Nord Nord Sec #12

Hallo, Moin und Herzlich Willkommen - Leinen Los, wir stechen jetzt in die Cyber-See!

Diese Woche ist wieder einiges durch die Feeds geflogen - unter anderem Probleme mit Schaltjahren, Supply Chain Attacken über LLMs, Crimemarket wird hochgenommen, 10 Millionen Dollar Kopfgeld, Tipps zum App-Recon und Guides zu Github Actions Hardening, Malware Infrastruktur Tracking etc.

Dann springen wir doch direkt ins Auge des Orkans!

Breaches und Schwachstellen

⚡️Hugging Face Vulnerability macht KI Modelle für Supply Chain Attacken verwundbar Cybersecurity-Researcher haben eine Schwachstelle in der Safetensors-Konvertierung von Hugging Face entdeckt. Angreifern ermöglicht das, KI-Modelle von Benutzern zu kompromittieren und Supply-Chain-Angriffe durchzuführen. Angreifer können durch Ausnutzung dieser Schwachstelle als Konvertierungsbot getarnt unbefugte Änderungen an Repositories auf der Plattform vornehmen. Diese Schwachstelle ermöglicht es, Schadcode einzuschleusen und Backdoors in Modellen zu platzieren.

⚡️Sophos ist mit dem Schaltjahr überfordert Die Produkte Central Windows Endpoint, Home und Central Windows Server von Sophos haben aufgrund eines Bugs Schwierigkeiten mit dem Schaltjahr. Dieser Fehler führt dazu, dass die Anwendungen fälschlicherweise Warnmeldungen ausgeben und legitime Websites als unsicher markieren. Das Problem äußert sich in einer Warnung über eine nicht verschlüsselte Verbindung zu HTTPS-Websites aufgrund eines angeblich ungültigen Zertifikats, was jedoch ein Fehlalarm ist. Die Ursache liegt darin, dass die Software den 29. Februar nicht korrekt erkennt und Zertifikate während des Handshakes fälschlicherweise als ungültig einstuft. Ist aber auch schon frech, dass da alle vier Jahre ein extra Tag im Februar auftaucht 🤡 

⚡️Nordkoreanischer APT Lazarus versucht sich am Typosquatting Die nordkoreanische Hackergruppe Lazarus hat über die PyPI-Repository Malware-verseuchte Pakete wie pycryptoenv und pycryptoconf verbreitet, die legitimen Python-Verschlüsselungspaketen ähneln, um Tippfehler von Nutzern auszunutzen. Diese Pakete wurden insgesamt über 3.000 Mal heruntergeladen. Die Malware, Comebacker, verbirgt sich in einem Testskript und nutzt verschlüsselte DLL-Dateien, um eine Verbindung zu einem Command-and-Control-Server herzustellen und weitere bösartige Windows-Executables auszuführen. Wenn ihr mit Python arbeitet und euch die Paketnamen bekannt vorkommen - prüft ob ihr vielleicht Opfer dieser Attacke geworden seid!

👮 Crimemarket wird von Strafverfolgungsbehörden dicht gemacht - Strafverfolgungsbehörden haben die größte deutschsprachige kriminelle Handelsplattform "Crimemarket" zerschlagen. Durchsuchungen und Maßnahmen fanden im In- und Ausland statt. Die Ermittlungen zielten dabei sowohl auf Betreiber als auch auf Nutzer der Plattform ab. Knapp 100 Objekte wurden in fast allen Bundesländern durchsucht und mehrere Personen festgenommen.

Text

💰️ $10,000,000 Kopfgeld für Infos die zur Verhaftung der Köpfe der Hive-Ransomware-Gruppe führen Die US-Regierung bietet bis zu 10 Millionen US-Dollar für Informationen, die zur Festnahme von Schlüsselfiguren der Hive-Ransomware-Gruppe führen. Zusätzliche 5 Millionen US-Dollar gibt es für Informationen, die zur Festnahme oder Verurteilung von Personen beitragen, die an Hive-Ransomware-Aktivitäten beteiligt sind. Hive hat seit Mitte 2021 über 1.500 Opfer in mehr als 80 Ländern und etwa 100 Millionen US-Dollar an illegalen Einnahmen erzielt. Die Maßnahmen gegen Hive haben vermutlich auch die Affiliates betroffen und so Zahlungen in Höhe von mindestens 210 Millionen US-Dollar verhindert.

