Shiny Hunters(閃亮的獵人)的駭客正在Darknet (暗網)出售11家公司7000多萬條的用戶記錄…

一個名為“Shiny Hunters” 駭客小組的成員正在利用洩漏的數據庫充斥著黑暗的網路,以供出售。據BleepingComputer報導,Shiny Hunters駭客組織涉嫌威脅來自11家公司的7320萬條用戶記錄。他們是印尼最大的電子商務網站Tokopedia數據洩露的幕後黑手,其中9,100萬條用戶記錄被破壞,並以5,000美元的價格在駭客論壇上出售。後來Shiny Hunters還洩露了位於印度的在線學習平台Unacademy的信息,該網站暴露了2200萬用戶的詳細信息,並將記錄保留在darknet論壇上,售價為2,000美元。

網路安全公司Cyble的安全研究人員證實,Shiny Hunters正在出售11家不同公司的數據,包括食品配送公司HomeChef,照片打印服務ChatBooks和Chronicle.com。最近ChatBooks 確認,Shiny Hunters於2020年5月3日在一個黑暗的網路市場上發布了其用戶記錄,要求1500萬條用戶記錄的價格為2,000美元。

Cyble說,據稱駭客正在出售來自各種組織的被盜數據庫,包括:

儘管Tokopedia和Chatbooks已確認它們已遭到駭客入侵,但列出的其他公司尚未確認或任何聲稱駭客的入侵,目前為止也沒有發現台灣企業的資料遭Shiny Hunters洩露。

從Bleeping Computer看到的用戶記錄樣本中,數據洩露看起來是合法的,但尚未100%確認。

在得知即將出售的新數據庫後,Bleeping Computer已與受影響的公司聯繫,但尚未得到回覆。

誰是ShinyHunters?

名為“ ShinyHunters”的駭客組織於2020年4月17日首次以Shiny Hunters名號出現在RaidForums上。一個同伴的Twitter帳戶@sh_corp於2020年1月開設,而ShinyHunters黑暗網路帳戶也是如此,目前未有更多關於Shiny Hunters的資料。

一個SOC的故事-Web伺服器的攻擊

從今天SOC的blog中了解一個有關針對Web伺服器攻擊的調查-從警報到隔離易受攻擊的系統,

一個SOC的故事-Web伺服器的攻擊…

重點精華

SOC的故事是一個blog系列,描述了由AT&T 的SOC分析人員團隊針對AT&T託管威脅檢測和回應客戶的進行並報告最新的資安事件調查。

在調查大型跨國企業客戶的Web伺服器攻擊警報,我們進行的調查,不可避免地完全隔離了客戶的系統。AT&T Alien Labs團隊開發的精細關聯規則,可以識別出對Web伺服器的攻擊模式。有了警報本身提供的資訊和詳細的說明,我們能讓客戶了解並被告知他們使用面向公眾伺服器(public-facing  servers)是非常容易受到攻擊。在與客戶進行互動時,發現他們並不知道該系統是開放的,因此需要採取糾正措施,而導致易受攻擊的系統被隔離。

調查

最初警報的檢查

Web伺服器攻擊–多個Web攻擊警報

最初的警報是多個Apache Struts動態方法調用並可遠端執行任意命令的事件浮出水面。如下圖所示,此攻擊意圖與Cyber​​ KillChain 的“ 投遞 和攻擊”階段相關。

AA.png

警報相關資訊

警報的詳細資訊中還包括相關的MITER ATT&CK 規則攻擊的ID,該ID提供了有效,迅速地收集有關此客戶系統上此特定嘗試的相關資訊的能力。此攻擊技術的被定義為“… use of software, data, or commands to take advantage of a weakness in an Internet-facing computer system or program in order to cause unintended or unanticipated behavior. The weakness in the system can be a bug, a glitch, or a design vulnerability.” 為了更好地了解所討論資產的漏洞概況,我在  AlienVault USM Anywhere中執行了經過身份驗證的漏洞掃描。結果表明存在多個Apache HTTP伺服器漏洞,完成偵察工作後,我向客戶提供了可行的資訊。

回應

BB.png

圖2 –分析師評論

客戶回應

客戶工作人員的兩名成員審核了我提供的分析,確認了我對活動漏洞的擔心,並分享了為糾正此活動而應採取的後續步驟,刪除了NAT,並終止了公共IP。

客戶的工作人員提供了有關已暴露且易受攻擊的系統以及解決持續活動的方法的補充詳細資訊。分析師指出,目標設備是數位錄像機(DVR)系統,該系統實際位於客戶的一個倉庫內,然後概述了為減輕風險而採取的措施:

  • 取消了Watchguard在倉庫中發布的規則
  • 從Watchguard配置中刪除了輔助公共IP
  • 對Watchguard的攻擊的原始IP被阻止
  • 啟用了從國外到我們在該地區的整個網路的地理位置阻止
  • 隔離DVR,直到漏洞得到緩解
  • 建立了用於對該區域中所有DVR進行獨占隔離的VLAN

儘管不可能知道攻擊者的真實意圖,但可以假定這是故意破壞DVR資產以對實際入侵目標進行監視的一種嘗試。

Source: https://cybersecurity.att.com/blogs/security-essentials/stories-from-the-soc-web-server-attack?Source=ESSZsPSPR00gensEM&wtExtndSource=20200427222800_attcyber_TWITTER_Business_N%2FA_Evergreen_N%2FA_APS+%E2%80%93+Cybersecurity_20200427_Organic_Brand_N%2FA_N%2FA_N%2FA_Awareness_No_attcyber_tw_

Threat modeling威脅模型說明:預期網路攻擊的過程

Threat modeling威脅模型說明:預期網路攻擊的過程

了解框架,方法和工具,以幫助您識別,量化和確定面臨的威脅的優先級。

A.png

威脅模型的定義

威脅模型是一個結構化的過程,IT專業人員可以通過該過程識別潛在的安全威脅和漏洞,量化每個威脅的嚴重性,並確定技術的優先級以減輕攻擊並保護IT資源。

這個寬泛的定義聽起來可能像是網路安全專業人員的職位描述,但是威脅模型的重要之處在於它是系統的和結構化的。威脅模型人員將執行一系列具體步驟,以全面了解他們試圖保護和識別漏洞和潛在攻擊者的環境。

