image

WikiLeaks: CIA-malware kan inloggegevens voor ssh stelen

donderdag 6 juli 2017, 17:17 door Redactie, 19 reacties

De CIA beschikt over malware om inloggegevens voor ssh te onderscheppen en terug naar de CIA te sturen, zo stelt klokkenluiderssite WikiLeaks in een nieuwe onthulling. Het gaat om twee malware-exemplaren genaamd BothanSpy en Gyrfalcon die beide ontwikkeld zijn om ssh-inloggegevens te stelen.

BothanSpy en Gyrfalcon werken echter op verschillende besturingssystemen en maken van verschillende aanvalsvectoren gebruik. De BothanSpy-malware richt zich op de ssh-client Xshell voor Windows en steelt inloggegevens van alle actieve ssh-sessies. Het gaat dan om gebruikersnaam en wachtwoord in het geval van een op wachtwoord-gebaseerde authenticatie of gebruikersnaam, bestandsnaam van de private ssh-sleutel en het sleutelwachtwoord als er public key-authenticatie wordt gebruikt. BothanSpy kan gestolen inloggegevens naar een door de CIA beheerde server terugsturen of in een versleutelde map opslaan.

De Gyrfalcon-malware richt zich op de OpenSSH-client op Linux en is in staat om zowel inloggegevens van actieve ssh-sessies te stelen als het OpenSSH-sessieverkeer te verzamelen. Alle verzamelde informatie wordt in een versleutelde map opgeslagen. Voor de installatie en configuratie van Gyrfalcon wordt er van een door de CIA ontwikkelde rootkit gebruik gemaakt. De documenten van BothanSpy en Gyrfalcon dateren respectievelijk van 2015 en 2013 en zijn afkomstig uit Vault 7, de grote verzameling tools, exploits en documenten van de CIA die WikiLeaks in handen kreeg. De malware-exemplaren zelf zijn niet vrijgegeven. Via ssh kunnen gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen en op afstand machines beheren.

Reacties (19)
06-07-2017, 18:40 door Anoniem
Uitgaande firewall, uitgaande firewall, had ik al gezegt dat je een uitgande firewall moet hebben?
06-07-2017, 19:48 door Anoniem
Vooral dit stukje vind ik interessant:

1.2.2 Gyrfalcon Executable
The executable that runs on target comes in two flavors: 32-bit and 64-bit Linux ELF. They are
dynamically linked, meaning they depend on several libraries to be present on the target system:
• libz.so.1
• libpthread.so.0
• libc.so.6
Without the required libraries, the tool will simply fail to run.
The tool must be executed on systems running Linux kernel 2.6.14 or greater, and glibc 2.5 or greater.
To get the kernel version of the target system, run the following at a command prompt:
$ uname -r
2.6.18-194.el5
To get the glibc version of the target system, run the following at a command prompt:
$ getconf GNU_LIBC_VERSION
glibc 2.5
Also, SELinux can prevent gyrfalcon from attaching to targeted processes by enabling the deny_ptrace
boolean. Fortunately, this boolean is disabled by default so far, but future distros may enable it. To
disable deny_ptrace do:
$ setsebool deny_ptrace

Nu zeg ik niet dat je dynamic Libraries moet weghalen, zoals boven genoemd, maar de laatste opmerking over SELinux (en misschien ook andere distro's?) vind ik zeer interessant. Dan zou de Boolean deny_ptrace aangezet moeten worden. Dan zou deze inbraakmethode dus niet meer werken.
06-07-2017, 20:20 door [Account Verwijderd]
[Verwijderd]
06-07-2017, 20:28 door Anoniem
Op de website Fedora Project kom ik het volgende tegen:

SELinux has added a new boolean, deny_ptrace. If you are running a machine and do not plan on debugging the applications on this machine, you should turn this boolean on. This boolean would prevent a rogue process from being able to attack another process or read its memory using tools like ptrace or gdb. Even if the process is running as root, or the process it is trying to attack is running with the same SELinux context and label.

