Schlagwort-Archive: Microsoft

Trickbot-Trojaner verbreitet sich als DLL und richtet sich auf Windows 10 aus

Originalbeitrag von Trend Micro

Verschiedenen Kampagnen machen deutlich, wie die Hintermänner des Banking-Trojaners Trickbot die Ausführungs- und Verschleierungstechniken des Schädlings weiterentwickelt haben. Zum einen kann der Trojaner jetzt als Dynamic Link Library (DLL)-Dateien verbreitet werden, zum anderen besitzt er derzeit Fähigkeiten, die exklusiv auf Windows 10 ausgerichtet sind.

Trickbot via DLL verbreiten

Statt wie bislang üblich eine EXE.-Datei als Loader zu nutzen, verwendet die neue Trickbot-Variante DLL-Dateien. Der Schädling wird von einem Word-Dokument abgelegt, das vermutlich über bösartige Anhänge in Spam-Mails verbreitet wird. Technische Einzelheiten beinhaltet der Originalbeitrag.

Trickbot wurde im August 2016 entdeckt. Der Banking-Trojaner stiehlt Email-Zugangsdaten von infizierten Computern. Die kompromittierten Mail-Konten nutzt er dann für die Verbreitung von bösartigen Mails. Die Hintermänner des Schädlings haben diesen mit immer neuen Fähigkeiten ausgestattet, wie etwa zum Vermeiden von Erkennung und Bildschirmsperren, sowie für das Remote Abgreifen von Anwendungs-Credentials. Auch zielte Trickbot bereits früher auf OpenSSH und OpenVPN oder wurde über verborgene JavaScript-Dateien verbreitet.

Ausschließlich auf Windows 10 ausgerichtete Fähigkeiten

Zu den exklusiv auf Windows 10 zugeschnittenen Funktionen gehören solche, die eine Erkennung in Sandboxen, die frühere Windows-Versionen nachahmen, verhindern. Technische Einzelheiten liefert der Originalbeitrag.

Schutz vor Trickbot

Angesichts von mehr als 250 Mio. kompromittierten Email-Konten müssen Unternehmen und Anwender die permanente Weiterentwicklung dieses Schädlings im Auge behalten. Als Schutzmaßnahme gegen den Trojaner sollten Unternehmen interne Schulungen zu den Möglichkeiten der Minderung der Gefahr durch Email-Bedrohungen durchführen. Mitarbeiter müssen lernen, bösartige Email zu erkennen. Es muss ihnen klar werden, dass sie keine Anhänge herunterladen dürfen oder Links aus unbekannten Quellen anklicken.

Sicherheitslösungen wie Trend Micro Email Security erkennen und stoppen Spam, bevor er Schaden anrichten kann. Trend Micro Smart Protection Suites beruht XGen™ Security und kombiniert Machine Learning-Technologien mit einer Reihe von Schutztechniken, um alle Sicherheitslücken auf jeglichen Endpunkten zu schließen und so den bestmöglichen Schutz vor fortgeschrittenen Angriffen zu liefern.

Eine Auflistung der Indicators of Compromise finden Sie im Originalbeitrag.

Zusätzliche Analysen von Angelo Deveraturda

Sicher arbeiten im Home Office

von Udo Schneider, Security Evangelist DACH

Um ihre Mitarbeiter vor einer möglichen Ansteckung mit dem neuartigen Coronavirus zu schützen, ermöglichen immer mehr Unternehmen das Arbeiten von zu Hause aus – oder ordnen dies sogar an. Gerade für Unternehmen, die eine solche Regelung erstmalig einführen, vergrößert sich dadurch jedoch auch die Angriffsoberfläche für Cyber-Attacken. Trend Micro warnte bereits in seinen Sicherheitsvorhersagen für das Jahr 2019 vor der wachsenden Gefahr durch Home-Office-Modelle.

