image

Microsoft: mkb-bedrijven doelwit van aanvallen met H0lyGh0st-ransomware

vrijdag 15 juli 2022, 10:43 door Redactie, 19 reacties

Sinds vorig jaar juli zijn mkb-bedrijven het doelwit van aanvallen met de H0lyGh0st-ransomware, zo stelt Microsoft. Volgens het techbedrijf worden de aanvallen door een Noord-Koreaanse actor uitgevoerd, mogelijk in opdracht van de Noord-Koreaanse overheid. Microsoft vermoedt dat de aanvallen een financieel motief hebben, vermoedelijk om inkomsten voor de verzwakte Noord-Koreaanse economie te genereren.

Bedrijven die door de H0lyGh0st-ransomware zijn getroffen moeten bedragen tussen de 1,2 en 5 bitcoin betalen voor het ontsleutelen van hun data. Wanneer ondernemingen niet betalen stellen de aanvallers dat ze gestolen data van de organisatie openbaar maken. Op basis van gevonden bitcoinwallets stelt Microsoft dat de aanvallers sinds het begin van deze maand geen losgeld van hun slachtoffers hebben ontvangen.

Hoe de aanvallers precies toegang tot de netwerken van slachtoffers weten te krijgen is onbekend. Mogelijk maken ze misbruik van bekende kwetsbaarheden in webapplicaties en contentmanagementsystemen (CMS). Het zou onder andere om CVE-2022-26352 gaan, een kritieke kwetsbaarheid in het cms-platform DotCMS. Naast een waarschuwing voor de ransomware heeft Microsoft ook verschillende indicators of compromise (IoC's), zoals ip-adressen, bestanden en hashes, gepubliceerd die organisaties kunnen gebruiken om eventuele aanvallen te detecteren.

Image

Reacties (19)
15-07-2022, 10:57 door Anoniem
Bitcoin is momenteel spot goedkoop. Tussen de 1 en 5 BTC, je helpt honger de wereld uit *en* je krijgt er een security audit op toe (zolang de voorraad strekt)..
15-07-2022, 11:42 door Robby Swartenbroekx - Bijgewerkt: 15-07-2022, 11:45
Er wordt spijtig genoeg niet naar een source gelinked of gelinked naar de IoC's waarvan sprake. Zou dit nog aangepast kunnen worden aub?

Edit: 1 google search verder en heb de pagina https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/. de IoC is niet zo heel indrukwekkend (hoeft niet, kan perfect zijn dat ze volledig is), slechts 1 IP staat erop: 193[.]56[.]29[.]123
15-07-2022, 14:58 door Anoniem
Hoezo draait een CMS onder windows met admin rechten?
15-07-2022, 16:41 door karma4
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Standaard benadering op http access want de open standaard eist dat poorten onder 1024 met root/admin draaien.
15-07-2022, 16:49 door Anoniem
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Wie zegt dat het onder Windows draait?

DotCMS is a Open SourceHybrid CMS — built on leading Java technology.
15-07-2022, 18:35 door Anoniem
Door karma4:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Standaard benadering op http access want de open standaard eist dat poorten onder 1024 met root/admin draaien.

Daarom moet een CMS ook op een hoge poort intern, kan die van gewoon intern van 443 naar 9999 ofzo gerouteerd worden.
Geen hoge wiskunde.
15-07-2022, 19:19 door Anoniem
Door Anoniem:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Wie zegt dat het onder Windows draait?

.
Dat is helaas standaard getrol
16-07-2022, 12:12 door Anoniem
Door karma4:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Standaard benadering op http access want de open standaard eist dat poorten onder 1024 met root/admin draaien.

en het is je al 100x uitgelegd dat je er gene ene donder van gesnapt hebt... httpd draait niet als root en ook nog eens een afgeschermde SELinux context op RHEL.
16-07-2022, 12:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Wie zegt dat het onder Windows draait?

