Analyse der Fox-Kitten-Infrastruktur offenbart einzigartige Host-Muster und potenziell neue IOCs

Zusammenfassung

Hintergrund

Am 28. August 2024 veröffentlichten das Federal Bureau of Investigation, die Cybersecurity and Infrastructure Security Agency (CISA) und das Department of Defense Cyber Crime Center (DC3) ein gemeinsames Cybersecurity Advisory (CSA), um Netzwerkverteidiger zu warnen, dass ab August 2024 eine Gruppe von Cyber-Akteuren mit Sitz im Iran (auch bekannt als "Fox Kitten") weiterhin US-amerikanische und ausländische Organisationen ausnutzt."Das CSA enthielt eine Liste von 17 IOCs (12 IP-Adressen/Hosts, fünf Domänennamen) mit den Daten "First Seen" und "Most Recently Observed", fügte aber hinzu, dass Verteidiger "diese IP-Adressen vor der Ergreifung von Maßnahmen untersuchen oder überprüfen sollten...." und "[D]as FBI und die CISA empfehlen nicht, die Indikatoren in Tabelle 11 allein aufgrund ihrer Aufnahme in dieses CSA zu blockieren."

Censys' Perspektive

Censys unterstützte die Verteidiger bei diesen Ermittlungs- und Überprüfungsaufgaben, indem es seine historische, globale Internetperspektive nutzte, um die Profile der IOCs während des in der CSA beschriebenen Zeitraums der schändlichen Aktivitäten zu analysieren. Dies ermöglicht es den Verteidigern, diese historischen Profile mit den aktuellen Einstellungen der Hosts zu vergleichen und festzustellen, ob genügend Ähnlichkeiten bestehen, um die Sperrung der betreffenden IOCs zu empfehlen.

CensysFeststellungen

Durch die Untersuchung der Hosts, die mit den IOC-IPs verbunden sind, sowie der Hosts und Zertifikate, die mit den Domain-IOCs verbunden sind, die im FBI/CISA-Advisory für Fox Kitten aufgeführt sind, konnte Censys im Laufe der Zeit extrem eindeutige Muster unter diesen Hosts aufdecken. Diese Muster wurden dann bei Suchvorgängen verwendet, um:

• finden. aktive Hosts, die nicht in der Beratung erwähnt werden und:
  • Übereinstimmende Muster und Autonome Systeme (AS) wie die Hosts D, E und G aus dem Bericht, die Teil derselben Infrastruktur sein könnten und möglicherweise für künftige Angriffe genutzt werden
  • Abgleich der Domänen-IOCs mit dem Host G und der AS mit den Hosts J und C aus dem Bericht, die Teil derselben Infrastruktur sein könnten und möglicherweise für künftige Angriffe verwendet werden
• Identifizierung von Zeiträumen außerhalb der im Hinweis genannten Zeiträume, in denen IOC-Hosts ähnlich oder identisch mit den Zeiträumen ruchloser Aktivitäten erscheinen, was möglicherweise auf bisher unbekannte Zeiträume von Bedrohungsaktivitäten hinweist
• Suche nach aktuellen Zertifikaten mit passenden Domänen-IOCs, die auf zukünftigen Hosts verwendet werden können.

Analyse

Censys einmalige und ungewöhnliche Muster aufgedeckt, die in der Vergangenheit auf den IOC-Hosts beobachtet wurden und keine bekannte, rechtmäßige Verwendung zu haben scheinen. Daher sind die aktiven Hosts, die diesen Mustern entsprechen, die über Censys Search entdeckten aktiven Hosts, die diesen Mustern entsprechen, im schlimmsten Fall Teil der Fox-Kitten-Infrastruktur und im besten Fall immer noch eine Überlegung wert, vor denen sich Cyber-Verteidiger schützen sollten, da sie keine legitime Geschäftsfunktion zu haben scheinen. Das Gleiche gilt für die beiden aktiven Hosts, deren Domänen-IOCs übereinstimmen.

