Archiv der Kategorie: Updates & Patches

2019 blockiert Trend Micro 52 Milliarden Bedrohungen: Hacker erweitern ihr Repertoire

von Trend Micro

Abwechslung ist in den meisten Lebensbereichen willkommen, doch nicht in der Bedrohungslandschaft. Leider müssen sich Sicherheitsexperten heutzutage aber genau damit auseinandersetzen. Der Jahresbericht 2019 von Trend Micro zeigt, dass Hackern mittlerweile eine beispiellose Vielfalt an Tools, Techniken und Verfahren zur Verfügung steht. Bei 52 Milliarden einzigartigen Bedrohungen, die allein von den Trend Micro-Filtern erkannt wurden, könnte dies zu einer übermächtigen Herausforderung für viele IT-Sicherheitsabteilungen werden. Als Reaktion darauf überprüfen zu Recht viele CISOs ihren Ansatz für die Bedrohungsabwehr. Bei vielen von ihnen setzt sich die Erkenntnis durch, dass es sinnvoller ist, sich auf einen Anbieter zu konzentrieren, der den gesamten Schutz liefern kann, statt durch Investitionen in Best-of-Breed-Lösungen unter Umständen Sicherheitslücken zu schaffen und Budgetengpässe zu riskieren.

Zustandsaufnahme

Der Bericht liefert ein alarmierendes Bild einer von Volatilität und Chaos geprägten Bedrohungslandschaft. Finanziell motivierte Cyberkriminelle kooperieren und konkurrieren miteinander, um aus Attacken Profit zu schlagen. Leider gibt es eine Menge Betroffener, denn aufgrund gestiegener Investitionen in Cloud- und digitale Plattformen hat sich die Angriffsfläche im Unternehmen erheblich vergrößert.

Der Bericht hebt vor allem drei Trends hervor:

Ransomware ist auf dem Vormarsch: Obzwar die Anzahl der neuen Familien zurückgegangen ist,  ist die Zahl der entdeckten Ransomware-Komponenten im Laufe der Jahres um 10% auf 61 Millionen gestiegen. Im letzten Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Eine aktuelle Umfrage des TÜV-Verbands zeigte, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Dabei spielte der Bankentrojaner Emotet häufig eine unrühmliche Rolle.

Phishing entwickelt sich weiterWie immer entfielen die meisten Bedrohungen (91%), die Trend Micro im vergangenen Jahr blockierte, auf Email-Angriffe, und ab 2018 stieg das Volumen um 15%. Das bedeutet, dass Phishing nach wie vor der Hauptvektor bei Angriffen auf Unternehmen ist. Obwohl insgesamt ein Rückgang der Gesamtzahl der Versuche, Phishing-Websites zu besuchen, zu verzeichnen war, gab es einige Spitzenwerte. Betrüger scheinen Office 365 im Visier zu haben und versuchen, Sicherheitsfilter zu umgehen. Die Zahl der eindeutigen Phishing-URLs, die die Microsoft-Cloud-Plattform fälschten, ist im Vergleich zum Vorjahr um 100% gestiegen. Die BEC-Angriffe, die nach Angaben des FBI im vergangenen Jahr höhere Kosten als jede andere Art von Cyberkriminalität verursachten, nahmen um 5% zu.

Die Supply Chain ist in Gefahr: Die digitale Supply Chain hat sich in den letzten Jahren rapide erweitert und setzt damit mehr Unternehmen einem Risiko aus. Besonders deutlich wurde dies im Bereich des elektronischen Handels im vergangenen Jahr, als es der Magecart Hacking-Gruppe gelang, schätzungsweise zwei Millionen Websites zu kompromittieren. Viele dieser Attacken konzentrierten sich auf Partner der Supply Chain. Auch beobachteten die Sicherheitsforscher einen Anstieg bei Angriffen, die sich auf die Kompromittierung von DevOps-Tools und -Deployments konzentrieren, wie z.B. fehlkonfigurierte Versionen der Docker Engine und ungesicherte Docker-Hosts.

Fazit

Dies ist aber nur die Spitze des Eisbergs. Die Forscher von Trend Micro stellten auch einen Anstieg bei mobiler Malware (6%), IoT-Anmeldungen über Brute-Force (189%) und vieles mehr fest. Um angesichts einer so breit gefächerten Palette von Bedrohungen die Kontrolle zu behalten, sollten CISOs den Ansatz der „Connected Threat Defense“ in Erwägung ziehen. Diese Strategie konsolidiert den Schutz über Gateways, Netzwerke, Server und Endpunkte hinweg auf einen einzigen Anbieter, der die Verteidigung auf jeder Ebene mit einem Fundament aus intelligentem Bedrohungswissen optimiert.

Die folgende Checkliste ist eine Überlegung wert:

  • Netzwerksegmentierung, regelmäßige Backups und kontinuierliche Netzwerküberwachung zur Bekämpfung von Ransomware,
  • Verbesserte Programme für das Sicherheitsverständnis, hilft Nutzern BEC- und Phishing-Versuche besser zu erkennen,
  • Monitoring von Schwachstellen und falschen Konfigurationen der Systeme der Supply Chain-Partner als Schutz vor Magecart-Angriffen,
  • Scannen von Container Images auf Malware und Sicherheitslücken während Build und Laufzeit,
  • Systeme und Software immer auf aktuellem Stand halten sowie
  • Richtlinien für Zweifaktor-Authentifizierung und dem Prinzip der geringsten Privilegien verhindern den Missbrauch von Tools, die über Admin-Logins zugänglich sind, etwa RDP und Entwickler-Tools.

Der gesamte 2019-Sicherheitsbericht steht online zur Verfügung.

