Schlagwort-Archive: Bösartiger Code

CurveBall: Öffentlicher PoC für kritischen Microsoft-NSA Fehler

Die Sicherheitsforscher Saleem RashidKudelski Security und Ollypwn haben Proof-of-Concept Code veröffentlicht für die Ausnutzug von CurveBall (CVE-2020-0601). Es ist die erste Sicherheitslücke, die die National Security Agency (NSA) gemeldet hatte. Die Lücke ist im ersten Zyklus 2020 der Patch Tuesday-Updates berücksichtigt worden und betrifft die Validierung des CryptoAPIs der Elliptic Curve Cryptography (ECC)-Zertifikate sowie die Public Key Infrastructure (PKI) in Windows. Unternehmen und Nutzern wird das sofortige Patchen ihrer Systeme empfohlen, um den Missbrauch dieser Sicherheitslücke zu verhindern.

Der Machbarkeitsbeweis zeigt, wie sich der Fehler auf eine der kryptografischen Implementierungen der Windows CryptoAPI (Crypt32.dll)-Bibliotheksfunktion auswirken kann. Die Forscher warnen vor den möglicherweise ernsten Folgen, denn jede Software, die sich auf die Windows  CertGetCertificateChain()-Funktion verlässt, um die Gültigkeit eines ECC X.509-Zertifikat zu prüfen, kann fälschlicherweise einer bösartigen Zertifikatskette (einschließlich solcher von Drittanbietern) die Vertrauenswürdigkeit bescheinigen. Zu den betroffenen Microsoft-Versionen gehören Windows 10 und Windows Servers 2016 sowie 2019.

Nutzt ein Angreifer den Fehler aus, kann er die Gültigkeit des ECC für Dateien, Anwendungen, Netzwerkverbindungen, Emails und ausführbaren Dateien fälschen und sie als vertrauenswürdig, von einem legitimen Anbieter abstammend darstellen. Die gefälschte Gültigkeit ermöglicht unter anderem den Zugriff auf die Entschlüsselung von vertraulichen Informationen über Benutzerverbindungen, Man-in-the-Middle-Angriffe und die Ausnutzung aus der Ferne.

Microsoft stellt in dem Security Advisory fest, dass die Ausnutzung des Fehlers wahrscheinlich ist, vor allem, da öffentliche Demo-Codes verfügbar sind. Die NSA erklärt in ihrem Cybersecurity Advisory, dass die verfügbaren Patches lediglich der Minderung der Bedrohung dienen, obwohl einige Forscher bereits festgestellt haben, dass ein Update für Windows Defender veröffentlicht wurde, um aktive Exploit-Versuche zu erkennen und Benutzer zu warnen. Anwendern wird empfohlen, die Patches so schnell wie möglich herunterzuladen.

Trend Micro-Lösungen

Trend Micro-Anwender sind vor der Bedrohung über folgende Regeln geschützt:

Detailliertere Informationen dazu gibt es auf der Business Support-Seite.

Sicherheit für die Cloud-vernetzte Welt im Jahr 2020

Originalbeitrag von Ross Baker

Für CISOs war 2019 ein hartes Jahr. Die letzten zwölf Monate fuhren einen neuen Rekord ein bei Datenschutzverletzungen, Cloud-Fehlkonfigurationen und Sicherheitsbedrohungen auf DevOps-Ebene. Angriffe durch Ransomware, dateilose Malware und auch die Bedrohungen durch Business Email Compromise (BEC) nahmen weiterhin zu. Allein Trend Micro blockte in der ersten Hälfte 2019 mehr als 26,8 Mrd. einzigartige Bedrohungen. Die Situation wird sich in diesem Jahr nicht verbessern, und die Verantwortlichen für Cybersicherheit müssen sicherstellen, dass sie mit vertrauenswürdigen Partnern zusammenarbeiten – Anbietern mit einer klaren Zukunftsvision. Während des letzten Jahres hat eine überzeugende Mischung aus Produktinnovation, Übernahmen und die Anerkennung durch unabhängige Branchengremien Trend Micro als einen solchen Partner qualifiziert.

