer hinter der Attacke steckt.

zahlenblock
Zahlenblock: In diesem Bereich werden Reports, Statistiken und andere Zahlenwerke behandelt.

Ransomware Angriffe Mai 2023

Der Zahlenblock bezieht sich heute auf die gestiegenen und veröffentlichten Ransomware Angriffe im Mai 2023. Die Daten habe ich selbst zusammengetragen, daher haben sie sicherlich eine gewisse Unschärfe. Da es allerdings ohnehin schwer ist, alle Ransomwarevorfälle zu erfassen (gerade die nicht öffentlichen) geben diese Zahlen dennoch einen Indikator für die aktuelle Entwicklung. Die Zahlen beziehen sich nur auf Deutschland und nicht den DACH Raum.

Play (hellgrün) und BlackBasta (gelb) haben im Mai am meisten zugelegt, wobei Royal (lila) und BianLian (dunkelgrün) sich in DE eher weniger aktiv zeigten. Bei Abzug der in diesem Monat veröffentlichten MalasLocker Opfer hielten sich die einsehbare Ransomwarevorfälle einigermaßen die Waage.

MalasLocker (hellblau) würde ich deswegen außen vor lassen, da es sich bei der Zimbra Aktion vermutlich eher um eine einmalige Aktion handelte und die eingeforderten Spenden nicht typisch für die klassischen Ransomware Gangs sind. Die 8Base (blau) Veröffentlichungen gingen auf Angriffe 22/23 zurück und bringen ebenfalls eine leichte Unschärfe mit sich.

oeffnungszeiten-2
In der Sektion Öffnungszeiten werde ich über einen Teil der Security Breaches der letzten Woche berichten.

Auch wenn es diese Woche so schien, als ob einige Ransomware Gangs im Urlaub wären, gabs es international gesehen dennoch einige Angriffe. Play hat unter anderem im DACH Raum bei der Unico Data AG oder dem BMD Systemhaus GesmbH sein Unwesen getrieben.

Den größten Impact dürfte jedoch Alphv/BlackCat hervorgerufen haben. Die Ransomware Gang gibt an, Casepoint erfolgreich angegriffen zu haben. Das US Unternehmen betreibt eine Plattform für Rechtsstreitigkeiten, Untersuchungen und Compliance, die von Regierungsbehörden (SEC, FBI, Polizei), Unternehmen und Anwaltskanzleien genutzt wird. Laut eigenen Angaben sollen ganze 2 TB an Daten abgeflossen sein.

ALPHV/BlackCat war bereits in der Vergangenheit dafür bekannt, große und bekannte Firmen wie Ring, WesternDigital oder NextGen Healthcare zu kompromittieren. Da nun allerdings Behörden direkt betroffen sind, könnte das zu weitreichenden Ermittlungen führen.

Ransomware News

In Deutschland waren diese Woche folgende Firmen oder Einrichtungen betroffen.

Stadtverwaltung Bad Langensalza

  • Angreifer: unbekannt
  • Angriffsart: unbekannt

Stadt Kaltennordheim und VG Hohe Rhön

  • Angreifer: unbekannt
  • Angriffsart: unbekannt

Zooplus

  • Angreifer: unbekannt
  • Angriffsart: unbekannt

Landmaschinenhändler Carl Geringhoff

  • Angreifer: Black Basta
  • Angriffsart: unbekannt

MATTHÄI Bauunternehmen GmbH & Co. KG

  • Angreifer: Black Basta
  • Angriffsart: unbekannt

Shows & Artists GmbH

  • Angreifer: Play
  • Angriffsart: unbekannt

schadstoffe-1
Der Bereich Schadstoffe soll analog zum Bereich Öffnungszeiten von Tools und Angriffen handeln. Allerdings sind Ransomware, Erpressungstrojaner, DDoS und Co im Fokus. Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Operation Triangulation

Das heißeste Eisen wurde diese Woche von Kaspersky aus dem Feuer geholt. Unter dem Titel Operation Triangulation haben die Sicherheitsforscher Datenabflüsse mittels Zero Klick Infection auf iOS Geräten untersucht. Diese sollen bereits seit 2019 am Laufen sein und aktuell (2023) Geräte mit iOS 15.7 betreffen (mächtiger BadaBum, wie ich finde).

