Schlagwort-Archive: Angriff

Microsoft veröffentlicht Advisory zu Zero-Day-Lücke, einschließlich Workaround

Originalbeitrag von Trend Micro

Vor ein paar Tagen veröffentlichte Microsoft ein Advisory (ADV200001) als Warnung vor CVE-2020-0674. Es geht um eine Remote Code Execution (RCE)-Schwachstelle im Zusammenhang mit dem Internet Explorer (IE). Einen Patch gibt es derzeit noch nicht, wobei Microsoft zugegebenermaßen um die Angriffe über diese Lücke weiß. Der Fehler betrifft alle Windows Desktop- und Serverversionen.

Bei CVE-2020-0674 geht es um die Art, wie die Scripting Engine mit Objekten im Hauptspeicher in IE umgeht. Angreifer können die Schwachstelle ausnutzen, um die Memory zu beschädigen, sodass sie beliebigen Code in der Umgebung des aktuellen Nutzers ausführen können. Dies wiederum kann dazu führen, dass der Cyberkriminelle administrative Rechte erlangt, wenn der Nutzer als Admin angemeldet ist. So kann er potenziell neue Konten einrichten, Daten modifizieren oder gar Anwendungen installieren.

Bei einem Angriff kann ein Bedrohungsakteur eine spezielle Website erstellen, um die Schwachstelle auszunutzen. Benutzer können dann über Social Engineering-Techniken wie z.B. Email mit eingebetteten Links zum Besuch dieser Website verleitet werden.

Empfehlungen für einen Workaround

Microsoft hat einen Workaround veröffentlicht, der den Zugang zu Jscript.dll einschränkt:

Die Anwender von 32-Bit-Systemen sollten als Administrator den folgenden Befehl eingeben:

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Die Anwender von 64-Bit-Systemen wiederum geben den folgenden Befehl ein:

takeown /f %windir%\syswow64\jscript.dll

    cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Microsoft merkt aber auch an, dass der Workaround zu möglicherweise zu einer reduzierten Funktionalität für die Komponenten und Fähigkeiten bezüglich jscript.dll führen kann. Deshalb ist es ratsam, den Workaround wieder rückgängig zu machen, sobald der Patch vorhanden ist und aufgespielt werden soll. Die folgenden Befehle sind dafür nötig:

Für 32-Bit-Systeme

    cacls %windir%\system32\jscript.dll /E /R everyone   

Für 64-32-Bit-Systeme

cacls %windir%\system32\jscript.dll /E /R everyone   

    cacls %windir%\syswow64\jscript.dll /E /R everyone

Empfehlungen

Da CVE-2020-0674 bereits aktiv ausgenutzt wird, empfiehlt es sich, den Patch zur Behebung des Fehlers anzuwenden, sobald er verfügbar ist. Darüber hinaus kann die Umsetzung des Workarounds während des Wartens auf das Update Angreifer daran hindern, auf anfällige Systeme zu zielen. Eine andere Möglichkeit besteht darin, die den IE über Netzwerkverkehrsblockierung oder Gruppenrichtlinien auszuschalten, bis ein Update kommt. Bei dieser Option gilt es zu bedenken, dass einige Anwendungen oder Websites den Internet Explorer integriert haben könnten und dass diese möglicherweise nicht funktionieren, wenn der Internet Explorer blockiert wird.

Angesichts des Einsatzes bösartiger Websites als Teil der Ausbeutungsroutine der Schwachstelle sollten Unternehmen sicherstellen, dass ihre Mitarbeiter über Phishing-Angriffe ausreichend aufgeklärt werden, während einzelne Benutzer zur Vorsicht beim Anklicken von Links, insbesondere von solchen, die in einer verdächtigen Email-Nachricht eingebettet sind, ermahnt werden.

Smart Factory Honeypot zeigt mögliche ICS-Angriffe

Originalbeitrag von Ian Heritage

Die Welt wird immer smarter, und dazu gehören auch Fabriken und Industrieanlagen, die mit Internet-of-Things (IoT)-Systemen vernetzt werden, um so die Geschäftsprozesse zu verschlanken und die Produktivität zu steigern. Aber dieses Rennen um Innovation hat seinen Preis. Infolge der Konvergenz der Betriebstechnik (Operational Technology, OT) mit der IT entstehen Bedrohungen durch veraltete Kommunikationsprotokolle, IT-Silos und Hardware, die nicht für regelmäßiges Patching ausgelegt ist. Geht es um Bedrohungen der Industrie 4.0, so spricht man oft von ausgeklügelten, von Nationalstaaten unterstützten Versuchen, die Stromversorgung zu unterbrechen oder Produktionslinien zu sabotieren. Doch in der Praxis sind „alltägliche“ Angriffe ein größeres, unmittelbares Problem. Doch neben den Schutzmaßnahmen dagegen sollten Unternehmen den defensiven Maßnahmen Vorrang einräumen. Trend Micro hat mithilfe eines Honeypots die Bedrohungen für Smart Factories untersucht.

Honeypots stellen für Sicherheitsforscher eine bewährte Methode dar, um entscheidend wichtige Erkenntnisse über die Gegner zu erhalten. Doch auch die Angreifer sind zu solchen Taktiken fähig, und die White Hats müssen sich besonders anstrengen, um ihre Systeme so zu tarnen, dass sie legitim wirken. Trend Micro präsentierte sich in dem Projekt als kleine industrielle Prototyping-„Boutique“-Beratung, mit sensiblen Projekten für hochspezialisierte Kunden. Zu diesem Zweck erstellten die Forscher eine komplette Website und Social-Media-Profile für die „Mitarbeiter“ der Firma.

