Lockheed Martin: Einige Updates zur Cyber-Risikoanalyse

(Di Alessandro Fiori)
02 / 12 / 19

(Manchmal kommen sie zurück ...) Vor ein paar Monaten haben wir angehalten, um die mit dem F-35 verbundenen Cyberrisiken zu analysieren. Dies beinhaltete eine Analyse des Netzwerks (offensichtlich dessen, was öffentlich sichtbar ist) des Herstellers, der Firma Lockheed Martin (siehe Artikel).

Der heutige Artikel erwacht aus einem Bedürfnis, das für jeden wichtig sein sollte, der sich den täglichen Herausforderungen im Zusammenhang mit der Informationssicherheit oder den Veränderungen auf dem "Schlachtfeld" und den damit verbundenen Bedrohungen stellen möchte.
Um die "Veränderung" des Szenarios besser zu verstehen, ist es eine gute Idee für diejenigen, die sich regelmäßig verteidigen, ihre Assets zu analysieren, da der Angreifer immer versucht, neue Schwachstellen in der Struktur zu entdecken.
Zu viel Zeit zu lassen bedeutet, das Risiko signifikant zu erhöhen.

In diesem Artikel werden wir genau diese Veränderung sehen und genau analysieren können, wie sich die Situation für dieselbe Domäne grundlegend unterscheidet.

Der erste auszuführende Schritt ist wie immer das sogenannte "Informationssammeln", d.h. die Sammlung von Informationen, die wir zur Durchführung der eigentlichen Analyse benötigen.

In diesem Fall prüfen wir, ob gültige Kompromissindikatoren für die Domain "lockheedmartin.com" vorliegen.
Um unsere Arbeit zu vereinfachen, können wir die VirusTotal-API (Application Programming Interface - Anwendungsprogrammierschnittstelle) verwenden, eine Reihe von Funktionen, die aufgerufen werden können, um eine Reihe von Vorgängen auch mit verschiedenen Programmiersprachen und Programmen von Drittanbietern auszuführen, um zu überprüfen, ob eine bestimmte Datei (oder Domäne) in unserem Fall ...) muss vertieft werden.

Wie zu sehen ist, gibt es keine Dateien, die als verdächtig eingestuft werden können. Daher können wir über die "ThreatCrowd" -Plattform eine neue Suche nach anderen Elementen durchführen, die sich auf die Domain und ihre Sub-Domains beziehen können:

Quelle: ThreatCrowd

Wir können dann die Daten von der Plattform in tabellarischer Form anzeigen:
Quelle: ThreatCrowd

Unter den bereitgestellten Informationen gibt die Plattform die E-Mail "lm-nic@lmco.com“. Zu diesem Zeitpunkt können wir die Domain "lmco.com" erneut analysieren und dann den Unterschied zur vorherigen Analyse feststellen. Dieses Mal werden wir diese Suche mit der VirusTotal-API durchführen, um alles zu vereinfachen:

Wir können sofort feststellen, dass sich die Situation seit der vorherigen Analyse geändert hat, dh der gleiche Hash der vorherigen Analyse ist nicht vorhanden.

In einer realen Analyse sollten wir alle gefundenen Hashes analysieren, um tatsächlich einen guten Überblick zu haben.
In diesem Fall nehmen wir insbesondere zwei Hashes als Referenz:
1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0
und der zweite Hash:
907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80

Um die Natur des ersten Hashes zu untersuchen, können wir uns immer auf die "VirusTotal" -Plattform verlassen, die uns dank der Analyse des Malware-Verhaltens einen hervorragenden Einblick in die Domänen, die kontaktierten IPs und die verschiedenen Änderungen an der Systemregistrierung und dem Dateisystem gibt Sie helfen uns zu verstehen, ob ein System kompromittiert ist oder nicht.

Sie können das Verhalten der ersten Malware beobachten, indem Sie einfach darauf klicken Link.

Wie zu sehen ist, haben wir eine Verhaltensanalyse.
Durch Klicken auf die Schaltfläche "Vollständiger Bericht" oben rechts können Sie den Sandbox-Bericht anzeigen.