To permanently enable this protection, you execute the following command:

setsebool -P deny_ptrace 1

Dus de opdracht in de terminal setsebool -P deny_ptrace 1 zet de Boolean aan, waardoor de aanval is te stoppen.
https://fedoraproject.org/wiki/Features/SELinuxDenyPtrace

Let op! Dit alles is natuurlijk wel op eigen risico!
06-07-2017, 23:55 door Anoniem
Door N.N.: Ik weet niet, hoor, maar wordt het nu niet eens tijd om websites zoals Wikileaks en Shadow Brokers offline te halen? Met dit soort dingen zijn zij het die voor ongein zorgen zoals Wannacry en Petya. Laat die lui dan eerst de makers contact mee opnemen om die lekken op te lossen voor ze alles maar buiten slingeren als haat en nijd tegen CIA en NSA. Ja, het is in een 3 letterig woord samen te vatten dat CIA en NSA met deze tools dat heimelijk doen maar dan nog...
Ik heb de overtuiging dat het verspreiden van de gelekte informatie het fout gebruik niet doet afnemen. Maar als informatie die niet gelekt had mogen worden toch gelekt is is het een illusie te denken dat het stoppen van die een paar bronnen je problemen weg neemt. Als wikileaks of shadow server de informatie hebben zonder het te publiceren kunnen heel veel anderen er waarschijnlijk ook bij zonder dat jij dat weet.

Het uiteindelijke probleem is dat informatie die tegen jou ingezet kan worden in verkeerde handen is gekomen. Dat is onomkeerbaar en is al meerdere keren gebeurt. Zonder het lekken had je het probleem ook gehad maar had je het niet snel gemerkt. Veel van de problemen lijken ook te voorkomen met goede beveiliging. Dus waar heb je precies last van? Het gebrek aan beveiliging misschien?

De gelekte informatie bewijst herhaaldelijk dat het effectiever is om voor beveiliging te kiezen in plaats van hopen dat er achteraf een oplossing komt.
07-07-2017, 07:23 door Anoniem
Door N.N.: Ik weet niet, hoor, maar wordt het nu niet eens tijd om websites zoals Wikileaks en Shadow Brokers offline te halen? Met dit soort dingen zijn zij het die voor ongein zorgen zoals Wannacry en Petya. Laat die lui dan eerst de makers contact mee opnemen om die lekken op te lossen voor ze alles maar buiten slingeren als haat en nijd tegen CIA en NSA. Ja, het is in een 3 letterig woord samen te vatten dat CIA en NSA met deze tools dat heimelijk doen maar dan nog...

Echt, besef je wel wat je schrijft????

Klokkenluiders moeten offline en de makers/gebruikers van dit soort tools (die gevonden exploits onder de pet proberen te houden en gebruiken om de bevolking te bespioneren) noem jij een ander woord woor vrouwelijk geslachtsdeel???

Ik zou het willen omdraaien!
07-07-2017, 07:39 door Anoniem
Door Anoniem:
They are
dynamically linked, meaning they depend on several libraries to be present on the target system:
• libz.so.1
• libpthread.so.0
• libc.so.6
Without the required libraries, the tool will simply fail to run.

Nu zeg ik niet dat je dynamic Libraries moet weghalen, zoals boven genoemd,
Het zijn onmisbare libraries, het is misschien wel zo dat de tool "simpelweg" niet werkt zonder een van hen, maar dat betekent niet zo veel als je niet simpelweg zo'n library kan verwijderen zonder je hele systeem onbruikbaar te maken.

