Archiv des Autors: Daniel Schmutz

Trend Micro Hybrid Cloud Security Tour 2017

Know-how für den Schutz hybrider und virtueller Infrastrukturen

Ganz gleich, ob Sie physische, virtuelle oder Cloud- und Container-Umgebungen schützen müssen – Trend Micro bietet Ihnen die fortschrittliche Sicherheit, die Sie für Ihre hybride Cloud-Umgebung benötigen.

Trend Micro Hybrid Cloud Security schützt umfassend vor Ransomware, Exploits, Business Email Compromise und anderen komplexen Bedrohungen. Darüber hinaus minimieren Sie die Ressourcenbelastung und weisen einfach die Compliance nach, unter anderem mit der bald in Kraft tretenden General Data Protection Regulation (GDPR).

Besuchen Sie die Hybrid Cloud Security Tour. Trend Micro Experten führen Sie mit Vorträgen und Praxisbeispielen durch alle wichtigen Aspekte für den optimalen Schutz hybrider Infrastrukturen –  von den technischen Grundlagen über Deployment-Optionen bis zur Integration in Microsoft Azure, AWS etc.

In einem Vortrag hören Sie auch von VMware direkt, wie gut sich Deep Security und NSX verbinden lassen. Eine einmalige Gelegenheit!
17. Oktober in Wien
19. Oktober in Linz
24. Oktober in Zürich-Kloten
26. Oktober in Egerkingen
Hier geht es zur Anmeldung

englischsprachige Webinare in den nächsten Monaten

Die  folgenden Webinare in englischer Sprache sind bereits fixiert:

  • How to secure your SAAS applications – Advanced threat security
    Discover the most common challenges in advanced threat security and learn what steps to take for securing your SAAS based applications.
    27.10.2017 11:00 – 12:00 | 12.12.2017 11:00 – 12:00
  • Network Defense: Why Visibility is key to rooting out Ransomware
    Get actionable insights on network visibility and how it can help you prevent unforeseen risks and costs.
    24.11.2017 11:00 – 12:00 | 12.01.2018 11:00 – 12:00
  • Improve your protection fron new threats and share in real time with your Connected Threat Defense
    14.12.2017 11:00 – 12:00 |23.02.2018 11:00 – 12:00

Trend Micro „Representative Vendor“ bei Gartner

Presseinformation

Trend Micro für seine Fähigkeiten beim Schutz von Cloud-Workloads als „Representative Vendor“ ausgewiesen

Wallisellen, 14.08.2017 – Trend Micro wird in „Gartner’s Market Guide for Cloud Workload Protection Platforms“ genannt. Die Autoren führen in ihrem Bericht einundzwanzig wesentliche Schutzfähigkeiten auf, von denen Trend Micro sechzehn erfüllt. 

Unternehmen stellen ihre Rechenzentren zunehmend auf hybride Architekturen um, bei denen Workloads sowohl in der eigenen Umgebung als auch in der Cloud laufen. Deshalb verlangen viele Anwender nach einer einheitlichen Sicherheitslösung, mit der sie ihre Workloads umfassend absichern können, egal wo diese ausgeführt werden. Trend Micro, weltweit führender Anbieter für IT-Sicherheitslösungen, wurde kürzlich in „Gartner’s Market Guide for Cloud Workload Protection Platforms“ (1) genannt. Dieser Bericht umfasst 24 führende Security-Anbieter auf dem Gebiet der Cloud Workload Protection. Gartner nennt darin einundzwanzig wesentliche Fähigkeiten, von denen Trend Micro sechzehn erfüllt.

Trend Micro bietet herausragende Fähigkeiten bei der Absicherung von Workloads auf Servern. Dazu kommt die Unterstützung einer Vielzahl von Betriebssystemen wie Windows, Linux und Unix sowie die Integration mit VMWare, AWS und Azure. Lösungen von Trend Micro zeichnen sich durch neu entwickelte Funktionen wie native Applikationskontrolle sowie Sichtbarkeit und Schutz von Containern aus.

