Schlagwort-Archive: Bösartiger Code

2019 blockiert Trend Micro 52 Milliarden Bedrohungen: Hacker erweitern ihr Repertoire

von Trend Micro

Abwechslung ist in den meisten Lebensbereichen willkommen, doch nicht in der Bedrohungslandschaft. Leider müssen sich Sicherheitsexperten heutzutage aber genau damit auseinandersetzen. Der Jahresbericht 2019 von Trend Micro zeigt, dass Hackern mittlerweile eine beispiellose Vielfalt an Tools, Techniken und Verfahren zur Verfügung steht. Bei 52 Milliarden einzigartigen Bedrohungen, die allein von den Trend Micro-Filtern erkannt wurden, könnte dies zu einer übermächtigen Herausforderung für viele IT-Sicherheitsabteilungen werden. Als Reaktion darauf überprüfen zu Recht viele CISOs ihren Ansatz für die Bedrohungsabwehr. Bei vielen von ihnen setzt sich die Erkenntnis durch, dass es sinnvoller ist, sich auf einen Anbieter zu konzentrieren, der den gesamten Schutz liefern kann, statt durch Investitionen in Best-of-Breed-Lösungen unter Umständen Sicherheitslücken zu schaffen und Budgetengpässe zu riskieren.

Zustandsaufnahme

Der Bericht liefert ein alarmierendes Bild einer von Volatilität und Chaos geprägten Bedrohungslandschaft. Finanziell motivierte Cyberkriminelle kooperieren und konkurrieren miteinander, um aus Attacken Profit zu schlagen. Leider gibt es eine Menge Betroffener, denn aufgrund gestiegener Investitionen in Cloud- und digitale Plattformen hat sich die Angriffsfläche im Unternehmen erheblich vergrößert.

Der Bericht hebt vor allem drei Trends hervor:

Ransomware ist auf dem Vormarsch: Obzwar die Anzahl der neuen Familien zurückgegangen ist,  ist die Zahl der entdeckten Ransomware-Komponenten im Laufe der Jahres um 10% auf 61 Millionen gestiegen. Im letzten Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Eine aktuelle Umfrage des TÜV-Verbands zeigte, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Dabei spielte der Bankentrojaner Emotet häufig eine unrühmliche Rolle.

Phishing entwickelt sich weiterWie immer entfielen die meisten Bedrohungen (91%), die Trend Micro im vergangenen Jahr blockierte, auf Email-Angriffe, und ab 2018 stieg das Volumen um 15%. Das bedeutet, dass Phishing nach wie vor der Hauptvektor bei Angriffen auf Unternehmen ist. Obwohl insgesamt ein Rückgang der Gesamtzahl der Versuche, Phishing-Websites zu besuchen, zu verzeichnen war, gab es einige Spitzenwerte. Betrüger scheinen Office 365 im Visier zu haben und versuchen, Sicherheitsfilter zu umgehen. Die Zahl der eindeutigen Phishing-URLs, die die Microsoft-Cloud-Plattform fälschten, ist im Vergleich zum Vorjahr um 100% gestiegen. Die BEC-Angriffe, die nach Angaben des FBI im vergangenen Jahr höhere Kosten als jede andere Art von Cyberkriminalität verursachten, nahmen um 5% zu.

Die Supply Chain ist in Gefahr: Die digitale Supply Chain hat sich in den letzten Jahren rapide erweitert und setzt damit mehr Unternehmen einem Risiko aus. Besonders deutlich wurde dies im Bereich des elektronischen Handels im vergangenen Jahr, als es der Magecart Hacking-Gruppe gelang, schätzungsweise zwei Millionen Websites zu kompromittieren. Viele dieser Attacken konzentrierten sich auf Partner der Supply Chain. Auch beobachteten die Sicherheitsforscher einen Anstieg bei Angriffen, die sich auf die Kompromittierung von DevOps-Tools und -Deployments konzentrieren, wie z.B. fehlkonfigurierte Versionen der Docker Engine und ungesicherte Docker-Hosts.

Fazit

Dies ist aber nur die Spitze des Eisbergs. Die Forscher von Trend Micro stellten auch einen Anstieg bei mobiler Malware (6%), IoT-Anmeldungen über Brute-Force (189%) und vieles mehr fest. Um angesichts einer so breit gefächerten Palette von Bedrohungen die Kontrolle zu behalten, sollten CISOs den Ansatz der „Connected Threat Defense“ in Erwägung ziehen. Diese Strategie konsolidiert den Schutz über Gateways, Netzwerke, Server und Endpunkte hinweg auf einen einzigen Anbieter, der die Verteidigung auf jeder Ebene mit einem Fundament aus intelligentem Bedrohungswissen optimiert.

Die folgende Checkliste ist eine Überlegung wert:

  • Netzwerksegmentierung, regelmäßige Backups und kontinuierliche Netzwerküberwachung zur Bekämpfung von Ransomware,
  • Verbesserte Programme für das Sicherheitsverständnis, hilft Nutzern BEC- und Phishing-Versuche besser zu erkennen,
  • Monitoring von Schwachstellen und falschen Konfigurationen der Systeme der Supply Chain-Partner als Schutz vor Magecart-Angriffen,
  • Scannen von Container Images auf Malware und Sicherheitslücken während Build und Laufzeit,
  • Systeme und Software immer auf aktuellem Stand halten sowie
  • Richtlinien für Zweifaktor-Authentifizierung und dem Prinzip der geringsten Privilegien verhindern den Missbrauch von Tools, die über Admin-Logins zugänglich sind, etwa RDP und Entwickler-Tools.