Damit der Schutz vor biologischen Gefahren nicht durch erhöhte Anfälligkeit für digitale Bedrohungen erkauft wird, sollten Unternehmen eine Reihe von Vorsichtsmaßnahmen ergreifen, nicht nur technischer sondern auch juristischer Natur:

  • Alle Geräte, von denen Nutzer auf Unternehmensressourcen zugreifen, sollten durch regelmäßige Updates und Patches auf dem aktuellen Stand gehalten werden. Zudem ist es zu empfehlen, diese mit einer zeitgemäßen Endpunkt-Sicherheitslösung vor Cyberangriffen zu schützen.
  • Nutzer sollten auf alle Unternehmensdaten (inklusive E-Mail-Zugang) nur über ein gesichertes Virtuelles Privates Netzwerk (VPN) zugreifen. Mittels Zweifaktor-Authentifizierung lässt sich der Zugang zusätzlich schützen.
  • Cloud-Lösungen wie Office 365, G-Suite oder Dropbox ermöglichen eine einfachere Zusammenarbeit von Mitarbeitern an verschiedenen Standorten oder im Home Office. Leider stellen sie auch ein beliebtes Ziel für Cyberangriffe dar und sollten deshalb mit zusätzlichen Sicherheitslösungen geschützt werden.
  • Der Router spielt im Heimnetzwerk eine zentrale Rolle, da der komplette Netzwerkverkehr über ihn abgewickelt wird. Nutzer müssen deshalb darauf achten, auch ihren Router stets auf dem aktuellen Firmware-Stand zu halten und ihn mit eigenen Schutzfunktionen auszustatten. Dasselbe gilt für andere Geräte mit Netzwerkanbindung wie Multifunktionsdrucker, Netzwerkspeicher (NAS-Systeme) und Smart Speaker. Gerade vor möglichen Angriffsszenarien über vernetzte Lautsprecher hat Trend Micro bereits 2017 gewarnt.
  • Neben technischen Maßnahmen muss die Aufklärung der Mitarbeiter oberste Priorität haben: Cyberkriminelle haben COVID-19 bereits für sich entdeckt und nutzen die Angst vor dem Virus als Köder für Phishing-Angriffe und die Verbreitung von Schadsoftware. Durch Awareness-Schulungen können Mitarbeiter vor solchen Taktiken gewarnt und damit das Risiko eines erfolgreichen Angriffs gesenkt werden.

Weitere Informationen

Wer an weiteren Informationen zum Thema IT-Sicherheit im Home Office interessiert ist, kann sich gern an den Autor Udo Schneider wenden – ein Gespräch findet selbstverständlich „kontaktlos“ per Telefon oder Videokonferenz statt.

2019 blockiert Trend Micro 52 Milliarden Bedrohungen: Hacker erweitern ihr Repertoire

von Trend Micro

Abwechslung ist in den meisten Lebensbereichen willkommen, doch nicht in der Bedrohungslandschaft. Leider müssen sich Sicherheitsexperten heutzutage aber genau damit auseinandersetzen. Der Jahresbericht 2019 von Trend Micro zeigt, dass Hackern mittlerweile eine beispiellose Vielfalt an Tools, Techniken und Verfahren zur Verfügung steht. Bei 52 Milliarden einzigartigen Bedrohungen, die allein von den Trend Micro-Filtern erkannt wurden, könnte dies zu einer übermächtigen Herausforderung für viele IT-Sicherheitsabteilungen werden. Als Reaktion darauf überprüfen zu Recht viele CISOs ihren Ansatz für die Bedrohungsabwehr. Bei vielen von ihnen setzt sich die Erkenntnis durch, dass es sinnvoller ist, sich auf einen Anbieter zu konzentrieren, der den gesamten Schutz liefern kann, statt durch Investitionen in Best-of-Breed-Lösungen unter Umständen Sicherheitslücken zu schaffen und Budgetengpässe zu riskieren.

Zustandsaufnahme

Der Bericht liefert ein alarmierendes Bild einer von Volatilität und Chaos geprägten Bedrohungslandschaft. Finanziell motivierte Cyberkriminelle kooperieren und konkurrieren miteinander, um aus Attacken Profit zu schlagen. Leider gibt es eine Menge Betroffener, denn aufgrund gestiegener Investitionen in Cloud- und digitale Plattformen hat sich die Angriffsfläche im Unternehmen erheblich vergrößert.

Der Bericht hebt vor allem drei Trends hervor:

Ransomware ist auf dem Vormarsch: Obzwar die Anzahl der neuen Familien zurückgegangen ist,  ist die Zahl der entdeckten Ransomware-Komponenten im Laufe der Jahres um 10% auf 61 Millionen gestiegen. Im letzten Jahr hat es immer wieder erfolgreiche Angriffe auf deutsche mittelständische Unternehmen gegeben. Eine aktuelle Umfrage des TÜV-Verbands zeigte, dass in den vergangenen zwölf Monaten in Deutschland jedes zehnte Unternehmen Opfer eines Cyberangriffs geworden ist, wobei jeder fünfte Angriff Ransomware beinhaltete. Dabei spielte der Bankentrojaner Emotet häufig eine unrühmliche Rolle.