Um den Honeypot authentischer erscheinen zu lassen, verwendete das Forscherteam reelle Industrial Control System (ICS)-Hardware und eine Mischung aus physischen Hosts und VMs. Mehrere Programmable Logic Controller (PLCs), Human Machine Interfaces (HMIs), getrennte Roboter- und Engineering-Arbeitsplätze sowie ein Dateiserver vervollständigten die Installation. Als Köder für die Angreifer wurden bestimmte Ports ohne Passwörter offen gelassen, um Dienste wie VNC zu ermöglichen, und Informationen wurden in Pastebin veröffentlicht, um die gefälschte Firma leichter aufzufinden.

Ergebnisse

Der Honeypot wurde in einem Kryptojacking-Angriff kompromittiert, zwei separate Ransomware-Läufe zielten darauf, und der Honeypot wurde für Betrugstricks genutzt – vor allem für das Upgrading von Handykonten der Opfer für den Kauf neuer iPhones und Einlösen von Flugmeilen für Geschenkkarten. Dies gibt einige interessante Einblicke in die Sicherheit der Smart Factory.

Erstens geht es nicht nur um ausgeklügelte, mehrstufige Versuche, Prozesse zu stören und/oder hochsensible Unternehmensinformationen zu stehlen. Diese Angriffe waren ziemlich banal, aber immer noch ausreichend, um vor allem kleineren Organisationen einige bedeutende Probleme zu bereiten.

Zweitens ist klar, dass bewährte Sicherheitsmaßnahmen funktionieren. Selbst die grundlegendsten Sicherheitsmaßnahmen, die die Forscher eingerichtet hatten, hielten Angreifer zunächst davon ab, den Honeypot zu infiltrieren. Erst als sie etwa den VNC-Port öffneten, wurde er mit Kryptowährungs-Malware infiziert.

Daher sind IT-Sicherheitsleiter, die Smart Factory-Umgebungen zu managen haben, gut beraten sicherzustellen, dass sie die Anzahl der von ihnen geöffneten Ports begrenzen und strenge Zugangskontrollrichtlinien nach dem „Prinzip der geringsten Privilegien“ befolgen.

Doch dies ist lediglich der Anfang. Diese Richtlinien sollten mithilfe zuverlässiger Sicherheitslösungen, die speziell für diese Art von Umgebungen entwickelt wurden, verbessert werden. Diese Lösungen schützen vor der Ausnutzung von Schwachstellen und ungesicherter Kommunikationskanäle und bieten zudem Einsichten in OT-Ressourcen.

Sicherheit für die Cloud-vernetzte Welt im Jahr 2020

Originalbeitrag von Ross Baker

Für CISOs war 2019 ein hartes Jahr. Die letzten zwölf Monate fuhren einen neuen Rekord ein bei Datenschutzverletzungen, Cloud-Fehlkonfigurationen und Sicherheitsbedrohungen auf DevOps-Ebene. Angriffe durch Ransomware, dateilose Malware und auch die Bedrohungen durch Business Email Compromise (BEC) nahmen weiterhin zu. Allein Trend Micro blockte in der ersten Hälfte 2019 mehr als 26,8 Mrd. einzigartige Bedrohungen. Die Situation wird sich in diesem Jahr nicht verbessern, und die Verantwortlichen für Cybersicherheit müssen sicherstellen, dass sie mit vertrauenswürdigen Partnern zusammenarbeiten – Anbietern mit einer klaren Zukunftsvision. Während des letzten Jahres hat eine überzeugende Mischung aus Produktinnovation, Übernahmen und die Anerkennung durch unabhängige Branchengremien Trend Micro als einen solchen Partner qualifiziert.

Risiken durch digitale Medien

Wenn es heute um digitale Transformation geht, so heißt das zumeist Cloud-Computing-Systeme. Die Investitionen in Plattformen wie AWS, Azure und andere haben den Unternehmen enorme Vorteile gebracht, denn sie unterstützen Organisationen dabei, skalierbarer, effizienter und agiler zu werden. Cloud-Plattformen geben Entwicklern die Flexibilität, die sie benötigen, um DevOps und Infrastructure-as-Code (IaC)-Initiativen voranzutreiben, um innovative Kundenerlebnisse zu bieten, und die Plattformen mit wenigen Klicks an die Marktanforderungen anzupassen.

Die Kehrseite davon bedeutet aber, dass diese IT-Transformation die Organisationen einer Reihe neuer Risiken ausgesetzt hat. Bei so vielen potenziell lukrativen Kundeninformationen, die in Cloud-Datenbanken liegen, sind sie zu einem Hauptziel für Hacker geworden. Trend Micro prognostiziert für 2020 eine Flut von Angriffen gegen Cloud-Anbieter über das Einschleusen von Code. Des Weiteren werden Schwachstellen in Container- und Microservices-Architekturen auftauchen, viele davon durch die Wiederverwendung von quelloffenen Komponenten. Fast 9 Prozent der 2018 weltweit heruntergeladenen Komponenten enthielten einen Fehler. Recherchen ergaben, dass 30 Prozent davon kritisch waren.

Die Komplexität von Multi- und hybriden Cloud-Systemen erhöht den Druck auf IT-Admins. Wenn so viel auf dem Spiel steht, ist es unvermeidlich, dass dies zu menschlichen Fehlern führt. Fehlkonfigurationen sind im Jahr 2019 zu einer der Hauptnachrichten geworden. Die Untersuchungen von Trend Micro im vergangenen Jahr ergaben auch, dass über die Hälfte der DevOps Teams in globalen Organisationen nicht über die geeigneten Werkzeuge verfügen, um ihre Arbeit richtig machen zu können.

Sicherheit einfach gestalten

Trend Micro will die Kunden bei ihrem Weg durch diese instabile Landschaft zur Seite stehen. Nur ein paar Beispiele dessen, was der japanische Anbieter zum Schutz der Kunden unternimmt:

Cloud Conformity: Die Übernahme dieses führenden Anbieters von Managementlösungen für Cloud-Sicherheit bietet globalen Anwendern dringend benötigte Fähigkeiten für die permanente Überprüfung. Am auffälligsten ist die Fähigkeit von Cloud Conformity, komplexe Cloud-Umgebungen zu durchleuchten und aufzuzeigen, wo Fehlkonfigurationen existieren und einfache Schritte zur Abhilfe zu ergreifen.