IT-Security 2020 – das Wettrennen geht weiter

Von Richard Werner, Business Consultant bei Trend Micro

Das Jahr 2020 ist kaum zwei Monate alt und schon wieder häufen sich die Nachrichten zu Cybervorfällen. Auf der einen Seite gehen Daten im Internet „verloren“, auf der anderen gibt es die üblichen Cyberattacken, bei denen Unternehmen oder Behörden angegriffen werden – oftmals mit schwerwiegenden Folgen. Dabei kommt oftmals modernste Technologie zum Einsatz. Was wir im Cyberbereich erleben, ist im Grunde die Fortsetzung des jahrhundertealten Wettlaufs von Angriff und Verteidigung, nur mit digitalen Mitteln.

Den Zyklus kennen

Eine der wichtigsten Motivationen für die menschliche Weiterentwicklung war schon immer der Wunsch, einen Gegner zu übertrumpfen. So arbeiten auch in der digitalen Welt im Prinzip zwei gegnerische Parteien daran, sich beständig zu optimieren. Auf Seiten der Verteidigung stehen IT-Sicherheitsabteilungen von Unternehmen, die Security-Branche und diverse staatliche Organe wie beispielsweise das BSI. Diese Seite versucht Angriffe und Angriffsmethoden frühzeitig zu erkennen, zu bewerten und abzuwehren. Dies geschieht durch Forschung, Technologieentwicklung sowie Aufklärung und den Einsatz von Abwehrmaßnahmen.

Auf der anderen Seite stehen verschiedene Angreifer. Es handelt sich zum überwiegenden Teil um Cyberkriminelle, jedoch leider finden sich hier auch staatliche Organisationen, die den jeweiligen Feind zu beeinträchtigen suchen. Die Angreifer arbeiten gezielt daran, Sicherheitstechnologien zu umgehen, Angriffe zu verstecken und Schwachstellen in der Architektur und in den Prozessen ihrer Opfer zu finden.

Die Betrachtung der beiden Seiten im Allgemeinen ergibt, dass es im Schnitt eine Art Gleichgewicht der Mächte gibt. Bei genauerer Analyse treten aber Spitzen zutage, wo der Angriff erfolgreicher ist und Schlagzeilen vom Untergang der IT sprechen. Und andererseits gibt es Zeiten, in denen alles ruhig bleibt und IT-Sicherheit nicht mehr im Fokus steht. Dieser Zyklus scheint etwa alle drei bis vier Jahre durchlaufen zu werden und richtet sich tatsächlich danach, in wie weit es den Verteidigern gelingt, erfolgreiche Techniken zu implementieren und damit die Angriffsmodelle zu torpedieren.

Bild 1: Angriffs- und Verteidigungszyklus in der IT-Security

Da es schwierig ist, die Schritte der Gegenseite vorherzusehen, sollte der Zyklus gewissermaßen zweigeteilt betrachtet werden. Beide Teile haben eines gemeinsam: Die Maßnahmen starten in der Regel klein und werden dann immer umfassender. Ein Beispiel der Security-Seite: Besonders innovative Firmen entwickeln eine neue Technik, mit der Angriffe erkannt und verhindert werden können, einige „Early Adopter“ testen diese Technologie, wobei sich ein mehr oder weniger großer Nutzen herausstellt. Natürlich ist dies das Zeichen für die gesamte Branche, die Funktion nachzubauen und zu verbessern oder anzupassen. Zudem setzt in der Regel ein entsprechender Marketing-Hype ein, sodass Nutzer über die neue Technologie bei den Analysten lesen können und auch viele Hersteller gefragt oder ungefragt über die eigene Technologie erzählen. Dann gibt es noch die Newcomer, die nach eigener Meinung genau diese Technologie als Einzige wirklich beherrschen und damit alles andere überflüssig machen. Der Begriff „Next Generation“ ist in diesem Zusammenhang bereits häufig gebraucht worden.

Der positive Effekt dabei: Security-Fachleute und erste Anwender sprechen viel über die neue Technik, sodass immer mehr Unternehmen sich dafür entscheiden (zusätzlich zu bestehender Technik) und dann auch tatsächlich geschützt sind. Als Folge aber stellen Angreifer vermehrt fest, dass ihre bisherigen Methoden nicht mehr wirken und sogar hoch spezialisierte, ausgeklügelte Angriffe fehlschlagen, weil plötzlich die Verteidiger in der Lage sind, diese zu identifizieren.

Schwenk auf die „dunkle Seite“…

Auch unter den Angreifer gibt es Technologieexperten und in einigen Bereichen ein organisiertes Vorgehen. Diese arbeiten dann mit Hochdruck daran, Methoden zu finden, um neue Verteidigungsmechanismen zu umgehen oder die noch ungeschützten Opfer zu identifizieren. Manchen Angreifern stehen dabei nahezu unbegrenzte finanzielle und personelle Mittel zur Verfügung. Die Bösen erarbeiten zunächst neue Angriffsschemen und testen diese vereinzelt, um Mängel auszumerzen und die Qualität zu verbessern. Anschließend starten die ersten Angriffswellen, und in der Regel finden sich recht schnell Nachahmer, oder die Technik wird sogar verkauft und verbreitet. Neben der Möglichkeit, damit Geld zu verdienen, ist es auch taktisch interessant, wenn viele Angreifer gleichzeitig agieren. Dies kann die Verteidiger überlasten und dafür sorgen, dass hochgradig gezielte Taten sozusagen im Strom untergehen und unerkannt bleiben.

Den Kreislauf durchbrechen oder verzögern

Verteidiger müssen sich über ihre Ziele im Klaren sein: Geht es darum, durch den Einsatz von Schutztechnologie alle Angriffe zu verhindern, so müssen sie immer die „Cutting Edge“ Security-Technologie identifizieren und einsetzen. Das ist äußerst aufwändig und teuer, und es besteht trotzdem noch immer die Möglichkeit, dass die Technologie etwas übersieht.

