30 januari, 2022

#151 – Spear phishing och fallet Carbanak/Cobalt

Carbanak-avsnittets huvudbild som föreställer ett fiskstim påväg någonstans. Kanske för att de läst ett ... ehumm... phishingmail och vill lämna ut sina bankuppgifter till en Nigeriansk prins.
Bara dödar fiskar simmar med strömmen.. Eller kanske öppnar de phishingmail… Vad vet jag?

Avsnittet: 151 – Spear phishing och fallet Carbanak/Cobalt
Inspelat: 2021-01-28 (publicerat 2022-01-30)
Deltagare: Mattias Jadesköld och Erik Zalitis
Detta avsnitt är ett samarbete med Nordlo.

Lyssna på avsnittet – Carbanak

Medan du lyssnar – Carbanak

Bra att komma ihåg med Carbanak är att både gruppen och verktyglådan de använder bär detta namn, så det inte uppstår förvirring när ni lyssnar på poddavsnittet.

7:42 – elaka bilder

Vi talar om JPG-sårbarheter och hur en bild kan innehålla skadlig kod och utlösas när man visar bilden i till exempel ett mailprogram. Jag minns att första gången jag hörde att det hittats i Windows och sedan använts på bred front var 2004.

9:42 – är Bankomat ett varumärke?

Helt riktigt, det är det givetvis. Jag hade inget problem att hitta informationen på varumarkesportal.se:

”All vår verksamhet och alla våra erbjudanden representeras av ett enda varumärke – Bankomat®. Under vårt varumärke samlas alla våra tjänster; uttag, insättning, uttag av utländsk valuta, kontoutdrag, överföringar samt ändring av PIN.”

På Engelska heter det ju själv maskinen ATM (Automatic Teller Machine).

14:20 – Verktygens spridning

Det är svårt att säga något generellt om hackergruppernas verktyg. Dessa håller många av dem för sig själva, men en del säljer dem faktiskt. Gissningsvis beror det på om de sysslar med att huvudsakligen använda dem själva eller sälja dem till andra hackare. Jag vill även nämna att dessa verktyg är specialiserade för en viss typ av verksamhet och inte är samma sort som du hittar i till exempel KaliLinux. När man tittar på dessa verktygslådor, går det att konstatera att standard verktyg som Mimikatz ofta används av grupperna som en del av deras verktygslåda. Både jag och Mattias inser att det är svårt att säga mycket om hur just Carbanak arbetar.

17:43 – Citrix escape

Det är vanligt att attackerare ger sig på hårt nedlåsta terminalservrar och sedan måste slå sig ut ur deras nedlåsningar. Tänk dig att en terminalserver eller en kioskmaskin förbjuder dig att öppna kommandoprompten, vilket är mycket vanligt.

Här är ett exempel på den vanligaste vägen hackare tar sig runt denna begränsning.

Om du använder ”Öppna fil”-dialogrutan, kan du gå ner i System32-katalogen trots att du inte ser enhetsbokstäverna.

Inte exakt det sättet Carbanak gjorde för att komma förbi Applocker, men visar på hur en otillräcklig nedlåsning med AppLocker kan förbigås. Bilden visar Windows "Öppna fil"-dialogruta.
Detta som du nu ser, borde du inte se…

Då kan du dra ftp.exe och släppa på någon av .dll-filerna (inte alla funkar, experimentera!). Då kommer du se att FTP-konsolen öppnas. I denna skriver du ! och trycker enter. Detta betyder, ”ge mig en kommandoprompt” och …

Detta börjar bli lite trist, nu..

… Nu har vi en kommandoprompt. Det är givetvis möjligt att låss ner med Applocker, men även mot detta finns det vägar runt. Carbanak använde en annan, men liknande metod för att komma förbi nedlåsningen.

27:53 – Fibonacci

En klassisk Fibonacci-serie visualiserad.
Vem sa att matte är trist? Inte jag!

Här måste jag erkänna en felsägning. 2-4-8-16 är ett klassiskt exempel på en icke-linjär ökning. Men det är i sig inte en Fibonacci-serie. I en sådan genereras varje nytt nummer genom att addera de två föregående med varandra. Men poängen kvarstår givetvis.

28:19 Vika papper till månen

42 gånger är det rätta svaret, tydligen. Jag läste 50 på baksidan av ett mjölkpaket, men sen när är Arla en auktoritet på området matematik? Alltså om du viker ett vanligt ark av papper dubbelt, kan du efter 42 vikningar nå månen med höjden på det.

Nästa fråga: hur många änglar kan dansa på ett nålshuvud?

Länkar – Carbanak

Felaktigheter

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.

Kommentera

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.

Scroll to top