Archiv der Kategorie: Website-Gefährdung

Aktualisierung: Coronavirus in bösartigen Kampagnen

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neue Kampagnen mit Ransomware, betrügerischen Apps sowie Websites mit Fake-Versprechungen.

Update 26. März

Apps

In einer neuen Kampagne verbreiten Cyberkriminelle eine „Informations-App“ zu COVID-19, die angeblich von der Weltgesundheitsorganisation (WHO) stammt. Bleeping Computer berichtet, dass im Rahmen des Angriffs die Domain Name System (DNS)-Einstellungen in D-Link- oder Linksys-Routern gehackt werden, um Browser Alerts von besagter App darstellen zu lassen. Nutzer berichteten, dass sich ihre Browser ohne Interaktion automatisch öffneten und sie in einer Nachricht aufforderten, einen Button anzuklicken, um eine „COVID-19 Inform App“ herunterzuladen. Stattdessen wird der Oski Info Stealer auf das Gerät geladen. Diese Schädlingsvariante kann Browser Cookies, den Verlauf, Bezahlinformationen, gespeicherte Anmeldedaten, Kryptowährungs-Wallets und andere Daten stehlen.

Netwalker Ransomware

Eine neue Phishing-Kampagne verbreitet laut MalwareHunterTeam die Netwalker Ransomware, schreibt Bleeping Computer. Ein Anhang namens CORONAVIRUS.COVID-19.vbs enthält ein eingebettetes Ransomware Executable. Von den Opfern wird ein Lösegeld verlangt, das über eine Tor-Bezahlseite zu entrichten ist.

Sextortion-Betrug

Über eine neue Sextortion-Masche berichtet Sophos. Die Opfer werden per Email darüber informiert, dass der Angreifer alle Passwörter kennt und weitere Details zu dessen persönlichen Aktivitäten. Sollte sich der Betroffene weigern, die verlangten 4.000 $ in Bitcoin innerhalb von 24 Stunden zu zahlen, drohen die Cyberkriminellen, die Familie des Betroffenen mit dem Coronavirus zu infizieren. Es gibt keine Hinweise, ob der Angreifer tatsächlich Zugang zu den Daten hat.

Betrügerische Websites

Sicherheitsforscher fanden zwei Websites, (antivirus-covid19[.]site und corona-antivirus[.]com), die eine App anbieten, die angeblich vor Corona schützen kann. Erstere ist bereits nicht mehr zugänglich, die zweite schon. Die App „Corona Antivirus“ auf den Websites soll das Ergebnis der Forschung von Wissenschaftlern der Harvard Universität sein. Wer die App installiert, infiziert das eigene System mit BlackNET RAT Malware, die dann das System einem Botnet hinzufügt. Über das Botnet können die Hintermänner DDoS-Angriffe starten, Dateien auf das Gerät laden, Skripts ausführen, Screenshots erstellen, Tastaturanschläge aufnehmen, Bitcoin-Wallets stehlen und Browser Cookies sowie Passwörter sammeln.

Schließlich hat Das US-Justizministerium (DOJ) eine einstweilige Verfügung gegen die betrügerische Website coronavirusmedicalkit[.]com eingereicht. Die Website verkauft angeblich von der WHO zugelassene COVID-19-Impfstoffkits. Es sind jedoch noch keine solchen legitimen Coronavirus-Impfstoffe auf dem Markt erhältlich. Die Website verlangt 4,95 $ für die Lieferung. Dafür sollen Nutzer ihre Kreditkartendaten angeben. Die Website ist ebenfalls nicht mehr erreichbar.

Update 20. März:

Italien, eines der vom Virus am schlimmsten betroffenen Länder, wird auch von den Cyberkriminellen nicht verschont. Innerhalb der EMEA-Region steht das Land mit 11.000 Spam- und Malware-Vorfällen auf Platz drei. Die Sicherheitsforscher von Trend Micro entdeckten mehr als 6.000 Spam-Vorfälle in einer neuen Kampagne. Sowohl der Betreff („wichtige Infos zur Coronavirus-Vorsorge“) als auch die Nachricht selbst sind auf Italienisch verfasst. Der Absender verspricht ein Dokument im Anhang, das angeblich von der World Health Organization (WHO) kommt und heruntergeladen werden soll. Das bösartige Dokument enthält einen Trojaner. Die Indicators of Compromise beinhaltet der Originalbeitrag.

Update 16. März

Trend Micro entdeckte eine Email Spam-Kampagne, die chinesische und italienische Anwender zum Ziel hat. Die Erwähnung von Coronavirus im Betreff der chinesischen Variante soll potenzielle Opfer dazu bringen, einen bösartigen Anhang herunterzuladen. Weitere Untersuchungen ergaben, dass die genutzte Payload HawkEye Reborn ist, eine neuere Variante des Information Stealers HawkEye. Die Datei ist ein stark verschleiertes AutoIT-Skript, das zu einer ausführbaren Datei kompiliert wurde.

Im Fall des italienischen Spams wurde der Name der Infektion nicht im Betreff erwähnt sondern befand sich in der URL. Der Betreff bezog sich auf Rechnungen, und der Anhang enthielt Malware, die über die Ausführung eines PowerShell-Befehls eine Datei von einer COVID-19 bezogenen URL herunterlud.

