Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.
Loading...

Новости информационной безопасности




CALDERA - Automated Adversary Emulation System

CALDERA is an automated adversary emulation system that performs post-compromise adversarial behavior within enterprise networks. It generates plans during operation using a planning system and a pre-configured adversary model based on the Adversarial Tactics, Techniques & Common Knowledge (ATT&CK™) project. These features allow CALDERA to dynamically operate over a set of systems using variable behavior, which better represents how human adversaries perform operations than systems that follow prescribed sequences of actions.
CALDERA is useful for defenders who want to generate real data that represents how an adversary would typically behave within their networks. Since CALDERA's knowledge about a network is gathered during its operation and is used to drive its use of techniques to reach a goal, defenders can get a glimpse into how the intrinsic security dependencies of their network allow an adversary to be successful. CALDERA is useful for identifying new data sources, creating and refining behavioral-based intrusion detection analytics, testing defenses and security configurations, and generating experience for training.

Architecture

CALDERA consists of:

caldera_1_33388868-28491af2-d4ff-11e7-8ba4-b1c475b0c3ca.png

Planning System

CALDERA's planning system allows it to "decide" the next best action to take based upon its current knowledge of the environment and the actions available at a given point in time. CALDERA's attacker model is represented by pre-configured ATT&CK-based techniques that have been logically encoded with pre and post conditions allowing CALDERA to chain together sequences of actions to reach an objective state.

caldera_2_33388878-30673ebc-d4ff-11e7-84d1-79fdb719d467.png

The system follows this algorithm:

  1. Update the world state
  2. Figure out all valid actions to execute
  3. Construct plans that lead off with those actions, chain actions together by leveraging model
  4. Run heuristic to determine best plan
  5. Execute the first action in the best plan
  6. Repeat

Extensibility
New techniques can be added to CALDERA without having to recompute new decision models because of how techniques are logically defined. It is encouraged to develop new techniques and variations of techniques to better represent the variations in how adversaries can behave and contribute them back to the project.

Requirements
Requirements are detailed in the Requirements documentation.

Installation
Detailed installation instructions are included in the Installation documentation.
Project dependencies:
Crater
CALDERA agent
Custom py2exe

Considerations and Limitations

The path chaining problems CALDERA's planning system is designed to solve are computationally intensive. While CALDERA's server does not have hardware requirements beyond a typical software developer's system, there are limitations on the number of systems CALDERA can operate over before the planning time between actions will cause significant delays or the system to fail. Thus it is not recommended that CALDERA be used against sets of systems larger than 20.

CALDERA performs real actions on systems when operating. If it is being used in a production network, beyond an isolated lab network, then care should be taken to inform any network security staff, administrators, or users who may be impacted prior to using CALDERA to deconflict any issues that may arise.

CALDERA uses other open source tools as part of its repository of techniques. Some of these tools are categorized as penetration testing or security auditing tools. See Security for more information.
CALDERA does not use or repurpose known adversary malware. It focuses on using adversary behavior documented within ATT&CK, which can be employed in many different ways regardless of specific pieces of malware an adversary may use.

CALDERA does not emulate adversary command and control (C2) channels. The variation in adversary C2 protocols and communication methods is vast and is considered out of scope.

CALDERA also does not use software exploitation. There are many free and commercial tools that can be used to assess software weakness and exploitability. CALDERA should not be used for this purpose.

Research

CALDERA is a MITRE research project and is an implementation of some of the ideas described in the following papers:

Related MITRE Work

BRAWL Game - Data set created by the BRAWL project representing one CALDERA operation with data collected by Microsoft Sysmon and other sensors.

Дата: 2017-12-15 20:47:15

Источник: https://www.kitploit.com/2017/12/caldera-automated-adversary-emulation.html



Крупнейшие криптокражи, их исход и почему NiceHash не воровали сами у себя

Не так давно прогремел масштабный скандал с опустошением
электронного счета одного из крупнейших майнинг-маркетов NiceHash. Стоимость
биткоина растет, как древнерусский богатырь — не по дням, а по часам. Весьма лакомая добыча, не так ли?

Так получилось, что осколки этого «большого взрыва» задели и
меня лично, и клиентов моей компании, которая в том числе занимается защитой
информации. Сейчас многие из них стали обращаться с беспокойством о защите
средств и вопросами по поводу случившегося.
Потому, думаю, неплохо провести небольшой анализ.

Случай с NH — не прецедент.
Объектами атаки и ранее становились майнинговые сервисы и кошельки. Среди недавних
крупных «добыч» достаточно вспомнить Genesis Mining и Parity и посмотреть, как
они вышли из такой ситуации.

kabmcmhku55wyrcy1dqm8klidl4.jpeg

Что позволило Genesis Mining не потерять клиентов после
хакерской атаки


Найти кибер-злоумышленников сложно, а вернуть украденное практически
невозможно. Чаще всего приходится ждать пока хакеры допустят где-то ошибку, и
надеяться, что таки допустят. Тем не менее, Genesis Mining довольно стойко
перенесли скандал.
В июне 2017-го Genesis Mining обнаружили несанкционированный
доступ к горячему кошельку, но не успели предотвратить утечку средств. И хотя
размер украденных средств не разглашается, речь идет о внушительной сумме.

Как утверждает Genesis Mining, персональные данные
пользователей остались в целости и сохранности, включая email-адреса. И компания
не хранит данные о кредитных картах. А сам инцидент никак не повлиял на
операции майнинга.
И главное – сервис облачного майнинга компенсирует ущерб,
нанесенный своим клиентам, вплоть до погашения суммы задолженности.
 
ovsemfl1yqks4ovjazwkmwbvy0a.png

Как по мне, Genesis Mining — яркий пример того, как удачная коммуникация с клиентами и скорость
реакции помогают сохранить репутацию компании.

