Schlagwort-Archive: Trend Micro

Kryptowährungs-Malware wird im Untergrund angeboten

Originalbeitrag von Fernando Mercês, Senior Threat Researcher

Kryptowährungen geraten immer wieder in den Schlagzeilen, und manche Regierungen arbeiten an der Regulierung der daran beteiligten Transaktionen. Andere wiederum möchten die damit verbundenen Mining-Aktivitäten insgesamt stoppen. Cyberkriminelle sind sehr rege am Kryptowährungs-Mining beteiligt. Ihre Tätigkeiten reichen vom Missbrauch der Graphics Processing Units (GPUs) der Verbraucher-Geräte bis zu dem der Mobilgeräte. Mittlerweile gibt es auch im cyberkriminellen Untergrund so viele Kryptowährungs-Malware-Angebote, dass es auch Kriminellen schwer fallen muss zu entscheiden, welches das Beste ist. Kryptomalware hat ein klares Ziel, und zwar aus Kryptowährungstransaktionen Profit zu schlagen. Dies lässt sich über zwei verschiedene Methoden erreichen: Diebstahl von Kryptowährung und wiederholtes Mining auf den Geräten der Opfer (ohne dass diese es mitbekommen), auch Cryptojacking genannt.

Weiterlesen

Trend Micro Network Defense Tour in Österreich und der Schweiz

Komplexe Bedrohungen schneller erkennen und abwehren

Standardsicherheit reicht heute für die Erkennung getarnter Bedrohungen nicht mehr aus. Mit Trend Micro Network Defense können Sie zielgerichtete und komplexe Angriffe schneller identifizieren, analysieren und abwehren – bevor überhaupt ein Schaden entsteht.

Im Mittelpunkt von Network Defense steht Deep Discovery, die einzigartige Lösung zur Aufdeckung versteckter Bedrohungen in Echtzeit. Durch die Akquisition und Integration von TippingPoint wurde Network Defense zudem noch einmal entscheidend erweitert: TippingPoint Next Generation Intrusion Prevention schliesst Schwachstellen proaktiv und identifiziert selbst unbekannte Bedrohungen.

Besuchen Sie die Trend Micro Network Defense Tour und erfahren Sie mehr über unsere umfassende Abwehrstrategie für Ihr Netzwerk. Experten führen Sie mit technikorientierten Vorträgen, Live-Demos und Praxisbeispielen durch alle wichtigen Aspekte von Trend Micro Network Defense.

Dabei sein und helfen: Um fokussierten Know-how-Transfer in einem exklusiven Umfeld zu gewährleisten, erheben wir eine Trainingsgebühr von 70 CHF (Schweiz) / 60 Euro (Österreich) inkl. MwSt. Mit den Einnahmen unterstützt Trend Micro in der Schweiz die Stiftung Kinderhilfe Sternschnuppe und in Österreich die Stiftung Kindertraum.

Noch hat es freie Plätze in Linz, Wien, Bern und Zürich. Hier geht es zur Anmeldung

Webminer-Skript für Kryptowährung in AOL Werbeplattform eingefügt

Originalbeitrag von Chaoying Liu und Joseph C. Chen

Am 25. März entdeckten die Sicherheitsforscher von Trend Micro, dass die Zahl der vom Trend Micro Smart Protection Network gefundenen Kryptowährungs-Webminer plötzlich anstieg. Das Tracking des Miner-Verkehrs ergab, dass eine ganze Menge davon mit MSN[.]com in Japan in Verbindung stand. Die weitere Untersuchung zeigte, dass böswillige Akteure das Skript auf einer AOL-Werbeplattform modifiziert hatten, sodass auf der Site ein Webminer-Programm gestartet wurde. AOL ist davon benachrichtigt und hat den Miner am 27. März entfernt.