Business Email Compromise (BEC)

Ein Business Email Compromise (BEC)-Angriff, der Coronavirus erwähnt, wurde von Agari Cyber Intelligence Division (ACID) gemeldet. Dahinter steckte Ancient Tortoise, eine cyberkriminelle Gruppe, die bereits von früheren BEC-Vorfällen bekannt ist. Sie kontaktieren zuerst die Buchhaltung eines Unternehmens und fordern eine Liste mit ausstehenden Zahlungen an, um dann die entsprechenden Kunden anzugehen und diese über Änderungen bei Bankverbindung und Zahlungsmethode aufgrund der Coronakrise zu „informieren“.

Malware

Eine interaktive Coronavirus-Karte wurde eingesetzt, um einen Information Stealer zu verbreiten, berichtete Brian Krebs. Die Karte, die die Johns Hopkins Universität erstellt hatte, ist ein interaktives Dashboard, das die Verbreitung des Coronavirus und die davon verursachten Todesfälle in der Welt anzeigt. Dies nutzten russische Mitglieder von Untergrundforen aus, um digitale Corona-Infektions-Kits zu verkaufen, die eine Java-basierte Malware installieren.

Ransomware

Eine neue Ransomware-Variante namens CoronaVirus wurde über eine gefälschte Wise Cleaner-Site verbreitet, die vorgeblich Systemoptimierung anbot, so das MalwareHunterTeam. Opfer luden dabei unwissentlich die Datei WSGSetup.exe von der Site herunter. Besagte Datei dient als Downloader für zwei Arten von Malware: die CoronaVirus Ransomware und ein Trojaner namens Kpot, der Passwörter stiehlt. Diese Kampagne folgt dem Trend, nicht allein Daten zu verschlüsseln, sondern auch Informationen zu stehlen.

Eine mobile Ransomware namens CovidLock kommt über eine bösartige Android App, die vorgeblich dabei hilft, COVID-19-Infizierte auszumachen. Die Ransomware sperrt die Smartphones ihrer Opfer und verlangt innerhalb von 48 Stunden ein Lösegeld von 100 $ in Bitcoin. Die Hintermänner drohen auch mit dem Löschen der Daten auf dem Telefon und der Veröffentlichung von Social-Media-Kontoinformationen.

Coronavirus-bezogene Angriffe in den verschiedenen Regionen der Welt

Trend Micro-Forscher haben die Coronavirus-bezogene Malware und die Spam-Angriffe im ersten Quartal 2020 (von Januar bis heute) auf Anwender weltweit analysiert und sie nach Regionen bewertet – Asia Pacific Region (APAC), Lateinamerika (LAR), Nordamerika (NABU) und Europa, Mittlerer Osten & Afrika Region (EMEA).

Die Daten stammen aus dem Smart Protection Network und wurden auf Basis heuristischer Muster zusammengestellt. Die Anzahl des Spam entspricht den Spam-Mails mit dem Wort „coronavirus” im Betreff. Die Zählung der Malware besteht hauptsächlich aus den mitgelieferten Malware-Dateien.

Bild 1. Weltweite Coronavirus-bezogene Malware- und Spam-Angriffe in Q1 2020

Die Grafik zeigt, dass bei den Anwendern in der EMEA-Region mit etwa 130.000 jeweils für Malware und Spam die meisten Angriffe zu verzeichnen waren. Es zeigt sich, dass in der EMEA-Region auf die Anwender in Großbritannien etwa ein Drittel aller Malware- und Spam-Angriffe (jeweils 41.000) der Region entfielen, gefolgt von Frankreich mit fast 24.000 Malware- und ca. 23.000 Spam-Angriffen.

Spam

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang, so auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 2. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Liefervorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferungsdatum enthalten. Im folgenden Beispiel etwa soll der Anhang Einzelheiten über ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 3. COVID-19 -bezogene Spam-Email mit dem Thema verspäteter Liefertermin

Andere Spam-Mails waren in Italienisch oder Portugiesisch verfasst.

Malware-Dateien

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Eine entsprechende Liste umfasst der Originalbeitrag.

Andere Sicherheitsforscher fanden Coronavirus-Landkarten und -Dashboards, die von Cyberkriminellen missbraucht werden. Forscher von Reason Labs fanden gefälschte Websites, die zum Herunterladen und Installieren von Malware führen. Eine Liste der heruntergeladenen Malware finden Sie im Originalbeitrag.

Domänen

Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Fehlkonfigurierter AWS Cloud-Speicher: Daten von britischen Pendlern exponiert

Originalartikel von Trend Micro

Daten von britischen Pendlern, die das kostenlose WLAN in von Network Rail gemanagten Bahnhöfen (darunter London Bridge, Chelmsford, Colchester, Harlow Mill, Wickford, und Waltham Cross) nutzen, wurden aufgrund eines ungesicherten Cloud-Speichers von Amazon Web Services (AWS) unbeabsichtigt öffentlich einsehbar. Dies berichtet der Sicherheitsforscher Jeremy Fowler. Zu den exponierten Daten gehören solche zu Reisegewohnheiten der Pendler und Kontaktinformationen wie Email-Adressen oder Geburtsdaten. Ungefähr 10.000 Benutzer waren betroffen. Der Forscher entdeckte die Datenbank im Internet und stellte fest, dass sie nicht passwortgeschützt war. Die ungesicherte Datenbank könnte einen sekundären Einstiegspunkt für eine Malware-Infektion darstellen, so der Sicherheitsexperte.

Die undichte Stelle wurde dem WLAN-Provider C3UK gemeldet. Dieser erklärte, er sei der Meinung gewesen, der Speicher sei nur für ihn und das Sicherheitsteam zugänglich, und er wusste nicht, dass die Informationen öffentlich einsehbar wurden.