就是說,威脅模型在某種程度上仍然像一門科學一樣,是一門藝術,並且沒有單一的規范威脅模型過程。威脅模型的實踐借鑒了各種較早的安全實踐,最著名的是1990年代開發的“ 攻擊樹 的概念。1999年,Microsoft員工Loren KohnfelderPraerit Garg在公司內部分發了一份名為“ 我們產品的威脅 的文件,該文件被許多人認為是威脅模型的第一個明確描述。

KohnfelderGarg將他們的建議稱為“ STRIDE框架”,我們將在本文後面詳細討論它的細節。但是,重要的是要知道那裡存在各種各樣的威脅模型框架和方法。一些模型具有不同的重點,而另一些模型則特定於某些IT學科例如,某些模型專門針對應用程式安全性。在本文中,我們將幫助您了解所有這些方法的共同點,以及哪種特定的技術可能適合您。

威脅模型流程和步驟

每種單獨的威脅建模方法都包含一系列略有不同的步驟,我們將在本文後面的部分中討論每個步驟的細微差別。首先,我們將看一下所有這些方法共有的基本邏輯流程。威脅模型過程最簡潔明了的概述之一來自軟體工程師Goran Aviani。正如他所說,威脅模型的目的是回答四個問題:

我們正在做什麼?

有什麼問題嗎?

我們該怎麼做?

我們做得好嗎?

反過來,威脅模型過程應包括四個主要步驟,每個步驟都會為這些問題之一提供答案。

分解應用程式或基礎架構

確定威脅

確定對策和緩解措施

排列威脅

為了準確了解這些步驟中的每個步驟,我們需要討論構成威脅模型基礎的特定技術。

推薦白皮書

威脅模型化技術

上面列出的步驟中最不熟悉的術語可能是分解。分解應用程式或基礎架構意味著什麼?軟體工程師Andrea Della Corte他說,分解應用程式包括“了解應用程式及其與外部實體的交互方式。這涉及建立案例,以了解應用程式的使用方式,確定入口點以查看潛在的攻擊者可以在哪裡與應用程式進行交互,確定資產(即攻擊者可能會感興趣的項目/區域),並標識表示應用程式將授予外部實體的訪問權限的信任級別。” (他在這裡專門談論應用程式安全性,但是顯然,從廣義上講,這也適用於對基礎結構的看法。)

分解應用程式的一種技術是構建數據流程圖。這些是在1970年代開發的,以可視方式表示數據如何在應用程式或系統中移動以及各個組件在何處更改或存儲數據。信任邊界的概念是在2000年代初期添加的,它說明了數據流中的一點,在用於威脅模型上需要對數據進行驗證,然後數據才能被接收該數據的實體使用。。

數據流程圖示例

1中的圖說明了通過網路銀行應用程式的數據流;虛線表示信任邊界,可能會在其中更改數據,並且需要採取安全措施。

B.png

1. 網路銀行應用程式的數據流程圖(來自Wei ZhangMarco Morana,以OWASP許可分發)

Redmond自己進行威脅模型化的早期,該Microsoft文檔對如何為系統或應用程式構建自己的數據流程圖進行了更深入的介紹。

由於數據流程圖是由系統工程師而不是安全專家開發的,因此它們包含了許多威脅模型不需要的開銷。數據流程圖的一種替代方法是過程流程圖。這些在總體概念上相似,但更加精簡,並且著重於用戶和執行代碼程式在系統中的移動方式,更緊密地反映了攻擊者的思維方式。ThreatModeler 在構建過程流程圖方面是很好的入門。

建立(Attack tree)攻擊樹是一種威脅模型技術,當您確定要對應用程式或基礎結構潛在威脅的階段時,它就變得非常重要。攻擊樹由90年代後期的信息安全傳奇人物Bruce Schneier開創。它們由代表不同事件的一系列父元素節點、子元素節點組成,子節點是必須滿足的條件才能使父節點為真。根節點(圖中的最高父節點)是攻擊的總體目標。借助攻擊樹,威脅建模者可以看到必須組合哪些情況才能使威脅成功。圖2顯示了一個簡單的攻擊樹,說明了病毒可能成功感染文件的不同方式。

C.png

2.攻擊樹(來自BluefoxicyCreative Common許可分發)

Hackinthebox 從攻擊者的角度很好地介紹瞭如何建立攻擊樹,這可以幫助您了解自己所面臨的威脅。

確定對策和對威脅進行排名的技術因您選擇的框架或方法而相差較大,我們將在下一節中更詳細地討論它們。

威脅模型框架和方法

威脅模型的各種結構化方法通常稱為框架或方法論(在此情況下,這兩個術語基本上可以互換使用)。其中有很多,但我們將對最受歡迎的內容進行回顧。

7種頂級威脅模型方法

  1. STRIDE模型
  2. DREAD模型
  3. PASTA模型
  4. VAST模型
  5. Trike模型
  6. OCTAVE模型
  7. NIST國家標準技術研究所模型

STRIDE威脅模型

如上所述,STRIDE是威脅模型的祖父,最早於90年代末在Microsoft開發。STRIDE代表六種威脅,每種威脅都違反了資訊安全三要素特定屬性:

欺騙或冒充真實性的他人或電腦

篡改數據,這會破壞完整性

否認性或無法將您執行的操作鏈接到您,這違反了不可否認性性

信息洩露,違反機密性

拒絕服務,這違反了可用性

特權提升,違反授權

DREAD威脅模型

DREAD被認為是STRIDE模型的一個附加組件,該模型使建模人員可以在確定威脅後對其進行排名。對於每個潛在威脅,DREAD代表六個問題:

潛在損害:如果利用漏洞,造成的損害有多大?