„Wir sehen, die IT-Transformation findet statt und treibt damit wesentlich die Adaption von Cloud-Diensten voran. Dies stellt Unternehmen vor neue Herausforderungen, das Sicherheitsniveau auch im Kontext von hybriden Architekturen sicherzustellen“, sagt Hannes Steiner, Enterprise Sales Director bei Trend Micro Deutschland. „Wir bieten Unternehmen ein einheitliches Security-Framework, um hybride Umgebungen ganzheitlich zu schützen. Bereits heute sind wir mit 2,5 Milliarden geschützten Cloud-basierten Workload-Stunden in diesem Segment führend. Wir sind stolz darauf, darin von Gartner bestätigt zu werden.“   

Eine zentrale Empfehlung von Gartner ist, dass Sicherheits- und Risikoverantwortliche von ihren Anbietern einfordern, dass sie Sichtbarkeit und Kontrolle von Workloads unterstützen, die sowohl physische als auch virtuelle Maschinen sowie Container und multiple Public Cloud IaaS (Infrastructures-as-a-Service) umfassen, und dies mittels einer zentralen Verwaltung und Konsole ermöglichen.

Trend Micro Hybrid Cloud Security mit XGen erfüllt diese Anforderungen, indem sie eine Kombination aus generationsübergreifenden Bedrohungsabwehrmechanismen bietet. Diese wurden darauf optimiert, physische, virtuelle und cloudbasierte Umgebungen mittels Trend Micro Deep Security zu schützen. 

Weitere Informationen zu Trend Micro Hybrid Cloud Security finden Sie unter:

http://www.trendmicro.de/grossunternehmen/hybrid-cloud-security/index.html

 Fussnoten
(1) Gartner “Market Guide for Cloud Workload Protection Platforms,” von Neil MacDonald; 22. März 2017.

 

HTML-Anhänge und Phishing in BEC-Angriffen

Originalbeitrag von Lord Alfred Remorin, Senior Threat Researcher

Angreifer gehen immer mehr dazu über, die traditionell in Business E-Mail Compromise (BEC)-Angriffen eingesetzten Keylogger für den Diebstahl von Kontoinformationen von den anvisierten Maschinen durch HTML-Seiten im Anhang zu ersetzen. Sie wirken auf den ersten Blick harmloser als Executables und sind daher wirksamer.


Bild 1. Phishing-Mail mit HTML-Anhang

Beim Öffnen des Anhangs geht ein Browser mit folgendem Inhalt auf:

Bild 2. HTML Phishing-Seite (Vergrößern durch Klicken)

Um den Nutzer weiter zu ködern, sind Logos bekannter Mail Provider in die Seite eingefügt. Gibt ein Opfer Nutzername/Kennwort – wie gefordert – ein, so werden diese Infos an ein vom Angreifer konfiguriertes PHP-Skript geschickt. Dieses wiederum sendet die Infos an ein Konto des Angreifers.

Die Untersuchung des Quellcodes des HTML-Anhangs ergab, dass er wahrscheinlich in Nigeria programmiert wurde, denn der Google-Link zeigt auf eine Version dieses Landes. Dies scheint aufgrund der Funde in nigerianischen Foren umso wahrscheinlicher. Nairaland etwa enthielt eine Werbung für Betrugsseiten. Der Verkäufer bietet verschiedene Betrugsseiten für unterschiedliche Mail-Services wie 163 Mail, Gmail, Hotmail und Yahoo Mail an.

Bild 3. Website mit Betrugsseiten für Mail Services

Keyloggers sind immer noch häufig im Einsatz, um die Konten der Opfer effizient zu stehlen. Doch die Lieferung eines Executables über Mail kann heutzutage wegen Anti-Spam-Regeln schwierig werden. Eine HTML-Seite hingegen stellt keine sofortige Bedrohung dar, es sei denn, die Datei wurde verifiziert und als Phishing-Seite erkannt.

