Archiv der Kategorie: Nachrichten

Krypto-Mining Bot greift Geräte mit SSH-Service an

Originalbeitrag von Jindrich Karasek und Loseway Lu

Die Durchführbarkeit des Schürfens von Kryptowährung auf mit dem Internet der Dinge (IoT) verbundenen Geräten ist häufig eine Frage der Rechenleistung. Dennoch gibt es genügend Betrüger, die vernetzte Geräte angreifen, und auch im Untergrund wird die entsprechende Schadsoftware angeboten. Die Honeypot-Sensoren der Sicherheitsforscher von Trend Micro (für die Emulation von Secure Shell (SSH), Telnet und File Transfer Protocol) entdeckten kürzlich einen Mining Bot mit Bezug zur IP-Adresse 192.158.228.46. Diese Adresse suchte sowohl nach SSH- als auch IoT-bezogenen Ports, einschliesslich 22, 2222 und 502. Bei diesem bestimmten Angriff landete die IP auf Port 22, einem SSH Service. Der Angriff ist jedoch auf alle Server und vernetzten Geräte mit einem laufenden SSH Service anwendbar.

Der Bot sucht nach Geräten mit einem offenen RDP-Port (Remote Desktop Protocol), der es dem Angreifer ermöglicht, anfällige Geräte auszunutzen. Sobald der Angreifer ein solches Gerät identifiziert, versucht er, einen wget-Befehl auszuführen, um ein Skript in ein Verzeichnis herunterzuladen, das anschliessend das Skript ausführt und die Malware installiert.

Der Bot nutzt hxxp://p1v24z97c[.]bkt[.]clouddn[.]com/ zum Hosten des bösartigen Skripts mservice_2_5.sh. Dieses lädt dann Dateien von hxxps://www[.]yiluzhuanqian[.]com/soft/linux/yilu_2_[.]tgzund speichert das Ergebnis im “/tmp”-Verzeichnis. Diese Technik findet sich häufig in Exploit-Techniken gegen Linux-basierte Server wieder. Dieser Bot kann Miner auf Linux laden und besitzt sogar einen Persistenzmechanismus in seinem Installer-Skript. Dadurch kann er einen Service dem crontab hinzufügen, einer Konfigurationsdatei, in der regelmässig wiederkehrende Befehle festgelegt werden.

Die Forscher stellten fest, dass es sich bei der Site, von der das Skript Dateien herunterlädt, um eine Finanz-Betrugsseite handelt. Dem Verhalten des Angreifers nach zu urteilen, könnte die erste URL lediglich als Startpunkt dienen. Das bedeutet, wird der Link geblockt, kann der Angreifer auf eine andere Domäne übergehen und seine Aktivitäten weiterführen, ohne die potenzielle Betrugsseite selbst zu verlieren.

Mit Hilfe von Social Engineering werden die Nutzer dazu gebracht, den Miner zu installieren, der dann Monero oder Ethereum schürft. Die Betrugsseite wird dem Aussehen einer regulären Website angepasst. Weitere technische Details auch zur Funktionsweise liefert der Originalbeitrag.

Gegenmassnahmen gegen Mining-Aktivitäten

Botnets sind wahrscheinlich die häufigste Art, um IoT für den eigenen Profit zu missbrauchen. Ein einzelnes kompromittiertes Gerät mag nicht ausreichende Leistung zu bringen, doch wenn die Schadsoftware in Bot-aktivierter Art verteilt wird, so ergibt dies eine Armee von Mining-Zombies, die sich dann als lukrativ erweisen.

Wichtig im Kampf gegen diese illegalen Mining-Aktivitäten ist der Einsatz von Standard-Sicherheitsmassnahmen, die das Risiko mindern können:

  • Regelmässige Aktualisierung der Firmware von Geräten, um Angriffe zu vermeiden, die bekannte Schwachstellen ausnutzen.
  • Ändern der Standard-Anmeldeinformationen von Geräten und Verwendung sicherer Passwörter, um unbefugten Zugriff zu verhindern.
  • Vorsicht vor bekannten Angriffsvektoren, wie z.B. sozial konstruierten Links, Anhängen und Dateien von verschiedenen Websites, Anwendungen von Drittanbietern und Mails.