Как Parity справился с атакой


Хотя биткоин на данный момент — самая прибыльная криптовалюта в дальней перспективе, и, следовательно, самая привлекательная для хакеров криптовалюта, майнеры эфириума тоже попали под «раздачу».

Практически в одно время с Genesis Mining была совершена
атака на Parity — Ethereum-кошелек.
Уязвимость была обнаружена в библиотеке, которая отвечает за работу смарт-конракта, использующегося кошельками с мультиподписью.
Этот баг позволил превратить уязвимую библиотеку в кошелек и затем стать его владельцем. Собственно, именно такую шалость проделал пользователь под ником Devops199. И эта шалость стояла 513 774 ETH (согласно официальному отчету) на 517 заблокированных кошельках.

Если верить самому новоявленному хакеру, вышло все случайно. После получения
контроля, тот отдал команду на самоуничтожение контракта. А это в свою очередь
вывело из работы большое количество кошельков, заблокировав все находящиеся на
них средства. Так новичок (вроде как) «казнил» 334 466 874 долларов (на момент
написания материала).

Реакция создателей кошелька довольно сомнительна. Сообщили, что белые хакеры уже приступили к решению проблемы, порекомендовали пользователям вывести свои сбережения на безопасные носители. И в качестве решения не нашли ничего лучше хардфорка. 
Что далеко не всем понравилось (естественно).
А в своем официальном отчете, обнародованном 15 ноября 2017 года, и вовсе заявили, что знали о баге еще в августе, но не успели его исправить. Хм, очень дорогостоящая медлительность.

В последнее время атаки заметно участились — к примеру, на тех же Parity
злоумышленники покушались дважды за одну неделю. Проблема заключается в том,
что достаточно сложно отследить несанкционированные сделки, а вернуть
утраченный эфир пока не удалось никому, кроме Виталика Бутерина, создателя
платформы Ethereum.

Как NiceHash лишились $70 млн


По сведениям пользователей сервиса, сумма, которую потеряли
NiceHash, уже достигла $70 млн, и стремительно продолжает расти в долларовом
эквиваленте. Официальный сайт сервиса заморожен уже несколько дней, хотя
правообладатели обещали справиться с неполадками в течение 24-х часов с момента
ограбления.

NiceHash скрывать хакерскую атаку не стали: в день происшествия на официальной странице в Facebook было опубликовано заявление о взломе, в котором компания настоятельно рекомендовала пользователям сменить пароли, а также попросила присоединяться к расследованию всех неравнодушных специалистов по кибербезопасности. За помощь даже обещают вознаграждение в виде битков.
Кроме того, к расследованию были привлечены и международные
правоохранительные органы.

ab4ghuqzyeko4goowxrbmspyjxs.png

Дальше были интервью генерального директора Марко Кобал и прямые
включения, обещания вернуть сервис к работе и украденные биткоины тоже.
Коммуникация с пострадавшими клиентами есть – это уже большой плюс. Но
пострадавшим нужны не разговоры, а свои деньги. И конечно, отовсюду полезли
приверженцы заговорщических теорий, которые обвинили в краже сам NiceHas.

Есть смысл уничтожать курицу, несущую золотые яйца?


NiceHash за время работы заработали себе имя, которому
доверяют сотни тысяч майнеров. Это можно понять по прибыли компании.

Читая комментарии о теории заговора и том, как владельцы компании отправились на Кубу с деньгами, которые «украли у самих себя», я удивляюсь. Логика на самом деле проста: компания
собирает комиссию в размере 2-4% с одной транзакции плюс другие источники,
получаем около $50 тыс в день дохода. Назревает вопрос: есть ли смысл компании «воровать»
сумму, которую она спокойно может заработать за два месяца, компрометируя себя
в глазах пользователей?

И я говорю это не как человек, у которого «хата скраю». А как тот, кого ситуация коснулась также, и довольно ощутимо. Сейчас особых переживаний у меня нету, ибо репутация такого игрока, как NiceHash стоит много дороже украденного.

ofef-f3flo8gkqjthhzxdfvl8ia.jpeg

Как уберечь себя от кражи?


Как не прискорбно, но ответ неутешителен: никак.
Криптовалюта сама по себе довольно рискованна. А учитывая нынешний подъем,
стала еще и объектом пристального внимания со стороны хакеров.

И от этих атак не застрахован никто. Можно потерять миллионы
даже из-за уязвимости, которая не считалась критической (привет, NiceHash). Можно
использовать новейшие методы защиты, но и в них какие-то умные «плохие парни»
найдут лазейку.
Так что элемент риска будет всегда. Но ведь все мы знаем,
кто не пьет шампанского. Что касается того, какие меры предпринимать:


А в остальном — кто не рискует, тот не зарабатывает на биткоине.

 

 

Дата: 2017-12-15 18:13:20

Источник: https://geektimes.ru/post/296487/



Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure

Introduction

Mandiant recently responded to an incident at a critical infrastructure organization where an attacker deployed malware designed to manipulate industrial safety systems. The targeted systems provided emergency shutdown capability for industrial processes. We assess with moderate confidence that the attacker was developing the capability to cause physical damage and inadvertently shutdown operations. This malware, which we call TRITON, is an attack framework built to interact with Triconex Safety Instrumented System (SIS) controllers. We have not attributed the incident to a threat actor, though we believe the activity is consistent with a nation state preparing for an attack.