SnykTrend Micro arbeitet mit diesem entwicklerorientierten Open-Source-Sicherheitsanbieter zusammen mit dem Ziel, die Risiken von DevOps zu verringern, die sich aus gemeinsam genutztem Code ergeben. Trend Micro Container-Image-Scans zeigen Schwachstellen und Malware in der Software-Build-Pipeline auf, und virtuelles Patching schützt gegen deren Ausnutzung zur Laufzeit. Mit Snyk Applications Security Management können Entwickler diese Fehler in ihrem Code schnell und einfach beheben.

CloudOne: Trend Micro kombiniert alle Cloud-Sicherheitsfähigkeiten in einer schlanken Plattform, und deckt damit CSPM, Anwendungssicherheit, Container-, Workload-, Cloud-Netzwerk- und Dateispeicher-Sicherheit ab. Die Plattform stellt eine automatisierte, flexible, einheitliche Lösung dar, die die Komplexität von modernen hybriden und Multi-Cloud-Umgebungen vereinfacht.

Anerkennung durch Analysten: Kürzlich hat etwa IDC Trend Micro im neuesten „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominanten Leader“ aufgeführt. Trend Micro hält mehr als zwei Fünftel der Marktanteile im SDC Workload-Sicherheitsmarkt, nahezu dreimal so viele wie der nächste Mitbewerber.

Bösartige Apps in Google Play mutmaßlich von SideWinder APT Gruppe

Die Sicherheitsforscher von Trend Micro haben drei bösartige Apps im Google Play Store gefunden, die zusammenarbeiten, um das Gerät ihres Opfers zu infizieren und Nutzerinformationen zu sammeln. Eine der Apps, Camero, nutzt CVE-2019-2215 aus, eine Schwachstelle in Binder (wichtigstes Interprozesskommunikationssystem in Android). Es ist der erste bekannt gewordene aktive Angriff, der die Use-after-Free-Sicherheitslücke missbraucht. Nach weiterer Recherche stellten die Forscher fest, dass die drei Apps wahrscheinlich zum Arsenal der SideWinder-Gruppe gehören. Diese Gruppe ist seit 2012 aktiv und hat bereits Windows-Maschinen in Militäreinrichtungen anvisiert.

Die drei bösartigen Apps geben sich als Foto- und Dateimanager-Tools aus. Zertifikatsinformationen in einer der drei Apps lassen darauf schließen, dass sie seit Mai vergangenen Jahres aktiv sind. Mittlerweile wurden sie aus Google Play entfernt.

Die drei bösartigen Apps

Weitere technische Details liefert der Originalbeitrag.

Schutzlösungen

Trend Micro-Lösungen wie Mobile Security for Android™ (auch in Google Play erhältlich) sind in der Lage, diese Art von Bedrohungen zu erkennen. Nutzer können auch von den mehrschichtigen Sicherheitsfähigkeiten profitieren, die die Daten und die Privatsphäre vor Ransomware, betrügerischen Websites und Identitätsdiebstahl schützen.

Mobile Security for Enterprise wiederum liefert Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites. Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Anwendungssicherheitslücken. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.

Prognose 2020: Die Risiken durch Supply Chain-Angriffe werden vorherrschen

Es ist kein Geheimnis, dass der Erfolg moderner Unternehmen zu einem guten Teil von ihren Lieferketten abhängt. Ein durchschnittliches Unternehmen unterhält möglicherweise hunderte unterschiedliche Partnerschaften – von solchen mit professionellen Service-Organisationen bis zu Software Providern und Transportunternehmen. Doch diese Partner können ein zusätzliches Risiko für das Unternehmen bedeuten, vor allem im Cyberbereich. In den aktuellen Vorhersagen für 2020 hebt Trend Micro einige der Schlüsselbereiche hervor, die für Organisationen gefährlich werden können. Dazu gehören die Partnerschaften mit Cloud- und Managed Service Providern (MSP), neue DevOps-Abhängigkeiten und Risiken für die Supply Chain im Zusammenhang mit den involvierten mobilen Mitarbeitern.

Ein neuer Aspekt eines bestehenden Risikos

Cyber-Supply Chain-Risiken per se sind nicht neu. Die berüchtigten NotPetya Ransomware-Angriffe von 2017 beispielsweise starteten über die Software Supply Chain, während Operation Cloud Hopper eine Angriffskampagne darstellte, die globale Unternehmen über deren MSPs attackierte.

Das Risiko infolge der Bedrohung kommt zu einem großen Teil durch die Veränderungen der Arbeitsweise im Unternehmen. Die digitale Transformation wird von vielen als ein wesentlicher Treiber für das Unternehmenswachstum gesehen, der es den Unternehmen ermöglicht, flexibel auf sich ändernde Marktanforderungen zu reagieren. In der Praxis bedeutet dies, dass Cloud und DevOps in den IT-Abteilungen des kommenden Jahrzehnts zunehmend im Mittelpunkt stehen.

Mehr Agilität, mehr Risiko?

Wie alle Veränderungen bringen auch diese neuen Risiken, die beachtet werden wollen. Denn die zunehmende Abhängigkeit von Cloud-Drittanbietern weckt bei Angreifern das Interesse für in diesen Konten gespeicherte Daten. Zu ihren Angriffsvektoren gehören etwa Code Injection, Missbrauch von Deserialisierungs-Bugs, Cross-Site Scripting und SQL Injection. Auch werden sie von Lücken profitieren, die durch die Fehlkonfiguration der Konten entstehen und durch die Daten im öffentlichen Internet exponiert werden.