Die kompromittierten Anzeigen auf der AOL-Plattform erzeugten eine Vielzahl von Webminern (COINMINER_COINHIVE.E-JS). Die Zahl der einzigartigen Webminer-Funde erhöhte sich vom 24. März auf den 25. März um 108%. Dies zeigt die Effizienz der Kompromittierung der Plattform. Die Werbeanzeige befand sich auf der ersten Seite von MSN[.]com (normalerweise die Default-Seite von Microsofts Browser). Dies ist ein möglicher Grund für die dramatische Erhöhung der Entdeckungen, denn eine erhebliche Zahl von Nutzern würde automatisch auf die Seite umgeleitet.

Der Webminer-Verkehr war mit der bösartigen Domäne www[.]jqcdn[.]download verbunden. Dieses Ereignis kann als Teil einer Kampagne gewertet werden, denn es gab weitere vier Domänen, die seit 2017 mit diesem bestimmten Mining-Skript in Verbindung standen.

Bild 1. Die Zahl der Funde von einzigartigen Webminern steigt vom 24. März zum 25. März sprunghaft an

Es zeigte sich auch, dass dieselbe Kampagne mehr als 500 Websites kompromittiert hatte. Die Websites waren verbunden mit der Seite www[.]datasecu[.]download, die dieselben Mining-Skripts wie die AOL-Werbeplattform enthielt.

Wenn ein Nutzer MSN besucht und die verseuchte Werbung angezeigt wird, so führt der Browser das Webminer-Programm aus. Der Miner läuft, auch ohne dass der Nutzer auf die Werbung klickt, und stoppt erst, wenn die Seite geschlossen wird. Die Forscher fanden heraus, dass es sich um JavaScript-Code auf Basis von Coinhive handelt. Dieser Miner nutzt private Web-Miningpools, um typischerweise Gebühren für öffentliche Pools zu vermeiden.

Die Untersuchung der kompromittierten Sites von AOL zeigt, dass die Kampagne die bösartigen Inhalte in Amazon Web Service (AWS) S3-Buckets vorhält. Die Namen der S3-Buckets waren in einigen kompromittierten URLs sichtbar, sodass sie näher untersucht werden konnten. Sie waren völlig ungesichert, offen für jeden. Da liegt der Verdacht nahe, dass der legitime AWS-Administrator die Berechtigungen für seine S3-Buckets nicht richtig aufgesetzt hatte, sodass der Angreifer den gehosteten Inhalt modifizieren konnte.

Nicht abgesicherte Amazon S3-Server sind seit 2017 zum Problem geworden, und einige Kryptowährungs-Miningtaktiken haben sie in diesem Jahr schon verwendet. Während der Analyse war zu beobachten, dass manche Websites die Berechtigungen für ihre Buckets berichtigt hatten, doch bemerkten sie nicht den in die Inhalte eingefügten bösartigen Code. Weitere technische Details enthält der Originalbeitrag.

Neben der sorgfältigen Konfigurierung der Server sollten Unternehmen sich mithilfe einer für den Bedarf geeigneten Cloud-Sicherheitslösung schützen. Trend Micro Deep Security for Cloudkann proaktive Bedrohungserkennung und Verhinderung bieten, während Hybrid Cloud Security hybride Umgebungen mit physischen, virtuellen und Cloud-Workloads optimal schützen kann.

Trend Micro Deep Security as a Service ist für AWS, Azure und VMware optimiert, um Server sofort zu schützen. Die Lösung reduziert den Druck auf überlastete IT-Abteilungen, denn sie nimmt ihnen das Aufsetzen der Sicherheit, Management und Updates ab.

Indicators of Compromise (IoC)

SHA256
c6c5b88e5b641484c9f50f1abdbebb10e5a48db057e35cb7f556779c5684003b

Bösartige Domänen Definition
www[.]jqcdn[.]download Private Webminer Domain
www[.]datasecu[.]download Private Webminer Domain
www[.]dataservices[.]download Private Webminer Domain
www[.]jquery-cdn[.]download Private Webminer Domain
www[.]securedates[.]download Private Webminer Domain

Trend Micro erneut Leader im Gartner Magic Quadrant für Endpointschutz

Trend Micro positioniert sich erneut im Leader-Segment des aktuellen 2018 Gartner Magic Quadrant for Endpoint Protection Platforms. In diesem Jahr wurden 21 Anbieter evaluiert, von denen Gartner nur drei als Leader bewertete. Trend Micro gehört dazu – und dies schon seit 20021

