Cette semaine en matière de sécurité : recherche et détection de Symbiote, détournements de routage, bruggling, etc.

La semaine dernière, nous avons couvert le Symbiote Rootkit, basé sur l’excellent travail de Blackberry, Intezer et Cyber ​​Geeks. Ce logiciel malveillant nécessite des étapes particulièrement astucieuses et sournoises pour se cacher. Il utilise un LD_PRELOAD pour interférer avec les bibliothèques système à la volée, en masquant certains fichiers, processus, ports et même le trafic des utilisateurs et des outils de détection. Lisez la colonne de la semaine dernière et les articles sources qui y sont liés pour les détails.

Il existe une technique générale pour détecter les rootkits, où un outil crée un fichier ou un processus qui imite les éléments du rootkit, puis vérifie si l’un des faux disparaît mystérieusement. En lisant sur Symbiote, j’ai cherché des outils que nous pourrions recommander, qui utilisent cette technique pour vérifier les infections. Bref, j’ai épousseté mon chapeau de chercheur en sécurité et je me suis mis au travail. Un pointeur très utile d’Intezer m’a conduit à la page de MalwareBazaar sur Symbiote. Notez que cette page héberge des exemples de logiciels malveillants en direct. Ne téléchargez pas à la légère.

Cela nous amène au premier gros problème que nous devons résoudre. Comment gérez-vous les logiciels malveillants sans infecter votre machine et votre réseau plus large ? La virtualisation peut être une grande partie de la réponse ici. C’est un très grand saut pour les logiciels malveillants d’infecter une machine virtuelle, puis de sauter l’écart pour infecter l’hôte. Un peu de configuration minutieuse peut rendre cela encore plus sûr. Tout d’abord, utilisez un système d’exploitation ou une distribution différente pour votre hôte VM et votre client de recherche. Les logiciels malveillants sophistiqués ont tendance à être très ciblés, et il est peu probable qu’un échantillon donné prenne en charge deux distributions différentes. L’hôte bare-metal est une installation à jour pour une meilleure sécurité, mais qu’en est-il de la victime ?

Alors que nous voulons une fondation à l’épreuve des balles, notre machine virtuelle de recherche doit être vulnérable. Si le logiciel malveillant cible une version ou une bibliothèque spécifique du noyau, nous avons besoin de cette version exacte pour commencer. Malheureusement, les échantillons de MalwareBazaar n’incluent pas de détails sur la machine où ils ont été trouvés, mais ils sont accompagnés de liens vers d’autres outils d’analyse, comme Intezer Analyze. Une chaîne intégrée particulière a attiré mon attention : GCC: (GNU) 4.4.7 20120313 (Red Hat 4.4.7-17) Cela vient probablement de la machine sur laquelle cet échantillon Symbiote particulier a été compilé, et cela semble être un bon point de départ. GCC 4.4.7-17 est livré avec Red Hat Enterprise Linux version 6.8. Nous récupérons donc un ISO de DVD live CentOS 6.8 et le démarrons sur notre hôte VM.

L’étape suivante consiste à télécharger les échantillons de logiciels malveillants directement à partir de MalwareBazaar. Ils viennent dans des zips cryptés, juste pour rendre plus difficile de vous infecter accidentellement. Nous ne voulons pas qu’ils atterrissent ailleurs que sur la cible visée. Je suis allé un peu plus loin et j’ai déconnecté à la fois l’adaptateur réseau virtuel et le câble réseau physique, pour vraiment séparer mon environnement de recherche. J’avais mon logiciel malveillant et ma cible probable, et il était temps de tester ma théorie selon laquelle Symbiote s’efforçait trop d’être sournois et déclencherait l’alarme si je le poussais juste.

Succès! Nous utilisons touch pour créer un fichier nommé java.het en utilisant ls pour vérifier qu’il est bien là. Ensuite, ajoutez le LD_PRELOAD et courir ls encore, et java.h a mystérieusement disparu. Une astuce similaire fonctionne pour détecter le masquage de processus. On tourne java.h dans un script en écrivant while true; do sleep 1; done dans ça. Exécutez le script en arrière-plan et vérifiez s’il est répertorié dans ps -A -caf. Pour un nom de fichier sur la liste masquée de Symbiote, il disparaît également. La meilleure partie est que nous pouvons scripter cette détection. Je te donne, sym-test.sh. Il crée et exécute un script simple pour chacun des fichiers Symbiote connus, puis utilise ls et ps pour rechercher les scripts. Une variante Symbiote qui fonctionne comme les échantillons que nous avons vus dans la nature révélera sa présence et sera détectée. Si vous trouvez Symbiote sur votre machine via ce script, assurez-vous de nous le faire savoir !