Diagramm zur Analyse der Verknüpfung der in der Gemeinsamen CSA AA24-241A aufgeführten Kompromissindikatoren (IOCs)

Konsolidierte Liste der IOCs aus der gemeinsamen CSA AA24-241A

Wichtigste Ergebnisse

Gemeinsamkeiten zwischen den IP IOCs aus dem Bericht

• 9 der 12 Hosts haben einen gemeinsamen geografischen Standort
  • 7 Gastgeber = London, UK (Gastgeber B, C, F, H, I, K, L)
  • 2 Gastgeber = Stockholm, SWE (Gastgeber E, G)
  • Je 1 Gastgeber= Frankfurt, DE (Gastgeber A) Los Angeles, US (Gastgeber J) Tel Aviv, IS (Gastgeber D)
• Alle Hosts haben mit mindestens einem anderen Host aus der Gruppe eine Autonomous System Number gemeinsam
  • AS 14061 (DIGITALOCEAN-ASN) = Hosts A, B, F
  • AS 16509 (AMAZON-02) = Hosts D, E, G, H
  • AS 399629 (BLNWX) = Wirte I, K, L
  • AS 20473 (AS-CHOOPA) = Hosts C, J
• Die Hosts D, E und G sind nicht "identisch", weisen aber nahezu identische Muster von Ports, Zertifikatsnamen und Software/HTTP-Titeln auf; diese Muster entsprechen den Erkenntnissen aus einem Blog von Censys Mirth Connect vom Mai 2024. In einer Bewertung des Blogs heißt es, dass Hosts mit diesen Merkmalen auf "eine besondere Art von Honigtopf-ähnlichen Entitäten hinweisen, die darauf ausgelegt zu sein scheinen, Internet-Scanner abzufangen".
• Zu den Mustern in den interessanten Zeiten des Berichts gehören:
  • Eine lange Liste (mehr als 20) von offenen Diensten/Ports, von denen die meisten HTTP sind
  • HTTP-Ports mit HTML-Titeln und/oder Software-Fingerabdrücken für
  • Mirth Connect (auch im Blog Censys Rapid Response (RR) behandelt)
  • Ivanti Connect Secure (behandelt in RR Blog, RR 08APR24 Advisory)
  • Ray Dashboard (behandelt in RR 28MAR24 Advisory)
  • F5 BIG-IP (im RR-Blog behandelt)
  • Zusammenfluss
  • KACE
  • JetBrains Team City (nur Host G)
  • ManageEngine (nur Host G)
• Zertifikate, die auf HTTP-Ports ausgestellt werden, die scheinbar zufällig sind, aber eine Liste von Namen wiederverwenden, die den Anschein erwecken, Teil legitimer Organisationen zu sein, darunter "futureenergy.us", "next-finance.mil", "schneider-electric.oil-bright.mil" usw. Die in einigen der Zertifikate aufgeführten Subdomänen enthalten einige der oben genannten Softwaretypen, darunter "kace", "bigip" und "fortinet".

Hinweis: Die Verwendung der Bezeichnung "tarpit" in Censys Search (insbesondere auf demselben AS wie Hosts D, E und G) hilft den Analysten, weitere dieser Hosts mit Zertifikaten zu finden, die demselben Muster entsprechen wie die oben genannten.

Analyse: Es hat den Anschein, dass die Eigentümer/Betreiber der IOC-Hosts versucht haben, die Beziehungen zwischen den Hosts zu verschleiern, indem sie unter anderem verschiedene AS, Standorte, Zertifikate und Port-Konfigurationen gewählt haben; wenn man jedoch die Profile dieser IOC-Hosts in ihrer Gesamtheit betrachtet, ergeben sich Muster, die die Hosts miteinander verbinden. Diese Verbindungen in Verbindung mit ihrer Identifizierung als IOCs durch das FBI/CISA/DC3 untermauern die Behauptung, dass sie mit ruchlosen Aktivitäten in Verbindung stehen.