Die Firma hat inzwischen die exponierte Datenbank gesichert und behauptet, es handele sich dabei um eine Sicherungskopie der eigentlichen Datenbank. Der Anbieter gab auch bekannt, das Büro des britischen Datenschutzbeauftragten (Information Commissioner’s Office, ICO) nicht über den Vorfall zu informieren, da die exponierten Daten weder gestohlen wurden, noch hätten Dritte darauf zugegriffen.

Sicherheit für Cloud-Speicher

Die Risiken, die von ungesicherten Daten ausgehen, machen deutlich, wie wichtig es ist, die Compliance zu den Vorschriften zum Schutz der Daten und der Privatsphäre zu gewährleisten, so wie es die Datenschutz-Grundverordnung (DSGVO), der Datensicherheitsstandard der Zahlungskartenindustrie (PCI-DSS) und der Health Insurance Portability and Accountability Act (HIPAA) vorgeben. Diese Vorschriften fordern von den Unternehmen eine adäquate Sicherung von persönlich identifizierbaren Informationen, wobei jede Verletzung von Compliance-Anforderungen zu einer Geldstrafe führen kann.

Um Cloud-Speicherplattformen bestmöglichst zu schützen, sollten Unternehmen Best Practices für die stärkere Kontrolle der Authentifizierung und des Identitäts- und Zugriffsmanagements umsetzen. Zudem ist eine sorgfältige Konfiguration der Sicherheitseinstellungen von zentraler Bedeutung.

Zusätzlich unterstützen Sicherheitslösungen, die speziell für Cloud-Umgebungen konzipiert sind, Unternehmen beim Schutz ihrer Daten. Trend Micro Cloud One™ Cloud Conformity Security ist darauf ausgerichtet, Sicherheit für die Cloud-Infrastruktur in Echtzeit zu gewährleisten. Zudem unterstützt sie durch die Automatisierung von Sicherheits- und Konformitätsprüfungen Unternehmen bei der Einhaltung von Vorschriften wie DSGVO, PCI-DSS, HIPAA und bei der Umsetzung der branchenüblichen Best Practices für Cloud-Plattformen und -Dienste. Auch bietet die Lösung vollständige Transparenz, ein vereinfachtes Reporting und nahtlose Workflow-Integration.

Der Einsatz weiterer Lösungen für die Cloud fügt eine zusätzliche Schutzschicht hinzu. Trend Micro™ Cloud One™ File Storage Security sichert Cloud-Datei- und Objekt-Storage. Trend Micro™ Hybrid Cloud Security sichert hybride Umgebungen für physische, virtuelle und Cloud-Workloads. Trend Micro™ Deep Security™ for Cloud dient der proaktiven Erkennung auch von unbekannten Bedrohungen, während Trend Micro™ Deep Security as a Service speziell auf den Schutz von AWS, Azure und VMware-Systemen ausgerichtet ist.

Sicher arbeiten im Home Office

von Udo Schneider, Security Evangelist DACH

Um ihre Mitarbeiter vor einer möglichen Ansteckung mit dem neuartigen Coronavirus zu schützen, ermöglichen immer mehr Unternehmen das Arbeiten von zu Hause aus – oder ordnen dies sogar an. Gerade für Unternehmen, die eine solche Regelung erstmalig einführen, vergrößert sich dadurch jedoch auch die Angriffsoberfläche für Cyber-Attacken. Trend Micro warnte bereits in seinen Sicherheitsvorhersagen für das Jahr 2019 vor der wachsenden Gefahr durch Home-Office-Modelle.

Damit der Schutz vor biologischen Gefahren nicht durch erhöhte Anfälligkeit für digitale Bedrohungen erkauft wird, sollten Unternehmen eine Reihe von Vorsichtsmaßnahmen ergreifen, nicht nur technischer sondern auch juristischer Natur:

  • Alle Geräte, von denen Nutzer auf Unternehmensressourcen zugreifen, sollten durch regelmäßige Updates und Patches auf dem aktuellen Stand gehalten werden. Zudem ist es zu empfehlen, diese mit einer zeitgemäßen Endpunkt-Sicherheitslösung vor Cyberangriffen zu schützen.
  • Nutzer sollten auf alle Unternehmensdaten (inklusive E-Mail-Zugang) nur über ein gesichertes Virtuelles Privates Netzwerk (VPN) zugreifen. Mittels Zweifaktor-Authentifizierung lässt sich der Zugang zusätzlich schützen.
  • Cloud-Lösungen wie Office 365, G-Suite oder Dropbox ermöglichen eine einfachere Zusammenarbeit von Mitarbeitern an verschiedenen Standorten oder im Home Office. Leider stellen sie auch ein beliebtes Ziel für Cyberangriffe dar und sollten deshalb mit zusätzlichen Sicherheitslösungen geschützt werden.
  • Der Router spielt im Heimnetzwerk eine zentrale Rolle, da der komplette Netzwerkverkehr über ihn abgewickelt wird. Nutzer müssen deshalb darauf achten, auch ihren Router stets auf dem aktuellen Firmware-Stand zu halten und ihn mit eigenen Schutzfunktionen auszustatten. Dasselbe gilt für andere Geräte mit Netzwerkanbindung wie Multifunktionsdrucker, Netzwerkspeicher (NAS-Systeme) und Smart Speaker. Gerade vor möglichen Angriffsszenarien über vernetzte Lautsprecher hat Trend Micro bereits 2017 gewarnt.
  • Neben technischen Maßnahmen muss die Aufklärung der Mitarbeiter oberste Priorität haben: Cyberkriminelle haben COVID-19 bereits für sich entdeckt und nutzen die Angst vor dem Virus als Köder für Phishing-Angriffe und die Verbreitung von Schadsoftware. Durch Awareness-Schulungen können Mitarbeiter vor solchen Taktiken gewarnt und damit das Risiko eines erfolgreichen Angriffs gesenkt werden.