Risiken durch digitale Medien

Wenn es heute um digitale Transformation geht, so heißt das zumeist Cloud-Computing-Systeme. Die Investitionen in Plattformen wie AWS, Azure und andere haben den Unternehmen enorme Vorteile gebracht, denn sie unterstützen Organisationen dabei, skalierbarer, effizienter und agiler zu werden. Cloud-Plattformen geben Entwicklern die Flexibilität, die sie benötigen, um DevOps und Infrastructure-as-Code (IaC)-Initiativen voranzutreiben, um innovative Kundenerlebnisse zu bieten, und die Plattformen mit wenigen Klicks an die Marktanforderungen anzupassen.

Die Kehrseite davon bedeutet aber, dass diese IT-Transformation die Organisationen einer Reihe neuer Risiken ausgesetzt hat. Bei so vielen potenziell lukrativen Kundeninformationen, die in Cloud-Datenbanken liegen, sind sie zu einem Hauptziel für Hacker geworden. Trend Micro prognostiziert für 2020 eine Flut von Angriffen gegen Cloud-Anbieter über das Einschleusen von Code. Des Weiteren werden Schwachstellen in Container- und Microservices-Architekturen auftauchen, viele davon durch die Wiederverwendung von quelloffenen Komponenten. Fast 9 Prozent der 2018 weltweit heruntergeladenen Komponenten enthielten einen Fehler. Recherchen ergaben, dass 30 Prozent davon kritisch waren.

Die Komplexität von Multi- und hybriden Cloud-Systemen erhöht den Druck auf IT-Admins. Wenn so viel auf dem Spiel steht, ist es unvermeidlich, dass dies zu menschlichen Fehlern führt. Fehlkonfigurationen sind im Jahr 2019 zu einer der Hauptnachrichten geworden. Die Untersuchungen von Trend Micro im vergangenen Jahr ergaben auch, dass über die Hälfte der DevOps Teams in globalen Organisationen nicht über die geeigneten Werkzeuge verfügen, um ihre Arbeit richtig machen zu können.

Sicherheit einfach gestalten

Trend Micro will die Kunden bei ihrem Weg durch diese instabile Landschaft zur Seite stehen. Nur ein paar Beispiele dessen, was der japanische Anbieter zum Schutz der Kunden unternimmt:

Cloud Conformity: Die Übernahme dieses führenden Anbieters von Managementlösungen für Cloud-Sicherheit bietet globalen Anwendern dringend benötigte Fähigkeiten für die permanente Überprüfung. Am auffälligsten ist die Fähigkeit von Cloud Conformity, komplexe Cloud-Umgebungen zu durchleuchten und aufzuzeigen, wo Fehlkonfigurationen existieren und einfache Schritte zur Abhilfe zu ergreifen.

SnykTrend Micro arbeitet mit diesem entwicklerorientierten Open-Source-Sicherheitsanbieter zusammen mit dem Ziel, die Risiken von DevOps zu verringern, die sich aus gemeinsam genutztem Code ergeben. Trend Micro Container-Image-Scans zeigen Schwachstellen und Malware in der Software-Build-Pipeline auf, und virtuelles Patching schützt gegen deren Ausnutzung zur Laufzeit. Mit Snyk Applications Security Management können Entwickler diese Fehler in ihrem Code schnell und einfach beheben.

CloudOne: Trend Micro kombiniert alle Cloud-Sicherheitsfähigkeiten in einer schlanken Plattform, und deckt damit CSPM, Anwendungssicherheit, Container-, Workload-, Cloud-Netzwerk- und Dateispeicher-Sicherheit ab. Die Plattform stellt eine automatisierte, flexible, einheitliche Lösung dar, die die Komplexität von modernen hybriden und Multi-Cloud-Umgebungen vereinfacht.

Anerkennung durch Analysten: Kürzlich hat etwa IDC Trend Micro im neuesten „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominanten Leader“ aufgeführt. Trend Micro hält mehr als zwei Fünftel der Marktanteile im SDC Workload-Sicherheitsmarkt, nahezu dreimal so viele wie der nächste Mitbewerber.