Phishing entwickelt sich weiterWie immer entfielen die meisten Bedrohungen (91%), die Trend Micro im vergangenen Jahr blockierte, auf Email-Angriffe, und ab 2018 stieg das Volumen um 15%. Das bedeutet, dass Phishing nach wie vor der Hauptvektor bei Angriffen auf Unternehmen ist. Obwohl insgesamt ein Rückgang der Gesamtzahl der Versuche, Phishing-Websites zu besuchen, zu verzeichnen war, gab es einige Spitzenwerte. Betrüger scheinen Office 365 im Visier zu haben und versuchen, Sicherheitsfilter zu umgehen. Die Zahl der eindeutigen Phishing-URLs, die die Microsoft-Cloud-Plattform fälschten, ist im Vergleich zum Vorjahr um 100% gestiegen. Die BEC-Angriffe, die nach Angaben des FBI im vergangenen Jahr höhere Kosten als jede andere Art von Cyberkriminalität verursachten, nahmen um 5% zu.

Die Supply Chain ist in Gefahr: Die digitale Supply Chain hat sich in den letzten Jahren rapide erweitert und setzt damit mehr Unternehmen einem Risiko aus. Besonders deutlich wurde dies im Bereich des elektronischen Handels im vergangenen Jahr, als es der Magecart Hacking-Gruppe gelang, schätzungsweise zwei Millionen Websites zu kompromittieren. Viele dieser Attacken konzentrierten sich auf Partner der Supply Chain. Auch beobachteten die Sicherheitsforscher einen Anstieg bei Angriffen, die sich auf die Kompromittierung von DevOps-Tools und -Deployments konzentrieren, wie z.B. fehlkonfigurierte Versionen der Docker Engine und ungesicherte Docker-Hosts.

Fazit

Dies ist aber nur die Spitze des Eisbergs. Die Forscher von Trend Micro stellten auch einen Anstieg bei mobiler Malware (6%), IoT-Anmeldungen über Brute-Force (189%) und vieles mehr fest. Um angesichts einer so breit gefächerten Palette von Bedrohungen die Kontrolle zu behalten, sollten CISOs den Ansatz der „Connected Threat Defense“ in Erwägung ziehen. Diese Strategie konsolidiert den Schutz über Gateways, Netzwerke, Server und Endpunkte hinweg auf einen einzigen Anbieter, der die Verteidigung auf jeder Ebene mit einem Fundament aus intelligentem Bedrohungswissen optimiert.

Die folgende Checkliste ist eine Überlegung wert:

  • Netzwerksegmentierung, regelmäßige Backups und kontinuierliche Netzwerküberwachung zur Bekämpfung von Ransomware,
  • Verbesserte Programme für das Sicherheitsverständnis, hilft Nutzern BEC- und Phishing-Versuche besser zu erkennen,
  • Monitoring von Schwachstellen und falschen Konfigurationen der Systeme der Supply Chain-Partner als Schutz vor Magecart-Angriffen,
  • Scannen von Container Images auf Malware und Sicherheitslücken während Build und Laufzeit,
  • Systeme und Software immer auf aktuellem Stand halten sowie
  • Richtlinien für Zweifaktor-Authentifizierung und dem Prinzip der geringsten Privilegien verhindern den Missbrauch von Tools, die über Admin-Logins zugänglich sind, etwa RDP und Entwickler-Tools.

Der gesamte 2019-Sicherheitsbericht steht online zur Verfügung.

Microsoft veröffentlicht Advisory zu Zero-Day-Lücke, einschließlich Workaround

Originalbeitrag von Trend Micro

Vor ein paar Tagen veröffentlichte Microsoft ein Advisory (ADV200001) als Warnung vor CVE-2020-0674. Es geht um eine Remote Code Execution (RCE)-Schwachstelle im Zusammenhang mit dem Internet Explorer (IE). Einen Patch gibt es derzeit noch nicht, wobei Microsoft zugegebenermaßen um die Angriffe über diese Lücke weiß. Der Fehler betrifft alle Windows Desktop- und Serverversionen.