Weitere Informationen

Wer an weiteren Informationen zum Thema IT-Sicherheit im Home Office interessiert ist, kann sich gern an den Autor Udo Schneider wenden – ein Gespräch findet selbstverständlich „kontaktlos“ per Telefon oder Videokonferenz statt.

IT-Security 2020 – das Wettrennen geht weiter

Von Richard Werner, Business Consultant bei Trend Micro

Das Jahr 2020 ist kaum zwei Monate alt und schon wieder häufen sich die Nachrichten zu Cybervorfällen. Auf der einen Seite gehen Daten im Internet „verloren“, auf der anderen gibt es die üblichen Cyberattacken, bei denen Unternehmen oder Behörden angegriffen werden – oftmals mit schwerwiegenden Folgen. Dabei kommt oftmals modernste Technologie zum Einsatz. Was wir im Cyberbereich erleben, ist im Grunde die Fortsetzung des jahrhundertealten Wettlaufs von Angriff und Verteidigung, nur mit digitalen Mitteln.

Den Zyklus kennen

Eine der wichtigsten Motivationen für die menschliche Weiterentwicklung war schon immer der Wunsch, einen Gegner zu übertrumpfen. So arbeiten auch in der digitalen Welt im Prinzip zwei gegnerische Parteien daran, sich beständig zu optimieren. Auf Seiten der Verteidigung stehen IT-Sicherheitsabteilungen von Unternehmen, die Security-Branche und diverse staatliche Organe wie beispielsweise das BSI. Diese Seite versucht Angriffe und Angriffsmethoden frühzeitig zu erkennen, zu bewerten und abzuwehren. Dies geschieht durch Forschung, Technologieentwicklung sowie Aufklärung und den Einsatz von Abwehrmaßnahmen.

Auf der anderen Seite stehen verschiedene Angreifer. Es handelt sich zum überwiegenden Teil um Cyberkriminelle, jedoch leider finden sich hier auch staatliche Organisationen, die den jeweiligen Feind zu beeinträchtigen suchen. Die Angreifer arbeiten gezielt daran, Sicherheitstechnologien zu umgehen, Angriffe zu verstecken und Schwachstellen in der Architektur und in den Prozessen ihrer Opfer zu finden.

Die Betrachtung der beiden Seiten im Allgemeinen ergibt, dass es im Schnitt eine Art Gleichgewicht der Mächte gibt. Bei genauerer Analyse treten aber Spitzen zutage, wo der Angriff erfolgreicher ist und Schlagzeilen vom Untergang der IT sprechen. Und andererseits gibt es Zeiten, in denen alles ruhig bleibt und IT-Sicherheit nicht mehr im Fokus steht. Dieser Zyklus scheint etwa alle drei bis vier Jahre durchlaufen zu werden und richtet sich tatsächlich danach, in wie weit es den Verteidigern gelingt, erfolgreiche Techniken zu implementieren und damit die Angriffsmodelle zu torpedieren.

Bild 1: Angriffs- und Verteidigungszyklus in der IT-Security

Da es schwierig ist, die Schritte der Gegenseite vorherzusehen, sollte der Zyklus gewissermaßen zweigeteilt betrachtet werden. Beide Teile haben eines gemeinsam: Die Maßnahmen starten in der Regel klein und werden dann immer umfassender. Ein Beispiel der Security-Seite: Besonders innovative Firmen entwickeln eine neue Technik, mit der Angriffe erkannt und verhindert werden können, einige „Early Adopter“ testen diese Technologie, wobei sich ein mehr oder weniger großer Nutzen herausstellt. Natürlich ist dies das Zeichen für die gesamte Branche, die Funktion nachzubauen und zu verbessern oder anzupassen. Zudem setzt in der Regel ein entsprechender Marketing-Hype ein, sodass Nutzer über die neue Technologie bei den Analysten lesen können und auch viele Hersteller gefragt oder ungefragt über die eigene Technologie erzählen. Dann gibt es noch die Newcomer, die nach eigener Meinung genau diese Technologie als Einzige wirklich beherrschen und damit alles andere überflüssig machen. Der Begriff „Next Generation“ ist in diesem Zusammenhang bereits häufig gebraucht worden.

Der positive Effekt dabei: Security-Fachleute und erste Anwender sprechen viel über die neue Technik, sodass immer mehr Unternehmen sich dafür entscheiden (zusätzlich zu bestehender Technik) und dann auch tatsächlich geschützt sind. Als Folge aber stellen Angreifer vermehrt fest, dass ihre bisherigen Methoden nicht mehr wirken und sogar hoch spezialisierte, ausgeklügelte Angriffe fehlschlagen, weil plötzlich die Verteidiger in der Lage sind, diese zu identifizieren.

