Nord Nord Sec #6

Hallo, Ahoi und Herzlich willkommen bei der nächsten Runde - Diesmal mit weniger Schnee und dafür mit mehr Wind.

Heute gibt es einen wilden Mix aus Themen - von Github als Angreifer-Infrastruktur über eine Analyse der Lazarus Gruppe, einen riesigen Leak an Credentials bis hin zu KI-Unterstützungen für verschiedenste Taks.
Von daher will Ich euch gar nicht länger aufhalten - Leinen los und viel Spass bei den Artikeln, Videos und mit den Tools. 👋 

Text

• 🧑‍💻 Github als versteckte Angreifer-Infrastruktur Angreifer nutzen immer häufiger Github, da es in vielen Unternehmen absolut normal ist, dass da Traffic hin- und her geht. So können schadhafte Inhalte versteckt werden. Analog zu den GTFOBins und LOLBAS wurde hier der Begriff LOTS geprägt: Living off Trusted Sites.

• 💸 Lazarus Under The Hood Spannender Deep-Dive in die Nordkoreanische APT Crew Lazarus und einige Angriffe, die ihnen zugeschrieben werden - unter anderem der Angriff 2017 auf polnische Banken - wie der Versuch 851 Millionen Dollar von der Banladesh Central Bank zu stehlen.
  Die Threat Intelligence Analysten bei Symantec vermuten hier, das eine Unter-Gruppe in Lazarus existiert (Bluenoroff), die sich um die Beschaffung von Finanziellen Mitteln kümmern soll. Der Rest von Lazarus kann so weiter den Fokus auf unentdecktes Eindringen und Spionage legen, während Bluenoroff das Geld besorgt.

• 🎈 Inside the Massive Naz.API Credential Stuffing List Die Naz.API-Datenbank, die 104 Gigabyte groß ist und 319 Dateien umfasst, beinhaltet E-Mail-Adressen und zugehörige Passwörter sowie die Websites, auf denen diese verwendet werden. Troy Hunt entdeckte, dass ein Drittel der E-Mail-Adressen zuvor nicht in Have I Been Pwned aufgenommen wurde. Die Daten stammen hauptsächlich aus Stealer-Logs, welche gestohlene Informationen enthalten. Die größte Datei in der Sammlung enthält 312 Millionen Zeilen mit E-Mail-Adressen und Passwörtern. Das ist wohl - mal wieder - eine gute Gelegenheit darauf hinzuweisen, das ein Passwort Manager eine gute Idee wäre.

• 📹️ Komplett-Überwachung im Rewe Markt Rewe nutzt ein System vom israelischen Unternehmen Trigo Vision Ltd. zur Beschleunigung des Abkassierens und zur Reduktion des Personaleinsatzes, wobei das System auch dazu beiträgt, den Diebstahl, den sogenannten "Schwund", um bis zu 70 Prozent zu verringern. Trigo behauptet, dass ihr System "Privacy by Design" sei und erstellt ein 3D-Modell des Supermarktes, um die Bewegungen der Kund:innen zu verfolgen, ohne ihre Identität zu erkennen. Dennoch werden alle Kund:innen von den Überwachungssystemen erfasst und die Daten können in Ausnahmefällen in einer Cloud gespeichert werden, auch außerhalb der EU. Die erhobenen Aufnahmen werden verpixelt und mittels künstlicher Intelligenz ausgewertet. Die Sicht der Dinge von Rewe und Trigo können in der Customer Story von Trigo nachvollzogen werden.

• 🛡️ Azure Security Best Practices Cheat Sheet Schöne Übersicht wie man seine Azure Security verbessern kann.

• 👷‍♀️ Softwerker Spezial: Generative KI Ich habe auch mal wieder einen kleinen Artikel im aktuellen Softwerker geschrieben - über Generative KI und IT Sicherheit. Die anderen Artikel sind aber natürlich auch super lesenswert. Mein persönlicher Favorit ist “Schabernack mit ChatGPT”.

• 🚀 HTTPQL: A new query language for hackers Caido, der HTTP(S) Proxy meiner Wahl, hat ein neues Feature ausgerollt - HTTPQL bzw. die Möglichkeit, aufgelaufene Requests und Responses besser durchsuchbar zu machen. Die Dokumentation taucht dann noch deutlich tiefer ein - aber bereits die Vorstellung im Blog Post hat gereicht, dass ich mal wieder ein bisschen abgetaucht bin und ein paar TryHackMe Räume auszuchecken.

• 🦹 BreachForums Admin zu 20 Jahren auf Bewährung verurteilt. Nach Gerichtsdokumenten zu urteilen, darf er dabei das erste Jahr seiner Strafe nicht ins Internet, Pornografisches Material weder besitzen noch sehen und beabsichtigten Kontakt mit Kindern jünger als 18 Jahren haben. Ausser seinem Bruder - es sei denn, er wird von einem erwachsenen Beaufsichtigt. Damit kommt er wohl noch ganz gut weg. Allein der Besitz von Missbrauchsdarstellungen minderjähriger hätte mit 20 Jahren Gefängnis bestraft werden können…

• 🔥 PyTorch Supply Chain Vulnerability Writeup. John Stawinski IV und Adan Kahn zeigen auf, was Sie getan haben (nicht viel) und was Sie damit bei der PyTorch Github Org bzw. unter Umständen sogar Meta direkt erreichen konnten: Die komplette Penetration der Cloud-Umgebung. Long Story short: Mit einem Pull Request um einen Typo zu fixen, konnten Sie einen eigenen Runner hineinschmuggeln um Persistenz im Repository zu erhalten als erster Foothold. Im Anschluss daran wurden sowohl GITHUB_TOKENs als auch AWS Secrets extrahiert.

