Schlagwort-Archive: Angriff

Pwn2Own Miami – Bringt ICS in den Wettbewerb

Originalbeitrag von Brian Gorenc

Der Pwn2Own-Wettbwerb in Vancouver hat sich in den letzten 12 Jahren immer weiter entwickelt – von der Entdeckung von Sicherheitslücken in Web Browsern bis zu solchen in Virtualisierungssoftware und Unternehmensanwendungen. 2012 kamen Mobilgeräte als Ziel hinzu, und in ein paar Wochen wird es auch um den Versuch der Kompromittierung von drahtlosen Routern, Webkameras und Smart TVs gehen. Im Januar (21. – 23.) 2020 geht Pwn2Own wieder einen Schritt weiter und startet einen dritten Wettbewerb auf der S4 conference in Miami South Beach. Es geht um Industrial Control Systems (ICS) und die dazu gehörigen Protokolle. Ziel der Wettbewerbs ist es, die Plattformen zu härten, indem die entdeckten Schwachstellen verantwortungsvoll offengelegt werden, sodass die Hersteller möglichst schnell Patches dafür zur Verfügung stellen können.
Der Wettbewerb umfasst fünf Kategorien:

– Control Server

– OPC Unified Architecture (OPC UA) Server

– DNP3 Gateway

– Human Machine Interface (HMI) / Operator Workstation

– Engineering Workstation Software (EWS)

Innerhalb einer Kategorie sind mehrere Preise für das Auffinden von Schwachstellen in den Produkten ausgeschrieben. Die Aufgabe ist es zu versuchen, in die exponierten Netzwerkdienste des Ziels vom Laptop des Teilnehmers innerhalb des Wettbewerbsnetzwerks einzudringen.

Kann der Teilnehmer aus der Ferne Code ausführen, so erhält er einen Zusatzbonus für Continuation. Ermöglicht es die Exploit-Payload dem betroffenen Netzwerkdienst/Prozess, den normalen Betrieb nach erfolgreicher Ausnutzung fortzusetzen, erhält der Teilnehmer zusätzliche 5.000 $ und fünf weitere Master of Pwn-Punkte. Dies gilt für nahezu alle Kategorien.

Kategorie: Control Server

Diese Kategorie umfasst Server-Lösungen, die Konnektivität, Monitoring und Kontrolle über verteilte Programmable Logic Controller (PLC)- und andere Feldsysteme bieten. Diese werden oft aufgrund ihrer niedrigeren Kosten öfter als ein DCS eingesetzt und sind auch an Standorten mit einer Vielzahl von Protokollen und Produkten anzutreffen. Ein Angreifer, der einen Kontrollserver übernimmt, könnte den Prozess beliebig verändern und wäre in den Aktivitäten nur durch seine Engineering- und Automatisierungsfähigkeiten eingeschränkt. Zu den Zielen in dieser Kategorie gehören die Steuerungsserver von Iconics und Inductive Automation.

Kategorie: OPC Unified Architecture (OPC UA) Server

Die OPC Unified Architecture (UA) ist eine plattformunabhängige, service-orientierte Architektur, die die gesamte Funktionalität der individuellen OPC Classic-Spezifikationen in ein erweiterbares Framework integriert. OPC UA dient als universelles Übersetzerprotokoll in der ICS-Welt. Es wird von nahezu allen ICS-Produkten für das Versenden von Daten zwischen verteilten Systemen genutzt. OPC UA soll sicherer sein als der Vorgänger DCOM, und seine Beliebtheit nimmt zu. Im Wettbewerb gibt es zwei Produkte: den Unified Automation ANSI C Demo Server und den OPC Foundation OPC UA .NET Standard.

Kategorie: DNP3 Gateway

DNP3 ist ein Set von Kommunikationsprotokollen, die zwischen verschiedenen Komponenten in ICS-Systemen eingesetzt werden. Zur Verfügung steht das Triangle Microworks SCADA Data Gateway. Gelingt es, das Data Gateway zu kompromittieren, könnte dies ein Startpunkt für andere Angriffe innerhalb des ICS darstellen, oder gar das Energiemanagement-System (EMS) stören.

Kategorie: Human Machine Interface (HMI) / Operator Workstation

Das HMI verbindet den Betreiber (Operator) eines ICS mit den verschiedenen Hardware-Komponenten. Wenn ein Angreifer ein HMI übernimmt, so kann er auch verhindern, dass der Betreiber Prozessprobleme im ICS früh genug sieht.

Zur Verfügung steht das Rockwell Automation FactoryTalk View SE und das Schneider Electric EcoStruxure Operator Terminal Expert.