Anwender sollten auch Sicherheitslösungen in Betracht ziehen, die Schutz vor verschiedenen Iterationen von Kryptowährungs-Mining-Malware durch eine generationenübergreifende Mischung von Abwehrtechniken bieten. Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Anwender von Trend Micro™ Smart Home Network sind vor SH Brute Force Login über folgende Regel geschützt:

  • 1059418, SSH Brute Force Login

Indicators of Compromise (IOCs) umfasst der Originalbeitrag.

Treffen Sie Trend Micro Leute auf Events!

18.6.2018 13:00 Uhr bis 16:30 Uhr
Meet SWISS INFOSEC Event – Radisson Blu Hotel – Zürich Airport
Daniel Bühler, Technical Consultant, „Stand der Technik in hybriden Umgebungen“

19.6.2018 11:30 Uhr bis 17:30 Uhr
Trend Micro Network Defense Tour, Welle7 – Bern
„Komplexe Bedrohnungen schneller erkennen und abwehren“

20.6.2018 13:00 Uhr bis 17:45
Infinigate IT Security Conference Romandie, Hotel Novotel – Lausanne Bussigny
„Connected Threat Defense – La dream team à votre Service“
„Pas vu – pas pris – Rendre visible l’invisible

20.6.2018 16:30 Uhr bis 22:30 Uhr
Arrow ECS Networking Event, Quai 61 – Zürich

Trend Micro Partner Talk in Köln – die Gewinner aus ALPS!

Mit den Channel-Awards 2017 würdigt Trend Micro die Leistung seiner Partner und Distributoren bei der Absicherung von Unternehmen. Die Verleihung der Awards bildete den Höhepunkt des in Köln stattfindenden „Partner Talk und Tech Day“, wo in Workshops und Vorträgen zeitgemässe Sicherheitsstrategien entwickelt wurden.

Die Preisträger 2018 aus Österreich und der Schweiz

Preise wurden in insgesamt acht Kategorien vergeben. Zum „Besten Distributor 2017“ wurde die Infinigate Schweiz AG ernannt.  Im Segment Small Business Security wurde die
ACP IT Solutions GmbH aus Österreich als „Bester Partner 2017“ ausgezeichnet. In der Kategorie User Protection steht die Absicherung des gesamten Unternehmensnetzwerks im Fokus. In dieser Kategorie wurde die SoftwareONE AG aus der Schweiz ausgezeichnet. Im Bereich Hybrid Cloud Security konnte dann wiederum ein Österreichischer Partner, die Bacher Systems EDV GmbH  als Bester Partner 2017 abschneiden. Die SCRT Information Security aus der Westschweiz sicherte sich den Preis für „Bester Partner 2017“ im Bereich Network Defense. Den Award für den besten Partner für Tipping Point erhielt die Schweizer Omicron AG. Die AVANTEC AG aus Zürich freute sich über die Auszeichnung „Rising Star“.

Überaus erfolgreich war auch die recretix systems AG aus der Schweiz: sie erhielt dafür den Award als „Bester Technischer Partner 2017“.

Wir gratulieren allen nominierten Partnern sowie den Gewinnern ganz herzlich!

Bilder

Bester Distributor ALPS 2017 – Infinigate Schweiz AG

Small Business Security Award 2017 – ACP IT Solutions AG

User Protection Award 2017 – SoftwareOne AG

Hybrid Cloud Security 2017 – Bacher Systems EDV GmbH

Network Defense Partner 2017 – SCRT Information Security

 

Rising Star 2017 – Avantec AG

Bester Technischer Partner 2017 – recretix systems AG

Trend Micro führt kostenlose Online-Demos und -Tests für seine Lösungen ein

Partnern und Endkunden von Trend Micro steht mit „Product Cloud“ ab sofort ein neuer, kostenloser Online-Service zur Verfügung. Das Angebot bietet zwei verschiedene Funktionen: „Instant Demo“ ermöglicht Partnern eine online-basierte Sofort-Demo von Lösungen. Mit „Product Trial“ können Partner und Endkunden verschiedene Trend-Micro-Produkte direkt online testen.

