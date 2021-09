Säkerhetsansvariga har tillgång till ett otal verktyg för att upptäcka och stoppa illvilliga aktiviteter: nätverksövervakning, virusskannrar, verktyg för att analysera kompositioner av mjukvara (SCA), forensiska verktyg, verktyg för incidentrapportering, och mer därtill.

Men det är klart, cybersäkerhet är ett ständigt pågående krig mellan attack och försvar och angriparna kommer hela tiden med nya utmaningar.

Äldre tekniker som steganografi – alltså konsten att gömma information, inklusive skadlig kod, i annars harmlösa filer som bilder – utvecklas hela tiden, vilket leder till nya möjligheter för angriparna.

En säkerhetsanalytiker demonstrerade som ett exempel att inte ens Twitter är immunt mot steganografi eftersom bilder på plattformen kan användas för att packa zip-arkiv på upp till tre megabyte inom koden för bilden.

I min egen forskning har jag noterat att utöver tekniker för att förvirra, steganografi och paketering av skadlig kod, så använder cyberkriminella ofta annars legitima tjänster, plattformar, protokoll och verktyg för att dölja sina verksamheter. Detta gör det möjligt att smälta in i trafik och aktiviteter som ser ”rena” ut för både mänskliga och maskinella analytiker.

Här kommer fem taktiker som cyberkriminella använder idag för att dölja sina spår.

Plattformar som inte väcker uppmärksamhet

Detta var ett vanligt tema under 2020, men fenomenet har fortsatt även under innevarande år. Angripare har de senaste åren attackerat pen-test-verktyg som Cobalt Strike och Ngrok, och allt mellan olika betrodda öppen källkods-system som Github och bild- och text-sajter som Imgur and Pastebin.

Ngrok används typiskt av etiska hackare som intresserar sig för att samla in data eller för att sätta upp fingerade tunnlar för inkommande trafik som en del av sin buggjakt eller för pen-tester.

Samtidigt har cyberkriminella utnyttjat Ngrok för att installera botnät eller för att koppla en legitim kommunikationstjänst till en fientlig server. I ett exempel från senare tid har Xavier Mertens på SANS Institute upptäckt ett sådant exempel på skadlig kod, utvecklat i Python, som innehöll base64-kod för att inplantera en bakdörr på infekterade system med hjälp av Ngrok.

Eftersom Ngrok är ett så betrott system kunde angriparen koppla in sig i det infekterade systemet genom en tunnel i Ngrok, vilket antagligen fick till följd att trafiken kunde kringgå det smittade systemets brandväggar.

Även Github har utnyttjats till att härbärgera skadlig kod, från Octopus Scanner till Gitpaste-12. Nu senast har angripare kunnat utnyttja Github i kombination med Imgur genom ett öppet PowerShell-script som gjorde det möjligt för angriparna att lägga upp ett enkelt script på Github som räknar ut nyttolasten i Cobalt Strike från ett harmlöst foto på Imgur.

Cobalt Strike är ett populärt ramverk för pen-tester som kan simulera avancerade verkliga cyberattacker. Men som alla säkerhetsverktyg kan även Cobalt Strike utnyttjas för illvilliga syften.

På samma sätt har automatiseringsverktyg som utvecklare använder kunnat exploaterats av angripare. I april utnyttjade cyberkriminella Github Actions för att angripa hundratals repos på Github i en automatiserad attack som använde Githubs server, och resurser för utvinning av kryptovalutor.

Dessa exempel visar varför angripare ser ett värde i att utnyttja legitima plattformar som många brandväggar och övervakningsverktyg eventuellt inte blockerar.

Attacker rider på varumärken och gott anseende

Även om attacker mot leveranskedjor av mjukvara kommit i fokus genom attacken mot SolarWinds, har dessa attacker varit på uppåtgående under längre tid.

Attacker ”uppströms” mot leveranskedjor utnyttjar tilliten till en välkänd partner i ekosystemet och tar rygg på varumärkets eller en mjukvarukomponents popularitet eller goda rykte. Detta gäller vare sig attacken i sig kommer i form av ”typosquatting”, ”brandjacking” eller konfysa beroenden. Det senare föddes som ett proof-of-concept, men blev senare exploaterat för illvilliga syften.

Målet för angriparna är att få in sin skadliga kod uppströms i en betrodd mjukvara, gärna från ett ansett varumärke, som sedan distribueras ”nedströms” mot det egentliga målet, det vill säga varumärkets partners, kunder eller användare.

Alla system som är öppna för alla är också öppna för motståndarna. Så många attacker mot leveranskedjan riktar sig mot system med öppen källkod, varav vissa håller sig med en slapp validering för att främja principen om ”öppenhet för alla”. Men det betyder inte att kommersiella organisationer klarar sig undan.

Ett fall på senare tid som liknar Solarwinds-fallet handlar om Codecov, ett företag som levererar tester för mjukvara. Codecov offentliggjorde en attack mot deras Bash Uploader som förblev oupptäckt i två månader.

Några av Codecovs över 29 000 kunder är välkända, prominenta varumärken. I den här attacken hade angriparna mixtrat med Bash Uploader så att koden tankade ut kundernas miljövariabler som exempelvis nycklar, inloggningsuppgifter och polletter, till angriparens ip-adress.