Schwenk auf die „dunkle Seite“…

Auch unter den Angreifer gibt es Technologieexperten und in einigen Bereichen ein organisiertes Vorgehen. Diese arbeiten dann mit Hochdruck daran, Methoden zu finden, um neue Verteidigungsmechanismen zu umgehen oder die noch ungeschützten Opfer zu identifizieren. Manchen Angreifern stehen dabei nahezu unbegrenzte finanzielle und personelle Mittel zur Verfügung. Die Bösen erarbeiten zunächst neue Angriffsschemen und testen diese vereinzelt, um Mängel auszumerzen und die Qualität zu verbessern. Anschließend starten die ersten Angriffswellen, und in der Regel finden sich recht schnell Nachahmer, oder die Technik wird sogar verkauft und verbreitet. Neben der Möglichkeit, damit Geld zu verdienen, ist es auch taktisch interessant, wenn viele Angreifer gleichzeitig agieren. Dies kann die Verteidiger überlasten und dafür sorgen, dass hochgradig gezielte Taten sozusagen im Strom untergehen und unerkannt bleiben.

Den Kreislauf durchbrechen oder verzögern

Verteidiger müssen sich über ihre Ziele im Klaren sein: Geht es darum, durch den Einsatz von Schutztechnologie alle Angriffe zu verhindern, so müssen sie immer die „Cutting Edge“ Security-Technologie identifizieren und einsetzen. Das ist äußerst aufwändig und teuer, und es besteht trotzdem noch immer die Möglichkeit, dass die Technologie etwas übersieht.

Die zweite Alternative ist sich bewusst zu machen, dass fast unweigerlich manche Angriffe erfolgreich sein werden. In der Risikobetrachtung jedes Unternehmens sollte dieses Szenario bereits berücksichtigt und Maßnahmen zur Minimierung eines eventuellen Schadens definiert sein. Die Herausforderung besteht darin, dass sowohl die Eintrittswahrscheinlichkeit als auch das Schadenspotenzial eines Cyberangriffs selten neu berechnet wird, da sie im Laufe der Zeit tatsächlich stark schwanken. In Compliance-Anforderungen aber auch durch Versicherungen wird jedoch zunehmend Druck ausgeübt, sich in dieser Hinsicht vorzubereiten — zum einen, weil bei Datenverlust nicht nur die betroffene Firma, sondern auch viele andere Individuen oder Organisationen Schaden erleiden, zum anderen, weil durch die Digitalisierung in Unternehmen die relative Anzahl der Vorfälle stetig zunimmt und auch Versicherungen Fahrlässigkeit nicht belohnen wollen.

Technische Optionen

Bleibt die Frage, wie sich technisch mit der Tatsache umgehen lässt, dass immer mehr Angriffe erfolgreich sind. Die Antwort der Analysten auf diese Frage lautete den letzten zwei Jahren: „Detection & Response“.

Eine logische Abfolge: Versagt der Schutz, wollen Betroffene schnell darüber Bescheid wissen und dann entsprechende Gegenmaßnahmen in die Wege leiten. Doch was einfach klingt, ist in der Realität vieler Unternehmen wesentlich komplexer. Der Einsatz unterschiedlicher Security-Tools und -Teams will koordiniert und abgestimmt sein, die schiere Masse an Einzel-Events interpretiert und bewertet werden. Detection & Response ist deshalb nicht nur eine Ergänzung zu einem bestehenden Konzept, es ist ein neues Konzept, in dem bestehende Strukturen weitergeführt werden können, wenn sie dazu passen.

Lange galt die Devise, je komplexer die Verteidigung eines Unternehmens, desto schwerer haben es die Angreifer. Leider ist mittlerweile das Gegenteil der Fall. Denn hohe Komplexität erschwert es vor allem Verteidigern, Zusammenhänge zu erkennen. Angreifern hingegen reicht ein einzelner Schwachpunkt, der fast immer irgendwo zu finden ist. Für erfolgreiche Detection & Response ist es deshalb wichtig, alle vorhandenen Informationen zu einem Vorfall zu koordinieren, sowohl um zu erkennen, dass es tatsächlich einen Vorfall gegeben hat, als auch zur Durchführung von Gegenmaßnahmen. Je mehr Security-Tools in der Lage sind zusammenzuarbeiten, desto schneller und effektiver kann auf Vorfälle reagiert werden, lassen sich Angriffe eindämmen und zukünftige Attacken verhindern.

Ansatz von Trend Micro

Als Security-Anbieter mit über 30-jähriger Erfahrung ist Trend Micro das Konzept der raschen Reaktion auch auf erfolgreiche Angriffe bekannt. Vor knapp zehn Jahren wurde dazu die „Connected Threat Defense“ (CTD)-Strategie definiert, mit der es gelang, erfolgreiche Angriffe zu erkennen und aufzuhalten. Wie in der IT-Security üblich, entwickelt sich die Technik rasant weiter und so ändern sich auch die Erfordernisse. Die vormals netzwerkzentrierte CTD muss heute vor allem Endpoints genauer überwachen, da vielfach das Kabel als Medium schlicht wegfällt und im Zusammenspiel zwischen Client und Server eine immer geringere Rolle spielt.

In der Industrie ist das Konzept der Detection & Response zum viel zitierten Schlagwort geworden und wegen des aktuell größten Bedrohungspotenzials eng mit dem Begriff Endpoint verknüpft. Trend Micro erwartet, dass auch Angreifer sich darauf einstellen werden und deshalb andere Bereiche eines Unternehmens für ihre Zwecke ausnutzen können. Hierzu zählen beispielsweise ungeschützte und nicht beachtete IoT-Geräte wie Smart TVs oder Drucker sowie bei einigen Unternehmen auch vernetzte Produktionsanlagen. Auch moderne Workloads wie Container und Serverless Computing werden früher oder später mit einzurechnen sein.