Het gaat om respectievelijk het deflate-compressiealgoritme, POSIX-threading en de standaard C-library. De laatste twee zitten bij Debian in hetzelfde pakket (libc6) en je kan je systeem al niet starten zonder, alle beschikbare init-systemen zijn ervan afhankelijk. Van de eerste zijn systemd, apache2, ssh, python2/3, Xorg en nog veel meer afhankelijk, en niet te vergeten de package management tools.
07-07-2017, 07:56 door Anoniem

Dus de opdracht in de terminal setsebool -P deny_ptrace 1 zet de Boolean aan, waardoor de aanval is te stoppen.
https://fedoraproject.org/wiki/Features/SELinuxDenyPtrace

Let op! Dit alles is natuurlijk wel op eigen risico!

Welk risico? ptrace is process tracing dat je gebruikt als je een applicatie wilt debuggen. Als je dat uitzet maakt dat weinig verschil voor functionaliteit. Ik zou het wel documenteren. Documenteren is sowieso noodzaak bij hardening.

"De Boolean" bestaat niet, bolean is de soortnaam van variabelen die je op true (1) of false (0) kan zetten. De variabele waar het om gaat is deny_ptrace.

Nu zeg ik niet dat je dynamic Libraries moet weghalen, zoals boven genoemd, maar de laatste opmerking over SELinux (en misschien ook andere distro's?) vind ik zeer interessant.

Terecht, want shared libraries moet je niet weghalen, want dan werken waarschijnlijk meerdere applicaties niet meer. Onbegrijpelijk dat een researcher zoiets noemt. Als je de applicatie wilt uitzetten, schakel dan de applicatie (OpenSSH) zelf uit en rommel niet met gedeelde libraries. Waarschijnlijk zal vervangen van OpenSSH voor een alternatief beter zijn dan verwijderen of uitschakelen, want dan kan je niet meer op afstand toegang verkrijgen. Er zijn overigens ook andere oplossingen om toegang te verkrijgen, zoals remote access hardware modules die toestaan te werken alsof je ter plekke inlogt. Hardware en software alternatieven kunnen ook kwetsbaar zijn.
07-07-2017, 08:22 door Anoniem
Door N.N.: Ik weet niet, hoor, maar wordt het nu niet eens tijd om websites zoals Wikileaks en Shadow Brokers offline te halen? Met dit soort dingen zijn zij het die voor ongein zorgen zoals Wannacry en Petya. Laat die lui dan eerst de makers contact mee opnemen om die lekken op te lossen voor ze alles maar buiten slingeren als haat en nijd tegen CIA en NSA. Ja, het is in een 3 letterig woord samen te vatten dat CIA en NSA met deze tools dat heimelijk doen maar dan nog...

Je kunt dus beter je kop in het zand steken?
07-07-2017, 08:28 door Anoniem
Door N.N.:Laat die lui dan eerst de makers contact mee opnemen om die lekken op te lossen
Dat is ook iedere keer gebeurt. Wikileaks heeft uitgebreid contact met Microsoft gehad over de Samba exploit.
07-07-2017, 09:40 door karma4
Prachtig lek voor:
- al die iot apparatuur die nooit bijgewerkt worden.
- al die machines due iets specifieks draaien waardoor er niets veranderd mag worden.
Het bekende verhaal maar wie gaat het nu oplossen?
07-07-2017, 10:02 door [Account Verwijderd]
[Verwijderd]
07-07-2017, 10:04 door Anoniem
Door karma4: Prachtig lek voor:
- al die iot apparatuur die nooit bijgewerkt worden.
- al die machines due iets specifieks draaien waardoor er niets veranderd mag worden.
Het bekende verhaal maar wie gaat het nu oplossen?

Dit zijn 2 applicaties waarbij 1 (BothanSpy) specifiek voor een windows implementatie is van ssh (xshell) dus, niks met IoT te maken.