Att skydda sig mot attacker mot leveranskedjor kräver åtgärder längs flera fronter. Leverantörer av mjukvara behöver ta sig i kragen för att se till att skydda sina utvecklingssystem. De kan till exempel använda AI- och ML-baserade lösningar som kan hjälpa till att automatiskt upptäcka misstänkta mjukvarukomponenter och förebygga olika typer av attacker.

Eftersom allt fler företag använder Kubernetes- eller Docker-containers för att rulla ut sina applikationer, kan de dessutom använda säkerhetslösningar för containers med inbyggda applikationsbrandväggar som kan hitta enkla konfigurationsfel på ett tidigt stadium och förebygga allvarligare intrång.

Svårt att spåra betalningar med kryptovalutor

Marknadsplatser på darknet och operatörer av gisslanattacker använder ofta kryptovalutor tack vare valutornas decentraliserade karaktär och fokus på integritet. Men även om dessa inte myntas eller kontrolleras av stater har de ändå inte samma nivå av anonymitet som kontanter. Därför hittar cyberkriminella på innovativa sätt att överföra pengar mellan konton.

Det senaste exemplet är de 760 miljoner dollar som stulits genom ett hack från handelsplatsen Bitfinex och som flyttades till nya konton genom flera mindre transaktioner, med allt mellan 1 till 1200 bitcoin per transaktion.

Kryptovalutor är dock knappast ett vattentätt sätt att dölja pengaflöden. Samma kväll som presidentvalet i USA tömde amerikanska myndigheter en plånbok med bitcoin till ett värde av en miljard dollar. Plånboken härrör från den kanske mest famösa marknadsplatsen på darknet – Silk Road, som i sig stängdes ned 2013.

Vissa andra kryptovalutor som Monero och Zcash är mer fokuserade på integritet än bitcoin och är mer lämpade för att anonymisera transaktioner. Katt- och råtta-leken mellan cyberkriminella och rättsvårdande myndigheter inom detta område kommer onekligen att fortsätta så länge de cyberkriminella söker efter bättre metoder för att dölja sina spår.

Allmänna kanaler och protokoll

Precis som betrodda plattformar och varumärken används krypterade kanaler, portar och protokoll för legitima applikationer, och är ett annat sätt som cyberkriminella kan sopa igen sina spår.

Ett typiskt exempel är https som är ett oumbärligt protokoll för dagens webb, och av den anledningen är tcp-porten 443 (som används av https/ssl) praktiskt taget omöjlig att blockera i en företagsmiljö.

Men även dns över https (DoH) – ett protokoll som används av dns-resolvers – använder port 443, och det har cyberkriminella inte varit sena att utnyttja för att kommunicera med sina kommandoservrar (C2) inom infekterade system.

Det finns två aspekter av det här problemet. För det första, genom att angriparna använder allmänna protokoll som https och doh, så åtnjuter de också samma skydd som dessa protokoll erbjuder legitima användare.

För det andra är detta problematiskt för nätverksadministratörer. Bara att blockera dns i någon form utgör en utmaning, men nu när dns-förfrågningar och svar är krypterade över https blir det ett elände att filtrera ut och analysera misstänkt trafik, bland många andra https-förfrågningar som rör sig in och ut genom nätverket.

Analytikern Alex Birsan, som demonstrerade ”dependency confusion”-problemet och etiskt hackade sig in i 35 stora teknikföretag, kunde maximera sin chans att lyckas genom att använda dns port 53 för att extrahera information. Birsan valde dns just för hur osannolikt det är att företagsbrandväggar är konfigurerade att blockera dns, på grund av prestandakrav och legitima dns-användare.

Signerade binärer som kör dold kod

En lika giltig teknik för att undvika upptäckt är konceptet fillös skadlig kod som använder sig av lolbins (eng. living-off-the-land binaries). Lolbins handlar om legitim, signerad exekverbar kod, som till exempel exekverbara windows-filer som signerats av Microsoft, som kan missbrukas för att köra skadlig kod med förhöjd rättighet, eller för att kringgå säkerhetsprodukter som antivirus.

Förra månaden publicerade Microsoft en del vägledning för hur företag kan använda defensiva tekniker för att förhindra angripare från att utnyttja lolbins associerade med Microsoft Azure.

Ett annat exempel är nyligen upptäckt skadlig kod jag själv analyserat, och som hade perfekta noll upptäcker med de ledande antivirusprodukterna.

Binären i fråga innehöll dold kod, vilket hjälpte till att undvika upptäckt. Utöver detta visade det sig att den skadliga koden var byggd med hjälp av hundratals legitima komponenter med öppen källkod. Koden utförde sin aktivitet, till exempel att tillskansa sig administratörsrättigheter, på precis samma sätt som om en legitim applikation hade gjort.

Emedan dold skadlig kod, genom olika kända tekniker, används av avancerade hot, ligger deras egentliga styrka i att de kan undvika säkerhetsprodukter, eller att de kan flyga under radarn. Det här blir möjligt när nyttolasten i viss mån kombineras med betrodda mjukvarukomponenter, protokoll, kanaler, tjänster och plattformar.

