Archiv für den Monat: Juni 2018

Krypto-Mining Bot greift Geräte mit SSH-Service an

Originalbeitrag von Jindrich Karasek und Loseway Lu

Die Durchführbarkeit des Schürfens von Kryptowährung auf mit dem Internet der Dinge (IoT) verbundenen Geräten ist häufig eine Frage der Rechenleistung. Dennoch gibt es genügend Betrüger, die vernetzte Geräte angreifen, und auch im Untergrund wird die entsprechende Schadsoftware angeboten. Die Honeypot-Sensoren der Sicherheitsforscher von Trend Micro (für die Emulation von Secure Shell (SSH), Telnet und File Transfer Protocol) entdeckten kürzlich einen Mining Bot mit Bezug zur IP-Adresse 192.158.228.46. Diese Adresse suchte sowohl nach SSH- als auch IoT-bezogenen Ports, einschliesslich 22, 2222 und 502. Bei diesem bestimmten Angriff landete die IP auf Port 22, einem SSH Service. Der Angriff ist jedoch auf alle Server und vernetzten Geräte mit einem laufenden SSH Service anwendbar.

Der Bot sucht nach Geräten mit einem offenen RDP-Port (Remote Desktop Protocol), der es dem Angreifer ermöglicht, anfällige Geräte auszunutzen. Sobald der Angreifer ein solches Gerät identifiziert, versucht er, einen wget-Befehl auszuführen, um ein Skript in ein Verzeichnis herunterzuladen, das anschliessend das Skript ausführt und die Malware installiert.

Der Bot nutzt hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/ zum Hosten des bösartigen Skripts mservice_2_5.sh. Dieses lädt dann Dateien von hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgzund speichert das Ergebnis im “/tmp”-Verzeichnis. Diese Technik findet sich häufig in Exploit-Techniken gegen Linux-basierte Server wieder. Dieser Bot kann Miner auf Linux laden und besitzt sogar einen Persistenzmechanismus in seinem Installer-Skript. Dadurch kann er einen Service dem crontab hinzufügen, einer Konfigurationsdatei, in der regelmässig wiederkehrende Befehle festgelegt werden.

Die Forscher stellten fest, dass es sich bei der Site, von der das Skript Dateien herunterlädt, um eine Finanz-Betrugsseite handelt. Dem Verhalten des Angreifers nach zu urteilen, könnte die erste URL lediglich als Startpunkt dienen. Das bedeutet, wird der Link geblockt, kann der Angreifer auf eine andere Domäne übergehen und seine Aktivitäten weiterführen, ohne die potenzielle Betrugsseite selbst zu verlieren.

Mit Hilfe von Social Engineering werden die Nutzer dazu gebracht, den Miner zu installieren, der dann Monero oder Ethereum schürft. Die Betrugsseite wird dem Aussehen einer regulären Website angepasst. Weitere technische Details auch zur Funktionsweise liefert der Originalbeitrag.

Gegenmassnahmen gegen Mining-Aktivitäten

Botnets sind wahrscheinlich die häufigste Art, um IoT für den eigenen Profit zu missbrauchen. Ein einzelnes kompromittiertes Gerät mag nicht ausreichende Leistung zu bringen, doch wenn die Schadsoftware in Bot-aktivierter Art verteilt wird, so ergibt dies eine Armee von Mining-Zombies, die sich dann als lukrativ erweisen.

Wichtig im Kampf gegen diese illegalen Mining-Aktivitäten ist der Einsatz von Standard-Sicherheitsmassnahmen, die das Risiko mindern können:

  • Regelmässige Aktualisierung der Firmware von Geräten, um Angriffe zu vermeiden, die bekannte Schwachstellen ausnutzen.
  • Ändern der Standard-Anmeldeinformationen von Geräten und Verwendung sicherer Passwörter, um unbefugten Zugriff zu verhindern.
  • Vorsicht vor bekannten Angriffsvektoren, wie z.B. sozial konstruierten Links, Anhängen und Dateien von verschiedenen Websites, Anwendungen von Drittanbietern und Mails.

Anwender sollten auch Sicherheitslösungen in Betracht ziehen, die Schutz vor verschiedenen Iterationen von Kryptowährungs-Mining-Malware durch eine generationenübergreifende Mischung von Abwehrtechniken bieten. Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Anwender von Trend Micro™ Smart Home Network sind vor SH Brute Force Login über folgende Regel geschützt:

  • 1059418, SSH Brute Force Login

Indicators of Compromise (IOCs) umfasst der Originalbeitrag.