Partner von Trend Micro können ihren Kunden ab jetzt zahlreiche IT-Sicherheitslösungen des Herstellers mit einem neuen Online-Service demonstrieren. „Product Cloud“ besteht aus zwei Teilen, mit denen Partner und Kunden die Lösungen vorführen und selbst testen können

Instant Demo

Unter der Bezeichnung „Instant Demo“ bietet Product Cloud eine online-basierte Sofort-Demo von beliebten Lösungen und deren Funktionen. Die Demo-Umgebungen sind bereits mit Daten gefüllt, sodass Partner die Produkte effektiv vorführen können. Downloads oder Installationen sind dafür nicht erforderlich.

Instant Demo ist bereits für 13 verschiedene Produkte von Trend Micro verfügbar, darunter die folgenden:

  • Trend Micro Control Manager
  • Trend Micro Deep Discovery Analyzer
  • Trend Micro Deep Discovery Endpoint Sensor
  • Trend Micro Deep Discovery Inspector
  • Trend Micro Deep Security
  • Trend Micro Office Scan

 Product Trial 

Mit „Product Trial“ können Partner und Endkunden Lösungen von Trend Micro direkt online testen, wobei sie eine detaillierte Anleitung erhalten, die sie Schritt für Schritt durch die wichtigsten Funktionalitäten führt. Auch hier müssen keine Daten heruntergeladen oder Programme installiert werden. Partner können ihre Kunden zudem direkt über die Plattform zu einem Test einladen und erhalten im Nachgang ein Reporting über die Nutzung, um ein gezieltes Follow-up zu ermöglichen.
Product Trial ist aktuell für folgende Lösungen möglich:

  • Trend Micro Smart Protection Suite
  • Trend Micro Worry-Free Services
  • Trend Micro Worry-Free Standard

Verfügbarkeit und Kosten

Die Nutzung von Product Cloud ist kostenfrei und ab sofort rund um die Uhr möglich. Der Zugang erfolgt online über das Trend Micro Partner Portal.

Privatsphäre auf dem iPhone und iPad schützen!

Orignalartikel in Englisch auf blog.trendmicro.com

Sie surfen viel und oft auf Ihrem iPhone oder iPad? Dann wird es höchste Zeit, dass Sie den neuen Trend Micro Zero Browser aus dem App Store herunterladen.

Gerade bei der mobilen Nutzung eines Browsers ist die Gefahr gross, ungewollt Daten weiterzugeben. Deshalb ist der Datenschutz hier besonders wichtig. Ausserdem verfügt unser Browser auch über zusätzliche Blocking-Funktionen und Schutz gegen Social-Media Tracking und auch Kryptojacking.

 

Kryptowährungs-Malware wird im Untergrund angeboten

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Kryptowährungen geraten immer wieder in den Schlagzeilen, und manche Regierungen arbeiten an der Regulierung der daran beteiligten Transaktionen. Andere wiederum möchten die damit verbundenen Mining-Aktivitäten insgesamt stoppen. Cyberkriminelle sind sehr rege am Kryptowährungs-Mining beteiligt. Ihre Tätigkeiten reichen vom Missbrauch der Graphics Processing Units (GPUs) der Verbraucher-Geräte bis zu dem der Mobilgeräte. Mittlerweile gibt es auch im cyberkriminellen Untergrund so viele Kryptowährungs-Malware-Angebote, dass es auch Kriminellen schwer fallen muss zu entscheiden, welches das Beste ist. Kryptomalware hat ein klares Ziel, und zwar aus Kryptowährungstransaktionen Profit zu schlagen. Dies lässt sich über zwei verschiedene Methoden erreichen: Diebstahl von Kryptowährung und wiederholtes Mining auf den Geräten der Opfer (ohne dass diese es mitbekommen), auch Cryptojacking genannt.