Darüber hinaus werden Cyberkriminelle die Tatsache ausnutzen, dass DevOps-Teams sich auf Drittanbieter-Code in Container-Komponenten und Bibliotheken verlassen. Angreifer werden Microservices- und serverlose Umgebungen kompromittieren. Mit zunehmender Verbreitung dieser Architekturen werden sich auch Angriffe auf diese Architekturen häufen.

Service Provider werden ebenfalls ein steigendes Risiko darstellen, denn sie ermöglichen Angreifern einen viel höheren ROI, weil sie über einen einzigen Anbieter Zugang zu mehreren Kunden erhalten. Solche Bedrohungen gefährden Unternehmens- und Kundendaten und stellen sogar ein Risiko für Smart Factories und andere Umgebungen dar.

Schließlich kommt die Gefahr in der Supply Chain 2020 auch noch aus einer ganz anderen Richtung. Remote und Heimarbeit wird für viele Mitarbeiter zum Alltag, und Hacker werden diese Umgebungen als bequemen Startpunkt für das Eindringen in Unternehmensnetzwerke nutzen. Diese Mitarbeiter müssen als Teil ganzheitlicher Risikomanagement-Strategien für Unternehmen betrachtet werden, unabhängig davon, ob sie sich über nicht gesicherte öffentliche WLAN-Hotspots oder zu Hause anmelden oder ob Fehler im Smart Home Lücken offenlassen.

Empfehlungen für mehr Sicherheit

Auf CISOs kommen durch den rapiden technologischen Wandel harte Zeiten zu. Dabei ist es entscheidend wichtig, Teams mit den geeigneten Tools und Strategien auszustatten, um den Risiken durch Drittanbieter und anderen Bedrohungen zu begegnen. Die Sicherheitsforscher geben folgende Empfehlungen aus:

  • Verbesserung der Sorgfaltspflicht von Cloud-Anbietern und anderen Service Providern,
  • Durchführung regelmäßiger Schwachstellen- und Risikobewertungen auch für die Software von Drittparteien.
  • Investitionen in Sicherheitstools zur Überprüfung auf Schwachstellen und Malware in Komponenten von Drittanbietern
  • Einsatz von Cloud Security Posture Management (CSPM)-Tools, um das Risiko von Fehlkonfigurationen zu minimieren.
  • Überprüfen der Sicherheitsrichtlinien für Home- und Remote-Mitarbeiter.

Schwachstelle CVE-2019-11932 noch immer in vielen Apps gefährlich

Originalbeitrag von Lance Jiang und Jesse Chang

Bereits Anfang Oktober wurde CVE-2019-11932, eine Schwachstelle in WhatsApp für Android, bekannt gemacht. Die Lücke erlaubt es Angreifern, mithilfe speziell präparierter GIF-Dateien aus der Ferne Code auszuführen. Sie wurde in der Version 2.19.244 von WhatsApp zwar gepatcht, doch das Problem liegt in der Bibliothek libpl_droidsonroids_gif.so, die zum android-gif-drawable-Package gehört. Auch dieser Fehler wurde behoben und dennoch sind viele Anwendungen immer noch in Gefahr, weil sie die ältere Version nutzen. An technischen Einzelheiten Interessierte finden sie im Originalbeitrag. Sie können auch das Video ansehen, das einen Proof of Concept vorführt:

Eine Recherche der Sicherheitsforscher ergab, dass allein in Google Play mehr als 3.000 Applikationen mit dieser Schwachstelle vorhanden sind. Die Forscher fanden auch in den Stores von Drittanbietern viele ähnliche Apps.

Lösungen

Die Lösungen von Trend Micro wie Trend Micro™ Mobile Security for Android™ können jede bösartige App, die diese Schwachstelle ausnutzt, erkennen. Endanwender profitieren auch von den mehrschichtigen Sicherheitsfähigkeiten, über die die Daten der Gerätebesitzer und deren Vertraulichkeit vor Ransomware, betrügerischen Websites und Identitätsdiebstahl geschützt sind.

Für Unternehmensanwender liefert wiederum Mobile Security for Enterprise Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites. Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Sicherheitslücken in Anwendungen. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.

Von Banking-Trojaner zu Ransomware: erfolgreiche Angriffskaskade

In diesem Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Viele dieser Organisationen setzen keine Cloud-Umgebungen ein und verlassen sich auf Perimeter-Schutz für ihre Inhouse-Datacenter. Eine aktuelle Umfrage des TÜV-Verbands ergab, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Viele große Unternehmen haben das Risiko erkannt und ihre Systeme gesichert. Doch die kleinen und mittelständischen Firmen wie auch öffentliche Einrichtungen (Krankenhäuser etwa) sind am meisten gefährdet. Opfer von Ransomware-Angriffen wurden beispielsweise das Württembergische Staatstheater und die Messe in Stuttgart.

Auch der Bankentrojaner Emotet schlug immer wieder zu, so im Netzwerk der Stadtverwaltung Neustadt am Rübenberge, und das Netz der Heise Gruppe war ebenfalls Ziel des Trojaners. Emotet gerät seit seiner Entdeckung 2014 durch Trend Micro immer wieder in die Schlagzeilen, weil er als einer der „zerstörerischsten“ gilt und permanent weiter entwickelt wird. In nur fünf Jahren schaffte es die Schadsoftware, sich zu einer der berüchtigtsten Cyberbedrohungen zu entwickeln – eine, deren Angriffe Kosten von bis zu 1 Mio. $ für die Wiederherstellung verursachen, so das US-CERT.