Engineering Workstation Software (EWS)

Ähnlich dem HMI liefert auch die Engineering Workstation Software (EWS) ein lohnendes Ziel für Angreifer. Sie kommuniziert und kann primäre Steuergeräte wie PLCs direkt konfigurieren und kann auch rollenbasierte Mechanismen konfigurieren. Hier geht es um Rockwell Automation Studio 5000 als Zielprodukt.

Master of Pwn

Natürlich wird auch hier ein Master of Pwn gekürt. Dieser bekommt eine coole Trophäe und zusätzliche 65.000 ZDI Punkte. Einzelheiten zu den Regeln bietet der Originalbeitrag und die Regeln für Pwn2Own Miami 2020.

Für die Registration kontaktieren Sie bitte zdi@trendmicro.com.

Angriffe und Bedrohungen für eSports

Originalartikel von Mayra Rosario Fuentes und Fernando Mercês

eSports hat sich von einem Randgebiet der Unterhaltung in eine hoch lukrative Industrie gewandelt. Steigende Werbeeinnahmen und Sponsoring sorgen für mehr Turniere und damit auch für einen zunehmenden Preistopf. Diese Entwicklung weckt aber auch bei Cyberkriminellen Begehrlichkeiten. Betrugsmittel und Hacks gibt es in Untergrundmärkten in Hülle und Fülle, und sie richten sich an Spieler, die nach einem unfairen Vorteil in Turnieren suchen. Kriminelle Gruppen sind auch dafür bekannt, Distributed Denial of Service (DDoS) und Ransomware-Angriffe, Zero-Day-Exploits, Datendiebstähle und gezielte Malware gewinnbringend einzusetzen. Trend Micro geht davon aus, dass in den nächsten drei Jahren noch mehr Bedrohungen die florierende eSports-Industrie ins Visier nehmen werden. Vor allem vier Bedrohungen erwarten die Sicherheitsforscher in naher Zukunft.

Hardware Hacks

Betrug in eSports-Wettkämpfen ist nicht auf Software-Hacks beschränkt, denn auch die in den Turnieren verwendete Hardware lässt sich manipulieren. Viele professionelle Turniere erlauben es den Spielern, ihre eigene Hardware mitzubringen, so etwa eine Maus und Tastatur – bekannt für Hack-Möglichkeiten. Vor einem Jahr wurde beispielsweise ein Team in einem 15 Mio. $-Turnier disqualifiziert, nachdem die Jury einen der Spieler mit einer programmierbaren Maus erwischt hatte.

Andere Methoden sollen Mechanismen zur Erkennung von Betrug umgehen. So wurde 2018 beispielsweise „Ra1f“ beim Einsatz eines augeklügelten Hardware-Betrugs für Counter-Strike erwischt: Global Offensive konnte die ESEA Anti-Betrugstechnik umgehen. Die technischen Einzelheiten dazu lesen Sie im Originalbeitrag.

Bild 1. PCI Express-Ausrüstung wird für den Betrug genutzt

Bei der Recherche im Untergrund nach erhältlichen Hardware-Hacks fanden die Forscher Hacks, die einen Arduino- oder einen Rubber Ducky USB erforderten. Beide Geräte sind für legitime Zwecke im Einsatz und im Handel leicht erhältlich. Untergrundhändler aber bieten die Hardware mit zusätzlicher Betrugssoftware an, oder auch so modifiziert, dass sie der Entdeckung entgehen können. Eine Website offerierte diese angepasste Hardware für 500 $ aufwärts.

DDoS-Angriffe

DDoS-Angriffe können zu schwerwiegenden Verzögerungen führen, ein kritisches Problem in Wettbewerben, in denen Treffer im Millisekundenbereich über Gewinn und Verlust entscheiden können. Ein DDoS-Angriff kann Reputationsschäden in einem Turnier verursachen oder als Spieltaktik verwendet werden. Ein weiteres Ziel könnte auch Erpressung sein, wobei die Kriminellen Geld von Veranstaltern verlangen, um die Störung zu stoppen.

Für diese Angriffe gibt es bereits eine Vielfalt an Angeboten im Untergrund, so etwa DDoS-Tools, bezahlte Services und sogar Schutzofferten vor DDoS.

Bild 2. Werbung für einen DDoS service in einem Untergrundforum

Da diese Spiele meist live stattfinden, könnten eSports-Organisatoren unter Druck geraten und auf cyberkriminelle Forderungen eingehen, um Störungen zu verhindern oder abzustellen.

Angreifbare Game-Server

Server werden ein beliebtes Ziel für Hacker werden, sind sie doch der Einfallsweg für Spieleunterbrechung und Informationsdiebstahl. Die Sicherheitsforscher scannten mithilfe von Shodan nach Servern für eSports, einschließlich solcher, die von privaten Organisationen und Spielern betriebenen: Sie fanden 219.981 zugängliche Server (bis 25. Juli, 2019).

