SOC-RIG 的漏洞攻擊包事件

Posted on by blogadmin

當我們的客戶受到AT&T Alien Labs識別出來新的資安威脅攻擊時,我們的SOC分析人員能阻止攻擊繼續的發展和延伸。請了解最新blog中關於SOC-RIG的漏洞攻擊包事件處理

 

摘要

這個blog描述了由AT&T SOC分析人員團隊針對AT&T託管威脅檢測和事件處理, 撰寫的最新安全事件調查和分析報告。

AT&T AlienLabs®Open ThreatExchange®OTX)最近建立了一個新的Pulse名為RIG Exploit Kit(RIG的漏洞攻擊包),據觀察該漏洞是向各個行業的受害者公司分發勒索軟體BroadAnalysis發現了此漏洞,BroadAnalysis 2019122日發布的白皮書中概述了該漏洞的複雜性。BroadAnalysis提供了此漏洞的生命週期的分步說明,包括所有入侵指標(IOC)。利用OTX中產生的PulseAlien Labs的威脅情資,AT&T的安全運營中心(SOC)能夠識別此威脅的最初行為,並與客戶和員工協同合作以減輕正在進行的攻擊活動。

 

調查

初步警報審查

入侵指標(IOC

RIG_IoC007.png

最初的警報是由於對OTX IOC usa.lucretius-ada[.]com(與MITRE ATT&CK的第一階段相關聯的IOC)提出的域名系統(DNSrequest而浮出水面的。

 

經過進一步審查,我們意識到此警報是根據DNSrequest而觸發的。經過初步分析,我們確定流量與終端上發生的感染沒有直接關係,因此我們有意識地決定擴大調查範圍。

 

擴大調查

事件搜索

鑑於我們作為IOC在該域上獲得了積極的成功,因此我們對與該域匹配的所有事件進行了查詢。隨後,我們發現了十二個防火牆事件,這些事件從不同的起源點傳到該域,而不是警報中找到的最初來源。匯總相關事件後,我們確定有六個唯一的來源已建立與此域的連接。

 

查看這些源設備後,根據其主機名,似乎有兩個是手機,其他設備似乎是用戶端點或可能是伺服器。這些資產不是USM Anywhere中的註冊資產;因此,我們無法獲得其他信息。鑑於對未註冊資產的了解有限,在這一點上,我們不得不依靠與客戶進行交互,以驗證這些設備是否易受攻擊,以及如何計劃我們的途徑來阻止這種威脅。

 

事件深度分析

現在,我們已經觀察到成功的網路流量到了惡意域,我們回到了Broad Analysis的白皮書。我們匹配的指標是該域上的特定URL。查看白皮書,指標是:

 

usa.lucretius-ada.com GET / zcvisitor /

 

我們從這六個來源的每個防火牆日誌中都觀察到了該URL。目前,我們可以放心地說,有六台設備已成功連接到惡意URL,並且很可能已感染了該RIG 的漏洞攻擊包。

 

審查其他指標

 

發現這些受感染的端點之後,我們開始為調查構建註釋。同時,我們查看了BroadAnalysis白皮書,以查找由這些設備執行的網際狙殺鍊的其他步驟。值得慶幸的是,我們

沒有發現任何其他指標,而且看來我們仍處於漏洞利用的第一階段。

 

回應

建立調查

鑑於情況的緊急性,我們為客戶建立了高嚴重性調查。利用USM Anywhere的功能,我們生成了CSV報告,其中包含我們能夠觀察到的全部事件活動,因此他們可以了解事件和情況。

 

附上我們的報告後,我們向客戶提供了記錄,其中包括對我們觀察到的內容的分析,建議的操作以及指標的參考。

RIG_observation.png

 

客戶互動

 

客戶的最初反饋是他們在防火牆中阻止了該域,以防止將來嘗試連結。此外,他們打開了內部的support ticket,以對受影響的電腦進行驗證並re-imaged

 

限制與機會

 

限制

  • 在此調查期間,我們只能訪問防火牆和DNS日誌。因此,我們的取證功能有限,並且嚴重依賴客戶互動來確認似乎的惡意活動。

 

機會

 

  • 與客戶合作部署其他AlienVault代理程式,將使我們能夠從正在調查的資產中收集更多遙測信息,並更快地對威脅進行分類。

竣盟科技正式成為威脅誘捕技術領導者Acalvio代理商與技術合作夥伴

Posted on by blogadmin

恭喜竣盟科技於在 2020 年 3 月 9 日正式成為 Acalvio Technologies Inc. 的台灣代理商和指定技術合作夥伴。

Acalvio 創立於 2015 年, 總部位於美國矽谷, Acalvio 致力於提供 Advanced Threat Defense 進階威脅防禦 (ATD) 解決方案。Acalvio 的解決方案以「誘捕與數據科學」技術中的專利創新為基礎,檢測、參與並回應周邊的惡意活動。這使 DevOps 可用於 ATD,從而簡化了部署、監視和管理。

Acalvio 推出的 ShadowPlex誘捕技術平臺, 實現了新型安全防禦技術的— Fluid Deception。任何誘捕技術背後的基本思想,都是提供某種形式的虛假前端,誘使攻擊者以為自己在對真實使用者的基礎設施進行漏洞利用。

從部署角度來看,Acalvio 的 ShadowPlex 技術會在客戶網路中安裝一個小小的 agent,構建一個安全隧道,並將 IP 地址投射到本地網路 (如果不用 ShadowPlex 技術,誘餌就必須部署在本地網路了)。ShadowPlex 的後端架構,是虛擬機器和 Docker 容器的組合。虛擬機器被用於模擬網路中的主機,容器則負責應用程式和服務。