.
Dat is helaas standaard getrol
Omdat MS het heeft gedetecteerd met telemetrie en verdiep je eens in DotCMS dan weet je het.
16-07-2022, 13:14 door walmare
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Wie zegt dat het onder Windows draait?

.
Dat is helaas standaard getrol
Daar heb je er weer een die de feiten (ongetwijfeld bewust omdat hij er zelf aan verdient) negeert.

four different variants of the H0lyGh0st ransomware were churned out between June 2021 and May 2022 to target Windows systems: BTLC_C.exe, HolyRS.exe, HolyLock.exe, and BLTC.exe.
Dat is 100% windows. https://thehackernews.com/2022/07/north-korean-hackers-targeting-small.html Ransomware incidenten zijn afgerond 100% windows gebaseerd! Als ik jou was zou ik maar vast naar een andere baan gaan zoeken.
16-07-2022, 15:03 door Anoniem
Door Anoniem:
Door karma4:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Standaard benadering op http access want de open standaard eist dat poorten onder 1024 met root/admin draaien.

en het is je al 100x uitgelegd dat je er gene ene donder van gesnapt hebt... httpd draait niet als root en ook nog eens een afgeschermde SELinux context op RHEL.

Jullie zitten beide fout. de crux zit hem in Linux capabilties.

Apache draait wel degelijk als root maar gebruikt de setuid en setgid Linux capabilities voor haar threads. Dus in die zin heeft karma4 gelijk. Het meester process draait als root omdat het sockets bind aan reserved ports.

Maarrr... karma4 zit ook fout. Je hebt geen root nodig om sockets te binden aan reserved ports. In Linux zijn privileges opgedeeld in capabilities. Root is in essentie uid=0/gid=0 plus alle Linux capabilities. Apache gebrulkt setuid en setgid capabilities maar start nog steeds met uid=0/gid=0 plus alle Linux capabilities.

Tegenwoordig hoeft dat niet meer en je kunt prima een webserver draaien zonder uid=0/gid=0 en met *alleen* de net_bind_service Linux capabilty.

systemd-run -p User=joe -p DynamicUser=yes -p AmbientCapabilities=CAP_NET_BIND_SERVICE --working-directory=/tmp /usr/bin/python3 -m http.server 80

https://man7.org/linux/man-pages/man7/capabilities.7.html
16-07-2022, 18:20 door Anoniem
Door walmare:
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Wie zegt dat het onder Windows draait?

.
Dat is helaas standaard getrol
Daar heb je er weer een die de feiten (ongetwijfeld bewust omdat hij er zelf aan verdient) negeert.

four different variants of the H0lyGh0st ransomware were churned out between June 2021 and May 2022 to target Windows systems: BTLC_C.exe, HolyRS.exe, HolyLock.exe, and BLTC.exe.
Dat is 100% windows. https://thehackernews.com/2022/07/north-korean-hackers-targeting-small.html Ransomware incidenten zijn afgerond 100% windows gebaseerd! Als ik jou was zou ik maar vast naar een andere baan gaan zoeken.
Ik hoef geen andere baan. Bij mijn werkgever komen wij heel weinig Linux pc's tegen in kantoor omgevingen. Deze kantoren willen namelijk graag werken .
16-07-2022, 20:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door karma4:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Standaard benadering op http access want de open standaard eist dat poorten onder 1024 met root/admin draaien.

en het is je al 100x uitgelegd dat je er gene ene donder van gesnapt hebt... httpd draait niet als root en ook nog eens een afgeschermde SELinux context op RHEL.

Jullie zitten beide fout. de crux zit hem in Linux capabilties.

Apache draait wel degelijk als root maar gebruikt de setuid en setgid Linux capabilities voor haar threads. Dus in die zin heeft karma4 gelijk. Het meester process draait als root omdat het sockets bind aan reserved ports.

Maarrr... karma4 zit ook fout. Je hebt geen root nodig om sockets te binden aan reserved ports. In Linux zijn privileges opgedeeld in capabilities. Root is in essentie uid=0/gid=0 plus alle Linux capabilities. Apache gebrulkt setuid en setgid capabilities maar start nog steeds met uid=0/gid=0 plus alle Linux capabilities.