Weiterlesen

Trend Micro Network Defense Tour in Österreich und der Schweiz

Komplexe Bedrohungen schneller erkennen und abwehren

Standardsicherheit reicht heute für die Erkennung getarnter Bedrohungen nicht mehr aus. Mit Trend Micro Network Defense können Sie zielgerichtete und komplexe Angriffe schneller identifizieren, analysieren und abwehren – bevor überhaupt ein Schaden entsteht.

Im Mittelpunkt von Network Defense steht Deep Discovery, die einzigartige Lösung zur Aufdeckung versteckter Bedrohungen in Echtzeit. Durch die Akquisition und Integration von TippingPoint wurde Network Defense zudem noch einmal entscheidend erweitert: TippingPoint Next Generation Intrusion Prevention schliesst Schwachstellen proaktiv und identifiziert selbst unbekannte Bedrohungen.

Besuchen Sie die Trend Micro Network Defense Tour und erfahren Sie mehr über unsere umfassende Abwehrstrategie für Ihr Netzwerk. Experten führen Sie mit technikorientierten Vorträgen, Live-Demos und Praxisbeispielen durch alle wichtigen Aspekte von Trend Micro Network Defense.

Dabei sein und helfen: Um fokussierten Know-how-Transfer in einem exklusiven Umfeld zu gewährleisten, erheben wir eine Trainingsgebühr von 70 CHF (Schweiz) / 60 Euro (Österreich) inkl. MwSt. Mit den Einnahmen unterstützt Trend Micro in der Schweiz die Stiftung Kinderhilfe Sternschnuppe und in Österreich die Stiftung Kindertraum.

Noch hat es freie Plätze in Linz, Wien, Bern und Zürich. Hier geht es zur Anmeldung

Webminer-Skript für Kryptowährung in AOL Werbeplattform eingefügt

Originalbeitrag von Chaoying Liu und Joseph C. Chen

Am 25. März entdeckten die Sicherheitsforscher von Trend Micro, dass die Zahl der vom Trend Micro Smart Protection Network gefundenen Kryptowährungs-Webminer plötzlich anstieg. Das Tracking des Miner-Verkehrs ergab, dass eine ganze Menge davon mit MSN[.]com in Japan in Verbindung stand. Die weitere Untersuchung zeigte, dass böswillige Akteure das Skript auf einer AOL-Werbeplattform modifiziert hatten, sodass auf der Site ein Webminer-Programm gestartet wurde. AOL ist davon benachrichtigt und hat den Miner am 27. März entfernt.

Die kompromittierten Anzeigen auf der AOL-Plattform erzeugten eine Vielzahl von Webminern (COINMINER_COINHIVE.E-JS). Die Zahl der einzigartigen Webminer-Funde erhöhte sich vom 24. März auf den 25. März um 108%. Dies zeigt die Effizienz der Kompromittierung der Plattform. Die Werbeanzeige befand sich auf der ersten Seite von MSN[.]com (normalerweise die Default-Seite von Microsofts Browser). Dies ist ein möglicher Grund für die dramatische Erhöhung der Entdeckungen, denn eine erhebliche Zahl von Nutzern würde automatisch auf die Seite umgeleitet.

Der Webminer-Verkehr war mit der bösartigen Domäne www[.]jqcdn[.]download verbunden. Dieses Ereignis kann als Teil einer Kampagne gewertet werden, denn es gab weitere vier Domänen, die seit 2017 mit diesem bestimmten Mining-Skript in Verbindung standen.