Détournement BGP — Peut-être

Il y a eu un peu de bizarrerie BGP la semaine dernière, où la société de télécommunications russe, Rostelecom, a annoncé un routage pour 17.70.96.0/19. Ce bloc d’adresses IP appartient à Apple, et tous les signes indiquent qu’il s’agit d’une annonce non autorisée. BGP, le Border Gateway Protocol, est l’un des protocoles réseau les plus importants dont vous n’avez peut-être pas entendu parler, et contient essentiellement les instructions sur la façon d’acheminer le trafic Internet dans le monde. Historiquement, il n’y a pas non plus de protocoles de sécurité intégrés, reposant simplement sur le bon comportement de tous les joueurs. Il existe RPKI, une nouvelle norme pour les signatures cryptographiques pour les mises à jour de routage, mais ce n’est pas une exigence stricte et pas encore largement déployée.

BGP, sans aucun des schémas d’amélioration de la sécurité, fonctionne en respectant la route la plus spécifique disponible. Apple annonce des routes pour 17.0.0.0/9, un réseau de plus de 8 000 000 IP. Rostelecom a commencé à annoncer 17.70.96.0/19, un sous-réseau beaucoup plus petit contenant un peu plus de 8 000 adresses IP. La route la plus spécifique l’emporte, et Rostelecom a un ASN valide, donc Internet a effectué le changement de routage. Quelqu’un chez Apple a prêté attention et a poussé une mise à jour de routage pour 17.70.96.0/21, déplaçant ce qui est probablement les 2 046 adresses IP les plus importantes vers leur destination appropriée. Après environ 12 heures, Rostelecom a abandonné les fausses routes. Ni Apple ni Rostelecom n’ont publié de déclarations sur l’incident.

S’il s’agissait du premier incident impliquant Rostelecom, il serait naturel de conclure qu’il s’agissait d’une erreur honnête. Rostelecom a démontré un mauvais comportement dans le passé, de sorte que l’élément de déni plausible diminue. Cela aurait-il pu faire partie d’une opération ciblée contre l’iPhone ou le compte Apple de quelqu’un ? Il est difficile de dire si nous serons bientôt au courant des détails. À tout le moins, vous pouvez regarder une rediffusion du carnage du réseau.

Piratage du routage des e-mails

Cloudflare se développe dans le routage des e-mails et un chercheur [Albert Pedersen] était un peu vexé de ne pas être invité à la bêta fermée. (La version bêta est maintenant ouverte, si vous avez besoin d’adresses e-mail virtuelles pour vos domaines.) tableau de bord et définissez "beta": true. Le backend ne vérifie pas après le chargement initial du tableau de bord. Bien que l’accès à une version bêta fermée temporairement ne soit pas un énorme problème de sécurité, cela suggère qu’il pourrait y avoir des bogues similaires à trouver. Spoilers : il y en avait.

Lors de la configuration d’un domaine sur votre compte Cloudflare, vous ajoutez d’abord le domaine, puis suivez les étapes pour vérifier la propriété. Jusqu’à ce que cela soit terminé, il s’agit d’un domaine non vérifié, un état de limbes où vous ne devriez pas pouvoir faire autre chose que terminer la vérification ou supprimer le domaine. Même si un domaine est entièrement actif dans un compte, vous pouvez essayer de l’ajouter à un autre compte, et il apparaîtra comme l’un de ces domaines en attente. Notre hacker intrépide a dû vérifier, y avait-il un chèque manquant similaire ici ? Que se passe-t-il si vous ajoutez le routage des e-mails à un domaine non vérifié ? Il s’avère qu’à l’époque, cela fonctionnait sans problème. Un domaine devait déjà utiliser Cloudflare pour les e-mails, mais cette astuce permettait d’intercepter tous les e-mails allant vers un tel domaine. [Albert] a informé Cloudflare via HackerOne et a marqué 6 000 $ pour la découverte. Agréable!