重現性:重現攻擊有多容易?

可利用性:發動攻擊有多容易?

受影響的用戶:大概影響了多少用戶?

可發現性:查找漏洞有多容易?

這些問題中的每一個都得到一到三個的評分。

PASTA威脅模型

PASTA代表攻擊模擬和威脅分析過程,它是一個七個步驟的過程,致力於使技術安全要求與業務目標保持一致。每個步驟都非常複雜,由幾個子步驟組成,但是總體順序如下:

定義目標

定義技術範圍

應用程序分解

威脅分析

漏洞和弱點分析

攻擊建模

風險與影響分析

VAST威脅建模

VAST代表可視化,敏捷威脅建模。該模型是 ThreatModeler(自動威脅模型平台)的基礎,該平台可以區分應用程式和運營威脅模型。VAST專為集成到圍繞devops哲學構建的工作流中而設計。

Trike威脅模型

Trike是用於威脅模型和風險評估的框架和隨附的開源工具,它從防禦的角度運行,而不是試圖模仿攻擊者的思維過程。使用Trike,您可以為要防禦的系統建模,並通過CRUD的角度評估每個組件,也就是說,誰可以建立,讀取,更新或刪除該實體。通過遍歷數據流程圖來識別威脅,每種威脅僅分為兩類:拒絕服務或特權提升。

OCTAVE威脅建模

OCTAVE代表“運營關鍵威脅,資產和漏洞評估”,是卡耐基梅隆大學開發的一種威脅模型方法,其重點是組織風險而不是技術風險。它包括三個階段:

建立基於資產的威脅配置文件

識別基礎架構漏洞

制定安全策略和計劃

NIST威脅模型

美國國家標準技術研究院擁有自己的以數據為中心的威脅方法,該方法包括四個步驟:

識別並表徵感興趣的系統和數據

識別並選擇要包含在模型中的攻擊媒介

表徵緩解攻擊媒介的安全控件

分析威脅模型

NIST草案還包括如何方法將在實踐中應用一個詳細的例子。如果您正在尋找威脅模型示例,那麼這是一個很棒的文檔,可以閱讀該文檔以了解流程如何工作。

威脅模型最佳實踐

無論選擇哪種方法,都應遵循一些實踐。也許最重要的(儘管通常在實踐中很難遵循)是使威脅建模成為系統開發過程中的優先事項。如果您可以在項目開始時做到這一點,則以後可以省去很多麻煩,因為安全的觀點將被應用到您的應用程式或系統中。

另一個最佳實踐是不要將應用程序和系統彼此隔離。Michael Santarcangelo寫道: “如果各種威脅模型以相同的方式相互連接,並且應用程式和組件作為IT系統的一部分進行交互,那麼結果將是一個全面的攻擊面,CISO可以使用該攻擊面來理解整個企業的整個威脅組合。”

我們還敦促您避免常見的威脅模型錯誤。簡短的版本:不要過於關注頭條新聞上的任何威脅;不要忘記,您的用戶可能是所有人中最大的無意威脅。並且不要忘記,威脅模型應該是有效的文檔,並且需要不斷更新。

威脅模型工具

您將注意到,上面列出的兩種方法(VASTTrike)實際上是圍繞特定的軟體工具構建的。工具也支持其他方法。例如,Microsoft提供了免費的威脅模型工具,而OWASP Foundation擁有其自己工具的桌面和Web應用程式版本。

但是實際上,這裡描述的許多方法都是概念性的,並不與任何軟體實現聯繫在一起。攻擊樹或數據流程圖可以用筆和紙繪製。正如Luca Bongiorni的演講所解釋的那樣,用於威脅模型的一些最受歡迎的工具是Microsoft VisioExcel。開始為基礎架構進行威脅模型的障礙很低回報也很高。

Source: https://www.csoonline.com/article/3537370/threat-modeling-explained-a-process-for-anticipating-cyber-attacks.html

SOC-RIG 的漏洞攻擊包事件

當我們的客戶受到AT&T Alien Labs識別出來新的資安威脅攻擊時,我們的SOC分析人員能阻止攻擊繼續的發展和延伸。請了解最新blog中關於SOC-RIG的漏洞攻擊包事件處理

 

摘要

這個blog描述了由AT&T SOC分析人員團隊針對AT&T託管威脅檢測和事件處理, 撰寫的最新安全事件調查和分析報告。

AT&T AlienLabs®Open ThreatExchange®OTX)最近建立了一個新的Pulse名為RIG Exploit Kit(RIG的漏洞攻擊包),據觀察該漏洞是向各個行業的受害者公司分發勒索軟體BroadAnalysis發現了此漏洞,BroadAnalysis 2019122日發布的白皮書中概述了該漏洞的複雜性。BroadAnalysis提供了此漏洞的生命週期的分步說明,包括所有入侵指標(IOC)。利用OTX中產生的PulseAlien Labs的威脅情資,AT&T的安全運營中心(SOC)能夠識別此威脅的最初行為,並與客戶和員工協同合作以減輕正在進行的攻擊活動。

 

調查

初步警報審查

入侵指標(IOC

RIG_IoC007.png

最初的警報是由於對OTX IOC usa.lucretius-ada[.]com(與MITRE ATT&CK的第一階段相關聯的IOC)提出的域名系統(DNSrequest而浮出水面的。

 

經過進一步審查,我們意識到此警報是根據DNSrequest而觸發的。經過初步分析,我們確定流量與終端上發生的感染沒有直接關係,因此我們有意識地決定擴大調查範圍。

 

擴大調查

事件搜索

鑑於我們作為IOC在該域上獲得了積極的成功,因此我們對與該域匹配的所有事件進行了查詢。隨後,我們發現了十二個防火牆事件,這些事件從不同的起源點傳到該域,而不是警報中找到的最初來源。匯總相關事件後,我們確定有六個唯一的來源已建立與此域的連接。

 

