In July 2024, we discovered the previously unknown Loki backdoor, which was used in a series of targeted attacks. By analyzing the malicious file and open sources, we determined that Loki is a private version of an agent for the open-source Mythic framework.

One of the agent’s decrypted strings

Our solutions detect this threat as Backdoor.Win64.MLoki to differentiate it from other malware families with the same name, such as Loki Bot, Loki Locker, and others.

Mythic Framework

In 2018, developer Cody Thomas created his own open-source framework called Apfell for post-exploitation of compromised macOS systems. Two years later, several developers joined the project, the framework became cross-platform, and was renamed Mythic. The main problems with existing frameworks at the time were the inconvenience of creating different agents (clients), the lack of a unified interface for managing them, and no support for modularity. The advantage of Mythic is that it allows the use of agents in any language, for any platform, with the required functionality. At the time of writing, around two dozen agents have been published in the official Mythic repository.

Technical details

The Loki agent we discovered is a Mythic-compatible version of the agent for another framework, Havoc. The Loki modification inherited various techniques from Havoc to complicate analysis of the agent, such as encrypting its memory image, indirectly calling system API functions, searching for API functions by hashes, and more. However, unlike the agent for Havoc, Loki was split into a loader and a DLL, where main functionality of the malware is implemented.

Both versions of the agent use the djb2 hashing algorithm to obscure API functions and commands. However, in the Mythic version, this was slightly modified. The Havoc agent used Daniel Bernstein’s original magic number, 5381, but in Loki, this was replaced with 2231.
unsigned long
hash(unsigned char *str)
{
unsigned long hash = 2231;
int c;
while (c = *str++)
hash = ((hash << 5) + hash) + c; /* hash * 33 + c */
return hash;
}

Loader functionality

Upon execution, the Loki loader generates a packet containing information about the infected system, such as the OS version, internal IP address, username, processor architecture, the path to the current process and its ID, and sends it encrypted to the command-and-control (С2) server at https://y[.]nsitelecom[.]ru/certcenter. In response, the server sends a DLL, which the loader places in the infected device’s memory – command processing and further communication with the C2 server occur within this library. We will now look at two versions of the loader, whose activity was observed in May and July.

May loader version

July loader version

The loader version observed in May differs slightly from the July sample. For example, the earlier version uses the protobuf protocol for data serialization, while the new one partially mimics the behavior of the Ceos agent.

Both versions use the same algorithms for data encryption: first, the collected information is encrypted with the AES algorithm, then encoded with base64. However, the old version sends a 36-character UUID in plaintext along with the encrypted data, while the new one encodes it using base64.

An example of the data sent before encryption by the July version of Loki, with the UUID visible on the right

Each instance of the malware has a unique UUID. The May sample used the identifier
86cd8a56-1657-42ce-a0e8-587bf8144c05, while the July version used 472719a8-e1ce-4a5c-9ab2-bb4d1139ae33.

Traffic from the July version after AES and base64 encryption

Traffic from the May version after encryption with plaintext UUID

As a result of the first request to the C2 server, the server returns a payload in the form of a DLL with two exported functions: the standard entry point DllMain and the Start function, which the loader calls to transfer further control to the library.

Main module functionality

At the time of discovery, it was no longer possible to download the payload from the aforementioned server. However, through detailed analysis, we found around 15 other versions of the loader and two active C2 servers, and eventually obtained a sample of the main module from the May version.

The main module, like the loader, is based on the Havoc version of the agent, but the list of supported commands is partially borrowed from other Mythic agents. This list is not stored in plain text within the DLL; instead, a series of hashes is specified in the library code. When a command is received from the server, its name is hashed and compared with the hash stored in the DLL.

Processing command hashes

Tools for tunneling traffic

The agent itself does not support traffic tunneling, so to access private network segments, attackers use third-party publicly available utilities. On several infected machines, the ngrok utility was found in the directory with the Loki loader. In other cases, instances of the gTunnel utility were discovered running in the context of the svchost.exe and runtimebroker.exe system processes. Notably, unlike ngrok, it was modified using goReflect to load and execute in memory, not from disk.