Der gesamte 2019-Sicherheitsbericht steht online zur Verfügung.

Cyberspionage-Kampagne zielt auf Glücksspiel- und Wettfirmen

Von Trend Micro

2019 setzte sich Talent-Jump Technologies, Inc. mit Trend Micro in Verbindung im Zusammenhang mit einem Backdoor, den sie während einer Incident Response-Aktion entdeckt hatten. Die Sicherheitsforscher von Trend Micro analysierten den Schädling, der von einem Advanced Persistent Threat (APT)-Akteur, von Trend Micro „DRBControl“ genannt, eingesetzt wurde. Der Angreifer zielt auf Nutzer in Südostasien, vor allem auf Glücksspiel- und Wettfirmen. Zwar wurden auch Angriffe in Europa und dem Mittleren Osten berichtet, doch fand Trend Micro keine Beweise dafür. Die exfiltrierten Daten bestanden hauptsächlich aus Datenbanken und Quellcodes, was zu der Annahme veranlasst, dass der Hauptzweck der Gruppe die Cyberspionage ist. Die DRBControl-Kampagne greift ihre Ziele mit einer Vielzahl von Malware und Techniken an, die sich mit denen anderer bekannter Cyberspionageaktionen decken.

Rechercheergebnisse

Der Einbruch setzt in einem ersten Schritt auf Spear Phishing .docx-Dateien. Es werden drei Versionen der infizierten Dokumente verteilt. Der Angreifer nutzt zwei vorher noch nicht identifizierte Backdoors (technische Einzelheiten im Originalbeitrag). Einer der Backdoors setzt den Datei-Hosting-Service Dropbox als Command-and-Control (C&C)-Kanal sowie für das Ablegen verschiedener Payloads ein. In Dropbox Repositories fanden sich auch Informationen wie Befehle oder Tools, Daten zu den Workstations der Opfer und gestohlene Dateien. Dropbox ist darüber informiert und arbeitet gemeinsam mit Trend Micro an der Lösung des Problems.

Zum Arsenal des Cyberkriminellen gehören bekannte Schädlingsfamilien wie das Remote Access Tool PlugX und der HyperBro-Backdoor sowie benutzerdefinierte Tools für den Einsatz nach dem Exploit, so etwa ein Clipboard Stealer, ein Netzwerk Traffic-Tunnel, Brute-Force Tool, ein Retriever von IP-Adressen, ein Password Dumper und andere mehr. Die Kampagne weist einige Verbindungen zu den bekannten APT-Gruppen Winnti und Emissary Panda auf.

Fazit

Gezielte Angriffe unterscheiden sich in der Art und Weise, wie die Bedrohungsakteure bestimmte Ziele aktiv verfolgen und kompromittieren (z.B. durch Spear Phishing), um eine laterale Bewegung im Netzwerk und die Extraktion sensibler Informationen zu ermöglichen. Das Wissen um Angriffswerkzeuge, -techniken und -infrastruktur sowie um Verbindungen zu ähnlichen Angriffskampagnen liefert den notwendigen Kontext, um die potenziellen Auswirkungen abzuschätzen und Abwehrmaßnahmen zu ergreifen.

Detallierte Informationen liefert das Whitepaper „Uncovering DRBControl: Inside the Cyberespionage Campaign Targeting Gambling Operations“.

LokiBot gibt sich als bekannter Game Launcher aus

Originalbeitrag von Augusto Remillano II, Mohammed Malubay und Arvin Roi Macaraeg, Threat Analysts

Der Trojaner LokiBot, der vertrauliche Daten wie Passwörter und auch Kryptowährungsinformationen stehlen kann, wird von seinen Hintermännern offenbar weiter entwickelt. Bereits in der Vergangenheit gab es eine Kampagne, die eine Remote Code-Execution-Schwachstelle missbrauchte, um LokiBot über den Windows Installer-Service zu verbreiten. Dabei ging es um eine Lokibot-Variante, die ISO Images einsetzt, sowie eine mit verbessertem Persistenz-Mechanismus via Steganographie. Nun entdeckten die Sicherheitsforscher von Trend Micro, dass LokiBot (Trojan.Win32.LOKI) sich als ein beliebter Game Launcher tarnt, um Nutzer zu überlisten, den Schädling auf ihren Maschinen auszuführen. Die Analyse eines Samples dieser Variante zeigte, dass sie eine seltsame Installationsroutine einsetzt, die eine compilierte C#-Codedatei ablegt. Diese ungewöhnliche Variante mit einer „Compile after Delivery“-Technik zur Vermeidung seiner Entdeckung wurde mithilfe der maschinellen Lernfähigkeiten in den Trend Micro-Lösungen proaktiv erkannt und geblockt.

Die Infektion startet mit einer Datei, die vorgibt, der Installer im Epic Games-Store (Entwicklungsfirma von Spielen wie Fortnite) zu sein. Am Ende der Infektionskette wird die LokiBot-Payload ausgeführt. Wie die meisten aktiven Infostealer zeigen die Weiterentwicklungen bei den Installations- und Verschleierungsmechanismen, dass LokiBot seine Aktivitäten nicht so bald einstellen wird. Technische Einzelheiten des Angriffs sowie die Indicators of Compromise umfasst der Originalbeitrag.