Mit XGen™ Security bietet Trend Micro maximalen Schutz für alle Endpunkte. Unsere generationenübergreifende Kombination aus Technologien zur Bedrohungsabwehr gewährleistet, dass immer die richtige Methode zum richtigen Zeitpunkt eingesetzt wird.
Vorteile von Trend Micro Endpunktschutz Powered by XGen™ Security:

  • Integrierte Funktionen für Erkennung und Reaktion, ohne dass hierfür separate EDR-Optionen benötigt werden. Mit Trend Micro Endpoint Sensor stehen Funktionen für Analyse und Untersuchung optional zur Verfügung.
  • Beinhaltet Virtual Patching, nach Ansicht von Gartner einer der grössten Vorteile von Trend Micro
  • Ständige Weiterentwicklung und Adaption auf Basis von mehr als 30 Jahren kontinuierlicher Innovation

Am besten überzeugen Sie sich selbst:
Lesen Sie jetzt den 2018 Gartner Magic Quadrant for Endpoint Protection Platforms (englisch).

1Gartner “Magic Quadrant for Endpoint Protection Platform,” (zuvor Magic Quadrant for Enterprise Antivirus) Gartner “Magic Quadrant for Endpoint Protection Platforms,” von Ian McShane, Avivah Litan, Eric Ouellet, Prateek Bhajanka, 24. Januar, 2018

Trend Micro goes Social @ Kick-Off

Der Januar markiert zumeist einen neuen Start für Unternehmen und jeden Einzelnen. Es ist die Zeit, Vorhaben und Herausforderungen für das Jahr zu setzen. Eines der Ziele von Trend Micro besteht in jedem Jahr auch darin, Möglichkeiten zu finden, hilfsbedürftigen Communities beizustehen. Denn wir wollen die Welt nicht nur sicherer machen, sondern auch mitfühlender. Das weltweite Meeting des Unternehmens in Vancouver bot die perfekte Gelegenheit, dort mit allen Mitarbeitern ein soziales Hilfsprojekt durchzuführen.
Weiterlesen 
Article from the Vancouver Courier

Trend Micro Hybrid Cloud Security Tour 2017

Know-how für den Schutz hybrider und virtueller Infrastrukturen

Ganz gleich, ob Sie physische, virtuelle oder Cloud- und Container-Umgebungen schützen müssen – Trend Micro bietet Ihnen die fortschrittliche Sicherheit, die Sie für Ihre hybride Cloud-Umgebung benötigen.

Trend Micro Hybrid Cloud Security schützt umfassend vor Ransomware, Exploits, Business Email Compromise und anderen komplexen Bedrohungen. Darüber hinaus minimieren Sie die Ressourcenbelastung und weisen einfach die Compliance nach, unter anderem mit der bald in Kraft tretenden General Data Protection Regulation (GDPR).

Besuchen Sie die Hybrid Cloud Security Tour. Trend Micro Experten führen Sie mit Vorträgen und Praxisbeispielen durch alle wichtigen Aspekte für den optimalen Schutz hybrider Infrastrukturen –  von den technischen Grundlagen über Deployment-Optionen bis zur Integration in Microsoft Azure, AWS etc.

In einem Vortrag hören Sie auch von VMware direkt, wie gut sich Deep Security und NSX verbinden lassen. Eine einmalige Gelegenheit!
17. Oktober in Wien
19. Oktober in Linz
24. Oktober in Zürich-Kloten
26. Oktober in Egerkingen
Hier geht es zur Anmeldung

Mobiltelefone werden zur unternehmensweiten Bedrohung

Originalartikel von Marco Balduzzi, Senior Threat Researcher

Seit letztem Jahr gibt es mehr Mobiltelefone auf der Welt als Menschen. In Ländern wie den USA hat die Zahl der Mobilfunkverträge die der Festnetzanschlüsse überrundet, und die Hälfte der Amerikaner nutzt mittlerweile ausschliesslich mobile Kommunikation. In modernen smarten Städten werden die Gebäude mit Funkverbindungen statt Festnetz zum Standard für Wohnungen, Fabriken und Organisationen. Festnetztelefone werden eher früher als später verschwinden. So wie Mail-Geschäftskonten über Spear Phishing angegriffen werden, nehmen nun Cyberkriminelle die Telefone über Social-Engineering-Angriffe ins Visier.

