Schlagwort-Archive: Bedrohung

Deutschsprachige Aktualisierung zu WannaCry/Wcry

Dieses Jahr förderte zwei verschiedene Sicherheitsrisiken zutage: CVE-‎2017-0144, eine Sicherheitslücke im SMB-Server, die für eine Remote Code-Ausführung missbraucht werden konnte und im März geschlossen wurde, die andere ist WannaCry/Wcry, eine relativ neue Ransomware-Familie, die Ende April entdeckt wurde. Wurde bislang WannaCry über Dropbox-URLs, die in Mails eingebettet waren verteilt, so verbreiten sich die neuen Varianten jetzt über die vorher entdeckte SMB-Sicherheitslücke. Dies führte zu einem der schwersten Ransomware-Angriffe, der Nutzer weltweit traf.

Die Lösegeldforderung belief sich auf 300 $, die in Bitcoin zu zahlen sind. Dies ist weniger als die Summe, die in früheren Angriffen gefordert wurde. Neben den ursprünglichen Angriffen in Großbritannien, waren letztendlich auch viele Länder massiv betroffen.

Trend Micro erkennt die Varianten in diesem Angriff als RANSOM_WANA.A und RANSOM_WCRY.I. Kunden sind gegen die Bedrohungen bereits geschützt über Predictive Machine Learning und andere Schutzfunktionen in Trend Micro XGen™ Security.

[ACHTUNG: Identifizieren Sie die Lücken in der vorhandenen Endpoint Schutzlösung mithilfe des kostenlosen Trend Micro Machine Learning Assessment Tool.]

Infektionsvektor

Die Sicherheitslücke, die in diesem Angriff ausgenutzt wurde (Codename EternalBlue), gehörte zu denen, die die Shadow Brokers Gruppe mutmaßlich von der National Security Agency (NSA) gestohlen und öffentlich gemacht hatte. Die Sicherheitslücke wurde dazu verwendet, um eine Datei auf einem angreifbaren System abzulegen. Diese Datei wurde dann als Service ausgeführt und verschlüsselte Dateien mit der .WNCRY-Extension. (Eine separate Komponentendatei für das Anzeigen der Lösungsforderung wurde ebenfalls abgelegt.) Es geht um Dateien mit bis zu 166 verschiedenen Extensions, einschließlich solcher, die normalerweise Microsoft Office, Datenbanken, Dateiarchiven, Multimediadateien und verschiedenen Programmiersprachen verwenden.


Bild 1. Infektionsdiagramm


Bild 2. Lösegeldforderung

Feedback aus dem Smart Protection Network zeigt, dass neben Großbritannien Taiwan, Chile und Japan ebenfalls massiv betroffen waren, des weiteren auch Indien und die Vereinigten Staaten.

Die Bedrohung nutzt für die Verbreitung auf andere Systeme die abgelegte Datei, die als Service ausgeführt wird. Der Service nutzt den Namen „Microsoft Security Center (2.0)“. Er scannt nach weiteren SMB-Freigaben im Netzwerk und nutzt die EternalBlue-Sicherheitslücke für die Verbreitung.

Bild 3. Hinzugefügter Service

Wie bereits erwähnt, hat Microsoft die SMBv1-Sicherheitslücke bereits im März geschlossen. Und davor drängte Microsoft im September 2016 die Nutzer dazu, von SMBv1 zu migrieren, da der Server aus den frühen neunziger Jahren stammt. Das US-CERT hatte ähnlich dringliche Empfehlungen ausgesprochen. Unternehmen, die diesen Empfehlungen gefolgt waren, wurden vom Angriff nicht getroffen.

Trend Micro-Lösungen

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware. Die Trend Micro-Lösungen erkennen diese Bedrohungen als RANSOM_WANA.A und RANSOM_WCRY.I.

Trend Micro Deep Security™ und Vulnerability Protection, Trend Micro Deep Discovery Inspector und TippingPoint schützen gegen diese Bedrohung. Eine vollständige Liste mit ensprechenden Regeln und Filtern für die Trend Micro- und TippingPoint-Produkte gibt es auf der Trend Micro Support-Seite.

Folgende SHA256-Hashes gibt es in Bezug auf diese Ransomware:

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

Update vom 13. Mai

 

Virtual Patching ist jetzt gefragt

Originalbeitrag von Pawan Kinger, Director Deep Security Labs / Re-Blog von blog.trendmicro.de

Nachdem Microsoft drei kürzlich veröffentlichte Sicherheitslücken noch nicht gepatcht hat, rückt der Einsatz von Intrusion Prevention System (IPS) wieder in den Mittelpunkt des Interesses. Dieses virtuelle Patching soll vor vor Angriffen über diese Lücken schützten und ermöglicht es, Systeme so lange abzusichern, bis der Anbieter einen Patch dafür bereitstellt.

Folgende Komponenten waren von den Sicherheitslücken betroffen:

  1. Core SMB Service
  2. Microsoft Internet Explorer und Microsoft Edge
  3. Graphics Device Interface

CVE-2017-0016

Hier handelt es sich um einen Speicherbeschädigungs-Fehler (Memory Corruption) beim Handling des SMB-Verkehrs durch Windows. Um einen solchen Angriff durchzuführen, muss ein Computer oder Nutzer geködert werden, sich mit einem bösartigen SMB-Server zu verbinden. Der Server liefert Pakete, die dann den Computer zum Absturz bringen. Machbarkeits-Exploit-Code für diese Lücke ist bereits öffentlich geworden.

Die Sicherheitslücke erlaubt keine Remote-Ausführung von Code, und die Auswirkungen sind auf eine Denial-of-Service beschränkt. Gegenmaßnahmen könnten folgende sein:

  • Einschränken des nach draußen gehenden Ports 139 und 445,
  • Einsatz von IPS-Schutz.

CVE-2017-0037

Dabei handelt es sich um eine Art „Confusion“-Lücke im Microsoft Internet Explorer und Edge Browser. Um die Schwachstelle auszunützen, muss ein Angreifer einen Nutzer überzeugen, einen bösartigen Weblink anzuklicken. Den Link kann ein potenzielles Opfer über eine Mail, einen Chat oder eingebettet in Dokumente erhalten. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Bei einer Attacke kann der Angreifer mit denselben Privilegien wie der angemeldete Nutzer beliebigen Code ausführen. Folgende Maßnahmen sind nützlich:

  • Einsatz von IPS-Schutz,
  • E-Mail-Filter für Phishing-Angriffe,
  • Web Reputation, um gehostete Skripts zu blocken
  • Reduzieren von Konten mit Administratorrechten

CVE-2017-0038

Die Lücke befindet sich in der Graphics Device Interface (GDI)-Komponente von Windows. GDI wird zum Rendern etwa von Bildern und Fonts auf einem Gerät oder Drucker verwendet. Ein Angreifer müsste einen Nutzer dazu „überreden“, ein Image oder einen Font darzustellen. Diese könnten auch in ein Dokument eingebettet werden. Der Angriff wird über einen Mail-Anhang oder über File-Sharing gestartet. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Die Lücke legt Hauptspeicher offen, sodass vertrauliche Informationen durchgestochen werden. Folgende Maßnahmen sind sinnvoll:

  • Einsatz von IPS-Schutz
  • Schulung von Mitarbeitern, keine Anhänge zu öffnen oder Links, die nicht aus vertrauensvollen Quellen kommen anzuklicken.

Trend Micro Deep Security™ schützt vor diesen Sicherheitslücken. Details zu den Regeln und Veröffentlichungsterminen rund um die Sicherheitslücken liefert die folgende Übersicht.

CVE

Deep Security Rule Release-Datum

Veröffentlichungsdatum

Rule Name

CVE-2017-0016

Feb 2, 2017

Feb 1, 2017

1008138-Microsoft Windows Stack Overflow Remote Code Execution Vulnerability

CVE-2017-0038

Feb 20, 2017

Feb 21, 2017

1008171-Microsoft Windows Graphics Component Information Disclosure Vulnerability (CVE-2017-0038)

CVE-2017-0037

Feb 27, 2017

Feb 25, 2017

1008153-Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2017-0037)

TippingPoint-Kunden sind über die folgenden MainlineDV-Filter geschützt:

  • 26893: SMB: Microsoft Windows mrxsmb20.dll Denial-of-Service Vulnerability
  • 26904: HTTP: Microsoft Windows EMF Parsing Information Disclosure Vulnerability

 

Weiterführende Artikel:

  1. Lektion im Patching: Der Aufstieg der SAMSAM Crypto-Ransomware
  2. Außer der Reihe-Patch für eine weitere Windows Zero-Day-Lücke
  3. Internet Explorer Zero-Day betrifft alle Versionen des Browsers

Achtung bei Pokémon Go – Werbe App schlägt Kapital

Originalbeitrag von: Shawn Xing und Ecular Xu (Mobile Threat Response Engineers)

Das mobile, ortungsbasierende Augmented-Reality-Spiel Pokémon Go erobert die Welt im Sturm. Unter lautem Trommeln am 6. Juli im Markt eingeführt, hat die App bereits mehr Nutzer auf Android-Geräten gefunden als die entsprechende Facebook-App. Apple hat sogar vermeldet, dass es keine andere App gibt, die in der ersten Woche nach ihrem Erscheinen häufiger heruntergeladen wurde. So verwundert es wenig, dass Betrüger und Cyberkriminelle diese hohe Popularität schnell zu Geld machen wollen. So haben sie bösartige Versionen des Spiels und diesbezügliche Hilfe-Apps kreiert, die Bildschirme sperren und Scareware sowie Adware, ja sogar einen Remote-Access-Trojaner auf die Geräte laden.
Weiterlesen

INTERPOL nimmt mutmasslichen Cyberkriminellen fest

Originalbeitrag von Senior Threat Researchers bei Trend Micro

Dank der Zusammenarbeit zwischen Trend Micro-Forschern, INTERPOL und der nigerianischen Economic and Financial Crime Commission (EFCC) ist im Kampf gegen Business-Email-Compromise (BEC)-Betrügereien ein Schlag gelungen. So wurde ein vierzigjähriger nigerianischer Staatsbürger mit Namen „Mike“ verhaftet, der im Verdacht steht, der Mastermind hinter verschiedenen Online-Betrügereien wie BEC, 419 und Liebes-Scams zu sein.
Weiterlesen