Tegenwoordig hoeft dat niet meer en je kunt prima een webserver draaien zonder uid=0/gid=0 en met *alleen* de net_bind_service Linux capabilty.

systemd-run -p User=joe -p DynamicUser=yes -p AmbientCapabilities=CAP_NET_BIND_SERVICE --working-directory=/tmp /usr/bin/python3 -m http.server 80

https://man7.org/linux/man-pages/man7/capabilities.7.html

really?

ss -antp:

LISTEN 0 128 *:80 *:* users:(("httpd",pid=1494731,fd=4),("httpd",pid=1365917,fd=4),("httpd",pid=1365916,fd=4),("httpd",pid=1365915,fd=4),("httpd",pid=1570,fd=4))

en ps -Zelf | grep httpd:

system_u:system_r:httpd_t:s0 5 S apache 1365914 1570 0 80 0 - 65454 - Jul10 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365915 1570 0 80 0 - 641106 - Jul10 ? 00:02:56 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365916 1570 0 80 0 - 690276 - Jul10 ? 00:02:47 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365917 1570 0 80 0 - 641106 - Jul10 ? 00:02:57 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1494731 1570 0 80 0 - 641106 - Jul10 ? 00:02:55 /usr/sbin/httpd -DFOREGROUND


alles wat een verbinding aanmaakt op poort 80 komt in een httpd process terrecht dat als user 'apache' draait en onder de httpd_t context...

even zo voor poort 443 dus...
17-07-2022, 10:37 door Anoniem
"Bij mijn werkgever komen wij heel weinig Linux pc's tegen in kantoor omgevingen. Deze kantoren willen namelijk graag werken ."

inderdaad, maar bij ons is het zo dat we ons werk doen vooral met Linux omdat er nu eenmaal niets windows kan op het gebied van supercomputing enzv. daar zijn overigens ook hele goede redenen voor want een OS voor kantoor automatisering is vaak niet zo een twee drie geschikt voor iets anders waarbij vele gebruikers tegelijk op machines werken en efficient moet zijn en updates stabiel moeten zijn... ieder zij dingetje zullen we maar zeggen :).
17-07-2022, 11:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door karma4:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Standaard benadering op http access want de open standaard eist dat poorten onder 1024 met root/admin draaien.

en het is je al 100x uitgelegd dat je er gene ene donder van gesnapt hebt... httpd draait niet als root en ook nog eens een afgeschermde SELinux context op RHEL.

Jullie zitten beide fout. de crux zit hem in Linux capabilties.

Apache draait wel degelijk als root maar gebruikt de setuid en setgid Linux capabilities voor haar threads. Dus in die zin heeft karma4 gelijk. Het meester process draait als root omdat het sockets bind aan reserved ports.

Maarrr... karma4 zit ook fout. Je hebt geen root nodig om sockets te binden aan reserved ports. In Linux zijn privileges opgedeeld in capabilities. Root is in essentie uid=0/gid=0 plus alle Linux capabilities. Apache gebrulkt setuid en setgid capabilities maar start nog steeds met uid=0/gid=0 plus alle Linux capabilities.

Tegenwoordig hoeft dat niet meer en je kunt prima een webserver draaien zonder uid=0/gid=0 en met *alleen* de net_bind_service Linux capabilty.

systemd-run -p User=joe -p DynamicUser=yes -p AmbientCapabilities=CAP_NET_BIND_SERVICE --working-directory=/tmp /usr/bin/python3 -m http.server 80

https://man7.org/linux/man-pages/man7/capabilities.7.html

really?

ss -antp:

LISTEN 0 128 *:80 *:* users:(("httpd",pid=1494731,fd=4),("httpd",pid=1365917,fd=4),("httpd",pid=1365916,fd=4),("httpd",pid=1365915,fd=4),("httpd",pid=1570,fd=4))

en ps -Zelf | grep httpd:

system_u:system_r:httpd_t:s0 5 S apache 1365914 1570 0 80 0 - 65454 - Jul10 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365915 1570 0 80 0 - 641106 - Jul10 ? 00:02:56 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365916 1570 0 80 0 - 690276 - Jul10 ? 00:02:47 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365917 1570 0 80 0 - 641106 - Jul10 ? 00:02:57 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1494731 1570 0 80 0 - 641106 - Jul10 ? 00:02:55 /usr/sbin/httpd -DFOREGROUND


alles wat een verbinding aanmaakt op poort 80 komt in een httpd process terrecht dat als user 'apache' draait en onder de httpd_t context...

even zo voor poort 443 dus...

Hier tenminste wel. Kunnen kleine verschillen zijn maar puntje bij paaltje heeft apache net_bind_service nodig en de compatible manier is om als root op te starten, sockets te binden en dan privileges te droppen door uid/gid te veranderen.

root@debian:~# ps -Zelf | grep apache
sys.id:sys.role:apache.server.subj:s0 1 S root 14216 1 0 80 0 - 3042 - Jul14 ? 00:00:07 /usr/sbin/apache2 -k start
sys.id:sys.role:apacheutils.rotatelogs.subj:s0 0 S root 14217 14216 0 80 0 - 699 - Jul14 ? 00:00:00 /usr/bin/rotatelogs -n 5 /var/log/apache2/error.log 1M
sys.id:sys.role:apacheutils.rotatelogs.subj:s0 0 S root 14218 14216 0 80 0 - 701 - Jul14 ? 00:00:00 /usr/bin/rotatelogs -n 5 /var/log/apache2/access.log 1M
sys.id:sys.role:apache.server.subj:s0 5 S www-data 14219 14216 0 80 0 - 2830 - Jul14 ? 00:00:00 /usr/sbin/apache2 -k start
sys.id:sys.role:apache.server.subj:s0 5 S www-data 14222 14216 0 80 0 - 501415 - Jul14 ? 00:00:03 /usr/sbin/apache2 -k start
sys.id:sys.role:apache.server.subj:s0 5 S www-data 14223 14216 0 80 0 - 501446 - Jul14 ? 00:00:06 /usr/sbin/apache2 -k start
sys.id:sys.role:sys.user.subj:s0 0 S root 24721 20725 0 80 0 - 1545 - 11:20 pts/0 00:00:00 grep apache

root@debian:~# ss -antlpZ | grep apache
LISTEN 0 511 *:443 *:* users:(("apache2",pid=14223,proc_ctx=sys.id:sys.role:apache.server.subj:s0,fd=6),("apache2",pid=14222,proc_ctx=sys.id:sys.role:apache.server.subj:s0,fd=6),("apache2",pid=14216,proc_ctx=sys.id:sys.role:apache.server.subj:s0,fd=6))
LISTEN 0 511 *:80 *:* users:(("apache2",pid=14223,proc_ctx=sys.id:sys.role:apache.server.subj:s0,fd=4),("apache2",pid=14222,proc_ctx=sys.id:sys.role:apache.server.subj:s0,fd=4),("apache2",pid=14216,proc_ctx=sys.id:sys.role:apache.server.subj:s0,fd=4))
17-07-2022, 12:14 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door karma4:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Standaard benadering op http access want de open standaard eist dat poorten onder 1024 met root/admin draaien.

en het is je al 100x uitgelegd dat je er gene ene donder van gesnapt hebt... httpd draait niet als root en ook nog eens een afgeschermde SELinux context op RHEL.

Jullie zitten beide fout. de crux zit hem in Linux capabilties.

Apache draait wel degelijk als root maar gebruikt de setuid en setgid Linux capabilities voor haar threads. Dus in die zin heeft karma4 gelijk. Het meester process draait als root omdat het sockets bind aan reserved ports.

Maarrr... karma4 zit ook fout. Je hebt geen root nodig om sockets te binden aan reserved ports. In Linux zijn privileges opgedeeld in capabilities. Root is in essentie uid=0/gid=0 plus alle Linux capabilities. Apache gebrulkt setuid en setgid capabilities maar start nog steeds met uid=0/gid=0 plus alle Linux capabilities.

