Aufkommendes Ereignis - Zertifikatsrotation der AnyDesk Remote-Software

[N.]

Hat jemand IOCs für das widerrufene AnyDesk-Zertifikat geschrieben? Es scheint, dass AnyDesk eine 48-stündige "Wartung" hatte, dann ihr Code-Signierungs-Zertifikat abgelaufen ist und erzwungene Updates durchgeführt wurden. Ich möchte sehen, ob jemand in der Lage war, Informationen über das Zertifikat zu sammeln und IOCs dafür zu erstellen.

Edit: Ich habe einige IOCs dank Cyber Twitter Intelligence gefunden, bin mir aber nicht sicher, wie ich eine Insight-Abfrage schreiben soll, um nach den Zertifikatsinformationen zu suchen.

Diese sehen nach einer Seriennummer und Issuer-Signatur aus der Yara-Regel von Florian aus:
(Link zum Twitter-Beitrag in den Kommentaren)

strings:
$sc1 = { 0D BF 15 2D EA F0 B9 81 A8 A9 38 D5 3F 76 9D B8 }
$s2 = "DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1"

 

[s.]

Dies gibt Ihnen Einblick, wenn jemand die AnyDesk-Software verwendet.

index=json EventType=Ereignis_ExternerAPIEreignis ExternalApiType=Ereignis_ModuleZusammenfassungsinfo SubjektZertifikatDaumenabdruck IN (*) UND SubjektCN="philandro Software GmbH"| umbenennen AgentIdString als aid| Suche aid_master.csv aid AUSGABE ComputerName, Version, AgentVersion, Zeitzone| Tabelle ComputerName,SubjektCN,SubjektZertifikatDaumenabdruck,SHA256HashData,_time

Ich habe dies verwendet, um alle Hashes zu blockieren, die den Daumenabdruck nicht verwenden

646F52926E01221C981490C8107C2F771679743A oder Version 8.0.8 wird ausgeführt.

Lassen Sie mich wissen, wenn Sie Fragen haben.

 

[R.]

index=json EventType=Ereignis_ExterneApiEreignis ExternalApiType=Ereignis_ModuleZusammenfassungsInfoEreignis SubjectCertThumbprint IN (*) AND SubjectCN="philandro Software GmbH" OR SubjectCN="AnyDesk Software GmbH"

| umbenennen AgentIdString als aid

| lookup aid_master.csv aid ALS ComputerName, Version, AgentVersion, Timezone

| tabelle ComputerName,SubjectCN,SubjectCertThumbprint,SHA256HashData,_time

u/surbo2 wie kann ich alle Hashes blockieren, die nicht den Daumenabdruck 646F52926E01221C981490C8107C2F771679743A oder die Version 8.0.8 verwenden? Kannst du erklären, wie ich das aus der Konsole heraus machen kann? Danke!

 

[N.]

Ich habe dies auf Twitter gefunden und es scheint bessere Informationen zu enthalten: signature-base/yara/gen_anydesk_compromised_cert_feb23.yar at master · Neo23x0/signature-base

 

[s.]

index=json EventType=Ereignis_ExternalApiEvent ExterneApiArt=Ereignis_ModuleSummaryInfoEvent SubjectCertFingerabdruck IN (*) UND SubjectCN="philandro Software GmbH" ODER SubjectCN="AnyDesk Software GmbH"| umbenennen AgentIdString als aid| lookup aid_master.csv aid AUSGABE ComputerName, Version, AgentVersion, Zeitzone| Tabelle ComputerName,SubjectCN,SubjectCertFingerabdruck,SHA256HashData,_time

 

[t.]

Wo hast du nach dieser Anfrage gesucht? Erweiterte Veranstaltungssuche?

 

[T.]

Wäre es nicht besser, SubjectSerialNumber anstelle von Thumbprint zu verwenden?

 

[s.]

Ich bin mir nicht sicher, ob das eine besser ist als das andere. Ich erhalte die gleiche Datenmenge, egal ob ich eines davon auf VT verwende. Bitte lassen Sie mich wissen, wenn es Anwendungsfälle gibt, bei denen etwas übersehen werden könnte.

 

[H.]

Hier ist der beste Weg, um AnyDesk zu handhaben. Blockiere .anydesk. in deiner Host- und GW-Firewall.

 

[6.]

Hier ist, wie man Hosts auflisten kann, die noch nicht aktualisiert wurden. Bin mir nicht sicher, ob es sich lohnt, sich aufzuregen, da es automatisch aktualisiert wird. CA-Identifikatoren gefunden im bleepingcomputer-Post.

