Häufigkeit von TLS Ciphern

Ich hatte etwas Zeit für eine kleine Analyse und wollte eigentlich mal nachsehen, ob noch jemand SSLv3 statt TLS für Verbindungen zu unseren Mailservern benutzt. Also habe ich die Logfiles der letzten 4 Wochen nach den Verbindungsparametern gefiltert. Folgende Studie kam dabei heraus:

gezähltCipher
1TLSv1.2:DHE-RSA-AES128-GCM-SHA256:128
1TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256:
1TLSv1.2:ECDHE-RSA-AES128-SHA:128
3TLSv1:DHE-DSS-AES256-SHA:256
5TLSv1.2:DHE-RSA-AES128-SHA256:128
6TLSv1.1:ECDHE-RSA-AES128-SHA:128
6TLSv1.2:EDH-RSA-DES-CBC3-SHA:168
7TLSv1.2:AES128-GCM-SHA256:128
10TLSv1.2:DES-CBC3-SHA:168
11TLSv1.1:AES256-SHA:256
12TLSv1.1:DHE-RSA-AES256-SHA:256
13TLSv1.2:CAMELLIA256-SHA:256
24TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128:
40TLSv1.2:DHE-RSA-AES256-SHA256:256
82TLSv1:EDH-RSA-DES-CBC3-SHA:168
83TLSv1:DHE-RSA-AES128-SHA:128
228TLSv1.2:ECDHE-RSA-AES128-SHA256:128
294TLSv1.2:AES256-SHA256:256
316TLSv1:DES-CBC3-SHA:168
386TLSv1:DHE-RSA-CAMELLIA256-SHA:256
455TLSv1.2:DHE-RSA-AES256-SHA:256
461TLSv1.2:AES128-SHA:128
606TLSv1.1:ECDHE-RSA-AES256-SHA:256
745TLSv1.2:AES256-SHA:256
760TLSv1.2:AES128-SHA256:128
2345TLSv1.2:DHE-RSA-AES128-SHA:128
2663TLSv1.2:ECDHE-RSA-AES256-SHA:256
3234TLSv1:AES128-SHA:128
9522TLSv1:DHE-RSA-AES256-SHA:256
9762TLSv1.2:AES256-GCM-SHA384:256
14110TLSv1:ECDHE-RSA-AES128-SHA:128
16894TLSv1.2:ECDHE-RSA-AES256-SHA384:256
18719TLSv1:AES256-SHA:256
36597TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256
53900TLSv1:ECDHE-RSA-AES256-SHA:256
89330TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128
175139TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256

Grundlage der Studie sind 436.746 Emails, die unsere Server erreicht haben, also nicht, was gesendet wurde.

Was ich schonmal positiv finde, ist das Fehlen von SSL als Protokoll. Alle transportgesicherten Emails waren mit TLS gesichert. Leider konnten mich die eingesetzten/ausgehandelten Cipher nicht so beglücken z.b. TLSv1:AES256-SHA:256 . TLSv1 ist eigentlich SSLv3, nur leicht modifiziert und bereits erfolgreich gebrochen worden.

Um die Frage, die einigen Lesern auf der Zunge brennt: „Wieso lasst Ihr das zu?“ zu beantworten: Weil sonst keine Emails mehr bei den Kunden ankommen würden. Die Realität sieht nämlich leider so aus, daß die meisten Mailserver nicht auf Stand sind und es diesen Sendern auch egal ist. Die Senden zur Not auch ohne TLS. Heute erst bei der größten Film- und Fernseheproduktionfirma aus Hollywood erlebt.

Transportverschlüsselung wird also von vielen Firmen und Mailserverbetreiber immer noch als „egal, Hauptsache Mail kommt an“ abgetan und solange Ihr als Kunden nicht darauf besteht, daß der benutzte Mailserver A) TLS kann und B) den besten Cipher wählt der verfügbar ist, wird sich auch nichts ändern.

Unsere Server handeln den besten Cipher aus, der verfügbar ist. Versprochen 😉

interessant zu wissen wäre jetzt noch, welche Mailserver hinter den veralteten Ciphern stehen, nur kann ich damit leider nicht dienen.

3 Nigerianer zu 235 Jahren Knast verurteilt

Gute Nachrichten für alle Spamhasser ! Drei Nigerianer sind in den USA zu insgesamt 235 Jahren Knast verurteilt worden.

Wir entsinnen uns, Nigeria – Connection – Spam … da war doch was .. genau! Die Nigeria Connection stirbt wohl nie aus

Die drei gehörten zu einer Gruppe von 21 INtensivtätern, die wirklich alles von Spamversand, über Fake-Anbandeln per Datingwebseite, bis hin zu Geldwäsche, Kreditkartenbetrug usw.  alles im Programm hatten. Mehr dazu gibts bei den Hackernews.  Davon würde ich persönlich gern mehr lesen wollen!