Server sind von Natur aus online und damit verschiedenen Risiken ausgesetzt. Über Shodan können Cyberkriminelle einfach eine quelloffene, intelligente Suche in verschiedenen geografischen Regionen, Organisationen, über Geräte, Services usw. hinweg durchführen. Die von Shodan gesammelten Software- und Firmware-Informationen helfen, nicht gepatchte Sicherheitslücken in zugänglichen Cyber-Posten zu finden. Interessierte finden eine Aufstellung von Schwachstellen im Originalbeitrag.

Gezielte Malware

Es gab bereits Vorfälle, bei denen Spieler Ziel von Ransomware wurden. 2018 griffen Cyberkriminelle Spieler mit Ransomware an und forderten sie auf, PlayerUnknown’s Battlegrounds (PUBG) zu spielen, um ihre Dateien zu entsperren. Diese Art von Aktivitäten wird zunehmen, weil Turniere und Spieler immer mehr im Rampenlicht stehen und damit zu attraktiven Zielen werden. Die Kriminellen zielen meist auf beliebte Spiele wie Fortnite und Counterstrike und wollen da valide Konten übernehmen, die sie dann im Untergrund anbieten. „Elite“-Konten, also die im Ranking am höchsten stehenden, sind natürlich teurer.

Bild 3. CS:GO-Konten mit „The Global Elite“-Rang kosten 99$

Außerdem kompromittieren die Kriminellen Konten, um Zugriff auf Kreditkartendaten zu erlangen und In-Game-Waren für den Wiederverkauf zu erwerben. Die Forscher gehen davon aus, dass Hacker berühmte Social Media-Accounts bekannter Twitch- und YouTube-Spieler kompromittieren, entweder um Lösegeld zu verlangen oder um sie als Plattform für die Verbreitung einer Botschaft zu nutzen. Cyberkriminelle werden nach Konten mit mehreren Millionen Follower suchen und gezielte Phishing-Angriffe und Malware einsetzen, um diese Konten zu übernehmen.

Sicherheitsempfehlungen

Die eSports-Industrie wird mit der gleichen Art und Schwere von Cyberangriffen zu kämpfen haben, wie die Gaming-Community es bereits tut – allerdings in größerem Umfang. Dies sind Bedrohungen, denen alle an eSports beteiligten Unternehmen ausgesetzt sind. Eine solche Gefährdung kann zu Identitätsdiebstahl, finanziellem Verlust und sogar zu Reputationsschäden führen.

Alle Parteien müssen sich der Online-Sicherheit besser bewusst sein und sicherstellen, dass Profile und Konten sicher aufbewahrt werden. Unternehmen müssen ihr Wissen um die Bedrohungslandschaft von eSports umfassend vertiefen und geeignete Sicherheitslösungen für anspruchsvolle Cyberangriffe bereitstellen.

Die eSports-Industrie ist jedoch nicht unvorbereitet. Gaming-Firmen und Organisatoren suchen ständig, neue Betrugstechniken und -Tools zu erkennen, und bereits jetzt sind zahlreiche Anti-Betrugsdienste verfügbar, die speziell auf den Schutz von eSports und Spielewettbewerben ausgerichtet sind. Weitere Informationen zu den Bedrohungen für eSports finden Sie im Bericht „Cheats, Hacks, and Cyberattacks: Threats to the Esports Industry in 2019 and Beyond”.

Trend Micro und Cloud Conformity gehen fehlerhafte Konfigurationen an

Trend Micro hat sich von Anbeginn der Erfolgsgeschichte der Cloud mit deren Sicherheit beschäftigt. Über Partnerschaften mit Public Cloud Providern liefert der japanische Hersteller über die Deep Security-Plattform eine umfassende Palette an Schutzmöglichkeiten für die unterschiedlichen Umgebungen, von Containern bis zu virtuellen und Cloud-Workloads. Trend Micro ist aber auch bewusst, dass eine der größten Herausforderungen für die Sicherheit von Clouds fehlerhafte Konfigurationen sind. Das ist der Grund, warum Trend Micro Cloud Conformity übernommen hat, einen Anbieter von Cloud Security Posture Management (CSPM), der Fähigkeiten für die Lösung genau dieses Problems mitbringt.