Gemeinsamkeiten bei den ursprünglichen Hosts zur Aufdeckung möglicher zusätzlicher Infrastrukturen, die im FBI/CISA-Bericht nicht erwähnt werden 

• Eine Suche nach der Kennzeichnung "tarpit" (die auf Hosts mit einer ungewöhnlich hohen Anzahl offener Ports hinweist) auf Censys Search innerhalb desselben ASN wie die Hosts D, E und G ergab insgesamt 38.862 Hosts weltweit, die den gleichen Mustern wie die Hosts D, E und G zu entsprechen scheinen:
  • Eine lange Liste (mehr als 20) von offenen Diensten/Ports, von denen die meisten HTTP sind
  • Diese HTTP-Ports mit laufender Software, zu der neben der obigen Liste auch Easy IO 30P, Check Point (Check Point Security Gateways wurde im FBI/CISA Advisory ebenfalls als gezieltes Softwareprodukt aufgeführt) und PanOS (ebenfalls im FBI/CISA Advisory als gezieltes Produkt aufgeführt) gehören.
  • Die Zertifikate für die HTTP-Ports folgen demselben Muster wie die für die Hosts D, E und G

Anmerkung: Wirt G wies diese Muster im SEP und NOV23 auf.

Analyse: Obwohl weitere Bestätigungen erforderlich sind, ist es logisch, dass diese Hosts Teil derselben Infrastruktur sind, die der Fox Kitten-Gruppe gehört, da es viele Ähnlichkeiten zwischen den durch diese Suche gefundenen Hosts und den im FBI/CISA Advisory aufgeführten Hosts D, E und G bekannter böser Akteure gibt. Diese Informationen können von Organisationen verwendet werden, um Watchlists oder Blacklists zu ergänzen, insbesondere wenn diese Hosts mit dem AS, dem Herkunftsland übereinstimmen oder ähnliche Oktette wie die IPs aufweisen, die durch diese Suche aufgedeckt wurden.

Censys Beobachtete 3 Domain IOCs auf IOC IPs 

• IOC 1 (api.gupdate[.]net) wurde von Censys in den Forward-DNS-Einträgen von Host C bereits am 14APR24 beobachtet, was außerhalb des im Advisory genannten Aktivitätszeitraums von Juli bis August 2024 liegt. Die Domäne IOC war auch in Namensfeldern von Zertifikaten auf demselben Host bereits am 27MAY24 zu finden.
• IOC 2 (githubapp[.]net) wurde zuerst von Censys in den Forward-DNS-Einträgen von Host G am 24FEB24 beobachtet, was mit dem ersten aktiven Zeitrahmen für diesen Host im Advisory übereinstimmt. Zum Zeitpunkt dieses Berichts ist das IOC auf diesem und anderen Hosts immer noch aktiv.
• Die IOCs 3 und 4 (login.forticloud[.]online & fortigate.forticloud[.]online) wurden in der Vergangenheit auf keinem der Hosts beobachtet und auch nicht auf aktuellen Hosts. Die Wörter "fortios", "fortiproxy" und "fortinet" sind jedoch auf Zertifikaten von Hosts D, G und anderen in diesem Bericht erwähnten Hosts aufgetaucht, die ihren Mustern entsprechen.
• IOC 5 (cloud.sophos[.]one) wurde von Censys in den Forward-DNS-Einträgen von Host K am 03OCT23 beobachtet. Dies entspricht dem ersten aktiven Zeitrahmen für diesen Host als Teil von Fox Kitten im FBI/CISA Advisory vom Oktober 2023. IOC 5 wird derzeit auf keinem aktiven Host beobachtet.

Censys Beobachtete Domain IOC 2 auf drei aktuellen/aktiven IPs, die nicht in der Meldung erwähnt werden

Eine Suche nach IOC 2 auf aktiven Hosts in Censys Search zeigt, dass IOC 2 derzeit in den Forward-DNS-Einträgen von Host O sowie in den Zertifikaten von Hosts M und N enthalten ist, die alle nicht in der Empfehlung erwähnt wurden. Host O teilt sich ein AS mit den Hosts D, E, G und H und die Hosts M und N teilen sich ein AS mit den Hosts C und J.

Empfehlung: Verteidiger sollten in Erwägung ziehen, diese Host-IPs (M= 64.176.165[.]17; N= 70.34.218[.]77; O = 18.130.251[.]165) zu ihren Watchlists oder Blocklisten hinzuzufügen."

