Archiv für den Monat: Februar 2020

Outlaw greift mit aktualisiertem Kit ältere Miner und mehr Systeme an

Originalbeitrag von Jindrich Karasek, Threat Researcher

Hört man eine Weile nichts von einer cyberkriminellen Gruppe, so bedeutet das nicht unbedingt Inaktivität. So geschehen bei der Hacker-Gruppe Outlaw, die während der letzten Monate anscheinend in Ruhe ihr Toolkit weiter entwickelt hat. Ende letzten Jahres nun stellten die Sicherheitsforscher von Trend Micro über einen Honeypot einen Anstieg in deren Aktivitäten fest. Die Fähigkeiten der Kits im Vergleich waren im Vergleich zu den letzten Angriffen aktualisiert worden. Dazu gehören erweiterte Scanner-Parameter und Ziele, die Ausführung von Dateien in Schleifen durch Fehlermeldungen, verbesserte Vermeidungstechniken für Scan-Aktivitäten und mehr Mining-Gewinn durch Ausschalten sowohl der Konkurrenz als auch der eigenen vorher genutzten Miner.

Die Forscher analysierten die Kits, deren Design auf Informationsdiebstahl in der Automotive- und Finanzbranche, den Start weiterer Angriffe auf bereits kompromittierten Systemen und den möglichen Verkauf der gestohlenen Informationen zugeschnitten sind. Der Vergleich mit den früheren Angriffen der Gruppe lässt die Forscher annehmen, dass Outlaw plant, in den USA und in Europa Unternehmen ins Visier zu nehmen, die ihre Systeme noch nicht upgedatet haben oder auch solche mit Internet-orientierten Systemen und schwacher bis keiner Überwachung des Verkehrs und der Aktivitäten. Neben alten Zielen sind sie auch auf neue Ziele aus, um ihre Updates in der Praxis zu testen. Die Experten gehen glauben, dass die Gruppe in den nächsten Monaten aktiver vorgehen wird.

Routinen

Die neuen Samples zielen auf Linux- und Unix-basierte Betriebssysteme, angreifbare Server sowie Internet-of-Things (IoT)-Geräte und nutzen für die Angriffe bekannte Schwachstellen mit vorhandenen Exploits. Als Angriffsvektoren setzt die Gruppe auf nicht gepatchte Systeme, die für CVE-2016-8655 und Dirty COW-Exploit (CVE-2016-5195) anfällig sind. Auch Dateien mit einfachen PHP-basierten Web Shells kamen zum Einsatz bei Systemen mit schwachen SSH- und Telnet-Zugangsdaten. Die Forscher fanden in der aktuellen Kampagne zwar keine Phishing- oder Social Engineering-Routinen, doch gab es mehrere „laute“ Angriffe über das Netzwerk. Beteiligt waren groß angelegte Scanning-Aktivitäten über IPs, die vom C&C-Server gestartet wurden. Die technischen Einzelheiten finden Sie im Originalbeitrag.

Fazit

Seit ihrer Entdeckung 2018 verwendet Outlaw immer wieder Skripts, Codes und Befehle, die sie schon zuvor eingesetzt hatten. Diese Routinen sind bezeichnend für das Ziel der Gruppe, über verschiedene cyberkriminelle Profitflüsse hohe Erträge zu erzielen.

Angesicht der vielen erforderlichen Ressourcen, um alle notwendigen Patches im Unternehmen zu installieren (z.B. Qualitätstests und Betriebsausrichtung), und kostspieligen Ausfallzeiten für den Betrieb, zögern viele Organisationen Patches sofort aufzuspielen. So kann Outlaw jedes Mal, wenn ein Patch veröffentlicht wird und auf das Ausrollen wartet, noch mehr Ziele und Opfer für ihre aktualisierten Botnets finden.

Inzwischen verwendet die Gruppe eine breite Palette von IP-Adressen als Input für Scan-Aktivitäten, die nach Ländern gruppiert sind und es ihnen ermöglicht, bestimmte Regionen oder Gebiete innerhalb bestimmter Zeiträume des Jahres anzugreifen. Durch die Ausrichtung des Angriffs kann die Gruppe möglicherweise Nischen im Untergrund schaffen, die den spezifischen Bedürfnissen ihrer Kunden entsprechen. Auch sind sie sich der bestehenden Gesetze in Europa bewusst und können sich in bestimmten Ländern der Strafverfolgung entziehen, solange sie dort nicht angreifen.

Unternehmen sollten ihre Systeme daher regelmäßig aktualisieren und Anwender von Altsystemen die virtuellen Patches ihrer Anbieter nutzen. Auch sind Unternehmen gut beraten, nicht genutzte Ports zu schließen und Internet-orientierte Geräte, die Systemadministratoren unterstützen, entsprechend zu sichern. Schutz bietet auch eine mehrschichtige Sicherheitslösung, die Systeme vom Gateway bis zum Endpunkt schützt und bösartige URLs blockieren kann.

Trend Micro-Lösungen

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Internet Safety for Kids – Trend Micro Workshop-Reihe erobert Österreich

Kinder wachsen in einer Welt auf, in der das Online-Sein ein normaler Teil des täglichen Lebens ist. Um sich auch sicher im Netz zu bewegen, veranstaltet Trend Micro seit 2008 Aufklärungs- und Awareness-Workshops. Vor kurzem waren die Trend Micro Experten erstmals in einer Wiener Schule zu Besuch und zeigten den Schülerinnen und Schülern, wie verantwortungsvolles Verhalten im Internet aussieht. 

Das Aufwachsen in der digitalen Welt geht nicht nur mit neuen Möglichkeiten einher, sondern stellt Kinder auch vor die Herausforderung, mit Risiken kompetent umgehen zu lernen. Es mag zwar häufig so aussehen, dass gerade Kinder Technologieexperten sind, aber in Wirklichkeit sind sie besonders anfällig für Gefahren im Netz, von Malware und Ransomware bis zu Bedrohungen in Social Media, gefälschten Informationen und Cybermobbing. Diesen Themen widmet sich Trend Micro mit seinem Programm „Internet Safety for Kids“. Seit 2008 vermitteln Trend Micro Experten weltweit Informationen dazu, wie Kinder und Jugendliche Online-Risiken vermeiden und bewältigen können. Seit heuer schafft Trend Micro auch an Österreichs Schulen, und damit dem 20. Land,  Bewusstsein für digitale Sicherheit. Der erste Workshop fand an der Neuen Mittelschule Roda-Roda-Gasse im 21. Bezirk in Wien statt.

„Unser Ziel ist es, Kinder und Jugendliche über die Initiative von Trend Micro darauf vorzubereiten, sich sicher in der digitalen Welt zu bewegen. Bisher haben wir mit unserem Programm weltweit mehr als 2,68 Millionen Kinder, Studenten und Pädagogen erreicht, einen Grossteil davon dank unseres Netzwerks aus über 900 Freiwilligen auf der ganzen Welt. Es freut uns sehr, dass der Workshop auch in Österreich auf grosses Interesse gestossen ist und von den Kindern interessiert angenommen wurde“, so Michael Unterschweiger, Regional Director ALPS bei Trend Micro.

Digitale Kompetenz lernen

Wie können sich Kinder und Jugendliche sicher im Web bewegen? Welche Fertigkeiten müssen sie erlernen, um das digitalisierte Leben zu meistern? Welche Konsequenzen hat ihr Handeln von heute für das digitale Gedächtnis von morgen? Diese und weitere wichtige Fragestellungen diskutierten die Trend Micro Experten mit den Schülerinnen und Schülern. Durch den interaktiven Charakter des Workshops, praktische Beispiele und die einfache und verständliche Erklärung von aktuellen und relevanten Themen wurde den Kindern vermittelt, sich aufmerksam mit Online-Inhalten auseinanderzusetzen und diese kritisch zu hinterfragen. 

Die Vermittlung von digitaler Kompetenz befürwortet auch Dipl.-Päd. Martin Szlama, Direktor der NMS Roda-Roda-Gasse: „Ein gemeinschaftlicher Ansatz, der Kindern beibringt, selbst kritisch darüber nachzudenken, was sie online sagen, tun und austauschen, ist wichtiger denn je. Klar ist, dass das ‚www‘ heutzutage genauso wesentlich ist wie das ‚ABC‘. Daher haben wir das Angebot des kostenlosen Workshops von Trend Micro gerne angenommen, um unsere Schülerinnen und Schüler auf mögliche Online-Risiken zu sensibilisieren.“

Pwn2Own: Deutsche erfolgreich beim Hacken industrieller Kontrollsysteme

Beim ersten Pwn2Own in Miami ging es um das Hacking von ausschließlich Industrial Control Systems (ICS). Der Wettbewerb, veranstaltet von der Zero Day initiative (ZDI) von Trend Micro, umfasste acht zu testende Ziele in fünf Kategorien (Control Server, OPC Unified Architecture (OPC UA) Server, DNP3 Gateway, Human Machine Interface (HMI)/Operator Workstation und Engineering Workstation Software). Mehr als 250.000 $ an Preisgeldern wurden bereitgestellt. Die deutschen Teilnehmer Tobias Scharnowski, Niklas Breitfeld und Ali Abbasi aus Bochum konnten sich den zweiten Platz in der Endwertung gegen starke Konkurrenz sichern.

Dem Team vom Horst Görtz Institut für IT-Sicherheit an der Ruhr-Universität Bochum gelang es zuerst in der HMI-Kategorie, mit einem Out-of-Bounds (OOB) Zugriffs-Exploit Code auszuführen auf Rockwell Automation FactoryTalk View SE. Auch in der Control Server-Kategorie waren sie erfolgreich Schließlich gelang ihnen auch die Ausführung von Code auf dem Triangle Microworks SCADA Data Gateway. Diese Lösungsansätze brachten dem Team 87,5 Punkte für den zweiten Platz mit insgesamt 75.000 Dollar Preisgeld.

Den ersten Platz belegte das Incite Team von Steven Seeley und Chris Anastasio. Ihnen gelang in der DNP3-Gateway-Kategorie über einen Stack-basierten Overflow ein DoS auf dem Triangle Microworks SCADA Data Gateway sowie in der Control Server-Kategorie die Code-Ausführung aus der Ferne auf Systemebene auf der Inductive Automation Ignition. Auch in der EWS-Kategorie konnten sie einen Erfolg verbuchen. Nach weiteren zwei gelungenen Hacking-Tests stand das Incite Team mit 92,5 Punkten und 80.000 $ Preisgeld als Sieger fest.

Weitere Einzelheiten zum Hacking-Wettbewerb umfasst der Blog des ZDI.