Tegenwoordig hoeft dat niet meer en je kunt prima een webserver draaien zonder uid=0/gid=0 en met *alleen* de net_bind_service Linux capabilty.

systemd-run -p User=joe -p DynamicUser=yes -p AmbientCapabilities=CAP_NET_BIND_SERVICE --working-directory=/tmp /usr/bin/python3 -m http.server 80

https://man7.org/linux/man-pages/man7/capabilities.7.html

really?

ss -antp:

LISTEN 0 128 *:80 *:* users:(("httpd",pid=1494731,fd=4),("httpd",pid=1365917,fd=4),("httpd",pid=1365916,fd=4),("httpd",pid=1365915,fd=4),("httpd",pid=1570,fd=4))

en ps -Zelf | grep httpd:

system_u:system_r:httpd_t:s0 5 S apache 1365914 1570 0 80 0 - 65454 - Jul10 ? 00:00:00 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365915 1570 0 80 0 - 641106 - Jul10 ? 00:02:56 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365916 1570 0 80 0 - 690276 - Jul10 ? 00:02:47 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1365917 1570 0 80 0 - 641106 - Jul10 ? 00:02:57 /usr/sbin/httpd -DFOREGROUND
system_u:system_r:httpd_t:s0 5 S apache 1494731 1570 0 80 0 - 641106 - Jul10 ? 00:02:55 /usr/sbin/httpd -DFOREGROUND


alles wat een verbinding aanmaakt op poort 80 komt in een httpd process terrecht dat als user 'apache' draait en onder de httpd_t context...

even zo voor poort 443 dus...

Het werkt iets anders bij jou (misschien Red Hat patches) maar het komt wel op het zelfde neer. Het "meester process (pid 1570)" draait bij jou niet (bij mij nog wel).
18-07-2022, 08:55 door walmare
Door Anoniem:
Door walmare:
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Wie zegt dat het onder Windows draait?

.
Dat is helaas standaard getrol
Daar heb je er weer een die de feiten (ongetwijfeld bewust omdat hij er zelf aan verdient) negeert.

four different variants of the H0lyGh0st ransomware were churned out between June 2021 and May 2022 to target Windows systems: BTLC_C.exe, HolyRS.exe, HolyLock.exe, and BLTC.exe.
Dat is 100% windows. https://thehackernews.com/2022/07/north-korean-hackers-targeting-small.html Ransomware incidenten zijn afgerond 100% windows gebaseerd! Als ik jou was zou ik maar vast naar een andere baan gaan zoeken.
Ik hoef geen andere baan. Bij mijn werkgever komen wij heel weinig Linux pc's tegen in kantoor omgevingen. Deze kantoren willen namelijk graag werken .
Dat doen ze dus niet meer. Zie ransomware. Meest gebruikte windows programma.
18-07-2022, 12:03 door _R0N_
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Wie zegt dat het onder Windows draait?

.
Dat is helaas standaard getrol
Omdat MS het heeft gedetecteerd met telemetrie en verdiep je eens in DotCMS dan weet je het.

Tja dan kom je er ineens achter dat het op Linux draait.
microsoft doet meer dan Windows alleen, alleen zijn mensen daar blind voor.
18-07-2022, 21:17 door walmare
Door _R0N_:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoezo draait een CMS onder windows met admin rechten?
Wie zegt dat het onder Windows draait?

.
Dat is helaas standaard getrol
Omdat MS het heeft gedetecteerd met telemetrie en verdiep je eens in DotCMS dan weet je het.

Tja dan kom je er ineens achter dat het op Linux draait.
microsoft doet meer dan Windows alleen, alleen zijn mensen daar blind voor.
Dan heb je mazzel want deze H0lyGh0st-ransomware is 100% windows! .exe weet je wel.
Microsoft doet inderdaad Linux in Azure. Die stukken werken dan ook :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.