Der Erfolg der Gruppe hinter Emotet in ihren Angriffen auf mittelständische Unternehmen liegt zum einen daran, dass laut Expertenmeinung die cyberkriminelle Gruppe mindestens zehn Jahre Erfahrung mit Banking-Malware und Info-Stealern hat, und zum anderen waren ihre Angriffe speziell auf mittelständische Unternehmen zugeschnitten. Dafür setzten sie solide Techniken ein. Die Cyberkriminellen nutzen die gestohlenen Zugangsdaten für weitere Angriffe, verkaufen sie im Untergrund oder setzen auf Ransomware. Nicht jedes Unternehmen oder jede Behörde ist trotz der Verschlüsselung von kritischen Systeme bereit, das geforderte Lösegeld zu zahlen. Zu diesem Vorgehen ist auch dringend zu raten! Auch wenn die Opfer auf die Forderungen eingehen, so ist das noch keine Garantie dafür, dass sie ihre Daten wiederbekommen. Und solange die Kriminellen mit ihrer Erpressung erfolgreich sind, werden sie weitermachen.

Das Angriffsschema wird durch die Implementierung von Trickbot erweitert. Dahinter steht möglicherweise eine zweite Gruppe, die dann übernimmt, oder möglicherweise einfach nur eine andere Abteilung derselben cyberkriminellen Unternehmung ist bzw. zumindest eng damit kollaboriert. Trickbot wird von Emotet nachgeladen und verursacht die eigentlichen Schäden. Trickbot ist ein Info Stealer, sodass die Kriminellen wahrscheinlich Credentials abgreifen und diese zu Geld machen. Auch hier gilt, dass die Hintermänner eine mindestens zehnjährige Karriere aufweisen und ihre Erfahrungen aus früheren Schadsoftware-Kreationen wie Dridex / Fridex / Dyreza einfließen lassen, so die Experten.

Die Trickbot-Kriminellen wiederum arbeiten mit einer Gruppe zusammen, die RYUK (Post-intrusion Ransomware) einsetzt. Diese Gruppe wird dann benachrichtigt, wenn erstere Gruppe die Art von Zielen findet (mittelständische Unternehmen mit flachen Netzwerken), die für RYUK möglicherweise leichte Beute ist. Sie verkaufen den Zugang an RYUK, die dann einige Wochen über laterale Bewegungen im Netzwerk dies auskundschaftet, bis alle Schwachpunkte gefunden sind, Backups entfernt und Sicherheitsmaßnahmen außer Kraft gesetzt wurden und die Kriminellen Kenntnis darüber erlangt haben, wieviel das Unternehmen zahlen kann. Dann erst setzen sie ihre Ransomware zugleich in allen kritischen Services ein – manchmal sogar mit einem zeitgleichen anderen Angriff, um InfoSec abzulenken. Unternehmen stehen dann unter Umständen ohne Backups da, mit kritischen Systemen, die außer Funktion sind, und haben keine andere Wahl, als eine erkleckliche Lösegeldsumme zu zahlen, um den Betrieb — wenn alles gut läuft – wieder aufnehmen zu können. Die drei Gruppen (oder vielleicht eine einzige) wiederholen einfach dieses unglaublich erfolgreiche Angriffsmodell wieder und wieder.

Fazit

Und wenn sich herausstellt, dass ein Angriffsmodell so gut funktioniert, übernehmen natürlich auch andere Gruppen die Angriffsabfolge mit unterschiedlicher Malware wie etwa Lockergoga oder Bitpaymer.

Da Emotet(artige) Angriffe insbesondere auch Email-Daten abgreifen, müssen sich Unternehmen auch mit dem Thema Business Email Compromise (BEC) beschäftigen. Bei der so genannten „Chef-Masche“ geht es um einen Angriff, bei dem sich der Kriminelle als Führungskraft des Opferunternehmens ausgibt und den Mail-Empfänger anweist, eine Finanztransaktion durchzuführen. Zugangsdaten, die sich für BEC eignen, sind vermutlich für Emotet-Akteure für den Weiterverkauf interessant.

Des Weiteren sollten Organisationen auch genauestens analysieren, ob und wenn ja in welchem Maße, Risiken für die eigenen Kunden entstehen. In diesem Zusammenhang ist es wichtig  beispielsweise zu prüfen, ob per Fernwartung Zugang zu anderen Netzen, etc. besteht. All diese Prozesse/Fähigkeiten könnten von Angreifern ausgenutzt werden.

Das Bundesamt für Sicherheit in der Informationstechnik hat einen ausführlichen Ratgeber mit  Maßnahmen zum Schutz vor Emotet und gefährlichen Email-Angriffen allgemein veröffentlicht.

Trend Micro-Lösungen

Da Emotet eine dateilose Bedrohung ist, sind alle Schutzmechanismen, die auf Dateierkennung basieren, als Verteidigung ungeeignet. Zu diesen zählen beispielsweise Pattern (Black- und Whitelist) sowie bestimmte Arten des maschinellem Lernens und auch Sandbox-Verfahren, die nicht so konfiguriert sind wie die Unternehmenssysteme, also z.B. mit und ohne installierter Powershell.

Moderne Sicherheitstools wie Trend Micro ApexOne verwenden deshalb verschiedenste Verfahren um auch mit dieser Art von Problemen umzugehen. So kann beispielsweise der Scanner verhaltensbasierte Analyse bzw. Runtime Machine Learning einsetzen, mit deren Hilfe das System an sich überwacht wird. Da für die weitere Verbreitung der Angreifer vorwiegend Sicherheitslücken ausnützt, sind natürlich auch sämtlich Mechanismen (Tools) relevant, die nicht vorhandene Patches erkennen und ein System auch im Innenverhältnis – also gegen seine direkten Nachbarn – verteidigt mithilfe von Virtual Patching/Vulnerability Protection. Auch eine kundenspezifische Sandbox, die ein Unternehmenssystem täuschend echt nachahmt und wie ein Honeypot funktioniert, kann die Angreifer in die Falle locken.