Beispielsweise geben Nutzer unbeabsichtigt ihre geschäftlichen Telefonnummern preis (etwa auf sozialen Medien-Sites) und fallen so Betrügern zum Opfer, die diese Nummern sammeln. Dieselben Angreifer führen über Social Engineering Attacken aus, indem sie damit die normalen Schutzmechanismen für den Netzwerkverkehr und Mail umgehen.

Auf Telefone ausgerichtete Denial-of-Service-Angriffe und so genannte Robocalls (automatische Werbeanrufe) sind bekannt und gelten als lästig. Das Forward-Looking Threat Research (FTR) Team von Trend Micro hat raffiniertere Angriffe über Mobiltelefone untersucht, vor allem solche, die per Hand oder Social Engineering ausgeführt wurden. Dafür haben die Sicherheitsforscher in Zusammenarbeit mit der New York Universität, Singapore Management Universität und dem Georgia Institute of Technology kürzlich einen Mobiltelefon-Honeypot (mobipot) eingerichtet, um die Bedrohungen über Funk und das cyberkriminelle Ökosystem zu untersuchen. Es ging nicht allein darum zu recherchieren, wie diese Angriffe über Funk funktionieren, sondern auch darum zu sehen, wie die Cyberkriminellen organisiert sind.

Mobipot war mit Honeycards (von den Forschern kontrollierte SIM-Karten) ausgerüstet, die Angriffe in Form von Anrufen und Nachrichten aufzeichneten. Die Nummern dieser Honeycards wurden über verschiedene Techniken an potenzielle Übeltäter gestreut, einschliesslich mobiler Schadsoftware, die die Nummer aus einer Kontaktliste eines Testtelefons ausliest. Bild 1 zeigt die Architektur von Mobipot und Bild 2 das Hardware-Setup.

Bild 1. Mobipot-Architektur

Bild 2. Mobipot Hardware

Während eines Zeitraums von sieben Monaten sammelten die Forscher 1.021 Nachrichten von 215 Absendern und 634 Anrufe von 413 Anrufern. Mehr als 80% waren nicht angefordert und umfassten Bedrohungen wie Scam, Betrug, Voice Phishing und gezielte Angriffe. Die meisten dieser Anrufe und Nachrichten kamen während der Geschäftszeiten. Das zeigt, dass die Cyberkriminellen sich in den normalen Telefonverkehr mischen, um legitim zu erscheinen. Betrüger nutzten auch GSM-Proxies und VoIP-Technik, um ihre ursprünglichen Nummern zu maskieren und zu spoofen. Deshalb waren traditionelle Erkennungstechniken auf Basis von Blacklists weniger effektiv. Neue Techniken sind gefragt, die auch kontextuelle Informationen berücksichtigen.

Scams und Spam

Scams und Spam in Form von automatischen Anrufen und Nachrichten stellten 65% des nicht angeforderten Verkehrs dar. Mobipot wurde mit Nachrichten überschüttet, die Klingeltöne, Online-Dienste und –Spiele sowie andere Arten von Werbung beinhalteten. Einige interessante Beispiele:

  • Privatdetektive mit Angeboten für Beschattungsdienste,
  • Hacking-Dienstleistung wie Zugang zu persönlichen Mails und Ausspionieren von Nutzern,
  • Handel mit illegalen Waren wie gestohlenen Kreditkarten, gekaperten Bezahlkonten, PayPal mit verifiziertem Kontostand und Rechnungen über verschiedene Beträge und in unterschiedlichen Formaten,
  • Politische Propaganda: “I wish you a New Year of health and peace. I called to tell you that the Chinese disasters continued. How we will be able to not spend money? […] Love to the Chinese Communist Party. In our program, we want to reform the land […]”