TRITON is one of a limited number of publicly identified malicious software families targeted at industrial control systems (ICS). It follows Stuxnet which was used against Iran in 2010 and Industroyer which we believe was deployed by Sandworm Team against Ukraine in 2016. TRITON is consistent with these attacks, in that it could prevent safety mechanisms from executing their intended function, resulting in a physical consequence.

Malware Family

Main Modules

Description

TRITON

trilog.exe

Main executable leveraging libraries.zip

library.zip

Custom communication library for interaction with Triconex controllers.

Table 1: Description of TRITON Malware

Incident Summary

The attacker gained remote access to an SIS engineering workstation and deployed the TRITON attack framework to reprogram the SIS controllers. During the incident, some SIS controllers entered a failed safe state, which automatically shutdown the industrial process and prompted the asset owner to initiate an investigation. The investigation found that the SIS controllers initiated a safe shutdown when application code between redundant processing units failed a validation check -- resulting in an MP diagnostic failure message.

We assess with moderate confidence that the attacker inadvertently shutdown operations while developing the ability to cause physical damage for the following reasons:

Attribution

FireEye has not connected this activity to any actor we currently track; however, we assess with moderate confidence that the actor is sponsored by a nation state. The targeting of critical infrastructure as well as the attacker’s persistence, lack of any clear monetary goal and the technical resources necessary to create the attack framework suggest a well-resourced nation state actor.  Specifically, the following facts support this assessment:

The attacker targeted the SIS suggesting an interest in causing a high-impact attack with physical consequences. This is an attack objective not typically seen from cyber-crime groups.

The attacker deployed TRITON shortly after gaining access to the SIS system, indicating that they had pre-built and tested the tool which would require access to hardware and software that is not widely available. TRITON is also designed to communicate using the proprietary TriStation protocol which is not publicly documented suggesting the adversary independently reverse engineered this protocol.

The targeting of critical infrastructure to disrupt, degrade, or destroy systems is consistent with numerous attack and reconnaissance activities carried out globally by Russian, Iranian, North Korean, U.S., and Israeli nation state actors. Intrusions of this nature do not necessarily indicate an immediate intent to disrupt targeted systems, and may be preparation for a contingency.

Background on Process Control and Safety Instrumented Systems


Figure 1: ICS Reference Architecture

Modern industrial process control and automation systems rely on a variety of sophisticated control systems and safety functions. These systems and functions are often referred to as Industrial Control Systems (ICS) or Operational Technology (OT).

A Distributed Control System (DCS) provides human operators with the ability to remotely monitor and control an industrial process. It is a computerized control system consisting of computers, software applications and controllers. An Engineering Workstation is a computer used for configuration, maintenance and diagnostics of the control system applications and other control system equipment.

A SIS is an autonomous control system that independently monitors the status of the process under control. If the process exceeds the parameters that define a hazardous state, the SIS attempts to bring the process back into a safe state or automatically performs a safe shutdown of the process. If the SIS and DCS controls fail, the final line of defense is the design of the industrial facility, which includes mechanical protections on equipment (e.g. rupture discs), physical alarms, emergency response procedures and other mechanisms to mitigate dangerous situations.

Asset owners employ varied approaches to interface their plant's DCS with the SIS. The traditional approach relies on the principles of segregation for both communication infrastructures and control strategies. For at least the past decade, there has been a trend towards integrating DCS and SIS designs for various reasons including lower cost, ease of use, and benefits achieved from exchanging information between the DCS and SIS. We believe TRITON acutely demonstrates the risk associated with integrated designs that allow bi-directional communication between DCS and SIS network hosts.

Safety Instrumented Systems Threat Model and Attack Scenarios

Fig2%20HR.png
Figure 2: Temporal Relationship Between Cyber Security and Safety

The attack lifecycle for disruptive attacks against ICS is similar to other types of cyber attacks, with a few key distinctions. First, the attacker’s mission is to disrupt an operational process rather than steal data. Second, the attacker must have performed OT reconnaissance and have sufficient specialized engineering knowledge to understand the industrial process being controlled and successfully manipulate it.

Figure 2 represents the relationship between cyber security and safety controls in a process control environment. Even if cyber security measures fail, safety controls are designed to prevent physical damage. To maximize physical impact, a cyber attacker would also need to bypass safety controls.

The SIS threat model below highlights some of the options available to an attacker who has successfully compromised an SIS.

Attack Option 1: Use the SIS to shutdown the process

Attack Option 2: Reprogram the SIS to allow an unsafe state

Attack Option 3: Reprogram the SIS to allow an unsafe state – while using the DCS to create an unsafe state or hazard

Analysis of Attacker Intent

We assess with moderate confidence that the attacker’s long-term objective was to develop the capability to cause a physical consequence. We base this on the fact that the attacker initially obtained a reliable foothold on the DCS and could have developed the capability to manipulate the process or shutdown the plant, but instead proceeded to compromise the SIS system. Compromising both the DCS and SIS system would enable the attacker to develop and carry out an attack that causes the maximum amount of damage allowed by the physical and mechanical safeguards in place.

Once on the SIS network, the attacker used their pre-built TRITON attack framework to interact with the SIS controllers using the TriStation protocol. The attacker could have caused a process shutdown by issuing a halt command or intentionally uploading flawed code to the SIS controller to cause it to fail. Instead, the attacker made several attempts over a period of time to develop and deliver functioning control logic for the SIS controllers in this target environment. While these attempts appear to have failed due one of the attack scripts’ conditional checks, the attacker persisted with their efforts. This suggests the attacker was intent on causing a specific outcome beyond a process shutdown.

