Mirai, 5 mitigating rules

Hang op, klik weg en check je router (in 5 stappen).

Botnets maken gebruik van de zwakste schakels op het Internet en zullen deze zeker voor enige tijd vinden in het Internet of Things domein. Een van de populairste botnets van vandaag is het Mirai botnet (zie mijn vorige blog).

Maatregel 1: Pas je wachtwoord aan

  • Mirai maakt gebruik van slecht of beter gezegd niet geconfigureerde IoT-componenten door gebruik te maken van de standaard gebruikersnaam/wachtwoord.

Maatregel 2: Disable all management access via WAN (at least Telnet port 23)

  • Mirai benadert de componenten via Telnet over poort 23.

Maatregel 3: Zet je component (of firewall) in stealth-mode.

  • Meer ‘sophisticated’ botnets gaan opzoek naar kwetsbaarheden in een bepaald type component van een leverancier. Eenmaal gevonden wordt het Internet afgezocht naar identieke componenten. De zoekmachine Shodan.io faciliteert de cybercrimineel hierin, het toont alle componenten die via het Internet benaderbaar zijn.

shodan

Maatregel 4: Update je router

  • Veel mensen hanteren het adagium ‘if it ain’t broken, dont fix it. Maar dit is een 20ste eeuwse houding. Patchen is absoluut noodzakelijk. Helaas ben je hier wel áfhankelijk van de bereidheid van je leverancier.

Maatregel 5: Controleer je router op kwetsbaarheid

Be aware and be prepared.

Advertenties
Geplaatst in Security | Tags: , , , | Een reactie plaatsen

Mirai the Botnet of Things

Botnet Mirai rocks the Internet. Het legde op vrijdag 21 oktober 2016 een groot deel van het Internet plat, door een DDoS-aanval uit te voeren op DNS-provider Dyn.com. Ik durf de bewering aan dat het hier gaat om volledig geregisseerde aanval. Time for a deep dive.

Timeline

  • 20 september 2016, DDoS-aanval op de website van security journalist Brian Krebs, KrebsOnSecurity.com. De aanval, 620 Gbps was recordbreaking op dat moment, namelijk twee maal groter dan de grootste. Hier krijgt Mirai (Japans voor toekomst) publieke bekendheid.
  • 20 september 2016, DDoS-aanval op hosting provider OVH.com met een nieuw record van 1 Tbps.
  • Hackforums30 september 2016, op Hackforums.net publiceert een member ‘Anna-senpai‘ de broncode en geeft uitleg bij de werking er van. De member hanteert een avi van de manga figuur Anna Nishikinomiya die een hoofdrol speelt in de Japanse serie ‘Shimoseka’, wat zich afspeelt in de toekomst en zich richt op moraliteit.
  • 1 oktober 2016 komt de broncode ook (inmiddels vele malen) beschikbaar via Github, waaronder door member JGamblin.
  • 10 oktober 2016, onderzoekers van RSA maken melding van een IoT-botnet te huur wordt aangeboden op tor-based AlphaBay.
  • 21 oktober 2016, een DDoS-aanval op DNS-provider Dyn.com waardoor vele populaire websites als Amazon, Paypal, Twitter, Spotify, Reddit, Soundcloud, The New York Times, GitHub, AirBnB en vele anderen onbereikbaar zijn. De aanval werd opgezet door zo’n 50.000 tot 100.000 door Mirai geïnfecteerde IoT-apparaten (20% van het totaal, schatte Dale Drew CTO van Level 3).
  • 22 oktober 2016. Op Twitter is een account aangemaakt (@MiraiAttacks) die de aanvallen van Mirai in haast realtime twittert.

Broncode
Het botvirus is geschreven in C en de CnC in Go. Om het te kunnen compileren zullen er eerst verschillende cross compilers geïnstalleerd moeten worden. Hieruit mogen we concluderen dat apparatuur die een dergelijke CPU/architectuur bevatten potentieel besmet kunnen worden met het bot-virus.

  • i586 (Vortex86DX), mipsmipselarmv4l (waaronder Raspberry), armv5larmv6lpowerpc (Apple), sparc (Sun), m68k (Motorola), sh4 (SuperH).

Werking
Het Internet wordt afgezocht naar te besmetten IoT-apparaten op basis van genoemde CPU-architectuur. Het ‘virus’ is weinig intelligent. Het maakt geen gebruik van zero-days of populaire kwetsbaarheden, maar zoekt verbinding via telnet en probeert met een default gebruikersnaam en wachtwoord aan te melden. In de broncode is een waslijst aan gebruikersnaam / wachtwoord combinaties opgenomen.

Mirai_Scanner.c

Zodra het botvirus ‘binnen’ is, zet hMirai logon pageet een verbinding op met de CnC. Hiervoor worden poorten 23 en 101 gebruikt waarbij poort 23 gebruikt wordt voor de besturing en poort 101 voor API management. Het eerste bericht bevat de identificatie van het botvirus. De CnC zal het botvirus registreren in zijn SQL database. Gedurende de besmetting zal het botvirus een “I’m alive/heartbeat” sturen naar de CnC. Meer gedetailleerde uitwerking van de berichten zijn te vinden op de website van Ixia.

DDoS-aanval
Vanuit de CnC-server wordt de opdracht gegeven om een DDoS-aanval te gaan opzetten. De gebruiker heeft nog de keuze uit een reeks verschillende type DDoS-aanvallen, waaronder:

  • UDP flood“, “Valve source engine specific flood“, “DNS resolver flood“,
    SYN flood“, “ACK flood“, “TCP stomp flood“, “GRE IP flood“, “GRE Ethernet flood“, “UDP flood” en “HTTP flood“.

Verspreiding en activiteit
Doordat de broncode openbaar via Github gepubliceerd is, neemt het aantal botnets en Command & Control servers nog altijd toe. Verschillende websites bieden inmiddels realtime botnettrackers, zoals bijvoorbeeld Intel.

Mirai-Botnet-tracker

Food for Conspiracy-denkers
Het is geen toeval dat de aanval begon met een aanval op ‘KrebsOnSecurity. Dit moet deel hebben uitgemaakt van een ‘hoger’ plan, namelijk direct alle aandacht opvragen. Ook de broncode publiceren maakt hier deel van uit. Vele cybervandalen zullen er gelijk gebruik van maken wat het totaal beeld diffuus maakt. Vervolgens wordt op geraffineerde wijze Dyn.com aangevallen en wisten de vandalen hiermee een groot deel van het Internet plat te leggen. NBC News verdenkt Noord Korea van de aanval omdat zij samen met andere Eastliners (Iran, Syrië, etc.) graag vitale infrastructuren in de Verenigde Staten lam leggen.

Geplaatst in Security | Tags: , , , | 3 reacties

Airlines got hacked?

1937CNAfgelopen maandag werd Delta getroffen door een computerstoring, met als gevolg dat de totale vloot aan de grond moest blijven. 19 dagen eerder overkwam dit Southwest Airlines ook al. Was dit toeval of is er meer aan de hand, immers op 29 juli werd de Vietnamese luchtvaartmaatschappij aangevallen door een groep Chinese hackers genaamd 1937CN.

Storing Southwest Airlines
Woensdag 20 juli werd de mobiele app, de website en verschillende IT-systemen op luchthavens geraakt door een computerstoring. Het was niet meer mogelijk om een vlucht te boeken dan wel in te checken. Het onderzoek naar de werkelijke oorzaak loopt nog. Dit was overigens niet de eerste keer immers in oktober was er ook al een computerstoring met 500 geannuleerde vluchten tot gevolg.

Southwest AirlinesIn cijfers uitgedrukt veroorzaakte de computerstoring een annulering van in totaal 1150 vluchten en een daling van het aandeel van 1,6%.

Storing Vietnam Airlines
Vrijdag 29 juli werd de website van Vietnam Airlines en de vlucht informatie systemen van Hanoi en Ho Chi Minhstad gehackt. Gevolg hiervan was vele vertragingen en duizenden gedupeerde reizigers. Vietnam stelt een Chinese groep hackers genaamd 1937CN verantwoordelijk welke een statement wilde maken in het conflict rond de Zuid-Chinese Zee.

Storing Delta Air Lines
Maandag 8 augustus werd Delta geraakt door een stroomstoring bij haar energieleverancier wat uitval van verschillende kritieke systemen en componenten tot gevolg had. Door de sterk verouderde software en infrastructuur namen de backup systemen de functionaliteit niet over.

Delta Air LinesIn cijfers uitgedrukt werden 1.600 vluchten geannuleerd, 7.359 vluchten liepen vertraging op, vele tienduizenden passagiers liepen enorme vertraging op en financieel een verlies van 30 miljoen dollar.

Zuid-Chinese Zee conflict
De aangrenzende landen, Maleisië, Brunei, Vietnam, Filipijnen, Taiwan, Japan en China maken allemaal aanspraak op Spratly-eilanden in deze zee. Niet geheel zonder reden immers de regio is rijk aan olie en gas. Het conflict werd op scherp gezet doordat China begon met de aanleg van een zevental kunstmatige eilanden. Inmiddels heeft China op één van de eilanden een hangaar en landingsbaan voor gevechtsvliegtuigen gebouwd. Vietnam antwoordde hierop door raketwerpers in de regio te stationeren. Inmiddels heeft ook de Verenigde Staten zich met dit conflict bemoeid en verwijt China intimidatie. Het conflict is voorgelegd aan het Permanente Hof van Arbitrage in Den Haag welke zegt dat China geen gezag kan uitoefenen op het ook door de Filipijnen geclaimde deel van de Zuid-Chinese Zee. Ook vindt het hof dat China de soevereiniteit van de Filipijnen heeft geschonden door in die wateren economische activiteiten te ontwikkelen.

Vietnamske_ostrovy

De spanningen in deze regio lopen op, zeker nu het een haast mondiaal conflict is geworden. Chinezen zijn zeer nationalistisch en patriottistisch van aard, dus het zou mij niet verbazen dat een sympathiserende hackersbeweging betrokken is bij deze gebeurtenissen.

Anderzijds verbaast het mij dat deze luchtvaartmaatschappijen de beschikbaarheid van hun systemen onvoldoende serieus nemen, sterker nog Delta heeft al melding gemaakt dat dergelijke storingen vaker zullen voorkomen. De gevolgen van verschillende acquisities worden als excuus aangedragen maar het is onbegrijpelijk dat de complexiteit wordt beschouwd als gegeven. 

Geplaatst in Security | Tags: , | 1 reactie

Pollute your surfing behavior

IMG_3376Wants to surf the Internet anonymously, use speciallized tooling … or contaminate your surfing behavior by polluting it (use the script).

Erosion of Privacy
Privacy is the new gold of the virtual world and therefore the most important mineral of the 21st century. Governments and commercial organizations show great interest in our digital behavior. Many companies earns a lot of money by selling and using your surfing behavior. Infringement of privacy is almost daily news on the Internet despite the fact that many countries have guaranteed privacy in specific legislation (such as Personal Data Protection Act in the Netherlands). Privacy erodes (see “Erosion of Privacy“).

‘Anonimize your self’ method
There are various technical solutions to anonymize your Internet behavior. Like Tails which is a complete operating system that preserves your privacy and anonymity. Or use TOR that is based on encryption and anonymous proxies. The easiest way is to make use of duckduckgo.com as your search engine. Beside this there are plenty how-to’s on the Internet to help you (see also ‘Help I’m a terrorist‘ and ‘The End of the Free Internet‘).

‘Pollute yourself’ method
A completely other new alternative is to make it diffuse by polluting your browsing behavior. Therefore you only have to run some kind of cloaking script, like the one underneath. It constantly browse the Internet looking for completely randomized url’s. Your surfing behavior will disapear. Remember a forest is still the best place to hide a tree.

Cloaking Script:

array [1] = "http://www.telegraaf.nl/"         # initial URL
max_idx = 1                                    # array length (initial)
start                                          # start endless loop
  rnd = integer between 1 and max_idx
  display_page = get array [rnd]               # read variable URL of array
  array = all URLs's                           # put all URLs of current page in array
  max_idx = array length                       # set maximum array length
  wait for random between one and five minutes # to look human
  go to start                                  # back to beginning

(* note: the above script will convert later to Python).

Be prepared

Geplaatst in Security | Tags: , , | 1 reactie

Het idealisme van The Pirate Bay

TPBOp 28 september 2015 is Gottfrid Svartholm Warg vrij gekomen, één van de oprichters van ‘The Pirate Bay’. De populariteit van de website verschafte de oprichters een cultstatus maar als we hun carrière werkelijk onder de loep nemen is hier louter sprake van economische motieven. Naast de schending van de auteursrechten heeft Svartholm zich ook schuldig gemaakt aan enkele computerinbraken.

The Pirate Bay
Per Gottfrid Svartholm Warg (17 oktober 1984), a.k.a. Anakata startte met Fredrik Neij en Peter Sunde een hosting bedrijf PRQ maar werden vooral bekend door de site ‘The Pirate Bay’. De site indexeerde torrentlinks naar veelal illegale content, voor alle duidelijkheid bevatte het zelf dus geen illegale bestanden. Het downloaden en daarmee de site werd zo populair dat verschillende Europese landen waaronder Nederland, haar providers verplichtte geen toegang meer te verlenen tot de ‘The Pirate Bay’ (Blacklisting). In het juridisch getouwtrek of een verwijzing naar illegale content nu wel of niet strafbaar is, trokken ‘The Pirate Bay’-leden uiteindelijk toch aan het kortste eind. De site werd uit de lucht gehaald, de domeinnamen overgenomen door de staat en de heren moesten verschijnen voor de rechtbank.

Veroordeling
TPB2Uiteindelijk werd Svartholm samen met de mede oprichters en hun investeerder Carl Lundström in april 2009 uiteindelijk veroordeeld tot gevangenisstraf van vier tot tien maanden en het betalen van een boete van 6,8 miljoen dollar wegens het beschikbaar stellen van auteursrechtelijk beschermd materiaal. De heren ging in hoger beroep en niet zonder succes. Svartholm ging niet in hoger beroep maar probeerde zijn straf te ontlopen door te vluchten naar Cambodja.

Hacking and Fraud in Sweden
In 2012 werd Svartholm verdacht van een computerinbraak in de IBM mainframe van Logica welke gebuikt werd door de Zweedse belastingdienst (InfoTorg?) en de Zweedse bank Nordea. Naast de diefstal van vele duizenden zeer privacy gevoelige informatie, wist hij ook ruim 3.000 euro over te maken en probeerde hij via verschillende andere transacties in totaal 683.000 euro te stelen. Hij werd veroordeeld tot een jaar gevangenisstraf. Deze veroordeling zorgde ervoor dat Svartholm’s vlucht na drie jaar tot een eind kwam. Hij werd op 30 augustus 2012 in Phnom Penh (Cambodja) gearresteerd en in september uitgeleverd aan Zweden. Svartholm werd in hoger beroep vrijgesproken omdat de rechter niet kon ontkennen dat hackers op afstand misbruik hadden gemaakt van Svartholm’s computer.

Biggest hack of Denmark
wargOp 17 april 2013 werd Svartholm Warg in Denemarken wederom aangeklaagd voor computerinbraak. Dit keer had Svartholm samen met een 21-jarige medeplichtige genaamd ‘JLT’ ingebroken bij de hostingprovider CSC en daarmee toegang verkreeg tot systemen van Deense overheidsdiensten. Hij had daardoor toegang tot het Deense bevolkingsregister, het rijbewijs register en het Schengen-informatiesysteem (SIS) welke opsporingsinformatie bevat binnen de Schengen landen. Ook zou hij email accounts en wachtwoorden van 20.000 politieagenten en ambtenaren hebben bemachtigd. De inbraak wordt gezien als de grootste cyberinbraak van Denemarken (zie ook de timeline). Wederom verklaarde Svartholm dat hackers op afstand misbruik hadden gemaakt van zijn computer echter dit keer zonder succes want op 27 november 2013 werd hij aan Denemarken uitgeleverd om daar zijn 3 1/2 jaar durende straf uit te zitten.

FreeAnakata.com
freeanakata1‘The Pirate Bay’ mannen genoten een cultstatus. De veroordeling van Svartholm leidde tot een mondiale bemoeienis, zelfs zodanig dat Julian Assange (WikiLeaks) opriep tot vrijlating. De Deense overheid werden 106.000 protestbrieven aangeboden die zijn vrijlating onderschreven. Er werd zelfs een website (freeanakata.se) in het leven gebracht die het onrecht dat Svartholm was aangedaan probeerde aan het licht te brengen. Zijn moeder Kristina Svartholm was overigens de grootste voorvechtster (wat natuurlijk wel weer begrijpelijk is). Op 28 september 2015 kwam hij na twee jaar (2/3de van zijn straf wegens goed gedrag) weer vrij.

Idealisme van ‘The Pirate Bay’
De heren van ‘The Pirate Bay’ beroepen zich op de vrijheid van meningsuiting maar als we hun carrière werkelijk onder de loep nemen zie we enkel maar economische motieven. Svartholm’s idealisme kwam pas werkelijk tot uiting door de oprichting van de website ‘Americas Dumbest Soldiers‘. Op de site werden Amerikaanse soldaten getoond die gesneuveld waren in de oorlog in Irak. De bezoeker kon vervolgens een ‘domheids‘-cijfer geven per overledene.

Geplaatst in Security | Tags: , , | 2 reacties

Backdoors in Juniper ScreenOS na twee jaar verwijderd

Juniper-Networks-logoJuniper heeft ‘achterdeuren’ gevonden in zijn software. Dit kwam aan het licht tijdens een code review. Zie hier de waarde van kwaliteitscontroles. Jammer is wel dat Edward Snowden hier twee jaar geleden al uitgebreid melding van maakte.