Bösartige Apps in Google Play mutmaßlich von SideWinder APT Gruppe

Die Sicherheitsforscher von Trend Micro haben drei bösartige Apps im Google Play Store gefunden, die zusammenarbeiten, um das Gerät ihres Opfers zu infizieren und Nutzerinformationen zu sammeln. Eine der Apps, Camero, nutzt CVE-2019-2215 aus, eine Schwachstelle in Binder (wichtigstes Interprozesskommunikationssystem in Android). Es ist der erste bekannt gewordene aktive Angriff, der die Use-after-Free-Sicherheitslücke missbraucht. Nach weiterer Recherche stellten die Forscher fest, dass die drei Apps wahrscheinlich zum Arsenal der SideWinder-Gruppe gehören. Diese Gruppe ist seit 2012 aktiv und hat bereits Windows-Maschinen in Militäreinrichtungen anvisiert.

Die drei bösartigen Apps geben sich als Foto- und Dateimanager-Tools aus. Zertifikatsinformationen in einer der drei Apps lassen darauf schließen, dass sie seit Mai vergangenen Jahres aktiv sind. Mittlerweile wurden sie aus Google Play entfernt.

Die drei bösartigen Apps

Weitere technische Details liefert der Originalbeitrag.

Schutzlösungen

Trend Micro-Lösungen wie Mobile Security for Android™ (auch in Google Play erhältlich) sind in der Lage, diese Art von Bedrohungen zu erkennen. Nutzer können auch von den mehrschichtigen Sicherheitsfähigkeiten profitieren, die die Daten und die Privatsphäre vor Ransomware, betrügerischen Websites und Identitätsdiebstahl schützen.

Mobile Security for Enterprise wiederum liefert Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites. Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Anwendungssicherheitslücken. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.

IDC erkennt Trend Micro als Marktführer beim Schutz von SDC-Workloads an

Von Richard Werner, Business Consultant bei Trend Micro

Moderne Unternehmen setzen auf die Hybrid Cloud und DevOps, um schneller auf sich ändernde Marktanforderungen reagieren zu können. Aber dieses durch Innovation voran getriebene digitale Wachstum können sie nur mit einem starken und sicheren Fundament erreichen. Trend Micro hat als einer der ersten Anbieter bereits vor einem Jahrzehnt diesen Trend und die damit einhergehenden Sicherheitsherausforderungen erkannt, und ist heute als Marktführer anerkannt. IDC führt Trend Micro im aktuellen Bericht „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominant Leader“ beim Schutz von Software-Defined Compute (SDC)-Workloads und die Nummer 1 nach Marktanteilen.

Der IDC-Bericht stellt fest, dass SDC eine Vielzahl von Abstraktionstechnologien über den Software-Stack hinweg umfasst. Vom technischen Standpunkt ist SDC Workload-Sicherheit ein Unterbereich der Endpunktesicherheit. Doch sie ist in erster Linie auf den Schutz von virtuellen Maschinen (VMs), Containern und Cloud-Systemsoftware ausgerichtet und wird daher häufig im Kontext von Cloud-Umgebungen eingesetzt. Zu den Tools dieser Kategorie gehören unter anderen Anti-Malware, Firewall, Host-Intrusion Detection, Application Control und Integritätsüberwachung.

Die Cloud aber, und damit VMs und Container, werden zunehmend für die Entwicklung und Unterstützung der Anwendungen auf Microservice-Basis genutzt. Diese Umgebungen rücken somit noch weiter in den Fokus von Hackern. Cloud-Plattformen laufen Gefahr, vor allem über Code Injection angegriffen zu werden, sei es direkt oder über Drittanbieter-Bibliotheken, während Container und serverlose Architekturen aufgrund von angreifbaren Shared Code-Komponenten ausgenutzt werden können. Für Unternehmen, deren Cloud-Systeme und Anwendungen gehackt werden, kann dies eine Verzögerung oder gar den Stillstand auf ihrem digitalen Wachstumspfad bedeuten.

Eine stetige Entwicklung

IDC zufolge liegt der Anteil von Trend Micro am SDC Workload-Sicherheitsmarkt bei mehr als zwei Fünftel. Das ist nahezu dreimal so viel wie der Anteil des nächsten Wettbewerbers. Diese dominante Position ist auch unserem über Jahre hinweg stetigen Aufbau von Schutzmechanismen für diesen Sicherheitsbereich zu verdanken. Bereits 2009 übernahm Trend Micro einen zu der Zeit wenig bekannten Anbieter namens Third Brigade eines Host-basierten Intrusion-Prevention Systems und einer Firewall. Dies war der Beginn einer langen stetigen Weiterentwicklung unserer Fähigkeiten für virtuelle, Hybrid Cloud- und Container-Umgebungen.

