Esta semana en seguridad: investigación y detección de simbiontes, topes de carretera, bruggling y más

La semana pasada cubrimos Symbiote Rootkit, basado en el gran trabajo de Blackberry, Intezer y Cyber ​​​​Geeks. Esta pieza particular de malware toma algunos pasos particularmente inteligentes y furtivos para ocultarse. utiliza un LD_PRELOAD para interferir con las bibliotecas del sistema sobre la marcha, ocultando ciertos archivos, procesos, puertos e incluso el tráfico de usuarios y detectores. Lea la columna de la semana pasada y los artículos fuente vinculados allí para conocer los detalles.

Existe una técnica general para detectar rootkits, en la que una herramienta crea un archivo o proceso que imita los elementos del rootkit y luego verifica si alguna de las falsificaciones desaparece misteriosamente. Mientras leía sobre Symbiote, estaba buscando herramientas que pudiéramos recomendar que usen esta técnica para controlar infecciones. Para resumir, me quité el polvo de mi sombrero de investigación de seguridad y me puse a trabajar. Un indicador muy útil de Intezer me llevó a la página de MalwareBazaar en Symbiote. Tenga en cuenta que esta página alberga muestras de malware en vivo. No descargues a la ligera.

Esto nos lleva al primer gran problema con el que tenemos que lidiar. ¿Cómo maneja el malware sin infectar su máquina y una red más amplia? La virtualización puede ser una gran parte de la respuesta aquí. Es un gran salto para el malware infectar una máquina virtual y luego saltar la brecha para infectar el host. Un poco de planificación cuidadosa puede hacer que esto sea aún más seguro. Primero, use un sistema operativo o distribución diferente para su host de VM y cliente de investigación. El malware sofisticado tiende a ser muy específico, y es poco probable que una muestra dada tenga soporte para dos distracciones diferentes integradas. El host bare metal es una instalación actualizada para la mejor seguridad, pero ¿qué pasa con la víctima?

Si bien queremos una base a prueba de balas, nuestra máquina virtual de investigación debe ser vulnerable. Si el malware está dirigido a una versión o biblioteca de kernel específica, necesitamos esa versión exacta incluso para comenzar. Desafortunadamente, las muestras en MalwareBazaar no incluyen detalles sobre la máquina donde se encontraron, pero vienen con enlaces a otras herramientas de análisis, como Intezer Analyze. Una cadena incrustada en particular me llamó la atención: GCC: (GNU) 4.4.7 20120313 (Red Hat 4.4.7-17) Probablemente sea de la máquina donde se compiló esta muestra particular de Symbiote, y parece un buen punto de partida. GCC 4.4.7-17 se envió con Red Hat Enterprise Linux versión 6.8. Así que tomamos un DVD ISO en vivo de CentOS 6.8 y lo iniciamos en nuestro host VM.

El siguiente paso es descargar las muestras de malware directamente desde MalwareBazaar. Vienen en zips encriptados, solo para que sea más difícil infectarse accidentalmente. No queremos que aterricen en ningún lugar que no sea el objetivo previsto. Fui un paso más allá y desconecté tanto el adaptador de red virtual como el cable de red física, para ventilar realmente mi entorno de investigación. Tenía mi malware y un objetivo probable, y era hora de probar mi teoría de que Symbiote se estaba esforzando demasiado por ser astuto y haría sonar la alarma si lo picaba correctamente.

¡Éxito! Usamos touch para crear un archivo llamado java.hy usando ls para comprobar que realmente está allí. A continuación, agregue el LD_PRELOAD y correr ls otra vez y java.h desaparecido misteriosamente. Un truco similar funciona para detectar la ocultación de procesos. nos damos la vuelta java.h en un guión escribiendo while true; do sleep 1; done en ello. Ejecute el script en segundo plano y vea si aparece en la lista. ps -A -caf. Para un nombre de archivo en la lista de caché de Symbiote, también desaparece. La mejor parte es que podemos escribir esta detección. te doy sym-test.sh. Crea y ejecuta un script simple para cada uno de los archivos Symbiote conocidos, luego usa ls y ps buscar los guiones. Una variante simbiótica que funciona como los especímenes que hemos visto en la naturaleza delatará su presencia y será detectada. Si encuentra Symbiote en su máquina con este script, ¡asegúrese de hacérnoslo saber!