Bild 1. Die Zahl der Funde von einzigartigen Webminern steigt vom 24. März zum 25. März sprunghaft an

Es zeigte sich auch, dass dieselbe Kampagne mehr als 500 Websites kompromittiert hatte. Die Websites waren verbunden mit der Seite www[.]datasecu[.]download, die dieselben Mining-Skripts wie die AOL-Werbeplattform enthielt.

Wenn ein Nutzer MSN besucht und die verseuchte Werbung angezeigt wird, so führt der Browser das Webminer-Programm aus. Der Miner läuft, auch ohne dass der Nutzer auf die Werbung klickt, und stoppt erst, wenn die Seite geschlossen wird. Die Forscher fanden heraus, dass es sich um JavaScript-Code auf Basis von Coinhive handelt. Dieser Miner nutzt private Web-Miningpools, um typischerweise Gebühren für öffentliche Pools zu vermeiden.

Die Untersuchung der kompromittierten Sites von AOL zeigt, dass die Kampagne die bösartigen Inhalte in Amazon Web Service (AWS) S3-Buckets vorhält. Die Namen der S3-Buckets waren in einigen kompromittierten URLs sichtbar, sodass sie näher untersucht werden konnten. Sie waren völlig ungesichert, offen für jeden. Da liegt der Verdacht nahe, dass der legitime AWS-Administrator die Berechtigungen für seine S3-Buckets nicht richtig aufgesetzt hatte, sodass der Angreifer den gehosteten Inhalt modifizieren konnte.

Nicht abgesicherte Amazon S3-Server sind seit 2017 zum Problem geworden, und einige Kryptowährungs-Miningtaktiken haben sie in diesem Jahr schon verwendet. Während der Analyse war zu beobachten, dass manche Websites die Berechtigungen für ihre Buckets berichtigt hatten, doch bemerkten sie nicht den in die Inhalte eingefügten bösartigen Code. Weitere technische Details enthält der Originalbeitrag.

Neben der sorgfältigen Konfigurierung der Server sollten Unternehmen sich mithilfe einer für den Bedarf geeigneten Cloud-Sicherheitslösung schützen. Trend Micro Deep Security for Cloudkann proaktive Bedrohungserkennung und Verhinderung bieten, während Hybrid Cloud Security hybride Umgebungen mit physischen, virtuellen und Cloud-Workloads optimal schützen kann.

Trend Micro Deep Security as a Service ist für AWS, Azure und VMware optimiert, um Server sofort zu schützen. Die Lösung reduziert den Druck auf überlastete IT-Abteilungen, denn sie nimmt ihnen das Aufsetzen der Sicherheit, Management und Updates ab.

Indicators of Compromise (IoC)

SHA256
c6c5b88e5b641484c9f50f1abdbebb10e5a48db057e35cb7f556779c5684003b

Bösartige Domänen Definition
www[.]jqcdn[.]download Private Webminer Domain
www[.]datasecu[.]download Private Webminer Domain
www[.]dataservices[.]download Private Webminer Domain
www[.]jquery-cdn[.]download Private Webminer Domain
www[.]securedates[.]download Private Webminer Domain

Trend Micro Büro Wien offiziell eröffnet

Am 27. März 2018 feierte Trend Micro mit Gästen aus der Kunden- und Partnerbasis die Eröffnung seines Büros in Wien. Neben einigen Präsentationen statt vor allem das gegenseitige Kennenlernen im Vordergrund. Hier unsere Adresse für einen Besuch:

Trend Micro Austria
Wienerbergstrasse 11
TwinTower B 15. Stock
1100 Wien

Ihr Trend Micro Team

Von links nach rechts:
Daniel Bühler, Technical Consultant; Daniel Schmutz, Marketing, Alliance und Strategic Partner Manager ALPS; Martin Nikowitsch, Technical Consultant; Christian Fickl, Major Account Manager; Michael Unterschweiger, Regional Director ALPS; Mathias Schneider, Regional Account Manager; Claire Horlent, Channel Account Manager ALPS; Leo Caisse, Director of Sales Operations Continental Europe; Dr. Dietmar Metzler, Customer Service Manager;