De betreffende netwerkapparatuur stond ook al in de NSA 50-pager Spy Catalog zoals die door Der Spiegel gepubliceerd werd. Zo is daarin te lezen:

FEEDTHROUGH: Is a Juniper NetScreen Firewall implant that enables remote access to the company's N5XT, NS25, NS50, NS200, NS500, ISG1000 models.
GOURMETTHROUGH: A configurable implant for a number of Juniper Firewalls.
SOUFFLETTHROUGH: Is an implant hidden in the BIOS for Juniper SSG300 and SSG500 devices providing a permanent back door (PBD).

Volgens Juniper is niet vast te stellen of deze ‘achterdeuren’ ook daadwerkelijk misbruikt zijn, maar aan de andere kant waarom zijn ze anders ingebouwd.

At this time, we have not received any reports of these vulnerabilities being exploited

Natuurlijk moeten inlichtingendiensten hun werk doen maar ‘achterdeuren’ bouwen in apparatuur die juist ontworpen worden om ongewenst verkeer tegen te houden is onacceptabel. We gaan hier veel te lichtzinnig mee om immers er is geen enkele garantie dat deze ‘achterdeuren’ ook niet misbruikt zijn door echte kwaadwillenden.

Geplaatst in Security | Tags: , | Een reactie plaatsen

Verslag Heliview Cyber-Security Congres 2015

sarrah-harrisonBij blijven in je vakgebied betekent veel artikelen lezen en conferenties bezoeken. Het Heliview Cyber-Security congres mag dan ook niet ontbreken. Daarom stond 15 november 2015 in mijn agenda gereserveerd. De Rijtuigenloods in Amersfoort was het plaats delict. Het congres kreeg de werktitel ‘Hacking awareness: “Our crown jewels in danger”‘, een titel die weinig ruimte laat voor een bredere interpretatie. Persoonlijk keek ik erg uit naar de eerste en de laatste sprekers. Robert Spronk, directeur operatiën bij de AIVD en Wikileaks journaliste Sarah Harrison. Of het nu kwam door het gebrek aan voorbereiding dan wel de beperkte presentatieve competenties, waren beide sprekers verleid tot het voorlezen van de boodschap.

De Nederlandse economie is in toenemende mate het slachtoffer van digitale spionage‘, zo opende Robert Spronk zijn keynote. ‘Internet is een game changer voor spionage‘ door de toename in anonimiteit, het bereik, de snelheid en de omvang. Dit blijkt ook uit het feit dat vele landen bezig zijn zich te ontwikkelen op cyber gebied. Allen met verschillende motieven. Zo kenmerkt China zich door haar diefstallen van intellectuele eigendommen en Noord Korea zich op de vernietiging van Zuid Korea. Daarnaast kennen we maar al te goed de Stuxnet-aanval van (waarschijnlijk) Amerika en Israël tegen Iran. Maar minder bekend zijn de tegenaanvallen van Iran tegen Saudi Arabië. En bij de recente Sony hack wijzen de vingers weer naar Noord Korea. Deze ‘East versus West‘ aanvallen duren maar voort.

Internet is ook een ‘game changer’ voor cyber criminaliteit. Dit werd al snel duidelijk gemaakt door Ronald Prins die de ‘The Latest Great Bank Robbery’ door de Carbanak-gang beschreef (door Ronald Anunak genoemd). Deze roof maakt ons duidelijk waartoe moderne cybercriminaliteit in staat is. Verbazingwekkend is de georganiseerdheid van deze bende, immers zijn drie jaar bezig geweest om hun doel te bereiken. Ruim honderd financiële dienstverleners waren het slachtoffer. Ronald sprak nog de geruststellende woorden uit dat Nederlandse banken niet de dupe waren omdat deze beter beschermd zijn, maar dit vraag ik mij af omdat Duitse en Franse financiële dienstverleners wel slachtoffer waren.


Sarah Harisson las haar presentatie in een zo’n rap tempo voor dat alle kracht uit de boodschap verdween. Gelukkig gaf ze voldoende emotie mee aan het beantwoorden van de vragen. Wikileaks.org is een klokkenluiderssite en zoals het met alle klokkenluiders vergaat krijgen deze nooit de credits die ze zouden moeten verdienen. Integendeel, hoe ver zou je moeten gaan met bijvoorbeeld de schending van de privacy om net zo verkettert te worden als Julian Assange of Edward Snowden. Privacy is hét verdienmodel van de 21ste eeuw en zal de komende jaren zeker een verdere erosie ondergaan.

assange_zuckerberg

Geplaatst in Security | Tags: , , , | Een reactie plaatsen