Mit der Sandbox können Sie Malware in einem isolierten und sicheren Bereich ausführen und ihre Aktionen analysieren, um die erforderlichen Maßnahmen zu ergreifen, z. B. das Blockieren von IP-Adressen oder böswilligen Domänen.

ANMERKUNG:
Das Ausführen dieser Art von Vorgängen ist potenziell schädlich, da Sie im wahrsten Sinne des Wortes eine Malware auf Ihrem eigenen Computer ausführen.
Führen Sie diese Art der Analyse NUR dann durch, wenn Sie die Risiken genau kennen und in der Lage sind, sie vollständig sicher zu machen!

Quelle: DrWeb vxCube

Wenn Sie stattdessen die zweite Malware analysieren, können Sie etwas anderes feststellen:

Link zur Verhaltensanalyse

Aus der Analyse des Verhaltens geht hervor, dass die Malware nicht nur versucht, Kontakt mit der Domain der Provinz Mailand aufzunehmen, sondern auch ein einzigartiges Verhalten aufweist, das sich aus der Analyse der kontaktierten IPs ergibt.
Dies ist die unvollständige Liste der kontaktierten IPs:


Quelle: VirusTotal

Es ist möglich zu bemerken, dass die von der Malware kontaktierten IPs einem bestimmten "Muster" folgen.
Das interessante Muster ist die "10.152.152.x"
Dieses Muster fällt mit dem Netzwerk einer weit verbreiteten Anonymisierungslösung zusammen, nämlich Whonix.

Whonix ist eine virtuelle Maschine, deren Gateway die gesamte Verbindung im Tor-Netzwerk (die häufigste Anonymisierungslösung) automatisch und "transparent" umleitet (dh es ist keine Interaktion oder Kenntnis des Betriebs durch den Benutzer erforderlich) im Internet).

Wie auf der offiziellen Projektseite berichtet (verfügbar unter Link) Um den gesamten Datenverkehr eines Clients über das Whonix-Gateway an Tor umleiten zu können, ist es ausreichend, die folgenden Parameter festzulegen:

## Inkrementiert das letzte Oktett der IP-Adresse auf zusätzlichen Arbeitsstationen
IP-Adresse 10.152.152.50
Subnetz Netzmaske 255.255.192.0
10.152.152.10-Standardgateway
Bevorzugter DNS-Server 10.152.152.10

Interessanterweise versucht die Malware, diese Art von Netzwerk zu kontaktieren.
Daraus können wir schließen, dass es sich entweder um einen zufälligen Zufall handelt oder dass wir mit einem möglichen Fall eines Datenlecks konfrontiert sind.
Offensichtlich wurden sowohl das nationale CERT als auch das US-CERT sofort benachrichtigt.

Ich erinnere mich, dass alle Analysen auf öffentlich zugänglichen Daten basieren, die von jedermann eingesehen werden können.

Wie bereits im vorherigen Artikel erwähnt, müssen wir Sie warnen, dass die Situation möglicherweise auf Antivirus-, IPS-, Honeypot-, Sandbox- oder andere Verteidigungssysteme zurückzuführen ist, da Sie keinen Blick auf das interne Netzwerk haben.

Wie gezeigt, kann sich die Situation zwischen zwei Analysen grundlegend ändern. Daher empfehle ich einen regelmäßigen Scan Ihres Netzwerks und Ihrer Systeme.

Der Rat ist immer der gleiche: wir dürfen sicherheit nicht als "produkt" sehen, sondern als prozess.

Das Studium und die relative Analyse der Vermögenswerte helfen uns, die Bedrohungen unter Kontrolle zu halten, die sich im Laufe der Zeit ändern und sich mit unserer Abwehr weiterentwickeln.

Es ist wichtig, Änderungen und die Entwicklung von Bedrohungen im Auge zu behalten, um nicht unvorbereitet zu bleiben.

Bilder: Lockheed Martin / Web