Quelle: http://thehackernews.com/2017/05/nigerian-scams.html

STYLE_GIBBERISH – der neue SPAM Trend

Da ich ja nicht mehr allzuviel Spams in meinem Postfach zu sehen bekomme, um nicht zu sagen, gar keine mehr, wird es mal wieder Zeit auf den Stand der Spammails einzugehen. Der ist noch immer so gruselig wie vor Jahren, in meinen alten Beiträgen zur Spamanalyse:

Heute ist es die Postbank, morgen schon …
Virus per Online-Einschreiben
oder Mailserver mit der eigenen Addresse täuschen
…und noch ein paar andere…

Diesmal soll es um die „ING-DiBa Kontosicherheit“ gehen, die mir etwas mitteilen wollte, aber dazu nicht in der Lage war 🙂

Schauen wir uns zunächst mal die Header an, es sofort auf, daß die Email  VON und AN die gleiche Adresse geht :

Received: from localhost.localdomain ([91.45.174.108]) by
 mrelayeu.kundenserver.de (mreue103 [212.227.15.183]) with ESMTPSA (Nemesis)
 id 0MalH0-1dUPAp17kI-00KN3S for <SPAMTRAP>; Sat, 27 May 2017 01:32:58
 +0200
Date: Sun, 28 May 2017 07:05:41 +0300
To: SPAMTRAP
From: ING-DiBa Kontosicherheit <SPAMTRAP>
Message-ID: <27f454376ba4bd7add8932a946d4e5d1d3e58@localhost.localdomain>
X-Mailer: PHPMailer 5.2.16 (https://github.com/PHPMailer/PHPMailer)

Besonders deutlich als Spam, outet natürlich der 1und1 Server diese Spam 😉  PHPMailer ist derzeit sehr beliebt was die Spammer betrifft, da er brav auf jedem gehackten PHPfähigen Server läuft.

Unser Spamassassin hat die Email dann aus einander genommen und mir einen bis dahin völlig unbekannten Spam-Tag gezeigt :

Inhaltsanalyse im Detail:   (4.7 Punkte, 5.0 benötigt)

Pkte Regelname              Beschreibung
---- ---------------------- --------------------------------------------------
-0.0 RP_MATCHES_RCVD        Envelope sender domain matches handover relay domain
1.2 DATE_IN_FUTURE_24_48    Absendezeit 24 bis 48 Stunden nach Datum in "Received"-Kopfzeilen
-0.0 SPF_PASS               SPF: Senderechner entspricht SPF-Datensatz 
0.0 FREEMAIL_FROM           Sender email is commonly abused enduser mail provider (<SPAMTRAP>)
-0.7 RCVD_IN_DNSWL_LOW      RBL: Sender listed at http://www.dnswl.org/, low trust [212.227.17.12 listed in list.dnswl.org]
0.0 HTML_MESSAGE           BODY: Nachricht enthält HTML
1.1 MIME_HTML_ONLY         BODY: MIME-Nachricht besteht nur aus HTML
-0.0 RCVD_IN_MSPIKE_H3      RBL: Good reputation (+3) [212.227.17.12 listed in wl.mailspike.net]
-0.0 RCVD_IN_MSPIKE_WL      Mailspike good senders
0.0 TVD_SPACE_RATIO        No description available.
3.1 STYLE_GIBBERISH        Nonsense in HTML <STYLE> tag
0.0 T_REMOTE_IMAGE         Message contains an external image
Subject:  =?ISO-8859-15?B?WnUgSWhyZXIgU2ljaGVyaGVpdCAoUmVmZXJlbnpudW1tZXI6IA==?=i3qwx34018)

Dieser Style-Gibbrish sieht so aus :

<style>

1mvv1ze1aa0-phchyg0i2au-msrxtcsjntv-i7p2jrrrb1-0jm77ygif69
9ucup9rjk91-jbw5456n89t-2jxyjwxfrpc-zguxavahkm-8ffe0zh5det
k2m2e4qk3nh-g1kgfuhzkg1-8yxrh55b2dn-gzse9g9wpzh-9vmxwgz6t
wjicrmr2ss7-gokyjkdjrk7-cmnjgh3p847-qhogebh5cvm-3roisw1p4o
72xpjo0uoxj-4ncqa1qavne-9ticuweosja-cv6s8vq5n53-bex9y2a7iu7
...

Und dient dazu, die Email zu individualisieren, damit Checksummen vom immer „gleichen“ Inhalt, halt nicht immer gleich sind 😉  Das scheint ein neues Phänomen zu sein, da ich das erst bei zwei Spams in den letzten Wochen hatte.

Die übliche Schrott-URL „http://d9n0b3c8n7m2c0.hopto_org/TN7e5/wE2Yb_html?“ zur gehackten Webpräsenz mit Trojaner, Fake Webseite der Bank usw. darf natürlich auch nicht fehlen. (damit keiner drauf drückt, wurde der Link verändert ).