Heute bietet Trend Micro umfassende Sicherheit über physische, virtuelle und Hybrid Cloud-Umgebungen hinweg, und dies aus einer einzelnen, übersichtlichen Schnittstelle heraus und mit enger Integration in AWS, Azure und GCP. Trend Micro richtet das Augenmerk auch auf Automatisierung und Security-as-Code, um nahtlosen Schutz in DevOps-Pipelines zu gewährleisten, einschließlich des Scannens von Container-Images vor der Ausführung.

Vor kurzem veröffentlichte Trend Micro XDR mit der Möglichkeit, Daten über E-Mail-, Netzwerk-, Endpunkt-, Server- und Cloud-Workloads hinweg zu korrelieren, um bösartige Workload-Aktivitäten zu erkennen und zu blockieren. Darüber hinaus übernahmen wir den führenden Anbieter von Cloud Security Posture Management Cloud Conformity, dessen Technologie das Aufspüren von Fehlkonfigurationen und Compliance/Governance-Problemen unterstützt.

All diese und weitere Funktionen werden in Kürze als Teil einer ganzheitlichen Cloud One-Lösung angeboten, die es Unternehmen ermöglicht, automatisierten Schutz über eine einzige Konsole zu erhalten – und damit Risiken, Verwaltungskosten und Abrechnungsprobleme zu minimieren. Wir bei Trend Micro blicken immer einen Schritt voraus, um Schutz dort zu bieten, wo er gebraucht wird.

Sicherheit von 5G-Konnektivität im Unternehmen

Um von den Vorteilen von 5G zu profitieren, sind umfassende Vorbereitung und Planungen erforderlich. Es bietet sich an, zuerst die Änderungen zu erfassen, die 5G-Netzwerke für ein Unternehmen und dessen Sicherheit mit sich bringen

Die Erwartungen an 5G sind nicht nur wegen dessen technischer Weiterentwicklung hoch, sondern auch wegen der weiteren Technologien, die der Standard ermöglicht. Die neueste Generation der mobilen Funkkommunikation ist eine Antwort auf die schnelle Ausbreitung digitaler Technologie. Heutige schwankende Geschwindigkeiten von 4G- und älteren Netzwerken zeigen nur zu deutlich, wie überfüllt Verbindungen geworden sind. Unbestreitbar besteht ein Bedarf an Breitbandnetzwerken, die nicht nur schneller sind, sondern auch eine konsistente Konnektivität für bedeutend mehr Geräte liefern können

Doch die kommenden Vorteile kann nur nutzen, wer einen realistischen Ansatz für die Implementierung von 5G wählt. Dazu gehört auch eine Vorbereitung auf die dynamische, volatile, datengetriebene Art und Weise des Standards, denn diese Charakteristiken können für die Sicherheit eines Unternehmens Folgen haben und damit die von 5G angekündigten Fortschritte zunichtemachen.

Cybersecurity- und Datenfragen in 5G
Einer der ersten Problembereiche bei der Umsetzung von 5G ist die Menge der gesammelten Daten und wie sie interpretiert werden. Das wiederum wirft Sicherheitsbedenken auf, insbesondere im Hinblick auf die Erkennung. Der Start von 5G könnte die Überprüfung von Regeln zum Herausfiltern von bösartigem Netzwerkverkehr erforderlich machen, da die derzeit verwendeten Regeln die Feinheiten des mit 5G möglichen, stark individualisierten Verkehrs möglicherweise nicht erkennen. Das Hinzukommen weiterer IoT-Geräte könnte zusätzlich Zuordnungsprobleme für Sicherheitsstatistiken bereiten, die bislang nur zur Überwachung von menschlichen Teilnehmern verwendet wurden – im Gegensatz zu Maschinenteilnehmern, einem zweiten Teilnehmertyp, der aus IoT-Geräten besteht.