查看這些源設備後,根據其主機名,似乎有兩個是手機,其他設備似乎是用戶端點或可能是伺服器。這些資產不是USM Anywhere中的註冊資產;因此,我們無法獲得其他信息。鑑於對未註冊資產的了解有限,在這一點上,我們不得不依靠與客戶進行交互,以驗證這些設備是否易受攻擊,以及如何計劃我們的途徑來阻止這種威脅。

 

事件深度分析

現在,我們已經觀察到成功的網路流量到了惡意域,我們回到了Broad Analysis的白皮書。我們匹配的指標是該域上的特定URL。查看白皮書,指標是:

 

usa.lucretius-ada.com GET / zcvisitor /

 

我們從這六個來源的每個防火牆日誌中都觀察到了該URL。目前,我們可以放心地說,有六台設備已成功連接到惡意URL,並且很可能已感染了該RIG 的漏洞攻擊包。

 

審查其他指標

 

發現這些受感染的端點之後,我們開始為調查構建註釋。同時,我們查看了BroadAnalysis白皮書,以查找由這些設備執行的網際狙殺鍊的其他步驟。值得慶幸的是,我們

沒有發現任何其他指標,而且看來我們仍處於漏洞利用的第一階段。

 

回應

建立調查

鑑於情況的緊急性,我們為客戶建立了高嚴重性調查。利用USM Anywhere的功能,我們生成了CSV報告,其中包含我們能夠觀察到的全部事件活動,因此他們可以了解事件和情況。

 

附上我們的報告後,我們向客戶提供了記錄,其中包括對我們觀察到的內容的分析,建議的操作以及指標的參考。

RIG_observation.png

 

客戶互動

 

客戶的最初反饋是他們在防火牆中阻止了該域,以防止將來嘗試連結。此外,他們打開了內部的support ticket,以對受影響的電腦進行驗證並re-imaged

 

限制與機會

 

限制

  • 在此調查期間,我們只能訪問防火牆和DNS日誌。因此,我們的取證功能有限,並且嚴重依賴客戶互動來確認似乎的惡意活動。

 

機會

 

  • 與客戶合作部署其他AlienVault代理程式,將使我們能夠從正在調查的資產中收集更多遙測信息,並更快地對威脅進行分類。

竣盟科技正式成為威脅誘捕技術領導者Acalvio代理商與技術合作夥伴

恭喜竣盟科技於在 2020 年 3 月 9 日正式成為 Acalvio Technologies Inc. 的台灣代理商和指定技術合作夥伴。

Acalvio 創立於 2015 年, 總部位於美國矽谷, Acalvio 致力於提供 Advanced Threat Defense 進階威脅防禦 (ATD) 解決方案。Acalvio 的解決方案以「誘捕與數據科學」技術中的專利創新為基礎,檢測、參與並回應周邊的惡意活動。這使 DevOps 可用於 ATD,從而簡化了部署、監視和管理。

Acalvio 推出的 ShadowPlex誘捕技術平臺, 實現了新型安全防禦技術的— Fluid Deception。任何誘捕技術背後的基本思想,都是提供某種形式的虛假前端,誘使攻擊者以為自己在對真實使用者的基礎設施進行漏洞利用。

從部署角度來看,Acalvio 的 ShadowPlex 技術會在客戶網路中安裝一個小小的 agent,構建一個安全隧道,並將 IP 地址投射到本地網路 (如果不用 ShadowPlex 技術,誘餌就必須部署在本地網路了)。ShadowPlex 的後端架構,是虛擬機器和 Docker 容器的組合。虛擬機器被用於模擬網路中的主機,容器則負責應用程式和服務。

ShadowPlex 平臺的核心元素,是對手行為分析 (ABA) 功能。ABA 提供對手行為的上下文,以回顧並確定攻擊者侵入網路的路徑。ABA 有助於確認攻擊發生的根源分析。此外,ShadowPlex 中還有一個威脅分析引擎,會嘗試理解並定義攻擊中發生的事情。最終目的,是要進一步以新增的能力和洞見,強化威脅分析。Acalvio 透過內部與合作夥伴生態系統獲得的數據以豐富威脅情資,使客戶能夠從深度防禦中受益,減少誤報並獲得可採取的補救措施情資。

Acalvio 擁有美國專利的第 20、170、310、706 號, 以專利 “Tunneling for Network Deception” 為聞名而受矚目。另外, Acalvio 也在 2018 年獲得了SC Magazine 的 Trust Award和 Fortress 的 Cyber Security Award,並在 RSA 2018 Innovation Sandbox Contest, Gartner Security & Risk Management Summit 和 SINET 2018 中受到高度的肯定。

欲了解更多關於 Acalvio 請至 www.acalvio.com。

恭喜竣盟科技於在 2020 年 3 月 9 日正式成為 Acalvio Technologies Inc. 的台灣代理商和指定技術合作夥伴。Acalvio 創立於 2015 年, 總部位於美國矽谷, Acalvio 致力於提供…

Billows竣盟科技發佈於 2020年3月12日 星期四

為什麼在使用傳統特徵碼外, 也要使用關聯規則?

Signature( 特徵碼 )是用來檢測惡意行為值的資安產品。Correlation(關聯)是對事件流的處理,以識別數據量內的重要事件, 讓我們一起看兩者之間的共通和差異:

為什麼在使用傳統特徵碼外, 也要使用關聯規則? 