Of note, on several occasions, we have observed evidence of long term intrusions into ICS which were not ultimately used to disrupt or disable operations. For instance, Russian operators, such as Sandworm Team, have compromised Western ICS over a multi-year period without causing a disruption.

Summary of Malware Capabilities

The TRITON attack tool was built with a number of features, including the ability to read and write programs, read and write individual functions and query the state of the SIS controller. However, only some of these capabilities were leveraged in the trilog.exe sample (e.g. the attacker did not leverage all of TRITON’s extensive reconnaissance capabilities).

The TRITON malware contained the capability to communicate with Triconex SIS controllers (e.g. send specific commands such as halt or read its memory content) and remotely reprogram them with an attacker-defined payload. The TRITON sample Mandiant analyzed added an attacker-provided program to the execution table of the Triconex controller. This sample left legitimate programs in place, expecting the controller to continue operating without a fault or exception. If the controller failed, TRITON would attempt to return it to a running state. If the controller did not recover within a defined time window, this sample would overwrite the malicious program with invalid data to cover its tracks.

Recommendations

Asset owners who wish to defend against the capabilities demonstrated in the incident, should consider the following controls:

Fig3.png
Figure 3: Triconex Key Switch (source)

Appendix: Technical Analysis

Fig4%20HR.png
Figure 4: TRITON Architecture and Attack Scenario

TRITON was deployed on an SIS engineering workstation running the Microsoft Windows operating system. The malware was named to masquerade as the legitimate Triconex Trilog application. This application is used for reviewing logs and is a part of the TriStation application suite. The malware was delivered as a Py2EXE compiled python script dependent on a zip file containing standard Python libraries, open source libraries, as well as the attacker-developed Triconex attack framework for interacting with the Triconex controllers. Along with the executable, two binary files, inject.bin (malicious function code) and imain.bin (malicious control logic), were deployed as the controller’s payload. These file names were hard coded in the Py2EXE compiled python script.

Trilog.exe took one option from the command line, which was a single IP address of the target Triconex device. It did not leverage the underlying TRITON library’s capability for Triconex device discovery, instead an instance of trilog.exe had to be invoked separately for each target controller in the environment. Once invoked, trilog.exe checked the status of the controller, then read the configuration information exposed by the TriStation protocol. If the controller was in a running state, trilog.exe encoded the two payload files inject.bin and imain.bin and passed them to the communication libraries to be appended to the controller’s program memory and execution table.

After payload files were inserted into memory on the Triconex controller, the script initiated a countdown, periodically checking the status of the controller. If an error was detected, the communication library’s method SafeAppendProgramMod attempted to reset the controller to the previous state using a TriStation protocol command. If this failed, trilog.exe attempted to write a small ‘dummy’ program to memory. We assess that this was an anti-forensics technique to hide the presence of the attacker code on the Triconex controller.

Working with the asset owner, Mandiant ran trilog.exe in a lab environment with a valid Triconex controller and discovered a conditional check in the malware that prevented the payload binary from persisting in the environment. Mandiant confirmed that, after correcting patching the attack script to remove this check, the payload binary would persist in controller memory, and the controller would continue to run.

TRITON implements the TriStation protocol, which is the protocol used by the legitimate TriStation application, to configure controllers.

TsHi is the high-level interface created by the malware’s authors that allows the threat actor’s operators to implement attack scripts using the TRITON framework. It exposes functions for both reconnaissance and attack. The functions generally accept binary data from the user, and handle the code ‘signing’ and check sums prior to passing the data to lower level libraries for serialization on to the network.

TsBase, another attacker-written module, contains the functions called by TsHi, which translate the attacker’s intended action to the appropriate TriStation protocol function code. For certain functions, it also packs and pads the data in to the appropriate format.

TsLow is an additional attacker module that implements the TriStation UDP wire protocol. The TsBase library primarily depends on the ts_exec method. This method takes the function code and expected response code, and serializes the commands payload over UDP. It checks the response from the controller against the expected value and returns a result data structure indicating success or a False object representing failure.

TsLow also exposes the connect method used to check connectivity to the target controller. If invoked with no targets, it runs the device discovery function detect_ip. This leverages a "ping" message over the TriStation protocol using IP broadcast to find controllers that are reachable via a router from where the script is invoked.

Indicators

Filename

Hash

trilog.exe

MD5: 6c39c3f4a08d3d78f2eb973a94bd7718
SHA-256:
e8542c07b2af63ee7e72ce5d97d91036c5da56e2b091aa2afe737b224305d230

imain.bin

MD5: 437f135ba179959a580412e564d3107f
SHA-256:
08c34c6ac9186b61d9f29a77ef5e618067e0bc9fe85cab1ad25dc6049c376949

inject.bin

MD5: 0544d425c7555dc4e9d76b571f31f500
SHA-256:
5fc4b0076eac7aa7815302b0c3158076e3569086c4c6aa2f71cd258238440d14

library.zip

MD5: 0face841f7b2953e7c29c064d6886523
SHA-256:
bef59b9a3e00a14956e0cd4a1f3e7524448cbe5d3cc1295d95a15b83a3579c59

TS_cnames.pyc

MD5: e98f4f3505f05bf90e17554fbc97bba9
SHA-256:
2c1d3d0a9c6f76726994b88589219cb8d9c39dd9924bc8d2d02bf41d955fe326

TsBase.pyc

MD5: 288166952f934146be172f6353e9a1f5
SHA-256:
1a2ab4df156ccd685f795baee7df49f8e701f271d3e5676b507112e30ce03c42

