Avsnittet: 151 – Spear phishing och fallet Carbanak/Cobalt
Inspelat: 2021-01-28 (publicerat 2022-01-30)
Deltagare: Mattias Jadesköld och Erik Zalitis
Detta avsnitt är ett samarbete med Nordlo.
Lyssna på avsnittet – Carbanak
Medan du lyssnar – Carbanak
Bra att komma ihåg med Carbanak är att både gruppen och verktyglådan de använder bär detta namn, så det inte uppstår förvirring när ni lyssnar på poddavsnittet.
7:42 – elaka bilder
Vi talar om JPG-sårbarheter och hur en bild kan innehålla skadlig kod och utlösas när man visar bilden i till exempel ett mailprogram. Jag minns att första gången jag hörde att det hittats i Windows och sedan använts på bred front var 2004.
9:42 – är Bankomat ett varumärke?
Helt riktigt, det är det givetvis. Jag hade inget problem att hitta informationen på varumarkesportal.se:
”All vår verksamhet och alla våra erbjudanden representeras av ett enda varumärke – Bankomat®. Under vårt varumärke samlas alla våra tjänster; uttag, insättning, uttag av utländsk valuta, kontoutdrag, överföringar samt ändring av PIN.”
På Engelska heter det ju själv maskinen ATM (Automatic Teller Machine).
14:20 – Verktygens spridning
Det är svårt att säga något generellt om hackergruppernas verktyg. Dessa håller många av dem för sig själva, men en del säljer dem faktiskt. Gissningsvis beror det på om de sysslar med att huvudsakligen använda dem själva eller sälja dem till andra hackare. Jag vill även nämna att dessa verktyg är specialiserade för en viss typ av verksamhet och inte är samma sort som du hittar i till exempel KaliLinux. När man tittar på dessa verktygslådor, går det att konstatera att standard verktyg som Mimikatz ofta används av grupperna som en del av deras verktygslåda. Både jag och Mattias inser att det är svårt att säga mycket om hur just Carbanak arbetar.
17:43 – Citrix escape
Det är vanligt att attackerare ger sig på hårt nedlåsta terminalservrar och sedan måste slå sig ut ur deras nedlåsningar. Tänk dig att en terminalserver eller en kioskmaskin förbjuder dig att öppna kommandoprompten, vilket är mycket vanligt.
Här är ett exempel på den vanligaste vägen hackare tar sig runt denna begränsning.
Om du använder ”Öppna fil”-dialogrutan, kan du gå ner i System32-katalogen trots att du inte ser enhetsbokstäverna.
Då kan du dra ftp.exe och släppa på någon av .dll-filerna (inte alla funkar, experimentera!). Då kommer du se att FTP-konsolen öppnas. I denna skriver du ! och trycker enter. Detta betyder, ”ge mig en kommandoprompt” och …
… Nu har vi en kommandoprompt. Det är givetvis möjligt att låss ner med Applocker, men även mot detta finns det vägar runt. Carbanak använde en annan, men liknande metod för att komma förbi nedlåsningen.
27:53 – Fibonacci
Här måste jag erkänna en felsägning. 2-4-8-16 är ett klassiskt exempel på en icke-linjär ökning. Men det är i sig inte en Fibonacci-serie. I en sådan genereras varje nytt nummer genom att addera de två föregående med varandra. Men poängen kvarstår givetvis.
28:19 Vika papper till månen
42 gånger är det rätta svaret, tydligen. Jag läste 50 på baksidan av ett mjölkpaket, men sen när är Arla en auktoritet på området matematik? Alltså om du viker ett vanligt ark av papper dubbelt, kan du efter 42 vikningar nå månen med höjden på det.
Nästa fråga: hur många änglar kan dansa på ett nålshuvud?
Länkar – Carbanak
- Nordlo
- Hur det gick till
- Övergripande skiss över attacken
- Hur gruppen försökt attackera Ryssland och Rumänien
- Ett exempel på en Windows sårbarhet från 2004 där en JPG-bild kan ”hacka maskinen”
- En av deras viktigaste verktyg heter ”Carbanak”, precis som gruppen
- Fibonacci sequence
- Vika papper till månen
Felaktigheter
- Inget att rapportera denna gång. Kommentera gärna om ni
inte håller med omhittar fel i något vi sagt.