Victims and distribution

Over a dozen of Russian companies from various industries, including engineering and healthcare, have encountered this threat. However, we believe the number of potential victims may be higher. Based on telemetry and the names of files in which the malware was detected (such as “смета_27.05.2024.exe”, “На_согласование_публикации_<предприятие>.rar”, “ПЕРЕЧЕНЬ_ДОКУМЕНТОВ.ISO”, etc. – referring to an estimate, a publication approval for a specific enterprise, or a list of documents), we can assume that in several cases, Loki reaches victims’ computers via email, with an unsuspecting user launching the file themselves.

Attribution

At the time of research, there is insufficient data to attribute Loki to any known group. Instead of using standard email templates to spread the agent, the attackers likely approach each target individually. We also did not find any unique tools on the infected machines that could help with attribution. Attackers seem to prioritize using only publicly available utilities for traffic tunneling, such as gTunnel and ngrok, and the goReflect tool for modifying them.

Conclusion

The popularity of open-source post-exploitation frameworks is growing. Although they are primarily useful for enhancing infrastructure security, attackers are increasingly testing and applying various frameworks to control their victims’ devices remotely and modifying them for their own purposes, such as to make detection and attribution more difficult.

Indicators of compromise

July loader version
46505707991e856049215a09bf403701

May loader version
f0b6e7c0f0829134fe73875fadf3942f
796bdba64736a0bd6d2aafe773acba52
5ec03e03b908bf76c0bae7ec96a2ba83
0632799171501fbeeba57f079ea22735
97357d0f1bf2e4f7777528d78ffeb46e
f2132a3e82c2069eb5d949e2f1f50c94
7f85e956fc69e6f76f72eeaf98aca731
375cfe475725caa89edf6d40acd7be70
dff5fa75d190dde0f1bd22651f8d884d
05119e5ffceb21e3b447df49b52ab608
724c8e3fc74dde15ccd6441db460c4e4
834f7e48aa21c18c0f6e5285af55b607
e8b110b51f45f2d64af6619379aeef62

Main module
eb7886ddc6d28d174636622648d8e9e0

gTunnel
1178e7ff9d4adfe48064c507a299a628
dd8445e9b7daced487243ecba2a5d7a8

ngrok
4afad607f9422da6871d7d931fe63402

C2 addresses:
http://y[.]nsitelecom[.]ru/certcenter
http://document[.]info-cloud[.]ru/data
http://ui[.]telecomz[.]ru/data

securelist.com/loki-agent-for-…

Le organizzazioni di ricerca IANS Research e Artico Search hanno recentemente pubblicato un rapporto congiunto sui budget per la sicurezza per il 2024, rivelando le tendenze chiave nei finanziamenti e nel personale nel contesto delle sfide economiche globali. Lo studio si basa sui dati di un sondaggio condotto da oltre 750 chief information security officer (CISO) raccolti da aprile ad agosto di quest’anno.

In un contesto di incertezza globale, inclusi fattori economici e geopolitici, le aziende continuano a essere caute sulla spesa, e ciò sta incidendo sui budget per la sicurezza. La maggior parte di tal budget rimane allo stesso livello o aumenta in modo molto insignificante.

“Il modesto aumento dei budget per la sicurezza informatica quest’anno evidenzia la necessità di investimenti strategici in un contesto economico difficile”, ha affermato Nick Kakolowsky, direttore senior della ricerca presso IANS. La difesa contro le crescenti minacce come gli attacchi di intelligenza artificiale rimane una priorità, ha affermato, ma i budget vengono assegnati con grande attenzione.

Principali risultati del rapporto:

1. I budget per la sicurezza sono cresciuti dell’8%, rispetto al 6% del 2023, ma ancora al di sotto dei tassi di crescita del 2021 e del 2022, rispettivamente del 16% e del 17%. Un quarto degli intervistati ha segnalato budget stabili, mentre il 12% ha segnalato una diminuzione dei finanziamenti.
2. La spesa per la sicurezza continua ad aumentare rispetto alla spesa IT complessiva. Negli ultimi cinque anni, la quota dei budget per la sicurezza IT è cresciuta dall’8,6% nel 2020 al 13,2% nel 2024. Ciò conferma la crescente importanza della protezione dalle minacce informatiche nell’ambiente aziendale.
3. Fattori esterni, come incidenti e nuovi rischi associati all’implementazione dell’intelligenza artificiale, spesso causano aumenti significativi dei budget. Anche i cambiamenti interni, comprese le espansioni e le fusioni aziendali, svolgono un ruolo importante nel giustificare l’aumento dei costi.
4. La crescita del budget varia a seconda del settore. I settori finanziario, IT, vendita al dettaglio e legale hanno visto miglioramenti rispetto allo scorso anno, ma rimangono a livelli percentuali unici. Allo stesso tempo, si sono registrate ulteriori riduzioni nei settori della sanità e dei servizi al consumo.
5. Le assunzioni stanno rallentando nonostante l’aumento dei budget. Nel 2024 la crescita dei dipendenti è scesa al 12%, mentre nel 2022 la cifra era del 31%. Molte aziende mantengono una forza lavoro stabile, il che mette ulteriore stress sui team di sicurezza informatica.

Steve Martano, esperto IANS e reclutatore presso Artico Search, ha osservato che le assunzioni sono diventate una sfida per i CISO. I team sono costretti ad affrontare compiti crescenti con risorse ridotte, il che aumenta la pressione sui manager e sui loro subordinati.

I manager dovrebbero considerare che le prestazioni della sicurezza informatica non sono sempre direttamente proporzionali alle dimensioni del budget. Le aziende che riescono a snellire i processi e incoraggiare il pensiero innovativo tra i dipendenti e soprattutto l’automazione, possono raggiungere elevati livelli di sicurezza anche con risorse limitate.

Il fattore chiave non è solo l’introduzione di tecnologie avanzate, ma anche lo sviluppo del potenziale umano. Le competenze, la creatività e l’adattabilità dei professionisti della sicurezza stanno diventando fondamentali. In condizioni di instabilità economica, solo team uniti e motivati ​​possono creare lo scudo più affidabile contro le minacce informatiche in continua evoluzione.

L'articolo Budget per la Cybersecurity: Una voce Dolorosa di bilancio! Il rapporto IANS proviene da il blog della sicurezza informatica.

In questo articolo vediamo come l’analisi dell’handshake e l’utilizzo di strumenti come Wireshark comportino un’ipotetica individuazione del modello del modem e come, mediante la ricerca di immagini su Google, sia possibile risalire alla password di default dei router.

L’articolo che segue è realizzato esclusivamente a scopo didattico e divulgativo.

1. Configurazione degli Strumenti

1.1 IFCONFIG

Solitamente in Linux le schede di rete sono suddivise in:

• Wi-Fi (indicate con la lettera “w“)
• Ethernet (indicate con la lettera “e“)

1.2 IWCONFIG

Con iwconfig possiamo verificare che siamo in modalità gestita.

Adesso vediamo come passare alla modalità monitor. Per farlo, si può utilizzare anche iwconfig, ma in questo esempio useremo un altro tool.

1.3 AIRMON-NG

Il comando airmon-ng può essere utilizzato per attivare la modalità monitor sulle interfacce wireless.

Permette anche di interrompere i gestori di rete o passare dalla modalità monitor a quella managed.

Questo comando permette di arrestare i gestori di rete e successivamente di eliminare i processi interferenti rimasti:

Attenzione: questo comando interromperà anche la connessione di rete.

Adesso avviamo la scheda di rete wlan1 in monitor mode con il comando sudo airmon-ng start wlan1.

Adesso la scheda di rete è in modalità monitor.

2. Cattura dei Pacchetti

2.1 AIRODUMP-NG

Airodump-ng è utilizzato per la cattura di pacchetti per lo sniffing delle reti wifi.

Per scansionare le reti, digitiamo il comando sudo airodump-ng wlan1mon

Una volta individuata la rete da attaccare, prendiamo nota dell’indirizzo MAC (‘BSSID’) e il canale (‘CH’). Possiamo premere il tasto spazio sulla tastiera per mettere in pausa o riprendere il ridisegno del display e fare copia e incolla dell’indirizzo MAC. Poi, usiamo Ctrl + C per terminare e digitiamo il seguente comando:

Il parametro ‘-w‘ specifica il prefisso del file di output, il che significa che tutti i file generati con informazioni di rete o handshake verranno salvati con il prefisso indicato.

“BSSID” mostra l’indirizzo MAC del punto di accesso.

“PWR” mostra la “potenza” della rete.

“Beacons” mostra il numero di pacchetti di annunci inviati dalla rete.

Ogni rete, anche se nascosta, invierà pacchetti di annunci.

“#Dati” mostra il numero di pacchetti dati catturati.

“#/s” mostra il numero di pacchetti di dati catturati negli ultimi dieci secondi.

“CH” indica il “canale” su cui è trasmessa la rete.

“MB” indica la velocità massima supportata dalla rete.

“ENC” indica il metodo di crittografia utilizzato dalla rete.

“CIPHER” mostra il cifrario utilizzato dalla rete.

“AUTH” mostra l’autenticazione utilizzata dalla rete.

“ESSID” mostra il nome della rete, lo stesso nome visualizzato quando si tenta di connettersi alla rete dal proprio laptop o telefono.

“STATION” Indirizzo MAC di ogni stazione associata o stazioni che cercano un AP a cui connettersi. I client non attualmente associati a un AP hanno un BSSID di “(non associato)”.

2.2 AIREPLAY-NG

Aireplay-ng è uno strumento della suite Aircrack-ng, molto utilizzato nel mondo del pentesting wireless. In parole semplici, serve a interagire con le reti wireless, in particolare per scopi di testing e auditing della sicurezza.

Cosa fa specificamente aireplay-ng?

• Deautenticazione: Forza la disconnessione di dispositivi collegati a una rete wireless. Ti consente di disconnettere qualsiasi dispositivo da qualsiasi rete, anche se non sei connesso alla rete. Non hai nemmeno bisogno di conoscere la password della rete.
• Iniezione di pacchetti: Permette di inviare pacchetti personalizzati a una scheda di rete wireless, consentendo di manipolare il traffico e di testare la vulnerabilità di specifici protocolli.
• Attacco dei quattro handshake: Questa è probabilmente la funzionalità più famosa di aireplay-ng. Viene utilizzata per recuperare il pacchetto di handshake, un elemento fondamentale per crackare la password di una rete WEP o WPA-PSK tramite strumenti come aircrack-ng.

Con Aireplay-ng è possibile interrompere la connessione tra un dispositivo e il punto di accesso. Per fare ciò, è necessario essere abbastanza vicini alla rete. Se l’attacco non dovesse funzionare, potrebbe essere presente un’opzione anti-DOS nel modem.

Digitiamo il comando:

“-a” indirizzo mac “BSSID” -c indirizzo mac “STATION” (IL CLIENT CONNESSO ALLA RETE) “–deauth” 10 è il numero di richieste che vuoi inviare.

Una volta che il client si riconnetterà, saremo in grado di catturare l’handshake.

Adesso che abbiamo l’handshake, possiamo prenderci il tempo necessario per analizzarlo e craccarlo.

3. Analisi con Wireshark

Apriamo il file handshake.cap con Wireshark e cerchiamo la voce ‘Probe Response’. Nella parte inferiore destra, troveremo il modello del modem, che in questo esempio è il TD-W8961N

4. Ricerca della Password di Default

Ora che conosciamo il modello, possiamo fare una ricerca su Google per trovare ipotetiche password di default.

Come si vede nella foto, la password è composta da 8 cifre.

Per esperienza, so che molti modelli TP-Link utilizzano password di 8 numeri, quindi il malintenzionato tenterà un attacco bruteforce su tutte le combinazioni possibili. Ora possiamo convertire il file handshake.cap e procedere al cracking della password.

5. Conversione e Cracking dell’Handshake

5.1 CONVERSIONE DEL FILE HANDSHAKE

Airodump-ng salva gli handshake catturati in un file CAP, che deve essere convertito in un formato compatibile con Hashcat per poter procedere al cracking.

La conversione rapida è possibile utilizzando il tool online disponibile a questo indirizzo: hashcat.net/cap2hashcat/

Una volta caricato, il processo si conclude con successo: l’handshake è stato correttamente estratto (tasto Download).

5.2 CRACKING CON HASHCAT

A questo punto non rimane che provare a craccare l’handshake. In questa fase possiamo utilizzare un attacco bruteforce.

Per praticità utilizzerò Hashcat su Windows, ma potete eseguire lo stesso processo anche su Linux.

Lanciamo il comando hashcat -m 22000 -a 3 1623475_1725638879.hc22000 ?d?d?d?d?d?d?d?d

Arrivati a questo punto, avremo ottenuto la password (53107534).

CONCLUSIONI

Questo articolo ha dimostrato i rischi associati alle password di default e come sia possibile identificare il modello del modem e recuperare la password anche senza essere connessi alla rete Wi-Fi. Proteggere adeguatamente le proprie reti e dispositivi è fondamentale per evitare accessi non autorizzati.

L'articolo Il Pericolo delle Password Di Default! Usiamo Wireshark ed Hashcat per testare la sicurezza del Modem proviene da il blog della sicurezza informatica.

Google faces its second major antitrust trial in less than a year on Monday (9 September), with the US government accusing the tech giant of dominating online advertising and stifling competition.

euractiv.com/section/competiti…

Lo scorso gennaio, durante la competizione di sicurezza informatica Pwn2Own 2024, è stata scoperta una vulnerabilità critica nella comunicazione del sistema di monitoraggio della pressione dei pneumatici (TPMS) della Tesla Model 3.

Questo difetto ha permesso agli attaccanti di eseguire codice malevolo da remoto sul sistema immobilizzatore del veicolo.

Il pieno resoconto di questa scoperta non è ancora stato reso pubblico, ma alcuni dettagli sono emersi durante la conferenza HexaCon, tenutasi di recente.

I ricercatori David Berard e Thomas Imbert, appartenenti al team di Synacktiv, hanno presentato la catena di attacco che hanno sfruttato per compromettere la Tesla Model 3. Il punto di partenza dell’attacco è il sistema TPMS, che comunica in modalità wireless con l’auto. Questo sistema è stato utilizzato come vettore per eseguire codice dannoso sull’ECU immobilizzatore, noto come VCSEC.

"0-click RCE on Tesla Model 3 through TPMS Sensors" 🚗

by David BERARD (@_p0ly_) & Thomas Imbert (@masthoon) pic.twitter.com/Er4fv2Qxoo
— Hexacon (@hexacon_fr) September 3, 2024

Il VCSEC è un’unità critica per la sicurezza del veicolo, poiché gestisce la comunicazione con gli smartphone degli utenti per sbloccare e avviare l’auto, oltre a coordinare le funzioni del TPMS. Come riportato dai ricercatori, questo sistema utilizza più interfacce di comunicazione, tra cui il Bluetooth Low Energy (BLE), impiegato sia dai sensori TPMS che dagli smartphone.

Inoltre, gli smartphone possono utilizzare l’interfaccia Ultra Wide Band (UWB) per migliorare la comunicazione con l’auto.

Sebbene la ricerca completa non sia ancora disponibile, questa scoperta solleva importanti questioni sulla sicurezza delle auto connesse e sull’utilizzo di sistemi wireless per funzioni critiche. Tesla è già stata informata della vulnerabilità e si attende una risposta formale da parte del produttore riguardo alle contromisure da adottare per mitigare il rischio di futuri attacchi.

L'articolo La falla Critica RCE nella Tesla Model 3 scoperta al Pwn2Own sfrutta i sensori dei pneumatici proviene da il blog della sicurezza informatica.