De tweede is alleen voor actieve ssh-verbindingen. En er moet al op een andere manier toegang verkregen zijn tot het doel.
Waarbij er ook de toestemming moet zijn om zelf commando's uit te voeren. een IoT device gebruikt als het goed is niet een continue ssh verbinding en heeft dus ook hier niets mee te maken. Machines die niet mogen veranderen mogen ook niet aan het internet hangen! dus zouden ook 'veilig' moeten zijn. (of ze mogen wel veranderen en aan het internet met de veranderingen getest en continue verbeterd. of er is een ander systeem dat er tussen zit 'air-gaped'

En wie mag het oplossen? Ik stel voor dat water dat mag. (er is geen probleem geschetst door jouw, en in water lossen de meeste stoffen op). Als je jouw systeem wilt beveiligen zodat deze exploit niet kan werken is er al 1 oplossing. Syslinux installeren en de syslinux flag `deny_ptrace` op 1 zetten.
07-07-2017, 10:42 door [Account Verwijderd] - Bijgewerkt: 07-07-2017, 10:42
[Verwijderd]
07-07-2017, 11:01 door karma4
Door Neb Poorten: Het Linux specifieke deel van dit verhaal dateert uit 2013. Toen maakten ze nog niet eens IoT-apparatuur. De IPSO Alliance is pas in 2008 ontstaan.
Printers gezien rond 2000 uitgerust met niet windows servers maar een ander OS. Routers gebruiken sinds jaar en dag dat andere dan windows OS, ver voor 2000 al. Laten we dat IOT pas begon in 2008 maar snel vergeten.

Door Anoniem: ....
En wie mag het oplossen? Ik stel voor dat water dat mag. (er is geen probleem geschetst door jouw, en in water lossen de meeste stoffen op).
Al die routers printers lossen niet op als je ze uit het raam de gracht in gooit. Jammer dat is een te grote milieuvervuiling.
De eigenaren van die gadgets zullen ook klagen dat ze er voor betaald hebben en dat het hoort te werken.

Je andere oplossingen als niet aan het internet hangen (cloud service?) etc zijn vrij algemeen voor elk OS. Je moet zoiets gewoon in je informatieveiligheidsplan hebben staan. Dat staat onder druk want is een kostenpost brengt niets op.
07-07-2017, 15:38 door Anoniem
Goh, dat had ik niet verwacht, dat de NSA in staat zou zijn om SSH credentials te stelen met hun malware. Indrukwekkend ;)
07-07-2017, 18:58 door Anoniem
Zodoende wordt veiligheid op de infrastructuur nog steeds en veel meer een relatief begrip
en zodoende neemt dus het vertrouwen in de oplossingen van grote spelers,
die met deze drie-letter-diensten in bed (vaak ook moeten) liggen navenant af.

Vertrouwt u bij voorbeeld Azure of krijgt u nu al het zuur en benauwd wat er non-public kan gebeuren.

Er is geen trust voor mij op code die ik niet zelf heb geverifeerd of outsourced is
en niet gecheckt, geport en gefuzzed.

Even een voorbeeldje met javascript, iets dat eindeloze onveiligheid opleveren kan.
Een willekeurige website draait het volgende script: domein/js/menu/menu.js

Een DOM-XSS scan erop geeft: Number of sources found: 37 en Number of sinks found: 11

Een javascript unpacker prompt voorde volgende fouten:
error: line:15: SyntaxError: missing ) after condition:
error: line:15: t+n.left}if(z.top<n.top){y-=z.top+n.top}var v=(n.left+n.width)-z.left-q/c;if(0>v){A+=v}var t=(n.top+n.height)-z.top-o/k;if(0>t){y+=t}}else{var A=q*w/c;var y=o*u/k}d(this).find("img").css({left:-(q*w/c)+"px",top:-(o*u/k)+"px",width:q+"px",height:o+"px"}
error: line:15: ....................^
We hebben hier te maken met een" anti-evasion obfuscated adware script " met risico op fingerprinting misbruik. Is er same origin gewaarborgd, zijn er sri-hashes gegenereerd?

