Analyzing apps table with osquery - Something weird with GotoMeeting

We were doing some test and queries using Facebook osquery to create some packs and noticed something not common when analyzing apps table.

osquery> SELECT name, bundle_short_version, bundle_version, bundle_identifier FROM apps WHERE name LIKE '%gotomeeting%';

+------------------------+----------------------+----------------+-------------------------+

| name                   | bundle_short_version | bundle_version | bundle_identifier       |

+------------------------+----------------------+----------------+-------------------------+

| GoToMeeting.app        | 8.24.0.8569          | 8569           | com.logmein.GoToMeeting |

| GoToMeeting (8404).app | 8.21.0.8404          | 8404           | com.logmein.GoToMeeting |

| GoToMeeting (8473).app | 8.22.0.8473          | 8473           | com.logmein.GoToMeeting |

| GoToMeeting (8557).app | 8.23.0.8557          | 8557           | com.logmein.GoToMeeting |

| GoToMeeting (8569).app | 8.24.0.8569          | 8569           | com.logmein.GoToMeeting |

| GoToMeeting (8625).app | 8.25.0.8625          | 8625           | com.logmein.GoToMeeting |

| GoToMeeting (8679).app | 8.26.0.8679          | 8679           | com.logmein.GoToMeeting |

| GoToMeeting (8789).app | 8.27.0.8789          | 8789           | com.logmein.GoToMeeting |

+------------------------+----------------------+----------------+-------------------------+

osquery> 

As you can see, multiples version of GotoMeeting were found. Analyzing a bit we noticed that main GotoMeeting application was pointing to an old version (in red) and not current one (in green).

osquery> SELECT name, bundle_short_version, bundle_version, bundle_identifier FROM apps WHERE name LIKE '%gotomeeting%';

+------------------------+----------------------+----------------+-------------------------+

| name                   | bundle_short_version | bundle_version | bundle_identifier       |

+------------------------+----------------------+----------------+-------------------------+

| GoToMeeting.app        | 8.24.0.8569          | 8569           | com.logmein.GoToMeeting |

| GoToMeeting (8404).app | 8.21.0.8404          | 8404           | com.logmein.GoToMeeting |

| GoToMeeting (8473).app | 8.22.0.8473          | 8473           | com.logmein.GoToMeeting |

| GoToMeeting (8557).app | 8.23.0.8557          | 8557           | com.logmein.GoToMeeting |

| GoToMeeting (8569).app | 8.24.0.8569          | 8569           | com.logmein.GoToMeeting |

| GoToMeeting (8625).app | 8.25.0.8625          | 8625           | com.logmein.GoToMeeting |

| GoToMeeting (8679).app | 8.26.0.8679          | 8679           | com.logmein.GoToMeeting |

| GoToMeeting (8789).app | 8.27.0.8789          | 8789           | com.logmein.GoToMeeting |

+------------------------+----------------------+----------------+-------------------------+

osquery> 

If you look into Mac Applications we have:

Clicking to open GotoMeeting it'll open version 8.24.

Some questions:

- Is something wrong in my Mac or it's a real problem ? (hope so , because if it isn't, this is a huge attack surface)
- Why main Application is not pointing to correct version ?
- Why they keep all old binaries version ?

Could someone test and validate more ?  I didn't have another Mac to validate this or with GotoMeeting installed since very long time ago.

Happy Hunting.

BlueOps Team

Aumentando visibilidade nos endpoints com Facebook OSQUERY

Nas últimas semanas fizemos 3 apresentações introdutórias sobre OSQuery,  Kolide Fleet e Elastic Stack, sendo Roadsec PRO SP, Roadsec Encerramento SP e na BHack em Belo Horizonte com o título "Threat Hunting e Visibilidade em endpoint com o Facebook OSQUERY".

A ideia dessa palestra foi mostrar o poder e a visibilidade de endpoint que a ferramenta OSQuery proporciona,  aproveitando também para dar uma rápida introdução a ferramentas auxiliares que ajudam no gerenciamento e alertas para melhor automação.

"Você responderia rapidamente quais versões de software suas estações / servidores estão utilizando? E quais portas estão em escuta? Ou Últimos usuários ou softwares recentemente adicionados a máquina? Pensando neste ponto cego existente na grande maioria das organizações, vamos apresentar o projeto OSQuery criado pelo facebook, e sua integração com a Elastic Stack, aumentando assim a visibilidade dos seus dispositivos, ajudando assim seus analistas terem respostas quase imediatas sobre qualquer pergunta relacionada aos dispositivos bem como dashboards e alertas para um monitoramento proativo."

Para resumir, o OSQuery permite realizar consultas(queries) no seu sistema operacional e de tudo que tem nele (softwares, registros, configurações, patches, portas em escuta, processos rodando entre diversas outras coisas). Os resultados aparecem divididos em tabelas tal qual ocorre nos bancos de dados SQL. A enorme gama de consultas e as combinações de queries com join, sort, etc... permitem obter informações detalhadas de cada endpoint, quase que instantaneamente. O que é perfeito para threat hunting em endpoints.

O OSQuery é, como quase tudo que utilizamos, um software opensource, criado e mantido por engenheiros do Facebook. Um dos pontos interessantes é que ele é multiplataforma com suporte para Windows, Mac, Linux e FreeBSD.

Com intuito de um compartilhamento inicial sobre o assunto, abaixo estão os slides e demos que utilizamos, onde cobrimos tópicos como:

- osqueryi
- queries
- distributed queries
- discovery queries
- schedule / packs
- FIM (file integrity monitoring)
- Process Events
- kolide fleet
- elastic stack

Aumentando Visibilidade com Facebook OSQUERY from Rodrigo Montoro

Segue as duas demos com na narração meio gripada =)

osqueryi



Kolide Fleet



Pretendemos fazer posts mais específicos com os assuntos, bem como queries interessantes, monitoramentos de ameaças de momento, dicas e resolução de problemas. Adicionaremos o osquery também nos cursos de defesa do BlueOps pois o conteúdo oferecido pela ferramenta agrega valores em diversas grades dos treinamentos.

Happy Detection!

Blue Team Operations (BlueOps)