ShadowPlex 平臺的核心元素,是對手行為分析 (ABA) 功能。ABA 提供對手行為的上下文,以回顧並確定攻擊者侵入網路的路徑。ABA 有助於確認攻擊發生的根源分析。此外,ShadowPlex 中還有一個威脅分析引擎,會嘗試理解並定義攻擊中發生的事情。最終目的,是要進一步以新增的能力和洞見,強化威脅分析。Acalvio 透過內部與合作夥伴生態系統獲得的數據以豐富威脅情資,使客戶能夠從深度防禦中受益,減少誤報並獲得可採取的補救措施情資。

Acalvio 擁有美國專利的第 20、170、310、706 號, 以專利 “Tunneling for Network Deception” 為聞名而受矚目。另外, Acalvio 也在 2018 年獲得了SC Magazine 的 Trust Award和 Fortress 的 Cyber Security Award,並在 RSA 2018 Innovation Sandbox Contest, Gartner Security & Risk Management Summit 和 SINET 2018 中受到高度的肯定。

欲了解更多關於 Acalvio 請至 www.acalvio.com。

恭喜竣盟科技於在 2020 年 3 月 9 日正式成為 Acalvio Technologies Inc. 的台灣代理商和指定技術合作夥伴。Acalvio 創立於 2015 年, 總部位於美國矽谷, Acalvio 致力於提供…

Billows竣盟科技發佈於 2020年3月12日 星期四

為什麼在使用傳統特徵碼外, 也要使用關聯規則?

Posted on by blogadmin

Signature( 特徵碼 )是用來檢測惡意行為值的資安產品。Correlation(關聯)是對事件流的處理,以識別數據量內的重要事件, 讓我們一起看兩者之間的共通和差異:

為什麼在使用傳統特徵碼外, 也要使用關聯規則? 

AT&T Cybersecurity的 Alien Labs團隊負責編寫的關聯規則,並每一天發布威脅情資的更新。當團隊中的研究人員發現新的惡意軟體家族或威脅時,我們總是找最佳方法來保護我們的客戶。

特徵碼是用來檢測已知惡意行為值的資安產品。例如:Snort / Suricata規則,防病毒簽名和YARA規則。

另一方面,關聯是事件流的處理,以便識別大量數據中的重要事件或事件模式。識別這些事件的邏輯在關聯規則中的定義。

關聯規則的好處:

  • 關聯規則是基於行為的,而不是基於特定的指標的,這使它們可以進行長期檢測,即使惡意軟體隨時間發生了變化,也可以識別惡意行為。
  • 它們可以用來映射來自不同數據源的事件,無論事件是來自網路,端點代理還是其他資安產品。這種跨平台功能使用來自不同來源的事件來執行更完整和更靈活的檢測。
  • 使用事件流的能力允許將上下文添加到檢測中,從而可以用來改善警報中反映的信息並有助於事件回應階段。

為了清楚地看到使用這些關聯規則的優勢以及它們通常如何補充傳統規則,我們將看一些示例,例如Baldr偷竊者,Ursnif銀行木馬和ALPC 0-day漏洞,以及如何找到最佳方法。

例子1:惡意軟體版本控制

在第一個例子中,我們將介紹惡意軟體家族如何隨著時間演變,以及行為和配置在版本之間如何變化。在這些情況下,簽章可能會失去其檢測標準並停止觸發警報。一個很好的例子是Baldr惡意軟體,該惡意軟體自2019年1月以來一直存在,並通過不同版本進行了重大修改。

Sophos報告, Baldr vs The World中,您可以在其中找到有關該惡意軟體的大量信息,還可以比較2.x版與3版的區別。如果我們分析一些示例以查看與之相關的網路連接,命令和控制伺服器,我們可以輕鬆地觀察每個版本發行版中引入的差異。

Baldr版本1.xx

Baldr的第一個發現版本是使用簡單的HTTP POST請求,其中包含受害者的信息(包含在URI中)。如您所見,很容易的編寫NIDS特徵碼 , 以檢測網路數據封包。

baldr1.jpg

Baldr版本2.x

在第二版或至少在2.2版及更高版本中,他們更改了先前的請求,使用XOR key對command和控制的通信進行加密。在這裡,我們可以看到最初信標,其中XOR key始終與以“;”定界符分隔的版本一起發送給受害者,使用特徵碼更難以檢測到但仍然是可能的。

baldr_version_2.jpg

Baldr版本3.x

最後,在第三個版本中,通信方法與第二個版本中使用的通信方法非常相似,但它們仍在使用XOR key。但是,他們用“〜;〜”改了分隔符,現在他們還發送了一些配置設置。這些變化迫使我們建立新的特徵碼 。

很明顯地,版本1.xx編寫的網路 特徵碼 ,不適用於版本2.x和3.x,對於2.x和3.x的簽章也會發生相同的情況。這種情況使我們認為,如果有新版本,則不會使用現有 特徵碼 進行檢測,並且每當發布新版本的惡意軟體時,我們都需要繼續研究和創立新的特徵碼 。

baldr_version_3.jpg

取而代之的是,我們可以嘗試觀察惡意軟體從初始攻擊媒介到最終command的所有動作,並控制通信並以關聯事件來建立檢測。根據對惡意軟體家族的研究,攻擊者使用了兩種不同的方法來分發和感染受害者:精心製作的ACE文件(利用WinRAR CVE-2018-20250漏洞)以及針對帶有CVE-2018-0802漏洞的Microsoft Office產品的RTF文檔。 

關聯規則可以幫助我們從初始訪問階段以及受害人系統中執行的操作中檢測到那些攻擊。這是偽相關規則的列表:

  • 從公司外部收到的具有相同發件人,主題或附件名稱的多個電子郵件,發給多個不同的收件人,並且附件的文件擴展名應包含在要監視的文件類型列表中。
  • 由WinRAR可執行文件刪除並執行的文件,尤其是如果該文件被刪除到用戶可寫文件夾中,或者壓縮文件來自電子郵件或瀏覽器下載。
  • 由Microsoft Office產品刪除並執行的文件,尤其是如果該文件被刪除到用戶可寫文件夾中,或者該文檔來自電子郵件或瀏覽器下載。

子2:具有許多指標的惡意軟體

有時,很難檢測到惡意軟體家族,因為它不使用HTTP進行信標,通信被隱藏或其他情況。當您無法檢測到通信時,一種常見的方法是跟踪所有惡意基礎結構以不斷更新指標,從而使其非常耗時且效率低下。Ursnif惡意軟體就是這種情況,這是一種銀行木馬,試圖竊取用戶信息,例如帳戶憑據。如果我們查看該惡意軟體的現有簽章,則會發現大量的NIDS 特徵碼 和YARA規則,它們試圖檢測樣本中存在的某些危害指標。

ursnif.jpg

另一方面,關聯規則可用於檢測行為中的惡意模式,並從上面討論的優點中受益。以下關聯規則可以檢測到Ursnif惡意軟體,而無需在出現新指標時進行更新或建立新特徵碼 。

  • 從外部公司收到的具有相同發件人,主題或附件名稱的多個電子郵件,發給多個不同的收件人,並且附件的文件擴展名應包含在要監視的文件類型列表中。(與第一個示例相同)
  • Microsoft Office應用程式建立一連串的可疑過程。
  • 一個合理的系統進程名由一個錯誤的父級進程建立(explorer.exe)。
  • 添加了具有自動啟動功能的註冊表項。
  • 刪除的文件帶有可疑的雙擴展名。

例子3:沒有現有特徵的新惡意軟體或攻擊

關聯規則優點的是,當新的惡意軟體或攻擊開始出現且沒有 特徵碼 可檢測到時,便會出現這種情況。在這些情況下,尋找關聯的常規規則,以查找通常不會在系統中發生的可疑行為即可。

為了解釋此例子,我們將討論影響Microsoft Windows系統的ALPC 0-day漏洞。此漏洞已公開發布,沒有任何補丁,許多系統都容易受到此漏洞的影響。由於這是本地特權升級(LPE),並且只有概念驗證(PoC)可用,因此網路和端點特徵碼不存在並且不足以檢測可能的利用。通過對用於執行特權提升的方法進行快速研究,可以檢測到威脅的關聯規則列表:

  • 從用戶可寫文件夾中刪除並以SYSTEM用戶身份執行的文件。
  • 將硬連結建立到文件並插入Task目錄,然後更改了同一文件的權限。
  • 建立新的可疑計劃任務。

重要事項

我們已經討論了當我們要創建檢測方法時關聯規則提供的好處和優點。但是,還需要考慮一些重要事項:安全性上沒有萬靈藥,最好保守一些,並補充各種方法和技術以提高檢測能力。盡可能使用常規特徵碼和IOC,因為它們的編寫和部署速度很快,並且具有很高的信心。

使用關聯規則的一些弊端是:

  • 如果設計不當,關聯規則很可能會產生誤報,因此您的團隊將需要時間和專業知識來對它們進行及時分類。
  • 花費的時間比特徵碼更多。
  • 僅提供例子是不夠的-您需要了解如何在入侵中使用它們。您需要了解行為並研究來自不同來源的大量事件。

Source: https://cybersecurity.att.com/blogs/labs-research/why-should-you-use-correlation-rules-on-top-of-traditional-signatures?Source=ESSZsPSPR00gensEM&wtExtndSource=20200204210000_attcyber_TWITTER_Business_N%2FA_Evergreen_N%2FA_APS+%E2%80%93+Cybersecurity_20200204_Organic_Brand_N%2FA_N%2FA_N%2FA_Awareness_No_attcyber_tw_

SNAKE勒索軟體是下一個針對企業網路的威脅……

Posted on by blogadmin

Snake勒索軟體是下一個針對企業網路的威脅……

 

網路管理員們可能需要開始擔心一種名為SNAKE的新勒索軟體,該軟體針對他們的網路並旨在加密與其連接的所有設備。

 

滲透到企業網路的威脅參與者針對為企業或使用大型獵殺勒索軟體,收集管理員憑據,然後使用漏洞利用工具對網路上所有電腦上的文件進行加密。

 

針對企業的勒索軟體列表正在緩慢地增長,包括RyukBitPaymerDoppelPaymerSodinokibiMazeMegaCortexLockerGoga以及現在的SNAKE Ransomware

 

我們對SNAKE勒索軟體的了解

 上週,MalwareHunterTeam發現了Snake Ransomware,後者與Vitali Kremez分享了該信息,以進行反向工程並了解有關感染的更多信息。

 

根據Kremez進行的分析,這種勒索軟體是用Golang編寫的,並且包含的混淆程度遠高於這些類型的感染。

 

SentinelLabs負責人Kremez在一次談話中對BleepingComputer表示:“勒索軟體包含了某種程度的常規混淆,通常不會與目標方法結合使用。”

 

啟動後,SNAKE將刪除電腦的磁碟區陰影複製副本,然後終止與SCADA系統,虛擬機,工業控制系統,遠程管理工具,網路管理軟體等有關的許多進程。

 

然後,它會繼續加密設備上的文件,同時跳過Windows系統文件夾和各種系統文件中的所有文件。可以在下面找到被跳過的系統文件夾的列表:

 

windir

SystemDrive

:\$Recycle.Bin

:\ProgramData

:\Users\All Users

:\Program Files

:\Local Settings

:\Boot

:\System Volume Information

:\Recovery

\AppData\

 

加密文件時,它將在文件擴展名後附加勒索5個字符串。例如,文件中命名1.doc的將被加密,並更名為像1.docqkWbv

1.png

加密文件的文件夾

在每個加密的文件中,SNAKE Ransomware都會添加如下所示的‘ EKANS ‘文件標記。EKANS反過來就是SNAKE

2.png

EKANS文件標記

 

2013年以來,BleepingComputer已測試了許多勒索軟體,由於某些原因,與許多其他勒索軟體感染相比,SNAKE花了特別長的時間來加密我們的小型測試盒。由於這是在選擇攻擊者時執行的有針對性的勒索軟體,因此問題可能不大,因為加密很可能會在數小時後發生。

 

加密電腦後,勒索軟體將在名為Fix-Your-Files.txtC\ Users \ Public \ Desktop文件夾中創建勒索便條。該贖金記錄包含有關聯繫列出的電子郵件地址以獲取付款說明。該電子郵件地址當前為bapcocrypt@ctemplar.com

3.png

SNAKE贖金的Note

從勒索說明中的語言可以看出,該勒索軟體專門針對整個網

路而不是單個工作站。他們進一步指出,購買的任何解密器都是針對網

路的,而不是針對單個機器的,但是現在判斷它們是否會例外還為時過早。

 

IOCs

Hash

e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c168b60

 

贖金註釋文字:

——————————————–

 

| What happened to your files?

 

——————————————–

 

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more –

 

all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don’t worry!

 

You can still get those files back and be up and running again in no time.

 

 

———————————————

 

| How to contact us to get your files back?

 

———————————————

 

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

 

Once run on an effected computer, the tool will decrypt all encrypted files – and you can resume day-to-day operations, preferably with

 

better cyber security in mind. If you are interested in purchasing the decryption tool contact us at bapcocrypt@ctemplar.com

 

 

——————————————————-

 

| How can you be certain we have the decryption tool?

 

——————————————————-

 

In your mail to us attach up to 3 files (up to 3MB, no databases or spreadsheets).

 

We will send them back to you decrypted.

 

新的Megacortex勒索軟體更改Windows密碼,威脅要發佈數據…

Posted on by blogadmin

Bleeping Computer報導了新的Megacortex勒索軟體更改Windows密碼,威脅要發佈數據

1.png

發現了新版本的MegaCortex勒索軟體,不僅可以加密您的文件,而且現在可以更改已登錄用戶的密碼,並威脅說如果受害者不支付贖金就可以發佈受害者的文件。

對於不熟悉MegaCortex的用戶,它是通過木馬(例如Emotet)提供的網

路訪問安裝的定向勒索軟體。一旦MegaCortex參與者獲得了訪問權,他們就可以通過活動目錄控制器或後利用套件將勒索軟體推送到網路上的電腦。

MegaCortex新版本中的重大更改

在由MalwareHunterTeam發現,由Vitali Kremez反向工程,並由BleepingComputer進一步分析的勒索軟體的新樣本中,我們看到了MegaCortex的新版本,該版本與以前的變體相比有很大的變化。

受害者看到的最明顯的變化是勒索軟體正在使用新的.m3g4c0rtx 的擴展名,如下所示。

2.png

此外,MegaCortex將在加密的電腦上配置的法律聲明,以便在用戶登錄之前顯示帶有電子郵件聯繫人的基本“已被MegaCortex鎖定”勒索消息。

3.png

當執行主MegaCortex啟動器時,它將啟動兩個DLL文件和三個CMD腳本到C\ Windows \ Temp。目前,此發射器已通過Sectigo證書籤署給名為“ MURSA PTY LTD”的澳洲公司。

4.png

這些CMD文件將執行各種命令,以刪除卷影副本,使用Cipher命令擦除C\驅動器上的所有可用空間,設置法律聲明,然後清除所有用於加密電腦的文件。

Kremez在對話中告訴BleepingComputer,這兩個DLL文件用於加密電腦上的文件。一個DLL文件是一個文件迭代器,它查找要加密的文件,而另一個DLL將用於加密文件。

5.png

這些DLL不會注入到任何進程中,而是通過Rundll32.exe運作。

完成後,受害者將在桌面上找到贖金記錄,標題為!_ README _-!. rtf

6.png

經過進一步分析,我們確定至少有一種威脅是真實的。勒索軟體確實更改了受害者Windows帳戶的密碼。

MegaCortex更改受害者的Windows密碼

對於勒索軟體開發人員來說,為了嚇受害者支付錢財而製造沒有進行的威脅並不少見。

因此,當我們看到贖金通知書指出受害者的憑證已被更改時,我們將其駁回。

“您的所有用戶憑據已更改,並且您的文件已加密。”

測試勒索軟體並重新啟動加密的電腦後,我發現無法登錄我的帳戶。

Kremez對代碼進行的進一步分析證實,MegaCortex確實在更改受害者Windows帳戶的密碼。

它通過在執行勒索軟體時執行net user命令來實現。

7.png

這也解釋了為什麼攻擊者添加了一條法律提示,該提示在登錄提示處顯示,因為用戶將不再能夠登錄以存取他們的桌面。

威脅要發佈受害者的數據

除了已證實的更改用戶憑據的聲明外,攻擊者還更改了贖金記錄以聲明受害者的數據已複製到安全位置。

然後,他們威脅說,如果受害者不支付贖金,則必須公開此數據。

“我們還將您的數據下載到了安全的位置。不幸的是,如果我們未達成協議,我們別無選擇,只能將這些數據公開。

交易完成後,我們已下載的所有數據副本將被刪除。”