Detection & Response wird sich deshalb dahingehend wandeln, dass auch diese Bereiche bzw. solche, die wir heute noch nicht sehen, zu analysieren sind. Dies wird eng mit der Entwicklung der IT in Unternehmen und den zur Verfügung stehenden Werkzeugen zusammenhängen. Betrachten wir deshalb die obige Schleife aus dem Blickwinkel der aktuellen Security-Landschaft unter Berücksichtigung der in Trend Micros Bedrohungsvorhersagen diskutierten Angreiferaktivitäten:

Bild 2: Neue Angriffsvektoren erfordern flächendeckende Verteidigungsmaßnahmen

XDR

Es lässt sich unschwer feststellen, dass 2020 neue Angriffsvektoren eine Rolle spielen werden, die über ein reines EDR-Szenario nicht abzudecken sind. Die Verteidigungswerkzeuge stehen zwar schon zur Verfügung, es wird jedoch noch dauern, bis sie flächendeckend eingesetzt werden. Trend Micro ist hier einen Schritt voraus und will alle Bereiche möglichst umfassend integrieren. Wir verwenden dafür den Begriff XDR, wobei das X für „Cross“, also bereichsübergreifende Detection & Response-Maßnahmen steht, ebenso wie als Platzhalter für Maßnahmen in allen Bereichen, nicht nur am Endpunkt. Darunter fällt beispielsweise auch Email als aktuell häufigster Angriffsvektor.

Managed Security Services

Klar ist auch, dass Unternehmen trotz aller Technik menschliche Expertise benötigen, um Angriffe zu analysieren und die Effizienz der Technik ständig zu verbessern. Dazu bietet Trend Micro die direkte Unterstützung durch seinen Dienst „Managed XDR“ an. Kunden erhalten dadurch Zugriff auf Spezialisten, die in der Lage sind, Vorfälle zu erkennen und zu bewerten. Im Ernstfall beraten diese Experten Kunden über Gegenmaßnahmen.

Nicht zuletzt gilt, was bereits eingangs genannt wurde: Auch wenn durch XDR momentan ein Vorsprung erzeugt werden kann, so wird es vermutlich auch der anderen Seite gelingen, früher oder später dieses Konzept zu umgehen. Durch den Einsatz von Forschungsteams und die Zusammenarbeit mit anderen Verteidigern versucht Trend Micro, diese Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen zu entwickeln. Wir klären darüber in unseren Blogs und Forschungsergebnissen auf, bieten Kunden aber auch die Möglichkeit proaktiv auf die eigenen Bedürfnisse abgestimmte Beratung zu erhalten.

LokiBot gibt sich als bekannter Game Launcher aus

Originalbeitrag von Augusto Remillano II, Mohammed Malubay und Arvin Roi Macaraeg, Threat Analysts

Der Trojaner LokiBot, der vertrauliche Daten wie Passwörter und auch Kryptowährungsinformationen stehlen kann, wird von seinen Hintermännern offenbar weiter entwickelt. Bereits in der Vergangenheit gab es eine Kampagne, die eine Remote Code-Execution-Schwachstelle missbrauchte, um LokiBot über den Windows Installer-Service zu verbreiten. Dabei ging es um eine Lokibot-Variante, die ISO Images einsetzt, sowie eine mit verbessertem Persistenz-Mechanismus via Steganographie. Nun entdeckten die Sicherheitsforscher von Trend Micro, dass LokiBot (Trojan.Win32.LOKI) sich als ein beliebter Game Launcher tarnt, um Nutzer zu überlisten, den Schädling auf ihren Maschinen auszuführen. Die Analyse eines Samples dieser Variante zeigte, dass sie eine seltsame Installationsroutine einsetzt, die eine compilierte C#-Codedatei ablegt. Diese ungewöhnliche Variante mit einer „Compile after Delivery“-Technik zur Vermeidung seiner Entdeckung wurde mithilfe der maschinellen Lernfähigkeiten in den Trend Micro-Lösungen proaktiv erkannt und geblockt.

Die Infektion startet mit einer Datei, die vorgibt, der Installer im Epic Games-Store (Entwicklungsfirma von Spielen wie Fortnite) zu sein. Am Ende der Infektionskette wird die LokiBot-Payload ausgeführt. Wie die meisten aktiven Infostealer zeigen die Weiterentwicklungen bei den Installations- und Verschleierungsmechanismen, dass LokiBot seine Aktivitäten nicht so bald einstellen wird. Technische Einzelheiten des Angriffs sowie die Indicators of Compromise umfasst der Originalbeitrag.

Trend Micro-Lösungen

Trend Micro™ Deep Discovery™ bietet Erkennung, tiefgehende Analyse und proaktive Reaktionen auf Angriffe mit Exploits und ähnlichen Bedrohungen. Dafür setzt die Lösung spezielle Engines, nutzerkonfiguriertes Sandboxing und eine nahtlose Korrelation-über den gesamten Lebenszyklus des Angriffs ein. Unterstützt wird sie durch Trend Micro XGen™ Security mit einer generationsübergreifenden Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Prognose 2020: Die Risiken durch Supply Chain-Angriffe werden vorherrschen

Es ist kein Geheimnis, dass der Erfolg moderner Unternehmen zu einem guten Teil von ihren Lieferketten abhängt. Ein durchschnittliches Unternehmen unterhält möglicherweise hunderte unterschiedliche Partnerschaften – von solchen mit professionellen Service-Organisationen bis zu Software Providern und Transportunternehmen. Doch diese Partner können ein zusätzliches Risiko für das Unternehmen bedeuten, vor allem im Cyberbereich. In den aktuellen Vorhersagen für 2020 hebt Trend Micro einige der Schlüsselbereiche hervor, die für Organisationen gefährlich werden können. Dazu gehören die Partnerschaften mit Cloud- und Managed Service Providern (MSP), neue DevOps-Abhängigkeiten und Risiken für die Supply Chain im Zusammenhang mit den involvierten mobilen Mitarbeitern.