🔍️ 5 Mistakes Beginners Make During App Recon Dana Epp nimmt uns mit auf die Reise durch die fünf häufigsten Fehler, die Anfänger machen, wenn es um die Applikations-Reconnaissance geht. App-Reconnaissance ist eine essentielle Phase beim Testen der Sicherheit von APIs, die gründliche Informationsbeschaffung erfordert.

Ein häufiger Fehler ist die unzureichende Vorbereitung auf die Erkundung, wobei es wichtig ist, alle Aktionen aufzuzeichnen, um das Verhalten der App nachvollziehen zu können. Viele Anfänger identifizieren nicht die gesamte Angriffsfläche der Anwendung, verpassen dadurch Chancen und übersehen oft die detaillierte Analyse des Datenmanagements und der Anwendungslogik.

Ebenfalls ist es super wichtig, sich die Struktur und das Schema der übertragenen Daten zu vergegenwärtingen. Dazu gehören ebenfalls die Sicherheitskontrollen wie Rate-Limiting, denn diese sind entscheidend für das Verständnis der App-Funktionalität.

Es empfiehlt sich, alle verfügbaren Funktionen und Features zu nutzen, einschließlich Admin- und bezahlter Funktionen, um die Angriffsfläche zu erweitern. Hierbei ist es auch wichtig, auf Code-Splitting moderner Frontend-Frameworks zu achten, die Code und Funktionalitäten bedarfsgerecht nachladen.

Unentdeckte oder undokumentierte APIs sowie die Nutzung von Feature-Flags oder gestaffelten Rollouts können neue Funktionalitäten aufzeigen, die einer weiteren Untersuchung bedürfen.

Tools wie "cewl" für die Wordlist-Generierung und Burp-Erweiterungen wie "param-miner" sind hilfreich, um verborgene Parameter zu identifizieren. Eine umfassende Analyse des Anwendungsverhaltens, einschließlich der Überprüfung, wie Daten gehandhabt und übertragen werden, ist unerlässlich, um ein tiefgehendes Verständnis der App-Sicherheit zu erlangen.

Wer auf diese Dinge achtet, wird nach der nächsten Recon-Phase definitiv mehr Todos haben, als bisher. Viel Spass am Gerät 🤓 

🪖 Github Actions Hardening Guide Erez Dasa hat sich intensiv damit beschäfftigt, wie man Github Actions härten kann - und teilt seine Erkenntnisse hier mit uns. Aber was sind die Github Actions eigentlich? Github Actions ist eine Plattform zur Automatisierung von Build-, Test- und Deployment-Prozessen durch Workflows, die durch Repository-Ereignisse ausgelöst werden.

Und hier die Tipps zur Härtung:

1. Vermeidung von Skriptinjektionen: Eine empfohlene Methode, um das Risiko von Skriptinjektionen zu verringern, ist die Verwendung einer vordefinierten Aktion anstelle eines Inline-Skripts. Dies hilft, die Ausführung unsicherer oder manipulierter Codezeilen zu verhindern.

2. Absicherung der Jobs innerhalb von Workflows: Jobs können sich gegenseitig kompromittieren, indem sie beispielsweise Umgebungsvariablen abfragen, Dateien in gemeinsam genutzten Verzeichnissen schreiben oder mit dem Docker-Socket interagieren. Es ist wichtig, Maßnahmen zu ergreifen, um diese potenziellen Angriffsvektoren zu minimieren.

3. Umgang mit Drittanbieter-Aktionen: Die Nutzung von Aktionen aus Drittanbieter-Repositories birgt erhebliche Risiken, da eine kompromittierte Aktion Zugriff auf alle Repository-Geheimnisse und möglicherweise auf das GITHUB_TOKEN erhalten könnte, um das Repository zu modifizieren. Es wird empfohlen, die Verwendung von Drittanbieter-Aktionen sorgfältig zu prüfen und Maßnahmen zu ergreifen, um das Risiko zu verringern.

Zusätzlich zur Beachtung dieser spezifischen Empfehlungen legt der Artikel den Fokus auf allgemeine Best Practices im Umgang mit GitHub Actions, wie das sorgfältige Management von Anmeldeinformationen, die Einschränkung des Zugriffs und das sichere Aufbewahren von Geheimnissen, um Sicherheitslücken zu vermeiden. Auch der Einsatz von selbst gehosteten Runnern in öffentlichen Repositories sollte mit Vorsicht erfolgen, um potenzielle Sicherheitsrisiken zu vermeiden.

🧙 A Beginner’s Guide to Tracking Malware Infrastructure In der heutigen digitalen Ära ist es entscheidend, die Bedrohungen durch Malware und deren Infrastruktur zu verstehen, um Netzwerke und Daten sicher zu halten. "A Beginner’s Guide to Tracking Malware Infrastructure" von Rachel Hannenberg bietet einen kompakten Leitfaden für Einsteiger, um mit dem Tracking und der Identifizierung von Malware-Infrastrukturen zu beginnen.

Folgende Themen sind dabei elementar:

1. Verständnis der Grundlagen: Wie kann man Malware-Infrastruktur identifizieren?

2. Erstellung von Abfragen: Aufbau von Abfragen, die auf der Beobachtung der Muster beruhen, die von den Erstellern der Malware verwendet werden. Dazu gehören z.B. ASNs, HTTP Header etc.

3. Nutzung spezifischer Datenpunkte: Verwendet die Informationen in TLS-Zertifikate, HTTP-Headern, Bannern, Standorte und Hosting-Anbieter sowie öffentliche Verzeichnisse, um Informationen über Malware-Infrastrukturen zu sammeln.

4. Automatisierung und Optimierung: Wenn unsere Queries funktionieren - Automatisieren und Optimieren!

6. Erweiterung der IOC-Liste: Ziel ist es, mit weniger Mustern, Expertise und Kosten eine umfangreichere Liste von Indikatoren für Kompromittierungen (IOCs) zu erhalten. Sharing is Caring - also gebt die Erkenntnisse weiter, egal ob Team-Intern oder in der Community.

Insgesamt ist das ein super interessanter Teilbereich der Cybersicherheit - schnuppert ruhig mal rein und probiert euch aus. 🔎 

📆 Calendar Meetings Links werden benutzt um MacOS Malware zu verteilen Brian Krebs hat darüber berichtet, das Hacker Calendly nutzen, um gefälschte Meeting-Links zu verbreiten, die speziell Personen im Kryptowährungsbereich ins Visier nehmen.

Sie geben sich als etablierte Crypto-Investoren aus und locken ihre Ziele in Videoanrufe, um macOS-Systeme mit Malware zu infizieren. Die Malware wird durch einen Skriptaufruf installiert, der angebliche technische Probleme bei Videoanrufdiensten beheben soll. SlowMist identifizierte, dass diese Phishing-Angriffe die "Add Custom Link"-Funktion von Calendly ausnutzen. Also passt auf, auch wenn ihr keine Crypto-Investoren sucht, auf welche Links ihr klickt 😜 

📹️ SOC Team Roles and Responsibilities Das Security Operation Center (SOC) Team setzt sich aus verschiedenen Rollen zusammen:

1. SOC-Analysten, die für die Überwachung von Sicherheitswarnungen, die Analyse von Sicherheitsvorfällen und die schnelle Reaktion auf potenzielle Bedrohungen zuständig sind.

2. Incident Responder, die für die Entwicklung und Implementierung von Incident-Response-Plänen, die Koordination mit anderen Teams und eine schnelle und effektive Reaktion auf Sicherheitsverletzungen verantwortlich sind.