Trend Micro-Lösungen

Trend Micro™ Deep Discovery™ bietet Erkennung, tiefgehende Analyse und proaktive Reaktionen auf Angriffe mit Exploits und ähnlichen Bedrohungen. Dafür setzt die Lösung spezielle Engines, nutzerkonfiguriertes Sandboxing und eine nahtlose Korrelation-über den gesamten Lebenszyklus des Angriffs ein. Unterstützt wird sie durch Trend Micro XGen™ Security mit einer generationsübergreifenden Kombination aus Abwehrtechniken gegen eine Vielfalt von Bedrohungen für Datencenter, Cloud-Umgebungen, Netzwerke und Endpunkte. Die Lösung umfasst High-Fidelity Machine Learning, um Daten und Anwendungen am Gateway und den Endpunkten, ebenso wie physische, virtuelle und Cloud-Workloads zu sichern.

Eine Reise durch die IoT-Bedrohungslandschaft

Die offensichtlichen Vorteile von Internet of Things (IoT)-Geräten für Unternehmen und Verbraucher sowie deren Erschwinglichkeit haben dazu geführt, dass ihre Beliebtheit stark steigt. Viele sind für Plug-and-Play ausgelegt, vollständig kompatibel mit anderen Maschinen und lassen sich leicht von gängigen Anwendungen aus verwalten. Doch mit der zunehmenden Integration des IoT in Unternehmen und Privathaushalte vergrößert sich auch die damit zusammenhängende Bedrohungslandschaft. Trend Micro gibt einen Überblick über die wichtigsten Bedrohungen und Schwachstellen für IoT-Geräte am Rand oder innerhalb des Netzwerks und in der Cloud. Der Beitrag liefert auch Einblicke in den cyberkriminellen Untergrund.

Geräte am Rand des Netzwerks

Die Interaktion mit IoT-Geräten ist nicht mehr zu vermeiden. Abgesehen von Smartphones und Laptops statten Unternehmen ihre Büros mit Geräten aus, die die Sicherheit und Effizienz fördern, von intelligenten Leuchten bis hin zu Sicherheitskameras und vernetzten Druckern. Viele Devices halten auch Einzug in Wohnräume, so etwa vernetzte Kühlschränke bis hin zu intelligenten Thermostaten. Mit zunehmender Abhängigkeit von diesen Geräten muss deren Absicherung von höchster Bedeutung sein. Ein erster Schritt dahin besteht darin, ein Bewusstsein für mögliche Schwachstellen und Bedrohungen zu schaffen.

Home-Umgebungen

Smart Home-Geräte sind bekanntermaßen anfällig und Hacker nutzen dies natürlich aus. Wenn immer komplexere IoT-Umgebungen entstehen, so können Angreifer die Devices als Tor zum Netzwerk eines Nutzers missbrauchen. Dazu gehören smarte Glühbirnen, Schlösser, Fernseher und vieles mehr. Die Vernetzung öffnet Wohnungen für Eindringlinge, Informationsdiebstahl und das Ausspionieren.

Unternehmensumgebungen

Unternehmen sind sich der Bedrohungen für Laptops, Tablets oder Smartphones, mit denen ihre Mitarbeiter arbeiten, bewusst und haben Sicherheitsteams, die für den Schutz der Endpunkte im Netzwerk und des Netzes selbst zuständig sind. Doch bringen die Mitarbeiter auch eigene IoT-Geräte mit, die sie mit dem Unternehmensnetzwerk verbinden. Unternehmen müssen sich also auch mit Risiken und Bedrohungen auseinandersetzen – von gezielten Angriffen bis hin zu Hacking und Datenverstößen.

Bild 1. Persönliche IoT-Geräte in BYOD-Umgebungen stellen ein ernstes Risiko dar

Angreifer suchen ein exponiertes IoT-Gerät aus, das sie dann dafür benutzen, um auf das damit verbundene System zuzugreifen und so einen gezielten Angriffe zu starten. Selbst einfache Online-Recherchen können ihnen genügend Informationen liefern, um Schwachstellen im System eines Unternehmens zu finden und Schäden am Netzwerk und an den Vermögenswerten des Ziels zu verursachen.

Nicht gepatchte Geräte stellen häufig ein Risiko dar, weil Angreifer bekannte Schwachstellen ausnutzen können, um einzudringen und sich dann privilegierten Zugriff auf Unternehmensnetzwerke zu verschaffen. Es kann zu Dateneinbrüchen oder zu exponierten Daten kommen, Manipulation anderer Assets, Zugriff auf Server und Systeme, Einschleusen von Malware oder gar zur physischen Unterbrechung des Betriebs.

Hacker könnten auch angreifbare Geräte in ein Botnet integrieren. Botnets stellen ein großes Problem dar: Daten aus dem Trend Micro™ Smart Home Network von 2018 bis 2019 zeigen einen Anstieg von 180% bei Brute Force-Anmeldeversuchen. Diese Arten von Angriffen stehen  mit Botnets in Verbindung, da Cyberkriminelle diese Taktik nutzen, um mit einer Vielzahl aufeinanderfolgender Versuche ein Passwort zu erraten.

Netzwerke

Cyberkriminelle, die ein Unternehmenssystem kompromittieren, den Betrieb unterbrechen, Informationen stehlen oder auf vertrauliche Daten zugreifen wollen, nehmen typischerweise mit öffentlichen Netzwerken verbundene IoT-Geräte ins Visier. Darum ist es für die Sicherheit entscheidend, häufig verwendete Funktionalität und typische Devices in Unternehmen und zu Hause zu schützen.