Ein neuer Aspekt eines bestehenden Risikos

Cyber-Supply Chain-Risiken per se sind nicht neu. Die berüchtigten NotPetya Ransomware-Angriffe von 2017 beispielsweise starteten über die Software Supply Chain, während Operation Cloud Hopper eine Angriffskampagne darstellte, die globale Unternehmen über deren MSPs attackierte.

Das Risiko infolge der Bedrohung kommt zu einem großen Teil durch die Veränderungen der Arbeitsweise im Unternehmen. Die digitale Transformation wird von vielen als ein wesentlicher Treiber für das Unternehmenswachstum gesehen, der es den Unternehmen ermöglicht, flexibel auf sich ändernde Marktanforderungen zu reagieren. In der Praxis bedeutet dies, dass Cloud und DevOps in den IT-Abteilungen des kommenden Jahrzehnts zunehmend im Mittelpunkt stehen.

Mehr Agilität, mehr Risiko?

Wie alle Veränderungen bringen auch diese neuen Risiken, die beachtet werden wollen. Denn die zunehmende Abhängigkeit von Cloud-Drittanbietern weckt bei Angreifern das Interesse für in diesen Konten gespeicherte Daten. Zu ihren Angriffsvektoren gehören etwa Code Injection, Missbrauch von Deserialisierungs-Bugs, Cross-Site Scripting und SQL Injection. Auch werden sie von Lücken profitieren, die durch die Fehlkonfiguration der Konten entstehen und durch die Daten im öffentlichen Internet exponiert werden.

Darüber hinaus werden Cyberkriminelle die Tatsache ausnutzen, dass DevOps-Teams sich auf Drittanbieter-Code in Container-Komponenten und Bibliotheken verlassen. Angreifer werden Microservices- und serverlose Umgebungen kompromittieren. Mit zunehmender Verbreitung dieser Architekturen werden sich auch Angriffe auf diese Architekturen häufen.

Service Provider werden ebenfalls ein steigendes Risiko darstellen, denn sie ermöglichen Angreifern einen viel höheren ROI, weil sie über einen einzigen Anbieter Zugang zu mehreren Kunden erhalten. Solche Bedrohungen gefährden Unternehmens- und Kundendaten und stellen sogar ein Risiko für Smart Factories und andere Umgebungen dar.

Schließlich kommt die Gefahr in der Supply Chain 2020 auch noch aus einer ganz anderen Richtung. Remote und Heimarbeit wird für viele Mitarbeiter zum Alltag, und Hacker werden diese Umgebungen als bequemen Startpunkt für das Eindringen in Unternehmensnetzwerke nutzen. Diese Mitarbeiter müssen als Teil ganzheitlicher Risikomanagement-Strategien für Unternehmen betrachtet werden, unabhängig davon, ob sie sich über nicht gesicherte öffentliche WLAN-Hotspots oder zu Hause anmelden oder ob Fehler im Smart Home Lücken offenlassen.

Empfehlungen für mehr Sicherheit

Auf CISOs kommen durch den rapiden technologischen Wandel harte Zeiten zu. Dabei ist es entscheidend wichtig, Teams mit den geeigneten Tools und Strategien auszustatten, um den Risiken durch Drittanbieter und anderen Bedrohungen zu begegnen. Die Sicherheitsforscher geben folgende Empfehlungen aus:

  • Verbesserung der Sorgfaltspflicht von Cloud-Anbietern und anderen Service Providern,
  • Durchführung regelmäßiger Schwachstellen- und Risikobewertungen auch für die Software von Drittparteien.
  • Investitionen in Sicherheitstools zur Überprüfung auf Schwachstellen und Malware in Komponenten von Drittanbietern
  • Einsatz von Cloud Security Posture Management (CSPM)-Tools, um das Risiko von Fehlkonfigurationen zu minimieren.
  • Überprüfen der Sicherheitsrichtlinien für Home- und Remote-Mitarbeiter.

Kampagne mit hochgradig verschleiertem Exploit Kit

Originalbeitrag von William Gamazo Sanchez and Joseph C. Chen

Im November 2019 veröffentlichte Trend Micro im eigenen Blog die Analyse eines Exploit Kit namens Capesand, das Adobe Flash- und Microsoft Internet Explorer-Lücken ausnutzte. Bei der Untersuchung der Indicators of Compromise (IoCs) in den Samples fanden die Sicherheitsforscher einige interessante Merkmale: vor allem nutzten die Samples Verschleierungs-Tools, die sie quasi „unsichtbar“ machten. Mehr als 300 der gefundenen Samples waren kürzlich sehr aktiv und die entsprechende Kampagne ist immer noch am Laufen. Die Forscher benannten sie „KurdishCoder“ nach dem Property-Namen eines Assembly-Moduls in einem der Samples. Das Muster umfasste mehrere Schichten der Verschleierung über eine Kombination zweier Tools: die .NET-Protectors ConfuserEx und Cassandra (CyaX). Die technischen Einzelheiten der Untersuchung der Capessand-Samples liefert der Originalbeitrag.