TsHi.pyc

MD5: 27c69aa39024d21ea109cc9c9d944a04
SHA-256:
758598370c3b84c6fbb452e3d7119f700f970ed566171e879d3cb41102154272

TsLow.pyc

MD5: f6b3a73c8c87506acda430671360ce15
SHA-256:
5c776a33568f4c16fee7140c249c0d2b1e0798a96c7a01bfd2d5684e58c9bb32

sh.pyc

MD5: 8b675db417cc8b23f4c43f3de5c83438
SHA-256:
c96ed56bf7ee85a4398cc43a98b4db86d3da311c619f17c8540ae424ca6546e1

Detection

rule TRITON_ICS_FRAMEWORK
{
      meta:
          author = "nicholas.carr @itsreallynick"
          md5 = "0face841f7b2953e7c29c064d6886523"
          description = "TRITON framework recovered during Mandiant ICS incident response"
      strings:
          $python_compiled = ".pyc" nocase ascii wide
          $python_module_01 = "__module__" nocase ascii wide
          $python_module_02 = "<module>" nocase ascii wide
          $python_script_01 = "import Ts" nocase ascii wide
          $python_script_02 = "def ts_" nocase ascii wide  

          $py_cnames_01 = "TS_cnames.py" nocase ascii wide
          $py_cnames_02 = "TRICON" nocase ascii wide
          $py_cnames_03 = "TriStation " nocase ascii wide
          $py_cnames_04 = " chassis " nocase ascii wide  

          $py_tslibs_01 = "GetCpStatus" nocase ascii wide
          $py_tslibs_02 = "ts_" ascii wide
          $py_tslibs_03 = " sequence" nocase ascii wide
          $py_tslibs_04 = /import Ts(Hi|Low|Base)[^:alpha:]/ nocase ascii wide
          $py_tslibs_05 = /module\s?version/ nocase ascii wide
          $py_tslibs_06 = "bad " nocase ascii wide
          $py_tslibs_07 = "prog_cnt" nocase ascii wide  

          $py_tsbase_01 = "TsBase.py" nocase ascii wide
          $py_tsbase_02 = ".TsBase(" nocase ascii wide 
         
          $py_tshi_01 = "TsHi.py" nocase ascii wide
          $py_tshi_02 = "keystate" nocase ascii wide
          $py_tshi_03 = "GetProjectInfo" nocase ascii wide
          $py_tshi_04 = "GetProgramTable" nocase ascii wide
          $py_tshi_05 = "SafeAppendProgramMod" nocase ascii wide
          $py_tshi_06 = ".TsHi(" ascii nocase wide  

          $py_tslow_01 = "TsLow.py" nocase ascii wide
          $py_tslow_02 = "print_last_error" ascii nocase wide
          $py_tslow_03 = ".TsLow(" ascii nocase wide
          $py_tslow_04 = "tcm_" ascii wide
          $py_tslow_05 = " TCM found" nocase ascii wide  

          $py_crc_01 = "crc.pyc" nocase ascii wide
          $py_crc_02 = "CRC16_MODBUS" ascii wide
          $py_crc_03 = "Kotov Alaxander" nocase ascii wide
          $py_crc_04 = "CRC_CCITT_XMODEM" ascii wide
          $py_crc_05 = "crc16ret" ascii wide
          $py_crc_06 = "CRC16_CCITT_x1D0F" ascii wide
          $py_crc_07 = /CRC16_CCITT[^_]/ ascii wide  

          $py_sh_01 = "sh.pyc" nocase ascii wide  

          $py_keyword_01 = " FAILURE" ascii wide
          $py_keyword_02 = "symbol table" nocase ascii wide  

          $py_TRIDENT_01 = "inject.bin" ascii nocase wide
          $py_TRIDENT_02 = "imain.bin" ascii nocase wide  

      condition:
          2 of ($python_*) and 7 of ($py_*) and filesize < 3MB
}

Дата: 2017-12-15 17:11:52

Источник: http://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html



Triton: новое оружие киберсаботажа

Исследователи из FireEye проанализировали новую опасную находку — «фреймворк для проведения атак» на объекты критической инфраструктуры, получивший наименование Triton. Этот вредоносный инструмент был обнаружен экспертами в ходе расследования киберинцидента в неназванной организации.

Анализ показал, что целью Triton являются защитные системы Triconex производства Schneider Electric. Специализированные контроллеры Triconex используются для мониторинга состояния технологических процессов и в случае обнаружения потенциально опасных условий способны предотвратить аварийную ситуацию, вернув надежный статус или остановив процесс безопасным способом.

Продукты Triconex используют проприетарный протокол TriStation, документация по которому недоступна широкой публике. Тем не менее, исследователи обнаружили, что новоявленный зловред успешно взаимодействует с Triconex-контроллерами по этому протоколу, запрашивая статус. Triton также умеет читать и записывать программы и отдельные функции.

Изученный в FireEye образец был замаскирован под легитимный контроллер Triconex для инженерных рабочих станций на Windows. В ходе тестирования Triton вначале отыскал и прочел конфигурационные файлы, затем идентифицировал контроллеры и попытался развернуть полезную нагрузку.

Эти дополнительные программы, как пишет Security Week со слов экспертов, пытаются заставить легитимный контроллер либо принудительно завершить производственный процесс, либо проигнорировать тревожные признаки, что может повлечь физический ущерб (ограниченный в силу использования других механизмов защиты на производстве). В случае неудачи Triton переписывает вредоносный код «мусором» — видимо, старается замести следы.