Bei Angriffen dieser Kategorie sollten Anwender sich allerdings nicht darüber täuschen lassen, dass die kriminellen Profis unter Umständen nur sehr schwache Spuren in den einzelnen Umgebungen hinterlassen. Es ist deshalb auch wichtig, die einzelnen Indikatoren, die auf Clients, Servern und im Netzwerk sichtbar werden, zu korrelieren, um sich ein Bild darüber zu machen, wo der Angriff begonnen und wie er sich danach verbreitet hat und welche System aktuell davon betroffen sind. Für ein solches Gesamtbild reicht ein einzelnes Tool in der Regel nicht aus: Es ist vielmehr eine Frage einer Security Strategie mit zugehörigen Tools.

Trend Micro nennt das X Detection & Response (XDR) für die Expertenanalyse der Datensätze aus den Trend-Micro-Lösungen im Unternehmen. Das „X“ in der Bezeichnung steht für umfangreiche Daten aus verschiedenen Quellen, mit denen versteckte Bedrohungen besser entdeckt werden können. Es geht um neue, integrierte Fähigkeiten für Detection & Response über E-Mail, Netzwerke, Endpunkte, Server und Cloud-Workloads hinweg. Unternehmen erhalten damit umfassenden Überblick über ihren Sicherheitsstatus. Gleichzeitig können sie kleinere Vorfälle aus verschiedenen Sicherheits-Silos miteinander in Verbindung bringen, um komplexe Angriffe zu erkennen, die sonst unentdeckt bleiben würden. Durch die Verbindung von Erkennungen, Telemetriedaten, Prozessdaten und Netzwerk-Metadaten über E-Mail, Netzwerk, Endpunkte und Cloud-Workloads wird die Notwendigkeit manueller Tätigkeiten minimiert. Zudem werden Ereignisse schnell korreliert, die Menschen angesichts der täglichen Flut von Sicherheitswarnungen aus verschiedenen Silos nicht verarbeiten können. Die Ereignisinformationen werden zusätzlich um weitere Daten aus Trend Micros globalem Netzwerk für Bedrohungsinformationen ergänzt und die Erkennung durch spezifische Regeln verfeinert, mit denen Experten die wichtigsten Bedrohungen priorisieren können.

DDoS-Angriffe mit TCP-Verstärkung verursachen Netzwerküberlastungen

Während des letzten Monats haben Bedrohungsakteure eine Reihe von Distributed Denial-of-Service (DDoS)-Angriffe gestartet und dafür einen relativ unkonventionellen Ansatz gewählt: TCP Amplification (Verstärkung). Radware beschrieb im eigenen Blog mehrere weltweite Kampagnen mit TCP Reflection-Angriffen, speziell die Variante der SYN-ACK Reflection-Attacken. Dabei geht es nicht allein um die Auslastung eines Servers mit vielen halboffenen TCP-Verbindungen, sondern es wird eine Vielzahl von Servern mit einer pro Server eher schwachen SYN-Flood vom Angreifer missbraucht, um die so ausgelösten Antworten (SYN-ACK-Pakete) an die vermeintlichen Absender zu schicken. So werden diese Angriffe bei Wikipedia erklärt. Die betroffenen Ziele riskieren sogar, von Netzwerkadmins auf Blacklists zu kommen wegen der gefälschten SYN Requests.

Ablauf von DDoS-Angriffen

Im Fall dieses Angriffs schicken die Hintermänner ein SYN-Paket (das aussieht, als ob es von der Netzwerk-IP-Adresse des Ziels stammt) an eine Reihe von zufälligen oder vorgewählten Reflection-IP-Adressen oder -Diensten. Diese Adressen reagieren auf das gefälschte SYN-Paket mit einem SYN-ACK-Paket, das an das Zielnetzwerk gesendet wird. Reagiert das Netzwerk nicht wie erwartet, so sendet die IP-Adresse das SYN-ACK-Paket erneut, um einen Dreiwege-Handshake zu etablieren, der zur Verstärkung führt. Die Verstärkung hängt von der Anzahl der Wiederholungen durch den Reflection Service ab, die vom Angreifer bestimmt werden kann. Je mehr die Reflection IP die SYN-ACK-Anfragen an das Zielnetzwerk sendet, desto größer wird die Verstärkung.

IP Adressen Spoofing im User Datagram Protocol

UDP ist ein verbindungsloses Protokoll und hat als solches im Gegensatz zu TCP keine Handshake-Phase, in der sich die beiden Endpunkte auf eine Sequenzzahl einigen, die eine Verbindung identifiziert. Das bedeutet, dass, wenn ein Angreifer A ein UDP-Paket mit einer gefälschten Quell-IP-Adresse B an einen Endpunkt C sendet, C keine Möglichkeit hat, zu überprüfen, ob dieses Paket von B oder A kommt.

DDoS-Angriffe über TCP-Reflection sind ungewöhnlich, da einige glauben, dass ein solcher Angriff nicht in der Lage ist, genügend Traffic so weit zu verstärken, wie es UDP-basierte Reflections können, so die Forschung. Unabhängige Untersuchungen haben jedoch ergeben, dass viele internetfähige Geräte zur Verstärkung bis zu einem Faktor von fast 80.000 missbraucht werden können und bei Bedarf mehr als 5.000 SYN-ACK-Pakete innerhalb von 60 Sekunden erneut übertragen werden.

Schutz vor DDoS- und TCP Reflection-Angriffen

Unternehmen sind gut beraten, ihre Netzwerkaktivitäten regelmäßig zu überwachen und die neusten System-Patches aufzuspielen, um sich vor Risiken im Zusammenhang mit DDoS-Angriffen zu schützen, einschließlich TCP-bezogener bösartiger Aktivitäten. Zur Verhinderung solcher Attacken sind eine vernetzte Verteidigungsstrategie und mehrschichtige Sicherheitsmechanismen wie DDoS-Schutz und Webreputations-Fähigkeiten von essenzieller Bedeutung.