Eine Phishing-Seite ist einfach zu codieren und zu installieren, anders als ein Keylogger, der Codierkenntnisse erfordert. Eine Phishing-Seite läuft zudem auf jeder Plattform und benötigt lediglich einen Browser.

HTML-Anhänge in Zahlen

Die Daten aus dem Trend Micro Smart Protection Network zeigen zwischen dem 1. Juli 2016 und dem 30. Juni 2017 14.867 Records und 6.664 einzigartige Hashes:

Bild 4. Zahl der BEC-bezogenen Phishing-Angriffe pro Monat

Bild 5.  BEC-bezogenen Phishing-Angriffe pro Land

Bild 6. Schlüsselwörter in BEC-bezogenen Phishing-Angriffen

Weitere Informationen zu dem Thema liefert der Originalbeitrag.

Android Backdoor kann heimlich Audio & Video aufzeichnen – und mehr

von Lenart Bermejo, Jordan Pan und Cedric Pernet

Der Informationen stehlende RETADUP Wurm, der israelische Krankenhäuser angegriffen hatte, ist Teil einer Attacke, die breitangelegt ist, als ursprünglich angenommen – zumindest bezüglich der Auswirkungen. Der Angriff wurde von einer noch gefährlicheren Bedrohung begleitet – einer Android-Schadsoftware, die ein Mobilgerät übernehmen kann. Trend Micro hat sie als ANDROIDOS_GHOSTCTRL.OPS/ANDROIDOS_GHOSTCTRL.OPSA erkannt und den Backdoor GhostCtrl genannt, weil er unbemerkt eine Reihe von Funktionen auf dem betroffenen Gerät kontrollieren kann.

Weiterlesen

OSX-Schadsoftware mit Verbindung zu Operation Emmental kapert Netzwerkverkehr

von Rubio Wu, Threats Analyst

Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware. Die Schadsoftware zielt in erster Linie auf Banking-Nutzer in der Schweiz. Sie nutzt eine Phishing-Kampagne, um die Payload abzulegen, die dann über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers kapert. OSX_DOK.C scheint eine weitere Version von WERDLOD (von Trend Micro als TROJ_WERDLOD identifiziert) zu sein, eine Schadsoftware, die in den Operation Emmental-Kampagnen zum Einsatz kam – eine interessante Entwicklung.

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Weiterlesen

kurzfristige Webinare zur aktuellen Cyber-Attacke

Aus aktuellem Anlass führen wir kurzfristig Webinare zur aktuellen Cyber-Attacke durch:

Thursday 29. Juni 2017 at 19 Uhr CET in English
Please click here to register!

Friday 30. June 2017 at 11:00 CET in English
Please click here to register!

Freitag 30. Juni 2017 um 11 Uhr CET in deutscher Sprache
Klicken Sie hier um sich zu registrieren!

Vendredi 30. June 2017 11:00 en français
Enregistrez-vous ici!

Venerdì 30 Giugno, 2017 alle 11:00 CET in italiano
Clicca qui per registrarti!

 

Frequently Asked Questions: The Petya Ransomware Outbreak

On June 27, several organizations in Europe reported ransomware infecting their systems, modifying their master boot records (MBR) and encrypting their systems’ files. The culprit: a variant of the Petya ransomware that Trend Micro detects as RANSOM_PETYA.SMA.

The ransomware is spreading rapidly, affecting organizations, businesses, and end users, turning into an outbreak reminiscent of the one caused by WannaCry. Some questions remain: Do they work the same? Do they both have kill switches? Do they similarly use the EternalBlue vulnerability to infect systems?

Here are some of the most frequently asked questions that dispel and clarify misconceptions and comparisons about this threat:

Hier der Link zu einer aktuellen Version der „Frequently asked questions“ des aktuellen Cyber-Angriffs.