Secuestro BGP - Tal vez

Hubo un poco de rareza BGP la semana pasada cuando la compañía de telecomunicaciones rusa, Rostelecom, anunció una ruta para 17.70.96.0/19. Este bloque de IP es propiedad de Apple, y todo apunta a que se trata de un anuncio no autorizado. BGP, el Protocolo de puerta de enlace fronteriza, es uno de los protocolos de red más importantes de los que quizás no haya oído hablar, y esencialmente contiene las instrucciones sobre cómo enrutar el tráfico de Internet en todo el mundo. Históricamente, tampoco tenía ningún protocolo de seguridad incorporado, simplemente dependía del buen comportamiento de todos los jugadores. Existe RPKI, un nuevo estándar para firmas criptográficas para actualizaciones de enrutamiento, pero no es un requisito estricto y aún no se implementa ampliamente.

BGP, sin ninguno de los esquemas de mejora de seguridad, funciona respetando la ruta más específica disponible. Apple anuncia rutas para 17.0.0.0/9, una red de más de 8.000.000 de IP. Rostelecom comenzó a anunciar 17.70.96.0/19, una subred mucho más pequeña que contiene poco más de 8000 direcciones IP. La ruta más específica gana, y Rostelecom tiene un ASN válido, por lo que Internet hizo el cambio de enrutamiento. Alguien en Apple se dio cuenta y envió una actualización de enrutamiento para 17.70.96.0/21, moviendo lo que probablemente son las 2046 direcciones IP más importantes a su destino correcto. Después de aproximadamente 12 horas, Rostelecom eliminó las rutas falsas. Ni Apple ni Rostelecom emitieron declaraciones sobre el incidente.

Si este fue el primer incidente que involucró a Rostelecom, sería natural concluir que fue un error honesto. Rostelecom ha mostrado un mal comportamiento en el pasado, por lo que el elemento de negación plausible disminuye. ¿Podría ser esto parte de una operación dirigida contra el iPhone o la cuenta de Apple de alguien? Es difícil decir si sabremos los detalles pronto. Como mínimo, puedes ver una repetición de la masacre de la red.

Secuestro de enrutamiento de correo electrónico

Cloudflare se está expandiendo hacia el enrutamiento de correo electrónico y el explorador [Albert Pedersen] estaba un poco molesto por no haber sido invitado a la Beta cerrada. (La versión beta ya está abierta, si necesita direcciones de correo electrónico virtuales para sus dominios). Resulta que puede usar algo como Burp Suite para "suscribirse" a la versión beta en secreto: solo obtenga la respuesta de la API de Cloudflare mientras carga la versión beta. . panel y configurar "beta": true. El backend no verifica después de la carga inicial del panel. Si bien el acceso a una versión beta cerrada temporalmente no es un gran problema de seguridad, sí sugiere que se pueden encontrar algunos errores similares. Spoilers: lo fue.

Cuando configura un dominio en su cuenta de Cloudflare, primero agrega el dominio y luego sigue los pasos para verificar la propiedad. Hasta que se haga eso, es un dominio no verificado, un estado de limbo en el que no debería poder hacer nada más que completar la verificación o eliminar el dominio. Incluso si un dominio está completamente activo en una cuenta, puede intentar agregarlo a una cuenta diferente y aparecerá como uno de estos dominios pendientes. Nuestro intrépido hacker tuvo que verificar, ¿había un cheque faltante similar aquí? ¿Qué sucede si agrega enrutamiento de correo electrónico a un dominio no verificado? Resulta que, en ese momento, funcionó sin quejarse. Regado ya tenía que usar Cloudflare para el correo electrónico, pero este truco permitió capturar todos los correos electrónicos que iban a dicho dominio. [Albert] informó Cloudflare a través de HackerOne, y ganó $6,000 por el hallazgo. ¡Hermoso!

Post-cuántico, pero aún roto

El Instituto Nacional de Estándares y Tecnología, NIST, está realizando una competencia en curso para seleccionar la próxima generación de algoritmos criptográficos, con el objetivo de un conjunto de estándares que sean inmunes a las computadoras cuánticas. Recientemente hubo un recordatorio bastante claro de que, además de la resistencia a los algoritmos cuánticos, un esquema criptográfico también debe ser seguro contra los ataques clásicos.