• 🕊️ Supply Chain Angriff auf Maven demonstriert Die Researcher von Oversecured haben demonstriert, wie alte und verlassene Dependencies genutzt werden können um Schadcode in neue Projekte zu schmuggeln. Angreifer könnten dazu die passenden Domains kaufen und sich so schreibenden Zugriff auf die Maven-Repositories verschaffen.

• 🇨🇿 Tschechien terminiert Ende für IPv4 Der Ministerpräsident Petr Fiala hat einen Regierungsbeschluss unterzeichnet, der das Ende der Nutzung des IPv4-Protokolls in der staatlichen Verwaltung ab dem 6. Juni 2032 vorsieht. Die Begründung für diesen Schritt liegt in der zunehmenden Unzureichendheit des IPv4-Protokolls, das seit den 1980er Jahren Schlüsselkomponente der Internetkommunikation war. Die begrenzte Anzahl verfügbarer Adressen konnte mit der wachsenden Anzahl von Geräten und Diensten nicht mehr mithalten. Der Übergang zu IPv6 wird als notwendig erachtet, da dieses Protokoll eine nahezu unbegrenzte Anzahl von Adressen bietet und somit die Skalierbarkeit, Sicherheit und Effizienz der Internet-Infrastruktur gewährleisten soll. Man darf also gespannt sein, ob das Vorbild Schule macht und wir irgendwann tatsächlich noch den Tod von IPv4 erleben…

Video

• 🧠 Hack your life (with demos) and get Superpowers Daniel Miessler zu Gast bei David Bombal (von dem ich das erste mal gehört habe). Dabei gibt es einen Deep Dive in Daniel’s AI-Tooling. Interessanter Einblick, angenehmes Gespräch - lässt sich entspannt auf dem Sofa geniessen. Vielleicht hab ich nebenbei nur 2-3 Sachen getestet und eingerichtet. Daniels Newsletter könnt ihr hier abonieren (Referal link)

• 📺️Automating a File Disclosure Vulnerability to Crawl Website Sources ippsec wieder einmal mit einem tollen Tutorial auf Basis einer hackthebox-Maschine (Zipping). Der extrahierte Source Code wird dann, nachdem er automatisiert heruntergeladen wurde, genutzt um ihn mit einem Statischen Analyse Tool zu scannen und so weitere Schwachstellen in der Website zu identifizieren.

• 👻 Invisible Prompt Injection Explained Prompt Injection beinhaltet die Verwendung von unsichtbaren Unicode-Tags, um Filter zu umgehen und KI-Systeme zu manipulieren, ohne erkannt zu werden. Die Kernpunkte sind:
  1. Prompt Injection stellt eine erhebliche Bedrohung für KI-Systeme mit Entscheidungsbefugnis dar.

  2. Unsichtbare Unicode-Tags sind das Mittel der Wahl, um KI-Systeme unbemerkt zu manipulieren.

  3. Die Erkennung und Abwehr von Prompt Injection ist herausfordernd und könnte spezialisierte Modelle erfordern.

  4. Sicherheitsfachleute könnten Prompt Injections aufgrund ihrer Unsichtbarkeit nicht leicht erkennen.

  5. Die Überwachung von ungewöhnlichem Unicode-Gebrauch könnte als präventive Maßnahme dienen.
  

Tools und Co.

• ⚔️ Offensive ML Playbook gesammelte Taktiken, Techniken und Verfahren (TTPs) für verschiedene Angriffe auf maschinelles Lernen (ML), die sich insbesondere auf die ML-Supply-Chain und adversarial ML konzentrieren. Der Fokus liegt auf ausführbaren Exploit Code. Read Teams soll so geholfen werden, effektive Werkzeuge für das Kompromittieren von ML-Systemen auszuwählen. Es handelt sich hier um ein fortlaufendes Projekt, mit einer Mischung aus vollständigen und in Entwicklung befindlichen Einträgen.

• 📄 jesparza/peepdf Ein praktisches Tool zur schnellen Analyse und Bewertung von PDFs - hervorragend geeignet um einen Verdacht auf Malware zu bestätigen oder zu entkräften. Das Tool kann quasi ohne grosse Einarbeitung genutzt werden um sich einen Überblick über das Dokument zu verschaffen. Pro Tip: -i ist der Switch für interactive - und damit kann tiefer eingetaucht werden.

• 0xNslabs/CanaryTokenScanner Python-Tool um Canary Tokens zu identifizieren anhand versteckter URLs in MS Office Dokumenten und Zip-Files. Der zugehörige Blog Post taucht dann noch in den Code des Skripts ab.

• unknownhad/CloudIntel (Fast) Real-Time Daten zu echten Angriffen auf Cloud-Umgebungen. Enthalten sind IP Adressen, Indicators of Compromise, Heruntergeladene Malware Hashes, etc etc.

Das Zitat der Woche ist dieses mal von Kevin Mitnick, der letzten Sommer verstorben ist. Ich habe die vergangene Woche öfter darüber nachgedacht, wie viel Sicherheit man erlangen kann und was man an Komfort dafür opfern müsste. Das Thema kommt sicher bei euch auch öfter auf. Irgendwann ist aber der Punkt erreicht, wo der Trade-Off keinen Sinn mehr macht.

Also ganz im Sinne von Kevin Mitnicks Zitat: Passt auf euch auf, aber vergesst nicht, dass das Risiko auch seinen Platz im Leben hat - sowohl im Cyber- als auch im Meatspace.

Cheers,

Martin