尚不確定攻擊者是否確實複製了受害者的文件,但是不應

打發這種威脅,受害者可能希望確認攻擊者與他們進行通訊時確實擁有他們所說的文件。

但是,如果MegaCortex參與者實際上在複製數據,受害者現在將不得不將這些攻擊視為未來的數據洩露,而不僅僅是勒索軟體感染。

這最終將為這些類型的攻擊增加一層全新的複雜性和風險。

更新11/7/19 Sectigo告訴BleepingComputer,他們已於美國東部時間115日下午4:20吊銷了該惡意軟體使用的證書。

Hashes

ca0d1e770ca8b36f6945a707be7ff1588c3df2fd47031aa471792a1480b8dd53 [Launcher]

5ff14746232a1d17e44c7d095e2ec15ede4bd01f35ae72cc36c2596274327af9 [DLL]

e362d6217aff55572dc79158fae0ac729f52c1fc5356af4612890b9bd84fbcde [DLL]

關聯文件:

!-!_README_!-!.rtf

贖金文字:

ransom.png

新的Web緩存系統中毒攻擊

Posted on by blogadmin

新的Web緩存系統中毒攻擊, 使用CDN(內容傳遞網路)的站點

有關新的Web緩存中毒攻擊的詳細信息已經出現,這些攻擊可用於拒絕用戶訪問通過內容傳遞網路(CDN)分發的資源。

該新方法名為“緩存中毒拒絕服務(CPDoS)”,它具有多種變體,可以通過發送帶有格式錯誤的標頭的HTTP請求來工作。

通過緩存服務器進行DoS

CDN具有通過緩存客戶端經常請求的資源來減少使用其服務的原始伺服器上的通信量的特性。這樣做的直接效果是提高了性能。

CDN體系結構中的緩存系統通常分散在較大的地理區域中,以實現更好的分發,它存儲源伺服器中資源的最新版本,並在客戶端請求時將其交付給客戶端。

這些中間系統處理請求並將其轉發到目的地,等待回應和資源的新版本(如果存在)。使用標識新變體的緩存鍵可以確定資源的新鮮度。

CPDoSCDN的中間緩存系統級別工作,該緩存系統接收並存儲由錯誤的HTTP請求標頭引起的錯誤頁面。

結果,嘗試訪問相同資源的用戶將收到緩存的錯誤頁面,因為這是原始伺服器在請求後返回的帶有錯誤標頭的內容。

CPDoS_01.png

攻擊的變化

Cologne大學應用科學和德國漢堡大學的Hoai Viet NguyenLuigi Lo IaconoHannes Federrath描述了CPDoS攻擊的三種變化:

HTTP標頭超大Header OversizeHHO

HTTP元字符Meta CharacterHMC

HTTP方法覆蓋Method OverrideHMO

使用HHO類型的CPDoS攻擊,威脅參與者會利用為HTTP請求標頭設置的大小限制中間系統和Web伺服器。

如果緩存系統接受的請求標頭大小大於原始伺服器定義的請求標頭大小,則攻擊者可以使用超大請求密鑰或多個標頭來製作請求。

在這種情況下,緩存將轉發帶有多個標頭的請求,並且網

路伺服器將阻止該請求,並返回一個400 Bad Request錯誤頁面,該頁面將被緩存。以後對相同資源的請求將獲得錯誤頁面。

CPDoS_02.png

為了更好地說明這種情況,研究人員製作了一個視頻,目標是託管在Amazon CloudFront上的應用程式。

在攻擊過程中,錯誤頁面將有選擇地替換資源,直到整個網頁都不可用為止。

HTTP元字符(HMC),CPDoS攻擊的第二種變體與HHO類似,但利用了有害的元字符。這些是任何“控製字符,例如中斷/回車符(‘\ n,換行符(‘\ r’)或鈴聲(‘\ a’)”。

再次,高速緩存系統執行其工作並轉發從客戶端收到的請求。當它到達源伺服器時,它可能被分類為惡意程式,並生成一條錯誤消息,該消息被緩存並呈現給客戶端而不是所請求的資源。

CPDoS_03.png

該方法超越了攻擊(HMO),這是CPDoS的第三種變體,它從僅支持GETPOST HTTP請求方法的中間系統(例如代理,負載平衡器,緩存,防火牆)中獲利。

這轉化為阻止其他HTTP請求方法。一個提供Web應用程式指示信息以替換標頭中支持的HTTP方法的Web框架允許繞過安全策略並提供不同的安全策略,例如DELETE

CPDoS_04.png

在上圖中,GET請求被覆蓋,原始伺服器上的Web應用將其解釋為POST,並返回相應的回應。

“讓我們假設目標Web應用程式未對/index.html上的POST實現任何業務邏輯。在這種情況下,諸如Play Framework 1之類的Web框架會 回一條錯誤消息,狀態碼為404 Not Found。”

結果是該錯誤消息被緩存並用於/index.html資源的後續有效GET請求。

下面的視頻演示了CPDoS攻擊的這種變體,它使用Postman  工具測試Web服務來阻止對目標網站主頁的訪問。

影響深遠

CDN在較大的地理位置上運行,CPDoS攻擊生成的錯誤頁面可以到達多個緩存伺服器位置。

但是,研究人員發現,並非所有邊緣伺服器都受到此威脅的影響,並且某些客戶端仍將從原始服務器接收有效頁面。

在測試中,他們使用了TurboBytes Pulse(全局DNSHTTPtraceroute測試工具)和網站速度測量服務。

針對同一國家德國(法蘭克福)和(科隆)的目標發起的攻擊影響了整個歐洲和亞洲某些地區的緩存伺服器。

CPDoS_05.png

解決問題

這種DoS攻擊的標頭超大(HHO)和元字符(HHM)變體是可能的,因為它與標準HTTP實現有所不同,默認情況下,標準HTTP實現不允許存儲包含錯誤代碼的回應。

Web緩存標準只允許緩存錯誤代碼‘404 Not Found’‘405 Method Not Allowed’‘410 Gone’‘501 Not Implemented’,”研究人員在CPDoS的網站上寫道。