Betrug

Betrug wurde zumeist per Hand angestossen, wobei die Betrüger Social Engineering-Techniken nutzten, um ihre Opfer dazu zu bringen, Geldüberweisungen zu tätigen. Es handelte sich auch häufig um mehrstufige Angriffe, bei denen die Akteure wiederholt dasselbe Opfer kontaktierten, zuerst über einen Anruf, dann über Textnachrichten. Dabei erkundigten sich die Angreifer als vorgebliche Bank, Wohltätigkeitsorganisation oder Freund beim potenziellen Opfer immer wieder nach dem Status einer Zahlung.

So gaben einige Betrüger vor, die Provider der Honeycards zu sein. Sie „informierten“ die Forscher darüber, dass der Vertrag wegen nicht eingegangener Zahlungen gesperrt werde – die Zahlungsinformationen wurden noch am selben Tag zugeschickt. In einem anderen Fall gaben sich die Betrüger als Postdienst eines Unternehmens aus und forderten eine Gebühr, um für ein Päckchen Zoll zu zahlen. Es gab auch einen Betrüger, der private Informationen von einem Nutzer verlangte, so etwa die Schreibweise des Namens, das Passwort für ein bestimmtes Konto oder seine persönliche IM-Nummer und Konto.

Das folgende Diagramm zeigt die Verbindungen zwischen den Honeycards und einigen der Nummern, die bei den Angriffen verwendet wurden. Die Rechtecke stellen die Honeycards (mit der jeweils verwendeten Methode) dar. Jeder Kreis stellt einen separaten Angriff dar, wobei die Zahl die Menge der verwendeten Nummern darstellt. In manchen Fällen wurden mehrere Kampagnen von demselben Angreifer durchgeführt (Verbindungen zwischen den kleinen Kreisen). Die meisten Honeycards wurden über verschiedene Angriffe anvisiert.

Bild 3. Verbindungen zwischen Kampagnen und Honeycards

Mögliche Lösungen

Zur Lösung des Problems gehören sowohl menschliche als auch auf technische Aspekte.

Die Forschung hat gezeigt, dass es riskant ist, eine Telefonnummer öffentlich zugänglich zu machen. Vor allem Mitarbeiter in verantwortungsvollen Positionen müssen sich dieses Risikos bewusst werden. Für einige Mitarbeiter mag es sogar nützlich sein, die persönlichen Geräte von den geschäftlichen völlig zu trennen – einschliesslich der genutzten Nummern.

Unabhängig davon, ob die offizielle Telefonnummer eines Mitarbeiters bekannt gemacht wird oder nicht, sollte klar sein, wie man mit nicht gewünschten Anrufen umgeht. Auch muss eine heutige Sicherheitsschulung den Umgang mit nicht angeforderten Mails umfassen (z.B. sollte die Identität des Absenders klar sein sowie alle Anweisungen in der Mail geprüft werden). Diese Best Practices sind auch bereits Teil des Schutzes vor Business Email Compromise (BEC)-Taktiken, und dieselbe Logik kann auf Anrufe und Textnachrichten übertragen werden. Falls nötig, können diese Entscheidungen auch Teil der Policies sein und entsprechend durchgesetzt werden.

Es gibt aber auch technische Lösungen. Ankommende Anrufe lassen sich von Sicherheitsprodukten wie Trend Micro Mobile Security für Android filtern. Damit erhält der Nutzer ein weiteres Tool an die Hand, um die Anrufe auf dem eigenen Gerät zu verwalten.

Fazit

Die Forschung von Trend Micro zeigt zum wiederholten Mal, wie schnell sich die Cyberkriminalität an die sich ändernde Welt anpasst. Betrüger haben erkannt, dass Mobiltelefone eine wichtige Rolle im Alltagsleben von Millionen spielen und finden unterschiedliche Wege, dies auszunützen und effiziente Social Engineering-Angriffe durchzuführen. Mit steigender Zahl der gezielten Angriffe werden die mobilen Geräte der Mitarbeiter zu einer Bedrohung für ihre Unternehmen.