Bei CVE-2020-0674 geht es um die Art, wie die Scripting Engine mit Objekten im Hauptspeicher in IE umgeht. Angreifer können die Schwachstelle ausnutzen, um die Memory zu beschädigen, sodass sie beliebigen Code in der Umgebung des aktuellen Nutzers ausführen können. Dies wiederum kann dazu führen, dass der Cyberkriminelle administrative Rechte erlangt, wenn der Nutzer als Admin angemeldet ist. So kann er potenziell neue Konten einrichten, Daten modifizieren oder gar Anwendungen installieren.

Bei einem Angriff kann ein Bedrohungsakteur eine spezielle Website erstellen, um die Schwachstelle auszunutzen. Benutzer können dann über Social Engineering-Techniken wie z.B. Email mit eingebetteten Links zum Besuch dieser Website verleitet werden.

Empfehlungen für einen Workaround

Microsoft hat einen Workaround veröffentlicht, der den Zugang zu Jscript.dll einschränkt:

Die Anwender von 32-Bit-Systemen sollten als Administrator den folgenden Befehl eingeben:

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Die Anwender von 64-Bit-Systemen wiederum geben den folgenden Befehl ein:

takeown /f %windir%\syswow64\jscript.dll

    cacls %windir%\syswow64\jscript.dll /E /P everyone:N

    takeown /f %windir%\system32\jscript.dll

    cacls %windir%\system32\jscript.dll /E /P everyone:N

Microsoft merkt aber auch an, dass der Workaround zu möglicherweise zu einer reduzierten Funktionalität für die Komponenten und Fähigkeiten bezüglich jscript.dll führen kann. Deshalb ist es ratsam, den Workaround wieder rückgängig zu machen, sobald der Patch vorhanden ist und aufgespielt werden soll. Die folgenden Befehle sind dafür nötig:

Für 32-Bit-Systeme

    cacls %windir%\system32\jscript.dll /E /R everyone   

Für 64-32-Bit-Systeme

cacls %windir%\system32\jscript.dll /E /R everyone   

    cacls %windir%\syswow64\jscript.dll /E /R everyone

Empfehlungen

Da CVE-2020-0674 bereits aktiv ausgenutzt wird, empfiehlt es sich, den Patch zur Behebung des Fehlers anzuwenden, sobald er verfügbar ist. Darüber hinaus kann die Umsetzung des Workarounds während des Wartens auf das Update Angreifer daran hindern, auf anfällige Systeme zu zielen. Eine andere Möglichkeit besteht darin, die den IE über Netzwerkverkehrsblockierung oder Gruppenrichtlinien auszuschalten, bis ein Update kommt. Bei dieser Option gilt es zu bedenken, dass einige Anwendungen oder Websites den Internet Explorer integriert haben könnten und dass diese möglicherweise nicht funktionieren, wenn der Internet Explorer blockiert wird.

Angesichts des Einsatzes bösartiger Websites als Teil der Ausbeutungsroutine der Schwachstelle sollten Unternehmen sicherstellen, dass ihre Mitarbeiter über Phishing-Angriffe ausreichend aufgeklärt werden, während einzelne Benutzer zur Vorsicht beim Anklicken von Links, insbesondere von solchen, die in einer verdächtigen Email-Nachricht eingebettet sind, ermahnt werden.

CurveBall: Öffentlicher PoC für kritischen Microsoft-NSA Fehler

Die Sicherheitsforscher Saleem RashidKudelski Security und Ollypwn haben Proof-of-Concept Code veröffentlicht für die Ausnutzug von CurveBall (CVE-2020-0601). Es ist die erste Sicherheitslücke, die die National Security Agency (NSA) gemeldet hatte. Die Lücke ist im ersten Zyklus 2020 der Patch Tuesday-Updates berücksichtigt worden und betrifft die Validierung des CryptoAPIs der Elliptic Curve Cryptography (ECC)-Zertifikate sowie die Public Key Infrastructure (PKI) in Windows. Unternehmen und Nutzern wird das sofortige Patchen ihrer Systeme empfohlen, um den Missbrauch dieser Sicherheitslücke zu verhindern.

Der Machbarkeitsbeweis zeigt, wie sich der Fehler auf eine der kryptografischen Implementierungen der Windows CryptoAPI (Crypt32.dll)-Bibliotheksfunktion auswirken kann. Die Forscher warnen vor den möglicherweise ernsten Folgen, denn jede Software, die sich auf die Windows  CertGetCertificateChain()-Funktion verlässt, um die Gültigkeit eines ECC X.509-Zertifikat zu prüfen, kann fälschlicherweise einer bösartigen Zertifikatskette (einschließlich solcher von Drittanbietern) die Vertrauenswürdigkeit bescheinigen. Zu den betroffenen Microsoft-Versionen gehören Windows 10 und Windows Servers 2016 sowie 2019.