Исследователи предполагают, что в данном случае злоумышленники, идентифицировать которых пока не удалось, использовали Triton с целью разведки. Судя по сложности и высокому уровню исполнения зловреда, а также явному отсутствию финансовых мотивов, за ним стоит группа хакеров, хорошо обеспеченных ресурсами.

Security Week также упоминает аналогичный отчет ИБ-компании Dragos, которая нарекла эту угрозу Trisis. В нем сказано, что жертва целевой атаки с использованием нового зловреда — промышленный комплекс на Ближнем Востоке.

Schneider Electric провела собственное расследование и других Triton-атак не обнаружила. По данным вендора, никаких уязвимостей в Triconex этот зловред не использует. «Следует отметить, что в данном случае система Triconex отреагировала надлежащим образом, остановив производство, — сказано в нотификации компании. — Ни клиенты, ни оборудование не пострадали».

Во избежание аналогичных атак Schneider Electric советует никогда без нужды не включать режим Program (кнопкой на передней панели) и не забывать его выключить после настройки контроллера.

Сигнатуры, ассоциированные с Triton, уже переданы ИБ-компаниям для внесения в антивирусные базы.

В заключение репортер Security Week напомнил о других инструментах киберсаботажа, список которых пока невелик. Это всем известный Stuxnet, Industroyer, предположительно использовавшийся в атаке на систему энергоснабжения Киева в декабре 2016 года, а также Irongate — еще одна находка FireEye, которая пока не замечена в реальных атаках.

Дата: 2017-12-15 17:03:50

Источник: https://threatpost.ru/triton-new-framework-to-attack-critical-infrastructure/23780/



Ученые раскрыли утечку на сайте с 45 миллионами учеток

Утилита Tripwire помогла обнаружить утечки данных с 19 сайтов уже во время тестового запуска. При этом, как отметили в своем исследовании разработчики инструмента, один из скомпрометированных ресурсов насчитывает 45 миллионов зарегистрированных пользователей.

Группа ученых из Калифорнийского университета в Сан-Диего — Джо ДиБлазио (Joe DeBlasio), Стефан Сэвидж (Stefan Savage), Джоффри Волкер (Geoffrey M. Voelker) и Алекс Снорен (Alex C. Snoeren) — создали Tripwire, чтобы любой мог отследить взлом своих учетных записей. Для этого утилита заводит аккаунты на одном или более ресурсах, используя один и тот же уникальный email-адрес. Везде устанавливается одинаковый пароль, совпадающий с паролем почтового ящика. Задача Tripwire — регулярно отслеживать входы в почту. Если кто-то проник в специально созданный ящик, значит, взломали одну из привязанных к нему учеток.

В ходе тестового запуска команда зарегистрировалась на 2300 сайтах, использовав более 100 тысяч контрольных email-адресов. По итогам исследования выяснилось, что 19 ресурсов взломали, причем на одном из этих ресурсов зарегистрировано 45 миллионов учетных записей. Это весьма солидное число: так, Telegram, например, насчитывает 100 миллионов активных пользователей.

Ученые связались со всеми скомпрометированными сайтами, но, к их удивлению, ответа ни от кого не последовало. Тем не менее авторы исследования отказываются называть пострадавшие ресурсы.

«Я был уверен, что ресурсы, которым мы сообщили об утечках, отнесутся к этому со всей серьезностью, — сетует Алекс Снорен, профессор компьютерных наук и один из авторов Tripwire. — Проблема в том, что ни один из сайтов не соглашался на участие в эксперименте, а наши результаты дают повод для исков и финансовых взысканий. В конечном итоге мы решили передать ответственность за разглашение самим компаниям».

Исходный код Tripwire доступен на GitHub, и разработчики надеются, что владельцы сайтов возьмут этот инструмент на вооружение. Кроме того, подробное описание утилиты и эксперимента опубликовано в научной работе Tripwire: Inferring Internet Site Compromise («Tripwire — против взлома веб-сайтов»).

Примечательно, что утилита также помогает определить ресурсы, которые хранят пароли в виде открытого текста или кодируют их через слабые алгоритмы шифрования. Для этого заводится несколько аккаунтов, часть — с простыми паролями, часть — со сложными и длинными. Если взломщик проникает во все привязанные почтовые ящики, то ресурс, скорее всего, подходит к защите ключей довольно небрежно.

На всякий случай разработчики добавили способ удостовериться в том, что взломали именно проверяемые сайты, а не почтовый сервис. Для этого они зарегистрировали 100 тысяч контрольных электронных ящиков, не связанных с другими ресурсами. Пока в них никто не заходит, можно с уверенностью говорить о взломе на стороне, а не в службе почты.

Дата: 2017-12-15 15:29:59

Источник: https://threatpost.ru/tripwire-test-run-discovers-19-leaks/23774/



Задачки с ZeroNights 2017: стань королем капчи

При вводе капч мы заметили, что длина капчи всегда составляет пять символов, а в ней используются только заглавные буквы и цифры. Просмотрев код, мы также видим, что название картинки капчи — это md5-хэш от ее символов.

befd4b98057645a3261515d10bcf2738.jpg

Анализ через Burp Suite показывает, что нам необходимо только поле answer, которое является ответом на капчу.