#repo=base_sensor #event_simpleName=ProcessRollup2| join(field=SHA256HashData,query={#repo=detections SubjectSerialNumber=*| in(field=SubjectSerialNumber,values=["0dbf152deaf0b981a8a938d53f769db8","0a8177fcd8936a91b5e0eddf995b0ba5"])| case {SubjectSerialNumber="0dbf152deaf0b981a8a938d53f769db8"|cert:="schlecht";SubjectSerialNumber="0a8177fcd8936a91b5e0eddf995b0ba5"|cert:="gut";}| groupBy(field=["SHA256HashData"],function=selectLast(["cert"]))},include=["cert"])|groupby(field=["ComputerName"],function=[collect(fields=["cert"]),selectLast(fields=["ImageFileName","@timestamp"])]) // Hier werden alle Werte von "cert" zu einem String verbunden|cert="schlecht" // Damit werden nur die Einträge mit einem schlechten Zertifikat behalten. Kommentieren Sie dies, um auch die Hosts mit einem guten Zertifikat zu erhalten.

Und hier ist ein schicker Graph:

in(field=SubjectSerialNumber, values=["0a8177fcd8936a91b5e0eddf995b0ba5","0dbf152deaf0b981a8a938d53f769db8"]) | timeChart(series=SubjectSerialNumber)

LogScale ist ziemlich cool.

 

[N.]

Zur Referenz sieht es so aus, als ob dies einer der Beiträge ist, der einige Informationen liefert, aber ich konnte es nicht validieren:

https://twitter.com/olafhartong/status/1753480143891493282?s=61&t=MDdTUVodN2wIC6RGOMJpCw

DeviceFileCertificateInfo
| where CertificateSerialNumber =~ "0dbf152deaf0b981a8a938d53f769db8"
| where CertificateCountersignatureTime > (datetime(1705708800))

 

[C.]

Die letzten beiden Wochen waren verrückt...

 

[r.]

https://anydesk.com/de/public-statement

 

[c.]

So nett von AnyDesk, ihre Kunden zu informieren und es nicht als "Wartung" zu vertuschen ‍.

Außerdem bin ich mir nicht sicher, ob das funktionieren wird, wenn benutzerdefinierte Clients auf der Originalplattform immer noch offiziell auf Version 7.x beschränkt sind ‍.

 

[B.]

Die folgende Suchanfrage kann verwendet werden, um Schlüsselwerte für ein beliebiges AnyDesk-Zertifikat zu ermitteln:

index=json ExternalApiType=Event_ModuleSummaryInfoEvent

| search SubjectCN IN ("AnyDesk Software GmbH")

| lookup local=true appinfo.csv SHA256HashData OUTPUT FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName

| fillnull value="Unbekannt" FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName

| stats values(SubjectDN) as SubjectDN, values(SHA256HashData) as sha256 by IssuerCN, FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName

| sort + FileName

Basierend auf Branchenberichten ist die Seriennummer des betreffenden Zertifikats:

SN: 0d:bf:15:2d:ea:f0:b9:81:a8:a9:38:d5:3f:76:9d:b8

Die folgende Suchanfrage kann verwendet werden, um Zertifikate mit der oben genannten Seriennummer zu erkennen:

index=json ExternalApiType=Event_ModuleSummaryInfoEvent

| search SubjectSerialNumber IN (0dbf152deaf0b981a8a938d53f769db8)

| lookup local=true appinfo.csv SHA256HashData OUTPUT FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName

| fillnull value="Unbekannt" FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName

| stats values(SHA256HashData) as sha256 by IssuerCN, SubjectCN, SubjectDN, FileName, ProductName, ProductVersion , FileDescription , FileVersion , CompanyName

Nach Ausführung der zweiten Suchanfrage in der Umgebung von Northwell Health wurde eine Liste von SHA256-Hashes erhalten. Diese Liste wurde dann in der folgenden Suchanfrage verwendet, um die Hosts zu ermitteln, die mit dem betreffenden AnyDesk-Zertifikat in Verbindung stehen:

SHA256HashData IN (109b03ffc45231e5a4c8805a10926492890f7b568f8a93abe1fa495b4bd42975, 47d771c5c9851b6ced3e68814c95c0f49be2186b7f84bf708c0d257620f87f87, 580f6a285c6c3b7238bd16e1aeb62a077ae44b5061a2162e9fd6383af59028bb, af61905129f377f5934b3bbf787e8d2417901858bb028f40f02200e985ee62f6, e98a3cb2cf58024d91e38339fd3489ae99383595d66eaa51879f3c0b511477bb, ec33d8ee9c3881b8fcea18f9f862d5926d994553aec1b65081d925afd3e8b028)

| fillnull CommandLine value="null"

| stats max(_time) as latest_runtime by event_simpleName aid CommandLine SHA256HashData

| eval latest_runtime=strftime(latest_runtime,"%Y-%m-%dT%H:%M:%S.%3NZ")