Nutzt ein Angreifer den Fehler aus, kann er die Gültigkeit des ECC für Dateien, Anwendungen, Netzwerkverbindungen, Emails und ausführbaren Dateien fälschen und sie als vertrauenswürdig, von einem legitimen Anbieter abstammend darstellen. Die gefälschte Gültigkeit ermöglicht unter anderem den Zugriff auf die Entschlüsselung von vertraulichen Informationen über Benutzerverbindungen, Man-in-the-Middle-Angriffe und die Ausnutzung aus der Ferne.

Microsoft stellt in dem Security Advisory fest, dass die Ausnutzung des Fehlers wahrscheinlich ist, vor allem, da öffentliche Demo-Codes verfügbar sind. Die NSA erklärt in ihrem Cybersecurity Advisory, dass die verfügbaren Patches lediglich der Minderung der Bedrohung dienen, obwohl einige Forscher bereits festgestellt haben, dass ein Update für Windows Defender veröffentlicht wurde, um aktive Exploit-Versuche zu erkennen und Benutzer zu warnen. Anwendern wird empfohlen, die Patches so schnell wie möglich herunterzuladen.

Trend Micro-Lösungen

Trend Micro-Anwender sind vor der Bedrohung über folgende Regeln geschützt:

Detailliertere Informationen dazu gibt es auf der Business Support-Seite.

Schutz für Unternehmens-IT nach dem Aus für Windows 7

Originalartikel von Bharat Mistry

Cyberkriminelle sind immer auf der Suche nach Schwachstellen in Unternehmenssystemen. In diesem Zusammenhang stellt natürlich die Abkündigung von wichtiger Software oder von einer Betriebssystemversion eine Riesenchance für sie dar. IT-Sicherheitsteams müssen deshalb gut vorbereitet sein auf das endgültige Aus für Windows 7 und Server 2008/Server 2008 R2 am 14. Januar. Für diejenigen Unternehmen, die ein Upgrade nicht durchführen wollen oder können, gibt es dennoch Hilfe.

Patching-Prioritäten

Das schnelle Patching ist aus gutem Grund eine Best Practice für die Cybersicherheit. IT-Systeme werden schließlich von Menschen entworfen, und das bedeutet unweigerlich, dass sich auch Fehler im Code einschleichen. Diese aber werden von den Cyberkriminellen massiv ausgebeutet, wobei die Gruppen Bedrohungswissen und Angriffs-Tools sowie -techniken untereinander austauschen. Häufig stellt das Ausnutzen der Softwarefehler den ersten Schritt für einen ausgeklügelten Angriff dar, mit dem Ziel des Informationsdiebstahls, einer ernsten Ransomware-Infektion, Cryptojacking oder einer anderen Bedrohung. Die Mehrheit der vom Zero Day Initiative (ZDI) Programm in der ersten Hälfte 2019 entdeckten Schwachstellen wurden als „High Severity“ bewertet.

Umso wichtiger ist es, dass IT-Admins jeden Fehler patchen, um das Unternehmensrisiko möglichst gering zu halten. Doch wenn ein Produkt das Supportende erreicht, wie eben Windows 7 und Server 2008, so bedeutet dies, dass der Anbieter keine Patches mehr dafür veröffentlicht. Unternehmen sollten in erster Linie ein Upgrade in Betracht ziehen, um seine Daten nicht zum Ziel der Hacker zu machen.

Wenn Upgrades nicht in Betracht kommen

Für viele Unternehmen aber sind die Dinge nicht so einfach. Solch große Upgrades für tausende von Unternehmensmaschinen sind teuer und zeitaufwändig, und ein verlängerter Support durch Microsoft ist mit sehr hohen Kosten verbunden. Einige Organisationen können aufgrund von Inkompatibilitäten mit unternehmenskritischen Anwendungen nicht upgraden, denn diese würden mit einer neueren Betriebssystemversion gar nicht laufen. In Operational Technology (OT)-Umgebungen wie Fabriken oder Krankenhäusern ist Windows 7 möglicherweise in ein Gerät oder einen Controller eingebettet, und das bedeutet, dass ein Upgrade die Garantie durch den Hersteller zunichte macht.