Der Schrott im Styleheader der HTML Mail, funktioniert deswegen, weil er am Ende des Dokuments steht und keinen SchlußTag hat, damit wird er von der Renderengine ignoriert, und selbst wenn er interpretiert würde, würde die CSS Engine, daß einfach als Error überspringen. Ergo, der Umleitung steht nichts mehr im Weg.

Wenn man sich die Mail so ansehen würde, erschiene im Mailprogramm übrigens nur ein Bild mit einem Link drüber, ob man da das Logo sieht, oder ob das schon ein Angriff auf die (PNG|JPEG|GIF|SVG)  Renderengine des OS sein wird, wer weiß, am besten nicht nachsehen 😉

Wie immer : Weg mit dem Dreck – > Ab in die Tonne!

Jetzt diggen wir mal etwas tiefer und das auch der Grund, wieso das über das OSBN geht, denn LINUX ist im Spiel 🙂

Wenn man die URL’s aufruft, kommt der Grund für den Hack recht schnell ans Licht :

HTTP/1.1 200 OK
Date: Sat, 27 May 2017 07:19:37 GMT
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.14

  1. Ubuntu ist kein Server-OS .. Merken!
  2. komplett veraltete Version von Serverdiensten bedürfen nicht mal eines ZeroDays ala #SambaCry

Das ist ein aktueller Apache : httpd-2.4.25 und das ein aktuelles PHP : php71-php-cli-7.1.5-1

Merke: Hosting den Profis überlassen!

Folgt man der Spur durchs Netz kommt man über den javascript-Refresh in der aufgerufenen Webseite:

window.location = 'http://e0m7b93c5l7s9.o2l9j5d8a0f4c1.dynu.net/5lrHbq9Z
/c.php?click=yes&acc=yes&data=r5KHCKorFo&e=' + email;

Zu dieser Seite :  lwcp23.mooo.com

$ host e0m7b93c5l7s9.o2l9j5d8a0f4c1.dynu.net
 e0m7b93c5l7s9.o2l9j5d8a0f4c1.dynu.net is an alias for lwcp23.mooo.com.
 lwcp23.mooo.com has address 54.208.245.114

einer gehackten Amazon Instanz. EC2 rulz halt 😀 und das ist jetzt schon wieder witzig, weil genau der gleiche uralte Webserver dort läuft:

Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.14

gibt es da vielleicht einen Grund für ???  JA :

$ host d9n0b3c8n7m2c0.hopto.org
d9n0b3c8n7m2c0.hopto.org is an alias for lwcp23.mooo.com.
lwcp23.mooo.com has address 54.208.245.114

Es ist der gleiche Server, nur mit anderer Web-Adresse, da fragt man sich dann, ob die Spammer einfach nur zu blöde sind, es gleich ohne Umleitung richtig zu machen, oder unterwegs noch mehr passiert als man zunächst sieht.

Ein kurzer Portscan zeigt uns über den Server zunächst nichts interessantes außer Port 8443 in Betrieb.

Completed SYN Stealth Scan at 09:35, 7.96s elapsed (1000 total ports)
Nmap scan report for ec2-54-208-245-114.compute-1.amazonaws.com (54.208.245.114)
Host is up (0.12s latency).
Not shown: 996 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   open   http
443/tcp  closed https
8443/tcp open   https-alt

Jetzt habe ich gedacht, es gäbe keinen Witz mehr bei der Analyse, aber so kann man sich irren :

$ curl -i --insecure https://54.208.245.114:8443
HTTP/1.1 302 Found
Server: Apache-Coyote/1.1
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-XSS-Protection: 1; mode=block
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Set-Cookie: JSESSIONID=F368A79640EEBD34D3CF5F19E5A95A3B; Path=/; Secure; HttpOnly
Location: https://infield-demo.cellebrite.com:8444/cas/login?service=https%3A%2F%2Finfield-demo.cellebrite.com%3A8443%2Fj_spring_cas_security_check
Content-Length: 0
Date: Sat, 27 May 2017 07:37:16 GMT

Wenn man jetzt nach dieser URL googelt, kommt u.a. das hier :

Cellebrite - Mobile Forensics Webinars

www.cellebrite.com/Mobile…/News…/WebinarsIm CacheÄhnliche Seiten
Cellebrite's Mobile Forensics solutions enable forensic professionals worldwide to ... UFED Physical Analyzer LIVE-Produktdemo: Beschleunigen Sie Ihre ...

Wer es nicht weiß, „Forensics“ ist die Analyse von Computern, wenn in die eingebrochen wurde oder die zum Einbruch benutzt wurden(oder für Kinderpo…. usw. ).

Da stellt sich mir jetzt ernsthaft die Frage, was das für ein komischer Server ist, daß der sowas .. ach nein, DAS IST DER SERVER infield-demo.cellebrite.com 😀 . Dieser Server hat nichts .. keine Security, kein aktuelles OS, keine aktuelle Software,. nicht mal eine 404 Webseite 😀  Oh man..

Deswegen, immer brav das OS upgraden , gell 😉