阻止DoS受到這些攻擊的最簡單方法是遵守HTTP標準並僅緩存上面定義的錯誤頁面。

但是,由於內容提供者使用更通用的狀態代碼,因此使用不適當的狀態代碼來處理錯誤也會啟用這些攻擊。例如,“ 400錯誤請求”用於聲明過大的標頭。正確的是“ 431請求標頭字段太大”,研究人員分析的任何系統都沒有緩存它。

針對HHOHHM CPDoS變體的全面解決方案是將錯誤頁面完全排除在緩存之外。

保護措施還包括在緩存前面設置Web應用程序防火牆(WAF),以捕獲試圖到達原始服務器的惡意內容。

存在於多個CDN上的問題

從三位學者進行的測試來看,亞馬遜的CloudFront CDN似乎最容易受到CPDoS威脅。

在研究人員測試的25個流量服務器和Web框架中,只有其中三個的HTTP實施不受CPDoS攻擊:Apache TSGoogle Cloud StorageSquid

下表顯示了此類Web緩存系統和HTTP實施的組合受此類拒絕服務的影響。

CPDoS_06.png

已將問題報告給受影響的各方,其中一些人發布了補丁或以其他式糾正了它們。

Microsoft更新了IIS Server的修復程式,並於6月發布了有關漏洞的詳細信息(CVE-2019-0941)。Play Framework還在1.5.31.4.6版本中針對HMO方法修補了其產品。

但是,並非所有供應商的反應都相同。與Flask開發人員進行了多次聯繫,但沒有回复,並且對CPDoS的彈性尚不清楚。

Amazon的安全團隊承認CloudFront的弱點,並在default的情況下停止使用狀態碼“ 400 Bad Request”緩存錯誤頁面。但是,研究人員說,溝通主要是一種方式,因為他們從未收到有關緩解進度的最新信息。

Hoai Viet NguyenLuigi Lo IaconoHannes Federrath在《您的緩存已下降:緩存中毒的拒絕服務攻擊》一文中詳細介紹了這種Web緩存中毒攻擊及其變化。

他們將在1114日於倫敦舉行的第26ACM Conference on Computer and Communications SecurityCCS)會議上發表該論文。

更新[10/23/2019]  CloudFlare回應BleepingComputer的評論請求說,它為影響其係統的CPDoS方法增加了緩解措施。

為了與HTTP方法覆蓋(HMO)對抗,該公司將特殊標頭添加到了存在這些標頭的緩存鍵中。“這確保了使用標頭發出的請求不會毒化沒有它們的請求的緩存內容。”

對於其他兩種方法(標頭超大(HHO)和元字符(HMC)),CloudFlare的系統不會緩存“ 400錯誤請求”頁面。

公司代表告訴BleepingComputer:“我們還沒有發現使用本文所述漏洞的大規模攻擊方法。”

Akamai今天發表了一篇文章,  說他們的緩存系統遵循標準的HTTP實施,並且不受CPDoS攻擊方法的影響。

但是,可以實現非標準配置,並允許緩存錯誤消息。該公司建議其客戶檢查設置的自定義是否會使他們的網站容易受到攻擊。

Source: http://spr.ly/60161yiAK

Open Threat Exchange(OTX)的新功能

Posted on by blogadmin

AT & T Cyber​​security一直在努力持續開發Open Threat ExchangeOTX)平台。 以下是最新消息和下一步的消息

OTX的新功能

AT&T Alien LabsOpen Threat Exchange (OTX)開發團隊一直在努力工作,持續對OTX平台進行的開發。你們可能已經注意到,去年我們增加了一些令人興奮的新功能,使OTX社區對不斷發展的威脅和新出現的威脅有更多的了解。

惡意軟體分析使所有人受益

OTX中最大(也是最新)的新功能是能夠提交到我們的後端AT&T Alien Labs系統中進行分析樣本的功能。(Alien LabsAT&T網路安全的威脅情報部門。)您現在可以上傳文件和URL進行分析,並在幾分鐘之內得到結果,可以通過OTX Portal(如下所示)或以程式通過API進行提交。

a.png

在“ Submit Sample提交樣本”頁面上,您將能夠看到所有提交的內容以及指向結果的鏈接。而且,如果您擔心包含敏感信息的示例,您可使用OTX的交通燈號協議(TLP)將提交的文件和URL設為私有。

Pulse的增強功能

您可以通過單擊按鈕輕鬆地將result indicator 新增到新的Pulse中。實際上,您也可以從任何indicator的詳細信息頁面使用新的“Add to Pulse”按鈕。

b.png

談到Pulse,我們已經將OTX可以自動提取IOC的文件類型添加到列表中,現在也包括PCAP和電子郵件。

newpulse.png

您還可以一次編輯多個indicator,從而使Pulse的建立更加容易。

aa.png

我們還通過針對惡意軟體家族和威脅參與者的自動建議,使Pulse在添加更多詳細信息變得更容易。只需在associated fields(相關領域)進行輸入,OTX將提供建議列表。此外,OTX也會從資源(例如Blog或威脅報告)中識別MITER ATT& CK ID,並將此信息自動添加到Pulse中。

bb.png

CVSS v3嚴重性分數

我們還新增了對CVSS v3的支援,因此您現在可以引用和參考CVSS v2v3嚴重性信息。

cc.png

And more

我們還對Passive DNS data進行了改進,並增加了Linux沙箱對ARMx86x64的支援。

What’s coming next…..