Schutz für die wichtigsten Bestände

Hier können Sicherheits-Tools von Drittanbietern Abhilfe schaffen. Trend Micro hat eine Next-Generation Intrusion Prevention-Technologie entwickelt und in die eigenen Produkte integriert, auch als „virtual Patching“ bekannt, die nicht gepatchte Server und Endpunkte schützt. Die Technologie erkennt und blockt Versuche, Software- und Betriebssystemlücken auszunutzen, auch wenn keine Updates von Microsoft vorhanden sind.

Mit dem Einsatz von virtuellem Patching können Unternehmen in einer sicheren Umgebung ihre wertvollen Assets weiter nutzen, um Altbetriebssysteme oder Anwendungen zu betreiben. Diese Funktionalität stellt außerdem sicher, dass keine unnötigen IT-Ausfallzeiten entstehen, während die Patches für die unterstützten Systeme getestet werden, und bedeutet, dass Sie keine Notfall-Patches ausrollen müssen, falls ein größerer Fehler entdeckt wird.

Sicherheit für die Cloud-vernetzte Welt im Jahr 2020

Originalbeitrag von Ross Baker

Für CISOs war 2019 ein hartes Jahr. Die letzten zwölf Monate fuhren einen neuen Rekord ein bei Datenschutzverletzungen, Cloud-Fehlkonfigurationen und Sicherheitsbedrohungen auf DevOps-Ebene. Angriffe durch Ransomware, dateilose Malware und auch die Bedrohungen durch Business Email Compromise (BEC) nahmen weiterhin zu. Allein Trend Micro blockte in der ersten Hälfte 2019 mehr als 26,8 Mrd. einzigartige Bedrohungen. Die Situation wird sich in diesem Jahr nicht verbessern, und die Verantwortlichen für Cybersicherheit müssen sicherstellen, dass sie mit vertrauenswürdigen Partnern zusammenarbeiten – Anbietern mit einer klaren Zukunftsvision. Während des letzten Jahres hat eine überzeugende Mischung aus Produktinnovation, Übernahmen und die Anerkennung durch unabhängige Branchengremien Trend Micro als einen solchen Partner qualifiziert.

Risiken durch digitale Medien

Wenn es heute um digitale Transformation geht, so heißt das zumeist Cloud-Computing-Systeme. Die Investitionen in Plattformen wie AWS, Azure und andere haben den Unternehmen enorme Vorteile gebracht, denn sie unterstützen Organisationen dabei, skalierbarer, effizienter und agiler zu werden. Cloud-Plattformen geben Entwicklern die Flexibilität, die sie benötigen, um DevOps und Infrastructure-as-Code (IaC)-Initiativen voranzutreiben, um innovative Kundenerlebnisse zu bieten, und die Plattformen mit wenigen Klicks an die Marktanforderungen anzupassen.

Die Kehrseite davon bedeutet aber, dass diese IT-Transformation die Organisationen einer Reihe neuer Risiken ausgesetzt hat. Bei so vielen potenziell lukrativen Kundeninformationen, die in Cloud-Datenbanken liegen, sind sie zu einem Hauptziel für Hacker geworden. Trend Micro prognostiziert für 2020 eine Flut von Angriffen gegen Cloud-Anbieter über das Einschleusen von Code. Des Weiteren werden Schwachstellen in Container- und Microservices-Architekturen auftauchen, viele davon durch die Wiederverwendung von quelloffenen Komponenten. Fast 9 Prozent der 2018 weltweit heruntergeladenen Komponenten enthielten einen Fehler. Recherchen ergaben, dass 30 Prozent davon kritisch waren.

Die Komplexität von Multi- und hybriden Cloud-Systemen erhöht den Druck auf IT-Admins. Wenn so viel auf dem Spiel steht, ist es unvermeidlich, dass dies zu menschlichen Fehlern führt. Fehlkonfigurationen sind im Jahr 2019 zu einer der Hauptnachrichten geworden. Die Untersuchungen von Trend Micro im vergangenen Jahr ergaben auch, dass über die Hälfte der DevOps Teams in globalen Organisationen nicht über die geeigneten Werkzeuge verfügen, um ihre Arbeit richtig machen zu können.