Folgenden Infektionsvorgang wurde offengelegt:

  • Das iOS-Zielgerät empfängt über den iMessage-Dienst eine Nachricht mit einem Anhang, der einen Exploit enthält.
  • Ohne jegliche Benutzerinteraktion nutzt die Nachricht eine Sicherheitslücke aus, die zur Codeausführung führt.
  • Der im Exploit enthaltene Code lädt mehrere nachfolgende Stufen vom C2-Server herunter, die zusätzliche Exploits für die Ausweitung von Berechtigungen enthalten.
  • Nach erfolgreicher Ausnutzung wird eine endgültige Nutzlast vom C2-Server heruntergeladen, bei der es sich um eine voll funktionsfähige (Advanced Persistent Threat )APT-Plattform handelt.
  • Die ursprüngliche Nachricht und der Exploit im Anhang werden gelöscht

Infizierte Geräte sollen Probleme beim iOS Update haben und einen Fehler werfen („Software Update Failed. An error ocurred downloading iOS“). Zum aktuellen Zeitpunkt gibt es keine Möglichkeit betroffene Geräte zu bereinigen, es bleibt nur ein Reset.

Für den Kontakt zu C2 Servern konnte Kaspersky über Wireshark einige Domains ausfindig machen, welche im Bericht verlinkt wurden und auf deine Sperrliste sollten, sofern möglich.

Es bleibt spannend, was hier noch aufgedeckt wird, die Untersuchungen stehen erst am Anfang. Ich halte dich auf dem Laufenden.

Quakbot

  • Erstkontakt: 2007
  • Programmiersprache: C/C+
  • Angriffsart: Trojaner/Backdoor
  • Angriffstypen: PDF Anhang

Quakbot (QakBot, QBot oder QuackBot) zählt trotz seines Alters oder eben deswegen zu einer der meistverbreiteten Malware da draußen, so auch im April 2023. Der Banking-Trojaner stiehlt Nutzerdaten und E-Mails aus infizierten Unternehmensnetzwerken in immer ausgefeilteren Kampagnen. Durch den modularen Aufbau, kann das Botnets auf aktuelle Trends reagieren, so wurden die letzten Wellen über *.one Dateien (Microsoft OneNote) verteilt.

Neueste Methode scheinen Windows Script Files (.wsf) zu sein. Hier befindet sich im E-Mail Anhang eine ZIP Datei, die ein PDF mit eingebetteter *.wsf Datei enthält. Das Windows Script File lädt dann im Hintergrund schadhafte DLLs nach. Bleeping Computer hat diesen Vorgang genau beschrieben.

Das Netzwerk selbst ist über die Jahre gewachsen. Team Cymru hat sich die Command & Control (C2) Serverarchitektur genauer angesehen und ein paar aufschlussreiche Grafiken daraus erstellt.

Qakbot-Kampagnen werden von den Akteuren über Partner-IDs verfolgt, die in den Malware-Konfigurationen enthalten sind; die derzeit aktivsten sind "Obama" und "BB".
Jede Malware-Konfiguration enthält zwar eine Liste von etwa 100 bis 150 potenziellen C2s, aber nur ein Bruchteil davon wird tatsächlich für die Bot-Kommunikation verwendet.

Eine Zeitachse (2007–2023) zur Entwicklung von Qakbot, sowie mögliche Message Query Language (MQL) Regeln zur Abwehr findest du drüben bei Sublime Security.

Ein interessanter Deep Dive zu IcedID und QuakBot in Bezug auf VNC Backdoors liefert NVISO Labs. Hierzu existiert bereits ein Proof of Concept (POC) zum re-assemblen des reverse VNC Traffics. Und zu guter letzte noch ein ausführlicher Bericht von Lumen zur Quakbot.

Tesla Botnet

NoName057 und sein DDosia Projekt hatte ich dir schon öfter vorgestellt (ES #14), diese Woche möchte ich dir weitere DDoS Tools vorstellen, wie das Tesla Botnet.