Die zweite Alternative ist sich bewusst zu machen, dass fast unweigerlich manche Angriffe erfolgreich sein werden. In der Risikobetrachtung jedes Unternehmens sollte dieses Szenario bereits berücksichtigt und Maßnahmen zur Minimierung eines eventuellen Schadens definiert sein. Die Herausforderung besteht darin, dass sowohl die Eintrittswahrscheinlichkeit als auch das Schadenspotenzial eines Cyberangriffs selten neu berechnet wird, da sie im Laufe der Zeit tatsächlich stark schwanken. In Compliance-Anforderungen aber auch durch Versicherungen wird jedoch zunehmend Druck ausgeübt, sich in dieser Hinsicht vorzubereiten — zum einen, weil bei Datenverlust nicht nur die betroffene Firma, sondern auch viele andere Individuen oder Organisationen Schaden erleiden, zum anderen, weil durch die Digitalisierung in Unternehmen die relative Anzahl der Vorfälle stetig zunimmt und auch Versicherungen Fahrlässigkeit nicht belohnen wollen.

Technische Optionen

Bleibt die Frage, wie sich technisch mit der Tatsache umgehen lässt, dass immer mehr Angriffe erfolgreich sind. Die Antwort der Analysten auf diese Frage lautete den letzten zwei Jahren: „Detection & Response“.

Eine logische Abfolge: Versagt der Schutz, wollen Betroffene schnell darüber Bescheid wissen und dann entsprechende Gegenmaßnahmen in die Wege leiten. Doch was einfach klingt, ist in der Realität vieler Unternehmen wesentlich komplexer. Der Einsatz unterschiedlicher Security-Tools und -Teams will koordiniert und abgestimmt sein, die schiere Masse an Einzel-Events interpretiert und bewertet werden. Detection & Response ist deshalb nicht nur eine Ergänzung zu einem bestehenden Konzept, es ist ein neues Konzept, in dem bestehende Strukturen weitergeführt werden können, wenn sie dazu passen.

Lange galt die Devise, je komplexer die Verteidigung eines Unternehmens, desto schwerer haben es die Angreifer. Leider ist mittlerweile das Gegenteil der Fall. Denn hohe Komplexität erschwert es vor allem Verteidigern, Zusammenhänge zu erkennen. Angreifern hingegen reicht ein einzelner Schwachpunkt, der fast immer irgendwo zu finden ist. Für erfolgreiche Detection & Response ist es deshalb wichtig, alle vorhandenen Informationen zu einem Vorfall zu koordinieren, sowohl um zu erkennen, dass es tatsächlich einen Vorfall gegeben hat, als auch zur Durchführung von Gegenmaßnahmen. Je mehr Security-Tools in der Lage sind zusammenzuarbeiten, desto schneller und effektiver kann auf Vorfälle reagiert werden, lassen sich Angriffe eindämmen und zukünftige Attacken verhindern.

Ansatz von Trend Micro

Als Security-Anbieter mit über 30-jähriger Erfahrung ist Trend Micro das Konzept der raschen Reaktion auch auf erfolgreiche Angriffe bekannt. Vor knapp zehn Jahren wurde dazu die „Connected Threat Defense“ (CTD)-Strategie definiert, mit der es gelang, erfolgreiche Angriffe zu erkennen und aufzuhalten. Wie in der IT-Security üblich, entwickelt sich die Technik rasant weiter und so ändern sich auch die Erfordernisse. Die vormals netzwerkzentrierte CTD muss heute vor allem Endpoints genauer überwachen, da vielfach das Kabel als Medium schlicht wegfällt und im Zusammenspiel zwischen Client und Server eine immer geringere Rolle spielt.

In der Industrie ist das Konzept der Detection & Response zum viel zitierten Schlagwort geworden und wegen des aktuell größten Bedrohungspotenzials eng mit dem Begriff Endpoint verknüpft. Trend Micro erwartet, dass auch Angreifer sich darauf einstellen werden und deshalb andere Bereiche eines Unternehmens für ihre Zwecke ausnutzen können. Hierzu zählen beispielsweise ungeschützte und nicht beachtete IoT-Geräte wie Smart TVs oder Drucker sowie bei einigen Unternehmen auch vernetzte Produktionsanlagen. Auch moderne Workloads wie Container und Serverless Computing werden früher oder später mit einzurechnen sein.

Detection & Response wird sich deshalb dahingehend wandeln, dass auch diese Bereiche bzw. solche, die wir heute noch nicht sehen, zu analysieren sind. Dies wird eng mit der Entwicklung der IT in Unternehmen und den zur Verfügung stehenden Werkzeugen zusammenhängen. Betrachten wir deshalb die obige Schleife aus dem Blickwinkel der aktuellen Security-Landschaft unter Berücksichtigung der in Trend Micros Bedrohungsvorhersagen diskutierten Angreiferaktivitäten:

Bild 2: Neue Angriffsvektoren erfordern flächendeckende Verteidigungsmaßnahmen

XDR

Es lässt sich unschwer feststellen, dass 2020 neue Angriffsvektoren eine Rolle spielen werden, die über ein reines EDR-Szenario nicht abzudecken sind. Die Verteidigungswerkzeuge stehen zwar schon zur Verfügung, es wird jedoch noch dauern, bis sie flächendeckend eingesetzt werden. Trend Micro ist hier einen Schritt voraus und will alle Bereiche möglichst umfassend integrieren. Wir verwenden dafür den Begriff XDR, wobei das X für „Cross“, also bereichsübergreifende Detection & Response-Maßnahmen steht, ebenso wie als Platzhalter für Maßnahmen in allen Bereichen, nicht nur am Endpunkt. Darunter fällt beispielsweise auch Email als aktuell häufigster Angriffsvektor.

Managed Security Services

Klar ist auch, dass Unternehmen trotz aller Technik menschliche Expertise benötigen, um Angriffe zu analysieren und die Effizienz der Technik ständig zu verbessern. Dazu bietet Trend Micro die direkte Unterstützung durch seinen Dienst „Managed XDR“ an. Kunden erhalten dadurch Zugriff auf Spezialisten, die in der Lage sind, Vorfälle zu erkennen und zu bewerten. Im Ernstfall beraten diese Experten Kunden über Gegenmaßnahmen.