Deep Security

Deep Security ist laut IDC seit zehn Jahren das führende Server-Sicherheitsprodukt bezüglich der  Marktanteile. Die Lösung bietet von einer einzigen Plattform aus automatisierten Schutz über physische, virtuelle und Cloud-Server hinweg und zusätzlich für Container. Deep Security lässt sich zudem eng mit Microsoft Azure, Amazon Web Services und anderen Plattformen integrieren und ist damit optimal für hybride Cloud-Umgebungen geeignet. Zu den Schlüsselfähigkeiten gehören Intrusion Prevention, Anwendungskontrolle, Integritäts-Monitoring, Anti-Malware sowie Sandbox- und Verhaltensanalysen.

Herausforderungen

Doch Cloud-Anwender stehen auch vor anderen Herausforderungen. So stellen Analysten fest, dass an mehr als 90% der Cloud-Sicherheitsvorfälle die Anwender schuld sein werden – und fehlerhafte Konfigurationen von Cloud-Systemen sind der Hauptfaktor. Fast wöchentlich gibt es Berichte über ungesicherte und öffentlich zugängliche Datenspeicher, und das wegen menschlichen Versagens. Unternehmen mit klingenden Namen wie Verizon und FedEx mussten mit den Folgen solcher Unzulänglichkeiten umgehen. Derartige Sicherheitsfehler erlauben es Hackern, kritische Unternehmens- und Kundendaten zu stehlen, die Eigentümer zu erpressen, oder gar zu versuchen, Skimming Code auf die Firmen-Websites hochzuladen.

Um auch dieser Herausforderung die Stirn bieten zu können, hat Trend Micro Cloud Conformity übernommen. Einige Schätzungen gehen davon aus, dass CSPM Cloud-Sicherheitsvorfälle im Zusammenhang mit fehlerhaften Konfigurationen um bis zu 80% mindern kann. Das ist ein überzeugender Beweis für den Wert des Cloud Conformity-Angebots mit kontinuierlichem Monitoring, Warnungen und Wiederherstellung von AWS- und Azure-Umgebungen von einer einzigen Plattform aus.

Die Could Sicherheit Lösung von Cloud Conformity ist bei Trend Micro ab sofort verfügbar.

Neue Sicherheitslücken bedeuten nicht zwangsläufig neue Probleme

von Richard Werner, Business Consultant

Wieder sind zwei neue Sicherheitslücken aufgetaucht, die betroffene Nutzer und Unternehmen vor Herausforderungen stellen werden. Diesmal sind die Microsoft-Browser Edge und Internet Explorer betroffen. Es handelt sich dabei um so genannte Zero Days, denn zum Zeitpunkt der Veröffentlichung war vom Hersteller noch kein Patch verfügbar. Diese Situation kennt nur Verlierer.

Die Situation wäre möglicherweise vermeidbar gewesen, folgt man den Auskünften des Sicherheitsforschers, der diese Lücken entdeckt hat: Er behauptet, Microsoft bereits zehn Monate vor der Veröffentlichung über seine Ergebnisse informiert zu haben. Nun ist der Anbieter eigentlich nicht dafür bekannt, solche Hinweise zu ignorieren. Die Erfahrung zeigt vielmehr, dass dessen Prozesse daraufhin optimiert sind, in solchen Fällen schnell und akkurat zu reagieren. Eine solche Verzögerung mag deshalb durchaus unbeabsichtigt oder zufällig entstanden sein. Das Resultat ist aber leider eine „Lose-Lose-Lose-Situation“.

Lose-Lose-Lose-Situation
Auf der einen Seite steht ein junger Sicherheitsforscher, der sich gezwungen sieht, seine Ergebnisse zu veröffentlichen. Da Millionen Nutzer davon betroffen sind und zu erwarten ist, dass innerhalb der nächsten Wochen bereits Angriffe auf diese Schwachstellen folgen werden, wird er wohl wenig Dank ernten.

Der zweite Verlierer ist Microsoft. Das Unternehmen ist nun gezwungen zu reagieren und erklärt der Öffentlichkeit entweder, warum kein Einschreiten notwendig ist (aus unserer Sicht eher unwahrscheinlich), oder stopft schnellstmöglich diese Lücke. Ein Image-Schaden und deutlicher Mehraufwand werden dabei auf jeden Fall die Folge sein.

Der dritte Verlierer – vermutlich der einzige, auf den es wirklich ankommt – sind die Nutzer. Wahrscheinlich werden sie demnächst einen Patch als Notfallmaßnahme erhalten, den sie sofort installieren müssen. Wir können nur hoffen, dass dem Hersteller genügend Zeit für eine vernünftige Qualitätssicherung bleibt. Zwangsläufig aber wird es ungemütlich, denn Cyberkriminelle haben durch die Offenlegung leider eine Blaupause dafür erhalten, wie sie angreifen können, und haben damit potenziell einen mehrtägigen Vorsprung. Besonders fatal ist, dass die allermeisten Menschen vermutlich überhaupt nichts von dieser Diskussion mitbekommen und solchen Angriffen komplett unvorbereitet gegenüberstehen.

