Schlagwort-Archive: Bösartiger Code

Deutschsprachige Aktualisierung zu WannaCry/Wcry

Dieses Jahr förderte zwei verschiedene Sicherheitsrisiken zutage: CVE-‎2017-0144, eine Sicherheitslücke im SMB-Server, die für eine Remote Code-Ausführung missbraucht werden konnte und im März geschlossen wurde, die andere ist WannaCry/Wcry, eine relativ neue Ransomware-Familie, die Ende April entdeckt wurde. Wurde bislang WannaCry über Dropbox-URLs, die in Mails eingebettet waren verteilt, so verbreiten sich die neuen Varianten jetzt über die vorher entdeckte SMB-Sicherheitslücke. Dies führte zu einem der schwersten Ransomware-Angriffe, der Nutzer weltweit traf.

Die Lösegeldforderung belief sich auf 300 $, die in Bitcoin zu zahlen sind. Dies ist weniger als die Summe, die in früheren Angriffen gefordert wurde. Neben den ursprünglichen Angriffen in Großbritannien, waren letztendlich auch viele Länder massiv betroffen.

Trend Micro erkennt die Varianten in diesem Angriff als RANSOM_WANA.A und RANSOM_WCRY.I. Kunden sind gegen die Bedrohungen bereits geschützt über Predictive Machine Learning und andere Schutzfunktionen in Trend Micro XGen™ Security.

[ACHTUNG: Identifizieren Sie die Lücken in der vorhandenen Endpoint Schutzlösung mithilfe des kostenlosen Trend Micro Machine Learning Assessment Tool.]

Infektionsvektor

Die Sicherheitslücke, die in diesem Angriff ausgenutzt wurde (Codename EternalBlue), gehörte zu denen, die die Shadow Brokers Gruppe mutmaßlich von der National Security Agency (NSA) gestohlen und öffentlich gemacht hatte. Die Sicherheitslücke wurde dazu verwendet, um eine Datei auf einem angreifbaren System abzulegen. Diese Datei wurde dann als Service ausgeführt und verschlüsselte Dateien mit der .WNCRY-Extension. (Eine separate Komponentendatei für das Anzeigen der Lösungsforderung wurde ebenfalls abgelegt.) Es geht um Dateien mit bis zu 166 verschiedenen Extensions, einschließlich solcher, die normalerweise Microsoft Office, Datenbanken, Dateiarchiven, Multimediadateien und verschiedenen Programmiersprachen verwenden.


Bild 1. Infektionsdiagramm


Bild 2. Lösegeldforderung

Feedback aus dem Smart Protection Network zeigt, dass neben Großbritannien Taiwan, Chile und Japan ebenfalls massiv betroffen waren, des weiteren auch Indien und die Vereinigten Staaten.

Die Bedrohung nutzt für die Verbreitung auf andere Systeme die abgelegte Datei, die als Service ausgeführt wird. Der Service nutzt den Namen „Microsoft Security Center (2.0)“. Er scannt nach weiteren SMB-Freigaben im Netzwerk und nutzt die EternalBlue-Sicherheitslücke für die Verbreitung.

Bild 3. Hinzugefügter Service

Wie bereits erwähnt, hat Microsoft die SMBv1-Sicherheitslücke bereits im März geschlossen. Und davor drängte Microsoft im September 2016 die Nutzer dazu, von SMBv1 zu migrieren, da der Server aus den frühen neunziger Jahren stammt. Das US-CERT hatte ähnlich dringliche Empfehlungen ausgesprochen. Unternehmen, die diesen Empfehlungen gefolgt waren, wurden vom Angriff nicht getroffen.

Trend Micro-Lösungen

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware. Die Trend Micro-Lösungen erkennen diese Bedrohungen als RANSOM_WANA.A und RANSOM_WCRY.I.

Trend Micro Deep Security™ und Vulnerability Protection, Trend Micro Deep Discovery Inspector und TippingPoint schützen gegen diese Bedrohung. Eine vollständige Liste mit ensprechenden Regeln und Filtern für die Trend Micro- und TippingPoint-Produkte gibt es auf der Trend Micro Support-Seite.

Folgende SHA256-Hashes gibt es in Bezug auf diese Ransomware:

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

Update vom 13. Mai

 

Das Aufkommen der IoT-Zombies und die Gefahr von Botnets

Originalartikel von Trend Micro

Beim Cyber-Angriff auf die Server DNS-Anbieters Dyn Ende letzten Jahres waren einige bekannte Websites von Unternehmen wie etwa Twitter und Netflix betroffen. Der Übeltäter: Ein Botnet auf Basis des Internet of Things (IoT), das über eine Schadsoftware namens Mirai erzeugt wurde. Es stellt sich die Frage, was man tun kann gegen bösartige Programme wie Mirai und andere, die den ihren Profit aus der wachsenden Zahl von vernetzten Geräten ziehen wollen.

Der Autor von All About Circuits, Robin Mitchell, nannte diese Art der Cyberkriminalität ein „Zombie“-Botnet. Mithilfe des Mirai-Programms konnten böswillige Akteure ein Netzwerk aus Zombie-Geräten von etwa 100.000 verbundenen Objekten erstellen. Dies war möglich, weil die IoT-Geräte über nicht genügend effiziente Sicherheitsprotokolle verfügten, um der Infiltrierung zu entkommen. Auch nutzten diese Objekte wahrscheinlich immer noch ihre Default-Passwörter, die ihnen während der Fertigung gegeben wurden.

Die Analysten des Marktforschungsinstituts Gartner prognostizieren für 2020 20,8 Milliarden verbundene Objekte im IoT, von Thermostaten und Lichtschaltern im smarten Haus bis zu Drohnen, verbundenen Teekannen oder anderen Dingen des Alltags. Haben all diese dieselben Sicherheitslücken wie die vom Dyn-Hack betroffenen, so kann dies katastrophale Auswirkungen haben.

Der Quellcode von Mirai wurde im September 2016 veröffentlicht, und dies hatte ein „Wettrüsten“ zur Folge, denn die Hacker entwickelten neue Varianten der Malware, um auf unsichere IoT-Geräte zuzugreifen.

Einige Botnets sind relativ harmlos. Beispiel dafür ist ein kürzlich entdecktes Netzwerk von gefälschten Twitter-Konten. Darüber wurden zwar nur willkürliche Passagen aus Star Wars verbreitet, doch könnte es eine wertvolle Quelle für die Erforschung von Twitter-Bots sein, so Juan Echeverria von der University College of London, der das Botnet entdeckt hatte. Das Beispiel zeigt auch, wie schwierig es ist, Botnets aufzuspüren, und gibt darüber hinaus einen Vorgeschmack auf die Herausforderungen, die auf Unternehmen zukommen könnten, wenn sie ihre Netzwerke vor Zombie-Geräten schützen müssen.

Wie kann der Schutz aussehen?

Eine der Optionen sind höhere Investitionen in Cyber-Sicherheitsmaßnahmen, um Unternehmensnetzwerke vor Einbrüchen über Malware wie Mirai zu schützen. Gartner schätzt, dass bis 2018 die Ausgaben für IoT-Sicherheit auf 547 Millionen $ steigen werden.

Wenn es um die Sicherheit geht, rücken auch die IoT-Gerätehersteller weiter in den Vordergrund – sie müssen bessere Passwörter für ihre verbundenen Geräte liefern und im Allgemeinen mehr auf die Sicherheitsrisiken achten, die ihre Produkte in sich tragen. Die Sicherheitsforscher von Trend Micro betonen, dass sowohl die Verbraucher als auch die Regulierungsbehörden mehr Druck auf die Hersteller ausüben müssen, damit diese ihre Sicherheitspraktiken verbessern – oder sie werden damit leben müssen, dass sich ihre Produkte nicht verkaufen lassen.

Heimrouter stellen einen weiteren Schlüsselaspekt in der Botnet-Diskussion dar. Den Sicherheitsforschern zufolge ist es von grundlegender Bedeutung diese Geräte gut abzusichern, da sie der Türsteher für alle neuen smarten Heimtechniken sind. Gelingt es Hackern, sie in Zombies zu verwandeln, haben sie die Kontrolle über das smarte Haus.

„Der Einsatz von Basisabriegelung auf dem Gateway reicht nicht aus.”, so die Trend Micro-Forscher Kevin Y. Huang, Fernando Mercês und Lion Gu. „Angreifer werden immer Wege finden, um die Türen aufzubrechen, die Geräte zu infizieren und sie unter ihre Kontrolle zu bringen.“

Cybersecurity Software, Zweifaktor-Authentifizierung und das Wissen um bessere Passwörter sind wichtige Aspekte im Schutz der Netzwerke vor Botnets. Und so lange bis die Hersteller der Geräte ihre Sicherheitspraktiken nicht verbessern, liegt es bei den Cyber-Sicherheitsanbietern und der Öffentlichkeit darüber aufzuklären, dass Heimrouter gesichert und die drahtlosen Verbindungen verschlüsselt sein müssen.

Weiterführende Artikel:

  1. SIMDA: Ausschalten eines Botnets
  2. 2017, das Jahr in dem IoT-Bedrohungen zur Normalität werden
  3. Der Security-RückKlick KW 48
  4. Nach dem Takedown des Pushdo-Botnetzes geht Spam-Aufkommen zurück
  5. Mirai erweitert die Verteilung mit einem neuen Trojaner

Ransomware: Die Verteidigung beginnt hier

Originalbeitrag von Simon Walsh

In diesem Jahr gab es kaum einen Tag, an dem kein Ransomware-Vorfall Schlagzeilen machte. Diese heimtückischen Schadsoftware-Kampagnen, bei denen Nutzer von ihren Computern ausgesperrt werden, bis sie ein Lösegeld zahlen, mutieren zu der bevorzugten Verdienstmethode der Cyberkriminellen. Die Zahlen zeigen, dass Ransomware nahezu die Hälfte der Schadsoftwareangriffe des letzten Jahres ausmachten. Für Verbraucher sind diese Angriffe lästig, für Unternehmen können die Auswirkungen zum Desaster werden, weil sie zur Unterbrechung der Geschäftstätigkeiten führen und mit potenziell hohen Kosten verbunden sind.
Weiterlesen