IOC-IP-Host-Profile erscheinen ähnlich oder identisch über die im Bericht aufgeführten Zeiträume hinaus 

Censys untersuchte die Profile von Hosts, die mit den IP-IOCs aus der CSA verknüpft waren, und stellte fest, dass einige Host-Profile vor oder nach den in der CSA identifizierten "First Seen" und "Most Recently Observed Date[s]" sehr ähnlich oder identisch aussahen. Diese Beobachtungen könnten auf frühere oder nicht gemeldete Angriffe/Aktivitäten hinweisen.

Wirt C: Erstmals gesehen JUL24; zuletzt AUG24. Censys beobachtete ein identisches Wirtsprofil von Wirt C bereits im MAI24, also vor dem Datum der Erstsichtung in der CSA, an dem IOC 1 auf dem Wirt zu sehen ist. Die Gemeinsamkeiten sind unten dargestellt.

Gastgeber C: MAI24 (links), JUL24 (rechts)

Wirt D: Erstmals gesehen JAN24; zuletzt AUG24. Censys beobachtete ein Host-Profil von Host D im DEZ23, das dem Profil von Host D im JAN24 ähnelt, d. h. einen Monat vor dem Datum des ersten Auftretens in der CSA. Zu den unten dargestellten Gemeinsamkeiten gehören eine scheinbar zufällige große Anzahl offener HTTP-Ports, Software wie Confluence, die mit anderen, mit Host D verbundenen Hosts übereinstimmt, sowie scheinbar zufällige Zertifikatsnamen, die dieselbe Reihe von Schlüsselwörtern verwenden.

Wirt D: Erstmals gesehen JAN24; zuletzt AUG24. Censys beobachtete ein Host-Profil von Host D im DEZ24, das dem Profil von Host D im JAN24 ähnelt, d. h. einen Monat vor dem Datum des ersten Auftretens in der CSA. Zu den unten dargestellten Gemeinsamkeiten gehören eine scheinbar zufällige große Anzahl offener HTTP-Ports, Software wie Confluence, die mit anderen, mit Host D verbundenen Hosts übereinstimmt, sowie scheinbar zufällige Zertifikatsnamen, die dieselbe Reihe von Schlüsselwörtern verwenden.

Gastgeber D: DEC23 (links), JAN24 (rechts)

Host I: 1. gesehen SEP23; zuletzt JAN24. Censys beobachtete ein Hostprofil von Host I im DEZ23, das mit dem Profil von Host I im FEB24 identisch ist, also einen Monat nach dem jüngsten Datum in der CSA. Alle Details sind identisch, einschließlich der SSH-Schlüssel-Fingerabdrücke, die unten abgebildet sind.

Gastgeber I: DEC23 (links), FEB24 (rechts)

 Censys Beobachtete alle Domain-IOCs aus dem Advisory auf 64 derzeit gültigen, selbstsignierten Zertifikaten

• IOC 1 (api.gupdate[.]net) = 3 gültige Zertifikate, 3 abgelaufene Zertifikate; alle Aussteller sind Let's Encrypt mit Ausnahme eines aktiven Zertifikats mit Aussteller "unbekannt" und einem Ablaufdatum im Jahr 2049. Dieses Zertifikat war auch das erste, das mit dieser Domäne im Jahr 2018 ausgestellt wurde.
• IOC 2 (githubapp[.]net) = 11 gültige Zertifikate, 12 abgelaufene Zertifikate; alle Aussteller sind Let's Encrypt mit Ausnahme eines abgelaufenen Zertifikats mit Aussteller "unbekannt" und eines aktiven Zertifikats mit Aussteller "unbekannt" mit einem Ablaufdatum im Jahr 2049. Wie IOC 1 war auch dieses Zertifikat das erste, das mit dieser Domäne im Jahr 2018 erstellt wurde.
• IOC 3 (login.forticloud[.]online) = 19 gültige Zertifikate, 11 abgelaufene Zertifikate; alle Aussteller sind Let's Encrypt. Das erste Zertifikat für diese Domäne wurde im Jahr 2023 erstellt.
• IOC 4 (fortigate.forticloud[.]online) = 5 gültige Zertifikate, 11 abgelaufene Zertifikate; alle Aussteller sind Let's Encrypt. Das erste Zertifikat für diese Domäne wurde im Jahr 2023 erstellt.
• IOC 5 (cloud.sophos[.]com) = 26 gültige Zertifikate, 4 abgelaufene Zertifikate; alle Aussteller sind Let's Encrypt. Das erste Zertifikat für diese Domäne wurde im Jahr 2023 erstellt.

Analyse: Verteidiger sollten weiterhin auf diese IOCs in Zertifikaten achten, da einige Host-IP-IOCs noch aktiv sind und es 64 gültige Zertifikate gibt, die auf diesen oder anderen Hosts verwendet werden können.

Schlussfolgerung

Durch die Untersuchung der Profile der mit den IOCs der CSA verbundenen Hosts im Laufe der Zeit konnte Censys Muster und Gemeinsamkeiten zwischen diesen Hosts aufdecken und dann diese Muster und Gemeinsamkeiten nutzen, um andere, derzeit aktive Hosts und Zertifikate zu identifizieren, die möglicherweise Teil derselben Fox-Kitten-Infrastruktur sind. In Zukunft können Verteidiger die IOCs zusammen mit bekannten Zeiträumen bösartiger Aktivitäten nutzen, um Host- und Zertifikatsprofile vor, während und nach gemeldeten Angriffen zu untersuchen, um Verbindungen, Muster und gemeinsame Indikatoren zu erkennen. Anschließend können sie diese Faktoren nutzen, um dynamische Suchvorgänge in öffentlichen Scandatenbanken wie Censys' durchzuführen, um zu beobachten, wie diese Bedrohungen neue Infrastrukturen aufbauen und dabei die gleichen Techniken wie zuvor anwenden.

Trotz aller Verschleierungs-, Ablenkungs- und Zufallsversuche müssen Menschen digitale Infrastrukturen einrichten, betreiben und wieder außer Betrieb nehmen. Diese Menschen, selbst wenn sie sich auf Technologie verlassen, um Zufälligkeit zu erzeugen, werden fast immer einer Art Muster folgen, ob es sich nun um ähnliche autonome Systeme, geographische Standorte, Hosting-Anbieter, Software, Port-Verteilungen oder Zertifikatsmerkmale handelt. Wenn die Verteidiger diese Muster erkennen können, ähnlich wie die Soldaten im Zweiten Weltkrieg die "Fäuste" der Morsecode-Operatoren oder Kommunikationspersönlichkeiten erkannten, haben sie eine Chance, den Bedrohungsakteuren einen Schritt voraus zu sein.

Methodik

Censys analysierte Felder, um genau nach den IOCs, Trends, Mustern und anderen Indikatoren zu suchen, die in der Empfehlung erwähnt oder im Laufe der Untersuchung gefunden wurden. Censys nutzte historische Profile von Hosts, um die Perspektive von Censyszu bestimmten Zeitpunkten zu untersuchen, um die IOCs mit den in der Empfehlung aufgeführten Zeiträumen zu bestätigen, sowie Beobachtungen, die mit den Profilen der IOC-Hosts übereinzustimmen schienen, jedoch außerhalb des in der Empfehlung aufgeführten Zeitraums lagen, was möglicherweise auf einen Zeitrahmen für die Inszenierung oder ruchlose Aktivitäten hinweist, die zuvor nicht beobachtet wurden.

Censys verwendete eine Link-Diagramm-Analyse, um Ähnlichkeiten, Muster und Trends zwischen IOCs, Hosts, Zertifikaten, Autonomen Systemen und verschiedenen anderen geparsten Feldern aus dem Censys' Scan-Datensatz zu identifizieren.

[1] https://www.cisa.gov/sites/default/files/2024-08/aa24-241a-iran-based-cyber-actors-enabling-ransomware-attacks-on-us-organizations_0.pdf