Treffen Sie Trend Micro Leute auf Events!

18.6.2018 13:00 Uhr bis 16:30 Uhr
Meet SWISS INFOSEC Event – Radisson Blu Hotel – Zürich Airport
Daniel Bühler, Technical Consultant, „Stand der Technik in hybriden Umgebungen“

19.6.2018 11:30 Uhr bis 17:30 Uhr
Trend Micro Network Defense Tour, Welle7 – Bern
„Komplexe Bedrohnungen schneller erkennen und abwehren“

20.6.2018 13:00 Uhr bis 17:45
Infinigate IT Security Conference Romandie, Hotel Novotel – Lausanne Bussigny
„Connected Threat Defense – La dream team à votre Service“
„Pas vu – pas pris – Rendre visible l’invisible

20.6.2018 16:30 Uhr bis 22:30 Uhr
Arrow ECS Networking Event, Quai 61 – Zürich

Trend Micro Partner Talk in Köln – die Gewinner aus ALPS!

Mit den Channel-Awards 2017 würdigt Trend Micro die Leistung seiner Partner und Distributoren bei der Absicherung von Unternehmen. Die Verleihung der Awards bildete den Höhepunkt des in Köln stattfindenden „Partner Talk und Tech Day“, wo in Workshops und Vorträgen zeitgemässe Sicherheitsstrategien entwickelt wurden.

Die Preisträger 2018 aus Österreich und der Schweiz

Preise wurden in insgesamt acht Kategorien vergeben. Zum „Besten Distributor 2017“ wurde die Infinigate Schweiz AG ernannt.  Im Segment Small Business Security wurde die
ACP IT Solutions GmbH aus Österreich als „Bester Partner 2017“ ausgezeichnet. In der Kategorie User Protection steht die Absicherung des gesamten Unternehmensnetzwerks im Fokus. In dieser Kategorie wurde die SoftwareONE AG aus der Schweiz ausgezeichnet. Im Bereich Hybrid Cloud Security konnte dann wiederum ein Österreichischer Partner, die Bacher Systems EDV GmbH  als Bester Partner 2017 abschneiden. Die SCRT Information Security aus der Westschweiz sicherte sich den Preis für „Bester Partner 2017“ im Bereich Network Defense. Den Award für den besten Partner für Tipping Point erhielt die Schweizer Omicron AG. Die AVANTEC AG aus Zürich freute sich über die Auszeichnung „Rising Star“.

Überaus erfolgreich war auch die recretix systems AG aus der Schweiz: sie erhielt dafür den Award als „Bester Technischer Partner 2017“.

Wir gratulieren allen nominierten Partnern sowie den Gewinnern ganz herzlich!

Bilder

Bester Distributor ALPS 2017 – Infinigate Schweiz AG

Small Business Security Award 2017 – ACP IT Solutions AG

User Protection Award 2017 – SoftwareOne AG

Hybrid Cloud Security 2017 – Bacher Systems EDV GmbH

Network Defense Partner 2017 – SCRT Information Security

 

Rising Star 2017 – Avantec AG

Bester Technischer Partner 2017 – recretix systems AG

Kommende Webinare – jetzt anmelden!

OfficeScan as a Service
19.06.2018 – 14:30 Uhr – 15:30 Uhr

  • OfficeScan as a Service und OfficeScan on Premise – wo genau liegt der Unterschied?
  • OfficeScan Hybrid – Kombination beider Betriebsmodi zur Verwaltung der Clients und auch Remote-Standorte;
  • Den einfachen und kosteneffizienten Schwenk in die Cloud mit OfficeScan as a Service.

CEO Fraud – Die Erfolgsgeschichte des kriminellen Geschäftsmodells
28.06.2018 – 11:00 Uhr – 12:00 Uhr

  • Ungewöhnliche Kommunikationsinhalte vom „Chef“ identifizieren und Data Breach vorbeugen.

Deep Security 11 – Was ist neu?
02.07.2018 – 14:30 Uhr – 15:30 Uhr

Mehr Sicherheit für hybride Cloud-Umgebungen mit der neuen Version von Deep Security. Vorstellung neuer Features und Funktionalitäten.

Worry-Free Version 10 – was ist neu?
10.07.2018 – 10:30 Uhr – 11:30 Uhr

  • Predictive Machine Learning (XGen)
  • Scan Per Device
  • Verbesserte Oberfläche
  • Automated Product Update
  • Email Notification Enhancements