Sicherheit einfach gestalten

Trend Micro will die Kunden bei ihrem Weg durch diese instabile Landschaft zur Seite stehen. Nur ein paar Beispiele dessen, was der japanische Anbieter zum Schutz der Kunden unternimmt:

Cloud Conformity: Die Übernahme dieses führenden Anbieters von Managementlösungen für Cloud-Sicherheit bietet globalen Anwendern dringend benötigte Fähigkeiten für die permanente Überprüfung. Am auffälligsten ist die Fähigkeit von Cloud Conformity, komplexe Cloud-Umgebungen zu durchleuchten und aufzuzeigen, wo Fehlkonfigurationen existieren und einfache Schritte zur Abhilfe zu ergreifen.

SnykTrend Micro arbeitet mit diesem entwicklerorientierten Open-Source-Sicherheitsanbieter zusammen mit dem Ziel, die Risiken von DevOps zu verringern, die sich aus gemeinsam genutztem Code ergeben. Trend Micro Container-Image-Scans zeigen Schwachstellen und Malware in der Software-Build-Pipeline auf, und virtuelles Patching schützt gegen deren Ausnutzung zur Laufzeit. Mit Snyk Applications Security Management können Entwickler diese Fehler in ihrem Code schnell und einfach beheben.

CloudOne: Trend Micro kombiniert alle Cloud-Sicherheitsfähigkeiten in einer schlanken Plattform, und deckt damit CSPM, Anwendungssicherheit, Container-, Workload-, Cloud-Netzwerk- und Dateispeicher-Sicherheit ab. Die Plattform stellt eine automatisierte, flexible, einheitliche Lösung dar, die die Komplexität von modernen hybriden und Multi-Cloud-Umgebungen vereinfacht.

Anerkennung durch Analysten: Kürzlich hat etwa IDC Trend Micro im neuesten „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominanten Leader“ aufgeführt. Trend Micro hält mehr als zwei Fünftel der Marktanteile im SDC Workload-Sicherheitsmarkt, nahezu dreimal so viele wie der nächste Mitbewerber.

Prognose 2020: Die Risiken durch Supply Chain-Angriffe werden vorherrschen

Es ist kein Geheimnis, dass der Erfolg moderner Unternehmen zu einem guten Teil von ihren Lieferketten abhängt. Ein durchschnittliches Unternehmen unterhält möglicherweise hunderte unterschiedliche Partnerschaften – von solchen mit professionellen Service-Organisationen bis zu Software Providern und Transportunternehmen. Doch diese Partner können ein zusätzliches Risiko für das Unternehmen bedeuten, vor allem im Cyberbereich. In den aktuellen Vorhersagen für 2020 hebt Trend Micro einige der Schlüsselbereiche hervor, die für Organisationen gefährlich werden können. Dazu gehören die Partnerschaften mit Cloud- und Managed Service Providern (MSP), neue DevOps-Abhängigkeiten und Risiken für die Supply Chain im Zusammenhang mit den involvierten mobilen Mitarbeitern.

Ein neuer Aspekt eines bestehenden Risikos

Cyber-Supply Chain-Risiken per se sind nicht neu. Die berüchtigten NotPetya Ransomware-Angriffe von 2017 beispielsweise starteten über die Software Supply Chain, während Operation Cloud Hopper eine Angriffskampagne darstellte, die globale Unternehmen über deren MSPs attackierte.

Das Risiko infolge der Bedrohung kommt zu einem großen Teil durch die Veränderungen der Arbeitsweise im Unternehmen. Die digitale Transformation wird von vielen als ein wesentlicher Treiber für das Unternehmenswachstum gesehen, der es den Unternehmen ermöglicht, flexibel auf sich ändernde Marktanforderungen zu reagieren. In der Praxis bedeutet dies, dass Cloud und DevOps in den IT-Abteilungen des kommenden Jahrzehnts zunehmend im Mittelpunkt stehen.

Mehr Agilität, mehr Risiko?

Wie alle Veränderungen bringen auch diese neuen Risiken, die beachtet werden wollen. Denn die zunehmende Abhängigkeit von Cloud-Drittanbietern weckt bei Angreifern das Interesse für in diesen Konten gespeicherte Daten. Zu ihren Angriffsvektoren gehören etwa Code Injection, Missbrauch von Deserialisierungs-Bugs, Cross-Site Scripting und SQL Injection. Auch werden sie von Lücken profitieren, die durch die Fehlkonfiguration der Konten entstehen und durch die Daten im öffentlichen Internet exponiert werden.

Darüber hinaus werden Cyberkriminelle die Tatsache ausnutzen, dass DevOps-Teams sich auf Drittanbieter-Code in Container-Komponenten und Bibliotheken verlassen. Angreifer werden Microservices- und serverlose Umgebungen kompromittieren. Mit zunehmender Verbreitung dieser Architekturen werden sich auch Angriffe auf diese Architekturen häufen.