3. Threat Hunter, die fortschrittliche Techniken und Werkzeuge nutzen, um Bedrohungen zu erkennen, die nicht durch automatisierte Systeme identifiziert werden können.

4. Forensische Analysten, die alle physischen und digitalen Beweise vom Tatort sammeln, die zur Lösung des Falls verwendet werden können und eng mit Strafverfolgungsbehörden zusammenarbeiten könnten.

5. Sicherheitsingenieure, die dafür sorgen, dass Sicherheitswerkzeuge richtig konfiguriert, aktuell und effektiv in die Infrastruktur der Organisation integriert sind. Sie arbeiten auch mit anderen IT-Teams zusammen, um Sicherheitsbest Practices zu implementieren.

6. SOC-Manager, der die SOC-Mannschaft leitet und den Gesamtbetrieb überwacht. Die Verantwortlichkeiten umfassen strategische Planung, Koordination und Sicherstellung, dass das Team mit den Sicherheitszielen der Organisation übereinstimmt.

Wichtige erforderliche Fähigkeiten für das SOC-Team umfassen kritisches Denken und Analyse, Computerkenntnisse, forensische Wissenschaft, fortgeschrittene Kenntnisse in Windows, Linux und Docker, Powershell- und Scripting-Kenntnisse, Reverse Engineering, Programmierung, Risikomanagement und Cloud-Sicherheit. Der SOC-Manager benötigt zusätzlich Fähigkeiten in Führung, Planung, Vendor Management, Sicherheitsstrategie- und Richtlinienentwicklung, Incident Response und Management sowie Vulnerabilitätsmanagement.

Video

👩‍⚕️ Die unsichtbare Patientin Das Problem, dass Frauen von der medizinischen Gemeinschaft falsch diagnostiziert oder nicht ernst genommen werden, ist bereits seit längerem bekannt. Dass das gefährliche Folgen hat und sogar zum Tod führen kann, ist es ebenfalls. Es ist unbedingt notwendig, das sich ein Geschlechtssensibler Umgang in der Medizin etabliert.

🦹 Verdeckt im Kinderchat: Wir entlarven Pädokriminelle | Y-Kollektiv Harter Tobak - vor allem wenn ihr Kinder habt. Kuckt hin, was eure Kinder im Internet machen und schützt Sie vor den Grooming-Versuchen der Kriminellen. Falls ihr Kontaktversuche mitbekommt, meldet euch bei ZEBRA. Helft mit die Täter dingfest zu machen und Opfer zu schützen.

Tools und Co.

🚀 alacritty/alacritty Verdammte Axt - Ich hätte nicht erwartet, das ein OpenGL-Beschleunigter Terminal Emulator das ist, was ich dringend gebraucht habe. Shoutout an Mischa van den Burg, der mich damit bekannt gemacht hat.

📖 LeakIX/wpfinger Ein wordpress-scanner für Redteam Engagements. Liefert zuverlässig die WP-Core Version und Plugin-Informationen. Die Schwachstellen-Datenbank von wordfence ist mit angebunden 👍️ 

😎 gwen001/github-regexp Kleines go-Tool zum durchsuchen von github mittels regular expressions. Damit kann man sich dann hervorragend auf die Suche machen um API Keys, Subdomains, etc. zu finden.

🌎️ cycloidio/terracognita Vermutlich kennen die meisten das Problem: Ihr habt eine Cloud Umgebung aufgebaut, um etwas zu testen - und das ganze soll jetzt in Infrastructure-As-Code gegossen zu werden. Entweder, ihr baut das jetzt manuell nach, oder ihr nutzt terracognita.

Das Zitat der Woche ist dieses mal etwas aus einem Buch, was mir so viel Spass gemacht hat, das ich es schon wieder gelesen habe: Project Hail Mary von Andy Weir (The Martian).

Aus dieser Perspektive gedacht, wundert man sich direkt ein bisschen weniger, wenn man mal wieder vollkommen absurde Nachrichten aus aller Welt liest.

Und mit diesem minimal Intelligentem Gedanken - Macht es gut, wir lesen und kommende Woche wieder.

Cheers,

Martin