450276b430260cfc64dc7ed2d2fa77ff.jpg

Дело за малым – вытащить из кода страницы необходимое значение хэша, а по нему восстановить значение капчи. Однако функция, обратная хэшированию, сложна к вычислению, поэтому пойдем другим путем. Составим таблицу пар всех возможных капч (только заглавные буквы и цифры, длина капчи всегда 5 символов) и значения md5-хэшей от них, произведем поиск необходимого значения капчи по хэшу:

def chal6():
    resp = s.post('http://captcha.cf/challenge/6/start')
    for i in range(20):
        m = re.search(r'static/regenbogen/(.*?)\.png', resp.text)
        hash_ = m.group(1)
        word = sh.grep(hash_, 'md5_tables/' + hash_[0] + '.md5').split(':')[1].strip()
        print(hash_, word)
        resp = s.post('http://captcha.cf/captcha', data={'answer': word})

Для выполнения задания понадобилось написать дополнительные функции:

alphabet = string.ascii_lowercase + string.digits
 
def gen_md5_table():
    a = string.ascii_uppercase + string.digits
    table = itertools.product(a, repeat=5)
    f = open('md5_table', 'w')
    for i in table:
         s = hashlib.md5(bytes(''.join(i), 'ascii')).hexdigest() + ':' + ''.join(i)
        print(s)
        f.write(s + '\n')
        f.close()
 
<i># call gen_md5_table
# in bash: sort md5_table > md5_sorted
# in bash: mkdir md5_tables
# call split_to_files</i>
 
def split_to_files():
	file_handlers = {}
	for a in alphabet:
    	file_handlers[a] = open('md5_tables/' + a +'.md5', 'w')
 
	with open('md5_sorted') as f:
    	for line in f:
        file_handlers[line[0]].write(line)

Дата: 2017-12-15 15:06:38

Источник: https://habrahabr.ru/post/344816/



Как гостайна утекает в сеть

atbujluo4ggqjpesd2ajxf2fv1o.png

Исследуем 1,5 миллиарда акаунтов, уплывших в сеть из даркнета, на предмет наличия доменов в зоне .gov

Каждый раз, услышав в СМИ историю про супер-хакеров, взломавших электронный ящик высокопоставленного чиновника из Пентагона, нам становится грустно. Не только нам, всем тем, кто хоть раз в жизни что-нибудь брутфорсил. Вменяемый пароль и лимиты отбивают всякое желание, поиск XSS часто просто невозможен, социальная инженерия вгоняет в депрессию.

Не всё так плохо


Периодически в сети всплывают огромные базы аккаунтов. Обычно такое появление вызывает много шума, пользователи находят свои адреса, пусть и с устаревшими паролями, но все же настоящими.

Откуда они берутся?


Ботнеты, иногда слив проектов, но сильно реже. Это отработанный материал. Кардеры выуживают с заражённых машин всё, до чего у них дотянуться эксплойты, продают спамерам да хакерам различных мастей и только потом выкидывают на форумы потешиться. Все эти товарищи, зачастую, обходят стороной правительственные домены, себе дороже. Но никто ведь не мешает заинтересованным лицам за копейки их скупать по всему интернету и просеивать на предмет интересных адресов, вдруг кто на рабочем месте по порносайтам шастает?

Грепаем БД


Сегодня мы решили просеять уплывшую базу (у нас немного свежее) и в цифрах показать эффективность данного метода.

Всего в базе 1,484,549,144 записей, каждая запись — это аккаунт, не обязательно от почты. Мы выделили все записи с доменами в зоне .gov и сгруппировали их по полному имени. Картинка в старте поста — визуализация полученных значений, интерактивный график здесь.

Для наглядности таблицей:
az6_fsgjskne6zk2m4d8p8vwwaw.png

Из полутора миллиардов аккаунтов на государственных доменах оказалось 1,055,357 штук

Уникальных доменов 54940: Департамент по делам ветеранов, Белый дом, Минобороны, чего там только нет. Выложить базу мы, конечно же, не можем, но при должном усердии её можно нагуглить.

TOP-40 используемых паролей на государственных сайтах, для любителей:
dn2s8k6erer2a8brtmqsexzwrru.png

Дата: 2017-12-15 13:51:09

Источник: https://habrahabr.ru/post/344820/



OWASP ZAP 2.7.0 - Penetration Testing Tool for Testing Web Applications

owasp-zap.png

The OWASP Zed Attack Proxy (ZAP) is one of the world’s most popular free security tools and is actively maintained by hundreds of international volunteers*. It can help you automatically find security vulnerabilities in your web applications while you are developing and testing your applications. Its also a great tool for experienced pentesters to use for manual security testing.

For general information about ZAP:

For help using ZAP:

Information about the official ZAP Jenkins plugin:

To learn more about ZAP development:

Дата: 2017-12-15 13:20:14

Источник: https://www.kitploit.com/2017/12/owasp-zap-270-penetration-testing-tool.html



19-летняя брешь в TLS бьет по шифрованию современных сайтов

Уязвимость под названием ROBOT, впервые найденная в далеком 1998 году, снова обрела актуальность. Под ударом оказались ведущие порталы, такие как Facebook и PayPal. У злоумышленников появился способ расшифровывать данные и подписывать вбрасываемую информацию приватными ключами легитимного сайта.

Брешь закралась в транспортный протокол TLS, применяемый для шифрования связи в Интернете. Успешная атака позволяет преступнику пассивно захватывать трафик и позднее его расшифровывать либо подготовить почву для последующей атаки man-in-the-middle, сообщают исследователи.

Название ROBOT представляет собой сокращение от Return Of Bleichenbacher’s Oracle Threat («Возвращение оракул-уязвимости Блейхенбахера») и было присвоено в память об исследовании Дэниэла Блейхенбахера (Daniel Bleichenbacher). Именно он изначально нашел эту уязвимость почти двадцать лет назад. Свежую версию ROBOT удалось раскрыть благодаря программе отлова багов Facebook. Исследователи Ханно Бёк (Hanno Böck), Юрай Соморовский (Juraj Somorovsky) и Крэйг Янг (Craig Young), заявившие о своем открытии во вторник, в рамках программы получили вознаграждение за свою находку. О какой сумме идет речь, неизвестно.