Service Provider werden ebenfalls ein steigendes Risiko darstellen, denn sie ermöglichen Angreifern einen viel höheren ROI, weil sie über einen einzigen Anbieter Zugang zu mehreren Kunden erhalten. Solche Bedrohungen gefährden Unternehmens- und Kundendaten und stellen sogar ein Risiko für Smart Factories und andere Umgebungen dar.

Schließlich kommt die Gefahr in der Supply Chain 2020 auch noch aus einer ganz anderen Richtung. Remote und Heimarbeit wird für viele Mitarbeiter zum Alltag, und Hacker werden diese Umgebungen als bequemen Startpunkt für das Eindringen in Unternehmensnetzwerke nutzen. Diese Mitarbeiter müssen als Teil ganzheitlicher Risikomanagement-Strategien für Unternehmen betrachtet werden, unabhängig davon, ob sie sich über nicht gesicherte öffentliche WLAN-Hotspots oder zu Hause anmelden oder ob Fehler im Smart Home Lücken offenlassen.

Empfehlungen für mehr Sicherheit

Auf CISOs kommen durch den rapiden technologischen Wandel harte Zeiten zu. Dabei ist es entscheidend wichtig, Teams mit den geeigneten Tools und Strategien auszustatten, um den Risiken durch Drittanbieter und anderen Bedrohungen zu begegnen. Die Sicherheitsforscher geben folgende Empfehlungen aus:

  • Verbesserung der Sorgfaltspflicht von Cloud-Anbietern und anderen Service Providern,
  • Durchführung regelmäßiger Schwachstellen- und Risikobewertungen auch für die Software von Drittparteien.
  • Investitionen in Sicherheitstools zur Überprüfung auf Schwachstellen und Malware in Komponenten von Drittanbietern
  • Einsatz von Cloud Security Posture Management (CSPM)-Tools, um das Risiko von Fehlkonfigurationen zu minimieren.
  • Überprüfen der Sicherheitsrichtlinien für Home- und Remote-Mitarbeiter.

Kampagne mit hochgradig verschleiertem Exploit Kit

Originalbeitrag von William Gamazo Sanchez and Joseph C. Chen

Im November 2019 veröffentlichte Trend Micro im eigenen Blog die Analyse eines Exploit Kit namens Capesand, das Adobe Flash- und Microsoft Internet Explorer-Lücken ausnutzte. Bei der Untersuchung der Indicators of Compromise (IoCs) in den Samples fanden die Sicherheitsforscher einige interessante Merkmale: vor allem nutzten die Samples Verschleierungs-Tools, die sie quasi „unsichtbar“ machten. Mehr als 300 der gefundenen Samples waren kürzlich sehr aktiv und die entsprechende Kampagne ist immer noch am Laufen. Die Forscher benannten sie „KurdishCoder“ nach dem Property-Namen eines Assembly-Moduls in einem der Samples. Das Muster umfasste mehrere Schichten der Verschleierung über eine Kombination zweier Tools: die .NET-Protectors ConfuserEx und Cassandra (CyaX). Die technischen Einzelheiten der Untersuchung der Capessand-Samples liefert der Originalbeitrag.

Bild. Der Infektionsablauf durch Capesand zeigt die Verschleierungsmechanismen

Dieses bestimmte Sample CyaX_Sharp wird über eine angepasste Version von ConfuserEx verschleiert.

Trend Micro-Lösungen

Entscheidend für den Schutz vor einer breiten Vielfalt an Bedrohungen ist ein proaktiver, mehrschichtiger Sicherheitsansatz, der übergreifend das Gateway, Endpoints, Netzwerke und Server mit einschließt. Trend Micro OfficeScan™ mit XGen™-Endpunktesicherheit umfasst  Vulnerability Protection, über die Endpunkte vor bekannten und unbekannten Schwachstellen-Exploits geschützt sind, auch bevor Patches aufgespielt wurden. Die Endpunktelösungen Trend Micro Smart Protection Suites und Worry-Free™ Business Security können Anwender und Unternehmen vor diesen Bedrohungen schützen, weil sie bösartige Dateien sowie die zugehörigen bösartigen URLs erkennen und blockieren.

Indicators of Compromise (IoCs) finden Sie im Originalbeitrag.