image

OpenVPN-wachtwoorden en OpenSSH-keys in vizier TrickBot

maandag 25 november 2019, 15:32 door Redactie, 7 reacties
Laatst bijgewerkt: 25-11-2019, 16:14

De beruchte TrickBot-malware die de afgelopen maanden voor meerdere grootschalige ransomware-uitbraken verantwoordelijk was lijkt zich op te maken voor het stelen van OpenVPN-wachtwoorden en OpenSSH-keys. Dat meldt securitybedrijf Palo Alto Networks in een analyse.

TrickbBot is een veelzijdige malwarefamilie die gegevens voor internetbankieren en allerlei andere wachtwoorden kan stelen, alsmede in staat is om aanvullende malware te installeren. Dit jaar kregen meerdere organisaties met de Ryuk-ransomware te maken die door TrickBot was geïnstalleerd. TrickBot weet zich op twee manieren te verspreiden. De eerste manier is het gebruik van kwaadaardige macro's in Microsoft Office-documenten die naar organisaties worden gemaild. Bij de tweede manier wordt TrickBot geïnstalleerd door de Emotet-malware, die zich ook via kwaadaardige macro's verspreidt.

Het was al bekend dat TrickBot bijvoorbeeld wachtwoorden voor Outlook, RDP, VNC en PuTTY buitmaakte. Bij een recent ontdekte versie bleek de module voor het stelen van wachtwoorden te zijn aangepast. De module probeert nu ook private keys voor OpenSSH en OpenVPN-wachtwoorden/configuraties te stelen. De aanpassing lijkt nog niet functioneel te zijn, aangezien onderzoekers niet zagen dat de private keys en wachtwoorden ook daadwerkelijk werden buitgemaakt.

Wel steelt TrickBot wachtwoorden en private keys die binnen de SSH/Telnet-client PuTTY worden gebruikt. Mocht de nieuwe functionaliteit wel naar behoren gaan werken kan dit een bijkomend probleem voor organisaties zijn. De makers van TrickBot hebben laten zien dat ze zeer succesvol zijn in het infecteren van organisaties. Door het stelen van OpenVPN-wachtwoorden en OpenSSH-keys zouden de aanvallers op andere manieren dan de malware zelf toegang tot een organisatie kunnen krijgen of behouden.

Reacties (7)
25-11-2019, 16:10 door Anoniem
De Palo alto blogpost wijst op dit moment naar de hema site toe, waarschijnlijk moet dat naar https://unit42.paloaltonetworks.com/trickbot-updates-password-grabber-module/ wijzen.

Je kunt overigens je SSH keys eenvoudig beveiligen op windows door deze in de ssh-agent.exe op te slaan (onderdeel van Microsoft's OpenSSH). Dan worden ze versleuteld met je normale login. Na in te loggen staan ze wel in het geheugen, maar het bied toch iets betere bescherming dan plaintext op je schrijf. Zie https://blog.ropnop.com/extracting-ssh-private-keys-from-windows-10-ssh-agent/ voor meer informatie.
25-11-2019, 18:27 door Anoniem
Even voor de duidelijkheid, het probeert dus private keys die gebruikt worden voor Linux servers van lekke Windows machines te stelen.
26-11-2019, 09:05 door Anoniem
Door Anoniem: Je kunt overigens je SSH keys eenvoudig beveiligen op windows door deze in de ssh-agent.exe op te slaan (onderdeel van Microsoft's OpenSSH). Dan worden ze versleuteld met je normale login. Na in te loggen staan ze wel in het geheugen, maar het bied toch iets betere bescherming dan plaintext op je schrijf.
Ik ken Microsoft's fork van OpenSSH niet, maar er is iets heel raars aan de hand als je ssh-sleutels in plain-text op schijf zouden staan als je ssh-agent niet gebruikt.

Of een ssh-sleutel versleuteld wordt opgeslagen of niet hangt af van de vraag of je wel of geen wachtzin ervoor hebt ingevoerd bij het aanmaken ervan met ssh-keygen. Als je een wachtzin hebt opgegeven wordt hij versleuteld en is die wachtzin nodig om hem te kunnen gebruiken, en het zou dom zijn om dat niet te doen. Wat ssh-agent doet is voorkomen dat je bij elke keer dat je het gebruikt de wachtzin opnieuw moet geven, en dat doet het door een onversleutelde versie (plain-text dus) in geheugen op te slaan. Dat ze versleuteld worden met je normale login suggereert dat Microsoft daar een voorziening voor heeft toegevoegd, die dan min of meer dezelfde functie vervult als pam_ssh in Linux.

Ik vraag me af waarom je gebruik van ssh-agent vergelijkt met plain-text op schijf. Is er in jouw ogen een reden om voor plain-text op schijf kiezen (dus bij ssh-keygen geen wachtzin op te geven) als je ssh-agent niet gebruikt?
26-11-2019, 11:17 door Anoniem
Als je het mij vraagt: Ik denk dat menig een dit document niet kent en dus de private key gewoon ergens local (zonder passphrase) gaat wegschrijven.
https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement
26-11-2019, 14:34 door Anoniem
Door Anoniem:
Door Anoniem: Je kunt overigens je SSH keys eenvoudig beveiligen op windows door deze in de ssh-agent.exe op te slaan (onderdeel van Microsoft's OpenSSH). Dan worden ze versleuteld met je normale login. Na in te loggen staan ze wel in het geheugen, maar het bied toch iets betere bescherming dan plaintext op je schrijf.
Ik ken Microsoft's fork van OpenSSH niet, maar er is iets heel raars aan de hand als je ssh-sleutels in plain-text op schijf zouden staan als je ssh-agent niet gebruikt.

Of een ssh-sleutel versleuteld wordt opgeslagen of niet hangt af van de vraag of je wel of geen wachtzin ervoor hebt ingevoerd bij het aanmaken ervan met ssh-keygen. Als je een wachtzin hebt opgegeven wordt hij versleuteld en is die wachtzin nodig om hem te kunnen gebruiken, en het zou dom zijn om dat niet te doen. Wat ssh-agent doet is voorkomen dat je bij elke keer dat je het gebruikt de wachtzin opnieuw moet geven, en dat doet het door een onversleutelde versie (plain-text dus) in geheugen op te slaan. Dat ze versleuteld worden met je normale login suggereert dat Microsoft daar een voorziening voor heeft toegevoegd, die dan min of meer dezelfde functie vervult als pam_ssh in Linux.

Ik vraag me af waarom je gebruik van ssh-agent vergelijkt met plain-text op schijf. Is er in jouw ogen een reden om voor plain-text op schijf kiezen (dus bij ssh-keygen geen wachtzin op te geven) als je ssh-agent niet gebruikt?

Je bent duidelijk niet bekend met de ssh applicaties waar het hier om gaat, putty en openvpn.
26-11-2019, 14:35 door Anoniem
Door Anoniem: Als je het mij vraagt: Ik denk dat menig een dit document niet kent en dus de private key gewoon ergens local (zonder passphrase) gaat wegschrijven.
https://docs.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement

Precies, key's altijd opslaan met wachtwoord erop.
26-11-2019, 17:19 door Anoniem
Door Anoniem: Je bent duidelijk niet bekend met de ssh applicaties waar het hier om gaat, putty en openvpn.
Ik antwoordde op iemand die het specifiek over Microsoft's fork van OpenSSH had. Die linkte naar een beschrijving van hoe je aan ssh-agent sleutels kan ontfutselen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.