Von entscheidender Bedeutung für die Vorbereitung auf 5G ist auch die allgemeine Cybersicherheitsstrategie des Unternehmens bezüglich der Übertragung von Daten. Sicherheit muss nach sorgfältiger Planung umgesetzt werden und schließt eine organisierte Struktur mit ein, die dazu beiträgt, Angriffe zu verhindern oder ihre Auswirkungen abzuschwächen sowie Raum für notwendige Veränderungen in der Zukunft zu schaffen. Das Fehlen einer Sicherheitsarchitektur führt möglicherweise zu deiner Verzögerung des Einsatzes neuer Technologien wie der von 5G.
Zudem hat der Wechsel von hardware- zu softwaredefinierten Netzwerken einen Einfluss auf die benötigten Fähigkeiten für den geeigneten Betrieb und Absicherung von Netzwerkprozessen. Unternehmen werden mehr Fachleute brauchen, die die Hauptprobleme in einem softwaredefinierten Netzwerk identifizieren können, und gleichzeitig für eine erweiterte Incident Response sorgen. Aktuelle Sicherheitsteams müssen möglicherweise auch ihre Fähigkeiten in der Softwarecodierung ausweiten, um mit höherer Genauigkeit  Daten, die mit der Verwendung von 5G verbunden sind, zu interpretieren und zu profilieren

Absichern des Unternehmens
Verschiedene Sicherheitstechniken und –technologien unterstützen bei der Lösung dieser Fragen und erleichtern den Wechsel auf 5G. Abhilfe bei sinkender Leistung einer Sicherheitsarchitektur infolge von schwachen Erkennungsraten kann beispielsweise der Einsatz eines Sicherheitsorchestrators schaffen oder geschäftsorientierte Regeln auf Machine Learning-Basis, die Sicherheit und Vertraulichkeit als Funktion einsetzen. Die Verwendung von 5G Machine Learning kann auch dabei unterstützen, eine neue Referenzlinie zu erstellen, die wiederum identifiziert, was akzeptabler Netzwerkverkehr ist. Dadurch wird der Druck auf Sicherheitspersonal oder Experten im Unternehmen reduziert

Einzelheiten zu den möglichen Auswirkungen von 5G auf die Unternehmenssicherheit sind im Trend Micro-Whitepaper „The Deep Blue Sea of 5G” enthalten.

Deutschsprachige Aktualisierung zu WannaCry/Wcry

Dieses Jahr förderte zwei verschiedene Sicherheitsrisiken zutage: CVE-‎2017-0144, eine Sicherheitslücke im SMB-Server, die für eine Remote Code-Ausführung missbraucht werden konnte und im März geschlossen wurde, die andere ist WannaCry/Wcry, eine relativ neue Ransomware-Familie, die Ende April entdeckt wurde. Wurde bislang WannaCry über Dropbox-URLs, die in Mails eingebettet waren verteilt, so verbreiten sich die neuen Varianten jetzt über die vorher entdeckte SMB-Sicherheitslücke. Dies führte zu einem der schwersten Ransomware-Angriffe, der Nutzer weltweit traf.

Die Lösegeldforderung belief sich auf 300 $, die in Bitcoin zu zahlen sind. Dies ist weniger als die Summe, die in früheren Angriffen gefordert wurde. Neben den ursprünglichen Angriffen in Großbritannien, waren letztendlich auch viele Länder massiv betroffen.

Trend Micro erkennt die Varianten in diesem Angriff als RANSOM_WANA.A und RANSOM_WCRY.I. Kunden sind gegen die Bedrohungen bereits geschützt über Predictive Machine Learning und andere Schutzfunktionen in Trend Micro XGen™ Security.

[ACHTUNG: Identifizieren Sie die Lücken in der vorhandenen Endpoint Schutzlösung mithilfe des kostenlosen Trend Micro Machine Learning Assessment Tool.]