SIKE fue uno de los algoritmos que se abrió paso en el proceso de selección, y recientemente se publicó un artículo que mostraba una técnica para descifrar el algoritmo en aproximadamente una hora. La técnica utilizada se conoce desde hace algún tiempo, pero hay matemáticas extremadamente avanzadas, razón por la cual tomó tanto tiempo probar el ataque exacto. Si bien los criptógrafos son matemáticos, generalmente no trabajan en el ámbito de las matemáticas de vanguardia, por lo que estas interacciones imprevistas surgen de vez en cuando. Por lo menos, es genial que la falla se haya descubierto ahora, y no después de la ratificación y el uso generalizado de la nueva técnica.

Bits y bytes bruggling

Interfaz del navegador y contrabando, Bruggling es una nueva técnica de exfiltración de datos que es lo suficientemente tonta como para funcionar. Algunas redes corporativas hacen todo lo posible para limitar las formas en que los usuarios y las aplicaciones maliciosas pueden recibir datos de la red y transmitirlos a un malhechor a través de Internet. Esta es una búsqueda algo desesperada, y Bruggling es otro ejemplo. ¿Así que qué es lo? Bruggling mete datos en los nombres y contenidos de los marcadores y permite que el navegador sincronice esos marcadores. Debido a que esto parece tráfico normal, aunque posiblemente mucho tráfico, generalmente no activará ningún sistema IDS como lo harían las solicitudes extrañas de DNS. Hasta ahora, Bruggling es solo una idea académica y no se ha observado en la naturaleza, pero podría estar llegando a un malware cerca de usted.

LibreOffice ha solucionado recientemente una serie de problemas, y dos de ellos son particularmente dignos de mención. Primero está CVE-2022-26305, una falla en la forma en que se firman y verifican las macros. La firma de la macro en sí no se verificó correctamente y, al clonar el número de serie y la cadena de versión de una macro confiable, un malicioso podría eludir el filtro normal. Y CVE-2022-26306 es una debilidad criptográfica en la forma en que LibreOffice almacena las contraseñas. El vector de inicialización utilizado para el cifrado era un valor estático en lugar de generarse aleatoriamente para cada instalación. Este tipo de falla generalmente permite un ataque previo al cálculo, donde se puede compilar una tabla de búsqueda que permite descifrar rápidamente un conjunto de datos cifrados arbitrariamente. En las versiones actualizadas de LibreOffice, si utiliza esta función, se le solicitará al usuario una nueva contraseña para volver a cifrar su configuración de forma más segura.

Samba también solucionó un puñado de problemas, uno de los cuales suena como una gran trama para una película de trucos de Hollywood. Primero está CVE-2022-32744, una falla lógica en la que se acepta cualquier contraseña válida para una solicitud de cambio de contraseña, en lugar de aceptar solo la contraseña válida para la cuenta que se cambia. Y CVE-2022-32742 es el divertido, donde una conexión SMB1 puede desencadenar un desbordamiento de búfer. Básicamente, un cliente le dice al servidor que quiere imprimir 10 megabytes y envía los 15 bytes para imprimir (los números se inventan para aclarar el punto). El servidor copia los datos del búfer demasiado pequeño y utiliza el valor de tamaño establecido por el atacante en Heartbleed. yo quiere ver la película de cabras donde se roban datos usando este tipo de error, imprímalos en la impresora de paso de línea olvidada hace mucho tiempo.

Y finalmente, las instalaciones de Atlassian Confluence están bajo ataque activo, como resultado de un puñado de exploits. Quedaron credenciales codificadas en la solución local de Confluence, y esas credenciales se publicaron en línea. Un par de vulnerabilidades críticas en Servlet Filters se pueden explotar sin credenciales válidas. Si todavía está ejecutando instalaciones de Confluence sin parches ni miligaciones, podría ser el momento de saltar directamente a la contención y la limpieza. ¡Vaya!

  • Jouni dice:

    ¿Entonces eso significa que Rusia secuestró todo el tráfico del mundo que originalmente estaba destinado a Apple?

    Los operadores globales deben descartar todos los anuncios de Rostelcom. Que jueguen su propio juego..

Joel Carrasco
Joel Carrasco

Deja una respuesta

Tu dirección de correo electrónico no será publicada.