slowforward.net/2024/09/08/pun…

slowforward

2024-09-08 07:31:36

cross the tiber

all text is shared under creative commons, then the crazy gesture, then the crazy business lands on wall street spotify, the worst of the week, which is actually true, how sweet is the eros of the polka, respects the agreements, depends on us, the pigs will find the weak point of the fence and will be able to get out if they have the opportunity, the internal dissent within the parties shows no signs of abating, the new voting system that to date has only been approved by the chamber provides for mini blocked lists, we start again on tuesday, vegetables, extremism thrives, a summer in noir with the “l’espresso” series, from camilleri to meat, in a sector that has always been male, young councilor, july aside, pigs are often considered living dumpsters, stories of intimacy, summer diet, what works what doesn’t, italy germany on stage, forced to wear luxury clothes due to excessive accumulation of fat, the ‘ndrangheta diesel engine, mushroom, pigs have a tendency to get internal parasites because they roll in the mud and are in the dirt all day, the prime minister must respect logic and common sense in proposing the contents, the best way to build the enclosure is to first outline the area, you can give them fruit, some professional breeders think it is better to boil each food,

all the big names in the crosshairs

comment goodbye floris without too many regrets tv goodbye floris without too many regrets by riccardo comment nsa, give a home to pigs raise pigs step, flop a year ago it was almost in rags, as you may have already understood, protect pigs from internal parasites, the chief’s crimes from all over the world, to read with ‘l’espresso’, from camilleri to bartlett, attach some net, if possible start your project in early spring or late summer, install a sturdy netting fence around the pigsty, i, raise pigs step, but we’re not quite there on fair compensation for private copying, piergiorgio paterlini, the clouds, piergiorgio paterlini again? go to the invisible city, verba woland, telemaco generation, frittomisto+ the furious langone turano goat ragù+ argentina in the semi-final. holland follows her on penalties cristina the belly of politics+ on the terrace, otherwise, make an appointment at the local slaughterhouse, from ‘i ponti avanmposto’, sallusti, if everything goes as planned, in the last period he had returned to his house in asti to get jpg treatment from the beginning of the legislature, here’s how much the house tax costs us botox, how much does the tax tasi cost us, digital history is on display in london visions from games to music, both for meat and for excrement, of the paper that raises from the last leader, points drawn up by the pd, kg should eat the tombstone cleaners. shoe shiners and hamburger sellers, and 850 thousand are under 18. the union has been fighting for years to extend to everyone the right to earn a living. and despite international criticism, ciccio veronese, young girls in bloom on display in martigny altan previously copied. next altan photo gallery, other cartoons, the island of the laid-off workers, electrolux, weeks, senators, pigs grow better in the winter months, di maio had made it known that the movement agrees on, that in the session next tuesday, even more so if you live in a particularly hot climate, marshal marine, “it was not appropriate to stay” reforms, matteo re**i challenges the dissidents, “we are at a shcrossroadsh, it will be a turning point that”, stop, they will not be able to refuse, as they let it be known from the pit, retrace his entire career, by lara, watch woody comment e+ $title4url telematic trial underway, the courts are not ready, investigation by alessongo, $title4url drug research, italy behind health by rio, trio.

slowforward.net/2024/09/08/pun…

#differx #flarf #postflarf #proseInProse #punk #punkWorld #punkWorldReskueMe #rescueMe #reskue #reskueMe #world

punk world, reskue me / differx. 2024

cross the tiber all text is shared under creative commons, then the crazy gesture, then the crazy business lands on wall street spotify, the worst of the week, which is actually true, how sweet is …

^slowforward

slowforward.net/2024/09/08/hol…

slowforward

2024-09-07 23:01:25

Hold onto Palestine: Reimagining Anthropology at a Time of Genocide

Society of Palestinian Anthropologists, Insaniyyat’s 4th Biennial Conference (Online)
12-15 September 2024

View the Conference Agenda, Abstracts – Panels and register, here
buff.ly/3SAUftR

slowforward.net/2024/09/08/hol…

#anthropology #conference #genocide #InsaniyyatSBiennialConference #Palestine #SocietyOfPalestinianAnthropologists

holding onto palestine: reimagining anthropology in a time of genocide

Hold onto Palestine: Reimagining Anthropology at a Time of GenocideSociety of Palestinian Anthropologists, Insaniyyat’s 4th Biennial Conference (Online)12-15 September 2024View the Conference…

^slowforward

slowforward.net/2024/09/07/ter…

slowforward

2024-09-07 07:31:28

.

slowforward.net/2024/09/07/ter…

#art #arte #Ben #BenVautier #fluxus

terrain vague / ben vautier. 1961

^slowforward