  • 重新設計並增強了文件indicator的詳細信息頁面
  • 改進的IoC搜索功能
  • 能夠從Pulse電子郵件中啟動端點掃描

請持續關注,因為我們還有更多很棒的東西要來!

Source: http://spr.ly/60151EaFN

如何在2019年管理物聯網(IoT)的安全

Posted on by blogadmin

AT & T Cyber​​security物聯網解決方案實踐負責人Mike Feeney, 與我們在一起探索和瞭解, 如何在2019年管理物聯網(IoT)的安全

物聯網安全的挑戰

歡迎來到物聯網(IoT)世界,並展望未來。物聯網是物理世界與數位世界融合的地方。我們預計很快世界物聯網人口將比人口總數增加十倍,到2025年,可能有多達800億個互聯網設備。

當您目睹物聯網的全球和經濟增長加速時,您可能想知道您和您的企業如何建立聯繫並參與由物聯網創造的數萬億美元的機會。

對於每個人來說,這意味著不同的事物從連接的汽車到智能燈柱,可穿戴式健康監護器或工廠車間裝配線上的機器人。它甚至可能是—-在農場的田野上有一群小型的太陽能傳感器。

無論採用哪種方式,都面臨著艱鉅的任務:物聯網的加速,再加上這些設備的多樣性,其不同的功能以及可以部署的地方和方式,這使安全性成為一個獨特的挑戰。

您需要以一致的方式為您為業務的未來構想,部署和建立IoT的各個方面和維護安全性。

通過採用整體,多層的方法來保護您的IoT生態系統,它們連接的其他寶貴資產以及它們所在的物理世界,這一切就在您的範圍之內。

物聯網安全需求的解決方案,通過分層方法保護您的物聯網。

每個物聯網生態系統都有其獨特的安全需求。即使對於單個客戶端,看似相似的IoT部署也可能具有不同的基礎設計。例如,今天建造的工廠可能與幾年前建造的工廠完全不同。這意味著可能需要組合不同的解決方案以幫助為每個解決方案提供安全性。

物聯網的全面安全評估是一個多層過程。每層都需要照顧和關注。某些端點設備很複雜,可以通過多種方式訪問設備的內部功能。其他的則很簡單,

但在安全性方面落後於智能手機多年,您知道設備的安全功能嗎?

端點之間可以相互連接,可以通過網關相互連接,也可以與其他網路,Internet以及雲連接。他們可能使用包括有線,無線,短距離,行動和衛星的連接。有什麼可能破壞他們的溝通?

為了使IoT部署成功,必須從設備中獲取,傳輸,處理和使用數據。您如何提供對重要數據和應用程式的信任和適當訪問?

意識到某些物聯網生態系統可能與傳統的IT環境大相徑庭。工業物聯網部署使用運營技術,該技術可在經典模型上翻轉腳本以達到信息安全。可用性和完整性是重中之重,而機密性通常不是一個考慮因素。這需要專門的被動掃描工具來執行評估。對製造或公用事業流程的輕微破壞會導致巨大的財務損失。這方面的一個例子是一家工廠,每分鐘生產一輛皮卡車它負擔不起停機時間。對生命敏感的設備將影響補救和回應計劃。因此,例如,一個連接的醫療設備,例如胰島素泵,即使您認為有人正在訪問數據,也不想禁用該設備。

您處理設備威脅的正式計劃是什麼?你測試過了嗎?

高度保護與其他網路資產的連接

根據其定義,物聯網意味著您的設備將連接到外部世界,因此,世界可能會訪問您的設備以及它們所連接的所有其他設備。

您需要評估IoT網路如何連接到傳統IT網路。您是否在製定計劃時就建立了IoT網路,還是在部署新設備時臨時增加了它們?您知道分割它們並優化它們如何互連的最佳方法嗎?

一封打開的網路釣魚電子郵件可能會破壞您整個業務的利潤。您如何為傳統IT資產提供安全性以及如何防止IoT生態系統遭到破壞?

有條不紊地評估實際的風險

許多組織並不知道他們已經在使用大量的物聯網設備,以及這些設備如何影響網路安全性,隱私和人為風險。物聯網設備可以感知甚至改變其環境。因此,應分析和解決設備到設備,設備到系統以及設備到人的交互的潛在風險和嚴重性。

潛在威脅包括人,車輛,生物危害和自然災害。物聯網很容易遭到破壞,盜竊或污染。當您的設備有損壞,毀壞或被盜, 你有沒有其他的計劃?

依賴性和接近危險也成為考慮因素。例如,水處理設施最依賴於它們與電網的連接。遭受龍捲風警報系統的攻擊會導致911呼叫系統過載,從而引起廣泛的恐慌。您是否已預見到可能的結果,以計劃對抗骨牌效應?

經濟影響可能不僅限於您所在的地區,還包括周邊地區和人口。您是否考慮過這些影響可能是什麼?

有很多要考慮的問題。但是這些挑戰不會隨著時間而改變。所以問題是:您真的要等待,還是準備好現在就開始利用物聯網?您將如何保護物聯網世界的未來?

需要牢記的最佳物聯網安全實踐

了解現在和將來物聯網的實際外觀,成為您的IoT設備的清單,以及這些設備如何影響網路安全性,隱私和人為風險。

使物聯網成為您的網路安全計劃是不可或缺的一部分。過去“先連接它,然後再保護它”的通常做法是不可行的。進行端到端網路安全風險評估,將物聯網視為您整體風險的一部分。

請記住,物聯網安全需要分層的方法。您想確保端點設備,它們的通信(有線和無線網路和網關)以及它們的數據和應用程式受到高度保護。

注意物理世界中的物聯網生態系統風險。理想情況下,全面的IoT安全評估應包括物理環境,以及由人,車,生物危害和自然災害等威脅對連接設備造成的風險。

結論:我們從這裡去到那裡?