Infektionsvektor

Die Sicherheitslücke, die in diesem Angriff ausgenutzt wurde (Codename EternalBlue), gehörte zu denen, die die Shadow Brokers Gruppe mutmaßlich von der National Security Agency (NSA) gestohlen und öffentlich gemacht hatte. Die Sicherheitslücke wurde dazu verwendet, um eine Datei auf einem angreifbaren System abzulegen. Diese Datei wurde dann als Service ausgeführt und verschlüsselte Dateien mit der .WNCRY-Extension. (Eine separate Komponentendatei für das Anzeigen der Lösungsforderung wurde ebenfalls abgelegt.) Es geht um Dateien mit bis zu 166 verschiedenen Extensions, einschließlich solcher, die normalerweise Microsoft Office, Datenbanken, Dateiarchiven, Multimediadateien und verschiedenen Programmiersprachen verwenden.


Bild 1. Infektionsdiagramm


Bild 2. Lösegeldforderung

Feedback aus dem Smart Protection Network zeigt, dass neben Großbritannien Taiwan, Chile und Japan ebenfalls massiv betroffen waren, des weiteren auch Indien und die Vereinigten Staaten.

Die Bedrohung nutzt für die Verbreitung auf andere Systeme die abgelegte Datei, die als Service ausgeführt wird. Der Service nutzt den Namen „Microsoft Security Center (2.0)“. Er scannt nach weiteren SMB-Freigaben im Netzwerk und nutzt die EternalBlue-Sicherheitslücke für die Verbreitung.

Bild 3. Hinzugefügter Service

Wie bereits erwähnt, hat Microsoft die SMBv1-Sicherheitslücke bereits im März geschlossen. Und davor drängte Microsoft im September 2016 die Nutzer dazu, von SMBv1 zu migrieren, da der Server aus den frühen neunziger Jahren stammt. Das US-CERT hatte ähnlich dringliche Empfehlungen ausgesprochen. Unternehmen, die diesen Empfehlungen gefolgt waren, wurden vom Angriff nicht getroffen.

Trend Micro-Lösungen

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware. Die Trend Micro-Lösungen erkennen diese Bedrohungen als RANSOM_WANA.A und RANSOM_WCRY.I.

Trend Micro Deep Security™ und Vulnerability Protection, Trend Micro Deep Discovery Inspector und TippingPoint schützen gegen diese Bedrohung. Eine vollständige Liste mit ensprechenden Regeln und Filtern für die Trend Micro- und TippingPoint-Produkte gibt es auf der Trend Micro Support-Seite.

Folgende SHA256-Hashes gibt es in Bezug auf diese Ransomware:

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

Update vom 13. Mai

 

Das Aufkommen der IoT-Zombies und die Gefahr von Botnets

Originalartikel von Trend Micro

Beim Cyber-Angriff auf die Server DNS-Anbieters Dyn Ende letzten Jahres waren einige bekannte Websites von Unternehmen wie etwa Twitter und Netflix betroffen. Der Übeltäter: Ein Botnet auf Basis des Internet of Things (IoT), das über eine Schadsoftware namens Mirai erzeugt wurde. Es stellt sich die Frage, was man tun kann gegen bösartige Programme wie Mirai und andere, die den ihren Profit aus der wachsenden Zahl von vernetzten Geräten ziehen wollen.

Der Autor von All About Circuits, Robin Mitchell, nannte diese Art der Cyberkriminalität ein „Zombie“-Botnet. Mithilfe des Mirai-Programms konnten böswillige Akteure ein Netzwerk aus Zombie-Geräten von etwa 100.000 verbundenen Objekten erstellen. Dies war möglich, weil die IoT-Geräte über nicht genügend effiziente Sicherheitsprotokolle verfügten, um der Infiltrierung zu entkommen. Auch nutzten diese Objekte wahrscheinlich immer noch ihre Default-Passwörter, die ihnen während der Fertigung gegeben wurden.

Die Analysten des Marktforschungsinstituts Gartner prognostizieren für 2020 20,8 Milliarden verbundene Objekte im IoT, von Thermostaten und Lichtschaltern im smarten Haus bis zu Drohnen, verbundenen Teekannen oder anderen Dingen des Alltags. Haben all diese dieselben Sicherheitslücken wie die vom Dyn-Hack betroffenen, so kann dies katastrophale Auswirkungen haben.

Der Quellcode von Mirai wurde im September 2016 veröffentlicht, und dies hatte ein „Wettrüsten“ zur Folge, denn die Hacker entwickelten neue Varianten der Malware, um auf unsichere IoT-Geräte zuzugreifen.

Einige Botnets sind relativ harmlos. Beispiel dafür ist ein kürzlich entdecktes Netzwerk von gefälschten Twitter-Konten. Darüber wurden zwar nur willkürliche Passagen aus Star Wars verbreitet, doch könnte es eine wertvolle Quelle für die Erforschung von Twitter-Bots sein, so Juan Echeverria von der University College of London, der das Botnet entdeckt hatte. Das Beispiel zeigt auch, wie schwierig es ist, Botnets aufzuspüren, und gibt darüber hinaus einen Vorgeschmack auf die Herausforderungen, die auf Unternehmen zukommen könnten, wenn sie ihre Netzwerke vor Zombie-Geräten schützen müssen.

Wie kann der Schutz aussehen?

Eine der Optionen sind höhere Investitionen in Cyber-Sicherheitsmaßnahmen, um Unternehmensnetzwerke vor Einbrüchen über Malware wie Mirai zu schützen. Gartner schätzt, dass bis 2018 die Ausgaben für IoT-Sicherheit auf 547 Millionen $ steigen werden.

Wenn es um die Sicherheit geht, rücken auch die IoT-Gerätehersteller weiter in den Vordergrund – sie müssen bessere Passwörter für ihre verbundenen Geräte liefern und im Allgemeinen mehr auf die Sicherheitsrisiken achten, die ihre Produkte in sich tragen. Die Sicherheitsforscher von Trend Micro betonen, dass sowohl die Verbraucher als auch die Regulierungsbehörden mehr Druck auf die Hersteller ausüben müssen, damit diese ihre Sicherheitspraktiken verbessern – oder sie werden damit leben müssen, dass sich ihre Produkte nicht verkaufen lassen.

Heimrouter stellen einen weiteren Schlüsselaspekt in der Botnet-Diskussion dar. Den Sicherheitsforschern zufolge ist es von grundlegender Bedeutung diese Geräte gut abzusichern, da sie der Türsteher für alle neuen smarten Heimtechniken sind. Gelingt es Hackern, sie in Zombies zu verwandeln, haben sie die Kontrolle über das smarte Haus.

„Der Einsatz von Basisabriegelung auf dem Gateway reicht nicht aus.”, so die Trend Micro-Forscher Kevin Y. Huang, Fernando Mercês und Lion Gu. „Angreifer werden immer Wege finden, um die Türen aufzubrechen, die Geräte zu infizieren und sie unter ihre Kontrolle zu bringen.“

Cybersecurity Software, Zweifaktor-Authentifizierung und das Wissen um bessere Passwörter sind wichtige Aspekte im Schutz der Netzwerke vor Botnets. Und so lange bis die Hersteller der Geräte ihre Sicherheitspraktiken nicht verbessern, liegt es bei den Cyber-Sicherheitsanbietern und der Öffentlichkeit darüber aufzuklären, dass Heimrouter gesichert und die drahtlosen Verbindungen verschlüsselt sein müssen.

Weiterführende Artikel:

  1. SIMDA: Ausschalten eines Botnets
  2. 2017, das Jahr in dem IoT-Bedrohungen zur Normalität werden
  3. Der Security-RückKlick KW 48
  4. Nach dem Takedown des Pushdo-Botnetzes geht Spam-Aufkommen zurück
  5. Mirai erweitert die Verteilung mit einem neuen Trojaner

Ransomware: Die Verteidigung beginnt hier

Originalbeitrag von Simon Walsh

In diesem Jahr gab es kaum einen Tag, an dem kein Ransomware-Vorfall Schlagzeilen machte. Diese heimtückischen Schadsoftware-Kampagnen, bei denen Nutzer von ihren Computern ausgesperrt werden, bis sie ein Lösegeld zahlen, mutieren zu der bevorzugten Verdienstmethode der Cyberkriminellen. Die Zahlen zeigen, dass Ransomware nahezu die Hälfte der Schadsoftwareangriffe des letzten Jahres ausmachten. Für Verbraucher sind diese Angriffe lästig, für Unternehmen können die Auswirkungen zum Desaster werden, weil sie zur Unterbrechung der Geschäftstätigkeiten führen und mit potenziell hohen Kosten verbunden sind.
Weiterlesen