Bild. Der Infektionsablauf durch Capesand zeigt die Verschleierungsmechanismen

Dieses bestimmte Sample CyaX_Sharp wird über eine angepasste Version von ConfuserEx verschleiert.

Trend Micro-Lösungen

Entscheidend für den Schutz vor einer breiten Vielfalt an Bedrohungen ist ein proaktiver, mehrschichtiger Sicherheitsansatz, der übergreifend das Gateway, Endpoints, Netzwerke und Server mit einschließt. Trend Micro OfficeScan™ mit XGen™-Endpunktesicherheit umfasst  Vulnerability Protection, über die Endpunkte vor bekannten und unbekannten Schwachstellen-Exploits geschützt sind, auch bevor Patches aufgespielt wurden. Die Endpunktelösungen Trend Micro Smart Protection Suites und Worry-Free™ Business Security können Anwender und Unternehmen vor diesen Bedrohungen schützen, weil sie bösartige Dateien sowie die zugehörigen bösartigen URLs erkennen und blockieren.

Indicators of Compromise (IoCs) finden Sie im Originalbeitrag.

DDoS-Angriffe mit TCP-Verstärkung verursachen Netzwerküberlastungen

Während des letzten Monats haben Bedrohungsakteure eine Reihe von Distributed Denial-of-Service (DDoS)-Angriffe gestartet und dafür einen relativ unkonventionellen Ansatz gewählt: TCP Amplification (Verstärkung). Radware beschrieb im eigenen Blog mehrere weltweite Kampagnen mit TCP Reflection-Angriffen, speziell die Variante der SYN-ACK Reflection-Attacken. Dabei geht es nicht allein um die Auslastung eines Servers mit vielen halboffenen TCP-Verbindungen, sondern es wird eine Vielzahl von Servern mit einer pro Server eher schwachen SYN-Flood vom Angreifer missbraucht, um die so ausgelösten Antworten (SYN-ACK-Pakete) an die vermeintlichen Absender zu schicken. So werden diese Angriffe bei Wikipedia erklärt. Die betroffenen Ziele riskieren sogar, von Netzwerkadmins auf Blacklists zu kommen wegen der gefälschten SYN Requests.

Ablauf von DDoS-Angriffen

Im Fall dieses Angriffs schicken die Hintermänner ein SYN-Paket (das aussieht, als ob es von der Netzwerk-IP-Adresse des Ziels stammt) an eine Reihe von zufälligen oder vorgewählten Reflection-IP-Adressen oder -Diensten. Diese Adressen reagieren auf das gefälschte SYN-Paket mit einem SYN-ACK-Paket, das an das Zielnetzwerk gesendet wird. Reagiert das Netzwerk nicht wie erwartet, so sendet die IP-Adresse das SYN-ACK-Paket erneut, um einen Dreiwege-Handshake zu etablieren, der zur Verstärkung führt. Die Verstärkung hängt von der Anzahl der Wiederholungen durch den Reflection Service ab, die vom Angreifer bestimmt werden kann. Je mehr die Reflection IP die SYN-ACK-Anfragen an das Zielnetzwerk sendet, desto größer wird die Verstärkung.

IP Adressen Spoofing im User Datagram Protocol

UDP ist ein verbindungsloses Protokoll und hat als solches im Gegensatz zu TCP keine Handshake-Phase, in der sich die beiden Endpunkte auf eine Sequenzzahl einigen, die eine Verbindung identifiziert. Das bedeutet, dass, wenn ein Angreifer A ein UDP-Paket mit einer gefälschten Quell-IP-Adresse B an einen Endpunkt C sendet, C keine Möglichkeit hat, zu überprüfen, ob dieses Paket von B oder A kommt.

DDoS-Angriffe über TCP-Reflection sind ungewöhnlich, da einige glauben, dass ein solcher Angriff nicht in der Lage ist, genügend Traffic so weit zu verstärken, wie es UDP-basierte Reflections können, so die Forschung. Unabhängige Untersuchungen haben jedoch ergeben, dass viele internetfähige Geräte zur Verstärkung bis zu einem Faktor von fast 80.000 missbraucht werden können und bei Bedarf mehr als 5.000 SYN-ACK-Pakete innerhalb von 60 Sekunden erneut übertragen werden.

Schutz vor DDoS- und TCP Reflection-Angriffen

Unternehmen sind gut beraten, ihre Netzwerkaktivitäten regelmäßig zu überwachen und die neusten System-Patches aufzuspielen, um sich vor Risiken im Zusammenhang mit DDoS-Angriffen zu schützen, einschließlich TCP-bezogener bösartiger Aktivitäten. Zur Verhinderung solcher Attacken sind eine vernetzte Verteidigungsstrategie und mehrschichtige Sicherheitsmechanismen wie DDoS-Schutz und Webreputations-Fähigkeiten von essenzieller Bedeutung.

Mithilfe von Network Intrusion Tools wie die von Trend Micro™ Deep Discovery Inspector™ und TippingPoint können Organisationen ihren ankommenden und nach außen gehenden Traffic überwachen. Auch sollten sie prüfen, ob Netzwerk-Provider Anti-Spoofing implementiert haben wie BCP 38 & 84. Damit wird sichergestellt, dass gefälschte Pakete in DDoS Reflection-Angriffen nicht ins Netzwerk kommen. Trend Micro™ Deep Security™ bietet zudem Netzwerksicherheits-Fähigkeiten wie Deep Packet-Inspektion, Intrusion Prevention System (IPS) und eine Host Firewall.