Уязвимость напрямую связана с протоколом TLS и недочетом в алгоритме обработки ключей шифрования RSA. Атака предполагает применение специальных запросов, которые провоцируют ошибки на серверах TLS, использующих ключи RSA для шифрования коммуникаций между браузером пользователя и веб-сайтом.

Заготовленные запросы позволяют получать от сервера ответы, трактуемые как «да» или «нет», и реализовать таким образом атаку перебором (brute-force). Такая техника, основанная на подборе шифротекста, через некоторое время может вынудить сервер TLS раскрыть ключ сессии. После этого атакующий сможет расшифровывать HTTPS-трафик, пересылаемый между сервером TLS и браузером пользователя.

Точно такая же техника применялась в эксплойте ROBOT-уязвимости Блейхенбахера в 1998 году.

«В 1998 году Дэниэл Блейхенбахер обнаружил, что ответы серверов SSL с сообщением об ошибке паддинга по стандарту PKCS #1 v1.5 открывают возможность проведения атаки перебором шифротекста; такая атака сводит на нет конфиденциальность обмена данными через TLS с RSA-шифрованием, — пишут исследователи. — Как мы выяснили, с небольшими изменениями эту же уязвимость по-прежнему можно использовать против многих современных HTTPS-хостов в Интернете».

Изначальный патч к ROBOT не предполагал замену ненадежного алгоритма RSA; он лишь модифицировал стандарт TLS, что делало его на порядок более устойчивым к брутфорсу.

«После того как Блейхенбахер продемонстрировал свою атаку, разработчики TLS решили, что лучше всего оставить без изменений уязвимые режимы шифрования и добавить контрмеры. Более поздние исследования доказали несостоятельность этих контрмер, в результате чего авторам TLS пришлось добавить еще более изощренные контрмеры, — рассказывают исследователи. — Раздел современных спецификаций TLS 1.2 (7.4.7.1), описывающий меры противодействия атаке Блейхенбахера, поражает своей сложностью. Неудивительно, что столь хитроумные обходные меры были реализованы с ошибками».

С момента выпуска изначального патча для ROBOT появились новые варианты этой уязвимости. Так, в марте 2016 года появилась TLS-уязвимость  DROWN, обнажившая слабую защиту 33 процентов HTTPS-подключений.

Также во вторник исследователи опубликовали список поставщиков, которые не смогли правильно реализовать контрмеры по защите от атак на основе уязвимости ROBOT.

«Ненадежные реализации контрмер замечены как минимум у семи поставщиков, включая F5, Citrix и Cisco, — отметили эксперты. — Угроза нависла над рядом самых популярных ресурсов в Интернете, в том числе Facebook и PayPal. Суммарно мы нашли уязвимые субдомены в 27 из ста самых популярных доменов по версии Alexa».

Одновременно появился соответствующий бюллетень Компьютерной команды экстренной готовности США, в котором указаны восемь пострадавших поставщиков.

Компания Cisco выпустила свой бюллетень об этой бреши, оценив ее как «средней степени тяжести». В нем сказано, что уязвимость найдена во множестве продуктов Cisco, включая Cisco ACE 4710 Application Control Engine Appliance и Cisco ACE30 Application Control Engine Module.

Facebook и PayPal выпустили исправления в октябре.

В своем отчете исследователи предлагают различные временные решения проблемы и средство тестирования для публично доступных серверов HTTPS, а также утилиту на Python для проверки на наличие данной уязвимости.

Дата: 2017-12-15 13:19:54

Источник: https://threatpost.ru/19-year-old-tls-vulnerability-weakens-modern-website-crypto/23771/



Активисты Anonymous пригрозили FCC кибератаками из-за отмены «сетевого нейтралитета»

Активисты пообещали осуществить «разрушительную кибератаку» на ресурсы ведомства, которая будет продолжаться в течение 48 часов.

Активисты движения Anonymous пригрозили осуществить серию кибератак на online-ресурсы Федеральной комиссии по связи США (Federal Communications Commission, FCC) в ответ на решение об отмене принципа «сетевого нейтралитета». Об этом активисты сообщили в соцсети Twitter.

12 декабря активисты Anonymous пообещали осуществить «разрушительную кибератаку» на ресурсы ведомства, которая будет продолжаться в течение 48 часов. В настоящее время неясно, повлияла ли кибератака на работу комиссии.

В интернете также было опубликовано видео под названием Operation Free Net, в котором активист Anonymous призвал к действиям против FCC.

«Нельзя просто сидеть сложа руки и не позволить [FCC] забрать вашу свободу в интернете. Anonymous будет отслеживать сайты FCC, социальные сети и адреса электронной почты. Мы заблокируем и ограничим доступ к web-сайтам с помощью DDoS-атак и атакуем тех, кто несет ответственность за отмену сетевого нейтралитета», - говорится в видеообращении.

Ранее комиссар FCC Джессика Розенворсел (Jessica Rosenworcel) сообщила, что в здании FCC наблюдались сбои в работе интернета. В настоящее время неизвестно, связан ли данный инцидент с деятельностью Anonymous.

Напомним, 14 декабря 2017 года Федеральная комиссия по связи США проголосовала за отмену принципа «сетевого нейтралитета», который обязывал интернет-провайдеров одинаково относиться к любому трафику.

Дата: 2017-12-15 13:06:00

Источник: http://www.securitylab.ru/news/490334.php