Nicht zuletzt gilt, was bereits eingangs genannt wurde: Auch wenn durch XDR momentan ein Vorsprung erzeugt werden kann, so wird es vermutlich auch der anderen Seite gelingen, früher oder später dieses Konzept zu umgehen. Durch den Einsatz von Forschungsteams und die Zusammenarbeit mit anderen Verteidigern versucht Trend Micro, diese Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen zu entwickeln. Wir klären darüber in unseren Blogs und Forschungsergebnissen auf, bieten Kunden aber auch die Möglichkeit proaktiv auf die eigenen Bedürfnisse abgestimmte Beratung zu erhalten.

Zwei Mirai-Varianten zielen auf Videoüberwachungs-Speichersysteme

Sicherheitsforscher von Trend Micro haben zwei Varianten der Internet of Things (IoT)-Malware, Mirai, gefunden. Die beiden Varianten, SORA (IoT.Linux.MIRAI.DLEU) und UNSTABLE (IoT.Linux.MIRAI.DLEV) nutzen neue Verbreitungsmethoden und verschaffen sich Zugang über die Schwachstelle CVE-2020-6756 in Rasilient PixelStor5000-Videoüberwachungs-Speichersystemen.

Mirai ist eine Malware, die aktiv nach IoT-Geräten mit Schwachstellen sucht, sie infiziert und in Bots umwandelt. Die Bots wiederum finden dann weitere Geräte, die sie infizieren können. Im Laufe der Jahre gab es bereits einige Varianten, etwa solche, die Router und Smart TVs infizierten. Die Mirai-Botnets lassen sich für Distributed Denial of Service (DDoS)-Angriffe einsetzen, die von vielen Cyberkriminellen als Dienstleistung angeboten werden. Dafür benötigen sie eine Vielzahl von Bots, und deshalb müssen sie ihre Botnets immer weiter vergrößern.

Die gerade entdeckten Varianten nutzen die Schwachstelle (CVE-2020-6756) in Videoüberwachungs-Speichersystemgeräten. Darüber können sie Code aus der Ferne ausführen. Ähnlich wie bei früheren Varianten laden die Angreifer ein Shell Script vom Command-and-Control (C&C)-Server herunter und führen dies aus. Das Shell Script wiederum lädt die Payload, die SORA oder UNSTABLE enthält, herunter und führt sie aus. Technische Einzelheiten zu den entsprechenden Angriffen beinhaltet der Originaleintrag.

Sicherheit für IoT-Geräte

Die Ausnutzung der neuen Schwachstelle verdeutlicht, wie Cyberkriminelle ständig nach unsicheren und angreifbaren IoT-Systemen suchen. Anwender können ihre IoT-Geräte schützen, wenn sie unter anderem folgende Best Practices beachten:

  • Ändern des Standard-Passworts auf Routern und anderen IoT-Geräten,
  • Sicherheitseinstellungen korrekt aufsetzen und nicht genutzte Funktionen des Geräts deaktivieren,
  • Netzwerkverkehr auf zunehmende Verbindungsversuche zu unbekannten Domänen streng überwachen,
  • Patches und Updates ausrollen, um Schwachstellen zu schließen und einen Schutz vor alten und neuen Bedrohungen aufzubauen.

Trend Micro™ Home Network Security unterstützt das Monitoring von Internetverkehr zwischen dem Router und den vernetzten Geräten. Die Lösung bietet über die folgenden Regeln Schutz für einige Schwachstellen, die Mirai ausnutzt:

  • 1134610 – WEB Dasan GPON Routers Command Injection -1.1 (CVE-2018-10561)
  • 1134611 – WEB Dasan GPON Routers Command Injection -1.2 (CVE-2018-10561)
  • 1134891 – WEB Dasan GPON Routers Command Injection -1.3 (CVE-2018-10561)
  • 1134892 – WEB Dasan GPON Routers Command Injection -1.4 (CVE-2018-10561)
  • 1134287 – WEB Huawei Home Gateway SOAP Command Execution (CVE-2017-17215)
  • 1135215 – WEB ThinkPHP Remote Code Execution

Für den Schutz von Endpoints können Nutzer Trend Micro™ Security und Trend Micro™ Internet Security einsetzen. Trend Micro™ Deep Discovery™ Inspector kann Unternehmen vor gezielten Angriffen schützen, denn die Lösung überwachst Ports und Netzwerkprotokollen, um fortgeschrittene Bedrohungen zu erkennen.

LokiBot gibt sich als bekannter Game Launcher aus

Originalbeitrag von Augusto Remillano II, Mohammed Malubay und Arvin Roi Macaraeg, Threat Analysts

Der Trojaner LokiBot, der vertrauliche Daten wie Passwörter und auch Kryptowährungsinformationen stehlen kann, wird von seinen Hintermännern offenbar weiter entwickelt. Bereits in der Vergangenheit gab es eine Kampagne, die eine Remote Code-Execution-Schwachstelle missbrauchte, um LokiBot über den Windows Installer-Service zu verbreiten. Dabei ging es um eine Lokibot-Variante, die ISO Images einsetzt, sowie eine mit verbessertem Persistenz-Mechanismus via Steganographie. Nun entdeckten die Sicherheitsforscher von Trend Micro, dass LokiBot (Trojan.Win32.LOKI) sich als ein beliebter Game Launcher tarnt, um Nutzer zu überlisten, den Schädling auf ihren Maschinen auszuführen. Die Analyse eines Samples dieser Variante zeigte, dass sie eine seltsame Installationsroutine einsetzt, die eine compilierte C#-Codedatei ablegt. Diese ungewöhnliche Variante mit einer „Compile after Delivery“-Technik zur Vermeidung seiner Entdeckung wurde mithilfe der maschinellen Lernfähigkeiten in den Trend Micro-Lösungen proaktiv erkannt und geblockt.