  • Erstkontakt: 4/2023
  • Angriffsart: DDoS
  • Angriffstypen: HTTP-flood, Macan-TLS, SMYKL-flood, Tor Killer

Das Tesla Botnet wird stark von Anonymous Russland und weiteren Gruppen auf Telegram beworben und geteilt. Tesla besitzt einen eigenen Telegram Kanal für Außenwerbung. Der Kanal ist mit ca. 750 Mitgliedern nicht sehr groß, allerdings gibt es weitere Kanäle für Support und Preisgestaltung. Letztere scheint relativ günstig zu sein, so gab es zum Release der ersten Variante Preise zwischen $15 und $100. Selbst eine Webseite im Clearnet wurde inzwischen ins Leben gerufen.

Das Botnetz selbst soll sich einfach über den Browser bedienen lassen und hat laut eigenen Angaben bereits amerikanische Regierungsseiten lahmgelegt.

TESLA-BOTv3 ist gerade in der Entwicklung. Ob die großspurig angekündigten zusätzliche Funktionen wirklich kommen, bleibt offen:

  • Bypass rate limits ( static and dynamic)
  • Bypass classic UAM ohne Browser
  • CAPTCHA and DDG bypass im Browser
  • Doominate Modus

UserSec – Netside Botnet

Ein ebenfalls relativ neues DDoS Botnet ist Netside. Die Gruppe UserSec macht momentan Werbung dafür.

  • Erstkontakt: 2023
  • Angriffsart: DDoS

UserSec ist eine pro russische Gruppierung, welche Mitte Mai zum digitalen Großangriff auf die Nato mittels DDoS und Hacking aufgerufen hat. Bei DDoS Attacken wird auf den oben erwähnten Tesla Bot oder das Netside Botnetz gesetzt. Früher kam auch schon das Passion Botnet von Killnet zum Einsatz.

Bisher wurden offiziell ca. 33 Webseiten im Mai attackiert. Wobei es sich meist um „Wald und Wiesen“ Webseiten handelte, außer bei einem gezielten Angriff auf NATO Webseiten. Folgende deutsche Webseiten wurden von der Gruppe gehackt:

  • livegeneration.de
  • fecg-guntersblum.de
  • lizili.de
  • www.language-trainers.de/blog
  • mbservices.de
  • alkhidmat.de

Teilweise ist auf diesen Webseiten noch das UserSec Logo zu finden.

Der Telegram Kanal der Gruppe hat zurzeit ca. 5500 Mitglieder. Zusätzlich gibt es Community und Support Kanäle. Die Gruppe wurde Ende April in das lose Killnet Netzwerk aufgenommen und hat damit sicherlich an Bedeutung gewonnen.

Zu den Features des Netside DDoS Tools zählen laut UserSec:

  • Neue Methoden für Angriffe, Server, Botnet, Proxy und andere sind im Angebot
  • TLS Bypass: DDG, NOSEC, UAM, CF CUSTOM (nicht alle), VENTRY
  • FLOODER
  • BOTNET
  • METHODEN (TLS, FLOODER)
  • PROXY (10000+ PRIVAT)
  • SERVER (4x 32c/64g 1gb internet)

schulbank-1
Der Klassenraum soll nicht abschrecken, sondern dir eine Möglichkeit geben, Wissen im IT-Security-Bereich anzureichern oder aufzufrischen.
Die genannten Methoden und Werkzeuge dienen dem Bildungszweck zur Verbesserung der IT-Sicherheit. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar

Pandas AI – Die Zukunft der Datenanalyse?

Pandas dürfte vielen datenliebenden Menschen ein Begriff sein. Die Programmbibliothek für Python kann Daten zur Analyse und Darstellung verarbeiten. Pandas AI erweitert diese Funktionen nun um generative KI. Momentan wird ChatGPT unterstützt, weitere LLMs (Large-Language-Modell) sind in Planung. Fareed Khan hat eine kleine Einleitung zum neuen Feature geschrieben, die dich vielleicht interessieren könnte. Die offizielle Dokumentation ist natürlich auch einen Blick wert.

Level 1 Threat Hunting Training

Solltest du zum Feierabend mal 5 Stunden Zeit haben, dann kannst du dir das Threat Hunting Training von Active Countermeasures anschauen (ab 2:32 beginnen die C2 Labs & Walkthroughs).

werkzeugkasten-1
Im Bereich Werkzeugkasten werden dir Tools aus dem IT-Security-Universum vorgestellt. Bitte beachte, dass die genannten Methoden und Werkzeuge dem Bildungszweck zur Verbesserung der IT-Sicherheit dienen. Das Ausspähen und Abfangen von Daten sowie die Computersabotage sind strafbar.