Mithilfe von Network Intrusion Tools wie die von Trend Micro™ Deep Discovery Inspector™ und TippingPoint können Organisationen ihren ankommenden und nach außen gehenden Traffic überwachen. Auch sollten sie prüfen, ob Netzwerk-Provider Anti-Spoofing implementiert haben wie BCP 38 & 84. Damit wird sichergestellt, dass gefälschte Pakete in DDoS Reflection-Angriffen nicht ins Netzwerk kommen. Trend Micro™ Deep Security™ bietet zudem Netzwerksicherheits-Fähigkeiten wie Deep Packet-Inspektion, Intrusion Prevention System (IPS) und eine Host Firewall.

Erste Schritte zur effizienten IoT-Gerätesicherheit

Städte, Büros und Häuser werden immer smarter. Eine neue Studie von Gartner schätzt, dass 2020 5,8 Mrd. Endpunkte in Unternehmens- und Automotive-IoT im Einsatz sein werden. Dank solcher Geräte sind tagtägliche Aufgaben und die Produktion zweifellos einfacher geworden. Doch welche Risiken gehen mit den neuen Technologien einher? Denn die Geräte werden an kritische Infrastrukturen angeschlossen, in wichtige betriebliche Aufgaben einbezogen, und enthalten auch kritische Daten. Gleichzeitig müssen sie gesichert werden.

IoT Hacks und Schwachstellen 2019

Es ist ungleich schwieriger, IoT-Geräte zu sichern als Laptops oder ein Mobiltelefon, denn viele dieser Geräte sind bei ihrer Entwicklung nicht auf Sicherheit ausgerichtet worden. Doch im Zuge der steigenden Bedrohungen wächst auch der Druck auf die Hersteller, ihre Produkte mit Sicherheitsmechanismen auszustatten. Trotz des breiten industriellen Einsatzes sind viele der Geräte mit veralteteten Systemen versehen, haben nicht gepatchte Schwachstellen und speichern ungesicherte Daten. In typischen Unternehmensumgebungen stellt die zunehmende Vernetzung weit verbreiteter operativer Netzwerke (einschließlich Geräte, Kommunikationskanäle und Anwendungen) eine vielfältige Angriffsfläche für Hacker dar.

IoT-Bedrohungen verbreiten sich immer weiter. Allein in diesem Jahr gab es mehrere kritische Sicherheitsvorfälle in verschiedenen Branchen, von denen Millionen von Geräten betroffen waren.

Weitere Informationen zu den einzelnen Sicherheitsvorfällen liefert der Originalbeitrag.

Fünf Schritte zur IoT-Sicherheit

Im Allgemeinen sind IoT-Geräte sehr unterschiedlich, und die Sicherung hängt auch vom jeweiligen Typ und Modell ab. In einem Bürogebäude kommt eine intelligente Glühbirne von einem anderen Hersteller als der intelligente Drucker, und das gesamte Steuerungssystem, das das Büro umfasst, verfügt über ein eigenes Betriebssystem. Um all diese unterschiedlichen IoT-Geräte effektiv zu sichern, sind ein übergreifender mehrschichtiger Sicherheitsplan und eine ständige Wartung erforderlich.

Beim Aufsetzen von IoT-Geräten bedarf es fünf erster Sicherheitsschritte:

  • Ändern der standardmäßig gesetzten Passwörter und das Anpassen von Sicherheitseinstellungen den jeweiligen Bedürfnissen entsprechend,
  • Deaktivieren aller Fähigkeiten, die nicht benötigt werden,
  • Für Geräte, die Anwendungen von Drittanbietern nutzen, nur legitime von vertrauenswürdigen Anbietern einsetzen,
  • Update der Geräte-Firmware und -anwendungen, damit das Gerät gegen bekannte Sicherheitslücken geschützt ist,
  • Beim Aufsetzen von Anwendungen auf Geräten sollten die erforderlichen Berechtigungen überprüft werden und der Zugriff darauf eingeschränkt werden.

Fünf Schritte zur Absicherung von Netzwerken und Router

In IoT-aktivierten Umgebungen können auch Netzgeräte und Router zum Risiko werden. Ein kompromittiertes IoT-Gerät kann möglicherweise dazu verwendet werden, um Malware auf weitere Geräte in demselben Netzwerk zu verbreiten. Beispielsweise kann ein smarter Drucker dazu verwendet werden, um Bürocomputer und andere smarte Geräte zu infizieren. Auch kompromittierter Router ist in der Lage, Malware an alle damit verbundenen Geräte zu verteilen.

Die folgenden Maßnahmen sind bei der Absicherung von Netzwerken und Routern hilfreich:

  • Mappen und Überwachen aller vernetzten Geräte. Einstellungen, Zugangsdaten, Firmware-Versionen sowie neue Patches sollten einbezogen werden. Dieser Schritt kann helfen zu beurteilen, welche Sicherheitsmaßnahmen zu ergreifen sind und welche Geräte möglicherweise ausgetauscht oder aktualisiert werden müssen.
  • Anwenden von Netzwerksegmentierung. Netzwerksegmentierung kann das Ausbreiten eines Angriffs verhindern und möglicherweise problematische Geräte, die nicht sofort vom Netz genommen werden können, isolieren.
  • Sicherstellen, dass die Netzwerkarchitektur sicher ist. Router sollten mit VLAN oder einer DMZ aufgesetzt sein – Segmentierungs- und Isolationsmechanismen, die eine zusätzliche Sicherheitsschicht für Netze bilden.
  • Befolgen von Best Practices für Router. Aktivieren der Router Firewall, WPS deaktivieren und das WPA2-Sicherheitsprotokoll aktivieren, starke Passwörter für den WLAN-Zugriff sind nur einige davon.
  • Deaktivieren von nicht benötigten Services wie Universal Plug and Play (UPnP). Schlecht konfigurierte Router mit aktivem UPnP sind kürzlich angegriffen worden. Dies zeigt deutlich, dass es wichtig ist, nicht benötigte Fähigkeiten und Services abzuschalten.