Weiße Märkte
Ironischerweise vollzieht sich dieser Vorfall ziemlich genau zwei Wochen nach Abschluss des weltweit größten Hacking-Wettbewerbs Pwn2Own. Dieser wird von der Trend Micro Zero Day Initiative organisiert, dem weltweit ersten und größten herstellerunabhängigen sogenannten Weißen Markt. Auch hier geht es um Sicherheitslücken und Sicherheitsforscher stellen ihr Können unter Beweis. Und auch hier ist ihnen die Aufmerksamkeit der Szene für einen solchen Hack gewiss. Im Unterschied zu dem genannten Fall werden bei Pwn2Own allerdings für solche Hacks Preisgelder bis hin zu sechsstelligen Beträgen gezahlt. Außerdem sind betroffene Hersteller teilweise mit eigenen Entwicklungsressourcen vor Ort, um die Schwachstellen direkt zu beheben. Nur in den allerseltensten Fällen ignoriert ein Anbieter bei Pwn2Own entdeckte Sicherheitslücken. Dafür gibt es festgelegte Prozesse für eine verantwortungsvolle Veröffentlichung.

Lose-Lose-Lose wird zu Win-Win-Win
Die Weißen Märkte wurden geschaffen, um solche Sicherheitslücken verantwortungsvoll zu schließen. Davon profitieren alle: Die Internetgemeinde wird in der Regel ohne große Verzögerung geschützt. Zudem gibt es keinen Vorlauf für Cyberkriminelle, um einen Zero Day auszunutzen. Auch dem betroffenen Anbieter bleibt in der Regel ein angemessener Zeitraum für die Qualitätssicherung. Durch die 13-jährige Zusammenarbeit mit Herstellern werden ein „versehentliches Übersehen“ oder der Kontakt zu den falschen Ansprechpartnern praktisch ausgeschlossen. Letztendlich profitiert auch der Sicherheitsforscher durch mehr Prestige und ein durchaus nennenswertes Preisgeld. Pwn2Own und ähnliche Veranstaltungen existieren, damit solche unkoordinierten Veröffentlichungen nicht mehr notwendig sind. Schließlich wollen wir alle sichere Software – aber vor allem wollen wir in diesem Zusammenhang gelöste Probleme und nicht nur gute Ratschläge.

kurzfristige Webinare zur aktuellen Cyber-Attacke

Aus aktuellem Anlass führen wir kurzfristig Webinare zur aktuellen Cyber-Attacke durch:

Thursday 29. Juni 2017 at 19 Uhr CET in English
Please click here to register!

Friday 30. June 2017 at 11:00 CET in English
Please click here to register!

Freitag 30. Juni 2017 um 11 Uhr CET in deutscher Sprache
Klicken Sie hier um sich zu registrieren!

Vendredi 30. June 2017 11:00 en français
Enregistrez-vous ici!

Venerdì 30 Giugno, 2017 alle 11:00 CET in italiano
Clicca qui per registrarti!

 

Deutschsprachige Aktualisierung zu WannaCry/Wcry

Dieses Jahr förderte zwei verschiedene Sicherheitsrisiken zutage: CVE-‎2017-0144, eine Sicherheitslücke im SMB-Server, die für eine Remote Code-Ausführung missbraucht werden konnte und im März geschlossen wurde, die andere ist WannaCry/Wcry, eine relativ neue Ransomware-Familie, die Ende April entdeckt wurde. Wurde bislang WannaCry über Dropbox-URLs, die in Mails eingebettet waren verteilt, so verbreiten sich die neuen Varianten jetzt über die vorher entdeckte SMB-Sicherheitslücke. Dies führte zu einem der schwersten Ransomware-Angriffe, der Nutzer weltweit traf.

Die Lösegeldforderung belief sich auf 300 $, die in Bitcoin zu zahlen sind. Dies ist weniger als die Summe, die in früheren Angriffen gefordert wurde. Neben den ursprünglichen Angriffen in Großbritannien, waren letztendlich auch viele Länder massiv betroffen.

Trend Micro erkennt die Varianten in diesem Angriff als RANSOM_WANA.A und RANSOM_WCRY.I. Kunden sind gegen die Bedrohungen bereits geschützt über Predictive Machine Learning und andere Schutzfunktionen in Trend Micro XGen™ Security.

[ACHTUNG: Identifizieren Sie die Lücken in der vorhandenen Endpoint Schutzlösung mithilfe des kostenlosen Trend Micro Machine Learning Assessment Tool.]