  • Network Attached Storage (NAS). Diese Geräte waren schon immer angreifbar und damit beliebtes Ziel für Hacker. Die Ausnutzung bestimmter Schwachstellen ermöglicht es Angreifern, die Authentifizierung zu umgehen, Code auf dem Gerät auszuführen und Nutzerdaten herunterzuladen oder zu manipulieren. Sie werden auch von Ransomware oder anderer Schadsoftware angegriffen, um DDoS-Attacken zu starten oder Krypto-Mining auszuführen.
  • Universal Plug-and-Play (UPnP). Viele IoT-Geräte, wie Kameras, Spielekonsolen und Router umfassen ein Universal Plug-and-Play (UPnP)-Feature, über das die vernetzten Geräte kommunizieren, Daten austauschen oder Funktionen koordinieren. Nutzen Hacker nun Lücken in den UPnP-Funktionen aus, so können sie Maschinen kompromittieren oder gar die Kontrolle darüber übernehmen. Router und andere können zu Proxys umgewandelt werden, um die Herkunft von Botnets zu verschleiern, für DDoS-Angriffe (Distributed Denial of Service) eingesetzt oder gar zum Versenden von Spam genutzt werden.
  • Internet Protocol (IP). IP-Geräte lassen sich einfach installieren, sie skalieren gut und bieten Analytics. Leider sind sie auch für Sicherheitslücken anfällig. Sie werden mit den Standardeinstellungen und -anmeldedaten genutzt, sodass Hacker ein leichtes Spiel haben. Viele Malware-Autoren erstellen Schadsoftware für IP-Devices, so etwa TheMoon (eine der ältesten Familien dieser Gruppe) und Persirai.
  • Unsichere ältere Technologie. Häufig ist es ältere Technologie, die in einem Netzwerk oder in vernetzten Systemen eingesetzt wird, die Unternehmen einem bestimmten Risiko aussetzt. So beinhaltete die Faxploit-Sicherheitslücke Stack Overflow-Fehler in der Implementierung des Fax-Protokolls in bestimmten Druckern. Mit einer speziellen Faxnummer konnte ein Angreifer das Netzwerk und die damit verbundenen Systeme kapern, Geräte mit Malware infizieren oder Daten stehlen.

Bild 2. Typischer Angriffsablauf im Zusammenhang mit IP-Kameras

Cloud-Lösungen

Organisationen und sogar gewöhnliche Benutzer verwenden mittlerweile Cloud Computing und Cloud-basierte IoT-Lösungen für eine einfachere Geräteverwaltung und Datenspeicherung. Damit ergeben sich mehrere potenzielle Angriffsvektoren:

  • API-Gateways fungieren als Türöffner zur Cloud und begrenzen den Verkehr von IoT-Geräten. Und aufgrund der Art und Weise, wie sie genutzt werden, könnten falsch konfigurierte Gateways Geräte oder Dienste zu Sicherheitsbelastungen machen. Bedrohungsakteure können die Gateways für böswillige Aktivitäten wie das Fälschen einer Befehlssequenz nutzen, indem sie die Logik zwischen den APIs ändern und dadurch mehr Schwachstellen in den Prozess einbringen. Weitere mögliche Aktivitäten sind Benutzer-Spoofing, Man-in-the-Middle (MiTM)-Angriffe und Replays von Sitzungen.
  • Entwickler passen die Regeln und Richtlinien für IoT-Geräte, die mit Cloud-Servern verbunden sind, für das Identitäts- und Zugriffsmanagement (IAM) an. Fehlkonfigurationen innerhalb von Authentifizierungsrollen, Richtlinien oder zugewiesenen Schlüsseln beispielsweise können schwerwiegende Probleme verursachen. Hacker wären in der Lage, den Datenverkehr und den Zugriff zu kontrollieren, den Server zu beschädigen, komplexere Angriffe durchzuführen, den Cloud-Service zu kontrollieren oder einen Gast oder einen legitimen Gerätebenutzer zu fälschen.
  • Auch Fehlkonfigurationen in anderen Geräten, Cloud-Gateways und Infrastrukturen weisen Schwächen in der Sicherheit des Datenverkehrs oder des Pfades auf und setzen das Gerät oder den Cloud-Server Angriffen aus.

Cyberkrimineller Untergrund

Die Recherche zu cyberkriminellen Undergrundforen und Sites zeigt das steigende Interesse am Hacking von IoT-Geräten. Es gibt dort viele Angebote für entsprechende Services und sogar Anleitungen für den Missbrauch von Schwachstellen und das Hacken von Devices. Die angebotenen Dienste reichten vom Zugriff auf kompromittierte Geräte und die Nutzung von Botnets bis hin zu DDoS-Diensten und privaten IoT-basierten VPNs. Die Offerten gibt es in englischen Foren und Diskussionen, sowie auf russischen, portugiesischen, arabischen und spanischen Sites.

Weitere Forschungsergebnisse zu IoT-Bedrohungen finden Sie unter:

The IoT Attack Surface: Threats and Security Solutions

IoT Devices in the Workplace: Security Risks and Threats to BYOD Environments

From Homes to the Office: Revisiting Network Security in the Age of the IoT

Pwn2Own: Deutsche erfolgreich beim Hacken industrieller Kontrollsysteme

Beim ersten Pwn2Own in Miami ging es um das Hacking von ausschließlich Industrial Control Systems (ICS). Der Wettbewerb, veranstaltet von der Zero Day initiative (ZDI) von Trend Micro, umfasste acht zu testende Ziele in fünf Kategorien (Control Server, OPC Unified Architecture (OPC UA) Server, DNP3 Gateway, Human Machine Interface (HMI)/Operator Workstation und Engineering Workstation Software). Mehr als 250.000 $ an Preisgeldern wurden bereitgestellt. Die deutschen Teilnehmer Tobias Scharnowski, Niklas Breitfeld und Ali Abbasi aus Bochum konnten sich den zweiten Platz in der Endwertung gegen starke Konkurrenz sichern.

Dem Team vom Horst Görtz Institut für IT-Sicherheit an der Ruhr-Universität Bochum gelang es zuerst in der HMI-Kategorie, mit einem Out-of-Bounds (OOB) Zugriffs-Exploit Code auszuführen auf Rockwell Automation FactoryTalk View SE. Auch in der Control Server-Kategorie waren sie erfolgreich Schließlich gelang ihnen auch die Ausführung von Code auf dem Triangle Microworks SCADA Data Gateway. Diese Lösungsansätze brachten dem Team 87,5 Punkte für den zweiten Platz mit insgesamt 75.000 Dollar Preisgeld.

Den ersten Platz belegte das Incite Team von Steven Seeley und Chris Anastasio. Ihnen gelang in der DNP3-Gateway-Kategorie über einen Stack-basierten Overflow ein DoS auf dem Triangle Microworks SCADA Data Gateway sowie in der Control Server-Kategorie die Code-Ausführung aus der Ferne auf Systemebene auf der Inductive Automation Ignition. Auch in der EWS-Kategorie konnten sie einen Erfolg verbuchen. Nach weiteren zwei gelungenen Hacking-Tests stand das Incite Team mit 92,5 Punkten und 80.000 $ Preisgeld als Sieger fest.

Weitere Einzelheiten zum Hacking-Wettbewerb umfasst der Blog des ZDI.

CurveBall: Öffentlicher PoC für kritischen Microsoft-NSA Fehler

Die Sicherheitsforscher Saleem RashidKudelski Security und Ollypwn haben Proof-of-Concept Code veröffentlicht für die Ausnutzug von CurveBall (CVE-2020-0601). Es ist die erste Sicherheitslücke, die die National Security Agency (NSA) gemeldet hatte. Die Lücke ist im ersten Zyklus 2020 der Patch Tuesday-Updates berücksichtigt worden und betrifft die Validierung des CryptoAPIs der Elliptic Curve Cryptography (ECC)-Zertifikate sowie die Public Key Infrastructure (PKI) in Windows. Unternehmen und Nutzern wird das sofortige Patchen ihrer Systeme empfohlen, um den Missbrauch dieser Sicherheitslücke zu verhindern.

Der Machbarkeitsbeweis zeigt, wie sich der Fehler auf eine der kryptografischen Implementierungen der Windows CryptoAPI (Crypt32.dll)-Bibliotheksfunktion auswirken kann. Die Forscher warnen vor den möglicherweise ernsten Folgen, denn jede Software, die sich auf die Windows  CertGetCertificateChain()-Funktion verlässt, um die Gültigkeit eines ECC X.509-Zertifikat zu prüfen, kann fälschlicherweise einer bösartigen Zertifikatskette (einschließlich solcher von Drittanbietern) die Vertrauenswürdigkeit bescheinigen. Zu den betroffenen Microsoft-Versionen gehören Windows 10 und Windows Servers 2016 sowie 2019.

Nutzt ein Angreifer den Fehler aus, kann er die Gültigkeit des ECC für Dateien, Anwendungen, Netzwerkverbindungen, Emails und ausführbaren Dateien fälschen und sie als vertrauenswürdig, von einem legitimen Anbieter abstammend darstellen. Die gefälschte Gültigkeit ermöglicht unter anderem den Zugriff auf die Entschlüsselung von vertraulichen Informationen über Benutzerverbindungen, Man-in-the-Middle-Angriffe und die Ausnutzung aus der Ferne.

Microsoft stellt in dem Security Advisory fest, dass die Ausnutzung des Fehlers wahrscheinlich ist, vor allem, da öffentliche Demo-Codes verfügbar sind. Die NSA erklärt in ihrem Cybersecurity Advisory, dass die verfügbaren Patches lediglich der Minderung der Bedrohung dienen, obwohl einige Forscher bereits festgestellt haben, dass ein Update für Windows Defender veröffentlicht wurde, um aktive Exploit-Versuche zu erkennen und Benutzer zu warnen. Anwendern wird empfohlen, die Patches so schnell wie möglich herunterzuladen.

Trend Micro-Lösungen

Trend Micro-Anwender sind vor der Bedrohung über folgende Regeln geschützt:

Detailliertere Informationen dazu gibt es auf der Business Support-Seite.

Sicherheit für die Cloud-vernetzte Welt im Jahr 2020

Originalbeitrag von Ross Baker

Für CISOs war 2019 ein hartes Jahr. Die letzten zwölf Monate fuhren einen neuen Rekord ein bei Datenschutzverletzungen, Cloud-Fehlkonfigurationen und Sicherheitsbedrohungen auf DevOps-Ebene. Angriffe durch Ransomware, dateilose Malware und auch die Bedrohungen durch Business Email Compromise (BEC) nahmen weiterhin zu. Allein Trend Micro blockte in der ersten Hälfte 2019 mehr als 26,8 Mrd. einzigartige Bedrohungen. Die Situation wird sich in diesem Jahr nicht verbessern, und die Verantwortlichen für Cybersicherheit müssen sicherstellen, dass sie mit vertrauenswürdigen Partnern zusammenarbeiten – Anbietern mit einer klaren Zukunftsvision. Während des letzten Jahres hat eine überzeugende Mischung aus Produktinnovation, Übernahmen und die Anerkennung durch unabhängige Branchengremien Trend Micro als einen solchen Partner qualifiziert.

Risiken durch digitale Medien

Wenn es heute um digitale Transformation geht, so heißt das zumeist Cloud-Computing-Systeme. Die Investitionen in Plattformen wie AWS, Azure und andere haben den Unternehmen enorme Vorteile gebracht, denn sie unterstützen Organisationen dabei, skalierbarer, effizienter und agiler zu werden. Cloud-Plattformen geben Entwicklern die Flexibilität, die sie benötigen, um DevOps und Infrastructure-as-Code (IaC)-Initiativen voranzutreiben, um innovative Kundenerlebnisse zu bieten, und die Plattformen mit wenigen Klicks an die Marktanforderungen anzupassen.

Die Kehrseite davon bedeutet aber, dass diese IT-Transformation die Organisationen einer Reihe neuer Risiken ausgesetzt hat. Bei so vielen potenziell lukrativen Kundeninformationen, die in Cloud-Datenbanken liegen, sind sie zu einem Hauptziel für Hacker geworden. Trend Micro prognostiziert für 2020 eine Flut von Angriffen gegen Cloud-Anbieter über das Einschleusen von Code. Des Weiteren werden Schwachstellen in Container- und Microservices-Architekturen auftauchen, viele davon durch die Wiederverwendung von quelloffenen Komponenten. Fast 9 Prozent der 2018 weltweit heruntergeladenen Komponenten enthielten einen Fehler. Recherchen ergaben, dass 30 Prozent davon kritisch waren.

Die Komplexität von Multi- und hybriden Cloud-Systemen erhöht den Druck auf IT-Admins. Wenn so viel auf dem Spiel steht, ist es unvermeidlich, dass dies zu menschlichen Fehlern führt. Fehlkonfigurationen sind im Jahr 2019 zu einer der Hauptnachrichten geworden. Die Untersuchungen von Trend Micro im vergangenen Jahr ergaben auch, dass über die Hälfte der DevOps Teams in globalen Organisationen nicht über die geeigneten Werkzeuge verfügen, um ihre Arbeit richtig machen zu können.

Sicherheit einfach gestalten

Trend Micro will die Kunden bei ihrem Weg durch diese instabile Landschaft zur Seite stehen. Nur ein paar Beispiele dessen, was der japanische Anbieter zum Schutz der Kunden unternimmt:

Cloud Conformity: Die Übernahme dieses führenden Anbieters von Managementlösungen für Cloud-Sicherheit bietet globalen Anwendern dringend benötigte Fähigkeiten für die permanente Überprüfung. Am auffälligsten ist die Fähigkeit von Cloud Conformity, komplexe Cloud-Umgebungen zu durchleuchten und aufzuzeigen, wo Fehlkonfigurationen existieren und einfache Schritte zur Abhilfe zu ergreifen.

SnykTrend Micro arbeitet mit diesem entwicklerorientierten Open-Source-Sicherheitsanbieter zusammen mit dem Ziel, die Risiken von DevOps zu verringern, die sich aus gemeinsam genutztem Code ergeben. Trend Micro Container-Image-Scans zeigen Schwachstellen und Malware in der Software-Build-Pipeline auf, und virtuelles Patching schützt gegen deren Ausnutzung zur Laufzeit. Mit Snyk Applications Security Management können Entwickler diese Fehler in ihrem Code schnell und einfach beheben.

CloudOne: Trend Micro kombiniert alle Cloud-Sicherheitsfähigkeiten in einer schlanken Plattform, und deckt damit CSPM, Anwendungssicherheit, Container-, Workload-, Cloud-Netzwerk- und Dateispeicher-Sicherheit ab. Die Plattform stellt eine automatisierte, flexible, einheitliche Lösung dar, die die Komplexität von modernen hybriden und Multi-Cloud-Umgebungen vereinfacht.

Anerkennung durch Analysten: Kürzlich hat etwa IDC Trend Micro im neuesten „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominanten Leader“ aufgeführt. Trend Micro hält mehr als zwei Fünftel der Marktanteile im SDC Workload-Sicherheitsmarkt, nahezu dreimal so viele wie der nächste Mitbewerber.

Bösartige Apps in Google Play mutmaßlich von SideWinder APT Gruppe

Die Sicherheitsforscher von Trend Micro haben drei bösartige Apps im Google Play Store gefunden, die zusammenarbeiten, um das Gerät ihres Opfers zu infizieren und Nutzerinformationen zu sammeln. Eine der Apps, Camero, nutzt CVE-2019-2215 aus, eine Schwachstelle in Binder (wichtigstes Interprozesskommunikationssystem in Android). Es ist der erste bekannt gewordene aktive Angriff, der die Use-after-Free-Sicherheitslücke missbraucht. Nach weiterer Recherche stellten die Forscher fest, dass die drei Apps wahrscheinlich zum Arsenal der SideWinder-Gruppe gehören. Diese Gruppe ist seit 2012 aktiv und hat bereits Windows-Maschinen in Militäreinrichtungen anvisiert.

Die drei bösartigen Apps geben sich als Foto- und Dateimanager-Tools aus. Zertifikatsinformationen in einer der drei Apps lassen darauf schließen, dass sie seit Mai vergangenen Jahres aktiv sind. Mittlerweile wurden sie aus Google Play entfernt.

Die drei bösartigen Apps

Weitere technische Details liefert der Originalbeitrag.

Schutzlösungen

Trend Micro-Lösungen wie Mobile Security for Android™ (auch in Google Play erhältlich) sind in der Lage, diese Art von Bedrohungen zu erkennen. Nutzer können auch von den mehrschichtigen Sicherheitsfähigkeiten profitieren, die die Daten und die Privatsphäre vor Ransomware, betrügerischen Websites und Identitätsdiebstahl schützen.

Mobile Security for Enterprise wiederum liefert Geräte-, Compliance- und Anwendungsmanagement, Schutz der Daten sowie Konfigurations-Provisioning. Auch schützt die Lösung Geräte vor Angriffen, die Schwachstellen ausnutzen und erkennt und blockt Schadsoftware sowie betrügerische Websites. Trend Micro Mobile App Reputation Service (MARS) kann vor Android- und iOS-Bedrohungen schützen, wie etwa durch Schadsoftware, Zero-Days und bekannte Exploits sowie Vertraulichkeits-Leaks und Anwendungssicherheitslücken. Dafür setzt der Dienst auf fortschrittliche Sandbox- und Machine Learning-Technologie.

IDC erkennt Trend Micro als Marktführer beim Schutz von SDC-Workloads an

Von Richard Werner, Business Consultant bei Trend Micro

Moderne Unternehmen setzen auf die Hybrid Cloud und DevOps, um schneller auf sich ändernde Marktanforderungen reagieren zu können. Aber dieses durch Innovation voran getriebene digitale Wachstum können sie nur mit einem starken und sicheren Fundament erreichen. Trend Micro hat als einer der ersten Anbieter bereits vor einem Jahrzehnt diesen Trend und die damit einhergehenden Sicherheitsherausforderungen erkannt, und ist heute als Marktführer anerkannt. IDC führt Trend Micro im aktuellen Bericht „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominant Leader“ beim Schutz von Software-Defined Compute (SDC)-Workloads und die Nummer 1 nach Marktanteilen.

Der IDC-Bericht stellt fest, dass SDC eine Vielzahl von Abstraktionstechnologien über den Software-Stack hinweg umfasst. Vom technischen Standpunkt ist SDC Workload-Sicherheit ein Unterbereich der Endpunktesicherheit. Doch sie ist in erster Linie auf den Schutz von virtuellen Maschinen (VMs), Containern und Cloud-Systemsoftware ausgerichtet und wird daher häufig im Kontext von Cloud-Umgebungen eingesetzt. Zu den Tools dieser Kategorie gehören unter anderen Anti-Malware, Firewall, Host-Intrusion Detection, Application Control und Integritätsüberwachung.

Die Cloud aber, und damit VMs und Container, werden zunehmend für die Entwicklung und Unterstützung der Anwendungen auf Microservice-Basis genutzt. Diese Umgebungen rücken somit noch weiter in den Fokus von Hackern. Cloud-Plattformen laufen Gefahr, vor allem über Code Injection angegriffen zu werden, sei es direkt oder über Drittanbieter-Bibliotheken, während Container und serverlose Architekturen aufgrund von angreifbaren Shared Code-Komponenten ausgenutzt werden können. Für Unternehmen, deren Cloud-Systeme und Anwendungen gehackt werden, kann dies eine Verzögerung oder gar den Stillstand auf ihrem digitalen Wachstumspfad bedeuten.

Eine stetige Entwicklung

IDC zufolge liegt der Anteil von Trend Micro am SDC Workload-Sicherheitsmarkt bei mehr als zwei Fünftel. Das ist nahezu dreimal so viel wie der Anteil des nächsten Wettbewerbers. Diese dominante Position ist auch unserem über Jahre hinweg stetigen Aufbau von Schutzmechanismen für diesen Sicherheitsbereich zu verdanken. Bereits 2009 übernahm Trend Micro einen zu der Zeit wenig bekannten Anbieter namens Third Brigade eines Host-basierten Intrusion-Prevention Systems und einer Firewall. Dies war der Beginn einer langen stetigen Weiterentwicklung unserer Fähigkeiten für virtuelle, Hybrid Cloud- und Container-Umgebungen.

Heute bietet Trend Micro umfassende Sicherheit über physische, virtuelle und Hybrid Cloud-Umgebungen hinweg, und dies aus einer einzelnen, übersichtlichen Schnittstelle heraus und mit enger Integration in AWS, Azure und GCP. Trend Micro richtet das Augenmerk auch auf Automatisierung und Security-as-Code, um nahtlosen Schutz in DevOps-Pipelines zu gewährleisten, einschließlich des Scannens von Container-Images vor der Ausführung.

Vor kurzem veröffentlichte Trend Micro XDR mit der Möglichkeit, Daten über E-Mail-, Netzwerk-, Endpunkt-, Server- und Cloud-Workloads hinweg zu korrelieren, um bösartige Workload-Aktivitäten zu erkennen und zu blockieren. Darüber hinaus übernahmen wir den führenden Anbieter von Cloud Security Posture Management Cloud Conformity, dessen Technologie das Aufspüren von Fehlkonfigurationen und Compliance/Governance-Problemen unterstützt.

All diese und weitere Funktionen werden in Kürze als Teil einer ganzheitlichen Cloud One-Lösung angeboten, die es Unternehmen ermöglicht, automatisierten Schutz über eine einzige Konsole zu erhalten – und damit Risiken, Verwaltungskosten und Abrechnungsprobleme zu minimieren. Wir bei Trend Micro blicken immer einen Schritt voraus, um Schutz dort zu bieten, wo er gebraucht wird.

Sicherheit von 5G-Konnektivität im Unternehmen

Um von den Vorteilen von 5G zu profitieren, sind umfassende Vorbereitung und Planungen erforderlich. Es bietet sich an, zuerst die Änderungen zu erfassen, die 5G-Netzwerke für ein Unternehmen und dessen Sicherheit mit sich bringen

Die Erwartungen an 5G sind nicht nur wegen dessen technischer Weiterentwicklung hoch, sondern auch wegen der weiteren Technologien, die der Standard ermöglicht. Die neueste Generation der mobilen Funkkommunikation ist eine Antwort auf die schnelle Ausbreitung digitaler Technologie. Heutige schwankende Geschwindigkeiten von 4G- und älteren Netzwerken zeigen nur zu deutlich, wie überfüllt Verbindungen geworden sind. Unbestreitbar besteht ein Bedarf an Breitbandnetzwerken, die nicht nur schneller sind, sondern auch eine konsistente Konnektivität für bedeutend mehr Geräte liefern können

Doch die kommenden Vorteile kann nur nutzen, wer einen realistischen Ansatz für die Implementierung von 5G wählt. Dazu gehört auch eine Vorbereitung auf die dynamische, volatile, datengetriebene Art und Weise des Standards, denn diese Charakteristiken können für die Sicherheit eines Unternehmens Folgen haben und damit die von 5G angekündigten Fortschritte zunichtemachen.

Cybersecurity- und Datenfragen in 5G
Einer der ersten Problembereiche bei der Umsetzung von 5G ist die Menge der gesammelten Daten und wie sie interpretiert werden. Das wiederum wirft Sicherheitsbedenken auf, insbesondere im Hinblick auf die Erkennung. Der Start von 5G könnte die Überprüfung von Regeln zum Herausfiltern von bösartigem Netzwerkverkehr erforderlich machen, da die derzeit verwendeten Regeln die Feinheiten des mit 5G möglichen, stark individualisierten Verkehrs möglicherweise nicht erkennen. Das Hinzukommen weiterer IoT-Geräte könnte zusätzlich Zuordnungsprobleme für Sicherheitsstatistiken bereiten, die bislang nur zur Überwachung von menschlichen Teilnehmern verwendet wurden – im Gegensatz zu Maschinenteilnehmern, einem zweiten Teilnehmertyp, der aus IoT-Geräten besteht.

Von entscheidender Bedeutung für die Vorbereitung auf 5G ist auch die allgemeine Cybersicherheitsstrategie des Unternehmens bezüglich der Übertragung von Daten. Sicherheit muss nach sorgfältiger Planung umgesetzt werden und schließt eine organisierte Struktur mit ein, die dazu beiträgt, Angriffe zu verhindern oder ihre Auswirkungen abzuschwächen sowie Raum für notwendige Veränderungen in der Zukunft zu schaffen. Das Fehlen einer Sicherheitsarchitektur führt möglicherweise zu deiner Verzögerung des Einsatzes neuer Technologien wie der von 5G.
Zudem hat der Wechsel von hardware- zu softwaredefinierten Netzwerken einen Einfluss auf die benötigten Fähigkeiten für den geeigneten Betrieb und Absicherung von Netzwerkprozessen. Unternehmen werden mehr Fachleute brauchen, die die Hauptprobleme in einem softwaredefinierten Netzwerk identifizieren können, und gleichzeitig für eine erweiterte Incident Response sorgen. Aktuelle Sicherheitsteams müssen möglicherweise auch ihre Fähigkeiten in der Softwarecodierung ausweiten, um mit höherer Genauigkeit  Daten, die mit der Verwendung von 5G verbunden sind, zu interpretieren und zu profilieren

Absichern des Unternehmens
Verschiedene Sicherheitstechniken und –technologien unterstützen bei der Lösung dieser Fragen und erleichtern den Wechsel auf 5G. Abhilfe bei sinkender Leistung einer Sicherheitsarchitektur infolge von schwachen Erkennungsraten kann beispielsweise der Einsatz eines Sicherheitsorchestrators schaffen oder geschäftsorientierte Regeln auf Machine Learning-Basis, die Sicherheit und Vertraulichkeit als Funktion einsetzen. Die Verwendung von 5G Machine Learning kann auch dabei unterstützen, eine neue Referenzlinie zu erstellen, die wiederum identifiziert, was akzeptabler Netzwerkverkehr ist. Dadurch wird der Druck auf Sicherheitspersonal oder Experten im Unternehmen reduziert

Einzelheiten zu den möglichen Auswirkungen von 5G auf die Unternehmenssicherheit sind im Trend Micro-Whitepaper „The Deep Blue Sea of 5G” enthalten.