AT&T Cybersecurity的 Alien Labs團隊負責編寫的關聯規則,並每一天發布威脅情資的更新。當團隊中的研究人員發現新的惡意軟體家族或威脅時,我們總是找最佳方法來保護我們的客戶。

特徵碼是用來檢測已知惡意行為值的資安產品。例如:Snort / Suricata規則,防病毒簽名和YARA規則。

另一方面,關聯是事件流的處理,以便識別大量數據中的重要事件或事件模式。識別這些事件的邏輯在關聯規則中的定義。

關聯規則的好處:

  • 關聯規則是基於行為的,而不是基於特定的指標的,這使它們可以進行長期檢測,即使惡意軟體隨時間發生了變化,也可以識別惡意行為。
  • 它們可以用來映射來自不同數據源的事件,無論事件是來自網路,端點代理還是其他資安產品。這種跨平台功能使用來自不同來源的事件來執行更完整和更靈活的檢測。
  • 使用事件流的能力允許將上下文添加到檢測中,從而可以用來改善警報中反映的信息並有助於事件回應階段。

為了清楚地看到使用這些關聯規則的優勢以及它們通常如何補充傳統規則,我們將看一些示例,例如Baldr偷竊者,Ursnif銀行木馬和ALPC 0-day漏洞,以及如何找到最佳方法。

例子1:惡意軟體版本控制

在第一個例子中,我們將介紹惡意軟體家族如何隨著時間演變,以及行為和配置在版本之間如何變化。在這些情況下,簽章可能會失去其檢測標準並停止觸發警報。一個很好的例子是Baldr惡意軟體,該惡意軟體自2019年1月以來一直存在,並通過不同版本進行了重大修改。

Sophos報告, Baldr vs The World中,您可以在其中找到有關該惡意軟體的大量信息,還可以比較2.x版與3版的區別。如果我們分析一些示例以查看與之相關的網路連接,命令和控制伺服器,我們可以輕鬆地觀察每個版本發行版中引入的差異。

Baldr版本1.xx

Baldr的第一個發現版本是使用簡單的HTTP POST請求,其中包含受害者的信息(包含在URI中)。如您所見,很容易的編寫NIDS特徵碼 , 以檢測網路數據封包。

baldr1.jpg

Baldr版本2.x

在第二版或至少在2.2版及更高版本中,他們更改了先前的請求,使用XOR key對command和控制的通信進行加密。在這裡,我們可以看到最初信標,其中XOR key始終與以“;”定界符分隔的版本一起發送給受害者,使用特徵碼更難以檢測到但仍然是可能的。

baldr_version_2.jpg

Baldr版本3.x

最後,在第三個版本中,通信方法與第二個版本中使用的通信方法非常相似,但它們仍在使用XOR key。但是,他們用“〜;〜”改了分隔符,現在他們還發送了一些配置設置。這些變化迫使我們建立新的特徵碼 。

很明顯地,版本1.xx編寫的網路 特徵碼 ,不適用於版本2.x和3.x,對於2.x和3.x的簽章也會發生相同的情況。這種情況使我們認為,如果有新版本,則不會使用現有 特徵碼 進行檢測,並且每當發布新版本的惡意軟體時,我們都需要繼續研究和創立新的特徵碼 。

baldr_version_3.jpg

取而代之的是,我們可以嘗試觀察惡意軟體從初始攻擊媒介到最終command的所有動作,並控制通信並以關聯事件來建立檢測。根據對惡意軟體家族的研究,攻擊者使用了兩種不同的方法來分發和感染受害者:精心製作的ACE文件(利用WinRAR CVE-2018-20250漏洞)以及針對帶有CVE-2018-0802漏洞的Microsoft Office產品的RTF文檔。 

關聯規則可以幫助我們從初始訪問階段以及受害人系統中執行的操作中檢測到那些攻擊。這是偽相關規則的列表:

  • 從公司外部收到的具有相同發件人,主題或附件名稱的多個電子郵件,發給多個不同的收件人,並且附件的文件擴展名應包含在要監視的文件類型列表中。
  • 由WinRAR可執行文件刪除並執行的文件,尤其是如果該文件被刪除到用戶可寫文件夾中,或者壓縮文件來自電子郵件或瀏覽器下載。
  • 由Microsoft Office產品刪除並執行的文件,尤其是如果該文件被刪除到用戶可寫文件夾中,或者該文檔來自電子郵件或瀏覽器下載。

子2:具有許多指標的惡意軟體

有時,很難檢測到惡意軟體家族,因為它不使用HTTP進行信標,通信被隱藏或其他情況。當您無法檢測到通信時,一種常見的方法是跟踪所有惡意基礎結構以不斷更新指標,從而使其非常耗時且效率低下。Ursnif惡意軟體就是這種情況,這是一種銀行木馬,試圖竊取用戶信息,例如帳戶憑據。如果我們查看該惡意軟體的現有簽章,則會發現大量的NIDS 特徵碼 和YARA規則,它們試圖檢測樣本中存在的某些危害指標。

ursnif.jpg

另一方面,關聯規則可用於檢測行為中的惡意模式,並從上面討論的優點中受益。以下關聯規則可以檢測到Ursnif惡意軟體,而無需在出現新指標時進行更新或建立新特徵碼 。

  • 從外部公司收到的具有相同發件人,主題或附件名稱的多個電子郵件,發給多個不同的收件人,並且附件的文件擴展名應包含在要監視的文件類型列表中。(與第一個示例相同)
  • Microsoft Office應用程式建立一連串的可疑過程。
  • 一個合理的系統進程名由一個錯誤的父級進程建立(explorer.exe)。
  • 添加了具有自動啟動功能的註冊表項。
  • 刪除的文件帶有可疑的雙擴展名。

例子3:沒有現有特徵的新惡意軟體或攻擊

關聯規則優點的是,當新的惡意軟體或攻擊開始出現且沒有 特徵碼 可檢測到時,便會出現這種情況。在這些情況下,尋找關聯的常規規則,以查找通常不會在系統中發生的可疑行為即可。

為了解釋此例子,我們將討論影響Microsoft Windows系統的ALPC 0-day漏洞。此漏洞已公開發布,沒有任何補丁,許多系統都容易受到此漏洞的影響。由於這是本地特權升級(LPE),並且只有概念驗證(PoC)可用,因此網路和端點特徵碼不存在並且不足以檢測可能的利用。通過對用於執行特權提升的方法進行快速研究,可以檢測到威脅的關聯規則列表:

  • 從用戶可寫文件夾中刪除並以SYSTEM用戶身份執行的文件。
  • 將硬連結建立到文件並插入Task目錄,然後更改了同一文件的權限。
  • 建立新的可疑計劃任務。

重要事項

我們已經討論了當我們要創建檢測方法時關聯規則提供的好處和優點。但是,還需要考慮一些重要事項:安全性上沒有萬靈藥,最好保守一些,並補充各種方法和技術以提高檢測能力。盡可能使用常規特徵碼和IOC,因為它們的編寫和部署速度很快,並且具有很高的信心。

使用關聯規則的一些弊端是:

  • 如果設計不當,關聯規則很可能會產生誤報,因此您的團隊將需要時間和專業知識來對它們進行及時分類。
  • 花費的時間比特徵碼更多。
  • 僅提供例子是不夠的-您需要了解如何在入侵中使用它們。您需要了解行為並研究來自不同來源的大量事件。

Source: https://cybersecurity.att.com/blogs/labs-research/why-should-you-use-correlation-rules-on-top-of-traditional-signatures?Source=ESSZsPSPR00gensEM&wtExtndSource=20200204210000_attcyber_TWITTER_Business_N%2FA_Evergreen_N%2FA_APS+%E2%80%93+Cybersecurity_20200204_Organic_Brand_N%2FA_N%2FA_N%2FA_Awareness_No_attcyber_tw_

SNAKE勒索軟體是下一個針對企業網路的威脅……

Snake勒索軟體是下一個針對企業網路的威脅……

 

網路管理員們可能需要開始擔心一種名為SNAKE的新勒索軟體,該軟體針對他們的網路並旨在加密與其連接的所有設備。

 

滲透到企業網路的威脅參與者針對為企業或使用大型獵殺勒索軟體,收集管理員憑據,然後使用漏洞利用工具對網路上所有電腦上的文件進行加密。

 

針對企業的勒索軟體列表正在緩慢地增長,包括RyukBitPaymerDoppelPaymerSodinokibiMazeMegaCortexLockerGoga以及現在的SNAKE Ransomware

 

我們對SNAKE勒索軟體的了解

 上週,MalwareHunterTeam發現了Snake Ransomware,後者與Vitali Kremez分享了該信息,以進行反向工程並了解有關感染的更多信息。

 

根據Kremez進行的分析,這種勒索軟體是用Golang編寫的,並且包含的混淆程度遠高於這些類型的感染。

 

SentinelLabs負責人Kremez在一次談話中對BleepingComputer表示:“勒索軟體包含了某種程度的常規混淆,通常不會與目標方法結合使用。”

 

啟動後,SNAKE將刪除電腦的磁碟區陰影複製副本,然後終止與SCADA系統,虛擬機,工業控制系統,遠程管理工具,網路管理軟體等有關的許多進程。

 

然後,它會繼續加密設備上的文件,同時跳過Windows系統文件夾和各種系統文件中的所有文件。可以在下面找到被跳過的系統文件夾的列表:

 

windir

SystemDrive

:\$Recycle.Bin

:\ProgramData

:\Users\All Users

:\Program Files

:\Local Settings

:\Boot

:\System Volume Information

:\Recovery

\AppData\

 

加密文件時,它將在文件擴展名後附加勒索5個字符串。例如,文件中命名1.doc的將被加密,並更名為像1.docqkWbv

1.png

加密文件的文件夾

在每個加密的文件中,SNAKE Ransomware都會添加如下所示的‘ EKANS ‘文件標記。EKANS反過來就是SNAKE

2.png

EKANS文件標記

 

2013年以來,BleepingComputer已測試了許多勒索軟體,由於某些原因,與許多其他勒索軟體感染相比,SNAKE花了特別長的時間來加密我們的小型測試盒。由於這是在選擇攻擊者時執行的有針對性的勒索軟體,因此問題可能不大,因為加密很可能會在數小時後發生。

 

加密電腦後,勒索軟體將在名為Fix-Your-Files.txtC\ Users \ Public \ Desktop文件夾中創建勒索便條。該贖金記錄包含有關聯繫列出的電子郵件地址以獲取付款說明。該電子郵件地址當前為bapcocrypt@ctemplar.com

3.png

SNAKE贖金的Note

從勒索說明中的語言可以看出,該勒索軟體專門針對整個網

路而不是單個工作站。他們進一步指出,購買的任何解密器都是針對網

路的,而不是針對單個機器的,但是現在判斷它們是否會例外還為時過早。

 

IOCs

Hash

e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60

 

贖金註釋文字:

——————————————–

 

| What happened to your files?

 

——————————————–

 

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more –

 

all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don’t worry!

 

You can still get those files back and be up and running again in no time.

 

 

———————————————

 

| How to contact us to get your files back?

 

———————————————

 

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

 

Once run on an effected computer, the tool will decrypt all encrypted files – and you can resume day-to-day operations, preferably with

 

better cyber security in mind. If you are interested in purchasing the decryption tool contact us at bapcocrypt@ctemplar.com

 

 

——————————————————-

 

| How can you be certain we have the decryption tool?

 

——————————————————-

 

In your mail to us attach up to 3 files (up to 3MB, no databases or spreadsheets).

 

We will send them back to you decrypted.