Infektionsvektor

Die Sicherheitslücke, die in diesem Angriff ausgenutzt wurde (Codename EternalBlue), gehörte zu denen, die die Shadow Brokers Gruppe mutmaßlich von der National Security Agency (NSA) gestohlen und öffentlich gemacht hatte. Die Sicherheitslücke wurde dazu verwendet, um eine Datei auf einem angreifbaren System abzulegen. Diese Datei wurde dann als Service ausgeführt und verschlüsselte Dateien mit der .WNCRY-Extension. (Eine separate Komponentendatei für das Anzeigen der Lösungsforderung wurde ebenfalls abgelegt.) Es geht um Dateien mit bis zu 166 verschiedenen Extensions, einschließlich solcher, die normalerweise Microsoft Office, Datenbanken, Dateiarchiven, Multimediadateien und verschiedenen Programmiersprachen verwenden.


Bild 1. Infektionsdiagramm


Bild 2. Lösegeldforderung

Feedback aus dem Smart Protection Network zeigt, dass neben Großbritannien Taiwan, Chile und Japan ebenfalls massiv betroffen waren, des weiteren auch Indien und die Vereinigten Staaten.

Die Bedrohung nutzt für die Verbreitung auf andere Systeme die abgelegte Datei, die als Service ausgeführt wird. Der Service nutzt den Namen „Microsoft Security Center (2.0)“. Er scannt nach weiteren SMB-Freigaben im Netzwerk und nutzt die EternalBlue-Sicherheitslücke für die Verbreitung.

Bild 3. Hinzugefügter Service

Wie bereits erwähnt, hat Microsoft die SMBv1-Sicherheitslücke bereits im März geschlossen. Und davor drängte Microsoft im September 2016 die Nutzer dazu, von SMBv1 zu migrieren, da der Server aus den frühen neunziger Jahren stammt. Das US-CERT hatte ähnlich dringliche Empfehlungen ausgesprochen. Unternehmen, die diesen Empfehlungen gefolgt waren, wurden vom Angriff nicht getroffen.

Trend Micro-Lösungen

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware. Die Trend Micro-Lösungen erkennen diese Bedrohungen als RANSOM_WANA.A und RANSOM_WCRY.I.

Trend Micro Deep Security™ und Vulnerability Protection, Trend Micro Deep Discovery Inspector und TippingPoint schützen gegen diese Bedrohung. Eine vollständige Liste mit ensprechenden Regeln und Filtern für die Trend Micro- und TippingPoint-Produkte gibt es auf der Trend Micro Support-Seite.

Folgende SHA256-Hashes gibt es in Bezug auf diese Ransomware:

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

Update vom 13. Mai

 

Android-Schadsoftware MilkyDoor als Nachfolger von DressCode

Originalartikel von Echo Duan and Jason Gu, Mobile Threat Response Engineers

Der Schaden, den mobile Schadsoftware in Unternehmen anrichten kann, wird immer umfassender, denn Mobilgeräte werden zur beliebtesten Plattform für den flexiblen Zugriff und die Verwaltung von Daten. Die Sicherheitsforscher von Trend Micro fanden kürzlich 200 verschiedene Android-Apps (Installationszahlen zwischen 500.000 und einer Million), die einen Backdoor beinhalteten: MilkyDoor (ANDROIDOS_MILKYDOOR.A).
Weiterlesen

Virtual Patching ist jetzt gefragt

Originalbeitrag von Pawan Kinger, Director Deep Security Labs / Re-Blog von blog.trendmicro.de

Nachdem Microsoft drei kürzlich veröffentlichte Sicherheitslücken noch nicht gepatcht hat, rückt der Einsatz von Intrusion Prevention System (IPS) wieder in den Mittelpunkt des Interesses. Dieses virtuelle Patching soll vor vor Angriffen über diese Lücken schützten und ermöglicht es, Systeme so lange abzusichern, bis der Anbieter einen Patch dafür bereitstellt.

Folgende Komponenten waren von den Sicherheitslücken betroffen:

  1. Core SMB Service
  2. Microsoft Internet Explorer und Microsoft Edge
  3. Graphics Device Interface

CVE-2017-0016

Hier handelt es sich um einen Speicherbeschädigungs-Fehler (Memory Corruption) beim Handling des SMB-Verkehrs durch Windows. Um einen solchen Angriff durchzuführen, muss ein Computer oder Nutzer geködert werden, sich mit einem bösartigen SMB-Server zu verbinden. Der Server liefert Pakete, die dann den Computer zum Absturz bringen. Machbarkeits-Exploit-Code für diese Lücke ist bereits öffentlich geworden.

Die Sicherheitslücke erlaubt keine Remote-Ausführung von Code, und die Auswirkungen sind auf eine Denial-of-Service beschränkt. Gegenmaßnahmen könnten folgende sein:

  • Einschränken des nach draußen gehenden Ports 139 und 445,
  • Einsatz von IPS-Schutz.

CVE-2017-0037

Dabei handelt es sich um eine Art „Confusion“-Lücke im Microsoft Internet Explorer und Edge Browser. Um die Schwachstelle auszunützen, muss ein Angreifer einen Nutzer überzeugen, einen bösartigen Weblink anzuklicken. Den Link kann ein potenzielles Opfer über eine Mail, einen Chat oder eingebettet in Dokumente erhalten. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Bei einer Attacke kann der Angreifer mit denselben Privilegien wie der angemeldete Nutzer beliebigen Code ausführen. Folgende Maßnahmen sind nützlich:

  • Einsatz von IPS-Schutz,
  • E-Mail-Filter für Phishing-Angriffe,
  • Web Reputation, um gehostete Skripts zu blocken
  • Reduzieren von Konten mit Administratorrechten

CVE-2017-0038

Die Lücke befindet sich in der Graphics Device Interface (GDI)-Komponente von Windows. GDI wird zum Rendern etwa von Bildern und Fonts auf einem Gerät oder Drucker verwendet. Ein Angreifer müsste einen Nutzer dazu „überreden“, ein Image oder einen Font darzustellen. Diese könnten auch in ein Dokument eingebettet werden. Der Angriff wird über einen Mail-Anhang oder über File-Sharing gestartet. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Die Lücke legt Hauptspeicher offen, sodass vertrauliche Informationen durchgestochen werden. Folgende Maßnahmen sind sinnvoll:

  • Einsatz von IPS-Schutz
  • Schulung von Mitarbeitern, keine Anhänge zu öffnen oder Links, die nicht aus vertrauensvollen Quellen kommen anzuklicken.

Trend Micro Deep Security™ schützt vor diesen Sicherheitslücken. Details zu den Regeln und Veröffentlichungsterminen rund um die Sicherheitslücken liefert die folgende Übersicht.

CVE

Deep Security Rule Release-Datum

Veröffentlichungsdatum

Rule Name

CVE-2017-0016

Feb 2, 2017

Feb 1, 2017

1008138-Microsoft Windows Stack Overflow Remote Code Execution Vulnerability

CVE-2017-0038

Feb 20, 2017

Feb 21, 2017

1008171-Microsoft Windows Graphics Component Information Disclosure Vulnerability (CVE-2017-0038)

CVE-2017-0037

Feb 27, 2017

Feb 25, 2017

1008153-Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2017-0037)

TippingPoint-Kunden sind über die folgenden MainlineDV-Filter geschützt:

  • 26893: SMB: Microsoft Windows mrxsmb20.dll Denial-of-Service Vulnerability
  • 26904: HTTP: Microsoft Windows EMF Parsing Information Disclosure Vulnerability

 

Weiterführende Artikel:

  1. Lektion im Patching: Der Aufstieg der SAMSAM Crypto-Ransomware
  2. Außer der Reihe-Patch für eine weitere Windows Zero-Day-Lücke
  3. Internet Explorer Zero-Day betrifft alle Versionen des Browsers

Das Aufkommen der IoT-Zombies und die Gefahr von Botnets

Originalartikel von Trend Micro

Beim Cyber-Angriff auf die Server DNS-Anbieters Dyn Ende letzten Jahres waren einige bekannte Websites von Unternehmen wie etwa Twitter und Netflix betroffen. Der Übeltäter: Ein Botnet auf Basis des Internet of Things (IoT), das über eine Schadsoftware namens Mirai erzeugt wurde. Es stellt sich die Frage, was man tun kann gegen bösartige Programme wie Mirai und andere, die den ihren Profit aus der wachsenden Zahl von vernetzten Geräten ziehen wollen.

Der Autor von All About Circuits, Robin Mitchell, nannte diese Art der Cyberkriminalität ein „Zombie“-Botnet. Mithilfe des Mirai-Programms konnten böswillige Akteure ein Netzwerk aus Zombie-Geräten von etwa 100.000 verbundenen Objekten erstellen. Dies war möglich, weil die IoT-Geräte über nicht genügend effiziente Sicherheitsprotokolle verfügten, um der Infiltrierung zu entkommen. Auch nutzten diese Objekte wahrscheinlich immer noch ihre Default-Passwörter, die ihnen während der Fertigung gegeben wurden.