隨著物聯網的不斷發展,它將提供更多新的令人興奮的方式來轉變和發展您的業務。物聯網的未來將為您帶來新的機遇,以及新的安全風險和注意事項。您不必等待為物聯網提供安全性以使您的業務受益,您只需採取正確的方法即可。

現在是進入物聯網未來世界的最佳時機。

Source: http://spr.ly/60191B0O1

雲端安全和風險緩解

Posted on by blogadmin

雲端安全和風險緩解

 

雲端確實提供了它的優勢,但與任何大規模部署一樣,雲端可以提供一些無法預料的挑戰。雲端只是“別人的數據中心”的概念一直是一個令人畏縮的想法,因為這想法是假設安全責任的轉移,因為“別人會照顧它”。

 

是的,雲端系統,網路和應用程式序並非實際位於您的控制範圍內,而是安全責任和緩解風險。雲端基礎架構提供商可以在您設置環境的方式,您在環境中放置的內容,如何保護數據以及如何監控環境方面實現大量控制。在整個環境中管理風險並與現有安全框架保持一致。

cloud11.jpg

隱私和風險

隨著GDPR和其他州的姐妹政策例如在ArizonaColorado, California和其他組織在保護雲端中的數據方面面臨著越來越高的要求。它並不像在數據中心部署資料外洩防護(DLP)那麼簡單,因為。您現在有一堆不再由你擁有的服務,系統和基礎架構,數據中心已變得不完整的, 但您仍需要可見性和控制權。

 

共享或交換信息的雲端服務和基礎架構也變得難以管理:誰有服務層級協議(SLA)?是否單一平台可以監控一切?DevOps使企業採用微分段和調整防火牆規則變更管理流程。此外,無伺服器計算通過允許開發人員運行代碼而無需擔心基礎架構和平台,為組織提供了降低成本和提高工作效率的方法。然而,如果沒有處理虛擬私有雲和工作量負載的部署,事情就會很快失控,您就會開始看到從一個環境洩漏的數據,就像您在另一個環境中獲得了一個安全級別一樣。

緩解

可以採取幾個步驟來幫助降低組織在雲端中的數據風險。

 

1. 設計對齊。首先,將您的雲端環境與網路安全框架保持一致。組織遷移到雲端,他們使應用安全控制於落地部署數據中心,這些數據中心隨著時間的推移而不斷發展和變強。此外,組織可以放寬廣泛使用SaaS應用程式上的安全顯微鏡。但即使使用這些合法的業務應用程式,如果沒有正確的可見性和控制權,數據最終可能會被洩露。雲端提供商技術與網路安全框架和業務運營程式保持一致,可以實現雲端平台的高度安全,優化和更高效的實施,從而提供更好的結果和成功的部署。

 2.請隨便一點,就像在自己家一樣。應該像對待LAN和數據中心一樣對待雲端系統網路。例如Amazon的共同責任模,概述Amazon安全責任的終結,並開始履行您的安全責任。雖然存在計算層的威脅,正如我們在MeltdownForeshadowSpectre中看到的那樣,最近的雲數據洩露已經顯示出組織安全責任區域的崩潰,即操作系統安全性,數據加密和訪問控制。如果您的組織具有管理服務器配置,漏洞管理,修補,IAM,加密,分段,防火牆規則,應用程式開發和監視的標準,請確保這些標準適用於雲端服務並定期進行審計。第三方對雲端基礎架構體系結構的常規評估可以像審核LANWAN一樣有效,以獲得最佳安全實踐。

3. 停止“晚上偷偷溜出去”。不久之前,您會發現組織正在努力與員工建立不安全的無線接入點,以便在日常工作中獲得更大的靈活性和效率。暱稱是“影子IT”,業務部門避免讓IT和安全性涉及他們正在做的事情,以便他們能夠更快地行動。快進到今天提供惡意檢測和入侵防禦系統(IPS)功能的無線控制器幫助了這項活動。通過雲端,員工可以根據需要設置雲端存儲帳戶,無伺服器計算環境和虛擬專用網路,以避免冗長和繁瑣的變更控製程式,降低成本並獲得類似的靈活性和效率。通過重新架構傳統網,重新調整數十年的流程和程式。

4. 密切關注。網路安全運營中心(CSOC)不再僅僅關注落地網路和數據中心。SOC使用的運營監控程式,威脅搜尋,情報和事件回應也適用於組織數據所在的雲環境。監控公司數據可能駐留的SaaS應用程式具有挑戰性,但可以使用有效的端點安全性以及雲端訪問解決方案(CASB,代理和其他)的監控來完成。對於無伺服器環境,根據您的CSOC要求,這可能意味著應用第三方監控平台或解決方案超出雲端提供商提供的範圍。在所有情況下,事件記錄和觸發器都需要反饋到CSOC以與落地事件數據,分析和威脅情報相關聯。

 

隨著所有可用的雲端服務以及每天提供的新服務,難怪公司難以管理風險。  “盡一切努力完成工作”到“做正確的業務”的文化轉變需要大量的協調努力和時間,但根植於安全成為業務推動者而不是繼續在的業務。如果安全性要繼續保護業務,組織必須在技術決策中包含安全性,並且安全性必須了解業務需求和技術變化才能成為推動者。為了幫助阻止人們尋求技術問題解決方案,IT和安全團隊必須發展他們的資產和功能,以適應這種速度和便利。  

Source: