Archiv der Kategorie: Website-Gefährdung

Prognose 2020: Die Risiken durch Supply Chain-Angriffe werden vorherrschen

Es ist kein Geheimnis, dass der Erfolg moderner Unternehmen zu einem guten Teil von ihren Lieferketten abhängt. Ein durchschnittliches Unternehmen unterhält möglicherweise hunderte unterschiedliche Partnerschaften – von solchen mit professionellen Service-Organisationen bis zu Software Providern und Transportunternehmen. Doch diese Partner können ein zusätzliches Risiko für das Unternehmen bedeuten, vor allem im Cyberbereich. In den aktuellen Vorhersagen für 2020 hebt Trend Micro einige der Schlüsselbereiche hervor, die für Organisationen gefährlich werden können. Dazu gehören die Partnerschaften mit Cloud- und Managed Service Providern (MSP), neue DevOps-Abhängigkeiten und Risiken für die Supply Chain im Zusammenhang mit den involvierten mobilen Mitarbeitern.

Ein neuer Aspekt eines bestehenden Risikos

Cyber-Supply Chain-Risiken per se sind nicht neu. Die berüchtigten NotPetya Ransomware-Angriffe von 2017 beispielsweise starteten über die Software Supply Chain, während Operation Cloud Hopper eine Angriffskampagne darstellte, die globale Unternehmen über deren MSPs attackierte.

Das Risiko infolge der Bedrohung kommt zu einem großen Teil durch die Veränderungen der Arbeitsweise im Unternehmen. Die digitale Transformation wird von vielen als ein wesentlicher Treiber für das Unternehmenswachstum gesehen, der es den Unternehmen ermöglicht, flexibel auf sich ändernde Marktanforderungen zu reagieren. In der Praxis bedeutet dies, dass Cloud und DevOps in den IT-Abteilungen des kommenden Jahrzehnts zunehmend im Mittelpunkt stehen.

Mehr Agilität, mehr Risiko?

Wie alle Veränderungen bringen auch diese neuen Risiken, die beachtet werden wollen. Denn die zunehmende Abhängigkeit von Cloud-Drittanbietern weckt bei Angreifern das Interesse für in diesen Konten gespeicherte Daten. Zu ihren Angriffsvektoren gehören etwa Code Injection, Missbrauch von Deserialisierungs-Bugs, Cross-Site Scripting und SQL Injection. Auch werden sie von Lücken profitieren, die durch die Fehlkonfiguration der Konten entstehen und durch die Daten im öffentlichen Internet exponiert werden.

Darüber hinaus werden Cyberkriminelle die Tatsache ausnutzen, dass DevOps-Teams sich auf Drittanbieter-Code in Container-Komponenten und Bibliotheken verlassen. Angreifer werden Microservices- und serverlose Umgebungen kompromittieren. Mit zunehmender Verbreitung dieser Architekturen werden sich auch Angriffe auf diese Architekturen häufen.

Service Provider werden ebenfalls ein steigendes Risiko darstellen, denn sie ermöglichen Angreifern einen viel höheren ROI, weil sie über einen einzigen Anbieter Zugang zu mehreren Kunden erhalten. Solche Bedrohungen gefährden Unternehmens- und Kundendaten und stellen sogar ein Risiko für Smart Factories und andere Umgebungen dar.

Schließlich kommt die Gefahr in der Supply Chain 2020 auch noch aus einer ganz anderen Richtung. Remote und Heimarbeit wird für viele Mitarbeiter zum Alltag, und Hacker werden diese Umgebungen als bequemen Startpunkt für das Eindringen in Unternehmensnetzwerke nutzen. Diese Mitarbeiter müssen als Teil ganzheitlicher Risikomanagement-Strategien für Unternehmen betrachtet werden, unabhängig davon, ob sie sich über nicht gesicherte öffentliche WLAN-Hotspots oder zu Hause anmelden oder ob Fehler im Smart Home Lücken offenlassen.

Empfehlungen für mehr Sicherheit

Auf CISOs kommen durch den rapiden technologischen Wandel harte Zeiten zu. Dabei ist es entscheidend wichtig, Teams mit den geeigneten Tools und Strategien auszustatten, um den Risiken durch Drittanbieter und anderen Bedrohungen zu begegnen. Die Sicherheitsforscher geben folgende Empfehlungen aus:

  • Verbesserung der Sorgfaltspflicht von Cloud-Anbietern und anderen Service Providern,
  • Durchführung regelmäßiger Schwachstellen- und Risikobewertungen auch für die Software von Drittparteien.
  • Investitionen in Sicherheitstools zur Überprüfung auf Schwachstellen und Malware in Komponenten von Drittanbietern
  • Einsatz von Cloud Security Posture Management (CSPM)-Tools, um das Risiko von Fehlkonfigurationen zu minimieren.
  • Überprüfen der Sicherheitsrichtlinien für Home- und Remote-Mitarbeiter.

Kampagne mit hochgradig verschleiertem Exploit Kit

Originalbeitrag von William Gamazo Sanchez and Joseph C. Chen

Im November 2019 veröffentlichte Trend Micro im eigenen Blog die Analyse eines Exploit Kit namens Capesand, das Adobe Flash- und Microsoft Internet Explorer-Lücken ausnutzte. Bei der Untersuchung der Indicators of Compromise (IoCs) in den Samples fanden die Sicherheitsforscher einige interessante Merkmale: vor allem nutzten die Samples Verschleierungs-Tools, die sie quasi „unsichtbar“ machten. Mehr als 300 der gefundenen Samples waren kürzlich sehr aktiv und die entsprechende Kampagne ist immer noch am Laufen. Die Forscher benannten sie „KurdishCoder“ nach dem Property-Namen eines Assembly-Moduls in einem der Samples. Das Muster umfasste mehrere Schichten der Verschleierung über eine Kombination zweier Tools: die .NET-Protectors ConfuserEx und Cassandra (CyaX). Die technischen Einzelheiten der Untersuchung der Capessand-Samples liefert der Originalbeitrag.

Bild. Der Infektionsablauf durch Capesand zeigt die Verschleierungsmechanismen

Dieses bestimmte Sample CyaX_Sharp wird über eine angepasste Version von ConfuserEx verschleiert.

Trend Micro-Lösungen

Entscheidend für den Schutz vor einer breiten Vielfalt an Bedrohungen ist ein proaktiver, mehrschichtiger Sicherheitsansatz, der übergreifend das Gateway, Endpoints, Netzwerke und Server mit einschließt. Trend Micro OfficeScan™ mit XGen™-Endpunktesicherheit umfasst  Vulnerability Protection, über die Endpunkte vor bekannten und unbekannten Schwachstellen-Exploits geschützt sind, auch bevor Patches aufgespielt wurden. Die Endpunktelösungen Trend Micro Smart Protection Suites und Worry-Free™ Business Security können Anwender und Unternehmen vor diesen Bedrohungen schützen, weil sie bösartige Dateien sowie die zugehörigen bösartigen URLs erkennen und blockieren.

Indicators of Compromise (IoCs) finden Sie im Originalbeitrag.

DDoS-Angriffe mit TCP-Verstärkung verursachen Netzwerküberlastungen

Während des letzten Monats haben Bedrohungsakteure eine Reihe von Distributed Denial-of-Service (DDoS)-Angriffe gestartet und dafür einen relativ unkonventionellen Ansatz gewählt: TCP Amplification (Verstärkung). Radware beschrieb im eigenen Blog mehrere weltweite Kampagnen mit TCP Reflection-Angriffen, speziell die Variante der SYN-ACK Reflection-Attacken. Dabei geht es nicht allein um die Auslastung eines Servers mit vielen halboffenen TCP-Verbindungen, sondern es wird eine Vielzahl von Servern mit einer pro Server eher schwachen SYN-Flood vom Angreifer missbraucht, um die so ausgelösten Antworten (SYN-ACK-Pakete) an die vermeintlichen Absender zu schicken. So werden diese Angriffe bei Wikipedia erklärt. Die betroffenen Ziele riskieren sogar, von Netzwerkadmins auf Blacklists zu kommen wegen der gefälschten SYN Requests.

Ablauf von DDoS-Angriffen

Im Fall dieses Angriffs schicken die Hintermänner ein SYN-Paket (das aussieht, als ob es von der Netzwerk-IP-Adresse des Ziels stammt) an eine Reihe von zufälligen oder vorgewählten Reflection-IP-Adressen oder -Diensten. Diese Adressen reagieren auf das gefälschte SYN-Paket mit einem SYN-ACK-Paket, das an das Zielnetzwerk gesendet wird. Reagiert das Netzwerk nicht wie erwartet, so sendet die IP-Adresse das SYN-ACK-Paket erneut, um einen Dreiwege-Handshake zu etablieren, der zur Verstärkung führt. Die Verstärkung hängt von der Anzahl der Wiederholungen durch den Reflection Service ab, die vom Angreifer bestimmt werden kann. Je mehr die Reflection IP die SYN-ACK-Anfragen an das Zielnetzwerk sendet, desto größer wird die Verstärkung.

IP Adressen Spoofing im User Datagram Protocol

UDP ist ein verbindungsloses Protokoll und hat als solches im Gegensatz zu TCP keine Handshake-Phase, in der sich die beiden Endpunkte auf eine Sequenzzahl einigen, die eine Verbindung identifiziert. Das bedeutet, dass, wenn ein Angreifer A ein UDP-Paket mit einer gefälschten Quell-IP-Adresse B an einen Endpunkt C sendet, C keine Möglichkeit hat, zu überprüfen, ob dieses Paket von B oder A kommt.

DDoS-Angriffe über TCP-Reflection sind ungewöhnlich, da einige glauben, dass ein solcher Angriff nicht in der Lage ist, genügend Traffic so weit zu verstärken, wie es UDP-basierte Reflections können, so die Forschung. Unabhängige Untersuchungen haben jedoch ergeben, dass viele internetfähige Geräte zur Verstärkung bis zu einem Faktor von fast 80.000 missbraucht werden können und bei Bedarf mehr als 5.000 SYN-ACK-Pakete innerhalb von 60 Sekunden erneut übertragen werden.

Schutz vor DDoS- und TCP Reflection-Angriffen

Unternehmen sind gut beraten, ihre Netzwerkaktivitäten regelmäßig zu überwachen und die neusten System-Patches aufzuspielen, um sich vor Risiken im Zusammenhang mit DDoS-Angriffen zu schützen, einschließlich TCP-bezogener bösartiger Aktivitäten. Zur Verhinderung solcher Attacken sind eine vernetzte Verteidigungsstrategie und mehrschichtige Sicherheitsmechanismen wie DDoS-Schutz und Webreputations-Fähigkeiten von essenzieller Bedeutung.

Mithilfe von Network Intrusion Tools wie die von Trend Micro™ Deep Discovery Inspector™ und TippingPoint können Organisationen ihren ankommenden und nach außen gehenden Traffic überwachen. Auch sollten sie prüfen, ob Netzwerk-Provider Anti-Spoofing implementiert haben wie BCP 38 & 84. Damit wird sichergestellt, dass gefälschte Pakete in DDoS Reflection-Angriffen nicht ins Netzwerk kommen. Trend Micro™ Deep Security™ bietet zudem Netzwerksicherheits-Fähigkeiten wie Deep Packet-Inspektion, Intrusion Prevention System (IPS) und eine Host Firewall.