Die Sicherheitsforscher von Trend Micro veröffentlichten die Ergebnisse ihrer Arbeit zuerst auf der 11. ACM Asia Conference on Computer and Communications Security in China. Details dazu liefert das WhitepaperMobiPot: Understanding Mobile Telephony Threats with Honeycards.

Nachruf auf Raimund Genes, CTO Trend Micro

von Eva Chen

Trend Micro Sales Kick Off 2017 TechDay

Am Freitag, 24. März 2017, ist Raimund Genes, unser Chief Technology Officer, plötzlich und unerwartet zu Hause gestorben. Für uns alle bedeutet dies einen unermesslichen Verlust. Ich persönlich verliere mit Raimund einen wundervollen, engen Freund und ein Mitglied der Trend Micro-Familie. Es fällt mir schwer, die richtigen Worte zu finden, um unser Gefühl der tiefen Trauer zu beschreiben.

Ich lernte Raimund als Distributor für Trend Micro in Deutschland kennen. 1996 konnten Jenny, Steve und ich, die drei Gründer von Trend Micro, ihn davon überzeugen, in unser Unternehmen einzutreten, und er gründete die Trend Micro Deutschland GmbH. So hatte ich das Privileg, mehr als 21 Jahre lang Seite an Seite mit diesem wundervollen Menschen zu arbeiten.

Raimund war ein aussergewöhnlicher Mensch, der mit Leidenschaft durch das Leben ging und dessen Herz für die Cybersicherheit schlug. Sein Sinn für Humor und seine Direktheit konnten mich bei jedem Zusammentreffen neu motivieren. Er war der geborene Wortführer, der es verstand, den Menschen seine Visionen und sein Wissen nahezubringen. Er konnte Zuhörer, Kollegen und sein Team inspirieren und dazu anleiten, innovative Produkte, Dienstleistung und Forschung zu liefern.

Für Trend Micro bedeutet sein Tod einen unermesslichen Verlust, nicht nur eines aussergewöhnlichen Sicherheitsexperten, sondern auch eines wahren Freundes und Mentors. Mit 30 Jahren Erfahrung in der Sicherheitsbranche war Raimund ein redegewandter und hoch respektierter Experte, dessen Meinung und Wissen von Unternehmen weltweit gefragt waren. Mit tief gehendem Verständnis der Bedrohungslandschaft arbeitete er gemeinsam mit seinem Team von Forward Threat Researchers und Entwicklern unermüdlich daran, Cyberbedrohungen zu entdecken und auszumerzen und innovative Lösungen zu finden.

Während seiner Zeit bei Trend Micro hatte Raimund zahlreiche hohe Managementpositionen inne, einschliesslich die des Managing Director für Trend Micro Deutschland, Marketing- und Vertriebsleiter Europa, President of European Operations und zuletzt weltweiter Chief Technology Officer. Sein Talent, seine Intelligenz, schnelle Auffassungsgabe und Leidenschaft bedeuteten einen unschätzbaren Wert für unser Unternehmen.

Letzte Woche auf der CeBIT in Hannover hielt Raimund seine letzte öffentliche Präsentation unter dem Titel Good vs. Evil. Darin plädierte er leidenschaftlich für den Kampf gegen die Cyberkriminellen, das Übel. Raimund kämpfte tagaus tagein mit Herz und Seele für seine Vision, den weltweiten Austausch von digitalen Informationen sicherer zu machen. Ich bin mir sicher, Raimund ruft uns von weit oben zu: „Auf geht’s, wir können die Bad Guys nicht gewinnen lassen!“ Wir werden dich nie vergessen, Raimund. Und ich verspreche dir, wir werden deinen Kampf gegen „Bad Guys“ fortführen!

Raimund war ein liebevoller Ehemann für seine Frau Martina und ein hingebungsvoller Vater für seine beiden Söhne. Sie bedeuteten seinen Anker in seinem geschäftigen Leben.

Trend Micro und alle seine Mitarbeiter teilen die tiefe Trauer mit Raimunds Familie und Freunden.