Die Infektion startet mit einer Datei, die vorgibt, der Installer im Epic Games-Store (Entwicklungsfirma von Spielen wie Fortnite) zu sein. Am Ende der Infektionskette wird die LokiBot-Payload ausgeführt. Wie die meisten aktiven Infostealer zeigen die Weiterentwicklungen bei den Installations- und Verschleierungsmechanismen, dass LokiBot seine Aktivitäten nicht so bald einstellen wird. Technische Einzelheiten des Angriffs sowie die Indicators of Compromise umfasst der Originalbeitrag.

Trend Micro-Lösungen

Trend Micro™ Deep Discovery™ bietet Erkennung, tiefgehende Analyse und proaktive Reaktionen auf Angriffe mit Exploits und ähnlichen Bedrohungen. Dafür setzt die Lösung spezielle Engines, nutzerkonfiguriertes Sandboxing und eine nahtlose Korrelation-über den gesamten Lebenszyklus des Angriffs ein. Unterstützt wird sie durch Trend Micro XGen™ Security mit einer generationsübergreifenden Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Outlaw greift mit aktualisiertem Kit ältere Miner und mehr Systeme an

Originalbeitrag von Jindrich Karasek, Threat Researcher

Hört man eine Weile nichts von einer cyberkriminellen Gruppe, so bedeutet das nicht unbedingt Inaktivität. So geschehen bei der Hacker-Gruppe Outlaw, die während der letzten Monate anscheinend in Ruhe ihr Toolkit weiter entwickelt hat. Ende letzten Jahres nun stellten die Sicherheitsforscher von Trend Micro über einen Honeypot einen Anstieg in deren Aktivitäten fest. Die Fähigkeiten der Kits im Vergleich waren im Vergleich zu den letzten Angriffen aktualisiert worden. Dazu gehören erweiterte Scanner-Parameter und Ziele, die Ausführung von Dateien in Schleifen durch Fehlermeldungen, verbesserte Vermeidungstechniken für Scan-Aktivitäten und mehr Mining-Gewinn durch Ausschalten sowohl der Konkurrenz als auch der eigenen vorher genutzten Miner.

Die Forscher analysierten die Kits, deren Design auf Informationsdiebstahl in der Automotive- und Finanzbranche, den Start weiterer Angriffe auf bereits kompromittierten Systemen und den möglichen Verkauf der gestohlenen Informationen zugeschnitten sind. Der Vergleich mit den früheren Angriffen der Gruppe lässt die Forscher annehmen, dass Outlaw plant, in den USA und in Europa Unternehmen ins Visier zu nehmen, die ihre Systeme noch nicht upgedatet haben oder auch solche mit Internet-orientierten Systemen und schwacher bis keiner Überwachung des Verkehrs und der Aktivitäten. Neben alten Zielen sind sie auch auf neue Ziele aus, um ihre Updates in der Praxis zu testen. Die Experten gehen glauben, dass die Gruppe in den nächsten Monaten aktiver vorgehen wird.

Routinen

Die neuen Samples zielen auf Linux- und Unix-basierte Betriebssysteme, angreifbare Server sowie Internet-of-Things (IoT)-Geräte und nutzen für die Angriffe bekannte Schwachstellen mit vorhandenen Exploits. Als Angriffsvektoren setzt die Gruppe auf nicht gepatchte Systeme, die für CVE-2016-8655 und Dirty COW-Exploit (CVE-2016-5195) anfällig sind. Auch Dateien mit einfachen PHP-basierten Web Shells kamen zum Einsatz bei Systemen mit schwachen SSH- und Telnet-Zugangsdaten. Die Forscher fanden in der aktuellen Kampagne zwar keine Phishing- oder Social Engineering-Routinen, doch gab es mehrere „laute“ Angriffe über das Netzwerk. Beteiligt waren groß angelegte Scanning-Aktivitäten über IPs, die vom C&C-Server gestartet wurden. Die technischen Einzelheiten finden Sie im Originalbeitrag.

Fazit

Seit ihrer Entdeckung 2018 verwendet Outlaw immer wieder Skripts, Codes und Befehle, die sie schon zuvor eingesetzt hatten. Diese Routinen sind bezeichnend für das Ziel der Gruppe, über verschiedene cyberkriminelle Profitflüsse hohe Erträge zu erzielen.

Angesicht der vielen erforderlichen Ressourcen, um alle notwendigen Patches im Unternehmen zu installieren (z.B. Qualitätstests und Betriebsausrichtung), und kostspieligen Ausfallzeiten für den Betrieb, zögern viele Organisationen Patches sofort aufzuspielen. So kann Outlaw jedes Mal, wenn ein Patch veröffentlicht wird und auf das Ausrollen wartet, noch mehr Ziele und Opfer für ihre aktualisierten Botnets finden.

Inzwischen verwendet die Gruppe eine breite Palette von IP-Adressen als Input für Scan-Aktivitäten, die nach Ländern gruppiert sind und es ihnen ermöglicht, bestimmte Regionen oder Gebiete innerhalb bestimmter Zeiträume des Jahres anzugreifen. Durch die Ausrichtung des Angriffs kann die Gruppe möglicherweise Nischen im Untergrund schaffen, die den spezifischen Bedürfnissen ihrer Kunden entsprechen. Auch sind sie sich der bestehenden Gesetze in Europa bewusst und können sich in bestimmten Ländern der Strafverfolgung entziehen, solange sie dort nicht angreifen.

Unternehmen sollten ihre Systeme daher regelmäßig aktualisieren und Anwender von Altsystemen die virtuellen Patches ihrer Anbieter nutzen. Auch sind Unternehmen gut beraten, nicht genutzte Ports zu schließen und Internet-orientierte Geräte, die Systemadministratoren unterstützen, entsprechend zu sichern. Schutz bietet auch eine mehrschichtige Sicherheitslösung, die Systeme vom Gateway bis zum Endpunkt schützt und bösartige URLs blockieren kann.

Trend Micro-Lösungen

Trend Micro XGen™ Security liefert eine generationsübergreifende Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern. Mit Fähigkeiten wie Web/URL-Filtering, Verhaltensanalysen und anpassbarem Sandboxing bietet XGen Schutz vor den heutigen gezielten Bedrohungen, die herkömmliche Mechanismen umgehen, bekannte, unbekannte und nicht veröffentlichte Sicherheitslücken ausnutzen, um persönlich identifizierbare Daten zu stehlen oder zu verschlüsseln. Die Trend Micro-Lösungen werden durch XGen™ Security unterstützt: Hybrid Cloud Security, User Protection und Network Defense.

Microsoft veröffentlicht Advisory zu Zero-Day-Lücke, einschließlich Workaround

Originalbeitrag von Trend Micro

Vor ein paar Tagen veröffentlichte Microsoft ein Advisory (ADV200001) als Warnung vor CVE-2020-0674. Es geht um eine Remote Code Execution (RCE)-Schwachstelle im Zusammenhang mit dem Internet Explorer (IE). Einen Patch gibt es derzeit noch nicht, wobei Microsoft zugegebenermaßen um die Angriffe über diese Lücke weiß. Der Fehler betrifft alle Windows Desktop- und Serverversionen.

Bei CVE-2020-0674 geht es um die Art, wie die Scripting Engine mit Objekten im Hauptspeicher in IE umgeht. Angreifer können die Schwachstelle ausnutzen, um die Memory zu beschädigen, sodass sie beliebigen Code in der Umgebung des aktuellen Nutzers ausführen können. Dies wiederum kann dazu führen, dass der Cyberkriminelle administrative Rechte erlangt, wenn der Nutzer als Admin angemeldet ist. So kann er potenziell neue Konten einrichten, Daten modifizieren oder gar Anwendungen installieren.

Bei einem Angriff kann ein Bedrohungsakteur eine spezielle Website erstellen, um die Schwachstelle auszunutzen. Benutzer können dann über Social Engineering-Techniken wie z.B. Email mit eingebetteten Links zum Besuch dieser Website verleitet werden.

Empfehlungen für einen Workaround

Microsoft hat einen Workaround veröffentlicht, der den Zugang zu Jscript.dll einschränkt:

Die Anwender von 32-Bit-Systemen sollten als Administrator den folgenden Befehl eingeben:

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Die Anwender von 64-Bit-Systemen wiederum geben den folgenden Befehl ein:

takeown /f %windir%\syswow64\jscript.dll

    cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Microsoft merkt aber auch an, dass der Workaround zu möglicherweise zu einer reduzierten Funktionalität für die Komponenten und Fähigkeiten bezüglich jscript.dll führen kann. Deshalb ist es ratsam, den Workaround wieder rückgängig zu machen, sobald der Patch vorhanden ist und aufgespielt werden soll. Die folgenden Befehle sind dafür nötig:

Für 32-Bit-Systeme

    cacls %windir%\system32\jscript.dll /E /R everyone   

Für 64-32-Bit-Systeme

cacls %windir%\system32\jscript.dll /E /R everyone   

    cacls %windir%\syswow64\jscript.dll /E /R everyone

Empfehlungen

Da CVE-2020-0674 bereits aktiv ausgenutzt wird, empfiehlt es sich, den Patch zur Behebung des Fehlers anzuwenden, sobald er verfügbar ist. Darüber hinaus kann die Umsetzung des Workarounds während des Wartens auf das Update Angreifer daran hindern, auf anfällige Systeme zu zielen. Eine andere Möglichkeit besteht darin, die den IE über Netzwerkverkehrsblockierung oder Gruppenrichtlinien auszuschalten, bis ein Update kommt. Bei dieser Option gilt es zu bedenken, dass einige Anwendungen oder Websites den Internet Explorer integriert haben könnten und dass diese möglicherweise nicht funktionieren, wenn der Internet Explorer blockiert wird.

Angesichts des Einsatzes bösartiger Websites als Teil der Ausbeutungsroutine der Schwachstelle sollten Unternehmen sicherstellen, dass ihre Mitarbeiter über Phishing-Angriffe ausreichend aufgeklärt werden, während einzelne Benutzer zur Vorsicht beim Anklicken von Links, insbesondere von solchen, die in einer verdächtigen Email-Nachricht eingebettet sind, ermahnt werden.

CurveBall: Öffentlicher PoC für kritischen Microsoft-NSA Fehler

Die Sicherheitsforscher Saleem RashidKudelski Security und Ollypwn haben Proof-of-Concept Code veröffentlicht für die Ausnutzug von CurveBall (CVE-2020-0601). Es ist die erste Sicherheitslücke, die die National Security Agency (NSA) gemeldet hatte. Die Lücke ist im ersten Zyklus 2020 der Patch Tuesday-Updates berücksichtigt worden und betrifft die Validierung des CryptoAPIs der Elliptic Curve Cryptography (ECC)-Zertifikate sowie die Public Key Infrastructure (PKI) in Windows. Unternehmen und Nutzern wird das sofortige Patchen ihrer Systeme empfohlen, um den Missbrauch dieser Sicherheitslücke zu verhindern.

Der Machbarkeitsbeweis zeigt, wie sich der Fehler auf eine der kryptografischen Implementierungen der Windows CryptoAPI (Crypt32.dll)-Bibliotheksfunktion auswirken kann. Die Forscher warnen vor den möglicherweise ernsten Folgen, denn jede Software, die sich auf die Windows  CertGetCertificateChain()-Funktion verlässt, um die Gültigkeit eines ECC X.509-Zertifikat zu prüfen, kann fälschlicherweise einer bösartigen Zertifikatskette (einschließlich solcher von Drittanbietern) die Vertrauenswürdigkeit bescheinigen. Zu den betroffenen Microsoft-Versionen gehören Windows 10 und Windows Servers 2016 sowie 2019.

Nutzt ein Angreifer den Fehler aus, kann er die Gültigkeit des ECC für Dateien, Anwendungen, Netzwerkverbindungen, Emails und ausführbaren Dateien fälschen und sie als vertrauenswürdig, von einem legitimen Anbieter abstammend darstellen. Die gefälschte Gültigkeit ermöglicht unter anderem den Zugriff auf die Entschlüsselung von vertraulichen Informationen über Benutzerverbindungen, Man-in-the-Middle-Angriffe und die Ausnutzung aus der Ferne.

Microsoft stellt in dem Security Advisory fest, dass die Ausnutzung des Fehlers wahrscheinlich ist, vor allem, da öffentliche Demo-Codes verfügbar sind. Die NSA erklärt in ihrem Cybersecurity Advisory, dass die verfügbaren Patches lediglich der Minderung der Bedrohung dienen, obwohl einige Forscher bereits festgestellt haben, dass ein Update für Windows Defender veröffentlicht wurde, um aktive Exploit-Versuche zu erkennen und Benutzer zu warnen. Anwendern wird empfohlen, die Patches so schnell wie möglich herunterzuladen.

Trend Micro-Lösungen

Trend Micro-Anwender sind vor der Bedrohung über folgende Regeln geschützt:

Detailliertere Informationen dazu gibt es auf der Business Support-Seite.

Schutz für Unternehmens-IT nach dem Aus für Windows 7

Originalartikel von Bharat Mistry

Cyberkriminelle sind immer auf der Suche nach Schwachstellen in Unternehmenssystemen. In diesem Zusammenhang stellt natürlich die Abkündigung von wichtiger Software oder von einer Betriebssystemversion eine Riesenchance für sie dar. IT-Sicherheitsteams müssen deshalb gut vorbereitet sein auf das endgültige Aus für Windows 7 und Server 2008/Server 2008 R2 am 14. Januar. Für diejenigen Unternehmen, die ein Upgrade nicht durchführen wollen oder können, gibt es dennoch Hilfe.

Patching-Prioritäten

Das schnelle Patching ist aus gutem Grund eine Best Practice für die Cybersicherheit. IT-Systeme werden schließlich von Menschen entworfen, und das bedeutet unweigerlich, dass sich auch Fehler im Code einschleichen. Diese aber werden von den Cyberkriminellen massiv ausgebeutet, wobei die Gruppen Bedrohungswissen und Angriffs-Tools sowie -techniken untereinander austauschen. Häufig stellt das Ausnutzen der Softwarefehler den ersten Schritt für einen ausgeklügelten Angriff dar, mit dem Ziel des Informationsdiebstahls, einer ernsten Ransomware-Infektion, Cryptojacking oder einer anderen Bedrohung. Die Mehrheit der vom Zero Day Initiative (ZDI) Programm in der ersten Hälfte 2019 entdeckten Schwachstellen wurden als „High Severity“ bewertet.

Umso wichtiger ist es, dass IT-Admins jeden Fehler patchen, um das Unternehmensrisiko möglichst gering zu halten. Doch wenn ein Produkt das Supportende erreicht, wie eben Windows 7 und Server 2008, so bedeutet dies, dass der Anbieter keine Patches mehr dafür veröffentlicht. Unternehmen sollten in erster Linie ein Upgrade in Betracht ziehen, um seine Daten nicht zum Ziel der Hacker zu machen.

Wenn Upgrades nicht in Betracht kommen

Für viele Unternehmen aber sind die Dinge nicht so einfach. Solch große Upgrades für tausende von Unternehmensmaschinen sind teuer und zeitaufwändig, und ein verlängerter Support durch Microsoft ist mit sehr hohen Kosten verbunden. Einige Organisationen können aufgrund von Inkompatibilitäten mit unternehmenskritischen Anwendungen nicht upgraden, denn diese würden mit einer neueren Betriebssystemversion gar nicht laufen. In Operational Technology (OT)-Umgebungen wie Fabriken oder Krankenhäusern ist Windows 7 möglicherweise in ein Gerät oder einen Controller eingebettet, und das bedeutet, dass ein Upgrade die Garantie durch den Hersteller zunichte macht.

Schutz für die wichtigsten Bestände

Hier können Sicherheits-Tools von Drittanbietern Abhilfe schaffen. Trend Micro hat eine Next-Generation Intrusion Prevention-Technologie entwickelt und in die eigenen Produkte integriert, auch als „virtual Patching“ bekannt, die nicht gepatchte Server und Endpunkte schützt. Die Technologie erkennt und blockt Versuche, Software- und Betriebssystemlücken auszunutzen, auch wenn keine Updates von Microsoft vorhanden sind.

Mit dem Einsatz von virtuellem Patching können Unternehmen in einer sicheren Umgebung ihre wertvollen Assets weiter nutzen, um Altbetriebssysteme oder Anwendungen zu betreiben. Diese Funktionalität stellt außerdem sicher, dass keine unnötigen IT-Ausfallzeiten entstehen, während die Patches für die unterstützten Systeme getestet werden, und bedeutet, dass Sie keine Notfall-Patches ausrollen müssen, falls ein größerer Fehler entdeckt wird.

Sicherheit für die Cloud-vernetzte Welt im Jahr 2020

Originalbeitrag von Ross Baker

Für CISOs war 2019 ein hartes Jahr. Die letzten zwölf Monate fuhren einen neuen Rekord ein bei Datenschutzverletzungen, Cloud-Fehlkonfigurationen und Sicherheitsbedrohungen auf DevOps-Ebene. Angriffe durch Ransomware, dateilose Malware und auch die Bedrohungen durch Business Email Compromise (BEC) nahmen weiterhin zu. Allein Trend Micro blockte in der ersten Hälfte 2019 mehr als 26,8 Mrd. einzigartige Bedrohungen. Die Situation wird sich in diesem Jahr nicht verbessern, und die Verantwortlichen für Cybersicherheit müssen sicherstellen, dass sie mit vertrauenswürdigen Partnern zusammenarbeiten – Anbietern mit einer klaren Zukunftsvision. Während des letzten Jahres hat eine überzeugende Mischung aus Produktinnovation, Übernahmen und die Anerkennung durch unabhängige Branchengremien Trend Micro als einen solchen Partner qualifiziert.