 

新的Megacortex勒索軟體更改Windows密碼,威脅要發佈數據…

Bleeping Computer報導了新的Megacortex勒索軟體更改Windows密碼,威脅要發佈數據

1.png

發現了新版本的MegaCortex勒索軟體,不僅可以加密您的文件,而且現在可以更改已登錄用戶的密碼,並威脅說如果受害者不支付贖金就可以發佈受害者的文件。

對於不熟悉MegaCortex的用戶,它是通過木馬(例如Emotet)提供的網

路訪問安裝的定向勒索軟體。一旦MegaCortex參與者獲得了訪問權,他們就可以通過活動目錄控制器或後利用套件將勒索軟體推送到網路上的電腦。

MegaCortex新版本中的重大更改

在由MalwareHunterTeam發現,由Vitali Kremez反向工程,並由BleepingComputer進一步分析的勒索軟體的新樣本中,我們看到了MegaCortex的新版本,該版本與以前的變體相比有很大的變化。

受害者看到的最明顯的變化是勒索軟體正在使用新的.m3g4c0rtx 的擴展名,如下所示。

2.png

此外,MegaCortex將在加密的電腦上配置的法律聲明,以便在用戶登錄之前顯示帶有電子郵件聯繫人的基本“已被MegaCortex鎖定”勒索消息。

3.png

當執行主MegaCortex啟動器時,它將啟動兩個DLL文件和三個CMD腳本到C\ Windows \ Temp。目前,此發射器已通過Sectigo證書籤署給名為“ MURSA PTY LTD”的澳洲公司。

4.png

這些CMD文件將執行各種命令,以刪除卷影副本,使用Cipher命令擦除C\驅動器上的所有可用空間,設置法律聲明,然後清除所有用於加密電腦的文件。

Kremez在對話中告訴BleepingComputer,這兩個DLL文件用於加密電腦上的文件。一個DLL文件是一個文件迭代器,它查找要加密的文件,而另一個DLL將用於加密文件。

5.png

這些DLL不會注入到任何進程中,而是通過Rundll32.exe運作。

完成後,受害者將在桌面上找到贖金記錄,標題為!_ README _-!. rtf

6.png

經過進一步分析,我們確定至少有一種威脅是真實的。勒索軟體確實更改了受害者Windows帳戶的密碼。

MegaCortex更改受害者的Windows密碼

對於勒索軟體開發人員來說,為了嚇受害者支付錢財而製造沒有進行的威脅並不少見。

因此,當我們看到贖金通知書指出受害者的憑證已被更改時,我們將其駁回。

“您的所有用戶憑據已更改,並且您的文件已加密。”

測試勒索軟體並重新啟動加密的電腦後,我發現無法登錄我的帳戶。

Kremez對代碼進行的進一步分析證實,MegaCortex確實在更改受害者Windows帳戶的密碼。

它通過在執行勒索軟體時執行net user命令來實現。

7.png

這也解釋了為什麼攻擊者添加了一條法律提示,該提示在登錄提示處顯示,因為用戶將不再能夠登錄以存取他們的桌面。

威脅要發佈受害者的數據

除了已證實的更改用戶憑據的聲明外,攻擊者還更改了贖金記錄以聲明受害者的數據已複製到安全位置。

然後,他們威脅說,如果受害者不支付贖金,則必須公開此數據。

“我們還將您的數據下載到了安全的位置。不幸的是,如果我們未達成協議,我們別無選擇,只能將這些數據公開。

交易完成後,我們已下載的所有數據副本將被刪除。”

尚不確定攻擊者是否確實複製了受害者的文件,但是不應

打發這種威脅,受害者可能希望確認攻擊者與他們進行通訊時確實擁有他們所說的文件。

但是,如果MegaCortex參與者實際上在複製數據,受害者現在將不得不將這些攻擊視為未來的數據洩露,而不僅僅是勒索軟體感染。

這最終將為這些類型的攻擊增加一層全新的複雜性和風險。

更新11/7/19 Sectigo告訴BleepingComputer,他們已於美國東部時間115日下午4:20吊銷了該惡意軟體使用的證書。

Hashes

ca0d1e770ca8b36f6945a707be7ff1588c3df2fd47031aa471792a1480b8dd53 [Launcher]

5ff14746232a1d17e44c7d095e2ec15ede4bd01f35ae72cc36c2596274327af9 [DLL]

e362d6217aff55572dc79158fae0ac729f52c1fc5356af4612890b9bd84fbcde [DLL]

關聯文件:

!-!_README_!-!.rtf

贖金文字:

ransom.png

新的Web緩存系統中毒攻擊

新的Web緩存系統中毒攻擊, 使用CDN(內容傳遞網路)的站點

有關新的Web緩存中毒攻擊的詳細信息已經出現,這些攻擊可用於拒絕用戶訪問通過內容傳遞網路(CDN)分發的資源。

該新方法名為“緩存中毒拒絕服務(CPDoS)”,它具有多種變體,可以通過發送帶有格式錯誤的標頭的HTTP請求來工作。

通過緩存服務器進行DoS

CDN具有通過緩存客戶端經常請求的資源來減少使用其服務的原始伺服器上的通信量的特性。這樣做的直接效果是提高了性能。

CDN體系結構中的緩存系統通常分散在較大的地理區域中,以實現更好的分發,它存儲源伺服器中資源的最新版本,並在客戶端請求時將其交付給客戶端。

這些中間系統處理請求並將其轉發到目的地,等待回應和資源的新版本(如果存在)。使用標識新變體的緩存鍵可以確定資源的新鮮度。

CPDoSCDN的中間緩存系統級別工作,該緩存系統接收並存儲由錯誤的HTTP請求標頭引起的錯誤頁面。

結果,嘗試訪問相同資源的用戶將收到緩存的錯誤頁面,因為這是原始伺服器在請求後返回的帶有錯誤標頭的內容。

CPDoS_01.png

攻擊的變化

Cologne大學應用科學和德國漢堡大學的Hoai Viet NguyenLuigi Lo IaconoHannes Federrath描述了CPDoS攻擊的三種變化:

HTTP標頭超大Header OversizeHHO

HTTP元字符Meta CharacterHMC

HTTP方法覆蓋Method OverrideHMO

使用HHO類型的CPDoS攻擊,威脅參與者會利用為HTTP請求標頭設置的大小限制中間系統和Web伺服器。

如果緩存系統接受的請求標頭大小大於原始伺服器定義的請求標頭大小,則攻擊者可以使用超大請求密鑰或多個標頭來製作請求。

在這種情況下,緩存將轉發帶有多個標頭的請求,並且網

路伺服器將阻止該請求,並返回一個400 Bad Request錯誤頁面,該頁面將被緩存。以後對相同資源的請求將獲得錯誤頁面。

CPDoS_02.png

為了更好地說明這種情況,研究人員製作了一個視頻,目標是託管在Amazon CloudFront上的應用程式。

在攻擊過程中,錯誤頁面將有選擇地替換資源,直到整個網頁都不可用為止。

HTTP元字符(HMC),CPDoS攻擊的第二種變體與HHO類似,但利用了有害的元字符。這些是任何“控製字符,例如中斷/回車符(‘\ n,換行符(‘\ r’)或鈴聲(‘\ a’)”。