Die Analysten des Marktforschungsinstituts Gartner prognostizieren für 2020 20,8 Milliarden verbundene Objekte im IoT, von Thermostaten und Lichtschaltern im smarten Haus bis zu Drohnen, verbundenen Teekannen oder anderen Dingen des Alltags. Haben all diese dieselben Sicherheitslücken wie die vom Dyn-Hack betroffenen, so kann dies katastrophale Auswirkungen haben.

Der Quellcode von Mirai wurde im September 2016 veröffentlicht, und dies hatte ein „Wettrüsten“ zur Folge, denn die Hacker entwickelten neue Varianten der Malware, um auf unsichere IoT-Geräte zuzugreifen.

Einige Botnets sind relativ harmlos. Beispiel dafür ist ein kürzlich entdecktes Netzwerk von gefälschten Twitter-Konten. Darüber wurden zwar nur willkürliche Passagen aus Star Wars verbreitet, doch könnte es eine wertvolle Quelle für die Erforschung von Twitter-Bots sein, so Juan Echeverria von der University College of London, der das Botnet entdeckt hatte. Das Beispiel zeigt auch, wie schwierig es ist, Botnets aufzuspüren, und gibt darüber hinaus einen Vorgeschmack auf die Herausforderungen, die auf Unternehmen zukommen könnten, wenn sie ihre Netzwerke vor Zombie-Geräten schützen müssen.

Wie kann der Schutz aussehen?

Eine der Optionen sind höhere Investitionen in Cyber-Sicherheitsmaßnahmen, um Unternehmensnetzwerke vor Einbrüchen über Malware wie Mirai zu schützen. Gartner schätzt, dass bis 2018 die Ausgaben für IoT-Sicherheit auf 547 Millionen $ steigen werden.

Wenn es um die Sicherheit geht, rücken auch die IoT-Gerätehersteller weiter in den Vordergrund – sie müssen bessere Passwörter für ihre verbundenen Geräte liefern und im Allgemeinen mehr auf die Sicherheitsrisiken achten, die ihre Produkte in sich tragen. Die Sicherheitsforscher von Trend Micro betonen, dass sowohl die Verbraucher als auch die Regulierungsbehörden mehr Druck auf die Hersteller ausüben müssen, damit diese ihre Sicherheitspraktiken verbessern – oder sie werden damit leben müssen, dass sich ihre Produkte nicht verkaufen lassen.

Heimrouter stellen einen weiteren Schlüsselaspekt in der Botnet-Diskussion dar. Den Sicherheitsforschern zufolge ist es von grundlegender Bedeutung diese Geräte gut abzusichern, da sie der Türsteher für alle neuen smarten Heimtechniken sind. Gelingt es Hackern, sie in Zombies zu verwandeln, haben sie die Kontrolle über das smarte Haus.

„Der Einsatz von Basisabriegelung auf dem Gateway reicht nicht aus.”, so die Trend Micro-Forscher Kevin Y. Huang, Fernando Mercês und Lion Gu. „Angreifer werden immer Wege finden, um die Türen aufzubrechen, die Geräte zu infizieren und sie unter ihre Kontrolle zu bringen.“

Cybersecurity Software, Zweifaktor-Authentifizierung und das Wissen um bessere Passwörter sind wichtige Aspekte im Schutz der Netzwerke vor Botnets. Und so lange bis die Hersteller der Geräte ihre Sicherheitspraktiken nicht verbessern, liegt es bei den Cyber-Sicherheitsanbietern und der Öffentlichkeit darüber aufzuklären, dass Heimrouter gesichert und die drahtlosen Verbindungen verschlüsselt sein müssen.

Weiterführende Artikel:

  1. SIMDA: Ausschalten eines Botnets
  2. 2017, das Jahr in dem IoT-Bedrohungen zur Normalität werden
  3. Der Security-RückKlick KW 48
  4. Nach dem Takedown des Pushdo-Botnetzes geht Spam-Aufkommen zurück
  5. Mirai erweitert die Verteilung mit einem neuen Trojaner

CLOUDSEC: Was Unternehmen unter den Nägeln brennt

Cloudsecbanner-624x238

Update der Speakerliste – weiter unten

Grundsätzlich geht es in der Informationssicherheit darum, die Kontrolle zurückzugewinnen sowie die Ordnung in einer chaotischen Welt wiederherzustellen. Darüber hinaus ist auch Belastbarkeit, Hartnäckigkeit und Standfestigkeit gefragt. All dies lässt sich allein nicht erreichen. Trend Micros eintägige Konferenz CLOUDSEC im September ist dicht gepackt mit Best Practice-Ratschlägen von CISOs, Sicherheitsexperten, Journalisten und anderen Fachleuten, die dazu beitragen können, im eigenen Unternehmen bessere Entscheidungen zu treffen.
Weiterlesen