Dit dient daarom opgenomen worden met de ontwerpers van de gebruikte javascript obfuscator dienst op: http://javascript-source.com/ (opm. van mij luntrus)

Doordat we niet op elk moment, ook niet via oversight door luitjes met technische informatica expertise, kunnen zeggen - dit is redelijk veilige code is. en dat minder of helemaal niet..... (want garanties doen voor een systeem dat zo nooit naar het Internet had moeten ontsnappen kunnen we nooit)......zo lang blijven deze drie-letter-diensten heer en meester over ons.

Beseffen we dit wel heel goed, dames en heren met TIN-security als interesse????????

Dan is het dus erg goed dat er later proliferatie optreedt, anders zijn we allemaal al vogelvrij of liever gezegd vogelvoer Eerst voor cyberspooks en vervolgens voor cybercriminals.

Maak je borst maar nat, er komt nog veel meer via de pijplijn. We zullen meer toevloed van TinSec specialisten nodig hebben op GDI.Foundations bij voorbeeld. Kom op researchers met voldoende relevante kennis en het technische hart op de juiste plaats, maak het verschil voor ons en laat ons Nederlanders zich weer wat veiliger voelen online.
Zet op die wiite hoed en verdien je strik! Wacht in het andere geval op de uitnodiging om uw diensten aan te bieden aan een van deze verguisde drie-letter-woord-diensten.

luntrus
07-07-2017, 20:02 door Anoniem
Door Anoniem: Uitgaande firewall, uitgaande firewall, had ik al gezegt dat je een uitgande firewall moet hebben?

Vast wel, maar wat je nog niet gezegd hebt is hoe die uitgaande firewall precies moet helpen .

Er draait dus (na een exploit) een proces dat voldoende privileges heeft om data (credentials) uit andere processen te stelen.
Effectief gezien 'root' dus .

En het draait op een host die minimaal uitgaand SSH mag doen (anders zou er niks te stelen zijn) .

Stel jij je een uitgaande firewall voor op een host waar een exploit met root draait en dat zou een uitgaande firewall moeten tegenhouden ? Waarbij de uitgaande firewall minimaal uitgaand SSH doorlaat, aangezien die host dat doet ?

Of, stel je je een externe firewall voor waar de host-met-exploit wel doorheen mag SSH'en en waarbij de firewall toch het exfiltreren van de geoogste passwords moet tegenhouden ?
Je snap hopelijk dat het uploaden van de oogst op heel veel manieren kan (ssl naar een website, google docs, twitter posts, ssh/scp ) - en niet beperkt is tot upload naar 'ftp.cracked-hosts.cia.gov' ?

Ik zal niet zeggen dat een uitgaande firewall nutteloos is , maar als je zover bent dat een host die valide SSH mag doen volledig compromised is , is er geen simpele oplossing meer .
10-07-2017, 13:15 door Anoniem
Door N.N.: Ik weet niet, hoor, maar wordt het nu niet eens tijd om websites zoals Wikileaks en Shadow Brokers offline te halen? Met dit soort dingen zijn zij het die voor ongein zorgen zoals Wannacry en Petya. Laat die lui dan eerst de makers contact mee opnemen om die lekken op te lossen voor ze alles maar buiten slingeren als haat en nijd tegen CIA en NSA. Ja, het is in een 3 letterig woord samen te vatten dat CIA en NSA met deze tools dat heimelijk doen maar dan nog...


Dat is exact wat er gebeurde.

Microsoft werd gewaarschuwd over het issue, en bracht een patch uit.
Deze patch voor WannaCry was 1 maand voor WannaCry beschikbaar. De patch voor Petya was deels dezelfde.

De enigen die last hebben gehad van deze "ongein" zijn degenen die hun security patches niet tijdig installeren.

Zonder Wikileaks & Shadow Brokers was dit issue vandaag waarschijnlijk nog steeds niet opgelost.
Als iemand anders op dit SMBv1 lek was gestoten en een worm had gereleased, was de impact veel groter geweest want dan was er nog niemand die een patch had...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.