再次,高速緩存系統執行其工作並轉發從客戶端收到的請求。當它到達源伺服器時,它可能被分類為惡意程式,並生成一條錯誤消息,該消息被緩存並呈現給客戶端而不是所請求的資源。

CPDoS_03.png

該方法超越了攻擊(HMO),這是CPDoS的第三種變體,它從僅支持GETPOST HTTP請求方法的中間系統(例如代理,負載平衡器,緩存,防火牆)中獲利。

這轉化為阻止其他HTTP請求方法。一個提供Web應用程式指示信息以替換標頭中支持的HTTP方法的Web框架允許繞過安全策略並提供不同的安全策略,例如DELETE

CPDoS_04.png

在上圖中,GET請求被覆蓋,原始伺服器上的Web應用將其解釋為POST,並返回相應的回應。

“讓我們假設目標Web應用程式未對/index.html上的POST實現任何業務邏輯。在這種情況下,諸如Play Framework 1之類的Web框架會 回一條錯誤消息,狀態碼為404 Not Found。”

結果是該錯誤消息被緩存並用於/index.html資源的後續有效GET請求。

下面的視頻演示了CPDoS攻擊的這種變體,它使用Postman  工具測試Web服務來阻止對目標網站主頁的訪問。

影響深遠

CDN在較大的地理位置上運行,CPDoS攻擊生成的錯誤頁面可以到達多個緩存伺服器位置。

但是,研究人員發現,並非所有邊緣伺服器都受到此威脅的影響,並且某些客戶端仍將從原始服務器接收有效頁面。

在測試中,他們使用了TurboBytes Pulse(全局DNSHTTPtraceroute測試工具)和網站速度測量服務。

針對同一國家德國(法蘭克福)和(科隆)的目標發起的攻擊影響了整個歐洲和亞洲某些地區的緩存伺服器。

CPDoS_05.png

解決問題

這種DoS攻擊的標頭超大(HHO)和元字符(HHM)變體是可能的,因為它與標準HTTP實現有所不同,默認情況下,標準HTTP實現不允許存儲包含錯誤代碼的回應。

Web緩存標準只允許緩存錯誤代碼‘404 Not Found’‘405 Method Not Allowed’‘410 Gone’‘501 Not Implemented’,”研究人員在CPDoS的網站上寫道。

阻止DoS受到這些攻擊的最簡單方法是遵守HTTP標準並僅緩存上面定義的錯誤頁面。

但是,由於內容提供者使用更通用的狀態代碼,因此使用不適當的狀態代碼來處理錯誤也會啟用這些攻擊。例如,“ 400錯誤請求”用於聲明過大的標頭。正確的是“ 431請求標頭字段太大”,研究人員分析的任何系統都沒有緩存它。

針對HHOHHM CPDoS變體的全面解決方案是將錯誤頁面完全排除在緩存之外。

保護措施還包括在緩存前面設置Web應用程序防火牆(WAF),以捕獲試圖到達原始服務器的惡意內容。

存在於多個CDN上的問題

從三位學者進行的測試來看,亞馬遜的CloudFront CDN似乎最容易受到CPDoS威脅。

在研究人員測試的25個流量服務器和Web框架中,只有其中三個的HTTP實施不受CPDoS攻擊:Apache TSGoogle Cloud StorageSquid

下表顯示了此類Web緩存系統和HTTP實施的組合受此類拒絕服務的影響。

CPDoS_06.png

已將問題報告給受影響的各方,其中一些人發布了補丁或以其他式糾正了它們。

Microsoft更新了IIS Server的修復程式,並於6月發布了有關漏洞的詳細信息(CVE-2019-0941)。Play Framework還在1.5.31.4.6版本中針對HMO方法修補了其產品。

但是,並非所有供應商的反應都相同。與Flask開發人員進行了多次聯繫,但沒有回复,並且對CPDoS的彈性尚不清楚。

Amazon的安全團隊承認CloudFront的弱點,並在default的情況下停止使用狀態碼“ 400 Bad Request”緩存錯誤頁面。但是,研究人員說,溝通主要是一種方式,因為他們從未收到有關緩解進度的最新信息。

Hoai Viet NguyenLuigi Lo IaconoHannes Federrath在《您的緩存已下降:緩存中毒的拒絕服務攻擊》一文中詳細介紹了這種Web緩存中毒攻擊及其變化。

他們將在1114日於倫敦舉行的第26ACM Conference on Computer and Communications SecurityCCS)會議上發表該論文。

更新[10/23/2019]  CloudFlare回應BleepingComputer的評論請求說,它為影響其係統的CPDoS方法增加了緩解措施。

為了與HTTP方法覆蓋(HMO)對抗,該公司將特殊標頭添加到了存在這些標頭的緩存鍵中。“這確保了使用標頭發出的請求不會毒化沒有它們的請求的緩存內容。”

對於其他兩種方法(標頭超大(HHO)和元字符(HMC)),CloudFlare的系統不會緩存“ 400錯誤請求”頁面。

公司代表告訴BleepingComputer:“我們還沒有發現使用本文所述漏洞的大規模攻擊方法。”

Akamai今天發表了一篇文章,  說他們的緩存系統遵循標準的HTTP實施,並且不受CPDoS攻擊方法的影響。

但是,可以實現非標準配置,並允許緩存錯誤消息。該公司建議其客戶檢查設置的自定義是否會使他們的網站容易受到攻擊。

Source: http://spr.ly/60161yiAK