Post-quantique, mais toujours éclaté

L’Institut national des normes et de la technologie, NIST, organise un concours en cours pour sélectionner la prochaine génération d’algorithmes de cryptographie, dans le but d’établir un ensemble de normes immunisées contre les ordinateurs quantiques. Il y a eu récemment un rappel plutôt brutal qu’en plus de la résistance aux algorithmes quantiques, un schéma cryptographique doit également être sécurisé contre les attaques classiques.

SIKE était l’un des algorithmes faisant son chemin à travers le processus de sélection, et un article vient d’être publié qui a démontré une technique pour déchiffrer l’algorithme en environ une heure. La technique utilisée est connue depuis un certain temps, mais il s’agit de mathématiques de très haut niveau, c’est pourquoi il a fallu si longtemps pour que l’attaque exacte soit démontrée. Bien que les cryptographes soient des mathématiciens, ils ne travaillent généralement pas dans le domaine des mathématiques de pointe, de sorte que ces interactions imprévues apparaissent de temps en temps. Si rien d’autre, c’est formidable que la faille ait été découverte maintenant, et non après la ratification et l’utilisation généralisée de la nouvelle technique.

Bits et octets bruggling

Un portemanteau de navigateur et de contrebande, Bruggling est une nouvelle technique d’exfiltration de données qui est juste assez stupide pour fonctionner. Certains réseaux d’entreprise s’efforcent de limiter les moyens par lesquels les utilisateurs et les applications malveillantes peuvent obtenir des données du réseau et les transmettre à un acteur malveillant via Internet. C’est une sorte de quête sans espoir, et Bruggling en est un autre exemple. Alors c’est quoi? Bruggling consiste à insérer des données dans les noms et le contenu des signets et à laisser le navigateur synchroniser ces signets. Comme cela ressemble à du trafic normal, bien que potentiellement * beaucoup * de trafic, il ne déclenchera généralement aucun système IDS comme le pourraient les requêtes DNS étranges. Jusqu’à présent, Bruggling n’est qu’une idée académique et n’a pas été observé dans la nature, mais il se peut qu’il arrive sur des logiciels malveillants près de chez vous.

LibreOffice vient de corriger une poignée de problèmes, et deux d’entre eux sont particulièrement remarquables. Le premier est CVE-2022-26305, une faille dans la façon dont les macros sont signées et vérifiées. La signature de la macro elle-même n’a pas été correctement vérifiée, et en clonant le numéro de série et la chaîne de l’émetteur d’une macro de confiance, une macro malveillante pourrait contourner le filtre normal. Et CVE-2022-26306 est une faiblesse cryptographique dans la façon dont LibreOffice stocke les mots de passe. Le vecteur d’initialisation utilisé pour le chiffrement était une valeur statique plutôt que créée de manière aléatoire pour chaque installation. Ce type de faille permet généralement une attaque de pré-calcul, où une table de recherche peut être compilée qui permet de déchiffrer rapidement un ensemble de données chiffrées arbitraires. Dans les versions à jour de LibreOffice, s’il utilise cette fonctionnalité, l’utilisateur sera invité à entrer un nouveau mot de passe pour rechiffrer sa configuration de manière plus sécurisée.

Samba a également résolu une poignée de problèmes, dont l’un ressemble à un excellent point d’intrigue pour un film de piratage hollywoodien. Le premier est CVE-2022-32744, une faille logique où tout mot de passe valide est accepté pour une demande de changement de mot de passe, plutôt que d’accepter uniquement le mot de passe valide pour le compte en cours de modification. Et CVE-2022-32742 est le plus amusant, où une connexion SMB1 peut déclencher un débordement de tampon. Essentiellement, un client indique au serveur qu’il souhaite imprimer 10 mégaoctets et envoie les 15 octets à imprimer (des chiffres sont fabriqués pour faire valoir le point). Le serveur copie les données du tampon bien trop petit et utilise la valeur de taille définie par l’attaquant, à la Heartbleed. Je veux voir le film caper où les données sont volées en utilisant ce genre de bogue pour les imprimer sur l’imprimante à saut de ligne oubliée depuis longtemps.

Et enfin, les installations d’Atlassian Confluence font l’objet d’attaques actives, à la suite d’une poignée d’exploits. Il restait des informations d’identification codées en dur dans la solution Confluence sur site, et ces informations d’identification ont été publiées en ligne. Une paire de vulnérabilités critiques dans les filtres de servlet sont exploitables sans informations d’identification valides. Si vous utilisez toujours des installations Confluence non corrigées et non atténuées, il est peut-être temps de passer directement au confinement et au nettoyage. Aie!