Risiken durch digitale Medien

Wenn es heute um digitale Transformation geht, so heißt das zumeist Cloud-Computing-Systeme. Die Investitionen in Plattformen wie AWS, Azure und andere haben den Unternehmen enorme Vorteile gebracht, denn sie unterstützen Organisationen dabei, skalierbarer, effizienter und agiler zu werden. Cloud-Plattformen geben Entwicklern die Flexibilität, die sie benötigen, um DevOps und Infrastructure-as-Code (IaC)-Initiativen voranzutreiben, um innovative Kundenerlebnisse zu bieten, und die Plattformen mit wenigen Klicks an die Marktanforderungen anzupassen.

Die Kehrseite davon bedeutet aber, dass diese IT-Transformation die Organisationen einer Reihe neuer Risiken ausgesetzt hat. Bei so vielen potenziell lukrativen Kundeninformationen, die in Cloud-Datenbanken liegen, sind sie zu einem Hauptziel für Hacker geworden. Trend Micro prognostiziert für 2020 eine Flut von Angriffen gegen Cloud-Anbieter über das Einschleusen von Code. Des Weiteren werden Schwachstellen in Container- und Microservices-Architekturen auftauchen, viele davon durch die Wiederverwendung von quelloffenen Komponenten. Fast 9 Prozent der 2018 weltweit heruntergeladenen Komponenten enthielten einen Fehler. Recherchen ergaben, dass 30 Prozent davon kritisch waren.

Die Komplexität von Multi- und hybriden Cloud-Systemen erhöht den Druck auf IT-Admins. Wenn so viel auf dem Spiel steht, ist es unvermeidlich, dass dies zu menschlichen Fehlern führt. Fehlkonfigurationen sind im Jahr 2019 zu einer der Hauptnachrichten geworden. Die Untersuchungen von Trend Micro im vergangenen Jahr ergaben auch, dass über die Hälfte der DevOps Teams in globalen Organisationen nicht über die geeigneten Werkzeuge verfügen, um ihre Arbeit richtig machen zu können.

Sicherheit einfach gestalten

Trend Micro will die Kunden bei ihrem Weg durch diese instabile Landschaft zur Seite stehen. Nur ein paar Beispiele dessen, was der japanische Anbieter zum Schutz der Kunden unternimmt:

Cloud Conformity: Die Übernahme dieses führenden Anbieters von Managementlösungen für Cloud-Sicherheit bietet globalen Anwendern dringend benötigte Fähigkeiten für die permanente Überprüfung. Am auffälligsten ist die Fähigkeit von Cloud Conformity, komplexe Cloud-Umgebungen zu durchleuchten und aufzuzeigen, wo Fehlkonfigurationen existieren und einfache Schritte zur Abhilfe zu ergreifen.

SnykTrend Micro arbeitet mit diesem entwicklerorientierten Open-Source-Sicherheitsanbieter zusammen mit dem Ziel, die Risiken von DevOps zu verringern, die sich aus gemeinsam genutztem Code ergeben. Trend Micro Container-Image-Scans zeigen Schwachstellen und Malware in der Software-Build-Pipeline auf, und virtuelles Patching schützt gegen deren Ausnutzung zur Laufzeit. Mit Snyk Applications Security Management können Entwickler diese Fehler in ihrem Code schnell und einfach beheben.

CloudOne: Trend Micro kombiniert alle Cloud-Sicherheitsfähigkeiten in einer schlanken Plattform, und deckt damit CSPM, Anwendungssicherheit, Container-, Workload-, Cloud-Netzwerk- und Dateispeicher-Sicherheit ab. Die Plattform stellt eine automatisierte, flexible, einheitliche Lösung dar, die die Komplexität von modernen hybriden und Multi-Cloud-Umgebungen vereinfacht.

Anerkennung durch Analysten: Kürzlich hat etwa IDC Trend Micro im neuesten „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominanten Leader“ aufgeführt. Trend Micro hält mehr als zwei Fünftel der Marktanteile im SDC Workload-Sicherheitsmarkt, nahezu dreimal so viele wie der nächste Mitbewerber.

Schwachstelle CVE-2019-11932 noch immer in vielen Apps gefährlich

Originalbeitrag von Lance Jiang und Jesse Chang

Bereits Anfang Oktober wurde CVE-2019-11932, eine Schwachstelle in WhatsApp für Android, bekannt gemacht. Die Lücke erlaubt es Angreifern, mithilfe speziell präparierter GIF-Dateien aus der Ferne Code auszuführen. Sie wurde in der Version 2.19.244 von WhatsApp zwar gepatcht, doch das Problem liegt in der Bibliothek libpl_droidsonroids_gif.so, die zum android-gif-drawable-Package gehört. Auch dieser Fehler wurde behoben und dennoch sind viele Anwendungen immer noch in Gefahr, weil sie die ältere Version nutzen. An technischen Einzelheiten Interessierte finden sie im Originalbeitrag. Sie können auch das Video ansehen, das einen Proof of Concept vorführt:

Eine Recherche der Sicherheitsforscher ergab, dass allein in Google Play mehr als 3.000 Applikationen mit dieser Schwachstelle vorhanden sind. Die Forscher fanden auch in den Stores von Drittanbietern viele ähnliche Apps.

Lösungen

Die Lösungen von Trend Micro wie Trend Micro™ Mobile Security for Android™ können jede bösartige App, die diese Schwachstelle ausnutzt, erkennen. Endanwender profitieren auch von den mehrschichtigen Sicherheitsfähigkeiten, über die die Daten der Gerätebesitzer und deren Vertraulichkeit vor Ransomware, betrügerischen Websites und Identitätsdiebstahl geschützt sind.

Für Unternehmensanwender liefert wiederum Mobile Security for Enterprise Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites. Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Sicherheitslücken in Anwendungen. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.