Für einen vollständigeren und mehrschichtigen Verteidigungsansatz, können Nutzer den umfassende Schutz etwa von Trend Micro™ Security und Trend Micro™ Internet Security wählen. Diese Lösungen bieten effiziente Schutzmaßnahmen vor Bedrohungen für IoT-Geräte, denn sie können Malware auf Endpoint-Ebene erkennen. Vernetzte Geräte lassen sich auch durch Lösungen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN) schützen, die den Internetverkehr zwischen dem Router und allen vernetzten Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector-Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle auf fortgeschrittene Bedrohungen überwachen.

Pwn2Own Miami – Bringt ICS in den Wettbewerb

Originalbeitrag von Brian Gorenc

Der Pwn2Own-Wettbwerb in Vancouver hat sich in den letzten 12 Jahren immer weiter entwickelt – von der Entdeckung von Sicherheitslücken in Web Browsern bis zu solchen in Virtualisierungssoftware und Unternehmensanwendungen. 2012 kamen Mobilgeräte als Ziel hinzu, und in ein paar Wochen wird es auch um den Versuch der Kompromittierung von drahtlosen Routern, Webkameras und Smart TVs gehen. Im Januar (21. – 23.) 2020 geht Pwn2Own wieder einen Schritt weiter und startet einen dritten Wettbewerb auf der S4 conference in Miami South Beach. Es geht um Industrial Control Systems (ICS) und die dazu gehörigen Protokolle. Ziel der Wettbewerbs ist es, die Plattformen zu härten, indem die entdeckten Schwachstellen verantwortungsvoll offengelegt werden, sodass die Hersteller möglichst schnell Patches dafür zur Verfügung stellen können.
Der Wettbewerb umfasst fünf Kategorien:

– Control Server

– OPC Unified Architecture (OPC UA) Server

– DNP3 Gateway

– Human Machine Interface (HMI) / Operator Workstation

– Engineering Workstation Software (EWS)

Innerhalb einer Kategorie sind mehrere Preise für das Auffinden von Schwachstellen in den Produkten ausgeschrieben. Die Aufgabe ist es zu versuchen, in die exponierten Netzwerkdienste des Ziels vom Laptop des Teilnehmers innerhalb des Wettbewerbsnetzwerks einzudringen.

Kann der Teilnehmer aus der Ferne Code ausführen, so erhält er einen Zusatzbonus für Continuation. Ermöglicht es die Exploit-Payload dem betroffenen Netzwerkdienst/Prozess, den normalen Betrieb nach erfolgreicher Ausnutzung fortzusetzen, erhält der Teilnehmer zusätzliche 5.000 $ und fünf weitere Master of Pwn-Punkte. Dies gilt für nahezu alle Kategorien.

Kategorie: Control Server

Diese Kategorie umfasst Server-Lösungen, die Konnektivität, Monitoring und Kontrolle über verteilte Programmable Logic Controller (PLC)- und andere Feldsysteme bieten. Diese werden oft aufgrund ihrer niedrigeren Kosten öfter als ein DCS eingesetzt und sind auch an Standorten mit einer Vielzahl von Protokollen und Produkten anzutreffen. Ein Angreifer, der einen Kontrollserver übernimmt, könnte den Prozess beliebig verändern und wäre in den Aktivitäten nur durch seine Engineering- und Automatisierungsfähigkeiten eingeschränkt. Zu den Zielen in dieser Kategorie gehören die Steuerungsserver von Iconics und Inductive Automation.

Kategorie: OPC Unified Architecture (OPC UA) Server

Die OPC Unified Architecture (UA) ist eine plattformunabhängige, service-orientierte Architektur, die die gesamte Funktionalität der individuellen OPC Classic-Spezifikationen in ein erweiterbares Framework integriert. OPC UA dient als universelles Übersetzerprotokoll in der ICS-Welt. Es wird von nahezu allen ICS-Produkten für das Versenden von Daten zwischen verteilten Systemen genutzt. OPC UA soll sicherer sein als der Vorgänger DCOM, und seine Beliebtheit nimmt zu. Im Wettbewerb gibt es zwei Produkte: den Unified Automation ANSI C Demo Server und den OPC Foundation OPC UA .NET Standard.

Kategorie: DNP3 Gateway

DNP3 ist ein Set von Kommunikationsprotokollen, die zwischen verschiedenen Komponenten in ICS-Systemen eingesetzt werden. Zur Verfügung steht das Triangle Microworks SCADA Data Gateway. Gelingt es, das Data Gateway zu kompromittieren, könnte dies ein Startpunkt für andere Angriffe innerhalb des ICS darstellen, oder gar das Energiemanagement-System (EMS) stören.

Kategorie: Human Machine Interface (HMI) / Operator Workstation

Das HMI verbindet den Betreiber (Operator) eines ICS mit den verschiedenen Hardware-Komponenten. Wenn ein Angreifer ein HMI übernimmt, so kann er auch verhindern, dass der Betreiber Prozessprobleme im ICS früh genug sieht.

Zur Verfügung steht das Rockwell Automation FactoryTalk View SE und das Schneider Electric EcoStruxure Operator Terminal Expert.

Engineering Workstation Software (EWS)

Ähnlich dem HMI liefert auch die Engineering Workstation Software (EWS) ein lohnendes Ziel für Angreifer. Sie kommuniziert und kann primäre Steuergeräte wie PLCs direkt konfigurieren und kann auch rollenbasierte Mechanismen konfigurieren. Hier geht es um Rockwell Automation Studio 5000 als Zielprodukt.

Master of Pwn

Natürlich wird auch hier ein Master of Pwn gekürt. Dieser bekommt eine coole Trophäe und zusätzliche 65.000 ZDI Punkte. Einzelheiten zu den Regeln bietet der Originalbeitrag und die Regeln für Pwn2Own Miami 2020.

Für die Registration kontaktieren Sie bitte zdi@trendmicro.com.