Kali Linux 2023.2

Turnusgemäß wurde eine neue Kali Linux Version veröffentlicht. Windows Nutzer dürfen sich freuen, denn es wurde eine Hyper-V Unterstützung integriert, die ohne weitere Einstellungen genutzt werden kann.

Für fette Beats auf dem Xfce-Desktop ist jetzt auch gesorgt, denn es fand ein Wechsel von PulseAudio zu PipeWire statt. GNOME-Desktop Nutzer kennen den neuen Audio-Stack ja bereits. Zusätzlich wurde der i3-Desktop komplett überarbeitet und präsentiert sich in neuem Gewand.

Natürlich wurde auch das Toolset erweitert, so haben 14 neue Tools Einzug gehalten. Tools wie Trivy, TheHive oder Terraform dürften dem regelmäßigen Leser ein Begriff sein. Das Evilginx Framework wollte ich dir bereits vorstellen (kann ich jetzt bestimmt lassen), denn es ist erst vor ein paar Tagen in Version 3.0.0 - Rephishment erschienen.

  • Cilium-cli - Install, manage & troubleshoot Kubernetes clusters
  • Cosign - Container Signing
  • Eksctl - Official CLI for Amazon EKS
  • Evilginx - Standalone man-in-the-middle attack framework
  • GoPhish - Open-Source Phishing Toolkit
  • Humble - A fast security-oriented HTTP headers analyzer
  • Slim(toolkit) - Don’t change anything in your container image and minify it
  • Syft - Software Bill Generator of Materials from container images and filesystems
  • Terraform - Safely and predictably create, change, and improve infrastructure
  • Tetragon - eBPF-based Security Observability and Runtime Enforcement
  • TheHive - Open Source and Free Security Incident Response Platform
  • Trivy - Find vulnerabilities, secrets, SBOM in containers & Kubernetes
  • Wsgidav - Generic and extendable WebDAV server based on WSGI

Kicksecure Linux

Kicksecure ist eine freie und quelloffene Linux-Distribution, die dir
eine hochsichere Computerumgebung bieten will. Dazu wurde das System mit verschiedenen Methoden gehärtet. Unter anderem mit Kernel Hardening (KSPP), Time Attack Protection, geschlossenen Default Ports, TCP ISN, Brute Force Schutz, erweiterte Firewall usw.

Gestartet ist diese Debian Variante bereits 2018 unter dem Namen Hardened Debian. Das Hostsystem der Whonix-Distribution basiert beispielsweise auf Kicksecure.

Map of GitHub

Du willst dich mal etwas anders durchs GitHub Universum bewegen? Dann schau dir mal die Map of Github an. Zarte 400,000+ Projekte bildet die Karte ab, fein säuberlich zusammengetragen, mithilfe des Jaccard-Koeffizienten und gerendert mit MapLibre. Dich dürften die südlichen Länder mit Namen wie Cybersecuria, Hackistan, Honeytopia, AntiMalwaria oder Pentestan sicherlich am meisten interessieren.

Pastis – Fuzzing Framework

PASTIS ist ein Open-Source-Fuzzing-Framework, welches verschiedene Techniken kombiniert, um kollaboratives Fuzzing zu ermöglichen, auch bekannt als Ensemble-Fuzzing. Momentan werden Honggfuzz, AFL++ für Grey-Box-Fuzzers und TritonDSE für White-Box-Fuzzers unterstützt.

Es existiert ein Einführungsvideo (in französischer Sprache mit englischen Untertiteln). Das pythonbasierte Framework ist Open Source und lässt sich einfach via pip installieren. Beispiele und die Architektur kannst du der Pastis Dokumentation entnehmen.

endladung

Pixelfy Open-Source AI Hintergrund Creator

abschluss
Das war es schon für diese Woche, vielen Dank fürs Durchscrollen.
Solltest du Feedback oder Vorschläge haben, darfst du mich gerne direkt via E-Mail oder Twitter @explodingsec anschreiben.
Kaffee trinke ich übrigens auch gerne.